某內部專網信息安全問題分析與對策研究

姚剛，齊玉東，崔嘉，喬勇軍，董慶超

（1.海軍航空大學岸防兵學院，煙臺264001；2.海軍航空大學作戰勤務學院，煙臺264001）

0 引言

某內部專網是依托互聯網，借助互聯網安全防護體系與設備建設起來的一個虛擬專用網，以傳輸處理單位的機密級（含）以下信息，因而內部專網擔負著嚴峻的安全保密任務。內部專網至今已運行多年，一些當初不太明顯的安全隱患日漸突出，因此有必要對其進行信息安全問題的分析與研究。

本文著重從三個方面進行研究：①內部專網的信息安全技術，包括虛擬專用網技術、數據加密技術、隔離技術、資源池技術、容災備份技術等；②內部專網的物理安全，包括環境、設備、介質等；③內部專網的軟件，包括操作系統、內部專用門戶、郵件收發系統等。

1 某內部專網基本情況分析

本內部專網是建立在互聯網上的虛擬專用網，運行著內部專用業務信息系統，從技術體系上與互聯網保持一致或兼容，主要目的是能夠充分利用互聯網的成果（包括信息安全防護技術與設備），提高內部專網的技術水平，但緊跟而來的問題是不得不面對互聯網日益突出的安全威脅。

本單位內部專網絡由機關層、管理層、作業層及各層的局域網組成，各局域網借助互聯網實現互聯。各級配置數據庫服務器、Web 應用服務器以及安全防護等設備，負責各自轄區內的內部專用業務信息存儲、運行管理及服務。各局域網結構，一般采用層次結構，中心點在信息中心，根據單位建筑布局設立二、三級交換中心。

目前，該內部專網運行的主要業務包括WinWeb-Mail 郵件系統、專用門戶及專用信息系統。

2 內部專網信息安全分析

2.1 主要安全技術及問題分析

本內部專網主要運用的信息安全技術包括：虛擬專用網技術、數據加密技術、隔離技術、資源池技術、容災備份技術。

（1）虛擬專用網技術

虛擬專用網（Virtual Private Network，VPN），是依托公共開放的網絡作為基本傳輸載體，使用數據加密和流量驗證的方法來避免公用網絡傳輸的保密信息被偷窺和刪改，從而向終端使用者提供近似于私有網絡（Private Network）性能的網絡服務技術。

該內部專網采用了基于傳統網絡安全協議（IPSec）的VPN 技術，IPSec 的關鍵優勢在于節點與節點之間是永久連接的。工作在網絡層也使其與上層的軟件應用無關，所有使用IP 協議的應用都可以利用它實現傳輸。然而，IPsec 中這一核心的設計也是它的弱點。雖然它提供了認證、授權和加密，但是隧道一旦建立，遠程用戶通常可以訪問到服務器上的任何資源，這為不法分子獲取或破壞機密信息、攻擊服務器、注入惡意代碼、利用通用網關接口（CGI）腳本執行非法任務等提供了可乘之機。另外，由于目前虛擬專用網技術標準還不夠完善，因此不同廠商不想或者沒有能力來遵守虛擬專用網技術標準，導致他們的虛擬專用網產品和解決方案并不總是互相兼容的，進而引起的問題就是內部專網的相關設備更新換代會非常麻煩，混合搭配甚至會引起技術難題，增加成本。

（2）數據加密技術

數據加密（Data Encryption）技術是指發送方將原始數據（Plain Text）利用加密鑰匙（Encryption Key）及加密函數轉換，成為一堆亂碼即密文（Cipher Text），而另一方則將此密文通過解密算法、解密鑰匙（Decryption Key）恢復成原文。

內部專網所有設備均采用主管部門批準的密碼方案，在IP 網上構建保密的虛擬專網，為業務應用提供安全的網絡傳輸平臺，確保數據傳輸過程中的機密性和完整性，防止外部非授權用戶的非法進入，防止從網絡傳輸平臺引入的非法接入、篡改、竊聽、重放等攻擊。但即便如此，也難以根除它與生俱來的弊端，即無論是密碼算法，還是密碼技術，一旦硬件固定，那技術算法也就相應的固定，那它就存在被攻破的風險。但此類問題只要加強管理，出現風險的概率就會大大降低。

（3）隔離技術

網絡隔離是指把兩個及以上可路由網絡的直接連接斷開，采用不可路由的協議和專用隔離設備進行信息交流而實現隔離，以保證內部網絡的安全，避免信息泄漏。

內部專網所采用的網絡隔離設備是安全隔離網閘屬于第四代的隔離技術。網閘通過使用電路的互斥開關以及自有協議實現內外部網絡分時訪問臨時緩存器的功能，從而保證內網、外網在無數據交換時，完全斷開。但始終無法保證兩者完全隔離，即通過內外網對隔離區的分時訪問，一方的數據包最后還是會進入到另一方的網絡中，那么入侵與攻擊就存在了進入的路徑。

（4）資源池技術

資源池是指云計算中心所涉及到的各種硬件和軟件的集合，就是利用虛擬化技術，實現服務器、網絡、存儲等基礎設施資源的抽象，使其成為一個個可以被靈活生成、調度、管理的基礎資源單位。按其類型可分為計算資源、存儲資源和網絡資源。

但由于當初建設時的技術限制，導致留下了一個問題：計算資源池與存儲資源池共享一個存儲空間。這本身是云平臺的一個特性——信息資源共享。但隨著內部專網的規模不斷擴大，終端用戶日趨龐大，產生了越來越多的數據需要存儲。因為資源共享的緣故，存儲資源不斷增多，那么勢必就會導致計算資源的減少，進而導致的結果就是數據的處理能力大大下降，極大地降低了工作效率，違背了云平臺建設的初衷。

（5）容災備份技術

容災是為了在遭遇災害時能保證信息系統正常運行，幫助企業實現業務連續性的目標，備份是為了應對災難來臨時造成的數據丟失問題。受限于目前的單位體制，只有一個信息中心，導致內部專網產生的所有數據（包括用戶信息、物資信息等）都存放在內部專門的服務器上，其產生的問題自然不言而喻。一旦，內部服務器的數據被干擾、阻斷、破壞，都會導致整個網絡性能的不穩定，甚至是無法運行。更為嚴重的是，一旦內部專部的數據被竊取，其產生的后果也是無法想象的。但目前，內部專網還處于持續建設階段，產生的數據還不多，服務器的性能也比較穩定，導致問題可能還不是特別明顯。

2.2 物理的安全隱患分析

（1）環境的安全隱患

環境安全是指對整個網絡所在環境的安全防護。內部專網存在部分節點不經常使用，導致環境方面的安全隱患比較突出：節點機房環境惡劣；有些安全防護設備配置不齊全、擺放隨意，配置的安全防護設備有的還沒有開機使用；防火措施不到位或者防火器材不足；主機損壞后，也無人問津，沒有及時的修理或者銷毀。

（2）設備的安全隱患

為了盡可能削減此類安全風險，內部專網選購了以下信息安全設備：網絡信息安全隔離網閘、多功能安全網關、網絡漏洞掃描系統、網絡惡意代碼監控系統臺、密碼設備。

網閘利用隔離與交換控制單元阻斷用戶業務連接，只完成數據的交換。

內部專網使用的網關并非專用網關，使用的是互聯網的網關，但無疑其是一類組合類網關。此類網關利用復雜的過濾器提供十分堅實的訪問控制，保護內網不被非法的外網用戶訪問的作用是顯著的。

網絡漏洞掃描系統及網絡惡意代碼監控系統臺須依賴其中的檢測分析算法和漏洞、惡意代碼數據庫，故都必須及時地安裝補丁。

當前，密碼設備使用數據通信科學技術研究所研制的JJP901F 百兆IP 密碼機和JJP904C 桌面型密碼機。基本密鑰的更換周期一般為一年，暫時采取人為方式更換。

（3）介質的安全隱患

介質安全主要是為了保證存放在媒體上的信息安全。包括媒體的防盜；媒體的防毀，如防霉和防砸等。

2.3 系統軟件的安全威脅研究

軟件安全通常是指操作系統、應用程序的安全。軟件安全威脅主要由軟件設計中的疏忽和不按軟件工程的設計要求產生。

（1）測試環境及工具介紹

為了全面地去分析其中的漏洞，采用了模擬黑客攻擊的方式對測試環境進行了掃描分析，按照以下步驟進行：配置攻擊環境-踩點-掃描-攻擊，利用Xscan、SSS、流光等工具進行模擬測試。

（2）威脅分析及解決方案

綜合所有的測試結果，共得到主機開放了17 個存在風險的端口或服務，其中安全提示20 個，安全警告6個，安全漏洞14 個，跨站點腳本攻擊項目11 個。

3 內部專網改進對策建議

3.1 網絡安全策略

（1）VLAN 的重新劃分

隨著內部專網與單位建設的不斷推進，目前的局域網已經存在不符合需求的情況：一些主機長期無人使用；一些局域網內的主機未進行合理配置，導致彼此信息共享、管理比較混亂。

為保證各分區內的自由通信和分區之間的受控通信，同時隔離各種已知的網絡攻擊行為和非法入侵企圖，針對內部專網的使用情況，尤其是面對著日趨復雜的業務需求，可以考慮將各局域網絡及業務子網服務區重新劃分VLAN，內部區為重新劃分區域，按照服務器和終端計算機劃分為內部服務器區和內部終端區，內部業務終端可進一步按照工作區域、密級或者業務需求進行再劃分。

圖1

（2）局域網絡策略

各級節點單位局域網是位于監控區內的業務工作計算機網絡，按照當前的要求，所有需要訪問專網的終端，都必須依次通過UTM、密碼機，接入互聯網。各終端發送的數據經過密碼機的加密，傳輸到互聯網上；來自互聯網的信息經過密碼設備的解密，傳輸到內網上，如圖2 所示。

圖2

如果需要單位實現向上的網絡服務和數據備份，并且于其他網絡隔離。可將其網絡分為3 個安全域，分別為過渡區（用以在專網上提供內部外部連接服務）、內部區（僅在內部提供服務）、管理區（對安全防護設備、網絡設備以及身份認證系統等進行集中管理）。安全區是一個邏輯區域，各個安全區內部可繼續根據實際連接需求不同，進一步劃分子區域，以便制定具體的IP 訪問控制策略，如：內部區可按服務器和終端計算機劃分為內部服務器區和內部終端區。

（3）網絡設備的應用配置

在某單位內部專網中，首先是利用三層交換機的VLAN 功能，根據業務劃分將網絡劃分為多個VLAN，這些VLAN 通過交換機的路由器功能實現路由。劃分VLAN 在網絡安全方面的主要目的和作用是隔離網絡廣播信息。

（4）網絡入侵檢測

隨著內部專網的逐步開發和應用，網絡規模正在不斷擴大，內部專網的用戶也會不斷增多。各單位都應該根據實際需要配置基于主機的入侵檢測系統（HIDS）或者基于網絡的入侵監測系統（NIDS）。IDS 可對網絡流量進行實時監控，一旦發現可疑情況，會及時報警或者采取基于策略的反應措施，不僅對外部非法用戶、內部惡意用戶進行網絡攻擊或滲透時進行異常報警，而且可對內部無意用戶過多占用網絡流量進行限流等措施以保證網絡的高效順暢。

若網絡布局小（如單機）且對傳輸速率要求不高的情況下，可用統一威脅管理系統（UTM）代替防火墻、IDS 行使相應職能。

（5）惡意代碼防護

針對前面提出的惡意代碼防護設備的缺陷，建議配備更加專業的網絡惡意代碼設備，或者是能夠提供更多的殺毒軟件選擇，尤其是針對木馬的查殺軟件，以便豐富惡意代碼庫、增強對各種惡意代碼的檢測，從而減少惡意代碼攻擊事件的發生以及提高業務工作的效率。

（6）內網安全管理系統

對信息安全的威脅更多的是來自機構內部（也就是內部網絡）。除了通過入侵檢測系統，內部專網還配備了內網安全管理系統。通過安裝使用內網安全管理系統，實現內部網絡的安全管理。既對個人計算機（包括筆記本電腦）關鍵系統資源的運行狀況、監控以及審計的集中管理，又對計算機外部接口實現“禁用與允許”的集中控制與審計。

3.2 應用安全策略

（1）統一的身份認證

統一身份認證由于擔負著整個業務系統的安全防護職責，因此它必須有技術手段上的可靠保證。建議使用或進一步加強以下一些技術或手段作為保證：

①通過統一的用戶管理，保證統一身份認證業務的順利運行；

②避免用戶的密碼在多個應用上儲存和交換；

③利用單向加密技術保護用戶的密碼；

④通過服務器證書，在傳輸層使用HTTPS 避免傳輸過程泄密；

⑤對于統一配發的USB Key，必須對每名用戶進行身份認證之后，才能享受到內部專網的資源服務。

（2）統一的授權管理

授權的管理是應用安全的重要組成部分，應用系統各自為各自的用戶授權，明顯不符合統一的業務需求，但過于集中的授權，易于出現超級管理員這樣權限過大的角色，而且單一的管理員也無法很好地處理各類應用的授權需要。因此由安全策略中的精準控權原則建議，統一授權管理使用以下一些技術手段：

①統一授權，保證不同用戶對應用訪問的權限可以集中控制。

②根據實際工作需求，分級授權管理，避免權限過大管理員的出現，同時也便于工作責任落實到人。

③做好審計工作，利用系統審計日志，確保事后審計機制。

（3）應用軟件管理

應用系統軟件的管理是保證內部專網安全高效的關鍵，故從操作系統到應用軟件的選取都至關重要，根據前面提到的系統軟件安全威脅現狀，建議采取或加強以下技術手段保護內部專網的平穩運行：

①各應用系統軟件應有備份，并進行正確版本管理，在系統故障時能夠盡快恢復；

②處于過渡區或者為內外網提供信息服務的服務器應與專網信息服務器分設；

③用戶處理文電或其他業務時，要主動或由應用系統強制進行簽名驗證、密級標識等;

④各種應用應具有完備的日志；

⑤提供信息服務的Web 服務器應避免可利用腳本的出現，同時提供網頁防篡改措施，為其他合法用戶的身份信息安全提供保證。

3.3 數據安全策略

為了維護內部專網的信息安全，減小失泄密隱患的發生概率，特提出如下的數據安全策略。

（1）數據的訪問安全

根據數據存儲方式的不同，數據的訪問安全主要分三方面，分別是：

①在訪問數據庫時，綜合安全策略以及之前應用安全的經驗，建議考慮以下安全措施：嚴格的數據庫用戶管理；最小化的數據庫訪問授權；數據庫的連接及訪問字符串合法安全；

②對目錄的訪問控制方式使用的是訪問控制列表的方式（ACL），但具體的安全策略與數據庫訪問類似；

③對于單獨的文件訪問，尤其是基于Web 的應用，建議考慮到：操作系統、應用軟件、Web 容器訪問文件時，對其實際的訪問過程進行安全性控制，避免被不法分子利用以致產生不利后果（例如本地cookie 的調用）。

（2）數據的存儲安全

數據的存儲安全，建議考慮到以下幾個方面：涉密信息的存儲、用戶密碼的存儲、密鑰的存儲及技術文檔、保密介質的管理。

（3）數據的傳輸安全

針對這點，有一點建議需要考慮：只要是遠距離傳輸機密數據，不管是真正的跨網段，還是只是局域網內部傳輸，均須通過密碼設備進行加密傳輸。

（4）數據的備份容災

考慮結合當前的實際情況，在各個局域網內部以及專網之間建立互相的容災備份。備份不是簡簡單單的重復，應該充分利用重復數據刪除技術、數據鏡像技術、數據快照技術、持續數據保護技術等技術實現備份。

3.4 管理安全策略

安全管理人員要落實好制定的規章制度，每日安全審計網絡和系統運行情況，每季度組織檢測評估本級網絡的安全性，按照時限將審計報告、安全日志等保存妥當。

4 結語

本文從實際工作需要出發，對某內部專網的基本情況進行全面深入的了解，并從技術、硬件、軟件以及運行情況，分析了當前內部專網存在的安全隱患與威脅，并針對內部專網的安全現狀，提出了內部專網的改進對策和意見。