网络安全的解决方案
1
1、项目背景
随着信息化程度的提高,越来越多的学(院)校建了校园网和网站,把校园的介绍、规划、招生、研究成果等发布在网站,让更多的人了解自己的校园,甚至在网上即时进行学 术交流等。在网络信息技术高度发展的今天,xxx大学作为一个高等院校,为了方便学术交流、校友联络、招生报名、研究成果的发布等,建设自己的网站和邮件系统是必须的。在当前的信息互动交流中,电子邮件的应用凭借其快速、灵活的特点,在整个互联网络应用中有着举足轻重的地位。xxx大学提供给师生优质的电子邮件服务,不仅仅可以更好地利用现有网络资源为广大师生服务,还可以充分向海内外树立和宣传xxx大学的品牌形象,同时也方便了校友与母校的联络。
信息化程度的提高,极大地促进了教育事业的发展,但是随之而来的却是信息安全问题。xxx大学校园网以广域网络作为支撑平台,如何保障网络安全成为不可避免的重大问题。在xxx大学校园网中,无论是有意的攻击,还是无意的误操作,都将会给信息系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。
面对计算机网络中的种种安全威胁,必须采取有力的措施来保证安全。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。在xxx大学校园网中,应防患于未然,一旦出了事,亡羊补牢,恐怕为时已晚。根据网络安全监测软件的实际测试情况显示,一个没有安全防护措施的大型网络,其安全漏洞可达1500个左右。目前的网络中虽然采用一些安全产品,有一套安全制度,但由于各种客观和主观的原因仍然存在种种安全上的问题。同时,由于网络的安全状况随着时间变化而变化,因此在作全网安全考虑时,除了合理的使用和配置各种安全软件、硬件产品以外,日常的检测和后续的服务也越来越受到重视。
2
2、网络简况
根据校园网拓扑图,xxx大学通过10M的VPN线路与下面的八个分校连接,通过10M的专线连接到Internet网络上。
在xxx大学的网络系统中,网络设备产品类型包括路由器、防火墙、核心交换机、工作组交换机、以太网卡等,服务器平台主要为TurboLinux,工作站系统平台有:Win95/98/Me/XP/2000 Professional/NT Workstation等,主要的服务器为:Powermail邮件服务器、Oracle数据库服务器、Apache互联网服务器、Pro FTP文件传输服务器等等。
根据xxx大学本部服务器部署拓扑图,本部网络的服务器分成两个部分,一部分是对外提供服务的WEB服务器群、DNS服务器和邮件服务器,另一部分是对内提供服务的教学服务器、数据库服务器、代理服务器等。对外提供服务的服务器接到了到CNCNet的防火墙的非军事化区,而对内提供服务的服务器直接接到了主干交换机上。
xxx大学校园网的财务专网,是通过网通提供的虚拟专网连接起来的一个单独的广域网络,它通过财务信息发布服务器与整个校园网建立联系。
3、系统分析
xxx大学校园网络在规划时,已考虑到了安全方面的问题,也采取了一些措施来保障网络的安全,如使用防火墙、MPLS虚拟专用网等等。但是,这些安全措施是不完备的。
(1) 校园网只考虑了对外服务器的安全性,对内服务器则是暴露在内部交换机上,随时可能受到来自内部用户的扫描、窥探和攻击;
(2) 整个网络没有采取防病毒措施,如果病毒扩散,将会迅速蔓延到整个网络,后果不堪设想;
(3) 在目前只有CNCNet出口的情况下,所有的服务器都接到一台防火墙的DMZ上,从系统效率来看,这样是不合适的,如果将来接到了CerNet上,可以考虑将一部分业务如邮件移到CerNet出口处的防火墙的DMZ区上。
根据安全评估和检测的结果,发现有以下问题:
(4) 首先,整个网络的结构复杂,服务器繁多,网络管理员没有合适的工具及时对整个网络的安全状况及时做出评估,无法防患于未然;
(5) 其次,我们在对各服务器进行扫描的时候发现,有些服务器打开了多余的服务,攻击者可以通过它们威胁服务器的安全;
(6) 最后,有些服务程序本身存在漏洞,这些漏洞可以通过升级服务程序或者对服务器进行设置进行弥补。
因此,我们不仅要采用新的安全设备和技术手段来加固现有的网络系统,而且还要使用专业的安全服务对现有的服务器进行安全改造,全方位提高网络的安全性。
3
4、方案实施
我们综合采用防火墙、入侵检测、内容过滤和安全评估技术,建立xxx大学校园网安全系统框架:
(1) 建立完整可行的网络安全、网络管理策略与技术组织措施;
(2) 利用防火墙将内部网络、对外服务器网络和外网进行有效隔离,避免与外部网络直接通信;
(3) 利用防火墙建立网络各主机和对外服务器的安全保护措施,保证系统安全;
(4) 利用防火墙对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
(5) 利用防火墙全面监视对公开服务器的访问,及时发现和阻止非法操作;
(6) 利用防火墙及各服务器上的审计记录,形成一个完善的审计体系,在策略之后建立第二条防线;
(7) 在本部和各分校,利用入侵检测系统,监测对内,对外服务器的访问;
(8) 在本部和各分校,利用入侵检测系统,对服务请求内容进行控制,使非法访问在到达主机前被阻断;
(9) 在本部使用入侵检测系统的控制台,对各分校的探测器进行统一管理;
(10) 在Internet出口处,使用NetHawk网络行为监控系统进行网络活动实时监控和内容过滤;
(11) 在本部部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(12) 使用安全加固手段对现有服务器进行安全配置,保障服务器本身的安全性;
(13) 加强网络安全管理,提高校园网系统全体人员的网络安全意识和防范技术。
1.WLAN的应用现状
1.1 Wi-Fi在全球范围迅速发展的趋势
无线局域网(WLAN)作为一种能够帮助移动人群保持网络连接的技术,在全球范围内受到来自多个领域用户的支持,目前已经获得迅猛发展。无线局域网(WLAN)的发展主要从公共热点(在公共场所部署的无线局域网环境)和企业组织机构内部架设两个方向铺开。世界范围内的公共无线局域网(WLAN)热点数量三年增加近60倍。预计将从2002年的14717个增长到2006年的30多万个,用户数量增加四倍。据IDC预测,到2004年全球的WLAN用户将达到2460万,比2002年增长近十倍;2002年销售的全部笔记本电脑中只有10%支持WLAN,目前是31%,预计到2005年,售出的笔记本电脑中将有80%具备无线支持能力。
在亚太区,这一发展势头同样强劲。市场调查公司Gartner Dataquest指出,公共无线局域网(WLAN)服务在亚太地区将保持强劲的发展势头。至少在澳大利亚、香港、日本、新加坡、韩国和台湾这六大市场,热点的数量在迅速增加。2002年亚太地区只有1,625个热点,预计到2007年,热点的数量将接近3.8万。
1.2 在企业、学校等组织机构内部,笔记本电脑的普及也带动了无线局域网(WLAN)的普及。
以英特尔公司为例,全球79,000名员工中有65%以上的人使用笔记本电脑,其中80%以上的办公室都部署了无线局域网(WLAN),英特尔围绕具备无线能力的笔记本电脑如何改变其员工的生活习惯和工作效率进行了调查,结果表明,员工的工作效率平均每周提高了两小时以上,远远超过了所花费的升级成本,而且完成一般办公室任务的速度提高了37%。此外,无线移动性还迅速改变了员工的工作方式,使其能够更加灵活自主地安排自己的工作。
2. WLAN面临的安全问题
由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其他无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网当中,去窃听或干扰信息就来得容易得多。
WLAN所面临的安全威胁主要有以下几类:
2.1网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是企业管理员面临的最大安全问题。如果没有基于加密的强有力的安全服务,数据就很容易在空气中传输时被他人读取并利用。
2.2 AP中间人欺骗
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。解决这种攻击的通常做法是采用双向认证方法(即网络认证用户,同时用户也认证网络)和基于应用层的加密认证(如HTTPS+WEB)。
2.3 WEP破解
现在互联网上存在一些程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,以及由于802.11帧冲突引起的IV重发数量,最快可以在两个小时内攻破WEP密钥。
2.4 MAC地址欺骗
即使AP起用了MAC地址过滤,使未授权的黑客的无线网卡不能连接AP,这并不意味着能阻止黑客进行无线信号侦听。通过某些软件分析截获的数据,能够获得AP允许通信的STA MAC地址,这样黑客就能利用MAC地址伪装等手段入侵网络了。
3 .WLAN业界的安全技术
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。但是另一方面,由于WLAN标准是公开的,随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。现在不只是在家庭,学校,中小企业里边WLAN 得到广泛的应用,在安全最敏感的大企业,大银行户头(例如全球财富500强),政府机构,WLAN的安全可靠性也得到了认可,并大量地推广使用。
具体地讲,为了有效保障无线局域网(WLAN)的安全性,就必须实现以下几个安全目标:
1.提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入;
2.确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据;
3.防止拒绝服务(DoS)攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
无线局域网的安全技术这几年得到了快速的发展和应用。下面是业界常见的无线网络安全技术:
服务区标识符(SSID)匹配;
无线网卡物理地址(MAC)过滤;
有线等效保密(WEP);
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP);
WPA (Wi-Fi 保护访问) 技术;
高级的无线局域网安全标准——IEEE 802.11i;
3.1 SSID
SSID(Service Set Identifier)将一个无线局域网分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配对的SSID才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。但是这种口令极易被无线终端探测出来,企业级无线应用绝不能只依赖这种技术做安全保障,而只能作为区分不同无线服务区的标识。
3.2 MAC地址过滤
每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
MAC地址过滤的好处和优势
简化了访问控制
接受或拒绝预先设定的用户
被过滤的MAC不能进行访问
提供了第2层的防护
MAC地址过滤的缺点
当AP和无线终端数量较多时,大大增加了管理负担
容易受到MAC地址伪装攻击
3.3 802.11 WEP
WEP
IEEE80211.b标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目的是为WLAN提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。静态WEP密钥是一种在会话过程中不发生变化也不针对各个用户而变化的密钥。
WEP的好处和优势
WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容,其优点在于:
全部报文都使用校验和加密,提供了一些抵抗篡改的能力
通过加密来维护一定的保密性,如果没有密钥,就难把报文解密
WEP非常容易实现
WEP为WLAN应用程序提供了非常基本的保护
WEP的缺点
静态WEP密钥对于WLAN上的所有用户都是通用的
这意味着如果某个无线设备丢失或者被盗,所有其他设备上的静态WEP密钥都必须进行修改,以保持相同等级的安全性。这将给网络的管理员带来非常费时费力的、不切实际的管理任务。
缺少密钥管理
WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换。
ICV算法不合适
ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。
RC4算法存在弱点
在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。攻击者收集到足够使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
认证信息易于伪造
基于WEP的共享密钥认证的目的就是实现访问控制,然而事实却截然相反,只要通过监听一次成功的认证,攻击者以后就可以伪造认证。启动共享密钥认证实际上降低了网络的总体安全性,使猜中WEP密钥变得更为容易。
WEP2
为了提供更高的安全性,WiFi工作组提供了WEP2技术,该技术相比WEP算法,只是将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到128位。然而WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度。也就是说WEP2算法并没有起到提高安全性的作用。
3.4 802.1x/EAP用户认证
802.1x认证技术
802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败,则禁止该设备访问LAN资源。
尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。802.1x体系结构包括三个主要的组件:
请求方(Supplicant):提出认证申请的用户接入设备,在无线网络中,通常指待接入网络的无线客户机STA。
认证方(Authenticator):允许客户机进行网络访问的实体,在无线网络中,通常指访问接入点AP。
认证服务器(Authentication Sever):为认证方提供认证服务的实体。认证服务器对请求方进行验证,然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体,也可以不是,后一种情况通常是将认证功能集成在认证方Authenticator中。
802.1x草案为认证方定义了两种访问控制端口:即"受控"端口和"非受控"端口。"受控端口"分配给那些已经成功通过认证的实体进行网络访问;而在认证尚未完成之前,所有的通信数据流从"非受控端口"进出。"非受控端口"只允许通过802.1X认证数据,一旦认证成功通过,请求方就可以通过"受控端口"访问LAN资源和服务。下图列出802.1x认证前后的逻辑示意图。
802.1x技术是一种增强型的网络安全解决方案。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证代理作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。
802.1x认证一般包括以下几种EAP(Extensible Authentication Protocol)认证模式:
EAP-MD5
EAP-TLS(Transport Layer Security)
EAP-TTLS(Tunnelled Transport Layer Security)
EAP-PEAP(Protected EAP)
EAP-LEAP(Lightweight EAP)
EAP-SIM
802.1x认证技术的好处和优势
802.1x协议仅仅关注受控端口的打开与关闭;
接入认证通过之后,IP数据包在二层普通MAC帧上传送;
由于是采用Radius协议进行认证,所以可以很方便地与其他认证平台进行对接;
提供基于用户的计费系统。
802.1x认证技术的缺点
只提供用户接入认证机制。没有提供认证成功之后的数据加密。
一般只提供单向认证
它提供STA与RADIUS服务器之间的认证,而不是与AP之间的认证
用户的数据仍然是使用的RC4进行加密。
3.5 WPA(802.11i)
802.11i——新一代WLAN安全标准
为了使WLAN技术从安全性得不到很好保障的困境中解脱出来,IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准,这种安全标准是为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。
IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。
WPA——向IEEE 802.11i过渡的中间标准
然而,市场对于提高WLAN安全的需求是十分紧迫的,IEEE 802.11i的进展并不能满足这一需要。在这种情况下,Wi-Fi联盟制定了WPA(Wi-Fi Protected Access)标准。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。WPA与IEEE 802.11i的关系如下图所示。
WPA与IEEE 802.11i的关系
WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。802.1x是一种基于端口的访问控制标准。TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:
扩展的48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules);
每包密钥构建机制(per-packet key construction);
Michael(Message Integrity Code,MIC)消息完整性代码;
密钥重新获取和分发机制。
WPA系统在工作的时候,先由AP向外公布自身对WPA的支持,在Beacons、Probe Response等报文中使用新定义的WPA信息元素(Information Element),这些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。STA根据收到的信息选择相应的安全配置,并将所选择的安全配置表示在其发出的Association Request和Re-Association Request报文中。WPA通过这种方式来实现STA与AP之间的加密算法以及密钥管理方式的协商。
在STA以WPA模式与AP建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么STA就使用802.1x方式进行认证;如果网络中没有RADIUS,STA与AP就会采用预共享密钥(PSK,Pre-Shared Key)的方式。
在WPA中,AP支持WPA和WEP无线客户端的混合接入。在STA与AP建立关联时,AP可以根据STA的Association Request中是否带有WPA信息元素来确定哪些客户端支持使用WPA。但是在混合接入的时候,所有WPA客户端所使用的加密算法都得使用WEP,这就降低了无线局域网的整体安全性。
尽管WPA在安全性方面相较WEP有了很大的改善和加强, 但WPA只是一个临时的过渡性方案,在WPA2(802.11i)中将会全面采用AES加密机制机制。
4 .企业/校园无线网安全解决方案
4.1无线网安全性现状
分析企业对无线网络的需求特征,安全因素被放在了首位,因安全方面的担心而不愿采用Wi-Fi,是目前很多企业存在的现象。实际上,目前大多数企业或校园无线网络提供的安全性如何?能否满足企业或校园的需求呢?
由于历史原因,大多数企业或校园的无线局域网主要是依靠 WEP方式对数据进行加密,数据加密后的微波信号即使被人截获,也不易破解,从而保证客户传输的数据安全性。但是WEP存在着不理想的地方:一是密钥共享。由于每个人都知道密钥,则密钥很容易泄漏不易管理。二是弱密钥缺陷,导致WEP不能很好地抵御密码学破解攻击。
其次,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以接入网络,所以大多数无线局域网的用户接入安全保障是采用MAC地址控制。但是这种接入控制方法对于大型企业或校园无线网,会存在管理麻烦、扩展能力受限制等问题。另外,黑客还可能会使用MAC欺骗技术入侵网络。
所以对于企业或校园无线网络系统,如果不从整体上进行规划和设计,只孤立地采用单一的某项安全技术是无法满足企业或校园的高安全性的要求的。反而会造成无线网络不安全的印象,导致不能充分利用无线网络所能提供的诸多特性和优点来进行资源共享和提高工作效率。下面就将介绍根据企业或校园无线网络应用的需求和要达到的目标,整体规划设计的一套适用于企业及校园的无线安全解决方案。
4.2 解决方案概述
为了解决企业无线应用的首要难题——安全性,该解决方案采用了WPA安全架构的设计。同时,为了向企业外部来访的用户提供无线接入的灵活性和方便性,该方案还应用了基于英特尔架构的无线网络控制器(WNC)和支持多SSID的AP(Cisco 1100/1230),使企业无线网络在保证企业信息安全的前提下,对多种接入认证方式提供了必要的支持。为了使无线网络系统能满足企业或校园在功能性、灵活性和可扩展性方面的众多需求,中采用Ocamar WNC(昂科无线网络控制器)作为无线网络管理和控制设备。昂科WNC除了实现了AC设备应该具备的接入控制、身份认证等功能,还能够向企业提供策略路由、流量控制、无线设备管理、用户管理和计费等极具价值的功能,这使其成为对企业和校园无线应用架构起关键作用的设备。
上海交通大学无线网案例
下面以上海交通大学校园无线网项目为例,具体地阐述典型的企业及校园无线解决方案:
上海交通大学是我国历史最悠久的高等学府之一。近年来,随着学校教学规模逐步扩大,除拥有古色古香的百年徐家汇老校区外,还有现代化闵行新校区以及法华镇路校区、上中校区、七宝校区等五个位于上海不同位置的校区。
由于存在不同地点的校区,交大的教员和学生不得不在不同的校区来回,同时教学场所也经常在各校区之间变换。这让校园网络出现了难题:
1、 如何在不大幅度提高成本的情况下,校园网络覆盖五个不同位置的校区?
2、 如何在校园的各个教学场所之间,提供无缝的网络连接,完成教学任务?
3、 如何连接五个不同位置的校区,同时又提供足够的安全特性,保证安全通畅的网络连接?
4、 如何充分利用现有的资源,帮助教员和学生利用现代互联网技术,提高教学效率和学习效率?
针对学校面临的以上难题,对无线网络解决方案的要求确定如下:
1. 无线网络信号覆盖五个不同位置的校区;
2. 提供无缝的互联网IP连接特性,保持教学网络在校园之间无缝漫游;
3. 保障无线网络安全性,对用户和资源访问权限进行管理;
4. 对不同的无线用户提供不同的接入认证方式,并对其应用合适的路由策略;
5. 普及基于无线连接的笔记本电脑,充分提高教学和学习效率。
为让网络应用的价值最大化,从而为上海交通大学五个分散的校区内构建一个统一的、易接入、稳定安全的校园无线网络环境。针对解决方案的要求,经过多次比较和反复技术论证,决定为上海交通大学无线网络采用以下的解决方案:
1. 全面采用基于英特尔公司迅驰移动技术的笔记本电脑作为无线终端,提高教与学的效率和移动便利,同时保证高速的互联网接入;
2. 采用符合802.11标准及通过Wi-Fi认证的无线网络产品,核心安全架构采用WPA标准;
3. 采用具有多SSID和VLAN特性的Cisco Aironet 1200系列AP进行基础覆盖;
4. 采用昂科WNC无线网络接入控制器作为无线校园网的安全接入产品,为网络安全和扩展提供保证;
5. 采用昂科WNMS无线网络管理系统,对整个无线网络的基础设施、用户、安全策略和相关资源进行统一管理和监控。
该解决方案还使得上海交大整个校园无线网络具有高度可扩展性和可升级性,为将来实现网络升级和扩展提供了极高的资源保护。整个方案由昂科信息技术(上海)公司提供系统集成和方案实施。
昂科信息技术(上海)有限公司在充分了解上海交大现有网络建设后,针对上海交大的实际情况,提出了校园无线网络的整体解决方案。具体方案如拓扑图所示:
如图,各无线覆盖区域的AP就近接到接入层交换机上。因为存在校内教师、学生和校外来访用户等不同的无线用户群,出于不同用户群对安全性、易用性要求不同的考虑,采取802.1x和WEB认证相结合的方式来提供用户身份认证。为了区分这两种接入方式并将其分别关联到一个对应的VLAN,采用了支持多SSID(Multi-SSID)和802.1q VLAN特性的Cisco Aironet 1200 系列AP。
对于在校内的学生和教师用户,将采用符合WPA安全架构的802.1x标准认证的接入方式,认证通过的用户将获得一个每用户唯一的主密钥,通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成每数据包唯一的加密密钥,通信双方以此进行通信加密。在校园有线网L3分布层交换机上配置VLAN的子接口,利用该子接口作为这个SSID所代表的VLAN的网关,对其进行路由转发。从而使通过认证的企业内部用户能够如同用有线接入一样访问整个企业网络,但是由于对无线通信进行了动态加密,保证了校园的敏感数据在空中传输的安全,有效地解决了校园无线应用的首要问题。
对于用WEB方式认证的校外来访用户,当利用基于英特尔公司迅驰移动技术的笔记本电脑连接上无线接入点后,可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息,无须安装客户端软件,直接利用浏览器就可以通过充当WNC设备进行WEB方式认证,认证通过后就可以接入到Internet。为保证整个园区网络的安全性,对于该SSID接入的用户必须以WNC作为其网关设备,所以L3分布层交换机无须对该SSID所代表的VLAN进行路由转发,从而统一该虚网的出口为昂科AC2010无线网络控制器。
如果这些用户需要访问校园内部网络,可以通过在这一WNC设备上启用用户级的策略路由来实现。这样在保证一定安全性的基础上方便了来访用户或漫游用户的接入,提高了无线网络的易用性和灵活性。
4.3 解决方案特点
4.4.1安全性高
这套专门为大中型企业和校园定制的无线局域网系统支持符合WPA安全架构的802.1x认证方式, 借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输,保证了信息传输的高安全性。
而且通过利用Ocamar WNC灵活的配置方式和支持多种认证接入方法的特性,还支持Web方式认证以及无线链路层的VPN加密方式PPTP、L2TP,以及支持协议过滤、策略路由、流量控制等访问控制策略,过滤掉非法的用户访问,确保网络的安全。
4.4.2支持多SSID和VLAN划分
Cisco Aironet 1200系列AP支持多SSID特性, 每一个都可以映射到有线网络的一个VLAN, 将符合802.1q标准的VLAN 延伸到无线网络上。网络管理员可以将无线网络上用户分组和网络分段管理与有限网络一同规划,大大减轻了管理负担、保证了企业安全策略的一致性。
4.3.4利用策略路由进行访问控制
昂科WNC的策略路由功能对于拥有多个网络出口、多种用户群体的企业或组织机构有相当的应用价值。针对不同的用户采用不同的路由策略,可以很好地划分和引导用户数据流,便于管理和资源分配。在企业中,策略路由功能更是可以用来区分用户权限级别,以限制不同的用户访问不同的网络,从而强化了企业信息系统的安全性。
比如交大无线校园解决方案中,学校的网络有两个出口,一个连到中国教育科研网(CERNET),另一个与Internet相连。该案例中将校园无线用户分成两类,一是教师用户,一是学生用户。为了让学生能通过教育网与其他高校的师生进行交流,但是又不想Internet上的垃圾信息和不良网站干扰学生的正常网上生活,就可以设置学生用户的下一跳路由到CERNET,而教师用户的下一跳则是路由到Internet出口,从而实现了不同无线用户群体的访问需求。
4.3.5流量控制保证用户带宽
通过Ocamar WNC的流量控制功能将不同用户的带宽按不同需要进行管理,保证某些重要用户的带宽,从而保证了任务关键性的无线企业应用的畅通,有效防止了带宽过量占用的拒绝服务攻击。
4.3.6 AP管理和用户管理
通过Ocamar WNC的AP管理功能,可以对其下所连的AP作为一个网络单元进行管理,结合昂科WNMS网管系统还可以将Ocamar WNC作为SNMP代理对这些AP进行管理。另外,Ocamar WNC还提供完善的用户管理,无线网络管理员可以通过“Web Manager”图形化配置界面,方便地填加、删除用户,或对用户的接入控制属性进行设置,定制用户级别的接入控制策略。
4.3.4支持漫游用户
当企业或校园里的终端用户在移动中进行网络通信时,用户可能会在AP之间漫游,甚至跨越不同的IP子网,无线接入点必需瞬间完成客户的重新认证和密钥分配,并为客户建立由所在网段的AP提供通往原网段AP的隧道,继续保持用户的通话。该方案通过采用符合Wi-Fi认证标准的无线接入产品,以及功能强大、能提供移动IP和策略路由支持的Ocamar WNC,将使各种漫游用户在异地无线接入仍能顺利访问到原地网络。
4.3.7无线网络管理
该无线解决方案通过采用Ocamar WNMS,能够把各无线局域网内的AP设备以及其相连的的运行状况实时纳入网管系统的管理范围;面向全网,为网络维护人员提供统一的、完备的全网视角,准确、快速把握全网的实时性能与潜在的问题,及时采取相应的措施确保企业WLAN的高可靠性。
采用一个完整的无线局域网网管系统WNMS。WNMS采用网络管理的标准协议SNMP对相关无线局域网设备进行配置、管理数据、性能数据、故障数据的采集和分析,同时也可通过WNMS 对具体设备上的参数进行配置、调整、故障诊断。WNMS 还提供拓扑发现、管理的功能,可以直观的反映出AC、AP 和其他相关设备之间的对应关系。网络监视基于网络拓扑图进行,在性能、告警、配置等方面动态反映网络的变化,因此成为保障无线网络稳定运行不可缺少的重要组成部分。
4.4无线产品选型原则
目前在市面上销售的无线接入产品类型多种多样,就算无线芯片来自同一家厂商,产品的集成制造厂家和实现的方法也各不一样。所以为了保护投资以及确保产品的兼容性、互操作性和可扩展性,产品除了要求符合电气和电子工程师协会(IEEE)802.11系列标准,还应该一致选用符合Wi-Fi认证标准的无线产品。功能完备、安全性好、使用简易是规划一套信息系统基础设施的永恒目标,选择合适的产品将是实现这一目标的前提。上海交通大学无线网络项目之所以成功,正是因为解决方案提供商昂科信息技术(上海)有限公司依据合理的产品选型原则,结合客户的需求选择了合适的无线产品和架构标准。
根据在无线接入网络系统中所扮演的角色的不同,接下来将从无线接入基础设施、无线终端设备、接入控制设备以及后台服务系统几个方面阐述产品选型需要考虑的要素和应该遵循的原则。
4.3.1无线接入基础设施
无线接入基础设施是实现无线网络覆盖的最基础的设备,这方面的产品的选型应该遵循以下的原则:
1、首先要根据应用需求确定无线接入设备的规格标准,如选用802.11系列的a、b或g标准;
2、确保所选用的产品都是通过Wi-Fi组织认证的;
3、根据特殊应用需求,选择合适的、提供这些应用支持的产品;
4、从产品可靠性、可扩展性、性能、成本和保护投资等方面综合考虑。
比如,选用Cisco Aironet 1200系列AP可以保护现有的和未来的网络基础设施投资。这种符合电气和电子工程师协会(IEEE)802.11b标准的接入点目前可以支持高达11Mbps的数据传输速率,并完全符合Wi-Fi认证标准,可以为想要采用WPA安全架构的企业用户提供安全的无线网络解决方案支持。
Cisco Aironet 1200系列的模块化设计可以实现单段和双段配置,以及可现场升级能力,一个单独的接入点可以在提供一个802.11b波段传输的同时,为高速的802.11a提供另外一个无线电连接。Cisco Aironet 1200系列可以支持所有802.1X认证类型,包括EAP思科无线认证(LEAP)、EAP-TLS和利用EAP-TLS的类型,完全能够满足WPA标准的要求。
Cisco Aironet 1200系列的多SSID(Multi-SSID)特性为需要同时部署多种方式的无线接入方式的企业提供了最大的灵活性。使得企业将无线网络的认证方式从传统迁移到WPA标准变得更容易更灵活。多SSID特性结合VLAN技术,企业还可以部署针对不同用户群采用不同得认证方式的无线接入系统,可以同时满足企业高安全性的要求和来访用户简便接入的需求。
4.3.2无线终端设备
无线移动终端一般指的是用户直接使用并具有无线网络接入能力的数字终端,目前市面上主要有迅驰笔记本电脑、带有WLAN无线网卡的台式PC机、具有WLAN接入功能的PDA等等,甚至现在还有带WLAN通信功能的摄像、监控设备。选择这些设备也应该遵循符合Wi-Fi认证、可靠性高、使用方便的产品。
其中基于CMT(迅驰移动技术)的笔记本电脑是最广泛使用的WLAN终端,这项技术的采用与WLAN的应用部署几乎同步增长。迅驰移动技术是国际知名芯片设计制造商英特尔专为无线应用而设计的,采用这种创新技术的笔记本电脑将获得以下的特性:
集成的无线局域网连接能力;
突破性的移动计算性能;
延长的电池使用时间;
更轻、更薄的外形设计。
4.3.3无线接入控制设备
由于WLAN与其他有线网络间的明显区别,原则上都应该在WLAN与传统网络之间部署一种接入控制机制,以加强企业网络的安全性以及WLAN接入方式的灵活性。通常这种接入控制机制是由一种通称为接入控制器(AC)的设备来实现。
昂科无线网络控制器( Ocamar Wireless Network Controller,以下简称Ocamar WNC)就很好的实现了AC的各项功能定义,除了具有常用的身份认证、接入控制等AC的必备功能之外,还具有流量控制、策略路由等增值功能。昂科WNC提供了建立具备安全性、可升级性和对业务至关重要的802.11无线网络的基础。在无线以太网的核心部分,Ocamar WNC提供包括严密的访问控制、集中式管理、无缝漫游等关键性服务,并且整合了计费功能。
4.3.4无线网络后台服务系统
基于英特尔体系结构的服务器为企业提供了构建高性能、高可用信息系统的基础设施平台。比如DHCP服务器、RADIUS服务器、WEB服务器等企业信息化必备的组件都可以采用英特尔体系结构的服务器实现,利用这些基本组件可以实现WPA标准规定的系统性要求,并且为将来的扩展和升级提供了足够的空间和灵活性。
在硬件基础设施的基础上,同时也要选择合适的、功能完备、可靠性高的相关软件系统,如无线网络管理系统、身份验证系统等等。比如选用Ocamar WNMS无线网络管理系统就能对无线网基础设施进行有效的管理,因为该系统具有设备配置和性能管理、负载均衡、故障预警、故障告警等功能,对简化网络管理负担都是非常有价值的。
5.结论
WLAN技术是当今世界上最令人振奋的、全新的无线技术之一。实现了无论是在工作中、在家中,还是国内外旅行中的安全的、健壮的高速无线访问。现在有笔记本电脑、PDA支持它,而且马上将被手机支持。该技术的采用正快速地在很多地方增长,包括企业、机场、医院、酒店、家庭、餐馆、咖啡厅、仓库,甚至也应用在停车场和汽车站,让人们能随时与同事和家人保持联系,从而更大的提升自由度和工作效率。
无论是企业、运营商还是个人用户,如果能构建符合标准、易于使用且属于自己的WLAN设施,将能强占先机、提高效率和降低成本。特别是对于企业,如果能按照Wi-Fi组织定义的安全标准实施企业WLAN,那么将对企业信息化应用产生极大的价值。采用文中安全解决方案中描述的WLAN安全架构,并灵活运用符合Wi-Fi认证要求的产品来搭建WLAN系统,将是迈向最终实现安全接入、无缝漫游的踏脚石。
昂科信息技术(上海)有限公司采用了基于英特尔公司迅驰移动技术的笔记本电脑以及思科功能齐全、性能稳定的无线接入点产品,并结合昂科WNC无线网络控制器和WNMS网管软件系统来构架交大无线网解决方案。这些要素构成了上海交通大学无线校园网络的最佳平台和框架,它提供了无线、移动、高速和安全的互联网连接,帮助上海交通大学成为中国最成功的校园网实施案例。同时,该案例中的解决方案也成为值得其他大中型企业和学校在部署无线网络之前应借鉴的成功典范。
第一章 总则
本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。
1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
3.通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
第二章 网络系统概况
2.1 网络概况
这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
2.1.1 网络概述
这个企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000m的独享带宽,通过下级交换机与各部门的工作站和服务器连结,并为之提供100m的独享带宽。利用与中心交换机连结的cisco 路由器,所有用户可直接访问internet。
2.1.2 网络结构
这个企业的局域网按访问区域可以划分为三个主要的区域:internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,可以在catalyst 型交换机上直接划分四个虚拟局域网(vlan),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。(图省略)
2.2 网络应用
这个企业的局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、www服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
4.提供与internet的访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
2.3 网络结构的特点
在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:
1.网络与internet直接连结,因此在进行安全方案设计时要考虑与internet连结的有关风险,包括可能通过internet传播进来病毒,黑客攻击,来自internet的非授权访问等。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分vlan来实现。
4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
第三章 网络系统安全风险分析
随着internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对internet安全政策的认识不足,这些风险正日益严重。
针对这个企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。
3.1物理安全风险分析
网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
这个企业局域网内公开服务器区(www、email等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;每天,黑客都在试图闯入internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,规模比较大网络的管理人员对internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中,只使用了一台路由器,用作与internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
3.3系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是microsoft的windows nt或者其他任何商用unix操作系统,其开发厂商必然有其back-door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.4应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全动态的、不断变化的:应用的安全涉及面很广,以目前internet上应用最为广泛的e-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的bug是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
3.5管理的安全风险分析
管理是网络安全中最重要的部分
管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.6黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到unix的口令文件并将之送回。黑客侵入unix服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入unix服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问www页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.7通用网关接口(cgi)漏洞
有一类风险涉及通用网关接口(cgi)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过cgi脚本执行的方式实现的。黑客可以修改这些cgi脚本以执行他们的非法任务。通常,这些cgi脚本只能在这些所指www服务器中寻找,但如果进行一些修改,他们就可以在www服务器之外进行寻找。要防止这类问题发生,应将这些cgi脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
3.8恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。
3.9病毒的攻击
计算机病毒一直是计算机安全的主要威胁。能在internet上传播的新型病毒,例如通过e-mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的e-mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“cih”病毒就是一可怕的例子。
3.10不满的内部员工
不满的内部员工可能在www站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
3.11网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
第四章 安全需求与安全目标
4.1安全需求分析
通过前面我们对这个企业局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
4.2网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即:
威严的法律:安全的基石是社会法律、法规、与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
4.3系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:
建立一套完整可行的网络安全与网络管理策略
将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信
建立网站各主机和服务器的安全保护措施,保证他们的系统安全
对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完 整的系统日志
备份与灾难恢复——强化系统备份,实现系统快速恢复
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
第五章 网络安全方案总体设计
5.1安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
5.2安全服务、机制与技术
安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等;
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
第六章 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理
6.1物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准gb50173-93《电子计算机机房设计规范》、国标gb2887-89《计算站场地技术条件》、gb9361-88《计算站场地安全要求》
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。
6.2.1网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
6.2.2网络系统安全
6.2.2.1 访问控制及内外网的隔离
访问控制
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用ip和tcp包的头信息对进出被保护网络的ip包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(nat)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
6.2.2.2 内部网不同网络安全域的隔离及访问控制
在这里,主要利用vlan技术来实现对内部子网的物理隔离。通过在交换机上划分vlan可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的vlan段内,就可以限制局部网络安全问题对全局网络造成的影响。
6.2.2.3 网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能:
具备网络监控、分析和自动响应功能
找出经常发生问题的根源所在;
建立必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险。
漏洞分析和响应
配置分析和响应
漏洞形势分析和响应
认证和趋势分析
具体体现在以下方面:
防火墙得到合理配置
内外web站点的安全漏洞减为最低
网络体系达到强壮的耐攻击性
各种服务器操作系统,如e_mial服务器、web服务器、应用服务器、,将受黑客攻击的可能降为最低
对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人 员误操作的侵害
6.2.2.4 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
6.2.2.5 网络防病毒
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。
网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:
1.预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒软件等)。
2.检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。
3.清除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
所选的防毒软件应该构造全网统一的防病毒体系。主要面向mail 、web服务器,以及办公网段的pc服务器和pc机等。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对internet/ intranet服务器的病毒防治,能够阻止恶意的java或activex小程序的破坏;支持对电子邮件附件的病毒防治,包括word、excel中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。
6.2.2.6 网络备份系统
备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数据备份,有“冷备份”和“热备份”两种。热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份,下载的备份存放到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装,有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间,专门存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通过主机系统与子系统之间的传输,同样具有速度快和调用方便的特点,但投资比较昂贵。冷备份弥补了热备份的一些不足,二者优势互补,相辅相成,因为冷备份在回避风险中还具有便于保管的特殊优点。
6.3系统安全
系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略:
对操作系统进行安全配置,提高系统的安全性;系统内部调用不对internet公开;关键性信息不直接公开,尽可能采用安全性高的操作系统。
应用系统在开发时,采用规范化的开发过程,尽可能的减少应用系统的漏洞;
网络上的服务器和网络设备尽可能不采取同一家的产品;
通过专业的安全工具(安全检测系统)定期对网络进行安全评估。
6.4信息安全
在这个企业的局域网内,信息主要在内部传递,因此信息被窃听、篡改的可能性很小,是比较安全的。
6.5应用安全
在应用安全上,主要考虑通信的授权,传输的加密和审计记录。这必须加强登录过程的认证(特别使在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。另外,在加强主机的管理上,除了上面谈的访问控制和系统漏洞检测外,还可以采用访问存取控制,对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全,主要考虑确定不同服务的应用软件并紧密注视其bug ;对扫描软件不断升级。
6.6安全管理
为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现,另一方面从技术上建立高效的管理平台(包括网络管理和安全管理)。安全管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。当然,还需要建立高效的管理平台。
6.6.1安全管理规范
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全管理规范的建立,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起各计算机网络应用部门领导的重视。
1.安全管理原则
网络信息系统的安全管理主要基于三个原则。
多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。具体的活动有:
访问控制使用证件的发放与回收;
信息处理系统使用的媒介发放与回收;
处理保密信息;
硬件和软件的维护;
系统软件的设计、实现和修改;
重要程序和数据的删除和销毁等;
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开。
计算机操作与计算机编程;
机密资料的接收和传送;
安全管理和系统管理;
应用程序和系统程序的编制;
访问证件的管理与其它工作;
计算机操作与信息处理系统使用媒介的保管等。
2.安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级
根据确定的安全等级,确定安全管理的范围
制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
制订严格的操作规程
操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
制订完备的系统维护制度
对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
制订应急措施
要制定系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整响应的授权。
6.6.2网络管理
管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理,同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描,分析他们的安全漏洞,并采取相应的措施。
6.6.3安全管理
安全管理的主要功能指对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令管理(如操作员的口令鉴权),对无权操作人员进行控制;密钥管理:对于与密钥相关的服务器,应对其设置密钥生命期、密钥备份等管理功能;冗余备份:为增加网络的安全系数,对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术实现两个方面来实现。安全管理产品尽可能的支持统一的中心控制平台。
第七章 安全解决配置方案
这篇文章的目的教你怎样去设计一个安全解决方案,所以具体的安全解决配置,我就不在叙述了,具体的思路已经写出来了,剩下的配置就要根据实际情况去做了。(有一些图被省略了,不过思路出来了图也就出来了)