网络安全体系结构

8.3.6　网络安全体系结构

通过对安全风险、需求分析结果、安全策略以及网络的安全目标的分析，可以将网络安全体系从以下几个方面分述：物理安全、系统安全、网络安全、应用安全、管理安全。

1.物理安全

保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：

（1）环境安全

对系统所在环境的安全保护，参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》等标准进行实施。

（2）设备安全

●屏蔽。对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线以及通风、波导和门的把柄等。

●抑制。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

●干扰。对终端设备辐射的防范。终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取。

2.系统安全

（1）网络结构安全

网络结构的安全主要指：

●网络拓扑结构是否合理；

●线路是否有冗余；

●路由是否冗余。

（2）操作系统安全

●尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如UNIX下：rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用权限进行严格限制。

●加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），并及时给系统打补丁、系统内部的相互调用不对外公开。

●通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。

（3）应用系统安全

●在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统。

●加强登录身份认证，确保用户使用的合法性。

●严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

●充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。

3.网络安全

网络安全是整个安全解决方案的关键，从访问控制、通信保密、入侵检测、网络安全扫描系统和防病毒分别描述。

（1）隔离与访问控制

●严格的管理制度。可制定的制度有：《用户授权实施细则》、《口令字及账户管理规范》、《权限管理制度》、《安全责任制度》等。

●划分虚拟子网（VLAN）。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网（VLAN），在没有配置路由的情况下，不同虚拟子网间是不能够互相访问。通过虚拟子网的划分，能够实现较粗略的访问控制。

●配备防火墙。防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。FortiGate产品从网络层到应用层都实现了自由控制。

（2）通信保密

数据的机密性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。可以选择以下几种方式：

①链路层加密

对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止非授权用户读懂、篡改传输的数据。

链路加密机由于是在链路级，加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。如图8-4所示。

图8-4　链路密码机配备示意图

②网络层加密

对于分布较广，网点较多，而且可能采用多种通信线路的网络，如果采用多种链路加密设备的设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下拟采用网络层加密设备（VPN），来保护内部敏感信息和企业秘密的机密性、真实性及完整性。

IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，VPN设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见图8-5所示。

图8-5　VPN配置示意图

由于VPN设备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络，VPN设备可以使网络在升级提速时具有很好的扩展性。

（3）入侵检测

利用防火墙并经过严格配置，可以阻止各种不安全访问通过防火墙，从而降低安全风险。但是，网络安全不可能完全依靠防火墙单一产品来实现，网络安全是个统一的整体，作为防火墙的必要补充，入侵检测系统就是很好的安全产品，入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包，因此入侵检测系统的应用不会对网络系统性能造成多大影响。

（4）扫描系统

网络扫描系统可以对网络中所有部件（Web站点，防火墙，路由器，TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。

（5）病毒防护

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。政府网络系统中使用的操作系统一般均为WINDOWS系统，比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。

●预防病毒技术。预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。可以采用加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）等技术。

●检测病毒技术。检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。

●杀毒技术。杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁的扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进入网络进行传播扩散。

4.应用安全

（1）内部办公自动化系统中资源共享

严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则容易各种原因在与员工间交换信息时泄露重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。

（2）信息存储

对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。

5.构建数字证书认证中心（Certification Authority，CA）体系

针对信息的安全性、完整性、正确性和不可否认性等问题，目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书，通过数字证书，把证书持有者的公开密钥（Public Key）与用户的身份信息紧密安全地结合起来，以实现身份确认和不可否认性。CA为用户签发数字证书，为用户身份确认提供各种相应的服务。在数字证书中有证书拥有者的甄别名称（Distinguish Name，DN），并且还有其公开密钥，对应于该公开密钥的私有密钥由证书的拥有者持有，这对密钥的作用是用来进行数字签名和验证签名，这样就能够保证通讯双方的真实身份，同时采用数字签名技术还很好地解决了不可否认性的问题。根据机构本身的特点，可以考虑先构建一个本系统内部的CA系统，即所有的证书只能限定在本系统内部使用有效。在不断发展及需求情况下，可以对CA系统进行扩充与国家级CA系统互联，实现不同企业间的交叉认证。

6.安全管理

（1）制定健全的安全管理体制

制定健全的安全管理体制将是网络安全得以实现的重要保证。各政府机关单位可以根据自身的实际情况，制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。

（2）构建安全管理平台

构建安全管理平台将会降彽很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上组成安全管理子网，安装集中统一的安全管理软件，如病毒软件管理系统、网络设备管理系统以及网络安全设备统一管理软件。通过安全管理平台实现全网的安全管理。

（3）增强人员的安全防范意识

政府机关单位应该经常对单位员工进行网络安全防范意识的培训，全面提高员工的整体网络安全防范意识。