研祥的網(wǎng)絡(luò )安全應用解決方案

摘 要：隨著(zhù)計算機網(wǎng)絡(luò )的發(fā)展，基于寬帶企業(yè)網(wǎng)絡(luò )的數據業(yè)務(wù)在社會(huì )經(jīng)濟生活中占有重要地位，網(wǎng)絡(luò )安全性越來(lái)越重要。本文從網(wǎng)絡(luò )互連七層協(xié)議、企業(yè)網(wǎng)的分層和網(wǎng)絡(luò )安全管理體系三個(gè)方面來(lái)闡述企業(yè)網(wǎng)絡(luò )的安全性，并以研祥的相關(guān)產(chǎn)品為例來(lái)闡述如何構建一個(gè)安全的企業(yè)網(wǎng)絡(luò )。 

前言 

隨著(zhù)計算機網(wǎng)絡(luò )的發(fā)展，其開(kāi)放性、共享性、互連程度擴大，網(wǎng)絡(luò )的重要性和對社會(huì )的影響也越來(lái)越大。寬帶網(wǎng)作為企業(yè)主要的數據業(yè)務(wù)承載網(wǎng)絡(luò )，特別是電子商務(wù)（E-Commerce）、企業(yè)數據專(zhuān)線(xiàn)、網(wǎng)絡(luò )互聯(lián)、Internet接入服務(wù)等應用在社會(huì )經(jīng)濟生活的地位日益凸現。網(wǎng)絡(luò )的安全性直接影響到社會(huì )的經(jīng)濟效益。例如，2003年1月份的SQL殺手蠕蟲(chóng)事件，中國有兩萬(wàn)多臺數據庫服務(wù)器受到影響，使國內眾多企業(yè)網(wǎng)絡(luò )全部處于癱瘓或半癱瘓狀態(tài)；2003年8月份的沖擊波蠕蟲(chóng)，使成千上萬(wàn)的用戶(hù)計算機變慢，被感染的計算機反復重啟，有的還導致了系統崩潰，受到“沖擊波”病毒感染的計算機反過(guò)來(lái)又會(huì )影響到網(wǎng)絡(luò )的正常運行。 

隨著(zhù)網(wǎng)絡(luò )安全問(wèn)題重要性增加，如何設計一個(gè)穩定、可靠、安全和經(jīng)濟的企業(yè)網(wǎng)，應對日益增多的網(wǎng)絡(luò )攻擊、病毒破壞和黑客入侵等問(wèn)題已成為企業(yè)網(wǎng)絡(luò )建設和運營(yíng)所關(guān)注的重點(diǎn)。本文從網(wǎng)絡(luò )互連七層協(xié)議、城域網(wǎng)的分層和網(wǎng)絡(luò )安全管理體系三個(gè)方面來(lái)闡述寬帶網(wǎng)絡(luò )的安全性。 


網(wǎng)絡(luò )安全服務(wù)層次模型 

國際標準化組織ISO在開(kāi)放系統互連標準中定義了七個(gè)層次的網(wǎng)絡(luò )互連參考模型，它們分別是物理層、數據鏈路層、網(wǎng)絡(luò )層、傳輸層、會(huì )話(huà)層、表示層和應用層。不同的網(wǎng)絡(luò )層次有不同的功能，例如鏈路層負責建立點(diǎn)到點(diǎn)通信，網(wǎng)絡(luò )層負責路由，傳輸層負責建立端到端的進(jìn)程通信信道。相應地，在各層需要提供不同的安全機制和安全服務(wù)。 

在物理層要保證通信線(xiàn)路的可靠，不易被竊聽(tīng)。在鏈路層可以采用加密技術(shù)，保證通信的安全。在Internet、Intranet環(huán)境中，地域分布很廣，物理層的安全難以保證，鏈路層的加密技術(shù)也不完全適用。 

在網(wǎng)絡(luò )層，可以采用傳統的防火墻技術(shù)，如TCP/IP 網(wǎng)絡(luò )中。采用IP過(guò)濾功能的路由器，以控制信息在內外網(wǎng)絡(luò )邊界的流動(dòng)，還可使用IP加密傳輸信道技術(shù)IP SEC，在兩個(gè)網(wǎng)絡(luò )結點(diǎn)間建立透明的安全加密信道。這種技術(shù)對應用透明，提供主機對主機的安全服務(wù)。適用于在公共通信設施上建立虛擬的專(zhuān)用網(wǎng)。這種方法需要建立標準密鑰管理，目前在產(chǎn)品兼容性和性能上尚存在較多問(wèn)題。 

在傳輸層可以實(shí)現進(jìn)程到進(jìn)程的安全通信，如現在流行的安全套接字層SSL技術(shù)，是在兩個(gè)通信結點(diǎn)間建立安全的TCP連接。這種技術(shù)實(shí)現了基于進(jìn)程對進(jìn)程的安全服務(wù)和加密傳輸信道，采用公鑰體系做身份認證，有高的安全強度。但這種技術(shù)對應用層不透明，需要證書(shū)授權中心授權，它本身不提供訪(fǎng)問(wèn)控制。 

針對專(zhuān)門(mén)的應用，在應用層實(shí)施安全機制，對特定的應用是有效的，如基于SMTP電子郵件的安全增強型郵件PEM提供了安全服務(wù)的電子郵件，又如用于Web的安全增強型超文本傳輸協(xié)議S-HTTP提供了文件級的安全服務(wù)機制。由于它是針對特定應用的，缺乏通用性，且須修改應用程序。 


企業(yè)寬帶網(wǎng)的層次安全模型

企業(yè)寬帶網(wǎng)的安全風(fēng)險主要在于設備遭受攻擊或病毒引發(fā)的網(wǎng)絡(luò )流量突然增大對設備性能的沖擊，與業(yè)務(wù)相關(guān)的數據庫服務(wù)器受到病毒的攻擊，影響業(yè)務(wù)的正常運行，安全建設應更多地采用技術(shù)來(lái)保證網(wǎng)絡(luò )和設備安全，并以用戶(hù)管理作為輔助手段。 

安全模型將企業(yè)寬帶網(wǎng)分成三個(gè)區域：信任域、非信任域和隔離區域（非軍事區）。信任域是企業(yè)內部的基礎網(wǎng)絡(luò )，通常采用防火墻等設備與企業(yè)業(yè)務(wù)網(wǎng)隔離，包括企業(yè)內部的各個(gè)不同的域；隔離區域是信任域和非信任域之間進(jìn)行數據交互的平臺，包括企業(yè)對外提供的各種業(yè)務(wù)平臺，如Web服務(wù)平臺、FTP服務(wù)器、用戶(hù)查詢(xún)平臺、Mail服務(wù)器等；非信任域是指企業(yè)之外的廣泛的互聯(lián)網(wǎng)絡(luò )，是企業(yè)不能完全控制的網(wǎng)絡(luò )。作為安全模型中的非信任域，需要重點(diǎn)考慮。 


企業(yè)寬帶網(wǎng)的層次安全分析 

信任域的安全 

信任域由企業(yè)ERP系統、網(wǎng)管系統、財務(wù)系統等組成，是企業(yè)網(wǎng)安全運營(yíng)的核心所在，因而，必須采取最嚴密的安全措施。在一般情況下，信任域可能面臨的威脅包括網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )入侵、病毒（造成拒絕服務(wù)攻擊）等。為了避免這些威脅，保證信任域的安全，可采取以下手段： 

（1）部署防火墻，制定嚴格的安全訪(fǎng)問(wèn)策略，嚴格限制對此區域的訪(fǎng)問(wèn)； 

（2）認真配置好系統軟件和應用軟件，跟蹤操作系統和應用系統的漏洞及補丁進(jìn)展情況，嚴格限定系統和應用所服務(wù)對象的范圍； 

（3）部署網(wǎng)絡(luò )入侵監測系統（IDS），對核心服務(wù)實(shí)施監控，對網(wǎng)絡(luò )攻擊和病毒及時(shí)報警； 

（4）建立網(wǎng)管系統和日志系統； 

（5）對重要的主機系統應采用雙機熱備份方式，對重要的應用系統和數據做好完善的備份工作，根據具體情況和需要設置災難恢復系統。


隔離域的安全 

隔離域是企業(yè)網(wǎng)對外開(kāi)放的平臺，包括WWW服務(wù)、DNS服務(wù)、FTP服務(wù)、Mail服務(wù)、用戶(hù)查詢(xún)系統等，所有業(yè)務(wù)必須對外開(kāi)放，因而安全威脅最大，也是最容易受到攻擊的區域。為保證安全，可采取以下手段： 

（1）部署防火墻，制定安全訪(fǎng)問(wèn)策略，特別是拒絕服務(wù)攻擊（DDOS）； 

（2）及時(shí)修補服務(wù)器的安全漏洞，關(guān)閉不必要的網(wǎng)絡(luò )服務(wù)等； 

（3）系統備份和日志系統等等。 

非信任域的安全 

非信任域是網(wǎng)絡(luò )業(yè)務(wù)的傳輸網(wǎng)絡(luò )，主要由電信營(yíng)運商負責其安全。

企業(yè)網(wǎng)需要重點(diǎn)考慮的是隔離域的安全問(wèn)題，加強設備自身的安全和日常維護流程，從技術(shù)和流程兩方面來(lái)保證。 

研祥網(wǎng)絡(luò )設備為基層建設安全的企業(yè)網(wǎng)

目前的防火墻一般標配三個(gè)網(wǎng)絡(luò )接口，分別連接外部網(wǎng)、內部網(wǎng)和SSN。硬件平臺具有可擴展和可升級性，研祥智能科技股份有限公司專(zhuān)為網(wǎng)絡(luò )行業(yè)用戶(hù)研發(fā)生產(chǎn)了多款單網(wǎng)口、雙網(wǎng)口、四網(wǎng)口的工業(yè)級主板，為所有的網(wǎng)絡(luò )客戶(hù)提供了完備的選擇。


 

系統配置

防火墻：機箱IPC－8101／主板NET－1611V4N／CPU PIII 850／內存 256M／硬盤(pán) 40G

路由器：機箱IPC－8206／主板FSC－1612V2N／CPUPIII800／內存128M／硬盤(pán)40G

WEB服務(wù)器：機箱IPC－8101／主板FSC－1612VN／賽揚733／內存128M／硬盤(pán)70G

終端：機箱IPC－810／主板FSC－1612VN／CPUPIII800／內存128M／硬盤(pán)30G

系統評價(jià)

(1)所有安全和服務(wù)由工業(yè)級的硬件設備完成

安全軟件在運行、存儲中是不能保障安全的，軟件運行時(shí)很多重要信息都會(huì )在某個(gè)時(shí)間清晰地出現于計算機的存儲器中，因而“高水平”的不法分子竊取并利用這些重要信息十分容易，所以采用由“EVOC”工業(yè)計算機搭建的硬件平臺，保障了整個(gè)系統的安全。

(2)整個(gè)系統實(shí)用可靠

“EVOC” 工業(yè)計算機是基于PC總線(xiàn)的工業(yè)計算機，能滿(mǎn)足綜合業(yè)務(wù)系統的實(shí)際需要，運行可靠穩定。

(3)整體化的系統設計 

系統不僅依靠獨立的安全保密設備，而且從整個(gè)防火墻系統的安全角度進(jìn)行考慮，進(jìn)行了整體化的設計，保證了系統的安全性、保密性， 使用方便、操作簡(jiǎn)單、維護方便。


總結 

寬帶企業(yè)網(wǎng)的網(wǎng)絡(luò )安全是一項非常艱巨和持久的任務(wù)。對網(wǎng)絡(luò )安全問(wèn)題必須通盤(pán)考慮，進(jìn)行體系化的整體安全設計和實(shí)施。既要充分考慮網(wǎng)絡(luò )的安全性能，考慮設備防攻擊的健壯性，有效實(shí)施設備相關(guān)安全特性，又要結合專(zhuān)用的安全產(chǎn)品，采取分域、多層安全保護措施。既要考慮設備安全和技術(shù)的因素，又要重視網(wǎng)絡(luò )安全人員在網(wǎng)絡(luò )安全方面所起決定性的作用。