大型企业网络安全解决方案
一、 前言
全球信息化推动了信息社会的发展,改变了人类的生产和生活方式,促进了知识经济的成长,加快了世界经济一体化进程。对信息的掌握、利用与传播,成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。信息化最终要落实在企业信息化,因为企业才是财富的真正源泉。
企业信息化是指“企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用和传播信息资源的过程”。实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质优劣和竞争优势强弱。
企业信息化的范围是以生产控制为核心的自动化系统、以财务成本管理为核心的管理系统、以电子商务为核心的投融资决策与营销系统。
本文所涉及的大型分布式企业,其主要特征一是“大”,二是“分布式”。所谓大是指经营规模、资产总量、从业人员、销售收入和利润都具有相当的规模;所谓分布式是指其下属机构在地理上是分散的,但他们之间的业务关系又是紧密的。由于这样的特点存在,在它们的网络建设和网络应用上势必反映出与小型集中式的企业不同,那么其安全需求也就不同,导致安全解决方案的不同。
本文是在为某部级大型企业所做的整体安全解决方案的基础上,综合了大型分布式企业网络的安全需求,总结性地描述如何解决其内部网络安全和应用安全。可作为类似安全需求解决方案的参考模型。
二、 网络结构模型
大型分布式企业的网络结构模型可分为两层,一层是企业互联网络,一层是企业内部网络。所产生的安全需求也不同,那么相应的安全解决方案就不一样。
1.1 企业互联网络结构模型
一般大型企业由于下属企业在地理上的分散,都要建立自己的主干网。具体形式有自建的卫星系统、租用的帧中继、ISDN、PSTN等通信线路。从而实现下属机构、企业与集团总部的网络互联。还有的企业直接采用Internet实现企业间的互联,由于担心Internet上安全问题,目前这类企业不多。
集团总部、下属企业的地理位置可能跨越省市或分布在全国各地,有的国际型企业的下属机构还可能跨越国界。这时一定要通过Internet或者vpn来实现互联。
企业互联网络结构图
1.2 企业内部网络结构模型
无论集团总部还是下属企业,其内部网络的结构大同小异。在地理位置上一般是处于一个厂区内或一幢大楼内,具有一个中心网络,提供公共应用服务(亦称公共应用平台),同时行使网络管理权利。按行政结构,下属各处、办,各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。这些局域网都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。一般来说,这些局域网之间没有直接通信通道。
这些企业网的出口有两个,一个是连接到集团主干网,一个是连接到Internet上。结构示意图如下:
企业内部网络结构
在实际应用中,各个企业内部的应用种类可能不同,但上述子网按应用划分是采用最多的原则。如上图的网络结构,我们称其为非安全结构,是目前采用最多的一种。一般的安全措施是在连接公网处安装防火墙,但它只能防止外部非授权的网络访问,而对内部几乎没有防范功能。
三、 网络层安全需求
1.1 网络层风险
• 网络中心连通Internet之后,企业网可能遭受到来自Internet的不分国籍、不分地域的恶意攻击;
• 在Internet 上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网,为黑客、竞争对手获取企业数据创造条件;
• 企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,如产品的设计图纸、企业的财务数据等,其损失要远远高于系统破坏。
1.2 网络层安全需求
基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:
• 企业网络进出口控制(即IP过滤);
• 企业网络和链路层数据加密;
• 安全检测和报警、防杀病毒。
重点在于企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联的安全只需解决链路层的通讯加密。
1.2.1网络进出口控制
需要对进入企业内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到公网进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
1.2.2网络和链路层数据加密
对关键应用需要进行链路层数据加密,特别是最核心的领导办公服务系统,为领导提供信息共享,需要有高强度的数据加密措施。
1.2.3安全检测和报警、防杀病毒
安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
• 及时发现来自网络内外对网络的攻击行为;
• 详实地记录攻击发生的情况;
• 当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
• 当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
• 对防火墙进行安全检测和分析;
• 对Web服务器检测进行安全检测和分析;
• 对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
四、 应用层安全需求
所谓应用层就是面向用户的实际应用,其安全需求在前面已经详细描述过。也可以精练地总结为“WWW”问题,即:
什么人(Who)可以做什么(What)并要知道他做过什么(What)。
应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的资源如前面所述的公共应用、办公系统应用、信息查询、财务管理、销售管理、电子商务以及企业行业应用。
1.1 应用系统安全风险:
对应用系统的攻击可以分为两类:
1) 由于攻击者对网络结构和系统应用模式不了解,主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取企业的重要数据;在现在通用的三层结构(数据库服务器-应用服务器-应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击;
2) 攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
??非法用户获取应用系统的合法用户帐号和口令,访问应用系统;
??用户通过系统的合法用户帐号,利用系统的BUG,访问其授权范围以外的信息;
??攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;
??在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。
1.2 公共应用的安全需求
公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有WWW、FTP、电子邮件等方式,必须严格按照用户的身份进行控制对信息的访问,对服务器也必须进行必要的身份认证。在认证的基础上根据用户的身份对信息进行授权的访问控制,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。
公共应用包括外部的和内部的,尤其是内部的公共应用,有着更高的安全要求。如领导信息查询系统,必须从上述的多个方面保证,特别对于身份认证和传输加密,必须做到万无一失。
1.3 办公系统应用的安全需求
内部的办公应用主要是运行在局域网上的办公事务处理,对身份认证和访问控制有更高的要求。对身份认证必须有多重的保证,包括用户口令、使用机器的IP和MAC地址,将来需要发展到使用IC卡或电子钥匙,通过多种方式确认用户的身份。访问控制的控制粒度更细,必须根据不同应用的不同对象形式进行控制,如Web页面、数据库记录等。
1.4 具体应用系统的安全需求
这里得具体应用系统是指前面所描述的财务管理系统、销售管理系统、电子商务以及其他应用系统。总的目标是,要保证只有授权的人员可以进入相应的应用系统,并按所授权限进行操作。具体描述为:
• 严格的身份认证;
• 细粒度的访问控制;
• 必要的数据保密性和完整性;
• 审计与日志;
• 统一的安全管理。
五、 网络层安全解决方案
主要分别针对集团总部、各下属企业,根据前面描述的网络层安全需求,逐一提出安全解决方案。
1.1 安全的网络结构
通过防火墙和路由器的配置,用户无论在网络内部还是在网络外部,都是通过代理服务器来访问各个应用服务器,这就保障了网络应用的安全。
如果需要,在各个子网的出口也安装防火墙,进一步保障子网的安全。
1.2 防火墙技术与产品
防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
防火墙可以设置在接入Internet的路由器后端,将网络划分为三个区域,即三个网段,如上所述。通过合理地配置防火墙过滤规则,满足下列需求:
• 远程客户只能访问非军事化区的安全代理服务器,不能直接对内部网络的各个应用服务器和数据库进行访问;
• 内部网络的客户端访问本网段的应用服务器,如需访问服务子网的各个应用服务器,必须经过非军事化区的安全代理服务器;
• 服务子网中的安全代理服务器可以通过防火墙,访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口;
防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
1.3 网络VPN技术与产品
对于大型分布式的企业,其中最重要的和最普遍的应用是数据库应用,而且是分布式的。数据库的分布式复制操作是自动的,是服务器到服务器的数据传输过程。对数据库复制的安全保护目前最实用的技术是网络VPN。
VPN产品一般具有如下基本功能:
• IP层认证和加密;
• IP包过滤;
• 密钥管理。
VPN产品可以基于公共的IP网络环境进行组网,使用户感觉在公网上独占信道,也就是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上,可以允许上千对VPN通道,网络加密速度在10Mbps以上。
有的VPN产品将防火墙功能结合在一起,形成安全网关。
在分布式数据库环境中,按点到点方式安装VPN产品,保证数据库复制过程的数据加密传输。
这种方案的缺点是设备费用较高,视企业的承受能力来决定。
国内的VPN产品一般是从过去的链路加密机转化而来的,研制单位均为保密行业单位。近年来,一些公司也介入该领域,但受到加密算法的规定限制,发展不平衡。所以在选型上要注意产品提供商的资质。
1.4 入侵检测技术与产品
随着Internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。所以对于党政机关这样关键应用,我们建议采用入侵检测系统(IDS)。
入侵检测系统可分为两类:基于主机和基于网络。
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。
基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
我们建议采用基于主机的IPS,安装在非军事化区中,主要检测针对安全代理的攻击。
采用IPS在总体上可以实现防范黑客攻击,目前存在的问题是可能会有误警,并占用主机宝贵的资源,这就是安全代价。
1.5 负载均衡带宽优化
管理多个网络中的应用交付是一个复杂的问题。各企业试图以不同的方式应对这种复杂性:购买更高的带宽,安装更多的服务器,甚至重新编写应用。然而,这些策略通常代价昂贵,而且仅能起到部分效果。每个企业网络都具有独特性,涉及不同的应用、地理位置、带宽限制和相关的挑战。我们建议采用负载均衡设备,主要针对带宽优化、服务器性能优化、性能加速等。
1.6 防杀病毒技术与产品
防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查和过滤,可以防止病毒通过邮件、FTP 等方式从Internet 进入企业网。
1.7 冗余备份
针对单一线路的防护,企业应该考虑到单一线路一旦某个核心点上发生故障,将导致整个网络的不能运行,会给企业带来巨大损失,因此,我们建议采用关键核心设备冗余备份,做高可靠性,使得企业网络的损失降到最低。
结束语
企业是国家真正的经济动脉,是我国网络应用的较成熟部分.对信息安全的需求随着应用的不断完善而日益迫切.以网络安全为核心发展,配套其他成熟的安全技可以构筑大型分布式企业的网络应用安全体系框架.落实到具体的企业项目中,要根据企业的实际网络结构和应用系统模式,度身定做出全面安全解决方案和工程实施方案,才能做到有的放矢。
