电子政务网络安全解决方案

电子政务网络安全解决方案 电子政务网电子政务网络安全概述络安全概述 以 Internet 为代表的全球性信息化浪潮日益深刻 信息网络技术的应用正日益普及和 广泛 应用层次正在深入 应用领域从传统的 小型业务系统逐渐向大型 关键业务系统 扩展 典型的如行政部门业务系统 金融业务系统 政府机关商务系统等 伴随网络的普 及 安全日益成为影响网络效能的重要问题 而 Internet 所具有的开放性 国际性和自由 性在增加应用自由度的同时 对安全提出了更高的要求 如何使信息网络系统不受黑客和 工业间谍的入侵 已成为政府机构 企事业单位信息化健康发展所要考虑的重要事情之一 网络规划网络规划 各级网络 利用现有线路及网络进行完善扩充 建成互联互通 标准统一 结构简单 功能完善 安全可靠 高速实用 先进稳定的级别分明却又统一的网络 数据中心 建设集中的数据中心 对所有的信息资源 空间 信用等数据进行集中存放 集中管理 为省及各市部门 单位的关键应用及关键设施提供机房 安全管理与维护 网络总体结构 政府机构从事的行业性质是跟国家紧密联系的 所涉及信息可以说都带有机密性 所 以其信息安全问题 如敏感信息的泄露 黑客的侵扰 网络资源的非法使用以及计算机病 毒等 都将对政府机构信息安全构成威胁 为保证政府网络系统的安全 有必要对其网络 进行专门安全设计 所谓电子政务就是政府机构运用现代计算机技术和网络技术 将其管理和服务的职能 转移到网络上完成 同时实现政府组织结构和工作流程的重组优化 超越时间 空间和部 门分隔的制约 向全社会提供高效 优质 规范 透明和全方位的管理与服务 实现电子政务的意义在于突破了传统的工业时代 一站式 的政府办公模式 建立了 适应网络时代的 一网式 和 一表式 的新模式 开辟了推动社会信息化的新途径 创 造了政府实施产业政策的新手段 电子政务的出现有利于政府转变职能 提高运作效率 图示 原有电子政务网络情况 电子政务网络的应用系统和网络连接方式多样 由于网络本身及应用系统的复杂性 无论是有意的攻击 还是无意的误操作 都将会给系统带来不可估量的损失 非法进入的 攻击者可能窃听网络上的信息 窃取用户的口令 数据库的信息 还可以篡改数据库内容 伪造用户身份 否认自己的签名 更有甚者 攻击者可以删除数据库内容 摧毁网络节点 等等 因此在电子政务网络的建设中 构建网络安全系统以确保网络信息的安全可靠是非常 必要的 物理安全风险分析 网络物理安全是整个网络系统安全的前提 物理安全的风险主要有 地震 水灾 火灾等环境事故造成整个系统毁灭 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失 设备被盗 被毁造成数据丢失或信息泄漏 电磁辐射可能造成数据信息被窃取或偷阅 报警系统的设计不足可能造成原本可以防止但实际发生了的事故 链路传输风险分析 网络安全不仅是入侵者到政府机关内部网上进行攻击 窃取或其它破坏 他们完全有 可能在传输线路上安装窃听装置 窃取你在网上传输的重要数据 再通过一些技术读出数 据信息 造成泄密或者做一些篡改来破坏数据的完整性 以上种种不安全因素都对网络构 成严重的安全威胁 因此 对于政府这样带有重要信息传输的网络 数据在链路上传输必 须加密 并通过数字签名及认证技术来保障数据在网上传输的真实性 机密性 可靠性及 完整性 远程办公安全接入 目前 政府网络应用环境纷乱复杂 既有内部的应用如 内部 OA 系统 文件共享 Email 等应用服务 又有众多面向下属单位 合作伙伴等对外的应用 如何地有效解决远 程用户安全访问网络内部资源 虚拟专用网技术 VPN Virtual PrivateNetwork 是指在公共网络中建立专用网络 数 据通过安全的 加密通道 在公共网络中传播 政府机关只需要租用本地的数据专线 连 接上本地的公众信息网 那么各地的机构就可以互相传递信息 使用 VPN 有节约成本 扩 展性强 便于管理和实现全面控制等好处 在虚拟专用网中 任意两个节点之间的连接并 没有传统专网所需的端到端的物理链路 而是利用某种公众网的资源动态组成的 是通过 私有的隧道技术在公共数据网络上仿真一条点到点的专线技术 所谓虚拟 是指用户不再 需要拥有实际的长途数据线路 而是使用 Internet 公众数据网络的长途数据线路 所谓专 用网络 是指用户可以为自己制定一个最符合自己需求的网络 根据国家有关规定 政府 网络可以通过现有公有平台搭建自己的内部网络 但必须通过认证和加密技术 保证数据 传输的安全性 单独的 VPN 网关的主要功能是 IPSec 数据包的加密 解密处理和身份认证 但它没有很 强的访问控制功能 例如状态包过滤 网络内容过滤 防 DDoS 攻击等 在这种独立的防火 墙和 VPN 部署方式下 防火墙无法对 VPN 的数据流量进行任何访问控制 由此带来安全性 性能 管理上的一系列问题 因此 在防火墙安全网关上集成 VPN 是当前安全产品的发展 趋势 能提供一个灵活 高效 完整的安全方案 集成 VPN 的防火墙安全网关的优点是 它可以保证加密的流量在解密后 同样需要经 过严格的访问控制策略的检查 保护 VPN 网关免受 DDoS 攻击和入侵威胁 提供更好的处理 性能 简化网络管理的任务 快速适应动态 变化的网络环境 因此 当前 VPN 技术已经 成为安全网关产品的组成部分 政府机关 Intranet 网络建设的 VPN 连接方案 利用 IPsec 安全协议的 VPN 和加密能力 实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接 实现了安全的政府机 关内部的数据通信 通过防火墙内部策略控制体系 对 VPN 的数据可以进行有效的控制和 管理 使政府机关的内部网络通信具有良好的扩展性和管理性 图示 政府机关 Intranet 网 VPN 解决方案 如上图示 原始的数据经过加密封装在另外一个 IP 通道内 通道头部地址就是防火墙 外部端口的 IP 地址 以实现在公网链路上的传输 利用高强度的 动态变换的密钥来保证 数据的安全 168 位的 3DES 算法更提供了业界最高级别的安全防御体系 使政府机关的内 部数据可以无忧地在公网上传输 以达到政府机关内部网络安全扩展的目的 网络结构的安全风险分析 一 来自与公网互联的安全威胁 如果政府内部网络与 Internet 公网有互连 基于 Internet 公网的开放性 国际性与 自由性 内部网络将面临更加严重的安全威胁 因为 每天黑客都在试图闯入 Internet 节 点 假如我们的网络不保持警惕 可能连黑客怎么闯入的都不知道 甚至会成为黑客入侵 其他网络的跳板 政府行业内部网络中其办公系统及各人主机上都有涉密信息 假如内部网络的一台机器安全受损 被攻击或者被病毒感染 就会同时影响在同一网 络上的许多其他系统 透过网络传播 还会影响到与本系统网络有连接的外单位网络 影 响所及 还可能涉及法律 金融等安全敏感领域 对于政府行业网络系统 国家也有规定 是不能与互联网直接或间接与相连 内部网络与系统外部网互联安全威胁 如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施 内部网络容 易遭到来自外部网络不怀好意的入侵者的攻击 如 入侵者通过 Sniffer 等程序来探测扫描网络及操作系统存在的安全漏洞 如网络 IP 地 址 应用操作系统的类型 开放哪些 TCP 端口号 系统保存用户名和口令等安全信息的关 键文件等 并通过相应攻击程序对内网进行攻击 入侵者通过网络监听等先进手段获得内部网用户的用户名 口令等信息 进而假冒内 部合法身份进行非法登录 窃取内部网重要信息 恶意攻击 入侵者通过发送大量 PING 包对内部网重要服务器进行攻击 使得服务器超 负荷工作以至拒绝服务甚至系统瘫痪 三 内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约 70 是来自内部网络的侵犯 比如内部人员故 意泄漏内部网络的网络结构 安全管理员有意透露其用户名及口令 内部员工编些具有破 坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去 种种 因素都对整体的网络安全构成很大的威胁 系统的安全风险分析 所谓系统安全通常是指网络操作系统 应用系统的安全 目前的操作系统或应用系统 无论是 Windows 还是其它任何商用 UNIX 操作系统以及其它厂商开发的应用系统 其开发厂 商必然有其 Back Door 后门 而且系统本身必定存在安全漏洞 这些 后门 或安全漏洞 都将存在重大安全隐患 但是从实际应用上 系统的安全程度跟对其进行安全配置及系统 的应用面有很大关系 操作系统如果没有采用相应的安全配置 则其是漏洞百出 掌握一 般攻击技术的人都可能入侵得手 如果进行安全配置 比如 填补安全漏洞 关闭一些不常用的服务 禁止开放一些不 常用而又比较敏感的端口等 那么入侵者要成功进行内部网是不容易 这需要相当高的技 术水平及相当长时间 因此应正确估价自己的网络风险并根据自己的网络风险大小做出相 应的安全解决方案 应用的安全风险分析 应用系统的安全涉及很多方面 应用系统是动态的 不断变化的 应用的安全性也是 动态的 这就需要我们对不同的应用 检测安全漏洞 采取相应的安全措施 降低应用的 安全风险 一 资源共享 政府网络系统内部必有自动化办公系统 而办公网络应用通常是共享网络资源 比如 文件 打印机共享等 由此就可能存在着 员工有意 无意把硬盘中重要信息目录共享 长期暴露在网络邻居上 可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成 泄密 因为缺少必要的访问控制策略 电子邮件系统 电子邮件为网系统用户提供电子邮件应用 内部网用户可通过拔号或其它方式进行电 子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马 病毒程序等 由于许多用 户安全意识比较淡薄 对一些来历不明的邮件 没有警惕性 给入侵者提供机会 给系统 带来不安全因素 病毒侵害 自从 1983 年世界上第一个计算机病毒出现以来 在 20 多年的时间里 计算机病毒已 到了无孔不入的地步 有些甚至给我们造成了巨大的破坏 随着网络的普及和网速的提高 计算机之间的远程控制越来越方便 传输文件也变得 非常快捷 正因为如此 病毒与黑客程序 木马病毒 结合以后的危害更为严重 病毒的 发作往往伴随着用户机密资料的丢失 病毒的传播可能会具有一定的方向性 按照制作者 的要求侵蚀固定的内容 由于网络的普及 使得编写病毒的知识越来越容易获得 同时 各种功能强大而易学 的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序 用户通过网络甚至可以 获得专门编写病毒的工具软件 只需要通过简单的操作就可以生成破坏性的病毒 网络是病毒传播的最好 最快的途径之一 病毒程序可以通过网上下载 电子邮件 使用盗版光盘或软盘 人为投放等传播途径潜入内部网 因此 病毒的危害的不可以轻视 的 网络中一旦有一台主机受病毒感染 则病毒程序就完全可能在极短的时间内迅速扩散 传播到网络上的所有主机 可能造成信息泄漏 文件丢失 机器死机等不安全因素 数据信息 数据安全对政府行业来说尤其重要 数据在广域网线路上传输 很难保证在传输过程 中不被非法窃取 篡改 现今很多先进技术 黑客或一些工业间谍会通过一些手段 设法 在线路上做些手脚 获得在网上传输的数据信息 也就造成的泄密 这对政府行业用户来 说 是决不允许的 管理的安全风险分析 内部管理人员或员工把内部网络结构 管理员用户名及口令以及系统的一些重要信息 传播给外人带来信息泄漏风险 机房重地却是任何都可以进进出出 来去自由 存有恶意的入侵者便有机会得到入侵 的条件 内部不满的员工有的可能熟悉服务器 小程序 脚本和系统的弱点 利用网络开些小 玩笑 甚至破坏 如传出至关重要的信息 错误地进入数据库 删除数据等等 这些都将 给网络造成极大的安全风险 管理是网络中安全得到保证的重要组成部分 是防止来自内部网络入侵必须的部分 责权不明 管理混乱 安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险 即除了从技术上下功夫外 还得依靠安全管理来实现 防火墙系统设计方案 一 防火墙系统 1 在各网络出口处安装曙光天罗防火墙 防火墙在这里首先起到网络隔离 划分不同 安全域 进行访问控制的功能 通过防火墙的多网口结构设计 控制授权合法用户可以访 问到授权服务 而限制非授权的访问 曙光天罗防火墙分为百兆和千兆两个系列 可以根 据各局内部网的规模大小选择适合自己的产品 2 曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统 超越了 传统防火墙中的基于统计异常的入侵检测功能 实现了可扩展的攻击检测库 真正实现了 抵御目前已知的各种攻击方法 防火墙的入侵检测模块 可以自动检测网络数据流中潜在 的入侵 攻击和滥用方式 通知管理员调整控制规则 为整个网络提供动态的网络保护 3 利用曙光天罗防火墙自带的 VPN 功能 实现多级 VPN 系统 防火墙 VPN 模块支持两 种用户模式 远程访问虚拟网 拨号 VPN 和政府机关内部虚拟网 网关对网关 VPN 如上图 所示 在省地市三级网络出口处安装曙光天罗防火墙 利用防火墙的 VPN 模块 实现他们 之间分层次的政府机关内部虚拟网 网关对网关 VPN 而对于一些规模比较小的区线或移 动用户 通过安装 VPN 客户端 实现远程访问虚拟网 拨号 VPN 整个构成一个安全的虚 拟内部局域网 保障电子政务网络的数据安全传输 二 防火墙的 VPN 功能 VPN 是平衡 Internet 的适用性和价格优势的最有前途的新兴通信手段之一 利用共享 的 IP 网建立 VPN 连接 可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性 也是至关重要的一点 它可以使移动用户和一些小型的分支机构的网络开销减少达 50 或 更多 政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于 VPN 的 INTRANET 所以 VPN 的可扩展性大大优于传统构建政府机关 INTRANET 的技术手段 如点对 点专线或长途拨号 VPN 不仅可以大幅度削减传输数据的开销 同时可以削减传输话音的开销 VPN 创造了多种伴随着 Web 发展而出现的新的商业机会 包括 进行全球电子商务 可以在减少销售成本的同时增加销售量 实现外连网 可以使用户获得关键的信息 更加 贴近世界 可以访问全球任何角落的电子通勤人员和移动用户 在当今全球激烈竞争的环境下 最先实现 VPN 的政府机关将在竞争获得优势已经是不 争的事实 许多政府机关也开始纷纷利用经济有效的 VPN 来传送话音业务 并从中受益 减少用于相关的调制解调器和终端服务设备的资金及费用 简化网络 实现本地拨号接入的功能来取代远距离接入 这样能显著降低远距离通信的费用 远端验证拨入用户服务基于标准 基于策略功能的安全服务 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来 强大的基于 Web 的 VPN 管理工具提供基于策略的 VPN 配置和监控 可以优化网络 资源 极大的可扩展性 简便地对加入网络的新用户进行调度 用户不需改变网络的原来 架构 只须安装客户端软件并且设置此软件的一些参数即可 同时也支持传统的应用 可 以从小的政府机关扩展到最大的政府机关 更大的网络灵活性 可以管理和发布不同类型的数据进入同一 Internet 连接 VPN 代表了当今网络发展演化的最高形式 它综合了传统数据网络的性能优点 安全 和 QoS 和共享数据网络结构的优点 简单和低成本 必将成为未来传输完全汇聚业务的 主要工具 用户可以通过硬件和软件的方式来实现 VPN 功能 一般用户都会使用硬件设备 在总 部架设一个带有 VPN 功能的防火墙 就可以让地方联到总部的内部局域网了 使用这种具 有 VPN 功能的防火墙都具有较高的安全性和稳定性 因一个最大的优点是既可以抵御外部 的攻击又可以提高自身网络的安全性 防火墙对服务器的保护 网络中应用的服务器 信息量大 处理能力强 往往是攻击的主要对象 另外 服务 器提供的各种服务本身有可能成为 黑客 攻击的突破口 因此 在实施方案时要对服务 器的安全进行一系列安全保护 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务 就会面临着 黑客 各种方式的攻击 安全级别很低 因此当安装防火墙后 所有访问服务器的请求 都要经过防火墙安全规则的详细检测 只有访问服务器的请求符合防火墙安全规则后 才 能通过防火墙到达内部服务器 防火墙本身抵御了绝大部分对服务器的攻击 外界只能接 触到防火墙上的特定服务 从而防止了绝大部分外界攻击 四 防火墙对内网的保护 网络内部的环境比较复杂 而且各子网的分布地域广阔 网络用户 设备接入的可控 性比较差 因此 内部网络用户的可靠性并不能得到完全的保证 特别是对于存放敏感数 据的主机的攻击往往发自内部用户 如何对内部用户进行访问控制和安全防范就显得特别 重要 为了保障内部网络运行的可靠性和安全性 我们必须要对它进行详尽的分析 尽可 能防护到网络的每一节点 对于一般的网络应用 内部用户可以直接接触到网络内部几乎所有的服务 网络服务 器对于内部用户缺乏基本的安全防范 特别是在内部网络上 大部分的主机没有进行基本 的安全防范处理 整个系统的安全性容易受到内部用户攻击的威胁 安全等级不高 根据 国际上流行的处理方法 我们把内部用户跨网段的访问分为两大类 其一 是内部网络用 户之间的访问 即单机到单机访问 这一层次上的应用主要有用户共享文件的传输 NETBIOS 应用 其次 是内部网络用户对内部服务器的访问 这一类应用主要发生在内 部用户的业务处理时 一般内部用户对于网络安全防范的意识不高 如果内部人员发起攻 击 内部网络主机将无法避免地遭到损害 特别是针对于 NETBIOS 文件共享协议 已经有 很多的漏洞在网上公开报道 如果网络主机保护不完善 就可能被内部用户利用 黑客 工具造成严重破坏 由于网络环境的复杂化和网络应用的多样化日益明显 对于内部网络除了必要的防攻 击设置外还必须防止内部用户的欺骗行为 比如 IP 地址欺骗 网络连接的欺骗等 由于物 理层上的原因 内部用户接触网络服务的机会 方法很多 如果没有专门的安全防护 黑 客 就可以比较容易地实施欺骗 伪造身份及暴力攻击 CRACK 对于内部网络的用户 防范攻击的难度较大 我们主要从以下几个方面考虑 1 内部网络风险分析 由于内部攻击发生的比较频繁 因此我们首先要分析内部网络 的安全隐患 把可能发生的不安定因素找出来进行专门的安全处理 2 内部用户网络和网络的隔离 把内部比较重要的数据服务器放在专门的区域 加上 独立的控制体系 对于内部网的访问同样要进行相应的安全控制 3 内部网络安全保护 结合物理层和链路层的特点 在物理层和链路层的接口处实施 安全控制 实施 IP MAC 绑定 IDS 详述 IDS 入侵检测系统 对于关心网络安全防护的人们来说已不再是一个陌生的名词 在 许多行业的计算机网络安全防御工程中除了采用防病毒 防火墙或认证加密等系统外 有 近 15 的安全项目会涉及到 IDS 系统 而且这些项目一般都对安全等级的要求非常高 对 数据信息的保密性也有特别的要求 IDS 系统 要想高效使用 IDS 首先要对它进行合理部署 通常 IDS 监控保护的基本单位是一个网 段 单个网段的最小组成元素是各台主机 政府机关对各主机 各网段的安全性要求程度 一般都不相同 所以确定 IDS 的保护对象是合理使用 IDS 的关键 在优先保护的网段中部署 IDS 系统 并配置合适的检测策略 如在防火墙之内部署 IDS 则可把安全策略配置得紧一些 即使用最大化的检测策略 而在防火墙之外部署则可 采用较为宽松的策略 因为经过防火墙过滤后 内部网络的安全状况相对比较简单 而外 部的情况则较为复杂 误报的可能性也较大 另外 在一定的情况下有些内部信任的主机 也可能会触发 IDS 的检测引擎 从而形成报警 而对于用户来说 这些报警事件是没有什 么参考价值的 所以需要在检测范围中排除这些主机的 IP 地址 通常 IDS 系统中都有一个 过滤器 FILTER 模块或像 KIDS 那样所具有的 非阻断列表 的功能选项 可以允许用户 加入所有他们所信任的主机 IP 地址 目前大多数的 IDS 系统主要采用基于包特征的检测技术来组建 它们的基本原理是对 网络上的所有数据包进行复制并检测 然后与内部的攻击特征数据库 规则库 进行匹配 比较 如果相符即产生报警或响应 这种检测方式虽然比异常统计检测技术要更加精确 但会给 IDS 带来较大的负载 所以需要对检测策略作进一步的调整和优化 具体做法是根 据政府机关自身网络的业务应用情况 选择最适合的检测策略 可根据操作系统 应用服 务或部署位置等 并对所选的策略进行修改 选择具有参考价值的检测规则 而去除一些 无关紧要的选项 如对于全部是 Windows 的应用环境 则完全可以把 UNIX 的规则去掉 有 些 IDS 除了提供攻击特征检测规则的定制功能外 还提供了对端口扫描检测规则的自定义 如在 KIDS 中就可定义端口扫描的监控范围 信任主机地址排除和扫描模式等参数 这些参 数的合理配置都能将 IDS 的检测能力优化到最理想的状态 IDS 监控 IDS 除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应 因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用 目前最常用的响应方 式是对网络中的非法连接进行阻断 如利用防火墙阻断 列入黑名单阻断或 HTTP 阻断等 在利用 IDS 进行监控时 不但需要查看它的报警提示 而且需要参考它所提供的实时状态 信息 因为在网络中发生异常行为时 网络中的许多状态信息一般都与正常情况下的状态 不一样 如主机正遭到拒绝服务攻击时 DoS 或 DDoS 网络中的数据流量便可能会急速上 升 这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况 所以参考 IDS 所显示的状态信息也是非常重要的 实时状态信息还包括当前的活动 TCP 连接 TCP UDP IP ICMP 等协议的包或字节流量等 IDS 的最重要价值之一是它能提供事后统计分析 所有安全事件或审计事件的信息都 将被记录在数据库中 可以从各个角度来对这些事件进行分析归类 以总结出被保护网络 的安全状态的现状和趋势 及时发现网络或主机中存在的问题或漏洞 并可归纳出相应的 解决方案 电子政务整体网络安全解决方案 电子政务系统中存在大量敏感数据和应用 因此必须设计一个高安全性 高可靠性及 高性能的防火墙安全保护系统 确保数据和应用万无一失 各局的局域网计算机工作站包括终端 广域网路由器 服务器群都直接汇接到本局的 主干交换机上 由于工作站分布较广且全部连接 可以通过电子政务网络进行相互访问 服务器就有可能收到攻击 因此