网络系统安全综合解决方案

网络系统的安全威胁
系统安全性
局域网安全解决方案
广域网安全解决方案

网络系统的安全威胁
由于大型网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUA)，而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：
★操作系统的安全性。 目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。
★防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。
★来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。
★采用的TCP/IP协议族软件，本身缺乏安全性。
★未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
★应用服务的安全。许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。
系统安全性
计算机安全事业始于本世纪60年代末期。当时，计算机系统的脆弱性已日益为美国政府和私营部门的一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。
进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息安全的问题。人们在这方面所做的研究与计算机性能及应用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一。
由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。
国际标准化组织（ISO）将"计算机安全"定义为："为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。"此概念偏重于静态信息保护。也有人将"计算机安全"定义为："计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。"该定义着重于动态意义描述。
计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设备受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性：
保密性指高级别信息仅在授权情况下流向低级别的客体与主体；
完整性指信息不会被非授权修改及信息保持一致性等；
可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。
一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。前者是一个软件可靠性问题，可以用优秀的软件设计技术配合特殊的安全方针加以克服；而后者则需要精确描述安全系统。
美国国防部（DOD）于1985年出版了《可信计算机系统的评价准则》 （又称"桔皮书" ），使计算机系统的安全性评估有了一个权威性的标准。DOD的桔皮书中使用了可信计算基础（Trusted Computing Base，TCB）这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。桔皮书将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。在DOD的评估准则中，从B级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统，为了使它的评判方法使用于网络，美国国家计算机安全中心于1987年出版了《可信网络指南》。该书从网络安全的角度出发，解释了准则中的观点。
局域网安全解决方案
由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，黑客就可以对信息包进行分析，那么本广播域的信息传递都会暴露在黑客面前。
网络分段
网络分段是保证安全的一项重措施，同时也是一项基本措施，其指导思想在于将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层（ISO/OSI模型中的第一层和第二层）上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层（ISO/OSI模型中的第三层）上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。
在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换机和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。
由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
VLAN之间的划分原则
VLAN的划分方式的目的是保证系统的安全性。因此，可以按照系统的安全性来划分VLAN：可以将总部中的服务器系统单独划作一个VLAN，如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN，如将领导所在的网络单独作为一个Leader VLAN（LVLAN），其它司局（或下级机构）分别作为一个VLAN，并且控制LVLAN与其它VLAN之间的单向信息流向，即允许LVLAN查看其他VLAN的相关信息，其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换技术实现，VLAN与VLAN之间采用路由实现。由于路由控制的能力有限，不能实现LVLAN与其他VLAN之间的单向信息流动，需要在LVLAN与其他VLAN之间设置一个NetScreen防火墙作为安全隔离设备，控制VLAN与VLAN之间的信息交换。
广域网安全解决方案
由于广域网采用公网传输数据，因而在广域网上进行传输时信息也可能会被不法分子截取。如分支机构从异地发一个信息到总部时，这个信息包就可能被人截取和利用。因此在广域网上发送和接收信息时要保证：
除了发送方和接收方外，其他人是不可知悉的（隐私性）；
传送过程中不被篡改（真实性）；
发送方能确信接收方不是假冒的（非伪装性）；
发送方不能否认自己的发送行为（非否认）。
如果没有专门的软件对数据进行控制，所有的广域网通信都将不受限制地进行传输，因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的"攻击"是相对比较容易成功的，只要使用现在可以很容易得到的"包检测"软件即可。如果从一个联网的UNIX工作站上使用"跟踪路由"命令的话，就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统，所有这些都被认为是最容易受到黑客攻击的目标。一般地，一个监听攻击只需通过在传输数据的末尾获取IP包的信息即可以完成。这种办法并不需要特别的物理访问。如果对网络用线具有直接的物理访问的话，还可以使用网络诊断软件来进行窃听。对付这类攻击的办法就是对传输的信息进行加密，或者是至少要对包含敏感数据的部分信息进行加密。
加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是使用放大数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。 对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难，从而使用成本较高，保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法（Digital Encryption Standard）。
不对称型加密算法也称公用密钥算法，其特点是有二个密钥（即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥，它特别适用于分布式系统中的数据加密，在Internet中得到广泛应用。其中公用密钥在网上公布，为数据对数据加密使用，而用于解密的相应私有密钥则由数据的接收方妥善保管。
不对称加密的另一用法称为"数字签名"（digital signature），即数据源使用其私有密钥对数据的求校验和（checksum）或其它与数据内容有关的变量进行加密，而数据接收方则用相应的公用密钥解读"数字签名"，并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法（Digital Signature Algorithm）。不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。
不可逆加密算法的特征是加密过程不需要密钥，并且经过加密 的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题，适合于分布式网络系统上使用，但是其加密计算工作量相当可观，所以通常用于数据量有限的情形下的加密，例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善，不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准（SHS-Secure Hash Standard）。
加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务。前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法，例如使用Kerberos服务的telnet、NFS、rlogion等，以及用作电子邮件加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。
数字签名和认证技术
认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。
User Name/Password认证
该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但此种认证方式过程不加密，即password容易被监听和解密。
使用摘要算法的认证
Radius（拨号认证协议）、OSPF（路由协议）、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法（MD5）进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能技术出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。
该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。
数字签名
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统（如RSA）基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据，CA使用私有密钥技术其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算机能力上不可行的。并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。
通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
VPN技术
网络系统总部和各分支机构之间采用公网网络进行连接，其最大的弱点在于缺乏足够的安全性。企业网络接入到公网中，暴露出两个主要危险：
来自公网的未经授权的对企业内部网的存取。
当网络系统通过公网进行通讯时，信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案，提供在公网上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。
VPN技术的原理:
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体是这样：
要保护的主机发送明文信息到连接公共网络的VPN设备；
VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。
对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。
VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。
VPN 设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。
当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。
IPSec
IPSec作为在IPv4及IPv6上的加密通讯框架，已为大多数厂商所支持。
IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商（Security Association）。
IPSec包含两个部分：
IP security Protocol proper,定义IPSec报头格式。
ISAKMP/Oakley，负责加密通讯协商。
IPSec提供了两种加密通讯手段：
IPSec Tunnel：整个IP封装在Ipsec-gateway之间的通讯。
Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。
IPsec Tunnel 不要求修改已配备好的设备和应用，网络黑客不能看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数厂商均使用该模式。
ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。（易于管理）。
在为远程拨号服务的Client端，也能够实现IPsec的客户端，为拨号用户提供加密网络通讯。由于IPsec即将成为Internet标准，因此不同厂家提供的防火墙（VPN）产品可以实现互通。
如何保证远程访问的安全性
对于从外部拨号访问总部内部局域网的用户，由于使用公用电话网进行数据传输所带来的风险，必须严格控制其安全性。首先，应严格限制拨号上网用户所访问的系统信息和资源，这一功能可通过在拨号访问服务器后设置NetScreen防火墙来实现。其次，应加强对拨号用户的身份认证，使用RADIUS等专用身份验证服务器。一方面，可以实现对拨号用户帐号的统一管理；另一方面，在身份验证过程中采用加密的手段，避免用户口令泄露的可能性。第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGP for Business Security，对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN（虚拟专网）技术。VPN在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性。