|
|
XXXXXXXXXX网络安全
整体规划建设解决方案建议书
Version 1.0
目 录
1 前言... 4
2 现状分析... 5
2.1 校园网系统安全问题分析... 6
2.1.1 互联网安全问题与缺陷... 6
2.1.2 校园网安全特点... 7
3 校园网络系统风险分析... 9
3.1 校园网安全弱点分析... 9
3.1.1 网络结构的弱点... 10
3.1.2 网络协议的弱点... 10
3.1.3 系统和应用弱点... 11
3.1.4 网络访问的弱点... 12
3.1.5 硬件平台的弱点... 13
3.1.6 安全管理的弱点... 13
3.1.7 邮件系统的弱点... 14
3.2 安全威胁分析... 14
3.2.1 人为的安全威胁... 15
3.2.2 非人为的安全威胁... 17
3.3 高校校园网络安全风险分析... 18
3.3.1 物理层安全风险... 19
3.3.2 网络层安全风险... 21
3.3.3网络系统层安全风险... 25
3.3.4 应用层安全风险... 25
3.3.5 管理层安全风险... 28
4 安全需求分析... 28
4.1 校园网络安全建设目标... 29
4.2 校园网整体安全需求... 29
4.2.1 校园网边界安全管理需求... 29
4.2.2校园网漏洞及补丁管理安全需求... 30
4.2.3 校园网服务器安全需求... 30
4.2.4 关键业务系统保护安全需求... 30
4.2.5 校园网安全监控管理安全需求... 31
4.2.6 校园网病毒安全管理需求... 31
4.2.7 校园网安全运维管理需求... 31
4.3 校园网技术层面安全需求... 32
4.3.1 物理安全需求... 32
4.3.2 网络安全需求... 33
4.3.3 应用安全需求... 34
4.3.4 管理层面的需求... 35
4.3.5 校园网运作层面的需求... 40
5 整体安全策略... 40
5.1 安全策略体系的要素... 40
5.3 校园网络安全策略体系的设计... 41
5.4 关键技术体系策略... 42
5.4.1 物理安全策略... 42
5.4.2 网络安全策略... 44
5.4.3 应用安全策略... 47
5.4.4 安全管理策略... 50
5.5 校园网络安全组织体系... 51
5.5.1 设计原则... 51
5.5.2 体系设计... 52
5.6 校园网络安全管理体系... 54
5.6.1设计原则... 54
5.6.2 体系设计... 54
6 高校校园网络解决方案概述... 55
6.1参考模型... 55
6.1.1 可信网络架构的概念与定义... 56
6.1.2 可信网络架构的安全模型... 57
6.1.3 可信网路架构的核心机制... 59
6.2 安全建设内容... 61
6.3 安全设计原则... 61
7整体规划安全产品总体部署... 63
7.1 安全产品选型原则... 63
7.2 产品总体规划部署图... 64
1 前言
目前,全国各高校教育信息化建设如火如荼,学校内部、学校间的联网也越来越紧密。学校已经完全从象牙塔时代过渡到了和信息时代紧密结合的时期。
IDC的统计曾显示,有30%~40%的Internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动站点。在这样的情况下,Internet资源严重被浪费。而对教育网来说,面对形形色色、良莠不分的网络资源如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站的娱乐、游戏、甚至暴力、色情、反动消息等不良内容,将极大地危害青年学生的身心健康。
校园网络安全建设是一个系统工程,它包含防火墙、入侵防御检测、防病毒、网络行为审计、漏洞扫描、灾难备份、安全集中管理等一系列安全措施。
学校信息系统的安全保障体系可以分为三个层次:一是基本安全环节,这些安全环节是很多系统平台本身就提供的,如操作系统或者数据库; 其次是对基本安全要素的增强环节,利用这些增强环节能够对系统起到更可靠的保护作用;再其次是扩充的安全机制,它们提供更强的安全监测和防御能力。
在我国,近几年随着网络技术的发展,互联网应用的普及和丰富,互联网安全的问题也日益严重,利用信息技术进行的高科技犯罪事件呈现增长态势。从2004年度CNCERT的信息网络安全工作报告中我们看到,信息网络安全事故在逐年上升,2002年,CNCERT全年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件有1761起,平均每天不到3起,而2003年则达到了13430起,平均每天36起,增长11倍!2004年更是增加到64686起!信息网络安全事故呈现多样化的趋势,蠕虫病毒的传播、后门程序的扩散、垃圾邮件的泛滥、木马程序的蔓延、大量主页系统被篡改、僵尸主机的利用,给信息化的建设敲响了警钟,信息网络中越来越多的安全漏洞被开发利用,操作系统的缺陷、应用系统的BUG、安全策略的失误、内部员工的泄密、网络管理人员的失误等,成为引起安全事故的主要原因。
根据国际权威应急组织CERT/CC 统计,自1995 年以来各年来漏洞公布总数16726个,2004 年公布漏洞数更是达到3780 个,平均每天超过10个!漏洞引起安全事故发生的数量呈现急速增长的趋势;并且从发现系统漏洞,到利用漏洞发起攻击的时间越来越短,要求用户必须快速进行系统的加固和修补,这种趋势往往给用户网络管理人员极大的压力,想要在攻击发生之前,通过手工进行全网系统更新以防范攻击的难度越来越大;另外,针对漏洞所开发的各种攻击工具唾手可得,而且攻击工具的使用越来越简单,只要有一定的计算机常识的使用者,就可能利用攻击工具造成一次安全事故!这些技术发展的趋势使信息系统的安全防护难度加大,依靠单一的防护手段根本无法做到系统的“长治久安”,信息网络系统对整体安全体系的建设需求在逐年增加。
2 现状分析
XXXXXXXXXX校园网从结构上讲,可以分成核心、汇聚和接入3个层次;从网络类型可以划分为教学子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多,各种形式接入的用户类型也非常复杂,有学生、教职工以及校内商业机构的办公人员。另外,校园网通常是双出口结构,可以通过ChinaNet,也可以通过CERNET达到互联网。多层次、业务复杂的特点使得网络安全显得尤为重要。
此外,校园网还存在一个经常被忽视但是越来越严重的现象,很多学校用户反映:现在有相当数量的学生的计算机相关技术水平非常高,甚至超乎管理人员的想象,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学以及学生上网的多种需求成为了一个难题。很多时候,校园网的安全隐患更多地是来自于校园网内部。相比来自外部的攻击,来自网内的攻击更为可怕,威胁更大。由此可见,目前很多校园网的安全环境可以用“内外交迫”来形容。
校园网络与一般的企业网络有很大的区别。因为一般的来说,除了学校内涉及科研的主机以外,网络中其他位置并没有重要的数据信息。而校园网的功能也主要是保证整个网络通讯的顺畅。对于通讯中的数据安全,一般由使用线路的单位或个人自己负责。所以我们可以看出,校园网信息网的安全需求一是要保障整个通讯链路的安全;二次是保护校园网内重要科研服务器以及办公网络的安全。
2.1 校园网系统安全问题分析
2.1.1 互联网安全问题与缺陷
互联网安全问题为什么这么严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,我们可以归纳为四个方面:互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。
首先,互联网是一个开放的网络,TCP/IP是通用的协议。各种硬件和软件平台的计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束,可以迅速通过互联网影响到世界的每一个角落。
其次,互联网的自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多的网络协议和应用没有提供必要的安全服务,比如电子邮件使用的协议SMTP没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。互联网和所连接的计算机系统在实现阶段也留下了大量安全漏洞。一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞也越来越多。特别是由于市场竞争,一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场,留下了大量的安全隐患。
互联网威胁的普遍性是安全问题的另一个方面,而且随着互联网的发展,对互联网攻击的手段也越来越简单、越来越普遍。如图1所示,目前攻击工具的功能却越来越强,而对攻击者的知识水平要求却越来越低,因此攻击者也更为普遍。
管理方面的困难性也是互联网安全问题的重要原因。具体到一个学校内部的安全管理,由于业务发展迅速、人员流动频繁、技术更新快等因素的影响,安全管理也非常复杂,人力投入不足、安全政策不明是常见的现象;扩大到不同国家之间,由于安全事件通常是不分国界的,但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制,比如跨国界的安全事件的追踪非常困难。
2.1.2 校园网安全特点
高等教育和科研机构是互联网诞生的摇篮,也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一,中国的高校校园网一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方,安全管理也更为复杂、困难。
与政府或企业网相比,高校校园网的以下特点导致安全管理非常复杂:
校园网的速度快和规模大
高校校园网是最早的宽带网络,普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps,目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大,少则数千人、多则数万人。中国的高校学生一般集中住宿,因而用户群比较密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重。
校园网中的计算机系统管理比较复杂
校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,有的院系是统一采购、有技术人员负责维护的,有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后通常无法分清责任。比较典型的现象是,用户的计算机接入校园网后感染病毒,反过来这台感染病毒的计算机又影响了校园网的运行,于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。
活跃的用户群体
高等学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏。
开放的网络环境
由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如,企业网可以限制允许Web浏览和电子邮件的流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。
有限的投入
校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。
盗版资源泛滥
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
3 校园网络系统风险分析
以上各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下:
Ø 普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;
Ø 计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行;
Ø 外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;
Ø 内部用户的攻击行为,这些行为给校园网造成了不良的影响,损害了学校的声誉;
Ø 校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用;
Ø 垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。
3.1 校园网安全弱点分析
弱点是资产本身存在的,可以被威胁利用、引起组织信息资产或业务目标的损害,一般的,安全风险总是针对系统的安全弱点,所谓安全弱点就是系统在某个方面存在缺陷,而有可能被系统的攻击者利用,对系统发起攻击。所以安全弱点是分析安全风险的首要因素,针对高校校园网,我们分析其存在以下的安全弱点:
3.1.1 网络结构的弱点
从网络结构上来看,高校校园网络网络内所有的用户终端、服务器都在同一个局域网下,重要的数据被集中在网络中心(IDC),但是与其他设备没有采取任何隔离和控制措施,因此很容易受到非授权访问的攻击行为,造成机密数据外泄;
还有,单纯依靠防火墙进行边界隔离与访问控制,对于伪装类攻击是无能为力的,比如UNICODE攻击,就能够扰过防火墙,还有,防火墙对内部攻击行为也是无能为力的,这些都说明只用防火墙来进行边界隔离还存在防护弱点;
由于高校校园网络的规模比较大,从管理上会带来很多困难,网络设备和网络安全设备比较多,而且分布在不同的大楼,但是要想让网络运行正常、稳定又不得不对这些设备进行管理和配置,一旦某处的设备出现故障,将不能及时的进行故障排除,网络将会受到影响。
3.1.2 网络协议的弱点
校园网络的基础协议就是TCP/IP,由于其自身的缺陷,也使网络存在先天的一些弱点。TCP/IP协议在产生之处,还没有全面考虑安全方面的因素,因而在安全方面存在先天的不足,典型利用TCP/IP协议的弱点发起攻击行为的就是“拒绝服务攻击”,比如“SYN FLOOD”攻击,它就是利用了TCP协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”表示的数据包,导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。
利用TCP/IP协议弱点例子还有就是IP欺骗攻击,IP欺骗由若干步骤组成,首先,目标主机已经选定。其次,信任模式已被发现,并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗,进行以下工作:使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。使被信任主机丧失工作能力,攻击者将要代替真正的被信任主机。
特别是在高校校园网络这样一个环境当中,有很多对这方面技术好奇或者存有恶意心态的学生,会利用这一弱点来进行攻击,如果不进行必要的安全防范措施,对整个校园网络来说后果是非常严重的。
3.1.3 系统和应用弱点
高校校园网内一般都运行有大量的重要服务器,众所周知,每一种操作系统都包含有漏洞(如下表所示),开发厂商也会定期发布不订包。如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。如果网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。
ID
名称
说明举例
1
Backdoor
各种后门和远程控制软件,例如BO、Netbus等
2
Brute Force
各种浏览器相关的弱点,例如自动执行移动代码等
3
CGI-BIN
各种CGI-BIN相关的弱点,例如PHF、wwwboard等
4
Daemons
服务器中各种监守程序产生弱点,例如amd, nntp等
5
DCOM
微软公司DCOM控件产生的相关弱点
6
DNS
DNS服务相关弱点,例如BIND 8.2远程溢出弱点
7
E-mail
各种邮件服务器、客户端相关的安全弱点,例如Qpopper的远程溢出弱点
8
Firewalls
各种防火墙及其代理产生的安全弱点,例如Gauntlet Firewall CyberPatrol内容检查弱点
9
FTP
各种FTP服务器和客户端相关程序或配置弱点,例如WuFTPD site exec弱点
10
Information Gathering
各种由于协议或配置不当造成信息泄露弱点,例如finger或rstat的输出
11
Instant Messaging
当前各种即时消息传递工具相关弱点,例如OICQ、IRC、Yahoo messager等相关弱点
12
LDAP
LDAP服务相关的安全弱点,
13
Network
网络层协议处理不当引发的安全弱点,例如LAND攻击弱点
14
Network Sniffers
各种窃听器相关的安全弱点,例如NetXRay访问控制弱点
15
NFS
NFS服务相关的安全弱点,例如NFS信任关系弱点
16
NIS
NIS服务相关的安全弱点,例如知道NIS域名后可以猜测口令弱点
17
NT Related
微软公司NT操作系统相关安全弱点
18
Protocol Spoofing
协议中存在的安全弱点,例如TCP序列号猜测弱点
19
Router/Switch
各种路由器、交换机等网络设备中存在的安全弱点,例如Cisco IOS 10.3存在拒绝服务攻击弱点
20
RPC
RPC(SUN公司远程过程调用)服务相关的弱点,例如rpc.ttdbserver远程缓冲区溢出弱点
21
Shares
文件共享服务相关的安全弱点,i.e. NetBIOS/Samba等相关弱点,例如Samba缓冲区溢出弱点
22
SNMP
SNMP协议相关的安全弱点,例如利用“public”进行SNMP_SET操作
23
UDP
UDP协议相关弱点,例如允许端口扫描等
24
Web Scan
Web服务器相关安全弱点,例如IIS ASP dot弱点
25
X Windows
X服务相关安全弱点
26
Management
安全管理类漏洞
3.1.4 网络访问的弱点
网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到校园网的稳定与安全。如果在网络地址规划、接口配置、访问策略、带宽策略方面等方面没有系统的规划,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计;
网络访问在没有严格控制的情况下,针校园网内的各个应用系统,很容易造成非授权访问、越权访问的后果,这些行为都将导致严重的后果;
3.1.5 硬件平台的弱点
硬件平台的弱点指硬件平台包括硬件平台的纠错能力,它的脆弱性直接影响着软件资产和数据资产的强壮性。具体而言,软件是安装在服务器、工作站等硬件之上的,所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的,也就是说数据资产也间接地依赖于某些硬件,因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。
3.1.6 安全管理的弱点
再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环。我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。
Ø 缺乏针对性的安全策略和安全技术规范,安全管理和运行维护的组织不健全。
Ø 缺乏有效的安全监控措施和评估检查制度,无法有效的发现和监控安全事件,不利于及时发现安全事件并采取相应的措施。
Ø 缺乏完善的灾难应急计划和制度,对突发的安全事件没有制定有效的应对措施,没有有效的对安全事件的处理流程和制度。
Ø 随着校园网安全建设的深入,将有越来越多的安全防护产品被引入到网络中,这样多种技术和产品多层面、分布式共存,不同厂商的不同产品产生大量不同形式的安全信息,使得整个系统的相互协作和统一管理成为安全管理的难点。整体的安全管理体制也变得非常复杂,其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性,因而导致了网络安全的重大隐患。
3.1.7 邮件系统的弱点
邮件系统的弱点还体现在其往往成为病毒传播的主要渠道,垃圾邮件、木马邮件等均会对邮件系统的正常运行造成影响,特别是垃圾邮件经常被黑客利用,成为助纣为虐的工具,一些携带有恶意脚本的附件会对学校邮件系统造成很大的安全威胁,甚至会通过邮件系统发起对其他系统的攻击。如在2000年2月,黑客攻击雅虎等五大热门网站就是一个例子。黑客先是侵入并控制了一些高带宽的网站,集中众多服务器的带宽能力,然后用数以亿万计的垃圾邮件猛烈袭击目标,造成被攻击网站网路堵塞,最终瘫痪;
垃圾邮件还会消耗网络有限的带宽资源,尤其的在校园网络中造成整个校园网络的瘫痪的可能性会更大。
3.2 安全威胁分析
威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,主要有两个特点,一威胁总是针对具体的信息资产,比如校园网的机密及敏感信息、信息网络中的网络资源、信息网络中的关键应用等;二威胁总是在利用信息资产的弱点时,才会造成风险,针对高校校园网络,威胁可利用的弱点包括在3.1里描述的各类缺陷;威胁从形式上划分为威胁来源和威胁手段,信息安全所面临的威胁来自很多方面,对于高校校园网络系统来说,其面临的安全威胁有非人为威胁和人为的威胁。
3.2.1 人为的安全威胁
主要指对网络的人为攻击。这些攻击手段都是通过过寻找系统的弱点,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。一般来讲,这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。
被动攻击
被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。
对于校园网来讲,被动攻击的行为可能有以下几种形式:
Ø 监听网络中传输的数据包;
Ø 对明文传递的数据、报文进行截取或篡改;
Ø 对加密不善的帐号和口令进行截取,从而在网络内获得更大的访问权限;
Ø 对网络中存在漏洞的操作系统进行探测;
Ø 对信息进行未授权的访问;
主动攻击
主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改。
对于校园网来讲,主动攻击的行为可能有以下几种形式:
Ø 假冒:某个实体假装成另外一个实体,以便使一线的防卫者相信它是一个合法的实体,取得合法用户的权利和特权,这是侵入安全防线最为常用的方法;
Ø 截取:企图截取并修改网内传输的数据;
Ø 欺骗:进行IP地址欺骗,在设备之间发布假路由,虚假ARP数据包,比如一个互联网上的攻击者将数据包的源地址更改为内网地址,就有可能越过网络边界部署的问控制设备;
Ø 重放:攻击者对截获的某次合法数据进行拷贝,以后出于非法目的而重新发送。
Ø 篡改:通信数据在传输过程中被改变、删除或替代。
Ø 业务拒绝:对通信设备的使用和管理被无条件地拒绝。
绝对防止主动攻击是十分困难的,因为需要随时随地对通信设备和通信线路进行物理保护,因此抗击主动攻击的主要途径是检测,以及对此攻击造成的破坏进行恢复。
物理临近攻击
是指一未被授权的个人,在物理意义上接近网络、系统或设备,试图改变、收集信息或拒绝他人对信息的访问。
对于校园网来讲,物理临近攻击的行为可能有以下几种形式:
Ø 对骨干交换设备的毁坏、偷窃;
Ø 对配置数据的收集、修改;
Ø 对通信线路物理破坏或数据阻塞,影响整个网络的可用性;
Ø 利用电磁干扰,破坏线路的传输。
分发攻击
指在产品生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码,比如后门。
对于校园网来讲,物理临近攻击的行为可能有以下几种形式:
Ø 利用制造商在设备上进行软硬件配置修改;
Ø 在设备分发、安装时修改软、硬件配置。
内部人员攻击
内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。
对于校园网来讲,内部人员攻击的行为可能有以下几种形式:
Ø 恶意修改设备的配置参数,比如修改网络中部署的防火墙访问控制策略,扩大自己的访问权限;
Ø 恶意进行设备、传输线路的物理损坏和破坏;
Ø 出于粗心、好奇或技术尝试进行无意的配置,这种行为往往对组织造成严重的后果,而且防范难度比较高。
3.2.2 非人为的安全威胁
非人为的安全威胁主要分为两类:一类是自然灾难,另一类为技术局限性。
典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可以对网络系统造成毁灭性的破坏,其特点是:发生概率小,但后果严重。
技术局限性体现在网络技术本身的局限性、漏洞和缺陷,典型的漏洞包括:链路老化、电磁辐射、设备以外故障、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
信息系统的高度复杂性以及信息技术的高速发展和变化,使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。尤其是高校校园网络,网络用户数量居多,只要某种信息泛滥都会对整个网络造成严重的后果,特别是对学生来说,由于自己的好奇或者对某种计算机技术的热中,都在想用计算机试图做点什么,这种例子在高校尤其可见。
3.3 高校校园网络安全风险分析
校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面:
我们知道,信息安全的三个特征是:
Ø 保密性:确保只有被授权的人才可以访问信息;
Ø 完整性:确保信息和信息处理方法的准确性和完整性;
Ø 可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。
那么,信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。
3.3.1 物理层安全风险
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。
中心机房的建设
对于高校网络来说,机房都是由一个主机房和多个下级机房组成,这是由于一个高校的终端分布比较广,而且分布不均匀,还有就是应用系统比较多,比如学校的办公系统,财务系统,各个院系也有自己的应用系统用来教学和办公。
对于各个机房的建设,需要考虑以下几点安全风险:
Ø 各种自然灾害对学校网络造成不必要的麻烦,比如水灾、火灾将直接破坏中心机房内的设备,导致重要的数据被破坏;
Ø 因为停电和电源的问题而导致系统中断服务,数据完整性被破坏等;
Ø 电磁辐射可能造成数据信息被窃取或偷阅;
Ø 报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
Ø 数据备份不完善或手段简陋,一旦系统发生问题,将会造成不可挽回的损失。
Ø 关键设备没有做到冗余备份,如果发生设备运行故障,可能导致系统瘫痪。
设备安全风险
设备的安全风险主要有:
Ø 对设备的盗窃和毁坏的风险,据调研结果表明,大部分机房没有采用电子报警系统,并派专人值守。设备或部件没有明显的不可去除的标记,丢失后无法追查;机房外的网络设备没有防护措施,不能防范盗毁等。
Ø 设备可用性的风险,如计算机主机、外部设备、网络设备及其它辅助设备等没有有效的故障报警、诊断机制;设备提供商不能及时提供技术支持等,这些因素将会严重影响系统的运行持续性。
介质安全风险
存储介质的安全风险主要有:
Ø 介质由于霉变、电磁干扰、物理损伤等原因很可能会导致部分甚至全部数据的损坏;
Ø 介质老化造成的数据丢失和数据交换可靠性的降低;
Ø 介质和介质数据因机房出入控制不严或管理不善丢失或被盗窃、毁坏;
Ø 介质管理不严或废弃介质处理不当,导致信息的随意复制或泄漏;
Ø 由于数据存储介质中的作废数据没有被彻底销毁,造成数据被恢复,泄漏重要信息。
3.3.2 网络层安全风险
Ø DOS/DDOS攻击、DNS欺骗攻击,会造成服务器服务的中断,影响业务的正常运行;
Ø 内部用户通过Sniffer等嗅探程序在网络内部抓包,获得系统用户名和口令等关键信息或其他机密数据,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
Ø 内部用户通过扫描软件或取其他用户系统或服务器的各种信息,并利用这些信息对整个网络或其他系统进行破坏。
Ø BT,电驴等P2P下载软件的泛滥应用,造成网络资料的大量消耗。
Ø 病毒,尤其是蠕虫病毒爆发,也将使整个网络处于瘫痪状态。
Ø 目前,垃圾邮件已经成为网络安全的又一种重大威胁,垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗,邮件服务器系统资源消耗殆尽,不能够进行正常的邮件转发服务。
网络协议存在的风险
网络基础协议-TCP/IP协议在设计之初,更多的是考虑的网络互联互通的需求,以及数据可靠传输的要求,没有从安全的角度进行考虑,这就使的协议上的许多弱点会被利用来发动一次攻击行为,其中最典型的攻击行为就是拒绝服务攻击行为。
一般地,拒绝服务攻击并不针对系统的信息,也并不进入系统进行破坏,它是通过对系统资源的刻意消耗,将大量的服务请求发向一台计算机中的服务守护进程时,就会发生服务过载。这些请求可以通过许多方式发出,许多是故意的。在分时机制中,这些潮水般的请求,使得计算机十分忙碌地处理这些不断到来的请求,以至于无法处理常规的任务。同时,许多新到来的请求被丢弃,因为没有空间来存放这些请求。如果攻击的是一个基于TCP协议的服务,那么这些请求的包还会被重发,结果更加重了网络的负担。最终导致网络瘫痪,无法响应正常的访问,破坏系统的可用性。
网络存储设备存在的安全风险
在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全隐患:
Ø 路由交换机缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET登录时以明文传输口令,一旦口令泄密路由交换机将失去所有的保护能力。而攻击者一旦获得路由器的访问口令,则很容易通过路由器对高校网络系统进行网络嗅探、植入后门、暴力攻击,使系统瘫痪、重要信息外泄等;
Ø 路由交换机口令的弱点是没有计数器功能的,所有每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令,从而获得对系统的控制权限;
Ø 每个管理员都可能使用相同的口令,因此,虽然访问日志可以详细记录管理员对路由器进行登录、修改操作,但无法区分是哪位管理员进行的操作,给事后分析取证带来困难;
Ø 路由交换机实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用,通过发布假路由,破坏网络的路由设置,使高校广域网内路由混乱,无法正常发送数据或公文;
Ø 针对路由交换机的拒绝服务攻击或分布式拒绝服务攻击,而造成路由瘫痪,甚至造成系统的瘫痪。比如ICMP重定向攻击、源路由攻击等。
网络服务器的奉贤
就高校校园网络来说,由于应用系统和用户数量居多,决定了服务器的数量是也就跟着增加,如何确保这些网络服务器能够稳定、可靠、安全地运行,是保证校园网络系统各项业务正常开展的基础。一般来讲,网络服务器所面临的安全问题包括:
Ø 维护存储在服务器上信息的机密性。这要求保证:1)只有授权用户才可以访问服务和信息;2)授权用户只能访问那些他们被授权访问的服务;3)信息的公开要与策略一致,否则将造成信息被非法访问,甚至被泄露出去;
Ø 维护存储在服务器上信息的完整性,以免信息被破坏或被损坏,并使系统像期望的那样运行。这意味着要能对完整性的破坏进行识别和响应,否则将无法识别信息在存储的过程中是否被修改;
Ø 维护服务和信息的可用性。这要求保证:1)即使硬件或软件出故障,或进行系统的日常维护时对信息和服务的访问也不中断;2)能及时识别并响应安全事件;
Ø 确保用户名副其实,网络服务器主机也名副其实,这叫做“相互验证”。
网络访问的合理性
对网络访问缺乏控制手段,将导致对系统运行的失控,系统将无法确认信息总是被授权的人员获得,特别使在网络种,伪造和假冒合法用户,对系统发起访问,是非常容易做到的。
Ø 对访问来源没有鉴别机制,将给入侵者发起伪装类攻击造成机会,造成没有授权的访问者假冒合法用户,获取系统的信息资源,造成机密信息外泄;
Ø 对访问类型没有控制措施,可能会造成合法用户的越权访问,仍旧会导致机密信息外泄;
Ø 对访问目标没有鉴别机制,将有可能使合法用户访问了攻击者蓄意假冒的目的,从而获得合法用户的帐号和口令,使攻击者具备访问校园网络的条件,从而更有效的发动对系统的攻击;
对系统中的各类访问缺乏审计手段,将造成网络安全管理人员的“盲区”,网络安全管理人员无法了解到系统的运行情况和系统的访问态势,无法及时发现系统中存在的安全隐患,更谈不上采取安全措施了;
对系统中各类日志信息缺乏关联分析将使网络安全管理人员陷入“一叶障目,不见森林”的误区,网络安全管理人员无法从全局的角度对系统运行情况和安全态势进行把握。
信息网络缺乏有效的抗抵赖措施,导致发信者事后否认曾经发送过某条信息,或者接收者否认曾经受到过某条信息时,系统无法提供有力的证据。
数据传输的安全风险
具体来讲对数据传输存在的主要风险包括::
Ø 窃听、破译传输信息:校园网承载了各类和与外界交换数据的传输,且传输的部分信息和有一定的敏感性,而数据以明文方式被传递时,很容易遭到攻击者的窃听,造成信息泄露;
Ø 篡改、删减传输信息:攻击者在得到报文内容后,即可对报文内容进行修改,造成收信者的错误理解。即使没有破译传输的信息,也可以通过删减信息内容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、地点等重要内容的缺失,导致信息的严重失真;
Ø 重放攻击:即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,但也可以通过重新发送收到的数据包的方式,进行重放攻击。对于一些业务系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误;
Ø 伪装成合法用户:利用伪造用户标识,通过电子邮件、实时报文或请求文件传输得以进入通信信道,实现恶意目的。例如,伪装成一个合法用户,参与正常的通信过程,造成数据泄密。
3.3.3网络系统层安全风险
在高校校园网中有各类的计算机操作系统,主要应用的操作系统是MicroSoft Windows操作系统,而我们知道, Windows系统自身存在许多安全漏洞,比如RPC、IIS等。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用的角度,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手,给系统造成极大的破坏。
此外,根据CNCERT的年度报告中我们看到,目前对于UNIX、AIX、SOLARIAS等操作系统,仍然存在着许多安全漏洞和后门,这些弱点将很容易被攻击者所利用,进而发起对系统的攻击,造成网络被破坏,而操作系统又是重要应用系统的支撑,一旦操作系统层面受到入侵和破坏,很容易使应用系统的安全性面临安全威胁,造成信息外泄,或者系统瘫痪。
3.3.4 应用层安全风险
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。但一些通用的应用程序,如Web Server程序,FTP服务程序,E-mail服务程序,浏览器,MS Office办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。
WEB服务器安全风险
目前采用B/S结构进行应用程序的设计是个趋势,对于高校校园网络系统来讲,大多数系统采用了B/S结构,这种结构的好处是客户端不需要安装程序,而且系统稳定,支持多种操作系统平台,但是由于此类系统的访问均通过WEB服务器进行,针对WEB服务器,存在以下的安全风险:
Ø 服务器崩溃,各种WEB应用服务停止;
Ø WEB服务脚本的安全漏洞,远程溢出(.Printer漏洞);
Ø 通过WEB服务获取系统的超级用户特权;
Ø WEB页面被恶意删改;
Ø 通过WEB服务上传木马等非法后门程序,以达到对整个服务器的控制;
Ø WEB服务器的数据源被非法入侵,用户的一些私有信息被窃;
Ø 利用WEB服务器作为跳板,进而攻击内部的重要数据库服务器。
Ø 拒绝服务攻击或分布式拒绝服务攻击;
Ø 针对IIS攻击的工具,如IIS Crash;
Ø 各种网络病毒的侵袭,如Nimda,Redcode II等。
Ø 恶意的JavaApplet,Active X攻击等;
Ø WEB 服务的某些目录可写;
CGI-BIN目录未授权可写,采用默认设置,一些系统程序没有删除;
文件服务器安全风险
Ø 匿名登录,非法访问未授权资源;
Ø 拒绝服务;
Ø 恶意用户名与密码的猜测;
Ø 用户上传恶意代码,含毒文件等;
业务应用系统安全风险
Ø 源程序中存在的BUG,被利用发起攻击,造成业务应用被中断;
Ø 源程序中出于程序调试的方便,人为设置许多“后门”,一旦被黑客利用后,将直接通过“后门”控制系统;
Ø 应用系统自身很弱的身份认证,使得黑客获得访问应用系统的权限,从而访问到学校的机密信息,造成信息外泄;
Ø 应用系统的用户名和口令以明文方式被传递,容易被截获,从而发起对系统的非授权访问;
Ø 各种可执行文件成为病毒的直接攻击对象;
数据库安全风险
整个校园网中许多关键的业务系统都运行在数据库平台上如:学生数据,学生档案,考试数据等,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:
Ø 系统认证:口令强度不够,过期帐号,登录攻击等;
Ø 系统授权:帐号权限,登录时间超时等;
Ø 系统完整性:特洛伊木马,审核配置,补丁和修正程序等;
Ø 数据丢失,操作日志被删除;
Ø 没有采用数据冗余备份;
Ø 数据库系统自身的BUG;
Ø 没有打最新的数据库系统的补丁;
Ø 选择了不安全的默认配置;
3.3.5 管理层安全风险
管理层面的安全风险主要表现在安全组织的建设、安全管理策略和制度的制定与执行、人员的管理等方面。据调研结果表明,对于校园网络系统来讲,必须要有专职管理人员,安全策略和机制、制度没有或不健全。
再安全的网络设备也离不开人的管理,再好的安全策略最终也要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络。校园网应按照国家关于计算机和网络的一些安全管理条例,如依照《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等来制订安全管理制度。另一方面,我们应该对站点的访问活动进行多层次的记录,及时发现非法入侵行为。否则,当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),就无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是安全管理制度和解决方案的结合。
4 安全需求分析
结合第三章所分析的内容,我们可以清晰看到,对于高校校园网络来说存在着较多的安全隐患,对应物理层、系统层、应用层、管理层的安全威胁,为规避安全风险,必须采用对应的安全措施,在安全整体规划设计中,我们将提出具体的安全建设需求,我们将据此进行全面的归纳分析,并针对安全需求规划出相应的防护措施手段。
4.1 校园网络安全建设目标
本系统应在技术上具有先进性,在设备选型方面具有适当的超前性和较强的可扩充性,保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性价比。系统应充分利用现有的通讯方式,实现最有效的信息沟通,采用开放式和具有可扩展性的结构方案,保证系统的不断扩充。
更为重要的是,随着安全系统的建成与开通,能够充分开发教育信息资源,开展相应的信息增值服务,为教育事业带来巨大的社会效益和经济效益;能够充分展现院校的窗口作用,提高整体工作水平和效率,树立学校新形象。
信息安全建设将随校园网络信息系统建设一起,遵循整体规划、分步实施的原则。
4.2 校园网整体安全需求
4.2.1 校园网边界安全管理需求
为了保护校园网的安全,校园网边界安全管理总体目标就是确保校园网与外界网络的信息交换安全可控,既要能够保证正常的校园网和互联网的信息交换,同时也能阻挡恶意网络访问,例如端口扫描、非授权访问行为、病毒、不良网站等。
规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。
4.2.2校园网漏洞及补丁管理安全需求
校园网是一个由多协议、多系统、多应用、多用户组成的复杂性网络环境,校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。为了要保障校园网安全,必须做好校园网漏洞管理。
4.2.3 校园网服务器安全需求
校园网服务器存储大量信息,例如学生档案、学生作业、考试数据、网页文件等。其安全需求有: 对服务器访问要进行安全身份认证,非认证用户无法进行访问; 服务器提供的资源受控制,防止非授权人员拷贝、修改、发送; 支持远程安全管理,校园网管理员能够从远程进行安全登录,为其传输的信息加密; 服务器的操作行为有严格审计,能够防止黑客有意删除; 服务的安全状态能够实时显示,各种安全组件的工作状态能够被监测到; 服务器在受到损害时,至少能做到数据恢复可用。
4.2.4 关键业务系统保护安全需求
校园网络中都存在这多个关键业务系统,比如:学生档案,财务等,需要对这些存储在关键服务器上的关键业务数据进行保护,防止泄密、修改/非授权的访问、破坏等威胁;其中人事、财务数据需要限制在本部门或被授权的少数人员可以访问;主要细分为以下3个方面的安全需求:
Ø 对关键业务服务器系统保护的安全需求;
Ø 对访问关键业务服务器终端保护的安全需求;
Ø 防止未授权地访问/修改关键业务服务器数据的安全需求。
对于关键业务服务器的加固主要来自三个方面,其一是针对服务器操作系统的漏洞要及时发觉,并通过补丁升级的方式进行修补,其二是通过对服务器开放的服务进行评估,及时关闭那些不必要的服务,特别是一些存在安全隐患的服务,比如RPC、RLOGIN等,这些服务将使系统很容易遭到攻击;其三是对服务器许可访问的用户进行加固,对于长期不用的帐号要及时清楚,并且帐号的口令要有足够的强度,通常建议采用字母加数字加特殊字符的方式,比如“342@T9NE”等强口令,可以从一定程度上避免被口令暴解。
4.2.5 校园网安全监控管理安全需求
对校园网络进行安全监控,就如同在教学大楼内安装的闭路电视监控系统。其主要需求有: 对校园网关键区域的信息流动进行动态监测,能够把网络上流过的所有数据包,通过实时检测和分析,及时发现非法或异常行为; 对校园网紧急事件(网页篡改、试题盗窃)以最快的速度阻止; 能够按要求存储校园网访问日志记录,提供进行关键词查找和离线分析功能; 对校园网特殊安全事件进行回放。
需要加强对上网访问站点的检测与控制,针对上网访问的站点,通过URL过滤技术,对非法和不安全的网站进行过滤,另一方面需要对发布的内容做深层次的检测。
4.2.6 校园网病毒安全管理需求
病毒是校园网安全隐患之一,必须做到有效控制。其主要需求包括: 杀毒软件不仅要能保护文件服务,同时也要对邮件服务器、网站服务器、学生和教职员工用的PC、网关等所有计算机设备进行保护; 杀毒软件能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截; 杀毒软件查杀能力能够覆盖最新病毒,查杀病毒是多多益善,重点是目前的流行病毒。
4.2.7 校园网安全运维管理需求
校园网的硬件环境建设完毕后,一项重要的工作就是做好校园网的维护工作,保证校园网的稳定、安全运行,能够满足学校教学活动的要求。校园网的安全运维需要有一个校园网安全运营中心(School Security Operations Center,简称SSOC),通过SSOC强化安全管理工作,对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控、汇总和关联分析,提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控,保护校园网络数字资产安全。
4.3 校园网技术层面安全需求
在技术层面上,要实现从终端、网络、系统、应用等综合考虑的安全防护体系,将校园网划分为多个安全域,在不同的安全域内,结合相关应用特点,采用多种防护技术,实现整体的安全;
技术层面要解决的问题包括:
4.3.1 物理安全需求
Ø 机房建设上,要参考涉密网络建设标准,对学校网络中心机房的建设,要参考GB 9361-88中关于计算机场地安全要求,GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》
Ø 必须制定严格的门禁制度,对进出机房人员严格控制,确认只有授权许可的人员才能进入机房;
Ø 建立灾备中心,对重要的系统和数据进行全面备份,以便在系统遭到物理破坏时,能够对数据和系统进行恢复,确保业务的连续性。
物理访问控制
由于校园人员比较复杂,所以必须采取相应的措施来进行有效的管理,避免事故的发生:
Ø 机房出入口应安排专人值守,控制、鉴别和记录进入的人员;
Ø 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;
Ø 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;
Ø 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。
4.3.2 网络安全需求
所谓网络安全就是计算机系统安全概念在网络环境下的扩展和延伸,包括在网络内的访问是否充分得到授权与控制、网络内传输的数据是否得到加密性、完整性保护,网络内的数据包是否合乎安全策略的要求,对网络安全的需求体现在以下几个方面:
Ø 防范非法用户非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。
Ø 防范合法用户非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户(指数字网络合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问权限进行严格控制。
Ø 防范假冒合法用户非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而进行的非法访问。
4.3.3 应用安全需求
应用安全主要涉及到应用系统信息资产的保密性和完整性保障,对应用安全的考虑主要集中两个方面,一是内容审计,审计是记录用户使用计算机网络系统所访问的所有资源和访问的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能够成功的还原系统的相关协议。二是对应用系统访问的源、目的的双向鉴别与授权,针对校园网络系统而言,建立CA系统是满足这一要求的可行解决方案。CA认证体系使用了数字签名、加密和完整性机制,使两个或多个实体之间通信时,进行“交叉认证”,可以有效的鉴别对应用系统访问来的身份,并根据确认的身份确定其能够访问的资源。
此外,针对校园网重要业务系统,要规划全面的病毒防护体系,我们看到,随着网络的飞速发展,病毒的发展趋势是从面向文件型转到面向应用的,从面向单机转到面向网络的,防病毒软件面临着集中管理、智能更新等多方面的问题,病毒防护也已经步入到了一个网络化、多方位防护的阶段。
网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的网络级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。
4.3.4 管理层面的需求
管理层面在技术上强调统一、智能化的安全监控和管理系统,能够对网络内的安全设备、终端、网络设备进行综合的管理和监控,在系统运维上强调管理组织、管理制度、安全策略等方面来确保系统的运行安全,是系统安全稳定运行的基础,管理层面主要强调“人”的作用,强调“人”在系统中发挥的主要作用。
建立集中的安全管理平台
部署的安全管理平台能够对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息进行综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高整体网络的安全防护能力。
其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。
对于校园网而言,建立安全管理平台的主要目标是:从根本上改变不断增加的安全技术和安全产品所造成的信息孤立、管理困难的局面,在一个规范、统一的综合管理平台上有机整合各种安全技术、产品,同时使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,突出人在网络安全管理中的中心地位,充分地发挥用户网络中各种安全资源的作用,提高用户的网络安全防御体系的整体的综合效能,获得尽可能大的投入产出比。
具体来说,对安全管理平台的需求主要包括:
Ø 能够实时监控全网络运行
Ø 能够实施统一的安全策略管理
Ø 能够有效收集、整合、分析海量的运行事件
Ø 能够快速判断、应对网络安全威胁
Ø 能够及时预测网络安全趋势
Ø 有助于提高网管工作效率
安全管理组织的建立
针对管理层面,学校在网络建设初期就应该尽快建立独立的具有管理权的安全管理组织,来批准网络安全方针、分配安全职责并协调组织内部网络安全的实施。如有必要,应在组织内建立提供网络安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。
建议成立的安全管理组织包括:
ü 安全领导小组——由学校相关高层领导组成的委员会,对于网络安全方面的重大问题做出决策,支持和推动网络安全工作的实施。
ü 安全工作小组——以一个专门的网络安全工作组织的身份,负责学校网络的安全。配置以下岗位:
ü 小组管理者——负责网络安全的整体协调工作,负责网络安全的日常管理。
ü 系统安全管理岗位——负责系统的安全管理、协调和技术指导。
ü 网络安全管理岗位——负责网络的安全管理、协调和技术指导。
ü 安全策略管理岗位——负责安全策略的开发制定、推广、协调和指导。
ü 紧急响应岗位——负责监控入侵检测设备,并对投诉的、上报的和发现的等等各种安全事件进行响应。
ü 培训岗位——负责安全培训、策略培训工作的管理、协调和实施。
ü 安全审计岗位——负责按照安全绩效考核标准进行安全审计管理、工作监督和指导。
ü 安全顾问组——聘请安全专家作为技术支持资源和管理咨询,主要向安全工作小组负责。
从长远来看,可以建立安全维护中心,负责监控网络安全状况,管理安全产品,指导系统安全管理、网络安全管理、紧急响应等岗位的工作。
关于安全人员素质,则应该根据请其相应的工作职责来确认,要求胜任其本职工作,具备相应的技术素质和协调管理素质。
安全策略体系的需求
安全策略为网络安全提供管理指导和支持。学校应该制定一套清晰的指导方针,并通过在组织内对网络安全策略的发布和保持来证明对网络安全的支持与承诺。
ü 安全策略系列文档结构
Ø 最高方针
最高方针,属于纲领性的安全策略主文档,陈述本策略的目的、适用范围、网络安全的管理意图、支持目标以及指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。
与其它部分的关系:所有其它部分都从最高方针引申出来,并遵照最高方针,不与之发生违背和抵触。
Ø 技术规范和标准
技术标准和规范,包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。
与其它部分的关系:向上遵照最高方针,向下延伸到安全操作流程,作为安全操作流程的依据。
Ø 管理制度和规定
各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是必须具有可操作性,而且必须得到有效推行和实施的。此部分文档较多。
与其它部分的关系:向上遵照最高方针。向下延伸到用户签署的文档和协议。用户协议必须遵照管理规定和管理办法,不与之发生违背。
Ø 组织机构和人员职责
安全管理组织机构和人员的安全职责,包括的安全管理机构组织形式和运作方式,机构和人员的一般责任和具体责任。作为机构和员工具体工作时的具体职责依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
与其它部分的关系:从最高方针中延伸出来,其具体执行和实施由管理规定、技术标准规范、操作流程和用户手册来落实。
Ø 安全操作流程
操作流程,详细规定主要业务应用和事件处理的流程和步骤,和相关注意事项。作为具体工作时的具体依照,此部分必须具有可操作性,而且必须得到有效推行和实施的。
与其它部分的关系:向上遵照技术标准和规范、最高方针。
Ø 用户协议
用户签署的文档和协议。包括安全管理人员、网络和系统管理员的安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺,也作为安全违背时处罚的依据。
与其它部分的关系:向上遵照管理制定和规定、最高方针。
4.3.5 校园网运作层面的需求
在运作层面上,一方面要通过集中安全设备管理、安全事件收集、事件关联分析、状态监视、分析报表等对北整个校园网的安装状况进行实时监控和响应,另一方面,还需要安全厂商提供专业的运行人员、应急小组和专家队伍,通过系统评估、安全策略规划、管理制度规划、专家知识库构建和应急响应,为校园网提供长期的运维服务。
5 整体安全策略
5.1 安全策略体系的要素
一个完整的网络安全策略体系应该是安全管理和安全技术实施的结合,两者缺一不可。为了实现对网络的多层保护,真正达到网络安全保障的目标,高校校园网络安全保障体系的建设从人、技术和操作三个层次建立统一的安全策略,强调在一个安全体系中进行多层保护。也即在采用网络安全技术的同时,应该发挥网络系统中最积极的要素──“人”的作用,通过网络安全管理制度和机制来规范人在技术实施和安全操作中的职责,发挥人在网络安全实现中的能动性。
因此高校网络的安全策略体系从横向看,主要包含安全组织、安全管理和安全技术三个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
其次,为了使网络安全策略体系更有针对性,在网络安全策略体系的构建中还必须考虑网络安全本身的特点:动态性、相对性和整体性。
动态性:网络安全的动态性指的是网络中存在的各种安全风险处于不断的变化之中,从内因看,网络本身就在变化和发展之中,网络中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看,各种软硬件系统的安全漏洞不断的被发现、各种网络攻击手段在不断在发展,这些都可能使得今天还处于相对安全状态的网络在明天就出现了新的安全风险。
相对性:网络安全的相对性指的是网络安全的目标实现总是相对的,由于成本以及实际业务需求的约束,任何的网络安全解决方案都不可能解决网络中所有的网络安全问题,百分之百安全的网络系统是不存在的,不管网络安全管理和安全技术实施有多么完善,网络安全问题总会在某个情况下发生。网络安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全策略体系中的重要环节。
整体性:网络安全的整体性指的是网络安全是一个整体的目标,正如木桶的装水容量取决于最短的木块一样,一个网络系统的安全水平也取决于防御最薄弱的环节。因此,均衡应该是网络安全策略体系的一个重要原则,这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡,以实现整体的网络安全目标。
根据以上网络安全的特点,天融信提出了“完全你的安全”的理念,认为网络安全的实现是一个过程而不是目标,网络安全应该在循环往复的由安全评估、安全策略制订和更新、安全培训、安全技术实施、安全预警、网络安全检测、网络安全应急响应和灾难恢复等环节组成的生命周期中得到螺旋式的提高。因此校园万路过整体安全策略体系在纵向应该包含以上生命周期的各个环节和要素。
5.3 校园网络安全策略体系的设计
根据上一节的描述,参考安全策略体系需要考虑的各个要素,设计出校园网安全策略体系如下图所示:
图5.3 高校网络系统安全保障体系
安全策略体系的深度防御战略模型将防御体系分为组织、技术和管理三个要素,网络安全管理就是通过一系列的策略、制度和机制来协调这三者之间的关系,明确技术实施和安全操作中相关人员的安全职责,从而达到对安全风险的及时发现和有效控制,提高安全问题发生时的反应速度和恢复能力,增强网络的整体安全保障能力。因此,网络安全管理体系首先要解决“人”的问题,建立完善的安全组织结构,其次是解决“人”和“技术”之间的关系,建立层次化的网络安全策略,包括纲领性策略、安全制度、安全指南和操作流程,最后是解决“人”与“操作”的问题,通过各种安全机制来提高网络的安全保障能力。
5.4 关键技术体系策略
5.4.1 物理安全策略
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。物理安全策略主要表现在四个方面:
l 环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》;
l 设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
l 媒体安全:包括媒体数据的安全及媒体本身的安全;
l 灾备中心:对重要的系统和数据进行全面备份,以便在系统遭到物理破坏时,能够对数据和系统进行恢复,确保业务的连续性。
显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上探取一定的防护措施,来减少或干扰扩散出去的空间信号。
正常的防范措施主要在三个方面:
1、 对主机房及重要信息存储、收发部门进行屏蔽处理 即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓,磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导,门的关起等。
2、 对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
3、 对终端设备辐射的防范
终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复,个别重要的电脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
5.4.2 网络安全策略
对于高校网络而言,网络安全策略主要包括网络结构、访问控制、入侵防范、防病毒这几个方面,在技术上则分别通过防火墙、入侵防御系统、病毒过滤网关系统来实现,具体的策略分别描述如下:
网络结构策略
对于高校网络而言,从网络结构上我们制定了以下安全策略来保证整个网络系统的正常运行:
Ø 保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
Ø 保证网络各个部分的带宽满足业务高峰期需要;
Ø 在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
Ø 绘制与当前运行情况相符的网络拓扑结构图;
Ø 根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
Ø 避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
Ø 按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机;
Ø 根据区域和业务系统的重要性,通过防火墙划分不同的安全区域,针对不同区域的安全级别制定出相应级别的安全措施。
访问控制策略
在访问控制策略方面,我们制定了以下的策略:
Ø 在网络边界部署防火墙设备,启用访问控制功能;
Ø 能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
Ø 对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
Ø 在会话处于非活跃一定时间或会话结束后终止网络连接;
Ø 限制网络最大流量数及网络连接数;
Ø 重要网段防止地址欺骗和DDOS攻击以及其他攻击手段;
Ø 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;
入侵防范策略
随着新发现的漏洞数量的不断增加,利用这些漏洞进行攻击的速度越来越快,手段也越来越高明,使用户的信息网络面临着越来越高的风险,同时给用户的业务带来日益严峻的威胁。利用混合技术攻击网络基础架构的新型混合攻击在不断增加和演变,这意味着用户无论规模大小都必须坚持不懈地保护自己,以抵御这些不断变化的威胁。
单凭传统的、被动的安全技术已经不能确保网络的可用性、完整性和数据保密性。由于传统技术本身的能力所限,无法提供前瞻性的威胁检测和防护,对于手段高明且极具针对性的新出现的零时间(zero-day)攻击和拒绝服务(DoS)攻击,以及间谍软件、恶意软件和IP语音(VoIP)等威胁,用户的防线仍然十分脆弱。此外包括黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游)在内的安全隐患极大地困扰着用户,尤其是混合威胁的风险,给学校的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个学校所面临的问题。用户需要部署先进的前瞻性防护,以抵御基于漏洞的威胁和攻击,从而保护其重要的网络基础架构。而且,各类学校都面临强大的管理和审核压力,它们要确保机密数据的安全并降低业务风险。
面对这些问题,传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码;无法发现内部网络中的攻击行为。入侵检测系统IDS旁路部署在网络上,当它检测出黑客入侵攻击时,攻击可能已到达目标造成损失,无法有效阻断各种攻击;入侵检测系统IDS侧重网络监控,注重安全审计,适合对网络安全状态的了解。但是对检测到的入侵行为无法提供及时有效的反应,因此需要更加有效的入侵防御系统。
入侵防御系统往往以串联的方式部署在网络中,提供主动的、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
入侵防护技术典型部署示意图
防病毒策略
通过部署防病毒网关,对进入网络中的数据进行病毒过滤,防止大规模病毒,及蠕虫在网内的爆发,将带有病毒的邮件拒之门外
在服务器上部署防病毒软件,对设备进行本机保护,并与防病毒网关一起形成多层的病毒防护措施。
5.4.3 应用安全策略
应用安全主要涉及到应用系统信息资产的保密性和完整性保障,对应用安全的考虑主要集中两个方面,一是安全审计,审计是记录用户使用计算机网络系统所访问的所有资源和访问的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能够成功的还原系统的相关协议。二是对应用系统访问的源、目的的双向鉴别与授权。这里我们主要描述安全审计系统的策略:
安全审计策略
针对高校网络,网络中各种安全设备(防火墙、病毒检测等)、操作系统(包括Windows和Unix)、应用服务(email,www,ftp,DNS)等都可产生大量的审计数据,并且在网络中有大量的活动,这些信息对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用。但由于目前网络攻击的手段越来越多样,攻击方法越来越隐蔽,单纯依靠这些彼此孤立的事件记录和简单的局部分析已经无法满足网络安全监测的目标。
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,为调查取证提供第一手的资料。
通常安全审计系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为,需要经过下列四个过程。
(1)数据采集:网络安全审计系统需要采集必要的数据用于审计分析。
(2)数据过滤/协议还原:根据预定义的设置,进行必要的数据过滤及缩略,从而提高检测、分析的效率。同时对数据进行协议还原,提取用户关心的内容数据。
(3)数据存储:将内容数据按一定的策略进行本地或远程存储。
(4)数据分析/审计/报警:根据定义的安全策略,进行审计/分析。一旦检测到违反安全策略的行为或者事件,进行报警。
安全审计系统流程图
针对高校网络的具体情况,我们将制定以下的安全策略:
Ø 网络信息内容监测和取证策略:对校园网络的各种应用,包括数据传输(FTP协议)、网页浏览(HTTP协议)、电子邮件收发(SMTP 、POP3、IMAP协议)、远程登陆(TELNET协议)、网上邻居(NETBIOS协议)、即时通讯(ICQ协议等)进行基于内容的审计,可根据校园网络管理人员的需求进行审计策略的设置,例如仅对HTTP协议内容完全记录、解码、还原和归档,而不审计其它协议。产品通过对网络信息内容的完全监控和记录,为校园网管理员或安全审计员提供对网络信息泄密事件进行有效的监控和取证;也可以完全掌握员工上网情况,比如是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站等等。安全审计的对象还包括对敏感信息的审计、对资源滥用的审计、对特定行为的审计等。
Ø FTP监控策略:记录、查询访问FTP服务器的用户名、口令字;记录和回放用户在服务器上的全部操作过程;对指定端口,指定IP或IP地址段进行监控;根据设定的关键词或关键字组合对传输的内容进行查询、分析、统计;对符合条件的相关内容形成证据文件,提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、协议、用户名、文件名等;并且最终根据用户指定条件,生成报表。
Ø HTTP监控策略:截获、记录、回放、归档被监测网段中所有用户浏览WEB页的内容,包括各种文件,如HTML文件、图像文件、文本文件等。
Ø 网页内容过滤策略:对用户访问的某个特定网站进行监控;对指定端口,指定IP地址或IP段进行监控;根据设定的关键词或关键字组合自动对网页内容查询、分析、统计、检查。
Ø 电子邮件监控策略:完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件,内容包括:收件人和发件人各自的邮件地址、收件人和发件人各自的IP地址、电子邮件的主题、电子邮件的内容、电子邮件附件的完全还原,并可将附件导出、对压缩的附件进行最多十四层的解压。
Ø 远程登陆监控策略:记录、查询访问服务上TELNET用户名、口令字;记录和回放用户在服务器上的操作过程;对指定端口,指定IP或IP地址段进行监控;根据设定的关键词或关键字组合自动对传输的内容查询、分析、统计,对符合条件的相关内容形成证据文件,提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、协议、用户名;最后按照用户指定的条件,生成报表。
Ø 网上邻居监控策略:对NETBIOS和SMB协议进行解码、分析和还原;记录和报告用户访问过的“网上邻居”上的其他主机IP和名称;记录、报告用户访问过的“网上邻居”中的各种资源,包括文件、目录、打印机等;对指定端口,指定IP或IP地址段进行监控;最后按照用户指定条件,生成报表。
Ø 即时通讯监控策略:检测内部员工在工作时间上网聊天等违反规章制度的行为,对多种即时网络聊天协议内容的截获、记录、回放、归档;支持ICQ、IRC等多种即时通协议;能完全还原用户聊天的全部内容;能对指定端口、指定IP地址或地址段进行审计,最后按照用户指定条件,生成报表。
5.4.4 安全管理策略
针对校园信息网络内存在众多的应用系统,并且访问终端分布广,没有规律,很难管理,造成管理上极大的安全风险,针对管理方面,除了要建设相应的管理队伍,设计严格的制度和规范,还需要在技术方面具备安全管理的能力,从安全事件的角度,能够有效监控、分析和管理省局信息网络的整体安全态势。并执行以下的安全策略:
对于高校网络,在利用防火墙、入侵防御、安全审计等系统,组成基础防护平台地基础上,还需要进一步考虑整体安全管理的建设需求,通过该平台,一方面能够实现安全策略的统一配置与下发,确保安全防护的各个环节能够正确执行组织的安全策略;另一方面还能够实现对系统安全事件的集中收集与关联分析。
安全集中管理平台通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高网络整体的安全防护能力。
其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。
安全集中管理平台的设计目标是:从根本上改变不断增加的安全技术和安全产品所造成的信息孤立、管理困难的局面,在一个规范、统一的综合管理平台上有机整合各种安全技术、产品,同时使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,突出人在网络安全管理中的中心地位,充分地发挥用户网络中各种安全资源的作用,提高用户的网络安全防御体系整体的综合效能,获得尽可能大的投入产出比。
具体来说,主要包括:
l 实时监控网络运行
l 实施统一的安全策略管理
l 有效收集、整合、分析海量的运行事件
l 快速判断、应对网络安全威胁
l 及时预测网络安全趋势
l 提高网管工作效率
5.5 校园网络安全组织体系
5.5.1 设计原则
针对校园网来说,技术方案的规划和设计固然重要,但针对网络安全的长期运营来说,如果没有针对性的组织保障体系,很难保证系统长期稳定运行,很难保证能够发挥出系统的最佳优势,从而很难保证的长期安全,因此有必要对高校网络安全组织体系进行专门的设计,组织体系的设计原则为:
领导负责:安全属于“一把手”工程,必须引起学校高层领导的足够重视,在安全系统规划和实施的过程中,势必会影响到某些岗位的工作,只有高层领导的参与,才能保证安全体系建设的顺利推进。
全员参与:安全是属于大家的,安全不仅仅属于技术层面的问题,更多是属于管理层面的问题,所谓技术靠三分,管理靠七分,技术只是从检测、发现、报警、恢复等方面来保障,一个稳定可靠的安全系统,必须要有全员的参与,通过提高整体员工的安全意识和安全技能,才能够从更深的层次上杜绝安全事件的发生。
分工合作:安全的运营和维护往往涉及到很多部门,这就需要不同部门的人员能够参与到安全的运营中,必须针对不同的部门,制定不同的角色和分工,从而保障安全运营维护的协调统一。
5.5.2 体系设计
图5.5.2安全保障体系-组织体系架构
安全组织
安全领导小组:由学校相关领导组成,负责对学校网络安全体系建设进行统一的规划和设计,负责对学校网络选择的安全产品进行选型,对安全技术进行考证,在安全体系建设进行关键阶段与安全实施小组举行会议,检查项目的进展,并对项目中的一些关键问题和争议进行决策;
安全顾问组:由学校网络专家和厂家高级安全顾问组成,负责以下的工作:
Ø 主要从技术的角度领导整个服务现场实施的工作,负责与客户相关人员沟通协调
Ø 负责研究所需的网络安全解决方案
Ø 设计和实施安全服务的技术方法论
Ø 设计与开发项目技术解决方案
Ø 协助安全实施小组保证集成服务状态与品质保证
安全实施小组:由学校网络工程师、厂家项目工程师组成,负责学校网络安全的建设,同时将项目实施过程中的技术文挡进行归类,提供给安全系统运营小组作为参考依据;
安全运营小组:在学校网络安全项目建设完毕后,由安全实施小组的部分成员,加上售后服务工程师,组成安全运营小组,该小组负责维护总局网络安全系统,对系统运行期间出现的问题给予及时的响应和反馈,确保整个校园网安全系统的长期稳定运行;
组织间的合作:按照学校网络安全集成项目的不同阶段,各个小组对自己负责的范围进行工作,并在项目实施的关键阶段,通过例会的方式进行信息的沟通。
人员安全
一个有效的安全策略体系,首先考虑的因素是“人”,如何提高“人”的自身素养,提高“人”的安全意识,是校园网络安全系统的有力保障,对于校园网络安全体系建设我们将首先确定在校园网络的日常管理和运营维护中,具体的岗位分工、培训教育、安全考核三个部分进行考虑。
5.6 校园网络安全管理体系
5.6.1设计原则
安全管理体系以安全技术体系为基础,以安全组织体系为依托,从而保障高校网络整体安全的稳定运行,该体系主要从安全规章制度、安全操作指南、设备操作流程等方面,规范“人”的行为,发挥“人”的能动作用,防范人为因素造成对系统安全性的威胁。
5.6.2 体系设计
该体系主要包括安全规章制度、安全操作指南和设备操作流程等三个大的方面,如下图所示:
图5.6.2 安全保障体系-管理体系
安全规章制度
强调各种管理制度,约束“人”的行为,明确哪些是允许的行为,哪些是应该注意的行为,哪些是严格禁止的行为,特别是使用涉及国家机密信息的工作人员,要提出严格的规章制度来进行约束,主要包括以下方面的内容
Ø 机房管理制度
Ø 业务管理制度
Ø 岗位责任制度
Ø 操作管理制度
安全操作指南
为实现高校校园网络最终的安全目标,发挥出安全设备的最大效果,在安全厂家的支持下,针对不同的安全产品,制定响应的技术操作指南,供校园网络安全管理人员进行参考,并处理一些紧急事件,主要包括以下方面的内容:
Ø 安全设备操作指南
Ø 网络设备操作指南
Ø 操作系统操作指南
Ø 管理中心操作指南
设备操作流程
为约束网络管理员、系统管理员、安全管理员的行为标准,提出明确的技术要求和操作标准,主要包括以下方面的内容
Ø 网络设备操作流程
Ø 应用系统操作流程
Ø 安全设备操作流程
Ø 应急响应操作流程
6 高校校园网络解决方案概述
6.1参考模型
本方案的编写我们将参考“可信网络架构”而进行总体的规划与设计,可信网络架构是基于天融信公司强大的技术实力和先进的服务理念提出来的,旨在通过对现有信息安全产品和信息安全子系统的有效整合、管理与监控,结合可信网络的接入控制机制、网络内部信息的保护和信息可信传输机制,实现对用户网络的可信扩展与监管,并提供完善的信息安全保护。通过对用户网络安全系统的动态评估与完善,有效提升用户信息系统安全防御能力。
6.1.1 可信网络架构的概念与定义
定义1: 可信网络
我们认为的可信网络应该具有如下特征:
Ø 网络中的行为和行为中的结果总是可以预知与可控的;
Ø 网内的系统符合指定的安全策略,相对于安全策略是可信的、安全的;
Ø 随着端点系统的动态接入,具备动态扩展性。
根据可信网络的定义,我们可以通过在在网络与系统上针对业务与技术的行为与行为结果提供行为控制、行为监管、行为认证、行为管理和行为对抗的充分能力,并建立相应的体系,维护网络的可信性。
定义2:可信网络架构
可信网络架构(Trusted Network Architecture — TNA)是一个通过对现有网络安全产品和网络安全子系统的有效整合和管理,并结合可信网络的接入控制机制、网络内部信息的保护和信息加密传输机制,实现全面提高网络整体安全防护能力的可信网络安全技术体系。该体系主要从以下几个视角来考虑网络整体的防御能力(如图2 所示):
l. 如何有效管理和整合现有安全资源?
期望从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应。
2. 如何构筑“可信网络”安全边界?
通过可信终端系统的接入控制,实现“可信网络”的有效扩展,并有效降低不可信终端系统接入网络所带来的潜在安全风险。
3. 如何实现网络内部信息保护,谨防机密信息泄露?
图6.1.1 可信网络架构
6.1.2 可信网络架构的安全模型
天融信“可信网络架构”主要包括可信安全管理系统(安全管理平台)、网关可信代理(GTA) 、网络可信代理(NTA)和端点可信代理(PTA)四部分组成,从而确保安全管理系统、安全产品、网络设备和端点用户等四个安全环节的安全性与可信性,最终通过对用户网络安全资源的有效整合和管理(如图3 所示), 通过基于可信代理(PTA、NTA 或GTA)的可信网络安全接入机制,实现“可信网络”的动态扩展;而且可信网络架构加强了网内信息及信息系统的等级保护,防止用户敏感信息的泄漏。
图5.1.3 可信网络的安全模型
该架构最大的不同是实现了对用户现有资源的合理整合与管理,改变以往针对某一安全事件所采用的安全管理体系,实施对用户网络安全全面的、系统的、集中的安全管理,各安全产品之间实现真正的关联,从而大大地为节省资源,同在安全管理中可采用多种模式,打破了传统依赖交换机的安全管理模式,而整个架构实施的是动态全程安全管理,可以实现用户‘可信网络’安全应用范围的无限拓展,而且还有一个重大的改变,极大地满足了信息等级保护的要求,完成多层次的积极防御和综合防范。
可信网络架构的推出,可以有效地解决用户所面临的:
Ø 设备接入过程(设备、人员、行为)是否可信?
Ø 设备的安全策略的执行过程是否可信?
Ø 安全制度的执行过程是否可信?
Ø 系统使用过程中操作人员的行为是否可信?
Ø 信息传输过程是否可信?
Ø 信息的访问过程是否可信?
等具体安全需求与问题,实现在整合用户现有网络资源的同时,有效地提升用户网络的安全防御能力。
6.1.3 可信网路架构的核心机制
可信网络架构是基于用户现有安全资源的基础上的有效整合与管理,因此用户已经熟悉的安全机制就不再多述; 本文重点讨论体系中新引入的安全机制以及用于安全资源整合的相关机制:可信网络安全管理系统、可信网络安全接入控制机制以及可信网络信息保护机制。
1) 可信网络安全管理系统
可信网络安全管理系统(Trusted Network Security Management System, 安全管理平台)处于整个可信网络安全体系的核心位置。它通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理与分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高整体网络的安全防护能力。
其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。
2) 可信网络安全接入控制系统
可信网络安全接入控制系统主要基于我们称为“可信代理”的安全机制,结合终端系统的认证、评估子系统来实现对接入可信网络的终端系统、用户进行认证/授权控制,只有通过了用户身份鉴别且工作终端系统安全状况评估后,用户使用的终端系统才能够接入到动态的可信网络中。
可信网络安全接入控制系统能够有效地避免可信网络中因不可信终端系统接入所带来的潜在风险。而作为可信网络安全接入控制系统实现基础的可信代理,则依据所处的位置不同,功能也不相同,主要划分为如下三种类型的可信代理:端点可信代理、网关可信代理以及网络可信代理。
Ø 端点可信代理
端点可信代理(Point Trusted Agent , PTA)工作在桌面系统中,用于采集待接入可信网络的端点系统的安全状况信息和端点操作用户的认证信息,并负责与位于网络接入设备上的网络可信代理(NTA)(或位于安全网关系统上的网关可信代理(GTA))建立安全通信通道,而采集到的信息将通过可信的通信通道传送到网络接入安全控制机制的认证、评估子系统来确定端点系统的可信与否。
此外端点可信代理还需要提供端点安全应用的集成接口,用于采集不同安全应用的特征信息。
Ø 网关可信代理
网关可信代理(Gateway Trusted Agent,GTA)作为可信网络安全接入控制系统的组成部件之一,工作在安全网关系统上,处于PTA 与端点安全状况评估子系统之间,主要具有如下功能:
- 设备定位信息;
- 端点的监控以及策略下发;
- 与安全管理平台 安全通信与安全应用信息交互等。
Ø 网络可信代理
网络可信代理(Network Trusted Agent, NTA)作为网络接入安全控制系统的组成部件之一,工作在网络接入设备上,处于PTA 与端点安全状况评估子系统之间,主要具有如下功能:
- 设备定位信息;
- 端点的监控以及策略下发;
- 与安全管理平台 安全通信与安全应用信息交互等。
为了避免端点系统在可信接入后,人为破坏可信端点的安全策略配置、或者因可信网络安全策略的动态调整,使得在线端点系统的安全策略不满足可信网络的要求。为此,我们提出了可信网络安全接入控制系统的“保信”机制:
“保信机制”(Keep Trusted)主要通过对可信端点系统的周期性评估来实现。
具体操作如下:
由接入安全控制系统的认证、评估子系统周期性向所辖的可信端点进行周期轮询,要求进行端点安全状况的重新评估:
Ø 评估通过,可信端点的安全操作权限不变;
Ø 不符合安全策略
- 降低该端点对网络的安全操作权限,通知修补系统并拒绝访问相关
区域;
- 修补完成后重新进行端点安全状况评估,通过后提升访问权限。
Ø PTA 不响应
- 视为不可信端点,降低用户访问权限、甚至禁止访问“可信网络”。
3) 可信网络保护机制
可信网络信息保护机制,则重点关注可信网络内部重要信息的保护,以确保这些数据在存储、使用以及传输过程中的安全。并且通过控制可信网络内部用户访问外部时的安全策略检查机制以及外出信息的检查机制来避免敏感信息的外泄,从而保证可信网络内部信息的机密性和可信性。相关的技术包括:信息保护的安全模型、信息的可信传输机制、用户的身份鉴别与授权机制、违规网络外联检测与监控以及外出信息的信息流控制机制、内容过滤机制等。
6.2 安全建设内容
安全建设内容,我们将根据以上章节描述所分析出的各种安全风险,来对整个校园网络进行整体的安全规划设计和建设,具体的建设内容包括:网络安全控制、互联网访问控制与检测、病毒的过滤与防护、重要服务器的安全控制这几个因素组成,每一种要素可以通过购买网络安全设备来实现。
6.3 安全设计原则
参考《关于加强信息安全保障工作的意见》和“可信网络架构”的思想,本方案安全体系建设的原则如下:
加强信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
本方案建议重点把握以下几方面的原则:
整体安全防范的原则
要特别重视制定好安全防范整体方案,因为任何单点的安全失效都会带来整体安全的失效。要从系统整体和全局的角度考虑;要结合实际,针对每一种安全威胁、安全风险和每一个具体环节;要兼顾现实需求和长远发展,统筹规划、设计具有针对性防范设施的安全方案。
管理与技术并重的原则
在信息安全保障体系的建设中,管理是根本,技术是手段。管理以技术为基础,技术以管理做保障,二者相互联系,相互补充,缺一不可。
安全与投入相平衡的原则
安全是有代价的,安全措施的采用不可避免地要占用系统资源,加大系统应用开发的成本。因此,安全系统的建设应当全面考虑,权衡利弊,在服务、安全和成本之间找到一个最佳平衡点。一方面要认识到安全是相对的,花多大代价都不可能绝对消除系统的安全隐患,系统的安全建设需要一个不断认识、不断更新和不断完善的过程;另一方面也要明确,尽管安全是相对的,但是还是应当立足当前实际,采用最佳的技术防范策略和经济有效的防范措施,想方设法地提高系统的安全保密强度。
统一规划与分步实施的原则
统一规划就是要从整体考虑、统一要求、统筹安排,强调整体性、完整性和一致性。规划的实施要根据应用实际,可以有计划地分阶段进行,也就是分步实施。在系统建设进程中,在不断完善对系统安全认识的基础上,逐步采用先进技术与管理措施,不断强化安全保障体系。安全建设是一项长期、复杂而艰巨的任务,而且安全本身也是一个不断变化的过程,在安全建设中没有一劳永逸。因此需要在统一规划的基础上,采取分阶段实施的方式来逐步建设安全体系,并且建立信息安全技术跟踪机制,以便及时了解最新的国内外安全技术。
7整体规划安全产品总体部署
7.1 安全产品选型原则
网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品?在进行网络安全产品选型时,应该要求网络安全产品满足两方面的要求:一是安全产品必须符合国家有关安全管理部门的政策要求;二是安全产品的功能与性能要求。
满足国家相关政策的要求
针对相关的安全产品必须查看其是否得到相应的许可证,如:
·密码产品满足国家密码管理委员会的要求
·安全产品获得国家公安部颁发的销售许可证
·安全产品获得中国信息安全产品测评认证中心的测评认证
·符合国家保密局有关国际联网管理规定以及涉密网审批管理规定
安全产品获得电信入网许可证
防火墙类安全产品获得EAL3认证
从安全产品自来选择必须考虑产品功能、性能、运行稳定性以及扩展性,并且对安全产品,还必须考查其产品自身的安全性。同时在选择安全设备时,除了从设备上来看以外,还应该对所选设备的厂家尽心必要的考察和估量,选择一个好的厂家,售后服务就有了保障,所以选择一个在中国网络安全市场占据一定市场份额的安全厂商是相当有必要的。
7.2 产品总体规划部署图
图7.2 校园网络整体安全规划产品部署示意图
根据图7.2所示,整个校园网络的整体规划所涉及的硬件安全产品有:防火墙设备、入侵防御(ips)设备、防病毒网关、内容行为审计;所涉及的软件安全产品有:安全管理平台、安全审计系统。
所选产品的相关参数根据网络的实际情况来选择相应指标的安全产品,在选择安全产品时应考虑未来3-5年网络的发展都能够满足,并且技术不能落后。
本次方案设计是根据高校校园网络的情况和天融信公司多年来从事网络安全的经验,设计出的一套针对性的高校校园网络安全整体规划设计方案,方案建设可以根据用户实际需求,分期实施。供用户参考。
在校园网络的教育网、internet出口处和学生宿舍以及学校家属区分别部署天融信防火墙,将这些区域划分为不同的安全区域并且与外界隔离,在进入校园网络的数据进行严格有效的访问策略控制,只允许用户访问到授权访问的服务或者应用。
在internet出口处部署天融信入侵防御产品,有效的对从internet进入学校内部网络的数据,在进入内部网络之前进行检测,一旦发现有某种攻击或者是对校园网络有威胁的数据时就会及时的对数据进行阻断,在学校内部用户访问internet网络时,可以在IPS上配置相应应用软件的控制,比如:qq、电驴等p2p软件。
在internet出口处部署天融信防病毒网关,有效对进学校内部网络的数据进行病毒的检测以及查杀,在与用户终端的防病毒软件联合应用,能够更好的避免校园网络受到病毒的侵害。
通过部署上网行为审计和安全审计产品,可以对指定的区域进行上网的监控以及重要服务器、玩过设备、网络安全设备的日志收集,可以做到以后一旦发生安全事故时有据可查、事事有依据。
最后在部署完安全产品之后,可以通过天融信的安全管理系统对整个网络部署的网络产品、网络安全产品进行统一的管理,通过对整个网络的设备日志进行关联分析,能够及时、有效、快速的对安全事件或事故进行处理,避免用户在部署了安全产品以后不能进行有效的联动,及时的发现和解决安全事件,让每一个安全孤岛联合起来。 |
|
IP卡
狗仔卡
发表于 2009-10-15 16:35:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-10-25 23:39:12