第一章 前言
信息時代的到來給我們的生活帶來了極大的便利,同時也深刻的改變了我們的生活����,信息網絡技術應用到了我們身邊的各個行業和機構����,政府、金融����、教育����,軍隊無處不在����。伴隨著網絡的普及和應用的深入����,網絡信息的安全也日益顯現出其重要性。我們希望網絡不僅能給我們提供方便快捷的服務,同時也希望這種服務是穩定和安全的。而網絡天生所具有的開放性和自由性的特點����,使得網絡安全性相對比較薄弱����,而比較容易受到非法入侵者,比如黑客甚至工業間諜的入侵����。所以,如何維護網絡信息的安全和穩定����,也就成了一個值得考慮的重要問題����。
軍工企業從事的業務關系到國家的利益,其內部信息基本都帶有機密性����,此類信息一旦泄漏����,就會對國家的利益造成極大的損害����。因此,為了全面穩妥的保護軍工企業的網絡和信息不受非法分子的侵害和窺探����,需要對其網絡進行全面穩妥的安全設計。
第二章 風險分析及安全目標
2.1 威脅分析
2.1.1 攻擊源分析
要保證軍工企業涉密信息網絡的安全可靠,必須全面分析軍工企業涉密信息網絡面臨的所有威脅����。這些威脅雖然有各種各樣的存在形式����,但其結果是一致的����,都將導致對信息或資源的破壞,影響軍工企業涉密信息網絡的正常運行����,破壞涉密信息的安全性����、有效性����、可靠性和權威性。
通過對軍工企業涉密信息網絡的全面分析,該網絡可能要面對各方面的攻擊,其面臨的威脅和風險主要有:敵對勢力����、犯罪團伙����、黑客����、管理人員、設備故障����、自然災害等。
下面是這些威脅和風險的一些表現形式:
利用黑客軟件對通用����、標準化的軟����、硬件實施攻擊以及利用病毒破壞系統����,危害軍工企業涉密信息網絡的安全可靠運行。
軍工企業涉密信息網絡所涉及工作人員眾多����,安全意識不同����,管理措施不到位����,人員的疏忽也會對系統安全帶來隱患����。
系統的運行管理和維護不善����、操作的失誤,對系統的運行安全也會造成危害����。
外部人員的蓄意破壞。
2.1.2 攻擊手段分析
1.非法訪問
未經授權使用網絡資源����,包括非法用戶進入網絡進行違法操作及合法用戶以未經授權的方式進行操作����。
2.通信業務流分析
通過通信流向����,流量,通信頻度和長度等參數的分析����,得到有用信息����。
3.假冒:
一個實體假裝成另一個不同的實體����。
4.惡意代碼:
通過惡意程序,計算機病毒等獲取信息或破壞系統����。
5.線路竊聽:
搭設線路進行信息的收集和還原����。
6.破壞信息完整性:
改變信息的內容或形式����。
7.抵賴:
信息發送方或接收方否認自己發送過或接收到特定的信息。
8.破壞網絡的可用性:
通過執行命令����,發送數據或執行其它操作使系統資源對用戶失效,使合法用戶不能正常訪問網絡資源或使有嚴格時間要求的服務不能及時得到響應,也包括以物理方式盜竊或破壞網絡的設備����、設施����。
9.操作失誤:
人為操作失誤可能會對信息系統造成破壞����。
10.自然災害和環境事故:
地震,火災,水災等自然災害和電磁污染等環境事故會對信息系統造成破壞����。
11.電力中斷 :
電力中斷會破壞信息系統的可用性或導致數據丟失����。
2.1.3 事故后果分析
一旦攻擊者獲得對資源的訪問權����,就可以隨意對數據和文件進行修改、拒絕服務等活動。
1. 破壞信息:任何對存儲(或傳輸)中數據、文件的非授權修改����;
2.公布信息:將信息散發到了不該獲得該信息的人手中����;
3.盜取信息:獲得不該獲得的信息����;
4.盜用服務:非法盜用系統的服務����,例如:有些攻擊者將一些主機攻破后����,將其作為新的攻擊起點����,或在其上保存非法獲取的信息。盜用服務有時會影響系統為其他合法用戶提供正常服務;
5.拒絕服務:攻擊的直接后果就是將系統的服務性能降低或完全癱瘓,無法為合法用戶提供正常的服務。
2.2 系統風險分析
2.2.1 與通信線路或網絡低層通訊機制有關的 風險
攻擊者可以在軍工企業過往電纜使用上搭線等方法竊取信號����,獲取合法用戶口令����、密鑰����、身份證書等關鍵信息。得到了這些信息����,攻擊者可以以合法身份從前門進入目標系統����。當然����,用線路竊聽也可以直接竊取文件或數據。
通過對合法連接的劫持而以其他被授權人員的身份進行非法操作����,在合法的通信連接建立后����,攻擊者可通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接����,從而假冒被接管方與對方通信����,進而創建新帳戶、安裝后門程序����、篡改數據等����。
2.2.2 與系統軟件或應用軟件有關的 風險
不同操作系統所能達到的安全級別是有所區別的����,如 Windows95/98 系統幾乎無安全性可言,而 Unix 體系結構的開放性����、不同廠商����、不同版本和配置上的差異都會導致安全程度不同����。
軍工企業基本都采用了微軟的 WINDOWS 操作系統和 OFFICE 辦公軟件,可是這些軟件本身就不安全����,在網絡上隨時都可以看到微軟發布的漏洞和補救措施����。但不是所有的人都會及時的了解或彌補軟件的漏洞����,這也就給其他黑客人員帶來了入侵機會, 主要表現為利用系統軟件或應用軟件中的程序錯誤或安全漏洞來取得對計算機系統的非法訪問����。一種常見的技術是有意識地利用程序緩沖區溢出而侵入系統保護區進行上面提到的一些非法操作����。另一種常用的方法是利用系統程序或應用程序設計時為系統維護提供的入口離開程序的正常使用環境而竊取更高系統權限����。兩種方法均可能導致系統被攻擊者完全控制。
一旦黑客入侵成功����,就會使涉密信息破壞����、泄漏����,更嚴重的將會對整個網絡系統安全運行構成嚴重的后果。
2.2.3與數據或通信協議有關的 風險
對加密算法的攻擊可以使攻擊者有能力解讀本來不能理解的數據,從而威脅系統的保密性����。加密算法的安全性����、合法性和自主性對于數據的傳輸和存儲安全是必須考慮的因素����。
此外����,某些應用程序所使用的通訊協議存在嚴重的安全隱患,使得別有用心的人可能利用這些弱點來實現對目標系統的非法訪問。
2.2.4 與網絡安全設備有關的 風險
網絡系統內裝設的安全設備����,如防火墻����、訪問授權及身份認證裝置����、監測裝置、審計裝置����、密鑰分發機制等����,是系統安全保障的關鍵成分����,同時也是攻擊者的天然目標。對它們的攻擊如果得逞,將對整個系統造成極大破壞����。
另外����,不合理的應用網絡安全設備也可能導致潛在的安全威脅����,如在支持防火墻功能的路由器上配置大量的訪問控制條款����,使得路由器處理性能大大降低����,形成網絡瓶頸����,在大量數據流量時導致拒絕服務。
2.2.5 與系統資源有關的 威脅
攻擊者可直接發動攻擊����,也可通過控制其它主機發起攻擊使目標癱瘓����,如發送大量的數據洪流阻塞目標����。這是因為任何計算機系統所能提供的資源都是有限的,不法分子利用這個缺陷,采用非正常手段將系統資源消耗殆盡,從而使計算機系統因資源耗盡而停止工作����。這種稱為“拒絕服務”的攻擊方式常常是最簡單而且最有效的一種攻擊方式����。攻擊者還可通過破壞 DNS 或路由信息等基礎設施使目標陷于孤立����。
2.2.6與合法用戶有關的威脅
軍工企業的網絡用戶由于級別和職能的不同����,對網絡的訪問等級也不同,但是不管是何種用戶都會有可能對系統造成威脅����。大致把軍工企業的用戶分為兩類:普通用戶和系統管理員����。
普通用戶對系統資源通常只具有一般的訪問權限����,正常情況下他們在系統上的活動不應對系統安全造成很大威脅。然而由于他們在系統上已經有了立足點����,比較那些不得不通過網絡遠程地對系統進行攻擊的人來說占據了十分有利的地位����。系統管理員對所管理的系統(甚至在一定程度上對于友鄰的系統)具有完全的控制權����。并且,合法用戶在自己權限之內仍有可能進行誤操作或非法的操作����,而系統的訪問控制機制不能防止這種操作����。這些操作的結果可能對系統造成損失����。
2.2.7 人為因素導致的威脅
網絡安全除了技術因素外����,還有許多人為因素,黑客圈中存在所謂的社會工程學,就是利用人際關系取得有用信息,如口令����、管理員背景等����,所有與系統或者管理員相關的信息都會給攻擊者帶來好處����。
系統管理人員工作中違反安全管理政策或安全操作規程而對系統造成的威脅����。例如����,系統管理人員可能為自己的工作方便違背安全政策創建具有簡單口令或無口令的特殊帳戶,以至這些帳戶為攻擊者所發現和利用����。用戶錯誤或忽略安全政策所造成的對系統的威脅����,如誤裝了后門程序����,或使用了質量不高的口令等。缺少主管領導的支持和廣大用戶的理解而可能對系統安全造成的影響����。信息系統安全管理人員的一項重要職責是通過不斷的宣傳、教育����、培訓使得所有有關人員全力支持����、自覺協助信息系統的安全建設����,同時使所需資源的獲取得到切實保證。
2.3 安全目標
對于軍工網這個安全級別高的網絡結構����,系統的安全需求主要從網絡級����、系統級����、應用級和企業級四個層次來考慮的,因此本方案將著重從這四個級別上考察,同時將其他理解方式與之融會貫通����。從而達到安全����、可靠����、高效����、可控和持續運行的總目標。
2.3.1 網絡級安全
網絡級安全是整個內部局域網安全的基礎����。涉及物理安全����、節點安全����、鏈路安全、網絡協議安全����、廣域網安全����、數據傳輸安全、路由安全等����。只有安全的網絡底層支撐����,才談得上其他層次的安全����。
2. 3.2 系統級安全
系統級的安全基于網絡級之上,包括平臺的安全����、操作系統安全、系統管理安全����、用戶管理安全����、系統運行監控����、系統故障監測和恢復等。系統級安全是提供安全應用的基礎����。
2. 3.3 應用級安全
應用級的安全是系統建設的目標����,包括目錄����、數據、文件����、郵件����、事件����、主頁等各種信息和應用的完整性、機密性����、抗否認性等安全,同時還包括信息密級管理����、訪問控制等����?���?傊瑧眉壍陌踩珣摫U想S時隨地提供且只能提供給合法用戶安全的信息服務。
2. 3.4 企業級安全
企業級的安全是安全體系的總體策劃����,包括安全政策法規的制定����、管理的權限和級別劃分����、資源的合理搭配和調度、功能的實現等等。因此����,可以說����,企業級的安全更多的是網絡的合理有效的使用、調度和管理,因而����,更側重于人的因素����。
2. 3.5 系統安全目標
基于以上的分析����,我們認為軍工網絡安全應該實現以下內容:
1.建立一套完備可行的網絡安全和網絡管理策略����;
2.在內外網上設置訪問控制手段,將軍工網絡與其他網絡隔離;內部網絡采用內部地址����,在內外網之間作地址變換����;
3.建立全面的用戶權限認證體系����,健全系統訪問日志,提供有效的監督機制����;
4.提供網絡安全掃描工具����,主動發現網絡安全漏洞����,進行風險評估;
5.及時發現黑客攻擊活動����,提出報警����,并自動采取相應對策����;
6.建立完整的系統防病毒體系����,防止病毒的侵害;
7.提供監控和安全維護工具����,及時分析和排除網絡故障����;
8.加強人員管理����,提高全體人員的網絡安全意識和防范技術。
第三章 系統設計
3.1 設計目標
根據軍工企業網絡的網絡安全����、系統安全����、應用安全����、管理安全等安全與保密需求,綜合運用各類技術防范措施與管理手段����,構筑內部網絡完整����、安全����、可靠、可控的保密防范體系����,最大限度地消除網絡目前尚存的安全隱患及漏洞����,確保內網涉密數據及信息的安全性����、保密性、完整性����、可用性及抗抵賴性����,為企業工作順利開展保駕護航����。
3.2 設計原則及依據
內部網絡安全保密防范體系建設屬內部網絡建設的重要組成部分,除應遵循網絡系統有關設計原則外����,還應遵循下列原則:
1. 與其他網物理隔離����;
2. 基于企業的安全需求����、安全現狀和安全威脅����;
3. 需求、風險、代價平衡分析;
4. 遵循國家有關計算機信息系統安全標準和規定����,并按最高密級進行防護����;
5. 多重保護����,最小授權;
6. 盡量不影響業務處理性能����、網絡性能和拓撲結構����;
7. 最大限度保留和利用已有安全資源����;
8. 系統應具有易操作性,便于自動化管理、維護與升級����。
3.3設計思路
3.3.1 最小安全實體分析
在軍工企業網絡安全方案設計中����,最重要的是確認威脅產生的根源����。最小安全實體就是內部沒有安全隱患存在的最小實體,可能是一個網絡����、一個子網����、一臺主機����,也可能只是一個目錄或文件?���?傊?���,在最小安全實體內部的所有訪問都是安全的����,而來自最小安全實體之外的訪問就可能存在危險。因此對來自最小安全實體外部的訪問應受到安全措施的控制。
3.3.2 動態安全
由于信息技術不斷地在發展,信息技術安全問題具有動態性����。今天的安全問題到明天也許不再成為安全問題����,而今天不為人關注的問題����,明天可能成為嚴重的安全威脅����。例如,線路劫持和竊聽目前是嚴重的安全威脅����,但隨著數據加密技術的廣泛使用����,這一威脅可能會大大減弱����。而另一方面,用戶工作站在傳統上被認為是比較安全的所在����,但由于多種多樣的“后門程序”的出現����,安全則成為了問題����。安全問題的動態性使得安全不可能存在一勞永逸的解決方案,而需要經歷“評估 - 解決 - 再評估”的無限循環����。
3.3.3適度安全
首先由于在絕大多數信息系統以及信息系統環境中����,不會僅存在單一的安全威脅點����,可能出現于網絡設備����、操作系統、數據庫系統、應用系統和安全管理等諸多方面。其次,安全問題本身具有動態性����,在不斷的發生變化����,使得不可能找到一個方法對安全問題實現百分之百的覆蓋。如果這樣的方法存在,它一定是從資源和成本考慮不可能被接受的����。業界普遍遵循的概念是所謂的“適度安全準則”����,即根據具體需求提出適度的安全目標并加以實現����,而不是超越現實需求追逐更高的安全等級。
3.3.4產品與技術分離
安全方案的設計絕不是安全產品的簡單應用����,也不能局限于現有產品的功能����,更不能將不必要的產品堆砌到方案中去����。安全方案應該根據實際需求����,確定安全目標,并實現安全目標����,選取所需的安全產品����。在現有安全產品無法滿足需求時����,考慮開發必要的設備的可能性。如果沒有可用產品,也無法在現有狀況下完成開發����,則必須做出規劃����,或調整方案����,或限制應用范圍?���?傊?���,必須以客觀需求和技術可行性為最高宗旨����,不能因產品的限制設計出不安全的方案����。
第四章 涉密信息系統方案設計
4.1 保密產品選擇依據
• 安全保密產品的接入應該不明顯影響網絡系統運行效率,并滿足工作的要求����。
• 涉密系統中使用的安全保密產品原則上必須選用國產設備����,只有在無相應國產設備時方可選用經國家主管部門批準的國外設備����。
• 安全保密產品必須通過國家主管部門指定的測評機構的檢測。
• 安全保密產品必須具有自我保護能力����。
• 安全保密產品應符合相關的國家標準����。
4.2 安全保密產品
4.2.1 安全掃描系統
安全掃描系統通過模擬黑客的進攻手段和技術,對被檢系統進行黑客攻擊式的安全漏洞和安全隱患掃描����,最大限度地暴露了現存網絡系統中存在的安全隱患����,并且提交風險評估報告����;根據風險評估報告,提出相應的漏洞補救和系統安全策略的整改措施����,將網絡系統的運行風險降至最低,從而達到增強網絡安全性的目的����。通過安全掃描系統����,我們可以最大限度的知道網絡中存在的漏洞和隱患����,經過彌補后,即使由于其他原因發生了與其他網絡連接的話����,也可以減少發生網絡入侵的機率����。
4.2.2 防火墻
防火墻是現在網絡安全運用的最廣泛的安全產品����。防火墻( Firewall)在網絡中是一個邏輯裝置,在邏輯上����,防火墻是一個分離器����,一個限制器����,也是一個分析器,有效地監控了受保護網絡和其他網絡之間的任何活動,保證了受保護網絡的安全����。它的主要功能在于把那些不受歡迎的訪問隔離在特定網絡之外。通常防火墻被放置于受保護的網絡與其他網絡的連接處,用來保護與其他網絡相連的受保護網絡����。受保護網絡與外部網絡之間的任何數據傳遞都必須通過防火墻����,防火墻對這些數據進行分析����、處理,并根據已設置的安全規則判定是否允許通過。建立防火墻對于受保護網絡免受來自外部的攻擊有較好的防范作用����,防火墻系統本身具備較高的系統安全級別����,可以防止非法用戶通過控制防火墻對內網發動攻擊����。
同時防火墻也是一種將涉密網和非涉密網(如 Internet)分開的方法����。它不僅是一些簡單的保護網絡安全的訪問控制規則����,實際上,它也是一個安全的平臺。把安全的所有要素融合在一起并加以管理����。它可以作為不同網絡或網絡安全域之間信息的出入口����,能根據企業的安全策略控制出入網絡的信息流����,且本身具有較強的抗攻擊能力����。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
根據防火墻的原理和軍工企業的網絡結構����,我們可以把防火墻安放在內部涉密網絡和非涉密網絡之間����,經過控制內部上互聯網的網絡對互聯網的訪問����,可以提高內部上互聯網的網絡的安全性。同時在服務器和內部網絡連接處使用防火墻����,使內部網絡和服務器區邏輯隔離從而保護內部重要服務器����。
4.2.3 身份認證系統
計算機網絡系統的安全性取決于能否正確驗證用戶或終端的個人身份����。認證業務提供了關于某人或某個事物身份的保證。這意味著當某人(或某事)聲稱具有一個特別的身份(如某個特定的用戶名稱)時,認證業務將提供某種方法來驗證這一聲明是正確的����。常用的身份認證技術有:靜態口令認證、動態口令認證����、數字證書����、生物特征識別����。
針對軍工企業涉密信息系統建設中對身份認證的要求,本方案提出如下建議:
1.針對涉密計算機采用一次性口令身份認證系統����,也就是說采用基于PKI算法的物理介質實現對涉密計算機用戶每一次登陸計算機時必須采用不同口令的效果����。
2.針對非涉密計算機����,本方案采用操作系統自帶的密碼登陸方式。要求計算機管理人員在每個月隨機生成與以前不同的密碼口令����。同時建議使用WINDOWS2000或以上及其他安全操作系統����。
4.2.4 病毒防護
軍工企業內部網絡與外網實行物理隔離,但病毒的傳播途徑又很多種����。例如����,存儲介質的使用可能導致病毒進入系統����。因此����,軍工企業也應該有一套自己的網絡防殺毒軟件。
基于網絡病毒防殺系統需要具備以下的功能:
• 及時發現在網絡上流傳的新型網絡病毒����,并進行查殺封堵
• 定期自動查殺用戶主機中的病毒
• 監測用戶主機和服務器中的病毒活動
• 病毒防殺政策的集中制定
• 自動重裝����,自動升級
• 病毒庫自動更新
• 快速反饋機制����,報警、匯總統計等功能
4.2.5 安全審計
安全審計系統將實現以下功能:
• 對物理隔離網絡中的撥號連接進行限制并對撥號連接進行審計
• 對物理隔離網絡中的重要文件資源的使用情況進行審計
• 對計算機的光驅、軟驅、 USB口進行控制
• 對計算機的網絡連接進行審計
• 對所以審計日志生成記錄并產生報表
4.2.6 數據庫加密
數據庫加密系統應該具有以下功能:
• 增強的身份鑒別過程
• 數據庫存儲加密
• 數據庫訪問通信加密
• 備份與恢復
• 其它安全功能
4.2.7 入侵檢測
入侵檢測系統包括三個功能部件:
• 提供監測網絡數據流的信息源
• 發現入侵跡象的分析引擎
• 基于分析引擎結果產生的響應部件
4.2.8 物理隔離卡
物理隔離卡把連入 Internet國際互聯網部分計算機的主機硬盤分成兩個部分:同外網連接部分、同內網連接部分����。當內部主機同外網連接時����,物理隔離卡把同內網的連接完全物理隔離����。既當主機連接外網后,完全不會對內網部分有影響����。同樣����,當主機同內網連接時����,啟用同內網連接部分的硬盤區域����,同其他區域完全沒有關系。
