1、网 络 安 全 解 决 方 案用户环境 省行和多个地市分行,分别通过DDN、FR、X.25及其它通讯手段连接,互联方式主要采用TCP/IP。 与一级网连接,同样采用TCP/IP实现互联。全辖通过总行的Internet出口访问Internet,进行Web浏览、收发Email、 Ftp 等应用。 由于业务需要,省行(及下辖各地市行)与同城的其它机构(如人民银行、证券等)采用TCP/IP进行互联。 省分行有基于TCP/IP的业务系统。 省市行计算机系统设备多。 全辖范围内的WAN互联速率从19.2K到256K bps。 在广域网上传输的数据部分使用了应用层的加密技术。 2. 用户需求 随着网络互联的
2、迅速扩大,网络应用的增加,用户越来越关心整个系统的安全生产问题。2.1 现状 在现有的网络和应用系统中,基本未采取任何安全措施,主机仅仅靠PASSWD来维持自身安全,并且主机操作系统和应用系统的安全漏洞也未作任何处理,系统管理上也成在着诸如ROOT用户无口令或长期不改口令等许多问题,在广域网上,随着业务的扩展,也越来越多的同人行、外管、税务等单位互连,这一切都形成了严重的安全问题,严重的威胁着省行的应用系统。在近来的网络监控中,也常发现有系统和主机被试图入侵的情况,对辖内的系统和主机的检查的扫描中,发现了大量的安全漏洞,并且有许多安全漏洞是很难避免和根除的。另外,通过网络进行传播的计算机及网络
3、病毒严重影响了银行的正常业务开展,给安全生产构成威胁。2.2 安全威胁总结描述的问题,结合目前所知道的安全威胁,我们发现,以下安全问题均可能对银行的安全生产造成严重威胁:业务系统与其它系统未进行充分隔离。 辖内网络与外单位的互联未进行充分隔离。 对计算机和网络病毒未采用充分手段进行防御。 对存在的已知安全漏洞缺乏评估,因此也无法采用技术和行政手段进行修补。 对是否受到入侵缺乏监控审计和监控措施。 对内部人员操作的技术监控。 缺乏强有力的认证系统,基于用户名/口令模式的系统极易被突破。 2.3 安全需求一个安全生产的银行信息系统,以下的基本安全要求是必须要满足的:业务系统与辖内其它信息系统使用防
4、火墙隔离。 辖内网络与互联的其它网络使用防火墙隔离。 网络管理员必须对辖内信息系统的安全状况进行周期性评估,并根据评估结果采用相应措施。 网络系统能够监视、记录黑客可能发起的攻击。 全面的病毒防御体系,阻止病毒的传播,恢复已被病毒感染的设备及数据。 完善的备份系统。 敏感系统在公网上的传输必须加密。 可预见的管理和拥有费用。 对整个信息系统安全审计。 3. 安全技术网络安全技术发展到今天,已经有成熟的方案来对付来自各方面的安全威胁。 信息技术的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。3.1 虚拟网技术虚拟网技术
5、主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此,防止了大部分基于网络监听的入侵手段。 通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。 但是,虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。 基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。 基于MAC的VLAN不能防止MAC欺骗攻击。3.管理省行桌面、服务
6、器的病毒服务软件的病毒特征分发,以及自动通过HTTP从NAI的病毒特征库实时升级。3.2 防火墙技术网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, Sequence Insert, teardrop,sync-flood, IP spoofing攻击等。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。选择防火墙的要点在于:安全性 即是否通过了严格的入侵测试。 抗攻击能力 对典型攻击的防御能力 性能 是否能够提
7、供足够的网络吞吐能力 自我完备能力 自身的安全性,Fail-close 可管理能力 是否支持SNMP网管 VPN支持 认证和加密特性 服务的类型和原理 网络地址转换能力 与网络内其它安全系统的动态适应。 3.3 入侵检测技术利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门。 入侵者可能就在防火墙内。 由于性能的限制,防火墙通常不能提供实时的入侵检测能力。 保护措施太单一。 入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于
8、跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类:基于主机 基于网络 基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。基于主机的安全监控系统具备如下特点:精确,可以精确地判断入侵事件。 高级,可以判断应用层的入侵事件。 对入侵时间立即进行反应。 针对不同操作系统特点。 占用主机宝贵资源。 基于网络的安全监控系统具备如下特点:能够监视经过本网段的任何活动。 实时网络监视。 监视粒度更细致。 精确度较差。
9、 防入侵欺骗的能力较差。 交换网络环境难于配置。 基于主机及网络的入侵监控系统通常均可配置为分布式模式:在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。 选择入侵监视系统的要点是:协议分析及检测能力。 解码效率(速度) 自身安全的完备性。 精确度及完整度,防欺骗能力。 模式更新速度。 3.4 安全扫描技术网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
10、安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如passwd文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描器的主要性能应该考虑以下方面:速度。
11、在网络内进行安全扫描非常耗时。 网络拓扑。通过GUI的图形界面,可选择一组或某些区域的设备。 能够发现的漏洞数量。 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。 报告,扫描器应该能够给出清楚的安全漏洞报告。 更新周期。提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性升级,并给出相应的改进建议。 安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。3.5 伪装技术伪装技术是近年新发展出来的技术。使用伪装技术,网络管理员能够以极低的成本构造出一套
12、虚拟的网络和服务,并且,故意留出漏洞,并实时观察、记录入侵者的来源、操作手法。伪装技术可以帮助管理员查询入侵者,并保留入侵证据。其次,通过了解入侵者的入侵方法,完善真正的系统的保护手段。3.6 病毒防护 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。我们将病毒的传播途径分为:通过ftp, 电子邮件传播。 通过软盘、光盘、磁带传播。 通过Web浏览传播,主要制恶意的Java控件及ActiveX控件网站。 通过群件系统传播。 病毒防护的主要技术如下: 阻止病毒的传播。 在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面P
13、C安装病毒监控软件。 检查和清除病毒 使用防病毒软件检查和清除病毒。 病毒数据库的升级。 病毒数据库应不断更新,并下发到桌面系统。 在防火墙、代理服务器及PC上安装Java及ActiveX控件扫描软件 禁止未许可的控件下载和安装。 3.7 电子邮件系统安全电子邮件系统也是信息网与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。如刚刚发现的电子邮件附件超长文件名导致的安全漏洞能够非法获取客户的本地数据或破坏本地的数据系统。加强电子邮件系统的安全性,通常有如下办法:设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功
14、能)。所有出入的电子邮件均通过该中转站中转。 同样为该服务器安装实施监控和过滤系统。 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯) 升级到最新的安全版本。 3.8 操作系统安全企业信息网内通常会运行许多种操作系统,联网功能也许是目前最重要的功能之一。联网的计算机就有可能受到攻击。市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要: 周期检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新) 基于系统的安全监控系统。 使用增强的认证手段如使用数字证书或IC卡对用户进行认证。4 安全产品4.1 防火墙NetScreen Firewall来自Netscreen Corp. 的Nets
