毛 俊

[摘要]針對(duì)企業(yè)網(wǎng)絡(luò)中的主機(jī)可能會(huì)受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公網(wǎng)傳送的信息可能被他人竊聽(tīng)或篡改等等安全隱患，對(duì)企業(yè)網(wǎng)絡(luò)安全整體解決方案進(jìn)行研究，提出中小型企業(yè)網(wǎng)絡(luò)安全解決方案。

[關(guān)鍵詞]企業(yè)網(wǎng)絡(luò)安全解決方案

中圖分類號(hào)：TP-9文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1 571-7597(2009)1010137-02

一、引言

隨著電子信息和計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已逐步成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題，網(wǎng)絡(luò)已滲透到經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域。眾多的企業(yè)、組織、政府部門與機(jī)構(gòu)都在組建和發(fā)展自己的網(wǎng)絡(luò)，并連接到互聯(lián)網(wǎng)上，以充分共享、利用網(wǎng)絡(luò)的信息和資源。伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生各種各樣的問(wèn)題，其中安全隱患日益突出，無(wú)論是企業(yè)、服務(wù)供應(yīng)商、政府部門還是研究和教育機(jī)構(gòu)，安全性顯然決定著網(wǎng)絡(luò)要求和工作的優(yōu)先級(jí)。本文研究的目的和意義就是在以上這些方面，為中小型企業(yè)網(wǎng)絡(luò)建設(shè)及兩絡(luò)安全管理提供參考指導(dǎo)和幫助，同時(shí)，在一些安全技術(shù)上，給出分析和經(jīng)過(guò)具體實(shí)踐的解決方案。

二、網(wǎng)絡(luò)安全方案設(shè)計(jì)分析

(一)網(wǎng)絡(luò)系統(tǒng)安全分析

網(wǎng)絡(luò)入侵者通常有以下步驟進(jìn)行入侵：

1，信息收集，信息收集是為了了解所要攻擊目標(biāo)的詳細(xì)信息，通常黑客利用相關(guān)的網(wǎng)絡(luò)協(xié)議或?qū)嵱贸绦騺?lái)收集，如用SNMP協(xié)議可用來(lái)查看路由器的路由表，了解目標(biāo)主機(jī)內(nèi)部拓?fù)浣Y(jié)構(gòu)的細(xì)節(jié)，用TraceRoute程序可獲得到選目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由數(shù)，用Ping程序可以檢測(cè)一個(gè)指定主機(jī)的位置并確定是否可到達(dá)等。

2，探測(cè)分析系統(tǒng)的安全弱點(diǎn)，在收集到目標(biāo)的相關(guān)信息以后，黑客會(huì)探測(cè)網(wǎng)絡(luò)上的每一臺(tái)主機(jī)，以尋求系統(tǒng)的安全漏洞或安全弱點(diǎn)，黑客一般會(huì)使用Telnet、FTP等軟件向目標(biāo)主機(jī)申請(qǐng)服務(wù)，如果目標(biāo)主機(jī)有應(yīng)答就說(shuō)明開(kāi)放了這些端口的服務(wù)。其次使用一些公開(kāi)的工具軟件如Internet安全掃描程序ISS、網(wǎng)絡(luò)安全分析工具SATAN等來(lái)對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋求系統(tǒng)的安全漏洞，獲取攻擊目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)。

3，實(shí)施攻擊在獲得了目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)以后，黑客一般會(huì)實(shí)施以下的攻擊：試圖毀掉入侵的痕跡，并在受到攻擊的目標(biāo)系統(tǒng)中建立新的安全漏洞或后門，以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)以后能繼續(xù)訪問(wèn)該系統(tǒng)；在目標(biāo)系統(tǒng)安裝探測(cè)器軟件，如特洛伊木馬程序，用來(lái)窺探目標(biāo)系統(tǒng)的活動(dòng)，繼續(xù)收集黑客感興趣的一切信息，如帳號(hào)與口令等敏感數(shù)據(jù)；進(jìn)一步發(fā)現(xiàn)目標(biāo)系統(tǒng)的信任等級(jí)，以展開(kāi)對(duì)整個(gè)系統(tǒng)的攻擊；如果黑客在被攻擊的目標(biāo)系統(tǒng)上獲得了特許訪問(wèn)權(quán)，那么他就可以讀取郵件，搜索和盜取私人文件，毀壞重要數(shù)據(jù)以至破壞整個(gè)網(wǎng)絡(luò)系統(tǒng)，那么后果將不堪設(shè)想。黑客攻擊通常采用以下幾種典型的攻擊方式：密碼破解、IP欺騙(Spoofing)與嗅探(Snifling)，系統(tǒng)漏洞，端口掃描。

(二)網(wǎng)絡(luò)安全方案分類

通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的全面了解，按照網(wǎng)絡(luò)風(fēng)險(xiǎn)分析結(jié)果、安全策略的要求、安全目標(biāo)及整個(gè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)原則，整個(gè)網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)整體建立。具體的安全控制系統(tǒng)由以下幾個(gè)方面組成。

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理；線路是否有冗余；路由是否冗余，防止單點(diǎn)失敗等。工行網(wǎng)絡(luò)在設(shè)計(jì)時(shí)，比較好的考慮了這些因素，可以說(shuō)網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件(如UNIXT：／.host、etc／host、passwd、shadow、group等；WindowsNTT的LMHOST、SAM等)使用權(quán)限進(jìn)行嚴(yán)格限制等等方法。訪問(wèn)控制可以通過(guò)如下幾個(gè)方面來(lái)實(shí)現(xiàn)，比如制定嚴(yán)格的管理制度，配備相應(yīng)的安全設(shè)備，通過(guò)交換機(jī)劃分VLAN，使用應(yīng)用代理。數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過(guò)配備加密設(shè)備，使得在兩上傳送的數(shù)據(jù)是密文形式，而不是明文?？梢赃x擇以下幾種方式：鏈路層加密，網(wǎng)絡(luò)層加密，入侵檢測(cè)等。數(shù)據(jù)保護(hù)所包含的內(nèi)容比較廣，除了前面講過(guò)的訪問(wèn)控制和通信保密外，還包括以下幾個(gè)方面：制定明確的數(shù)據(jù)保護(hù)策略和管理制度保護(hù)策略，可以制定如下管理制度：《系統(tǒng)信息安全保密等級(jí)劃分及保護(hù)規(guī)范》、《數(shù)據(jù)安全管理辦法》、《上網(wǎng)數(shù)據(jù)的審批規(guī)定》。安全審計(jì)主要通過(guò)如下幾方面實(shí)現(xiàn)：制訂審計(jì)策略和管理制度，使用安全審計(jì)設(shè)備和軟件、網(wǎng)絡(luò)監(jiān)視系統(tǒng)等方法。防病毒措施主要包括技術(shù)和管理方面，技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng)，以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件，將病毒在本地清除而不至于擴(kuò)散到其他主機(jī)或服務(wù)器。管理上應(yīng)制定一整套有關(guān)的規(guī)章制度，如：不許使用來(lái)歷不明的軟件或盜版軟件，軟盤使用前要首先進(jìn)行殺毒等。只有提高了工作人員的安全意識(shí)，并自覺(jué)遵守有關(guān)規(guī)定，才能從根本上防止痌毒對(duì)網(wǎng)絡(luò)信息系統(tǒng)的危害。備份恢復(fù)，對(duì)重要設(shè)備系統(tǒng)進(jìn)行備份。數(shù)據(jù)各份則主要通過(guò)磁盤、磁帶、光盤等介質(zhì)來(lái)進(jìn)行。

三、中小型企業(yè)網(wǎng)絡(luò)安全解決方案分析

(一)中小型企業(yè)網(wǎng)絡(luò)基本情況與應(yīng)用特點(diǎn)

經(jīng)過(guò)調(diào)查研究，從宏觀上來(lái)看，中小型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的典型應(yīng)用如下：辦公自動(dòng)化系統(tǒng)；信息查詢系統(tǒng)；www應(yīng)用；郵件服務(wù)；財(cái)務(wù)系統(tǒng)；人事、計(jì)劃系統(tǒng)。

根據(jù)中小型企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用特點(diǎn)，需要保證網(wǎng)絡(luò)中的數(shù)據(jù)具有實(shí)時(shí)性、機(jī)密性、安全性、完整性、可用性、不可抵賴性以及可審計(jì)性等。又由于公司計(jì)算機(jī)網(wǎng)絡(luò)跨越公共網(wǎng)絡(luò)及與Internet互聯(lián)網(wǎng)，這就給公司計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)嚴(yán)峻的安全問(wèn)題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。這些安全問(wèn)題如果得不到解決，那將會(huì)給公司的計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患。

(二)解決方案分析

通過(guò)對(duì)某中小型企業(yè)公司計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用的全面了解，按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全目標(biāo)及安全設(shè)計(jì)原則，本文為某公司計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行規(guī)劃，構(gòu)建一個(gè)適合于中小型企業(yè)公司計(jì)算機(jī)網(wǎng)絡(luò)的安全體系。可以根據(jù)上述分析，得到某種小型企業(yè)的解決方案。這里只給出網(wǎng)路隔離與訪問(wèn)控制解決方案和網(wǎng)絡(luò)系統(tǒng)安全解決方案的詳細(xì)分析過(guò)程，其余還包括用戶與資源管理、網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)偵測(cè)、身份認(rèn)證、網(wǎng)絡(luò)病毒解決方案、數(shù)據(jù)備份與回復(fù)、安全管理等方面的問(wèn)題，參照上述分析可以得出。

對(duì)于網(wǎng)路隔離與訪問(wèn)控制解決方案來(lái)說(shuō)，從安全角度來(lái)說(shuō)，是不可

以直接與INTERNET公網(wǎng)互聯(lián)的。從理論上說(shuō)，只要你的網(wǎng)絡(luò)直接與INTERNET公網(wǎng)連接，不管采用了什么樣的安全產(chǎn)品和安全技術(shù)，肯定存在著被黑客攻擊的可能性。因此，對(duì)此公司計(jì)算機(jī)網(wǎng)絡(luò)，從最安全角度來(lái)考慮，應(yīng)該對(duì)公司計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)網(wǎng)與公司計(jì)算機(jī)網(wǎng)絡(luò)外網(wǎng)(接入INTERNET公網(wǎng)部分)之間完全物理隔離，對(duì)內(nèi)部網(wǎng)絡(luò)中需要上因特網(wǎng)的用戶機(jī)器安裝物理隔離卡，保證內(nèi)部網(wǎng)絡(luò)信息不受INTERNET公網(wǎng)用戶的攻擊。內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)根據(jù)不同用戶安全級(jí)別或者根據(jù)不同部門的安全訪問(wèn)需求，在有可能的情況下，可以利用三層交換機(jī)來(lái)劃分虛擬子網(wǎng)(VLAN)，因?yàn)槿龑咏粨Q機(jī)具有路由功能，在沒(méi)有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問(wèn)，同時(shí)通過(guò)在不同VLAN間做限制來(lái)實(shí)現(xiàn)不同資源的訪問(wèn)控制。通過(guò)虛擬子網(wǎng)的劃分，既方便局域網(wǎng)絡(luò)的互聯(lián)，又能夠?qū)崿F(xiàn)訪問(wèn)控制。設(shè)計(jì)方案采用思科公司的專用防火墻產(chǎn)品PIX 525和其網(wǎng)管產(chǎn)品Small Network Management Solution(SblMS)，能夠同公司思科網(wǎng)絡(luò)設(shè)各系統(tǒng)有效的集成，并很好地起到網(wǎng)絡(luò)安全保護(hù)作用：整個(gè)網(wǎng)的拓?fù)浣Y(jié)構(gòu)是封閉的，只有唯一的一個(gè)出口與防火墻相連。防火墻左側(cè)的網(wǎng)絡(luò)是在防火墻之外，只有防火墻右側(cè)的網(wǎng)絡(luò)在防火墻里。防火墻里的server以及其它客戶機(jī)可以通過(guò)NAT協(xié)議訪問(wèn)外網(wǎng)，而外網(wǎng)上的客戶只能訪問(wèn)到web server，如果訪問(wèn)內(nèi)部sever必需經(jīng)過(guò)防火墻靜態(tài)地址翻譯和存取控制表的安全檢查，以代理服務(wù)的方式連接內(nèi)部sever，而不能直接與其連接。這樣整個(gè)內(nèi)部網(wǎng)的安全可以得到有效保障。

對(duì)于網(wǎng)絡(luò)系統(tǒng)安全解決方案來(lái)說(shuō)，系統(tǒng)安全包括網(wǎng)絡(luò)操作系統(tǒng)安全和應(yīng)用系統(tǒng)安全。

(1)網(wǎng)絡(luò)操作系統(tǒng)安全對(duì)于網(wǎng)絡(luò)操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)，并進(jìn)行必要的安全配置，如：關(guān)閉一些并不常用卻存在安全隱患的應(yīng)用、服務(wù)及端口。對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制：加強(qiáng)口令字的使用(增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測(cè)的信息作為口令)，并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)。

(2)應(yīng)用系統(tǒng)安全，在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開(kāi)放一些沒(méi)有經(jīng)常使用的協(xié)議及協(xié)議端口號(hào)。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上如HTTP、FTP、TELNET、RLOGIN等服務(wù)。還有就是加強(qiáng)登錄身份認(rèn)證。確保用戶使用的合法性；并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對(duì)用戶所訪問(wèn)的信息做記錄，為事后審查提供依據(jù)。同時(shí)還要及時(shí)升級(jí)各種已經(jīng)發(fā)布的升級(jí)補(bǔ)丁程序，減少因?yàn)樯?jí)過(guò)程周期長(zhǎng)而帶來(lái)攻擊事件的發(fā)生。