蘇慶昶

[摘要]對(duì)計(jì)算機(jī)網(wǎng)絡(luò)在實(shí)際運(yùn)行過程中可能遇到的各種安全威脅,必須采用防護(hù)、檢測、響應(yīng)、恢復(fù)等行之有效的安全措施,建立一個(gè)全方位并易于管理的安全體系,保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全、穩(wěn)定、可靠。

[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò)安全體系

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0710074-02

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢(shì)。計(jì)算機(jī)網(wǎng)絡(luò)具備分布廣域性、體系結(jié)構(gòu)開放性、網(wǎng)絡(luò)資源共享性和網(wǎng)絡(luò)信道共用性的特點(diǎn),因此增加了網(wǎng)絡(luò)的實(shí)用性和易用性,同時(shí)也不可避免地帶來系統(tǒng)的脆弱性,使其面臨嚴(yán)重的安全問題。目前廣泛應(yīng)用的TCP/IP協(xié)議是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)專門設(shè)計(jì)的,加上黑客的攻擊及病毒的泛濫,使得網(wǎng)絡(luò)存在很多不安全因素,如DDOS攻擊、口令猜測、地址欺騙、TCP端口盜用、業(yè)務(wù)數(shù)據(jù)篡改、對(duì)域名系統(tǒng)和基礎(chǔ)設(shè)施的破壞、利用Web破壞數(shù)據(jù)庫和社會(huì)工程、郵件炸彈、病毒攜帶等。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析

(一)計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患主要有以下幾種:傳輸數(shù)據(jù)被竊聽或篡改;內(nèi)部人員作案;網(wǎng)絡(luò)連接被盜用;網(wǎng)絡(luò)竊聽;病毒擴(kuò)散;攻擊擴(kuò)散;關(guān)鍵數(shù)據(jù)的備份和恢復(fù)。

(二)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊手段

目前對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊手段主要有以下幾種:口令破解;連接盜用;拒絕服務(wù)(DDOS);網(wǎng)絡(luò)竊聽;數(shù)據(jù)篡改;地址欺騙;惡意端口掃描;基礎(chǔ)設(shè)施破壞;數(shù)據(jù)驅(qū)動(dòng)攻擊。

(三)計(jì)算機(jī)網(wǎng)絡(luò)安全體系的構(gòu)成

計(jì)算機(jī)網(wǎng)絡(luò)的安全體系主要由以下幾個(gè)方面組成:

1.網(wǎng)絡(luò)級(jí)安全。通過合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和路由的設(shè)計(jì)、虛擬局域網(wǎng)(VLAN)、虛擬專網(wǎng)(VPN)、訪問控制列表(ACL)、包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等措施保證網(wǎng)絡(luò)的安全運(yùn)行。

2.應(yīng)用級(jí)安全。應(yīng)用級(jí)安全主要從下面3個(gè)方面加以實(shí)現(xiàn):一是利用計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)自身的安全機(jī)制,主要是指數(shù)據(jù)庫自身的安全機(jī)制來實(shí)現(xiàn);二是通過采用一個(gè)通用的安全應(yīng)用平臺(tái)來保證對(duì)各種應(yīng)用系統(tǒng)信息訪問的合法性;三是通過對(duì)關(guān)鍵系統(tǒng)的數(shù)據(jù)進(jìn)行備份來保證數(shù)據(jù)的安全。

3.操作系統(tǒng)級(jí)安全。計(jì)算機(jī)網(wǎng)絡(luò)的各種重要應(yīng)用系統(tǒng)均運(yùn)行在UNIX或Windows系統(tǒng)平臺(tái)上。對(duì)于系統(tǒng)級(jí)安全的實(shí)現(xiàn),可以通過科學(xué)合理的設(shè)置來充分利用UNIX和Windows操作系統(tǒng)本身提供的安全機(jī)制,彌補(bǔ)操作系統(tǒng)的安全漏洞,利用主機(jī)監(jiān)控與保護(hù)來增強(qiáng)系統(tǒng)運(yùn)行的安全性。

4.企業(yè)級(jí)安全。企業(yè)級(jí)安全建立在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上,確保網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,包括網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)的正常運(yùn)行以及信息存儲(chǔ)和傳輸?shù)陌踩煽?。其主要?nèi)容包括內(nèi)部安全管理、安全審計(jì)、病毒防范以及防止外部入侵等。

在計(jì)算機(jī)網(wǎng)絡(luò)的安全體系中,以上幾個(gè)方面并非是獨(dú)立的,而是一個(gè)整體,互為保障,只有這樣,才能確保計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。

二、網(wǎng)絡(luò)級(jí)安全的設(shè)計(jì)

(一)網(wǎng)絡(luò)的拓?fù)浼奥酚山Y(jié)構(gòu)設(shè)計(jì)

為保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性,在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)時(shí),可以將網(wǎng)絡(luò)劃分為3層結(jié)構(gòu),即核心層、匯聚層和接入層。

1.核心層負(fù)責(zé)進(jìn)行數(shù)據(jù)的快速轉(zhuǎn)發(fā),其網(wǎng)絡(luò)結(jié)構(gòu)重點(diǎn)考慮可靠性和可擴(kuò)展性,核心層節(jié)點(diǎn)的位置選擇應(yīng)結(jié)合業(yè)務(wù)分布、機(jī)房條件和光纖布放情況等綜合考慮,其節(jié)點(diǎn)數(shù)量一般應(yīng)控制在2～4個(gè)左右,采用環(huán)狀或網(wǎng)狀連接,核心層設(shè)備建議采用Gb路由交換機(jī)。

2.匯聚層負(fù)責(zé)匯集分散的接入點(diǎn),擴(kuò)大核心層設(shè)備的端口密度和種類,擴(kuò)大核心層節(jié)點(diǎn)的業(yè)務(wù)覆蓋范圍,實(shí)現(xiàn)接入用戶的可管理性。匯聚層節(jié)點(diǎn)和核心層節(jié)點(diǎn)間采用星型連接,在光纖資源具備的情況下,每個(gè)匯聚層節(jié)點(diǎn)最好能夠與兩個(gè)核心節(jié)點(diǎn)同時(shí)連接。匯聚層設(shè)備可采用3層交換機(jī)或中高檔多端口路由器。

3.接入層負(fù)責(zé)提供各種類型用戶的接入,將不同地理分布的用戶快速接入骨干網(wǎng)。接入層節(jié)點(diǎn)可根據(jù)實(shí)際環(huán)境中的用戶數(shù)量、距離和密度的不同,設(shè)置一級(jí)或二級(jí)聯(lián)接入。接入層設(shè)備可采用高端密度二層交換機(jī)。當(dāng)前域內(nèi)路由選擇協(xié)議主要有靜態(tài)路由、RIP、OSPF和IGRP等,比較典型的路由選擇協(xié)議是選擇OSPF協(xié)議,核心層路由交換機(jī)劃為骨干0域(Area0)、核心層和匯聚層,3層交換機(jī)之間分別劃分為Areal,Area2,Area3。由于匯聚層節(jié)點(diǎn)和核心層節(jié)點(diǎn)之間通過兩路以上的光纖相連,而OSPF協(xié)議又支持相同距離上的負(fù)載均衡,因此,這樣做既能提高鏈路的可靠性,又能加快數(shù)據(jù)的轉(zhuǎn)發(fā)速率。

(二)縱向網(wǎng)互通及橫向網(wǎng)邏輯隔離的實(shí)現(xiàn)

為了實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中各單位橫向業(yè)務(wù)之間的邏輯隔離和縱向業(yè)務(wù)的互通,保障業(yè)務(wù)實(shí)現(xiàn)的安全性,可采用VLAN+VPN的方式,當(dāng)前業(yè)界比較流行的VPN組網(wǎng)方式是基于MPLS(多協(xié)議標(biāo)簽交換)的VPN。在匯聚層3層交換機(jī)以下,各單位之間業(yè)務(wù)通過VLAN進(jìn)行邏輯隔離,通過匯聚層的3層交換機(jī)實(shí)現(xiàn)VLAN之間的互通。對(duì)于需要實(shí)現(xiàn)縱向網(wǎng)業(yè)務(wù)的單位,通過MPLSVPN保障其縱向網(wǎng)的安全性。

(三)網(wǎng)絡(luò)地址轉(zhuǎn)換和包過濾及訪問列表控制

計(jì)算機(jī)網(wǎng)絡(luò)要實(shí)現(xiàn)網(wǎng)上辦公及面向公眾的服務(wù),就必須接入Internet。在Internet出口處設(shè)立千兆防火墻,計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部采用Internet保留地址(10.0.0.0/8),根據(jù)實(shí)際情況,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)各部門分配IP網(wǎng)絡(luò)地址。對(duì)Internet的訪問可通過NAT來實(shí)現(xiàn),以隱藏網(wǎng)絡(luò)內(nèi)部拓?fù)浼暗刂方Y(jié)構(gòu),同時(shí)通過包過濾及訪問列表控制對(duì)不需要對(duì)外開放的端口號(hào)以及受限訪問的IP地址進(jìn)行控制。各部門局域網(wǎng)接入Internet時(shí),可自己設(shè)立防火墻,在部門防火墻上,各部門系統(tǒng)管理員通過在部門防火墻上設(shè)立訪問列表及包過濾規(guī)則對(duì)本部門局域網(wǎng)進(jìn)行保護(hù)。在匯聚層3層交換機(jī)上對(duì)一些安全關(guān)鍵部門通過訪問列表限制訪問。

三、應(yīng)用級(jí)安全的實(shí)現(xiàn)

應(yīng)用級(jí)安全主要是針對(duì)各個(gè)具體的應(yīng)用實(shí)現(xiàn)其安全性,主要包括郵件、數(shù)據(jù)庫、OA系統(tǒng)以及FTP和DNS等應(yīng)用的安全。

(一)網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)安全

為保障數(shù)據(jù)的安全性及可靠性,計(jì)算機(jī)網(wǎng)絡(luò)中必須采用適當(dāng)?shù)臄?shù)據(jù)存儲(chǔ)及備份系統(tǒng)。當(dāng)前,網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)主要有3種,即直接存儲(chǔ)(DAS)、網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)(NAS)和存儲(chǔ)區(qū)域網(wǎng)(SAN),其中基于光通道存儲(chǔ)網(wǎng)絡(luò)的SAN可以更好地滿足計(jì)算機(jī)網(wǎng)絡(luò)對(duì)存儲(chǔ)設(shè)備的性能、可用性、可擴(kuò)展性以及靈活性的要求。對(duì)于郵件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、公文流轉(zhuǎn)系統(tǒng)等比較關(guān)鍵系統(tǒng)的數(shù)據(jù)可以采用SAN進(jìn)行集中存儲(chǔ),并制定備份策略定期用SAN網(wǎng)絡(luò)所連接的磁帶庫進(jìn)行增量備份和全備份。

(二)應(yīng)用系統(tǒng)安全

計(jì)算機(jī)網(wǎng)絡(luò)主要是通過各種應(yīng)用系統(tǒng)來對(duì)網(wǎng)絡(luò)用戶提供服務(wù),因此應(yīng)用系統(tǒng)的安全可靠性就顯得非常重要。應(yīng)用系統(tǒng)的安全主要包括授權(quán)、認(rèn)證和加密傳輸。由于涉及的應(yīng)用系統(tǒng)非常多,總體上應(yīng)遵循以下原則:

1.系統(tǒng)之間或系統(tǒng)各模塊之間的通信必須經(jīng)過授權(quán)或認(rèn)證,如對(duì)辦公自動(dòng)化(OA)等系統(tǒng)傳輸數(shù)據(jù)必須進(jìn)行加密。

2.利用防火墻或TCPWRAPPER等限制應(yīng)用服務(wù)可被訪問的客戶地址段,關(guān)閉不必要開放的端口,降低被攻擊的可能性。

3.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息中心各主機(jī)的安全管理,嚴(yán)禁用戶以各種途徑執(zhí)行系統(tǒng)級(jí)指令,以避免黑客通過SNIFFER等工具軟件偵聽密碼或其他信息。

4.傳輸中所用的加密算法根據(jù)不同情況選用公開密鑰或私有密鑰算法。為保證傳輸信息不被篡改,還可采用MD5等算法。

5.計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的一些基于WWW的應(yīng)用(如OA系統(tǒng)),其加密協(xié)議可選用SSL,HTTPS或COOKIE機(jī)制及DES,MD5算法。

(三)操作系統(tǒng)級(jí)安全

計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)的安全更多的時(shí)候是與操作系統(tǒng)軟件廠家的反應(yīng)速度密切相關(guān),如“沖擊波”病毒的爆發(fā),微軟站點(diǎn)就及時(shí)公布了path代碼供用戶下載。另外,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)管理員自身的素質(zhì)也和操作系統(tǒng)的安全息息相關(guān),系統(tǒng)管理員需要及時(shí)了解網(wǎng)上的操作系統(tǒng)安全信息,定期對(duì)操作系統(tǒng)進(jìn)行安全審計(jì)檢查,并對(duì)操作系統(tǒng)進(jìn)行及時(shí)升級(jí)?？偟膩砜?操作系統(tǒng)的安全問題主要存在于以下兩個(gè)方面:一是系統(tǒng)安全機(jī)制的配置;二是系統(tǒng)本身的漏洞。對(duì)操作系統(tǒng)漏洞的發(fā)現(xiàn)及補(bǔ)救可以通過一些廠家的安全漏洞掃描檢測工具來實(shí)現(xiàn)。操作系統(tǒng)的安全策略可以從以下幾方面來考慮:

1.通過防火墻或路由器及交換機(jī)中的ACL設(shè)計(jì),禁止用戶對(duì)沒有必要開放的主機(jī)或端口進(jìn)行訪問。

2.重要主機(jī),如OA以及WWW、郵件服務(wù)器等采用專門的安全軟件,對(duì)主機(jī)的各項(xiàng)服務(wù)進(jìn)行動(dòng)態(tài)監(jiān)測,及時(shí)發(fā)現(xiàn)問題并通知管理員。

3.保證服務(wù)器上系統(tǒng)目錄和文件的安全。

4.限制用戶的權(quán)限,使用戶無法獲得系統(tǒng)管理員的口令,防止非法用戶對(duì)系統(tǒng)進(jìn)行破壞。對(duì)新用戶開放滿足要求的權(quán)限即可,不必開放所有權(quán)限。

5.經(jīng)常留意用戶從哪里登錄主機(jī)系統(tǒng),要檢查其合法性。

6.關(guān)閉服務(wù)器上不需要運(yùn)行的服務(wù)進(jìn)程。

7.禁止使用或設(shè)置不經(jīng)授權(quán)即可共享的系統(tǒng)資源,包括硬盤及服務(wù)。

8.加強(qiáng)密碼管理,提醒或強(qiáng)制管理員定期修改密碼,禁止使用安全性不高的密碼。

9.對(duì)操作系統(tǒng)及時(shí)升級(jí)版本和patch,及時(shí)堵住安全漏洞。

四、企業(yè)級(jí)安全

企業(yè)級(jí)安全主要是從設(shè)備安全、安全管理、安全審計(jì)、病毒防范以及防止外部侵入等整體上保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。

(一)設(shè)備安全

定期檢查主機(jī)、設(shè)備、UPS等模塊是否正常工作。

(二)防火墻等的安全

防火墻、安全審計(jì)系統(tǒng)和入侵檢測系統(tǒng)形成了計(jì)算機(jī)網(wǎng)絡(luò)安全防范的一個(gè)鏈條。首先,入侵檢測系統(tǒng)檢測到一些攻擊行為,通知防火墻阻隔掉這些具有攻擊行為的數(shù)據(jù)包,安全審計(jì)系統(tǒng)對(duì)這些攻擊行為進(jìn)行記錄,以便于對(duì)攻擊行為進(jìn)行分析,并使攻擊方對(duì)自己的攻擊行為具有不可抵賴性。這里需要特別指出的是對(duì)防火墻、安全審計(jì)及入侵檢測系統(tǒng)的軟件包需定期升級(jí),以保證其特征庫能得到及時(shí)更新。

(三)病毒防范

計(jì)算機(jī)網(wǎng)絡(luò)中病毒防范也是一個(gè)非常關(guān)鍵的問題,針對(duì)目前日益增多的計(jì)算機(jī)病毒和惡意代碼,應(yīng)采取的病毒防范策略如下:一是建立防病毒的規(guī)章制度,嚴(yán)格管理;二是建立防病毒和應(yīng)急體系;三是進(jìn)行計(jì)算機(jī)安全教育,提高安全防范意識(shí);四是對(duì)服務(wù)器及主機(jī)系統(tǒng)進(jìn)行安全評(píng)估;五是選擇經(jīng)公安部認(rèn)證的防病毒產(chǎn)品;六是正確配置、使用防病毒產(chǎn)品;七是正確配置系統(tǒng),減少病毒侵害事件;八是定期檢查敏感文件;九是適時(shí)進(jìn)行安全評(píng)估,調(diào)整各種防病毒系統(tǒng)策略;十是建立病毒事故分析制度;十一是確保系統(tǒng)可以快速恢復(fù)以減少損失。在具體實(shí)施時(shí),由于計(jì)算機(jī)網(wǎng)絡(luò)用戶數(shù)量龐大,如所有用戶都購買網(wǎng)絡(luò)防病毒軟件則投資太大,可以優(yōu)先對(duì)服務(wù)器進(jìn)行網(wǎng)絡(luò)防病毒保護(hù),而對(duì)個(gè)人主機(jī)可用單機(jī)防病毒軟件進(jìn)行防護(hù)。另外,需調(diào)動(dòng)各級(jí)系統(tǒng)管理員和用戶的積極性,定期對(duì)操作系統(tǒng)進(jìn)行升級(jí),及時(shí)發(fā)現(xiàn)感染病毒的主機(jī),清除病毒。

(四)安全管理

計(jì)算機(jī)網(wǎng)絡(luò)即使采用了最先進(jìn)的技術(shù)而沒有一個(gè)好的安全管理體制,其網(wǎng)絡(luò)也是不安全的。管理是整個(gè)網(wǎng)絡(luò)安全中最重要的部分。責(zé)權(quán)不明、管理混亂、安全管理制度不健全以及缺乏可操作性等都可能引起安全管理的風(fēng)險(xiǎn)。安全管理不僅是一個(gè)技術(shù)上的問題,也涉及組織、制度、人員和意識(shí),是一個(gè)多層次、多方面的體系。安全管理主要包括安全管理機(jī)構(gòu)、安全管理制度及安全管理技術(shù)三部分,這三個(gè)方面相輔相成,缺一不可。

1.安全管理機(jī)構(gòu)是安全管理的實(shí)施者、安全管理制度的制定者,是整個(gè)安全管理體系的組織基礎(chǔ)。

2.安全管理制度是安全管理的規(guī)范和依據(jù),是整個(gè)安全管理體系的制度基礎(chǔ)。

3.安全管理技術(shù)是安全管理的技術(shù)手段,是安全管理體系的技術(shù)保障。

實(shí)踐表明,安全架構(gòu)計(jì)算機(jī)網(wǎng)絡(luò),其投資及工作量都非常龐大,需要各級(jí)部門的高度重視,采取多種防范措施,保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。

參考文獻(xiàn):

[1]李海泉,計(jì)算機(jī)網(wǎng)絡(luò)安全與加密技術(shù)[M].北京:科學(xué)出版社,2001.

[2]李明之、趙糧著,張侃譯,網(wǎng)絡(luò)安全與數(shù)據(jù)完整性[M].北京:機(jī)械工業(yè)出版社,1998.

[3]趙慧玲、葉華,以軟交換為核心的下一代網(wǎng)絡(luò)技術(shù)[M].北京:人民郵電出版社,2002.

[4]李洪、林殿魁、李學(xué)軍,電信級(jí)IP信息網(wǎng)絡(luò)的構(gòu)建[M].北京:人民郵電出版社,2002.

[5]陳龍,安全防范系統(tǒng)工程[M].北京:清華大學(xué)出版社,1998.