計算機網絡系統運行過程中的安全體系

蘇慶昶

[摘要]對計算機網絡在實際運行過程中可能遇到的各種安全威脅,必須采用防護、檢測、響應、恢復等行之有效的安全措施,建立一個全方位并易于管理的安全體系,保障計算機網絡系統運行的安全、穩定、可靠。

[關鍵詞]計算機網絡安全體系

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0710074-02

隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。計算機網絡具備分布廣域性、體系結構開放性、網絡資源共享性和網絡信道共用性的特點,因此增加了網絡的實用性和易用性,同時也不可避免地帶來系統的脆弱性,使其面臨嚴重的安全問題。目前廣泛應用的TCP/IP協議是在可信環境下為網絡互聯專門設計的,加上黑客的攻擊及病毒的泛濫,使得網絡存在很多不安全因素,如DDOS攻擊、口令猜測、地址欺騙、TCP端口盜用、業務數據篡改、對域名系統和基礎設施的破壞、利用Web破壞數據庫和社會工程、郵件炸彈、病毒攜帶等。

一、計算機網絡安全問題分析

(一)計算機網絡的安全隱患

當前計算機網絡的安全隱患主要有以下幾種:傳輸數據被竊聽或篡改;內部人員作案;網絡連接被盜用;網絡竊聽;病毒擴散;攻擊擴散;關鍵數據的備份和恢復。

(二)對計算機網絡的攻擊手段

目前對計算機網絡的攻擊手段主要有以下幾種:口令破解;連接盜用;拒絕服務(DDOS);網絡竊聽;數據篡改;地址欺騙;惡意端口掃描;基礎設施破壞;數據驅動攻擊。

(三)計算機網絡安全體系的構成

計算機網絡的安全體系主要由以下幾個方面組成:

1.網絡級安全。通過合理的網絡拓撲結構和路由的設計、虛擬局域網(VLAN)、虛擬專網(VPN)、訪問控制列表(ACL)、包過濾、網絡地址轉換(NAT)等措施保證網絡的安全運行。

2.應用級安全。應用級安全主要從下面3個方面加以實現:一是利用計算機網絡應用系統自身的安全機制,主要是指數據庫自身的安全機制來實現;二是通過采用一個通用的安全應用平臺來保證對各種應用系統信息訪問的合法性;三是通過對關鍵系統的數據進行備份來保證數據的安全。

3.操作系統級安全。計算機網絡的各種重要應用系統均運行在UNIX或Windows系統平臺上。對于系統級安全的實現,可以通過科學合理的設置來充分利用UNIX和Windows操作系統本身提供的安全機制,彌補操作系統的安全漏洞,利用主機監控與保護來增強系統運行的安全性。

4.企業級安全。企業級安全建立在計算機網絡系統上,確保網絡系統的正常運行,包括網絡設備、應用系統的正常運行以及信息存儲和傳輸的安全可靠。其主要內容包括內部安全管理、安全審計、病毒防范以及防止外部入侵等。

在計算機網絡的安全體系中,以上幾個方面并非是獨立的,而是一個整體,互為保障,只有這樣,才能確保計算機網絡的安全運行。

二、網絡級安全的設計

(一)網絡的拓撲及路由結構設計

為保證網絡系統運行的可靠性和穩定性,在網絡拓撲結構設計時,可以將網絡劃分為3層結構,即核心層、匯聚層和接入層。

1.核心層負責進行數據的快速轉發,其網絡結構重點考慮可靠性和可擴展性,核心層節點的位置選擇應結合業務分布、機房條件和光纖布放情況等綜合考慮,其節點數量一般應控制在2～4個左右,采用環狀或網狀連接,核心層設備建議采用Gb路由交換機。

2.匯聚層負責匯集分散的接入點,擴大核心層設備的端口密度和種類,擴大核心層節點的業務覆蓋范圍,實現接入用戶的可管理性。匯聚層節點和核心層節點間采用星型連接,在光纖資源具備的情況下,每個匯聚層節點最好能夠與兩個核心節點同時連接。匯聚層設備可采用3層交換機或中高檔多端口路由器。

3.接入層負責提供各種類型用戶的接入,將不同地理分布的用戶快速接入骨干網。接入層節點可根據實際環境中的用戶數量、距離和密度的不同,設置一級或二級聯接入。接入層設備可采用高端密度二層交換機。當前域內路由選擇協議主要有靜態路由、RIP、OSPF和IGRP等,比較典型的路由選擇協議是選擇OSPF協議,核心層路由交換機劃為骨干0域(Area0)、核心層和匯聚層,3層交換機之間分別劃分為Areal,Area2,Area3。由于匯聚層節點和核心層節點之間通過兩路以上的光纖相連,而OSPF協議又支持相同距離上的負載均衡,因此,這樣做既能提高鏈路的可靠性,又能加快數據的轉發速率。

(二)縱向網互通及橫向網邏輯隔離的實現

為了實現計算機網絡中各單位橫向業務之間的邏輯隔離和縱向業務的互通,保障業務實現的安全性,可采用VLAN+VPN的方式,當前業界比較流行的VPN組網方式是基于MPLS(多協議標簽交換)的VPN。在匯聚層3層交換機以下,各單位之間業務通過VLAN進行邏輯隔離,通過匯聚層的3層交換機實現VLAN之間的互通。對于需要實現縱向網業務的單位,通過MPLSVPN保障其縱向網的安全性。

(三)網絡地址轉換和包過濾及訪問列表控制

計算機網絡要實現網上辦公及面向公眾的服務,就必須接入Internet。在Internet出口處設立千兆防火墻,計算機網絡內部采用Internet保留地址(10.0.0.0/8),根據實際情況,對計算機網絡各部門分配IP網絡地址。對Internet的訪問可通過NAT來實現,以隱藏網絡內部拓撲及地址結構,同時通過包過濾及訪問列表控制對不需要對外開放的端口號以及受限訪問的IP地址進行控制。各部門局域網接入Internet時,可自己設立防火墻,在部門防火墻上,各部門系統管理員通過在部門防火墻上設立訪問列表及包過濾規則對本部門局域網進行保護。在匯聚層3層交換機上對一些安全關鍵部門通過訪問列表限制訪問。

三、應用級安全的實現

應用級安全主要是針對各個具體的應用實現其安全性,主要包括郵件、數據庫、OA系統以及FTP和DNS等應用的安全。

(一)網絡存儲備份系統安全

為保障數據的安全性及可靠性,計算機網絡中必須采用適當的數據存儲及備份系統。當前,網絡存儲系統主要有3種,即直接存儲(DAS)、網絡存儲系統(NAS)和存儲區域網(SAN),其中基于光通道存儲網絡的SAN可以更好地滿足計算機網絡對存儲設備的性能、可用性、可擴展性以及靈活性的要求。對于郵件系統、數據庫系統、公文流轉系統等比較關鍵系統的數據可以采用SAN進行集中存儲,并制定備份策略定期用SAN網絡所連接的磁帶庫進行增量備份和全備份。

(二)應用系統安全

計算機網絡主要是通過各種應用系統來對網絡用戶提供服務,因此應用系統的安全可靠性就顯得非常重要。應用系統的安全主要包括授權、認證和加密傳輸。由于涉及的應用系統非常多,總體上應遵循以下原則:

1.系統之間或系統各模塊之間的通信必須經過授權或認證,如對辦公自動化(OA)等系統傳輸數據必須進行加密。

2.利用防火墻或TCPWRAPPER等限制應用服務可被訪問的客戶地址段,關閉不必要開放的端口,降低被攻擊的可能性。

3.加強計算機網絡信息中心各主機的安全管理,嚴禁用戶以各種途徑執行系統級指令,以避免黑客通過SNIFFER等工具軟件偵聽密碼或其他信息。

4.傳輸中所用的加密算法根據不同情況選用公開密鑰或私有密鑰算法。為保證傳輸信息不被篡改,還可采用MD5等算法。

5.計算機網絡內部的一些基于WWW的應用(如OA系統),其加密協議可選用SSL,HTTPS或COOKIE機制及DES,MD5算法。

(三)操作系統級安全

計算機網絡操作系統的安全更多的時候是與操作系統軟件廠家的反應速度密切相關,如“沖擊波”病毒的爆發,微軟站點就及時公布了path代碼供用戶下載。另外,計算機網絡系統管理員自身的素質也和操作系統的安全息息相關,系統管理員需要及時了解網上的操作系統安全信息,定期對操作系統進行安全審計檢查,并對操作系統進行及時升級。總的來看,操作系統的安全問題主要存在于以下兩個方面:一是系統安全機制的配置;二是系統本身的漏洞。對操作系統漏洞的發現及補救可以通過一些廠家的安全漏洞掃描檢測工具來實現。操作系統的安全策略可以從以下幾方面來考慮:

1.通過防火墻或路由器及交換機中的ACL設計,禁止用戶對沒有必要開放的主機或端口進行訪問。

2.重要主機,如OA以及WWW、郵件服務器等采用專門的安全軟件,對主機的各項服務進行動態監測,及時發現問題并通知管理員。

3.保證服務器上系統目錄和文件的安全。

4.限制用戶的權限,使用戶無法獲得系統管理員的口令,防止非法用戶對系統進行破壞。對新用戶開放滿足要求的權限即可,不必開放所有權限。

5.經常留意用戶從哪里登錄主機系統,要檢查其合法性。

6.關閉服務器上不需要運行的服務進程。

7.禁止使用或設置不經授權即可共享的系統資源,包括硬盤及服務。

8.加強密碼管理,提醒或強制管理員定期修改密碼,禁止使用安全性不高的密碼。

9.對操作系統及時升級版本和patch,及時堵住安全漏洞。

四、企業級安全

企業級安全主要是從設備安全、安全管理、安全審計、病毒防范以及防止外部侵入等整體上保障計算機網絡的安全。

(一)設備安全

定期檢查主機、設備、UPS等模塊是否正常工作。

(二)防火墻等的安全

防火墻、安全審計系統和入侵檢測系統形成了計算機網絡安全防范的一個鏈條。首先,入侵檢測系統檢測到一些攻擊行為,通知防火墻阻隔掉這些具有攻擊行為的數據包,安全審計系統對這些攻擊行為進行記錄,以便于對攻擊行為進行分析,并使攻擊方對自己的攻擊行為具有不可抵賴性。這里需要特別指出的是對防火墻、安全審計及入侵檢測系統的軟件包需定期升級,以保證其特征庫能得到及時更新。

(三)病毒防范

計算機網絡中病毒防范也是一個非常關鍵的問題,針對目前日益增多的計算機病毒和惡意代碼,應采取的病毒防范策略如下:一是建立防病毒的規章制度,嚴格管理;二是建立防病毒和應急體系;三是進行計算機安全教育,提高安全防范意識;四是對服務器及主機系統進行安全評估;五是選擇經公安部認證的防病毒產品;六是正確配置、使用防病毒產品;七是正確配置系統,減少病毒侵害事件;八是定期檢查敏感文件;九是適時進行安全評估,調整各種防病毒系統策略;十是建立病毒事故分析制度;十一是確保系統可以快速恢復以減少損失。在具體實施時,由于計算機網絡用戶數量龐大,如所有用戶都購買網絡防病毒軟件則投資太大,可以優先對服務器進行網絡防病毒保護,而對個人主機可用單機防病毒軟件進行防護。另外,需調動各級系統管理員和用戶的積極性,定期對操作系統進行升級,及時發現感染病毒的主機,清除病毒。

(四)安全管理

計算機網絡即使采用了最先進的技術而沒有一個好的安全管理體制,其網絡也是不安全的。管理是整個網絡安全中最重要的部分。責權不明、管理混亂、安全管理制度不健全以及缺乏可操作性等都可能引起安全管理的風險。安全管理不僅是一個技術上的問題,也涉及組織、制度、人員和意識,是一個多層次、多方面的體系。安全管理主要包括安全管理機構、安全管理制度及安全管理技術三部分,這三個方面相輔相成,缺一不可。

1.安全管理機構是安全管理的實施者、安全管理制度的制定者,是整個安全管理體系的組織基礎。

2.安全管理制度是安全管理的規范和依據,是整個安全管理體系的制度基礎。

3.安全管理技術是安全管理的技術手段,是安全管理體系的技術保障。

實踐表明,安全架構計算機網絡,其投資及工作量都非常龐大,需要各級部門的高度重視,采取多種防范措施,保障計算機網絡的安全。

參考文獻:

[1]李海泉,計算機網絡安全與加密技術[M].北京:科學出版社,2001.

[2]李明之、趙糧著,張侃譯,網絡安全與數據完整性[M].北京:機械工業出版社,1998.

[3]趙慧玲、葉華,以軟交換為核心的下一代網絡技術[M].北京:人民郵電出版社,2002.

[4]李洪、林殿魁、李學軍,電信級IP信息網絡的構建[M].北京:人民郵電出版社,2002.

[5]陳龍,安全防范系統工程[M].北京:清華大學出版社,1998.