三維度端到端集成安全體系架構在平煤集團的應用

摘要:該文以平煤集團信息網絡設計為背景，介紹了三維度端到端的特點，以及在平煤集團的應用。同時詳細研究了網絡安全的措施及策略。

關鍵詞:三維度端到端安全體系架構;平煤集團

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2010)03-736-02

Thrgee-demensional Degree of End-to-End Integrted Security Architecture Applied in PingMei Group

XIAO Zhen-yu1， WANG Hong2

(1.Computer Communication Branch ofPing Mei Group， Pingdingshan 467000， China; 2.Pingdingshan Industrial College of Technology， Pingdingshan 467001， China)

ABstract: This paper based on the information network design in PingMei group，introdece the features of three-dimensional degree of end-to-end， and applied in PingMei Group.Research for the measures and strategies of network security.

Key words: thrgee-demensional degree of end-to-end integrted security architecture; PingMei group

1 三維度端到端集成安全體系架構簡介

三維度端到端集成安全體系架構是基于對當前網絡發展需求的研究，最佳的安全解決方案，從時間、空間、網絡層次三個緯度立體式的考慮端到端集成的安全體系架構，給用戶一個完整清晰的網絡安全導航圖，能夠全面滿足企業信息化安全解決方案的需要。

在該架構中，大家除了可以從熟悉的網絡層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視覺，具備全面考慮與實施安全防護的模型與能力。

2 平煤集團網絡特點

平煤集團企業網絡在物理網絡環境上，分布在平頂山市內的各生產礦、二級單位基本上都具備了聯入平煤集團骨干網絡的條件。但是一些偏遠地區如石龍區大莊、高莊(直線距離50里)目前采用2M微波方式的聯網;朝川、新豐、白廟等新收購礦井分布在市區郊縣內，并且位置比較分散，目前我們還沒有線路資源，是租用光纖或采用微波、無線，要視具體費用情況來定;開封的碳化硅廠距離比較遠約200公里，只有采用租用光纖或通過互聯網的VPN技術實現;平煤集團(集團)公司在北京、鄭州、青島、深圳、上海、廣州等地還有各類駐外辦事機構的網絡接入方式可能只有能互聯網的VPN才能實現。

今天，IT、網絡相關人員對黑客、病毒攻擊的危險性都有了深刻的認識，所以很多網絡都大量投資了防火墻、防病毒軟件等。但一段時間運作下來，發現效果并不理想，病毒依然時常泛濫、重要信息常被泄露、網絡可用性差，原因何在，關鍵在于安全是一個完整的體系，原來的安全體系架構存在巨大的缺陷:

從時間來看，網絡安全設計及解決方案往往只考慮事前防范，缺乏必要的事后追蹤及審計能力，時間層面上并沒有端到端考慮;

從空間來看，往往側重于考慮對來自外網的黑客防御，對于內部的安全控制缺乏必要手段，空間層面并沒有端到端考慮;

從網路層面來看，往往側重于業務層的安全，對網絡層和用戶層的安全缺乏必要關注。

三維度端到端集成安全體系架構，有機的統一了上面三個方面的網絡缺陷，從而使網絡趨于更加安全。

3 三維度端到端集成安全體系架構在平煤集團網絡的應用

3.1 網絡層次(網絡層、用戶層、業務層)端到端安全設計

網絡的各層次均存在安全威脅的可能，平煤集團的網絡安全設計充分體現了網絡安全防范的分層思想，根據不同網絡層次的特點進行有針對性的防范。

網絡層:采用OSPF或BGP協議分區管理整個企業網絡，保障網絡路由，網絡地址等基礎網絡的安全。

用戶接入層:采用辦公用網和民用網隔離，確保合法的用戶接入，訪問合法的網絡范圍，并保障用戶信息的隔離等用戶接入網絡的安全。

業務層:采用MPLS VPN隔離各業務之間的訪問，保證用戶訪問內容的合法性與安全性。

針對傳統網絡在用戶層防范比較薄弱的缺陷，可采用大量的增強措施，如用戶接入認證、地址防盜用、訪問控制等能力。

3.2 時間(事前、事后)端到端安全設計

以前業界更關注網絡的事前防范能力，而對事后跟蹤能力考慮很少，在安全事件發生前后，要求網絡所能提供的支持也是不同的，其花費的代價與技術實現難度有非常大的差別:

事前防范:主要通過數據隔離、加密、過濾、管理等技術，加強整個網絡的健壯性。

事后跟蹤:通過對用戶上網端口、時間、訪問的記錄，全面提供用戶上網的追溯能力，從而為后期的分析提供第一手的資料。

實際上日志記錄等功能是一個非常良好的追溯手段，在出現問題時可以根據記錄迅速查找源頭，防止事態進一步擴大;同時可以通過法律懲治罪犯，以警后人。但原來的日志記錄都僅限于在應用層的服務器做。這個方案最大的問題就是寬帶網絡提供靈活的接入手段使得接口分布廣泛，僅在應用層做記錄無法定位用戶的位置，特別是當出現應用層賬號密碼盜用時給后期的進一步追查帶來很大的困難。網絡安全架構提供在網絡級做日志記錄的能力，可以定位到端口，從而確定物理地點與時間，將會給后期進一步查明真相帶來很大的幫助。特別是針對我國IP地址比較少，公有地址和私有地址混合組網等隨處可見的情況，獨具在私有地址環境下的追溯能力。

3.3 空間(外網、內網)端到端安全設計

以往的安全體系側重在外網防范上下工夫，而對內網安全考慮很少。接入Internet的外網與辦工系統的內網所面臨的網絡環境、安全防范的目標、對用戶的管理力度都有很大的差異，所以必須針對外網與內網的不同特點制定有效的安全策略:

外網:通過VPN、加密等保證信息安全，通過網絡防火墻、病毒防火墻等防范網絡攻擊，側重的是防范。

內網:通過對用戶的識別，保證合法的用戶訪問合法的網絡范圍，并做好訪問記錄，側重的是監控。

在目前這樣一個人員高動流動的時代，大部分的泄密均源自內網。原因是傳統網絡提供的是一個平等的數據交換平臺，而實際上不同的人員其訪問的范圍應該是有所不同。比如普通員工只能談問本部門的辦工服務器，而領導則可以訪問某些重要服務器。如果不對人員訪問權限進行合理的控制，則必然對重要信息產生極大威脅。原有的在應用層進行用戶鑒權與訪問控制的方案由于用戶已合法接入網絡，可以監聽到相關信息，實施攻擊，所以效果往往不盡如人意。也正是因為這個原因，今天的安全已是一個涵蓋網絡級、應用級的在內的完整概念。從網絡級就對用戶進行訪問控制，將大大增加非法用戶進一步實施盜取與攻擊的難度，從而增強安全防護體系的效能。

隨著網絡上應用的進一步增多，隨著網絡進一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而網絡的安全防護作為一個系統工程，其范圍與深度早已超出了我們原來的預料，并還將進一步發展。

3.4 網絡安全策略

全網的安全策略包括網絡安全策略，節點安全策略，數據安全策略，和持續安全策略。

網絡安全策略:主要保證網絡拓撲機構的合理性，全網各個節點之間的連接線路的可用性。

節點安全策略:主要保證各個節點內的設備不受攻擊，保證服務不中斷。

數據安全策略:保證系統重要數據得到及時有效的備份保護，并避免受到非法使用者的篡改等。

持續安全策略:是從發展的角度，提出如何對系統的安全缺陷及時跟蹤和修正，保證網絡的長期安全性。

3.5 網絡安全措施

網絡安全措施:全網從骨干拓撲結構到連接鏈路均考慮路由的備份，采用分層的拓撲結構，支持動態迂回路由。企業網核心節點設備可以通過動態路由協議保證網絡可達，通過流量工程合理規劃流量、通過快速重路由保證轉發的延續性。還通過劃分VPN網絡、VLAN網絡來保障專業行業網絡的安全性。

節點安全措施:在城域網核心節點設備的主控板、交換網板、時鐘板、電源等部件都具有冗余配置能力，線路板支持在線熱插拔而不會丟失數據，能夠保證設備的不間斷運行。

在匯聚層設備方面，為了保障網絡安全，降低網絡故障，所有關鍵部件采用冗余備份設計，如:電源模塊備份，控制和交換板采用冗余備份。對網絡設備采用多級安全密碼體系，限制非法設備和用戶登錄，在出現軟硬件故障時，可以迅速切換到備用模塊，保障業務的不間斷運行。

數據安全措施:關鍵數據采用身份認證與授權，通過訪問權限限制，加密保存，加密傳輸，同時網絡和系統中各種重要數據進行及時有效的備份。

持續安全措施:與用戶共同制定完善的管理規范，通過良好的手段達到防微杜漸的目的。為了安全起見，需通過防火墻進行隔離，使得網絡管理系統中的主機變得更加安全。此外，利用數據庫服務器外接的磁帶機達到文件系統、數據庫、網管信息以及操作系統的備份功能，使網絡管理系統內部的各臺主機有更高的安全等級。安全管理服務器進行網絡中安全隱患的查詢以及網絡中安全漏洞的分析。通過安全檢測軟件對網絡的運行進行監控，可以實時檢測網路中出現的一切可疑隱患，從網絡層、操作系統層、應用層等各個層面對網絡進行分析探測。實時監控結點的入口處，確保網絡免受黑客攻擊。

3.6 其他安全措施

路由器依據路由信息表來發送報文。動態路由協議負責接收其他路由器傳送來的路由信息，并發送自己維護的路由信息。在接受任何路由變化的信息之前，需要對此路由信息的發送方進行驗證，以保證收到的是由信任的源發送的合法的路由信息。

需要對鄰接路由器進行驗證的路由協議有

Border Gateway Protocol (BGP)

Open Shortest Path First (OSPF)

Routing Information Protocol (RIP) Version 2

如果運行了這些路由協議中的一個或多個協議，并且有可能接收到虛假的路由信息的話，則有必要配置對鄰接路由器的驗證。

高端核心路由器產品不論是路由處理系統本身，還是分散的業務處理板都提供包安全過濾/ACL的機制，防止非法侵入和惡意報文攻擊。對重要的路由協議(OSPF，IS-IS，RIP、OSPF等)也提供多種驗證方法(明文驗證、MD5、HMAC-MD5)。支持2種用戶鑒權模式:本地驗證和Radius驗證來對用戶身份和授權進行驗證，防止對設備的非法配置。支持對流的過濾、重定向、采樣、鏡像等功能，該特性可以采樣和分析網絡流量，對網絡安全、網絡規劃和運營有重要意義。NAT業務板具備完善安全日志功能，可以有效的監控地址轉換信息。

4 小結

網絡安全是一個系統工程，不僅要配備防火墻、防病毒網關等系統設備，更重要的是要從管理和流程上設立信息安全級別，并明確權限和責任。包括對網絡資源訪問權限的控制，對病毒及攻擊的檢測和防范，對網絡使用情況的監控等。特別是在目前情況下平煤集團的一些應用系統都在系統內要求保證安全，不能被網內和網外的其它非授權用戶訪問，但又要允許被授權的用戶如集團公司領導，相關的業務管理人員等進行訪問。而應用系統的組成部分如瓦斯監測系統要求分布在各二級單位的生產礦的監測系統聯成網，但是又要保證集團公司部分領導能進行瓦斯監測系統的查詢訪問，又隔離其它未授權的網絡訪問。實現的方式盡量能達到最優，又不影響到網絡性能，使網絡不至于過于復雜難以管理?？傊?，網絡安全是一個循序漸進的過程，在這個過程中，我們會摸索出更多、更適合自己企業的網絡安全方式。

參考文獻:

[1] 蔡敏，徐慧慧，黃炳強.UML基礎與Rose建模教程[M].北京:人民郵電出版社，2006.

[2] 李洋，鄭龔等譯.UML和模式應用[M].北京:機械工業出版社，2006.

[3] 潘愛民.計算機網絡[M].4版.北京:清華大學出版社，2004.

[4] 曹天杰，張永平，蘇成.計算機系統安全[M].北京:高等教育出版社，2003.

[5] 陳友生.企業網絡安全從客戶端做起[J].計算機安全，2003(10).

[6] 馬向華.企業內部網絡安全技術的探討與實踐[J].中國科技信息，2005(12).