第一章 前言
信息時(shí)代的到來(lái)給我們的生活帶來(lái)了極大的便利,同時(shí)也深刻的改變了我們的生活,信息網(wǎng)絡(luò)技術(shù)應(yīng)用到了我們身邊的各個(gè)行業(yè)和機(jī)構(gòu),政府、金融、教育,軍隊(duì)無(wú)處不在。伴隨著網(wǎng)絡(luò)的普及和應(yīng)用的深入,網(wǎng)絡(luò)信息的安全也日益顯現(xiàn)出其重要性。我們希望網(wǎng)絡(luò)不僅能給我們提供方便快捷的服務(wù),同時(shí)也希望這種服務(wù)是穩(wěn)定和安全的。而網(wǎng)絡(luò)天生所具有的開(kāi)放性和自由性的特點(diǎn),使得網(wǎng)絡(luò)安全性相對(duì)比較薄弱,而比較容易受到非法入侵者,比如黑客甚至工業(yè)間諜的入侵。所以,如何維護(hù)網(wǎng)絡(luò)信息的安全和穩(wěn)定,也就成了一個(gè)值得考慮的重要問(wèn)題。
軍工企業(yè)從事的業(yè)務(wù)關(guān)系到國(guó)家的利益,其內(nèi)部信息基本都帶有機(jī)密性,此類信息一旦泄漏,就會(huì)對(duì)國(guó)家的利益造成極大的損害。因此,為了全面穩(wěn)妥的保護(hù)軍工企業(yè)的網(wǎng)絡(luò)和信息不受非法分子的侵害和窺探,需要對(duì)其網(wǎng)絡(luò)進(jìn)行全面穩(wěn)妥的安全設(shè)計(jì)。
第二章 風(fēng)險(xiǎn)分析及安全目標(biāo)
2.1 威脅分析
2.1.1 攻擊源分析
要保證軍工企業(yè)涉密信息網(wǎng)絡(luò)的安全可靠,必須全面分析軍工企業(yè)涉密信息網(wǎng)絡(luò)面臨的所有威脅。這些威脅雖然有各種各樣的存在形式,但其結(jié)果是一致的,都將導(dǎo)致對(duì)信息或資源的破壞,影響軍工企業(yè)涉密信息網(wǎng)絡(luò)的正常運(yùn)行,破壞涉密信息的安全性、有效性、可靠性和權(quán)威性。
通過(guò)對(duì)軍工企業(yè)涉密信息網(wǎng)絡(luò)的全面分析,該網(wǎng)絡(luò)可能要面對(duì)各方面的攻擊,其面臨的威脅和風(fēng)險(xiǎn)主要有:敵對(duì)勢(shì)力、犯罪團(tuán)伙、黑客、管理人員、設(shè)備故障、自然災(zāi)害等。
下面是這些威脅和風(fēng)險(xiǎn)的一些表現(xiàn)形式:
利用黑客軟件對(duì)通用、標(biāo)準(zhǔn)化的軟、硬件實(shí)施攻擊以及利用病毒破壞系統(tǒng),危害軍工企業(yè)涉密信息網(wǎng)絡(luò)的安全可靠運(yùn)行。
軍工企業(yè)涉密信息網(wǎng)絡(luò)所涉及工作人員眾多,安全意識(shí)不同,管理措施不到位,人員的疏忽也會(huì)對(duì)系統(tǒng)安全帶來(lái)隱患。
系統(tǒng)的運(yùn)行管理和維護(hù)不善、操作的失誤,對(duì)系統(tǒng)的運(yùn)行安全也會(huì)造成危害。
外部人員的蓄意破壞。
2.1.2 攻擊手段分析
1.非法訪問(wèn)
未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源,包括非法用戶進(jìn)入網(wǎng)絡(luò)進(jìn)行違法操作及合法用戶以未經(jīng)授權(quán)的方式進(jìn)行操作。
2.通信業(yè)務(wù)流分析
通過(guò)通信流向,流量,通信頻度和長(zhǎng)度等參數(shù)的分析,得到有用信息。
3.假冒:
一個(gè)實(shí)體假裝成另一個(gè)不同的實(shí)體。
4.惡意代碼:
通過(guò)惡意程序,計(jì)算機(jī)病毒等獲取信息或破壞系統(tǒng)。
5.線路竊聽(tīng):
搭設(shè)線路進(jìn)行信息的收集和還原。
6.破壞信息完整性:
改變信息的內(nèi)容或形式。
7.抵賴:
信息發(fā)送方或接收方否認(rèn)自己發(fā)送過(guò)或接收到特定的信息。
8.破壞網(wǎng)絡(luò)的可用性:
通過(guò)執(zhí)行命令,發(fā)送數(shù)據(jù)或執(zhí)行其它操作使系統(tǒng)資源對(duì)用戶失效,使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源或使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng),也包括以物理方式盜竊或破壞網(wǎng)絡(luò)的設(shè)備、設(shè)施。
9.操作失誤:
人為操作失誤可能會(huì)對(duì)信息系統(tǒng)造成破壞。
10.自然災(zāi)害和環(huán)境事故:
地震,火災(zāi),水災(zāi)等自然災(zāi)害和電磁污染等環(huán)境事故會(huì)對(duì)信息系統(tǒng)造成破壞。
11.電力中斷 :
電力中斷會(huì)破壞信息系統(tǒng)的可用性或?qū)е聰?shù)據(jù)丟失。
2.1.3 事故后果分析
一旦攻擊者獲得對(duì)資源的訪問(wèn)權(quán),就可以隨意對(duì)數(shù)據(jù)和文件進(jìn)行修改、拒絕服務(wù)等活動(dòng)。
1. 破壞信息:任何對(duì)存儲(chǔ)(或傳輸)中數(shù)據(jù)、文件的非授權(quán)修改;
2.公布信息:將信息散發(fā)到了不該獲得該信息的人手中;
3.盜取信息:獲得不該獲得的信息;
4.盜用服務(wù):非法盜用系統(tǒng)的服務(wù),例如:有些攻擊者將一些主機(jī)攻破后,將其作為新的攻擊起點(diǎn),或在其上保存非法獲取的信息。盜用服務(wù)有時(shí)會(huì)影響系統(tǒng)為其他合法用戶提供正常服務(wù);
5.拒絕服務(wù):攻擊的直接后果就是將系統(tǒng)的服務(wù)性能降低或完全癱瘓,無(wú)法為合法用戶提供正常的服務(wù)。
2.2 系統(tǒng)風(fēng)險(xiǎn)分析
2.2.1 與通信線路或網(wǎng)絡(luò)低層通訊機(jī)制有關(guān)的 風(fēng)險(xiǎn)
攻擊者可以在軍工企業(yè)過(guò)往電纜使用上搭線等方法竊取信號(hào),獲取合法用戶口令、密鑰、身份證書等關(guān)鍵信息。得到了這些信息,攻擊者可以以合法身份從前門進(jìn)入目標(biāo)系統(tǒng)。當(dāng)然,用線路竊聽(tīng)也可以直接竊取文件或數(shù)據(jù)。
通過(guò)對(duì)合法連接的劫持而以其他被授權(quán)人員的身份進(jìn)行非法操作,在合法的通信連接建立后,攻擊者可通過(guò)阻塞或摧毀通信的一方來(lái)接管已經(jīng)過(guò)認(rèn)證建立起來(lái)的連接,從而假冒被接管方與對(duì)方通信,進(jìn)而創(chuàng)建新帳戶、安裝后門程序、篡改數(shù)據(jù)等。
2.2.2 與系統(tǒng)軟件或應(yīng)用軟件有關(guān)的 風(fēng)險(xiǎn)
不同操作系統(tǒng)所能達(dá)到的安全級(jí)別是有所區(qū)別的,如 Windows95/98 系統(tǒng)幾乎無(wú)安全性可言,而 Unix 體系結(jié)構(gòu)的開(kāi)放性、不同廠商、不同版本和配置上的差異都會(huì)導(dǎo)致安全程度不同。
軍工企業(yè)基本都采用了微軟的 WINDOWS 操作系統(tǒng)和 OFFICE 辦公軟件,可是這些軟件本身就不安全,在網(wǎng)絡(luò)上隨時(shí)都可以看到微軟發(fā)布的漏洞和補(bǔ)救措施。但不是所有的人都會(huì)及時(shí)的了解或彌補(bǔ)軟件的漏洞,這也就給其他黑客人員帶來(lái)了入侵機(jī)會(huì), 主要表現(xiàn)為利用系統(tǒng)軟件或應(yīng)用軟件中的程序錯(cuò)誤或安全漏洞來(lái)取得對(duì)計(jì)算機(jī)系統(tǒng)的非法訪問(wèn)。一種常見(jiàn)的技術(shù)是有意識(shí)地利用程序緩沖區(qū)溢出而侵入系統(tǒng)保護(hù)區(qū)進(jìn)行上面提到的一些非法操作。另一種常用的方法是利用系統(tǒng)程序或應(yīng)用程序設(shè)計(jì)時(shí)為系統(tǒng)維護(hù)提供的入口離開(kāi)程序的正常使用環(huán)境而竊取更高系統(tǒng)權(quán)限。兩種方法均可能導(dǎo)致系統(tǒng)被攻擊者完全控制。
一旦黑客入侵成功,就會(huì)使涉密信息破壞、泄漏,更嚴(yán)重的將會(huì)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行構(gòu)成嚴(yán)重的后果。
2.2.3與數(shù)據(jù)或通信協(xié)議有關(guān)的 風(fēng)險(xiǎn)
對(duì)加密算法的攻擊可以使攻擊者有能力解讀本來(lái)不能理解的數(shù)據(jù),從而威脅系統(tǒng)的保密性。加密算法的安全性、合法性和自主性對(duì)于數(shù)據(jù)的傳輸和存儲(chǔ)安全是必須考慮的因素。
此外,某些應(yīng)用程序所使用的通訊協(xié)議存在嚴(yán)重的安全隱患,使得別有用心的人可能利用這些弱點(diǎn)來(lái)實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的非法訪問(wèn)。
2.2.4 與網(wǎng)絡(luò)安全設(shè)備有關(guān)的 風(fēng)險(xiǎn)
網(wǎng)絡(luò)系統(tǒng)內(nèi)裝設(shè)的安全設(shè)備,如防火墻、訪問(wèn)授權(quán)及身份認(rèn)證裝置、監(jiān)測(cè)裝置、審計(jì)裝置、密鑰分發(fā)機(jī)制等,是系統(tǒng)安全保障的關(guān)鍵成分,同時(shí)也是攻擊者的天然目標(biāo)。對(duì)它們的攻擊如果得逞,將對(duì)整個(gè)系統(tǒng)造成極大破壞。
另外,不合理的應(yīng)用網(wǎng)絡(luò)安全設(shè)備也可能導(dǎo)致潛在的安全威脅,如在支持防火墻功能的路由器上配置大量的訪問(wèn)控制條款,使得路由器處理性能大大降低,形成網(wǎng)絡(luò)瓶頸,在大量數(shù)據(jù)流量時(shí)導(dǎo)致拒絕服務(wù)。
2.2.5 與系統(tǒng)資源有關(guān)的 威脅
攻擊者可直接發(fā)動(dòng)攻擊,也可通過(guò)控制其它主機(jī)發(fā)起攻擊使目標(biāo)癱瘓,如發(fā)送大量的數(shù)據(jù)洪流阻塞目標(biāo)。這是因?yàn)槿魏斡?jì)算機(jī)系統(tǒng)所能提供的資源都是有限的,不法分子利用這個(gè)缺陷,采用非正常手段將系統(tǒng)資源消耗殆盡,從而使計(jì)算機(jī)系統(tǒng)因資源耗盡而停止工作。這種稱為“拒絕服務(wù)”的攻擊方式常常是最簡(jiǎn)單而且最有效的一種攻擊方式。攻擊者還可通過(guò)破壞 DNS 或路由信息等基礎(chǔ)設(shè)施使目標(biāo)陷于孤立。
2.2.6與合法用戶有關(guān)的威脅
軍工企業(yè)的網(wǎng)絡(luò)用戶由于級(jí)別和職能的不同,對(duì)網(wǎng)絡(luò)的訪問(wèn)等級(jí)也不同,但是不管是何種用戶都會(huì)有可能對(duì)系統(tǒng)造成威脅。大致把軍工企業(yè)的用戶分為兩類:普通用戶和系統(tǒng)管理員。
普通用戶對(duì)系統(tǒng)資源通常只具有一般的訪問(wèn)權(quán)限,正常情況下他們?cè)谙到y(tǒng)上的活動(dòng)不應(yīng)對(duì)系統(tǒng)安全造成很大威脅。然而由于他們?cè)谙到y(tǒng)上已經(jīng)有了立足點(diǎn),比較那些不得不通過(guò)網(wǎng)絡(luò)遠(yuǎn)程地對(duì)系統(tǒng)進(jìn)行攻擊的人來(lái)說(shuō)占據(jù)了十分有利的地位。系統(tǒng)管理員對(duì)所管理的系統(tǒng)(甚至在一定程度上對(duì)于友鄰的系統(tǒng))具有完全的控制權(quán)。并且,合法用戶在自己權(quán)限之內(nèi)仍有可能進(jìn)行誤操作或非法的操作,而系統(tǒng)的訪問(wèn)控制機(jī)制不能防止這種操作。這些操作的結(jié)果可能對(duì)系統(tǒng)造成損失。
2.2.7 人為因素導(dǎo)致的威脅
網(wǎng)絡(luò)安全除了技術(shù)因素外,還有許多人為因素,黑客圈中存在所謂的社會(huì)工程學(xué),就是利用人際關(guān)系取得有用信息,如口令、管理員背景等,所有與系統(tǒng)或者管理員相關(guān)的信息都會(huì)給攻擊者帶來(lái)好處。
系統(tǒng)管理人員工作中違反安全管理政策或安全操作規(guī)程而對(duì)系統(tǒng)造成的威脅。例如,系統(tǒng)管理人員可能為自己的工作方便違背安全政策創(chuàng)建具有簡(jiǎn)單口令或無(wú)口令的特殊帳戶,以至這些帳戶為攻擊者所發(fā)現(xiàn)和利用。用戶錯(cuò)誤或忽略安全政策所造成的對(duì)系統(tǒng)的威脅,如誤裝了后門程序,或使用了質(zhì)量不高的口令等。缺少主管領(lǐng)導(dǎo)的支持和廣大用戶的理解而可能對(duì)系統(tǒng)安全造成的影響。信息系統(tǒng)安全管理人員的一項(xiàng)重要職責(zé)是通過(guò)不斷的宣傳、教育、培訓(xùn)使得所有有關(guān)人員全力支持、自覺(jué)協(xié)助信息系統(tǒng)的安全建設(shè),同時(shí)使所需資源的獲取得到切實(shí)保證。
2.3 安全目標(biāo)
對(duì)于軍工網(wǎng)這個(gè)安全級(jí)別高的網(wǎng)絡(luò)結(jié)構(gòu),系統(tǒng)的安全需求主要從網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)、應(yīng)用級(jí)和企業(yè)級(jí)四個(gè)層次來(lái)考慮的,因此本方案將著重從這四個(gè)級(jí)別上考察,同時(shí)將其他理解方式與之融會(huì)貫通。從而達(dá)到安全、可靠、高效、可控和持續(xù)運(yùn)行的總目標(biāo)。
2.3.1 網(wǎng)絡(luò)級(jí)安全
網(wǎng)絡(luò)級(jí)安全是整個(gè)內(nèi)部局域網(wǎng)安全的基礎(chǔ)。涉及物理安全、節(jié)點(diǎn)安全、鏈路安全、網(wǎng)絡(luò)協(xié)議安全、廣域網(wǎng)安全、數(shù)據(jù)傳輸安全、路由安全等。只有安全的網(wǎng)絡(luò)底層支撐,才談得上其他層次的安全。
2. 3.2 系統(tǒng)級(jí)安全
系統(tǒng)級(jí)的安全基于網(wǎng)絡(luò)級(jí)之上,包括平臺(tái)的安全、操作系統(tǒng)安全、系統(tǒng)管理安全、用戶管理安全、系統(tǒng)運(yùn)行監(jiān)控、系統(tǒng)故障監(jiān)測(cè)和恢復(fù)等。系統(tǒng)級(jí)安全是提供安全應(yīng)用的基礎(chǔ)。
2. 3.3 應(yīng)用級(jí)安全
應(yīng)用級(jí)的安全是系統(tǒng)建設(shè)的目標(biāo),包括目錄、數(shù)據(jù)、文件、郵件、事件、主頁(yè)等各種信息和應(yīng)用的完整性、機(jī)密性、抗否認(rèn)性等安全,同時(shí)還包括信息密級(jí)管理、訪問(wèn)控制等。總之,應(yīng)用級(jí)的安全應(yīng)該保障隨時(shí)隨地提供且只能提供給合法用戶安全的信息服務(wù)。
2. 3.4 企業(yè)級(jí)安全
企業(yè)級(jí)的安全是安全體系的總體策劃,包括安全政策法規(guī)的制定、管理的權(quán)限和級(jí)別劃分、資源的合理搭配和調(diào)度、功能的實(shí)現(xiàn)等等。因此,可以說(shuō),企業(yè)級(jí)的安全更多的是網(wǎng)絡(luò)的合理有效的使用、調(diào)度和管理,因而,更側(cè)重于人的因素。
2. 3.5 系統(tǒng)安全目標(biāo)
基于以上的分析,我們認(rèn)為軍工網(wǎng)絡(luò)安全應(yīng)該實(shí)現(xiàn)以下內(nèi)容:
1.建立一套完備可行的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略;
2.在內(nèi)外網(wǎng)上設(shè)置訪問(wèn)控制手段,將軍工網(wǎng)絡(luò)與其他網(wǎng)絡(luò)隔離;內(nèi)部網(wǎng)絡(luò)采用內(nèi)部地址,在內(nèi)外網(wǎng)之間作地址變換;
3.建立全面的用戶權(quán)限認(rèn)證體系,健全系統(tǒng)訪問(wèn)日志,提供有效的監(jiān)督機(jī)制;
4.提供網(wǎng)絡(luò)安全掃描工具,主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞,進(jìn)行風(fēng)險(xiǎn)評(píng)估;
5.及時(shí)發(fā)現(xiàn)黑客攻擊活動(dòng),提出報(bào)警,并自動(dòng)采取相應(yīng)對(duì)策;
6.建立完整的系統(tǒng)防病毒體系,防止病毒的侵害;
7.提供監(jiān)控和安全維護(hù)工具,及時(shí)分析和排除網(wǎng)絡(luò)故障;
8.加強(qiáng)人員管理,提高全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。
第三章 系統(tǒng)設(shè)計(jì)
3.1 設(shè)計(jì)目標(biāo)
根據(jù)軍工企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、管理安全等安全與保密需求,綜合運(yùn)用各類技術(shù)防范措施與管理手段,構(gòu)筑內(nèi)部網(wǎng)絡(luò)完整、安全、可靠、可控的保密防范體系,最大限度地消除網(wǎng)絡(luò)目前尚存的安全隱患及漏洞,確保內(nèi)網(wǎng)涉密數(shù)據(jù)及信息的安全性、保密性、完整性、可用性及抗抵賴性,為企業(yè)工作順利開(kāi)展保駕護(hù)航。
3.2 設(shè)計(jì)原則及依據(jù)
內(nèi)部網(wǎng)絡(luò)安全保密防范體系建設(shè)屬內(nèi)部網(wǎng)絡(luò)建設(shè)的重要組成部分,除應(yīng)遵循網(wǎng)絡(luò)系統(tǒng)有關(guān)設(shè)計(jì)原則外,還應(yīng)遵循下列原則:
1. 與其他網(wǎng)物理隔離;
2. 基于企業(yè)的安全需求、安全現(xiàn)狀和安全威脅;
3. 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析;
4. 遵循國(guó)家有關(guān)計(jì)算機(jī)信息系統(tǒng)安全標(biāo)準(zhǔn)和規(guī)定,并按最高密級(jí)進(jìn)行防護(hù);
5. 多重保護(hù),最小授權(quán);
6. 盡量不影響業(yè)務(wù)處理性能、網(wǎng)絡(luò)性能和拓?fù)浣Y(jié)構(gòu);
7. 最大限度保留和利用已有安全資源;
8. 系統(tǒng)應(yīng)具有易操作性,便于自動(dòng)化管理、維護(hù)與升級(jí)。
3.3設(shè)計(jì)思路
3.3.1 最小安全實(shí)體分析
在軍工企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)中,最重要的是確認(rèn)威脅產(chǎn)生的根源。最小安全實(shí)體就是內(nèi)部沒(méi)有安全隱患存在的最小實(shí)體,可能是一個(gè)網(wǎng)絡(luò)、一個(gè)子網(wǎng)、一臺(tái)主機(jī),也可能只是一個(gè)目錄或文件??傊谧钚“踩珜?shí)體內(nèi)部的所有訪問(wèn)都是安全的,而來(lái)自最小安全實(shí)體之外的訪問(wèn)就可能存在危險(xiǎn)。因此對(duì)來(lái)自最小安全實(shí)體外部的訪問(wèn)應(yīng)受到安全措施的控制。
3.3.2 動(dòng)態(tài)安全
由于信息技術(shù)不斷地在發(fā)展,信息技術(shù)安全問(wèn)題具有動(dòng)態(tài)性。今天的安全問(wèn)題到明天也許不再成為安全問(wèn)題,而今天不為人關(guān)注的問(wèn)題,明天可能成為嚴(yán)重的安全威脅。例如,線路劫持和竊聽(tīng)目前是嚴(yán)重的安全威脅,但隨著數(shù)據(jù)加密技術(shù)的廣泛使用,這一威脅可能會(huì)大大減弱。而另一方面,用戶工作站在傳統(tǒng)上被認(rèn)為是比較安全的所在,但由于多種多樣的“后門程序”的出現(xiàn),安全則成為了問(wèn)題。安全問(wèn)題的動(dòng)態(tài)性使得安全不可能存在一勞永逸的解決方案,而需要經(jīng)歷“評(píng)估 - 解決 - 再評(píng)估”的無(wú)限循環(huán)。
3.3.3適度安全
首先由于在絕大多數(shù)信息系統(tǒng)以及信息系統(tǒng)環(huán)境中,不會(huì)僅存在單一的安全威脅點(diǎn),可能出現(xiàn)于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)和安全管理等諸多方面。其次,安全問(wèn)題本身具有動(dòng)態(tài)性,在不斷的發(fā)生變化,使得不可能找到一個(gè)方法對(duì)安全問(wèn)題實(shí)現(xiàn)百分之百的覆蓋。如果這樣的方法存在,它一定是從資源和成本考慮不可能被接受的。業(yè)界普遍遵循的概念是所謂的“適度安全準(zhǔn)則”,即根據(jù)具體需求提出適度的安全目標(biāo)并加以實(shí)現(xiàn),而不是超越現(xiàn)實(shí)需求追逐更高的安全等級(jí)。
3.3.4產(chǎn)品與技術(shù)分離
安全方案的設(shè)計(jì)絕不是安全產(chǎn)品的簡(jiǎn)單應(yīng)用,也不能局限于現(xiàn)有產(chǎn)品的功能,更不能將不必要的產(chǎn)品堆砌到方案中去。安全方案應(yīng)該根據(jù)實(shí)際需求,確定安全目標(biāo),并實(shí)現(xiàn)安全目標(biāo),選取所需的安全產(chǎn)品。在現(xiàn)有安全產(chǎn)品無(wú)法滿足需求時(shí),考慮開(kāi)發(fā)必要的設(shè)備的可能性。如果沒(méi)有可用產(chǎn)品,也無(wú)法在現(xiàn)有狀況下完成開(kāi)發(fā),則必須做出規(guī)劃,或調(diào)整方案,或限制應(yīng)用范圍??傊仨氁钥陀^需求和技術(shù)可行性為最高宗旨,不能因產(chǎn)品的限制設(shè)計(jì)出不安全的方案。
第四章 涉密信息系統(tǒng)方案設(shè)計(jì)
4.1 保密產(chǎn)品選擇依據(jù)
• 安全保密產(chǎn)品的接入應(yīng)該不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率,并滿足工作的要求。
• 涉密系統(tǒng)中使用的安全保密產(chǎn)品原則上必須選用國(guó)產(chǎn)設(shè)備,只有在無(wú)相應(yīng)國(guó)產(chǎn)設(shè)備時(shí)方可選用經(jīng)國(guó)家主管部門批準(zhǔn)的國(guó)外設(shè)備。
• 安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)。
• 安全保密產(chǎn)品必須具有自我保護(hù)能力。
• 安全保密產(chǎn)品應(yīng)符合相關(guān)的國(guó)家標(biāo)準(zhǔn)。
4.2 安全保密產(chǎn)品
4.2.1 安全掃描系統(tǒng)
安全掃描系統(tǒng)通過(guò)模擬黑客的進(jìn)攻手段和技術(shù),對(duì)被檢系統(tǒng)進(jìn)行黑客攻擊式的安全漏洞和安全隱患掃描,最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患,并且提交風(fēng)險(xiǎn)評(píng)估報(bào)告;根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告,提出相應(yīng)的漏洞補(bǔ)救和系統(tǒng)安全策略的整改措施,將網(wǎng)絡(luò)系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)降至最低,從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。通過(guò)安全掃描系統(tǒng),我們可以最大限度的知道網(wǎng)絡(luò)中存在的漏洞和隱患,經(jīng)過(guò)彌補(bǔ)后,即使由于其他原因發(fā)生了與其他網(wǎng)絡(luò)連接的話,也可以減少發(fā)生網(wǎng)絡(luò)入侵的機(jī)率。
4.2.2 防火墻
防火墻是現(xiàn)在網(wǎng)絡(luò)安全運(yùn)用的最廣泛的安全產(chǎn)品。防火墻( Firewall)在網(wǎng)絡(luò)中是一個(gè)邏輯裝置,在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了受保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間的任何活動(dòng),保證了受保護(hù)網(wǎng)絡(luò)的安全。它的主要功能在于把那些不受歡迎的訪問(wèn)隔離在特定網(wǎng)絡(luò)之外。通常防火墻被放置于受保護(hù)的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的連接處,用來(lái)保護(hù)與其他網(wǎng)絡(luò)相連的受保護(hù)網(wǎng)絡(luò)。受保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的任何數(shù)據(jù)傳遞都必須通過(guò)防火墻,防火墻對(duì)這些數(shù)據(jù)進(jìn)行分析、處理,并根據(jù)已設(shè)置的安全規(guī)則判定是否允許通過(guò)。建立防火墻對(duì)于受保護(hù)網(wǎng)絡(luò)免受來(lái)自外部的攻擊有較好的防范作用,防火墻系統(tǒng)本身具備較高的系統(tǒng)安全級(jí)別,可以防止非法用戶通過(guò)控制防火墻對(duì)內(nèi)網(wǎng)發(fā)動(dòng)攻擊。
同時(shí)防火墻也是一種將涉密網(wǎng)和非涉密網(wǎng)(如 Internet)分開(kāi)的方法。它不僅是一些簡(jiǎn)單的保護(hù)網(wǎng)絡(luò)安全的訪問(wèn)控制規(guī)則,實(shí)際上,它也是一個(gè)安全的平臺(tái)。把安全的所有要素融合在一起并加以管理。它可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
根據(jù)防火墻的原理和軍工企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu),我們可以把防火墻安放在內(nèi)部涉密網(wǎng)絡(luò)和非涉密網(wǎng)絡(luò)之間,經(jīng)過(guò)控制內(nèi)部上互聯(lián)網(wǎng)的網(wǎng)絡(luò)對(duì)互聯(lián)網(wǎng)的訪問(wèn),可以提高內(nèi)部上互聯(lián)網(wǎng)的網(wǎng)絡(luò)的安全性。同時(shí)在服務(wù)器和內(nèi)部網(wǎng)絡(luò)連接處使用防火墻,使內(nèi)部網(wǎng)絡(luò)和服務(wù)器區(qū)邏輯隔離從而保護(hù)內(nèi)部重要服務(wù)器。
4.2.3 身份認(rèn)證系統(tǒng)
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性取決于能否正確驗(yàn)證用戶或終端的個(gè)人身份。認(rèn)證業(yè)務(wù)提供了關(guān)于某人或某個(gè)事物身份的保證。這意味著當(dāng)某人(或某事)聲稱具有一個(gè)特別的身份(如某個(gè)特定的用戶名稱)時(shí),認(rèn)證業(yè)務(wù)將提供某種方法來(lái)驗(yàn)證這一聲明是正確的。常用的身份認(rèn)證技術(shù)有:靜態(tài)口令認(rèn)證、動(dòng)態(tài)口令認(rèn)證、數(shù)字證書、生物特征識(shí)別。
針對(duì)軍工企業(yè)涉密信息系統(tǒng)建設(shè)中對(duì)身份認(rèn)證的要求,本方案提出如下建議:
1.針對(duì)涉密計(jì)算機(jī)采用一次性口令身份認(rèn)證系統(tǒng),也就是說(shuō)采用基于PKI算法的物理介質(zhì)實(shí)現(xiàn)對(duì)涉密計(jì)算機(jī)用戶每一次登陸計(jì)算機(jī)時(shí)必須采用不同口令的效果。
2.針對(duì)非涉密計(jì)算機(jī),本方案采用操作系統(tǒng)自帶的密碼登陸方式。要求計(jì)算機(jī)管理人員在每個(gè)月隨機(jī)生成與以前不同的密碼口令。同時(shí)建議使用WINDOWS2000或以上及其他安全操作系統(tǒng)。
4.2.4 病毒防護(hù)
軍工企業(yè)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)實(shí)行物理隔離,但病毒的傳播途徑又很多種。例如,存儲(chǔ)介質(zhì)的使用可能導(dǎo)致病毒進(jìn)入系統(tǒng)。因此,軍工企業(yè)也應(yīng)該有一套自己的網(wǎng)絡(luò)防殺毒軟件。
基于網(wǎng)絡(luò)病毒防殺系統(tǒng)需要具備以下的功能:
• 及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上流傳的新型網(wǎng)絡(luò)病毒,并進(jìn)行查殺封堵
• 定期自動(dòng)查殺用戶主機(jī)中的病毒
• 監(jiān)測(cè)用戶主機(jī)和服務(wù)器中的病毒活動(dòng)
• 病毒防殺政策的集中制定
• 自動(dòng)重裝,自動(dòng)升級(jí)
• 病毒庫(kù)自動(dòng)更新
• 快速反饋機(jī)制,報(bào)警、匯總統(tǒng)計(jì)等功能
4.2.5 安全審計(jì)
安全審計(jì)系統(tǒng)將實(shí)現(xiàn)以下功能:
• 對(duì)物理隔離網(wǎng)絡(luò)中的撥號(hào)連接進(jìn)行限制并對(duì)撥號(hào)連接進(jìn)行審計(jì)
• 對(duì)物理隔離網(wǎng)絡(luò)中的重要文件資源的使用情況進(jìn)行審計(jì)
• 對(duì)計(jì)算機(jī)的光驅(qū)、軟驅(qū)、 USB口進(jìn)行控制
• 對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)連接進(jìn)行審計(jì)
• 對(duì)所以審計(jì)日志生成記錄并產(chǎn)生報(bào)表
4.2.6 數(shù)據(jù)庫(kù)加密
數(shù)據(jù)庫(kù)加密系統(tǒng)應(yīng)該具有以下功能:
• 增強(qiáng)的身份鑒別過(guò)程
• 數(shù)據(jù)庫(kù)存儲(chǔ)加密
• 數(shù)據(jù)庫(kù)訪問(wèn)通信加密
• 備份與恢復(fù)
• 其它安全功能
4.2.7 入侵檢測(cè)
入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件:
• 提供監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)流的信息源
• 發(fā)現(xiàn)入侵跡象的分析引擎
• 基于分析引擎結(jié)果產(chǎn)生的響應(yīng)部件
4.2.8 物理隔離卡
物理隔離卡把連入 Internet國(guó)際互聯(lián)網(wǎng)部分計(jì)算機(jī)的主機(jī)硬盤分成兩個(gè)部分:同外網(wǎng)連接部分、同內(nèi)網(wǎng)連接部分。當(dāng)內(nèi)部主機(jī)同外網(wǎng)連接時(shí),物理隔離卡把同內(nèi)網(wǎng)的連接完全物理隔離。既當(dāng)主機(jī)連接外網(wǎng)后,完全不會(huì)對(duì)內(nèi)網(wǎng)部分有影響。同樣,當(dāng)主機(jī)同內(nèi)網(wǎng)連接時(shí),啟用同內(nèi)網(wǎng)連接部分的硬盤區(qū)域,同其他區(qū)域完全沒(méi)有關(guān)系。