公司企业网络安全的管理策略及技术.doc

精品文档 公司企业网络安全的管理策略及技术摘要： 简述计算机网络安全涉及的三个方面：企业的安全策略、网络自身安 全及网络应用安全问题；分析TCP/IP协议族存在的安全漏洞；介绍实 现Intranet/Internet安全的常用技术，信息加密方法、合法用户身份验 证、访问网络资源权限控制及防火墙技术；尽管内外网络的直接连接完 全被防火墙阻断，但内部网络用户可以自由地访问内部和外部网络源。 从分析上海烟草（集团）公司企业信息网络目前存在的安全问题以及一 个企业的信息网络应当具备的安全体制和所应有的安全策略及技术着 手，从而勾画出上海烟草（集团）公司安全的企业信息网络。关键词： 企业网络，安全策略，TCP/IP，Intranet，Internet，防火墙， 代理服务器 近年来，计算机网络的安全问题成为热门话题。许多专家学者都在从事 这方面的研究工作。各大计算机及网络设备公司也投入大量的人力物力从事这方面的研究与开发，推出相应的安全产品。 许多单位采用Internet技术构建自己的内部私有网络Intranet。规模可以是局域网（LAN），也可以将遍布世界各地的分支机构都连接在一起构成的广域网（WAN）。在Intranet中，网络安全问题更加重要。首先，在Intranet与Internet的交界处，必须有很好的安全措施，否则将危及内部私有网络的安全。另外，在企业网的内部也同样存在着安全问题，如各部门间的安全措施，哪些员工可以访问哪些资源，核心资料的保密等。 目录中英文摘要( 1 )前言 ( 1 )关键词( 1 )一、计算机网络安全管理策略( ) 1.1企业的安全策略( ) 1.2 计算机网络自身的安全( ) 1.3 网络管理的安全 ( )二、TCPIP协议族中的安全隐患( ) 2.1 源路由( ) 2.2 路由信息协议( 2 ) 2.3 网际控制报文协议( ) 2.4 Finger服务( ) 2.5 电子邮件( )三、实现计算机网络安全的常用技术( ) 3.1 加密（Encryption）( ) 3.2 身份验证( ) 3.2.1 基于令牌的身份验证( ) 3.2.2 KERBEROS( ) 3.2.3 路由器方面的身份验证( ) 3.3 访问控制（Access Control）( ) 3.3.1路由器的访问控制( ) 3.3.2 小型机、服务器的访问控制( ) 3.4 防火墙技术( ) 3.4.1 过滤路由器（Filtering Routers）( ) 3.4.2 基于主机的Firewall（Bastion Host）( ) 3.4.3 构成企业的双防火墙结构( )四、 企业信息网络安全管理的实施规划( ) 4.1 加强网络边界安全建设( ) 4.2 建设企业信息化网络系统的入侵检测和漏洞扫描系统( ) 4.3 建设企业信息化安全审计系统( ) 4.4 采用全面的、多层次的分层病毒防御战略体系( ) 4.5 建设企业统一的CA认证中心，提高电子商务的安全度( )五、 结束语（心得体会与经验总结）( )六、 几点不足与努力方向 ( )一、 计算机网络安全管理策略计算机网络安全问题主要涉及安全策略，计算机网络自身安全和网络应用安全三方面，以及一些基本技术和服务。在实际的Intranet网络中，必须根据各企业的特点，综合运用这些技术，来加强Intranet网络安全。一般来说，网络安全策略主要集中在阻截入侵者，而不是试图警戒内部用户。它的工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据，而不是阻止内部用户使用外部网络服务。网络安全策略的一个目标就是要提供一个透明机制，以便这些策略不会对用户产生障碍。.1企业的安全策略 企业的安全策略在网络安全中起着重要作用。任何一个企业或机构，当它要建设Intranet网络时，首先必须确定它将采用什么样的对内和对外的安全策略。以便企业对安全性问题有了通盘的考虑，并对出现问题时需要采取的措施也有所准备。网络的安全策略可以有以下三种： 1根本不做任何防护，出了问题再说。如果某些单位没有什么特别需要保密的资料，并且上网的机器主要目的只是宣传广告等，即使被破坏也不会造成很大损失，而且恢复起来不很麻烦，可采取这种策略。 2采取极严格的措施，不连网。某些有敏感信息的主机或LAN，不连在公用网上。对于军事机密，政府重要部门，或公司的重要技术秘密，在没有十足把握的情况下，不要冒险连网。 3第三种策略是将计算机连在网上，采取一定的安全保护措施，如加一个防火墙（Firewall），或加密传输、进行严格的身份确证、加访问控制等。主要目的是保护合法用户的正常使用，而非法用户无法获取或破坏信息。 基于上海烟草（集团）公司计算机信息网络目前的状况和发展前景而言，综合采用第2、3种安全策略是主动的、合理的和先进的。换句话说，就是要采用先进的手段主动出击，加强安全防范。 尽管网络安全很重要，但网络安全与使用方便之间存在着矛盾。必须在风险不方便性（Risk/Inconvenience）之间作选择。网络安全性最终是由网络投资方的最高决策者制定他们的安全策略，然后再采取相应的技术措施加以实施。.2 计算机网络自身的安全 计算机网络自身的安全是指维护网络设备的安全性，以保证计算机网络的正常运行。 任何一个网络都有可能出现故障或遭到攻击，所以，必须经常对网络进行各种检查和测试，作好日志和审计工作，发现问题及时修补。建设网络管理中心站，将有助于网络自身安全的实现。.3 网络管理的安全 网络管理基于网络应用层的协议。这些协议在最初设计时并没有充分考虑到商业应用，无可避免地存在一些安全漏洞，在应用于商业领域后，或多或少的会出现一些安全性问题，我们必须对这些问题有足够的重视，努力解决各种问题，避免损失。二、 TCPIP协议族中的安全隐患Intranet/Internet网络体系结构都是基于TCP/IP协议族的，TCP/IP协议尽管是在美国国防部的赞助下开发的，但是协议本身如源路由（Source Routing）、路由信息协议（RIP）、网际控制报文协议（ICMP）、Finger服务、邮局协议（POP）等也存在着安全漏洞。 .1 源路由 源路由是在数据包中指出要经过的所有路由。有些路由器对源路由的反应是使用其指定的路由，并使用其反向路由来传送应答数据，这就使得网络黑客可以假冒一个主机的名义，通过一个特定的路径来获取信息。 .2 路由信息协议 路由信息协议，常用于在局域网（尤其是广播介质局域网）上传播路由信息，对收到的路由信息并不检验，这就使得侵入者可以给目标主机以及沿途的每个网关发送虚假的路由信息。这将使所有要送往某个特殊的主机的包被送到侵入者的机器上。侵入者可以进行观察或可能的修改。然后将这些包重新发送，利用IP源地址路由，到达指定的目的地。采用这种方法，可以捕获口令及其他敏感数据。 .3 网际控制报文协议 网际控制报文协议，是在TCP/IP协议组基本的网络管理工具。也是在网络层中与IP一起使用的协议。从技术上说，ICMP是一种差错报告机制。通常ICMP攻击相当困难，但也还有可以利用的漏洞。因为ICMP具有重定向功能，能够用来向主机提供更好的路由。而一些主机不对ICMP的重定向报文作合法性的校验，这一性质的攻击产生的效果于基于RIP攻击的效果类似。另外，ICMP也可以用来实现拒绝服务的攻击。假如侵入者知道了一个TCP连接的本地和远地的端口号，假冒一个ICMP包就可以中断这个连接。如果某个服务器成了侵入者的攻击对象，它只要不时发若干个ICMP包，切断被攻击对象对外的一切连接，那么这个服务器就无法正常工作。 .4 Finger服务 许多系统提供Finger服务，该服务显示关于使用者的有用信息，如他们的全名、电话号码、办公室号码等。这些信息对口令破译者很有利。 .5 电子邮件 电子邮件（E-mail）使用的邮局协议（POP）允许远程用户检索存储在中心服务器内的邮件。使用含有用户名和口令的单命令方法鉴别。这种将两者结合在单个命令里代替传统口令的使用，很容易受到线路窃听者的利用。最新版本的邮局协议己将用户名和口令分为两个命令，这将有利于用户身分的验证的安全性。在许多场合都使用的“一次性口令”（one-time password），是主机和许多用户可用的设备共享一个密钥，主机发布一个随机询问；双方加密这个数字，并由用户送回主机。随机提问和回答，使得窃听者无所作为。 以上的这些服务大多数已经通过了补丁，解决了安全问题。三、 实现计算机网络安全的常用技术计算机网络安全技术主要涉及以下几方面内容：加密（Encryption）、身份验证（Authentication）、访问控制（Access Control）及防火墙（Firewall）技术。.1 加密（Encryption）数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，数据加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。 在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer；欧洲的IDEA；日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。 在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有： RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。 公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。 基于上海烟草（集团）公司的计算机网络数据流通的保密性和广域网范围内数据线路的不断增加的情况，要求有一种VPN加密技术来建造一个安全的企业网络加密隧道，主要由企业城域网或广域网的VPN接入模块，Internet VPN接入模块，Extranet VPN接入模块三个模块组成（见图1）。 图1 企业网络加密隧道.2 身份验证身份验证是指确定一个用户的身份是否合法。口令是一种最简单的身份验证的手段，但是由于有的用户长时间不更换口令，而且在多台主机上使用同一口令，一旦某个人获得了一个用户的口令，他就可以访问所有属于那个用户的所有资源，直到被发现或口令变更。.2.1 基于令牌的身份验证 令牌验证类似于软件狗或钥匙盘，它是一个小设备，可以插在串口上或并口上，也可以是插在计算机上的软盘。令牌验证可以产生一个一次性的序列，而代替由用户记忆长时间使用的一个长的密码。主要有以下两种实现算法：同步算法和挑战应答。.2.2 KERBEROS KERBEROS技术是我们上海烟草（集团）公司计划采用的身份验证的主要方法之一。即每一位与计算机系统、计算机网络和计算机信息相关的工作人员都配备一张密码卡，当与一些重要的设备发生接触时，需要经过密码的监测及验证，方可进行实地操作。 具体的技术原理如下： Kerberos基于保密密匙的确证身份算法，使用DES加密方法。Kerberos作为被信赖的第三方分别与网络上的每一个主体（Server或User）共同持有一个保密密匙。为了使一个用户C能访问服务器S，C必须从Kerberos得到一张ticket这张ticket是用S的密匙加密的，所以只有kerberos和S能读懂它，从而确定C的身份。具体算法如图2所示。 图2 具体算法首先，（1）C向AS发请求以确认身份，（2）AS返回给C一张通往TGS的ticket，（并用TGS的密匙加密），另外还给C一个新密匙Kc,tgs并用C的密匙Kc加密。（3）C向TGS发请求，申请通往应用服务器S的ticket，TGS接到请求后，首先用自己的密匙Ktgs解密ticketc,tgs，这样得到新密匙Kc,tgs，解密ts Kc,tgs，判断时戳ts是否有效，（4）如果有效则给C一张ticketc,s。并给C一个用Kc,tgs加密的新密钥Kc,s（5）C用Kc,tgs解开包装得到Kc,s，将ticketc,s及其应用请求以加密Kc,s发往S，（6）实际上C己有了对S的访问权限，S收到ticketc，S后以其Ks解密，取得Kc,s，解密用户请求，将用户所需信息以Kc,s加密发还给用户。当这一次连接中断，用户希望再一次或希望与别的应用服务器建立连接时，它需要重新获得相应的Ticket。.2.3 路由器方面的身份验证在路由器身份验证方面我们上海烟草（集团）公司的具体做法是：采用一台或多台TACACS+ 、 RADIUS Server来进行身份验证。即当一个计算机工作人员需要登陆到路由器进行配置的时候，我们要经过TACACS+ 、 RADIUS Server的身份认证。其典型的拓扑结构分为本地路由验证和远程路由验证两种拓扑结构。如图3、4所示。 图3 本地路由验证图4 远程路由验证其中的具体配置涉及到Cisco 2500系列路由器（Access Server）和HP工作站上TACACS+ 、 RADIUS Server。 （1）Cisco 2500系列路由器（Access Server）配置策略 1. 确认安全存取服务处于EXEC和配置模式； 2. 实现Access Server和安全服务器的通讯；3. 在Access Server上设置AAA全局变量；4. 定义身份验证方法：使用aaa认证命令；说明协议类别或者登陆的身份验证；标识用户名称；阐明身份验证方法5. 应用线路和接口的身份验证：提出VTY和控制口的录入清单；提出PPP的异步接口或者ISDN接口的身份验证配置；提出ARA的异步接口或者ISDN接口的身份验证配置。（2）HP工作站上TACACS+ 、 RADIUS Server的配置策略在大多数的TACACS+安全验证服务器上，有三种方法来进行用户的配置工作：1. 为用户或者用户组设置一个明文的密码：user = mswartz global = cleartext mswartz global passworduser = carol arap = cleartext arap passwordchap = cleartext chap passwordlogin = des XQj4892fjk2. 使用UNIX上的密码（5）文件代替路由器上的密码，从而进入路由器配置default authentication = /etc/passwd3. 使用s/key进行用户的身份验证 user= fred login = skey .3 访问控制（Access Control）访问控制是用来决定一个主体（发出行动者，一般是用户或用户执行的程序），是否有权对某一特定对象（资源）执行一个特定的操作，这种权限判定的方法有三种，强制性方法（mandatory policy），随意方法（Discretionary policy）和最新出现的角色判定法（Role-Based policy）。访问控制需要依靠身份确认来判定用户的身份及其所属的组和所具有的特权。 在访问控制方面我们上海烟草（集团）公司的具体做法是：对位置重要的小型机、服务器、路由器和交换机进行访问权限及应用级别的控制。.3.1 路由器的访问控制 主要是通过aaa authentication和access list的命令组合来设置用户对路由器访问权限和数据包的流通控制。.3.2 小型机、服务器的访问控制主要是通过对Internet services的限制来控制Telnet、FTP、Finger等操作。.4 防火墙技术防火墙是位于Intranet网络与Internet网络之间。防火墙依其结构主要可分为以下几类：基于路由器的分组过滤、基于主机网关或Bastion Host及独立的网络。.4.1 过滤路由器（Filtering Routers） 这是最简单Firewall。很多路由器厂家提供的产品都添加了分组过滤功 能。用户可根据自己的需要进行设置。通常是一些访问控制队列指明允许或禁止某些协议某些端口，以及源目的地址等。也可以自己设计路由器并添加类似的功能。使用过滤型路由器简单经济，对某些单位是非常好的选择，但是其安全性 不是很高，对DNS，X11等协议的控制能力较弱。.4.2 基于主机的Firewall（Bastion Host）一种非常安全的做法是采用一台主机作为应用网关置于外部网络和内部网络之间，使其成为内外联络的唯一通道。.4.3 构成企业的双防火墙结构 采用这种模式可以综合以上几种的优点而且更加安全可靠。两个子网，一个专用于安全保卫与外界的联络，另一个保密私用网络完全隐藏在内部，外界无法触及，而这个私用网络却可以通过安全子网来获得外部的“安全”的信息。拓扑结构如图5所示。 图5 双防火墙结构四、 企业信息网络安全管理的实施规划.1 加强网络边界安全建设 企业信息化网络系统除了作为的专用网络，主要为各部门提供数据库服务、日常办公及管理服务及往来文电信息的处理、传输与存储等业务。此外，提供Internet访问服务。通过与Internet网络互连，可以使工作人员访问、利用国内外各种信息资源，更好地服务于工作。更好地加强同上级主管部门、合作单位之间的相互联系。基于网络的这些特点，我们主要从网络层次考虑，将网络系统设计成一个支持各级别用户或用户群的安全网络，该网在保证系统内部网络安全的同时，还实现与Internet的安全互连。具体而言，根据图1的框架采用VPN安全措施实现网络系统的安全。 图6.2 建设企业信息化网络系统的入侵检测和漏洞扫描系统 网络监控与入侵检测是网络系统安全的重要保障措施之一。根据网络系统实际情况，将主要在与Internet的互连端口上安装监控设备（也可使用防火墙的入侵检测功能模块），即网络监控系统安装在网络系统与外部网之间。企业核心网络是整个信息化平台的关键部分，核心服务为架设在HP-UX上的Informix数据库，其中包含了重要的数据和信息，直接关系到整个系统的正常运行；因此，为充分考虑网络接入安全的要求，除了通过OS及数据库本身的认证之外，在冗余原则下，在内网接入部分设置入侵检测装置，并在内网重要服务器上安装基于主机的入侵检测系统，通过对整个内网以及重要主机的连接实施监控，加强对内网的实时监控、防止黑客入侵和网络通讯异常，一旦遭受侵袭，通过各种定制的规则，可立即向管理员告警并将事件写入安全日志中。管理员可通过设在本地主机上的控制台接收其他受控主机或整个内网的告警信息并可远程管理受控主机上的告警信息。.3 建设企业信息化安全审计系统 安全审计是一个安全的网络必须支持的功能特性，审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。.4 采用全面的、多层次的分层病毒防御战略体系 我们要在（集团）公司的广域网范围内建设一个整体的病毒入口防范架构，在各个广域网节点上部署针对广域网线路的硬件病毒防火墙，形成综合的集成周边保护网，第一个好处在于分级防范，防治因为广域网的一个节点的病毒泛滥而直接影响到其他广域网节点，甚至侵害到（集团）公司中心节点，这样做的第二个好处就是免遭几乎所有通过广域网进行传播的病毒和恶件（包括Java和ActiveX内容）的威胁，同时扫描电子邮件通讯（SMTP）、Web通讯（HTTP）、文件传输（FT