论文部分内容阅读
黑龙江省电子政务网络是省政府实施的新一代政务通信平台,高速、可靠、数字化和多业务共享是这个通信网的特点。该平台的建成,大大加强省与各地市的信息沟通能力,能够使省领导做到“信息全、情况明、指挥灵”。
随着Internet及网络技术在政务信息化应用中的日趋重要,计算机网络的安全问题也日益突出。由于Internet/Intranet的自身运行机制是一种开放型的协议机制,网络结点之间的通讯是按照固定的机制,通过交换协议数据单方完成的。以保证信息流按“包”或“帧”的形式无差错的传输。只要所传的信息格式符合协议所规定的协议数据单元格式,这些信息“包”或“帧”就可在网上自由通行。至于这些协议数据单元是否来自源发方,其内容是否真实显然无法保障。这是在早期制定协议时,只考虑信息的无差错传输所带来的固有的安全漏洞。目前关于计算机网络的安全问题解决不利造成企业巨大经济损失的报道屡见不鲜,因此设计网络时,要充分地考虑信息的安全性。
安全防御技术方法
目前通常采用的防火墙及安全侦防技术,一般可以分为三大类:
第一类:是安全性类,包括访问控制、授权论证、加密、内容安全等;
第二类:是管理和记账,包括安全策略管理、路由器安全管理、记账、监控等;
第三类:是连接控制,主要为企业消息发布的服务器提供可靠的连接服务,包括负载均衡、高可靠性等。
访问控制。这是限制未授权用户访问本网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如:多媒体应用),无法快速支持。
授权认证。由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,需要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。
内容安全。内容安全是把数据监测功能扩展到高层服务协议,保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及不需要内容的Web文件的入侵和骚扰,同时又能提供向Internet的较好访问。
计算机病毒扫描。病毒检查对网络安全是至关重要的,同时对如何实施病毒检查策略也不容忽视,要取得理想的效果,应在访问网络的每一个点上实施病毒检查,而不应该交给每个用户自己去实施。允许系统管理员采用集中方式管理整个企业的安全策略。
URL扫描。URL扫描允许网络管理员设定对某些Web页面的访问权,从而有效的节省网络带宽,增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。URL扫描支持以下三种方式设定:统配符设定、按文件名设定、按第三方URL数据库设定。
加密(VPN)技术。企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点的连接方式既缺乏灵活性,成本又高,无法大规模的使用。随着公共网络的发展,如Internet,作为一种灵活、价格低廉的网间互联工具,已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是一个关键问题。
我们通常把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网(VPN)。VPN技术在低费用、灵活性方面明显要比传统的定制专用网占优势,VPN技术的引进,使全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用VPN技术,每个专用网只要接入本地的Internet供应商即可。
网络地址翻译。IP翻译可以满足以下两种需求:
——隐藏企业内部IP地址和网络结构;
——把内部的非法IP地址翻译成合法的IP地址。
Internet技术是基于IP协议的,为了通过IP协议进行通信,每个参与通信的设备必须具有一个唯一的IP地址。这在不与Internet相连的内部物理网络上是较易做到的。但是,一旦企业要接入Internet,则IP地址必须是全球唯一的,同时由于IP地址空间有限,现在要申请整段的IP地址已很困难,为了有效地利用有限的IP地址空间,IANA为Internet预留了三段地址空间,允许企业内部使用。企业在建设Internet时应采用IANA为私用网预留的IP地址空间,如果内部网络的非法IP地址与外部合法IP主机进行通信时,就通过NAT进行地址转换。
负载均衡。负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的HTTP服务器都可以为HTTP客户机提供相同的服务,另外不要求所有的服务器都在防火墙之后。同样,其中的FTP服务器也可以对所有的FTP客户机提供相同的服务。
日志、报警、记账能力。对用户在网络中的活动情况应进行记录,如对用户入网和退网时间、传送的字节数、传送的包数量等进行记录。同时应提供实时的报警功能,报警方式可以是通知系统管理员、发送E-mail、发送SNMP给其他网络系统或激活用户定义的报警方式,如发送手机短信等。
黑龙江省电子政务网络的安全策略
总的来说,黑龙江省电子政务网的网络安全应考虑包括以下几方面内容:
——应用层安全
——网络层安全
——链路层安全
——物理层安全
建立健全完善的机房管理制度。如,出入中心机房的人员制度;严禁非法或盗版应用软件和游戏软件的使用等;通过完善的管理机制,将来自内部的有意或无益的进攻的可能降到最低。
在物理层和数据链路层的防范策略。主要是采用冗余的物理设备,包括“冗余处理模块、冗余电源、冗余风扇、冗余插槽、冗余端口、冗余通讯链路、冗余供电线路”等手段,从网络的底层来保护核心网络的安全,减少单点故障。
在网络层安全措施。与Internet的接入采用加装硬件防火墙措施,如CISCO的PIX硬件防火墙,设置“内网、外网、非军事区”,对进入内网和非军事区的数据包进行严格过滤。另外,通过NAT地址转换、有限功能设定等,防止来自Internet黑客及病毒的侵害。在路由器中配置防火墙软件,可以实现对数据包的传输过滤。此外,在网络层继续采用访问控制列表,在VLAN与VLAN之间建立防范措施,对各类应用系统,无关人员无权访问和登陆。
在应用层的安全措施。对于核心应用,应对前端的Client用户的权限进行严格定义,从应用层的角度划分“超级用户、管理级用户、维护级用户、开发级用户、录入级用户”,每级用户的登陆权限和数据修改权限将严格定义,杜绝恶意用户的非法操作。
安装网络安全侦测产品和病毒扫描软件。随着网络技术的飞速发展和广泛应用,黑客技术的公开和有组织化,以及网络的开放性使得网络受到攻击的威胁越来越大。网络入侵往往是由于自身固有的漏洞引起的,同时加密、认证等方法都无法有效解决来自内部和外部的非法入侵,并且没有有效的监控手段。目前用户常采用的防范举措是网络漏洞扫描和入侵检测,做到防患于未然,来加强网络安全防护的能力。
网络安全设备ICG的部署及其特性
互联网控制网关ICG(Internet Control Gateway的英文缩写)产品支持三种网络部署模式:透明网桥模式、网关模式和镜像模式,分别适用于不同的网络拓扑结构。黑龙江省电子政务网选择透明网桥模式进行部署。把ICG部署在政务网到互联网的总出口防火墙之间,对来自互联网的数据包进行安全检查。黑龙江省电子政务网的网络拓扑结构如图1。
用户可以指定灵活、有效的管理控制策略,针对网页访问过滤、网络应用控制、带宽流量管理、内容审计;全球最大的中文网页数据库;国内最大的网络应用协议数据库;强大的查询统计与分析报告;灵活的部署方式;有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。
人性化设计,简单易用。整体功能逻辑简洁清晰,充分贴合用户思维习惯;界面风格美观大方,从整体布局到细小按钮都经过精心设计;树形用户组织结构、应用协议结构展示,一目了然;向导式配置,轻松完成网络配置;在线帮助系统提供智能定位,精确解答操作疑问。
精细灵活的策略管理。精确控制IM软件的子应用,支持对每种子应用进行独立的控制,如聊天、文件传输、语音视频、远程控制、游戏等;根据用户、时间、应用、控制方式等多重条件设置策略,控制任意用户任意时间的网络访问行为;支持网站黑/白名单、免监控用户列表,充分考虑策略管理的灵活性;带宽管理细化至针对每个用户、每种具体应用进行设置,根据业务重要性分配优先级、防止个别人员独占带宽,又能统计复用,充分利用空闲带宽;支持对任意用户任意时间的任意应用日志的查询统计。
国内最大的网络应用协议数据库。超过150种流行应用协议分析特征库;先进的深度内容检测(DCI)技术,基于特征值和行为模式识别各种应用;专业的协议分析团队,确保应用协议库的持续更新和有效管控。
强大的查询统计与分析报告。对任意用户在任意时段的上网行为进行详细地查询,内容涵盖网页访问、邮件收发、IM聊天、P2P下载、论坛发贴、流量信息、在线娱乐等;内置超过50种报告模板,为管理员和企业决策人员提供完整的用户上网分析;独有的递进式(drill-down)统计分析,帮助管理员从宏观到微观、从全局到局部、层层递进、深入分析,全面了解用户上网行为与网络资源的使用效率;所有分析报告都可以以表格、饼图、柱图或线图等方式清晰直观地展示。
灵活的部署方式。支持网桥模式、网关模式、旁路模式;网桥透明接入既有网络环境,不影响原有网络配置;串接方式接入,过滤所有报文,实现完整过滤、审计;旁路模式确保网络无单点故障,不对网络性能产生任何影响。
稳定可靠的软硬件平台。全系列硬件设备支持断点物理跳接,避免电源失效导致的网络中断;独有的一键式旁路切换设计,主动调整网络负载;灵活的软件死锁与高负载跳转功能,根据预设阀值自动分流高负载流量;系统软件热备,当主控制系统发生异常后,备份系统可保持系统继续运转。
独立的日志中心与集中控管平台。海量存储,保持日志数据完整性;离线查询,降低ICG运算负载,提升查询效率;集中监控分布部署设备运行状态;制定统一策略,集中管控;收集用户日志,统揽全局,综合分析。
总之,安全策略必须在网络建设中予以考虑和设计,并针对用户的具体网络结构采用适合的安全产品和安全策略,只有这样才能达到安全的防范作用。解决网络安全问题从不会一劳永逸,尤其应从管理的高度认识网络安全。同时,网络安全与网络运行效率、防范级别与防范投资都是相辅相成的。网络的安全应在运行的过程中不断发现薄弱环节,及时更新防范措施,在系统的运行中不断完善、不断巩固系统的安全策略。
(作者单位:黑龙江省政务信息化管理服务中心)
随着Internet及网络技术在政务信息化应用中的日趋重要,计算机网络的安全问题也日益突出。由于Internet/Intranet的自身运行机制是一种开放型的协议机制,网络结点之间的通讯是按照固定的机制,通过交换协议数据单方完成的。以保证信息流按“包”或“帧”的形式无差错的传输。只要所传的信息格式符合协议所规定的协议数据单元格式,这些信息“包”或“帧”就可在网上自由通行。至于这些协议数据单元是否来自源发方,其内容是否真实显然无法保障。这是在早期制定协议时,只考虑信息的无差错传输所带来的固有的安全漏洞。目前关于计算机网络的安全问题解决不利造成企业巨大经济损失的报道屡见不鲜,因此设计网络时,要充分地考虑信息的安全性。
安全防御技术方法
目前通常采用的防火墙及安全侦防技术,一般可以分为三大类:
第一类:是安全性类,包括访问控制、授权论证、加密、内容安全等;
第二类:是管理和记账,包括安全策略管理、路由器安全管理、记账、监控等;
第三类:是连接控制,主要为企业消息发布的服务器提供可靠的连接服务,包括负载均衡、高可靠性等。
访问控制。这是限制未授权用户访问本网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如:多媒体应用),无法快速支持。
授权认证。由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,需要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。
内容安全。内容安全是把数据监测功能扩展到高层服务协议,保护用户的网络、信息资源免遭宏病毒、恶意Java、ActiveX小应用程序及不需要内容的Web文件的入侵和骚扰,同时又能提供向Internet的较好访问。
计算机病毒扫描。病毒检查对网络安全是至关重要的,同时对如何实施病毒检查策略也不容忽视,要取得理想的效果,应在访问网络的每一个点上实施病毒检查,而不应该交给每个用户自己去实施。允许系统管理员采用集中方式管理整个企业的安全策略。
URL扫描。URL扫描允许网络管理员设定对某些Web页面的访问权,从而有效的节省网络带宽,增加网络层的另一级别的控制机制。该机制可以实现内部员工之间对不同信息的不同访问权限的安全策略。URL扫描支持以下三种方式设定:统配符设定、按文件名设定、按第三方URL数据库设定。
加密(VPN)技术。企业、合作伙伴、分公司、移动用户之间的长距离通信已成为商业联系的关键。传统方法中的点对点的连接方式既缺乏灵活性,成本又高,无法大规模的使用。随着公共网络的发展,如Internet,作为一种灵活、价格低廉的网间互联工具,已越来越成为企业采用的方法。但如何在公共网络上实现企业信息的安全传输是一个关键问题。
我们通常把一个利用了部分公共网络资源组成的私用网络称为虚拟专用网(VPN)。VPN技术在低费用、灵活性方面明显要比传统的定制专用网占优势,VPN技术的引进,使全球范围内的企业连接提供了高度灵活、安全、可靠、廉价的方法。采用VPN技术,每个专用网只要接入本地的Internet供应商即可。
网络地址翻译。IP翻译可以满足以下两种需求:
——隐藏企业内部IP地址和网络结构;
——把内部的非法IP地址翻译成合法的IP地址。
Internet技术是基于IP协议的,为了通过IP协议进行通信,每个参与通信的设备必须具有一个唯一的IP地址。这在不与Internet相连的内部物理网络上是较易做到的。但是,一旦企业要接入Internet,则IP地址必须是全球唯一的,同时由于IP地址空间有限,现在要申请整段的IP地址已很困难,为了有效地利用有限的IP地址空间,IANA为Internet预留了三段地址空间,允许企业内部使用。企业在建设Internet时应采用IANA为私用网预留的IP地址空间,如果内部网络的非法IP地址与外部合法IP主机进行通信时,就通过NAT进行地址转换。
负载均衡。负载均衡特性能使提供相同服务的多个服务器之间实现负载分担。所有的HTTP服务器都可以为HTTP客户机提供相同的服务,另外不要求所有的服务器都在防火墙之后。同样,其中的FTP服务器也可以对所有的FTP客户机提供相同的服务。
日志、报警、记账能力。对用户在网络中的活动情况应进行记录,如对用户入网和退网时间、传送的字节数、传送的包数量等进行记录。同时应提供实时的报警功能,报警方式可以是通知系统管理员、发送E-mail、发送SNMP给其他网络系统或激活用户定义的报警方式,如发送手机短信等。
黑龙江省电子政务网络的安全策略
总的来说,黑龙江省电子政务网的网络安全应考虑包括以下几方面内容:
——应用层安全
——网络层安全
——链路层安全
——物理层安全
建立健全完善的机房管理制度。如,出入中心机房的人员制度;严禁非法或盗版应用软件和游戏软件的使用等;通过完善的管理机制,将来自内部的有意或无益的进攻的可能降到最低。
在物理层和数据链路层的防范策略。主要是采用冗余的物理设备,包括“冗余处理模块、冗余电源、冗余风扇、冗余插槽、冗余端口、冗余通讯链路、冗余供电线路”等手段,从网络的底层来保护核心网络的安全,减少单点故障。
在网络层安全措施。与Internet的接入采用加装硬件防火墙措施,如CISCO的PIX硬件防火墙,设置“内网、外网、非军事区”,对进入内网和非军事区的数据包进行严格过滤。另外,通过NAT地址转换、有限功能设定等,防止来自Internet黑客及病毒的侵害。在路由器中配置防火墙软件,可以实现对数据包的传输过滤。此外,在网络层继续采用访问控制列表,在VLAN与VLAN之间建立防范措施,对各类应用系统,无关人员无权访问和登陆。
在应用层的安全措施。对于核心应用,应对前端的Client用户的权限进行严格定义,从应用层的角度划分“超级用户、管理级用户、维护级用户、开发级用户、录入级用户”,每级用户的登陆权限和数据修改权限将严格定义,杜绝恶意用户的非法操作。
安装网络安全侦测产品和病毒扫描软件。随着网络技术的飞速发展和广泛应用,黑客技术的公开和有组织化,以及网络的开放性使得网络受到攻击的威胁越来越大。网络入侵往往是由于自身固有的漏洞引起的,同时加密、认证等方法都无法有效解决来自内部和外部的非法入侵,并且没有有效的监控手段。目前用户常采用的防范举措是网络漏洞扫描和入侵检测,做到防患于未然,来加强网络安全防护的能力。
网络安全设备ICG的部署及其特性
互联网控制网关ICG(Internet Control Gateway的英文缩写)产品支持三种网络部署模式:透明网桥模式、网关模式和镜像模式,分别适用于不同的网络拓扑结构。黑龙江省电子政务网选择透明网桥模式进行部署。把ICG部署在政务网到互联网的总出口防火墙之间,对来自互联网的数据包进行安全检查。黑龙江省电子政务网的网络拓扑结构如图1。
用户可以指定灵活、有效的管理控制策略,针对网页访问过滤、网络应用控制、带宽流量管理、内容审计;全球最大的中文网页数据库;国内最大的网络应用协议数据库;强大的查询统计与分析报告;灵活的部署方式;有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。
人性化设计,简单易用。整体功能逻辑简洁清晰,充分贴合用户思维习惯;界面风格美观大方,从整体布局到细小按钮都经过精心设计;树形用户组织结构、应用协议结构展示,一目了然;向导式配置,轻松完成网络配置;在线帮助系统提供智能定位,精确解答操作疑问。
精细灵活的策略管理。精确控制IM软件的子应用,支持对每种子应用进行独立的控制,如聊天、文件传输、语音视频、远程控制、游戏等;根据用户、时间、应用、控制方式等多重条件设置策略,控制任意用户任意时间的网络访问行为;支持网站黑/白名单、免监控用户列表,充分考虑策略管理的灵活性;带宽管理细化至针对每个用户、每种具体应用进行设置,根据业务重要性分配优先级、防止个别人员独占带宽,又能统计复用,充分利用空闲带宽;支持对任意用户任意时间的任意应用日志的查询统计。
国内最大的网络应用协议数据库。超过150种流行应用协议分析特征库;先进的深度内容检测(DCI)技术,基于特征值和行为模式识别各种应用;专业的协议分析团队,确保应用协议库的持续更新和有效管控。
强大的查询统计与分析报告。对任意用户在任意时段的上网行为进行详细地查询,内容涵盖网页访问、邮件收发、IM聊天、P2P下载、论坛发贴、流量信息、在线娱乐等;内置超过50种报告模板,为管理员和企业决策人员提供完整的用户上网分析;独有的递进式(drill-down)统计分析,帮助管理员从宏观到微观、从全局到局部、层层递进、深入分析,全面了解用户上网行为与网络资源的使用效率;所有分析报告都可以以表格、饼图、柱图或线图等方式清晰直观地展示。
灵活的部署方式。支持网桥模式、网关模式、旁路模式;网桥透明接入既有网络环境,不影响原有网络配置;串接方式接入,过滤所有报文,实现完整过滤、审计;旁路模式确保网络无单点故障,不对网络性能产生任何影响。
稳定可靠的软硬件平台。全系列硬件设备支持断点物理跳接,避免电源失效导致的网络中断;独有的一键式旁路切换设计,主动调整网络负载;灵活的软件死锁与高负载跳转功能,根据预设阀值自动分流高负载流量;系统软件热备,当主控制系统发生异常后,备份系统可保持系统继续运转。
独立的日志中心与集中控管平台。海量存储,保持日志数据完整性;离线查询,降低ICG运算负载,提升查询效率;集中监控分布部署设备运行状态;制定统一策略,集中管控;收集用户日志,统揽全局,综合分析。
总之,安全策略必须在网络建设中予以考虑和设计,并针对用户的具体网络结构采用适合的安全产品和安全策略,只有这样才能达到安全的防范作用。解决网络安全问题从不会一劳永逸,尤其应从管理的高度认识网络安全。同时,网络安全与网络运行效率、防范级别与防范投资都是相辅相成的。网络的安全应在运行的过程中不断发现薄弱环节,及时更新防范措施,在系统的运行中不断完善、不断巩固系统的安全策略。
(作者单位:黑龙江省政务信息化管理服务中心)