網(wǎng)絡(luò)安全方案

3.1網(wǎng)絡(luò)安全解決方案

3.2.1安全建設(shè)目標(biāo)

?總體安全性：全面有效的保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全,保護(hù)計(jì)算機(jī)硬件、軟

件、數(shù)據(jù)、網(wǎng)絡(luò)不因偶然的或惡意破壞的原因遭到更改、泄漏和丟失，

確保數(shù)據(jù)的完整性，大幅度地提高系統(tǒng)的安全性和保密性。

?可控與可管理性:可自動(dòng)和手動(dòng)分析網(wǎng)絡(luò)安全狀況,適時(shí)檢測并及時(shí)發(fā)現(xiàn)

記錄潛在的安全威脅，制定安全策略,及時(shí)報(bào)警、阻斷不良攻擊行為,具有

很強(qiáng)的可控性和可管理性.

?系統(tǒng)可用性:保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好

的透明性；盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展;

易于操作、維護(hù),并便于自動(dòng)化管理，而不增加或少增加附加操作.

?可擴(kuò)展特性：滿足成都酒店的業(yè)務(wù)需求和企業(yè)可持續(xù)發(fā)展的要求，具有

很強(qiáng)的可擴(kuò)展性和柔韌性；安全保密系統(tǒng)具有較好的性能價(jià)格比,一次性

投資,可以長期使用.

?合法性：安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理

單位的檢查與監(jiān)督。

3.2.2安全建設(shè)手段

3.2.2.1防火墻

作為一種有效的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，防火墻是一種隔離控制

技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對

信息資源的非法訪問,也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸

出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù),因此，防火墻最

適合于部署在相對獨(dú)立的企業(yè)內(nèi)部網(wǎng)絡(luò)與公網(wǎng)(主要為Internet)之間.

作為對企業(yè)內(nèi)網(wǎng)的安全性保護(hù)設(shè)備/節(jié)點(diǎn),防火墻已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)

為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)內(nèi)網(wǎng)和Internet間安裝防火墻。企業(yè)信息

系統(tǒng)對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具

體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。

防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外,

使其對防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡

單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一

定的安全要求。

3.2.2.2加密與數(shù)字簽名

數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)

據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)

這四種。

在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對稱密鑰和非對稱/公開密鑰，采用

何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡單地根據(jù)其加密強(qiáng)度來作

出判斷。因?yàn)槌思用芩惴ū旧碇猓荑€合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)

合性，以及投入產(chǎn)出分析都應(yīng)在實(shí)際環(huán)境中具體考慮.

對于對稱密鑰加密.其常見加密標(biāo)準(zhǔn)為DES等，當(dāng)使用DES時(shí)，用戶和接

受方采用64位密鑰對報(bào)文加密和解密,當(dāng)對安全性有特殊要求時(shí)，則要采取IDEA

和三重DES等.作為傳統(tǒng)企業(yè)網(wǎng)絡(luò)廣泛應(yīng)用的加密技術(shù),秘密密鑰效率高，它采用

KDC來集中管理和分發(fā)密鑰并以此為基礎(chǔ)驗(yàn)證身份,但是并不適合Internet環(huán)境。

在Internet中使用更多的是公鑰系統(tǒng)。即公開密鑰加密,它的加密密鑰和解

密密鑰是不同的。一般對于每個(gè)用戶生成一對密鑰后,將其中一個(gè)作為公鑰公開,

另外一個(gè)則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法,加密強(qiáng)度很

高。具體作法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上

數(shù)據(jù)簽名,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然

后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。當(dāng)這些密文被接收方收到后，接收方用自

己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后，用發(fā)布方公布

的公鑰對數(shù)字簽名進(jìn)行解密，如果成功,則確定是由發(fā)送方發(fā)出的.數(shù)字簽名每次

還與被傳送的數(shù)據(jù)和時(shí)間等因素有關(guān)。由于加密強(qiáng)度高,而且并不要求通信雙方

事先要建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。

3.2.2.3用戶認(rèn)證

僅僅加密是不夠的,全面的保護(hù)還要求認(rèn)證和識(shí)別。它確保參與加密對話的

人確實(shí)是其本人。用戶認(rèn)證可以依靠許多機(jī)制來實(shí)現(xiàn),從安全卡到身份鑒別。前

一個(gè)安全保護(hù)能確保只有經(jīng)過授權(quán)的用戶才能通過可靠終端進(jìn)行公網(wǎng)/私網(wǎng)的交

互式訪問；后者則提供一種方法,用它生成某種形式的口令或數(shù)字簽名，被訪問

的一方（通常是準(zhǔn)入設(shè)備)據(jù)此來認(rèn)證來自訪問者的請求。用戶管理的口令通常

是前一種安全措施；硬件/軟件解決方案則不僅正逐步成為數(shù)字身份認(rèn)證的手段，

同時(shí)它也可以被可信第三方用來完成用戶數(shù)字身份（ID）的相關(guān)確認(rèn)。

3.2.2.4網(wǎng)絡(luò)防病毒

隨著Internet開拓性的發(fā)展，病毒可能為網(wǎng)絡(luò)帶來災(zāi)難性后果。Internet帶

來了兩種不同的安全威脅。一種威脅是來自文件下載。這些被瀏覽的或是通過

FTP下載的文件中可能存在病毒。而共享軟件(publicshareware）和各種可執(zhí)行

的文件，如格式化的介紹性文件（formattedprentation）已經(jīng)成為病毒傳播的重

要途徑.并且,Internet上還出現(xiàn)了Java和ActiveX形式的惡意小程序.

另一種主要威脅來自于電子郵件.大多數(shù)的Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)

間傳送附帶格式化文檔郵件的功能.只要簡單地敲敲鍵盤,郵件就可以發(fā)給一個(gè)或

一組收信人。因此，受病毒感染的文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入

企業(yè)網(wǎng)絡(luò).

另一種網(wǎng)絡(luò)化趨勢也加重了病毒的威脅.這種趨勢是向群件應(yīng)用程序發(fā)展的，

如LotusNotes，MicrosoftExchange，NovellGroupwi和NetscapeColabra.由于

群件的核心是在網(wǎng)絡(luò)內(nèi)共享文檔，那么這就為病毒的發(fā)展提供了豐富的基礎(chǔ)。而

群件不僅僅是共享文檔的儲(chǔ)藏室，它還提供合作功能，能夠在相關(guān)工作組之間同

步傳輸文檔。這就大大提高了病毒傳播的機(jī)會(huì).因此群件系統(tǒng)的安全保護(hù)顯得格

外重要。

在企業(yè)中,重要的數(shù)據(jù)往往保存在位于整個(gè)網(wǎng)絡(luò)中心結(jié)點(diǎn)的文件服務(wù)器上，

這也是病毒攻擊的首要目標(biāo).為保護(hù)這些數(shù)據(jù)，網(wǎng)絡(luò)管理員必須在網(wǎng)絡(luò)的多個(gè)層

次上設(shè)置全面保護(hù)措施.

有效的多層保護(hù)措施必須具備四個(gè)特性:

?集成性：所有的保護(hù)措施必須在邏輯上是統(tǒng)一的和相互配合的。

?單點(diǎn)管理:作為一個(gè)集成的解決方案，最基本的一條是必須有一個(gè)安全管

理的聚焦點(diǎn).

?自動(dòng)化:系統(tǒng)需要有能自動(dòng)更新病毒特征碼數(shù)據(jù)庫和其它相關(guān)信息的功能.

?多層分布：這個(gè)解決方案應(yīng)該是多層次的，適當(dāng)?shù)姆蓝静考谶m當(dāng)?shù)奈恢?/p>

分發(fā)出去，最大限度地發(fā)揮作用，而又不會(huì)影響網(wǎng)絡(luò)負(fù)擔(dān)。一般情況下，

防毒軟件至少應(yīng)該安裝在服務(wù)器工作站和郵件系統(tǒng)上。

3.2.3解決方案

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層

次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層

次，并且與安全管理相結(jié)合。以該思想為出發(fā)點(diǎn),提出如下的"網(wǎng)絡(luò)信息安全解決

方案”

3.2.3.1網(wǎng)絡(luò)安全建設(shè)總體原則

?滿足Intranet網(wǎng)的分級管理需求

根據(jù)客戶網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對Intranet信息安全實(shí)施分級管理

的解決方案，將對它的控制點(diǎn)分為三級實(shí)施安全管理.

第一級：數(shù)據(jù)中心級網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；

內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

第二級：部門級,主要實(shí)現(xiàn)不同用戶分配的虛擬網(wǎng)絡(luò)間的訪問控制；同用戶

虛擬網(wǎng)絡(luò)不同地點(diǎn)間的訪問控制；以及用戶虛擬網(wǎng)絡(luò)內(nèi)部的安全審計(jì)。

第三級：終端/個(gè)人用戶級,實(shí)現(xiàn)用戶內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終端信

息資源的安全保護(hù)。

?需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則

對任何網(wǎng)絡(luò),絕對安全難以達(dá)到,也不一定是必要的。對一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額

研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威脅及

可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施,確定本系

統(tǒng)的安全策略。

?綜合性、整體性原則

應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施.安全措施主要包括：

行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專

業(yè)措施(識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品

等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)

絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也

只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施.即計(jì)算

機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全

體系結(jié)構(gòu)。

?可用性原則

安全措施需要人為去完成，如果措施過于復(fù)雜,對人的要求過高,本身就降低

了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常

運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。

?分步實(shí)施原則：分級管理分步實(shí)施

由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，

網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。同時(shí)由于

實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息

安全的基本需求,亦可節(jié)省費(fèi)用開支。

3.2.3.2安全防護(hù)手段與安全區(qū)域規(guī)劃

由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十

分重要。如果用戶的網(wǎng)絡(luò)連入Internet,那么最好盡可能地把與Internet連接的機(jī)

器與網(wǎng)絡(luò)的其余部分隔離開來.實(shí)現(xiàn)這個(gè)目標(biāo)的最安全的方法是將Internet服務(wù)

器與網(wǎng)絡(luò)劃分不同的領(lǐng)域,建立不同的安全策略。如此一來,如果有人闖入隔離開

的機(jī)器，那么網(wǎng)絡(luò)的其余部分不會(huì)受到牽連。

安全區(qū)域的規(guī)劃核心點(diǎn)是訪問控制，訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主

要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)

絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起

到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和

用戶組被賦予一定的權(quán)限.網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、

文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。用

戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個(gè)訪問控制表來描述.

防火墻是最主流也是最重要的安全產(chǎn)品，是邊界安全解決方案的核心。它

可以對整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問

控制;對常見的網(wǎng)絡(luò)攻擊,如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行

有效防護(hù);并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定、智

能蠕蟲防護(hù)等安全增強(qiáng)措施。

?ARP攻擊防護(hù)

ARP欺騙：在同一個(gè)IP子網(wǎng)內(nèi)，數(shù)據(jù)包根據(jù)目標(biāo)機(jī)器的MAC地址進(jìn)行尋

址，而目標(biāo)機(jī)器的MAC地址是通過ARP協(xié)議由目標(biāo)機(jī)器的IP地址獲得的。每

臺(tái)主機(jī)(包括網(wǎng)關(guān)）都有一個(gè)ARP緩存表,在正常情況下這個(gè)緩存表能夠有效維護(hù)

IP地址對MAC地址的一對一對應(yīng)關(guān)系.但是在ARP緩存表的實(shí)現(xiàn)機(jī)制和ARP

請求應(yīng)答的機(jī)制中存在一些不完善的地方,容易造成ARP欺騙的情況發(fā)生。

對于ARP欺騙攻擊來說，單獨(dú)針對任何一臺(tái)設(shè)備做防護(hù)配置都是微薄的，解決

ARP欺騙需要對整體網(wǎng)絡(luò)的進(jìn)行有效的規(guī)劃，在每一臺(tái)網(wǎng)絡(luò)設(shè)備,每一臺(tái)終端設(shè)

備上做有效地防護(hù)措施：

把網(wǎng)絡(luò)劃分多個(gè)網(wǎng)段，ARP詢問不會(huì)超出你的VLAN,超出VLAN的IP和

MAC地址表由網(wǎng)關(guān)來控制.這樣危急的范圍會(huì)變小，易于故障處理

在每一臺(tái)網(wǎng)絡(luò)設(shè)備/終端設(shè)備上做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)

關(guān)都做IP和MAC綁定。欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所

以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙,同時(shí)在網(wǎng)關(guān)也要進(jìn)行

IP和MAC的靜態(tài)綁定,這樣雙向綁定才比較保險(xiǎn).

通過對防火墻進(jìn)行設(shè)置也是防御ARP攻擊的好方法，通過防火墻的ARP

嚴(yán)格限制可以使網(wǎng)關(guān)、服務(wù)器等重要的設(shè)備地址不被冒用,能夠有效地解決針對

網(wǎng)關(guān)地址欺騙等的問題。

在接入層/匯聚層的交換機(jī)等設(shè)備上啟動(dòng)ARP防護(hù)也是行之有效的辦法，包

括使用DHCP認(rèn)證、ARP—Guard等安全功能，能夠限制ARP包在網(wǎng)絡(luò)間傳輸,

有效過濾虛假ARP信息，保持網(wǎng)絡(luò)的真實(shí)性。

?靜態(tài)/動(dòng)態(tài)VPN接入

基于VPN隧道的加密數(shù)據(jù)傳輸能夠提供安全可靠的網(wǎng)絡(luò)互聯(lián),在無法保證

電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下,或者也不相信其他安全措

施的情況下,一種行之有效的辦法就是加密，而加密就是必須考慮加密算法和密

碼的問題。考慮到我國對密碼管理的體制情況,密碼是一個(gè)單獨(dú)的領(lǐng)域。對防火

墻而言，是否防火墻支持對其他密碼體制的支持，支持提供API來調(diào)用第三方

的加密算法和密碼,非常重要。

對于VPN業(yè)務(wù)，企業(yè)比較關(guān)心的一個(gè)問題能是傳輸?shù)陌踩浴Ｔ谶@個(gè)問題

上，BMC的企業(yè)級防火墻能夠提供全面的安全性保證。企業(yè)級防火墻可以應(yīng)用

戶的要求,在VPN用戶撥入時(shí)對他的身份進(jìn)行驗(yàn)證，然后才建立隧道,將用戶交由

VPN服務(wù)器進(jìn)行再次驗(yàn)證。其次，企業(yè)級防火墻對用戶數(shù)據(jù)包進(jìn)行完整轉(zhuǎn)發(fā)，

并不讀取數(shù)據(jù)包的內(nèi)容。因此，用戶可以對它的數(shù)據(jù)進(jìn)行加密，而不會(huì)影響防火

墻本身的工作,而且此時(shí)即使是防火墻本身也無法讀取用戶數(shù)據(jù)。最后,企業(yè)級防

火墻支持自身到VPN服務(wù)器間隧道的數(shù)據(jù)加密。這樣，即使撥入用戶不對其數(shù)

據(jù)加密,Internet上的其他用戶也無法讀取VPN用戶的私有數(shù)據(jù).

方案描述：

通過在6509—E交換機(jī)上安裝防火墻模塊實(shí)現(xiàn)防火墻的集成。根據(jù)“橫向

隔離、縱向加密”的理念，對酒店網(wǎng)絡(luò)實(shí)行安全區(qū)域劃分，包括實(shí)驗(yàn)室、培訓(xùn)教

室、辦公室等接入層網(wǎng)絡(luò)定義為同級別、同安全等級的單獨(dú)區(qū)域、即為橫向，要

求做到網(wǎng)間隔離，拒絕數(shù)據(jù)直接轉(zhuǎn)發(fā)；

匯聚層網(wǎng)絡(luò)對于接入層網(wǎng)絡(luò)則處于更高的級別,更高的安全等級,即為縱向，

要求數(shù)據(jù)流在匯聚層轉(zhuǎn)發(fā)時(shí)具有可控、可加密等特性；同時(shí)，匯聚層設(shè)備的管理

要求盡量使用本地管理、SSL/SSH安全管理或SNMP加密方式管理，對telnet

等不安全的管理方式,拒絕使用;

核心層設(shè)備以數(shù)據(jù)轉(zhuǎn)發(fā)效率為主要工作,不進(jìn)行特別的安全防護(hù)措施,對于

安全管理同樣要求盡量使用本地管理、SSL/SSH安全管理或SNMP加密方式管

理，對telnet等不安全的管理方式,拒絕使用;

另外，接入層設(shè)備開啟ARP防護(hù)能力，以及DHCP驗(yàn)證能力;匯聚層延長

ARP的刷新時(shí)間,并做主要設(shè)備的MAC地址綁定.