企业网络系统安全设计策略

企业网络安全性设计是网络设计中极其重要的内容。 企业网络信息系统是计算机技术和通信技术相结合的产物,是计算机资源在更广泛的地理区域内的共享,具有分布广域性、体系结构开放性、资源共享性、通信信道的共同性等特点。正是由于这些特点,增加了网络系统的实用性,同时也带来了系统的脆弱性,特别是在用户识别和存取控制方面存在着薄弱环节。 企业网络系统安全设计目标的确立,应以企业网络信息需求为依据,根据企业网络信息处理的主要特点,针对企业网络整个系统各种信息的关键性及敏感程度,合理地评价其安全性级别,综合进行风险分析及系统脆弱点分析,全面确定整体系统的安全策略,建立一套完整的安全控制体系与保证体系。 安全控制的具体方法主要包括物理访问控制与逻辑访问控制。 对网络中任何节点的物理访问都应受到物理访问控制,如通信链路中的电缆、接线柜等及网络中的Hub、路由器、交换机等部件的物理访问控制。 逻辑访问控制识别并验证用户,将用户限制在被授权的活动和资源范围内,它主要包括对资源提供选择性保护,使用户对不同的数据库具有不同的访问权限,提供访问级别和撤消授权的能力,用唯一的用户ID来识别每一个用户。提供鉴别能力使系统能够验证一个用户的确切身份,即仅该用户知道的口令,或仅该用户拥有的特征如签名等。记录资源利用情况,并将该信息报告给适当的工作人员。 当然,一个好的企业网络安全设计需要在常识与极端之间寻求平衡,本文只就其中一些问题提出一些解决策略。 一、企业网络系统安全设计策略 1.局域网络安全 企业网络设计支持虚拟网络功能。虚拟网络是一种物理网络,可利用网络管理应用软件逻辑地把它分割成分离的、独立的工作组。这些逻辑工作组或称虚拟LAN,如同共享介质LAN一样工作,而不受介质带宽限制。虚拟LAN(VLAN)中的每个端点用户可直接与同一VLAN中的其它用户通信。VLAN之间的网络交通必须通过某种策略管理设备来管理,如路由器。这就允许网管人员为安全原因设置火墙保护,在工作组间建立安全策略。 在一个给定的物理基础设施中可分割出多种不同的VLAN组合。这种灵活性允许VLAN的成员可根据网络用户的需要决定,而不是根据它们在网上的物理位置决定。五层楼的用户可方便地连入二层楼的工作组,工作组成员关系可随组织变化而动态地变化。 单个的VLAN的操作就如同一个子网一样,子网上的用户可彼此直接通信,当跨越子网边界时要通过路由器。虚拟LAN与子网的唯一区别就是单个的子网是彼此重叠在单一的公共物理设施上的。 虚拟LAN能够改善网络安全性。安全性的一个方面是控制进入网络的用户连接。由于具有了对移动、加入以及变更的控制能力,使得网络中的连接控制也得到加强。网管系统了解虚拟网中所有的终端用户,并可对连接哪些用户、在何处需要存取何种服务等实行各种策略及控制。 除了网络的基本连接控制之外,虚拟化还可控制哪一对用户可以通信及允许使用何种特定应用。这些能力大部分在今日网络中都是以路由过滤及策略表形式提供的。由于虚拟化除去了子网成员的物理限制,一个工作组中的所有成员都在同一个VLAN中,而且路由器用来控制出入工作组的存取。由于路由器的交通负载减少了,它们应将可用带宽用在满足组织中特殊部门的安全性要求上。 虚拟可使得已在路由基础设施中存在的功能得到释放。虚拟的灵活性可让路由器承担它们真正应该做的事情,在工作组间支持实时的安全与存取控制,不管它们位于网络的何处。 2.广域及远程网络连接安全 当将局域网连接到Internet上时,防止外部侵入所能够采取的唯一重要的措施就是设立防火墙。采用Internet网关防火墙,在保证网络安全的前提下建立全面、透明和真正的Internet连接。目前建立Internet防火墙主要有两种方法: ・网关这种方法比较安全但效率不高,对用户和应用不透明,难于建立和管理,只有少量应用支持而且对每一种应用都要对其加以裁剪以适应需要; ・包过滤这种方法一般不很安全,但却很有效,它是一种综合性的方法,对多种协议和应用透明,传统的包过滤器是无状态的(Stateless),只有低层协议理解,难于建立和确认,同时缺乏监听的机制也是一种主要的缺点。 例如,Firewall-1就是一种结合了上述两种方法的高效、纯粹和安全的包过滤机制。它支持应用层次上的安全,统一支持与处理有关协议,并具有监听与报警功能。它的全部操作对于用户和系统建立都是透明的。除了过滤技术之外,Firewall-1还包含了面向对象的图形用户接口,便于管理和配置。 另外,企业网络在远程存取方面还可采用具有安全特性的远程通信服务器实现远程通信,提供企业网络全面的远程拨入存取控制功能。 3.网络与系统管理工具的安全特性 采用企业级网络管理工具提供系统级工具来进行网络管理与系统状态诊断及监测,并可进行企业网络远程监测。一般具有下面一些特性: ・可以监测企业内的所有路由器、集线器和交换机的运行状态; ・可及时确认出错设备和性能问题; ・可以显示出错设备的概要信息; ・提供迅速诊断网络的工具; ・提出简化Trap论断的出错并联分析; ・支持全面RMON协议分析,支持高级网管分析。 高级网管软件一般提供单一控制台管理混合以太网、交换网和令牌环网,其中包括高速主干和地理上分散以及各种各样线缆介质的网络,除兼容简单网络管理协议(SNMP)外,还应该提供企业级网络全方位配置管理、性能监视、出错分析、错误定位等功能,也提供预管理功能,以便在问题出现及对网络性能有负面影响之前侦察到。域值设定允许管理者建立和增强网络特定出错、性能和行为的级别,若达到域值,系统自动生成一个事件通知管理者,这些RMON事件或警告也可以触发用户定义的响应处理,如隔离一个端口,发出报警声,发送电子邮件信息或呼叫传呼机并提供许多附加的工具帮助管理者快捷判断和定位网络问题、查询用户和控制网络存取。 先进系统管理工具一般在网络系统安全方面具有很强的功能。 4.操作系统的安全控制 操作系统是管理计算机资源的核心系统,它负责向通信设备发送信息、管理存储设备上的存储空间和将信息装入内存等调度工作。 操作系统对存储状态下的信息保护可以分为两大部分,存储器的保护和文件保护。其中对文件的有效管理具有很重要的意义,其能方便、灵活、安全和可靠地为用户服务。通常采用管理文件目录的方法进行管理,并且利用口令字标志存取控制权限,用加密及其它一些手段来提高文件的安全性。 企业计算机网络与信息管理系统的操作系统平台主要是Unix和Windows NT,均具有相当完备的操作系统安全管理机制与方法。 ①Unix安全特性 Unix的传统功能是通过特权系统(Previlege)来解决安全问题的。这个特权系统中的特权由可信任的主管人控制,且文件的访问权是通过文件允许位来控制的。在很多计算机环境中,这种处理方式是令人满意的,但这种方式没有提供很好的安全性。同时,由于Unix本身的开放性,使它本身容易受到各方攻击。Unix本身也有不同厂商的版本,不同配置的Unix和不同平台的Unix,因此,要制定一个统一的Unix安全性策略具有一定的难度。 一般可从三个方面来考虑建立一个具有适当安全性的Unix系统: ・设置安全帐号; ・保障同其它网络相连的安全性; ・保障文件和目录的安全性。 前两项工作保证减少对系统的非授权访问,第三项实现文件系统安全性,保护文件,防止被那些获得了系统访问权的非法用户访问。 帐号安全性 设置安全的帐号,并且确信所有的帐号是安全的,是配置任务中最重要的一项工作。关于Unix系统安全性的第一个问题,即口令问题,有许多方法针对这一问题提出建议,如规定了强制更换口令周期的办法等。对于大规模的Unix系统,如何处理大量旧帐号是一个安全问题。对此,可以采用帐号设置截止日期等方法。 互联网络安全 Unix系统可以互连网络,这也使得它容易受到入侵者在连接点所进行的破坏。网络文件系统(NFS)允许两个或多个的宿主机共享文件,如果NFS没有启动任何安全特性,所有网际上的宿主机都可以使用NFS来取得你的软件,因此,要加强NFS安全性。 文件目录安全 只通过帐号安全性和网络安全性控制访问是不够的,每一个Unix文件以及每一个Unix目录,都有3个允许比特位设置,分别设置定义文件的所有者可以使用的分组和其它每个人的权限。所设置的比特位决定了文件和目录的一些特性,如读允许、写允许、执行允许、Setuid允许、Setgid允许等。 ②Windows NT安全特性 Windows NT Server提供了管理功能和进行安全管理的使用工具。在企业层次上,Windows NT安全结构建立在域概念基础上。域是组织网络设计的一种结构,它赋予组和用户访问的权限。它在Windows NT中作为设计目标的一个组成部分。用户从计算机取得资源之前,必须在Windows NT系统中登录。登录认证要求在两个层次即工作站层和服务器层进行。Windows NT子系统是一个完整的子系统,包括下列关键部分及主要功能: ・本地安全授权(LSA); ・安全帐户管理(SAM); ・安全监控参政(SRM); ・安全登录认证; ・存取控制判断; ・存取令牌; ・存取控制列表。 Windows NT Server具有的功能与实用工具允许用户: ・建立和管理用户的帐户,将用户赋给组; ・可以设置对文件、目录、打印机和其它资源的访问权限; ・连接其它Windows NT Server机器和共享目录; ・可利用Windows NT NFS加强安全特性; ・提供系统网络上的文件复制; ・提供非授权用户资源警告等。 ③Banyan VINES及ENS安全特性 Banyan VINES网络操作系统是建立企业网络的一个重要工具,它提供了全面集成的企业级网络服务,其中的一个重要网络服务是VINES的安全服务,它为整体网络提供保护。 VINES的安全服务为最终用户提供一个单一的系统网络登录入口,VINES的安全服务与StreetTalk集成在一起,使系统管理员可以为整修网络的每一个资源设置存取权限。VINES安全服务保护文件系统、通信服务、打印服务等。 用户识别 当一个用户想要上网登录时,需要识别和验证VINES特性与全局命名服务StreetTalk的结合。网络中的每一个用户都被赋予一个唯一的用户标识,使用户容易发现与定位网络服务和其它网络用户。这个命名构架使网络服务能独立于位置之处。 用户认证 当用户登录到一个网络上时,需要用户ID及相应的口令。用户的口令以客户键盘的方式键入,不显示在客户显示器上。口令字采用唯一的加密方法,传输到并存储在服务器中,这样口令字就不会在线路上失密。此时VINES的安全服务对用户进行确认,一旦用户得到确证即可对网络存取。作为用户登录过程的一部分,用户不需要一个主局的网络标识符,这个标识符成为整个客户端对话的一部分,并只在对话期间有效,这个标识包含下列一些项 ・建立对话的服务器的序列号; ・标识对话的唯一邮戳; ・一个时间戳。 系统管理员可以通过用户Profile文件对用户或用户组设立安全设置。 在用户Profile中主要包含的一些设置为: ・口令字长度和有效期; ・当口令字失效时,口令字的改变; ・用户改变口令字和用户Profile的能力; ・当时登录的最大数; ・登录地点; ・工作站类型。 VINES管理员 VINES的用户有三个层次,其中网络管理为最高的层次。他对整个系统资源和服务器有最大的控制权。与集中控制的主机环境比较一个VINES网络的管理控制是分散进行的,系统管理分为两类,服务器管理和组管理员。 第二级VINES用户为操作员,他们处于网络系统管理员与最终用户之间。操作员只能执行如打印服务这样的工作,将系统管理员从日常的维护任务中解脱出来。 VINES的第三级用户对整个网络的存取控制由网络管理员进行设置。 用户授权 在一个VINES网络中,通过存取控制表ARL控制对系统资源的存取如文件服务、打印、E-mail及用户Profiles,当创建文件服务时,创建者自己成为文件服务目录的拥有者,并对所建立的任何目录和文件有完全的存取控制权。 VINES支持多操作系统,对在不同文件系统下创建的文件和目录设置存取权限以保护数据,不同系统间的存取权限可以相互映衬。 审计 VINES操作系统提供两种报告功能来产生日志信息。第一个是StreetTalk报告,第二种日志报告来自VINES服务器日志,包含系统和服务信息。系统管理员可以说明登录信息,这些登录信息包含安全冲突信息,如失败的登录次数、失败的文件存取、文件读/写/删除以及其它的存取冲突。还可以包括媒体问题,如磁盘问题以及其它一些致命错误。 广域网安全服务 一个连接在VINES网络上的VINES服务器与另一个VINES网络通过TCP/IP或SNA网络连接,在这些服务器之间的存取是通过建立互连存取来控制的。 拨入存取控制 为保护VINES网络服务器免受非法存取用户拨入,对每一个服务器建立一个拨入存取表,表中列出了所有有权通过拨号线存取服务器的用户的名字。 VINES安全服务提供了许多安全等级特性。在整个网络的任何一个地方提供单一的登录入口,采用强大的用户鉴别机制及审计和文件层的存取权限表。 5.数据库管理系统的安全保护 数据库管理系统的安全保护,主要表现在对数据库的存取控制上。同时,数据库本身的完整性问题也直接关系到数据库数据的安全可靠。 ①数据库的完整性 数据库的完整性是指数据的正确性与相容性。一方面数据库管理系统要提供完整性约束条件来保证数据库中数据的正确性,其中包括:数据值的约束、数据结构的约束、静态约束、动态约束、立即执行约束、延迟约束等。另一方面,由于数据库是资源共享,必然存在并发操作,而且可能会并发存取相同的数据,因此,数据库管理系统必须能对并发事务加以控制,保证数据的一致性、相容性和数据库的完整性。 ②数据库的存取控制 保证数据库中数据的安全性,主要依靠存取控制机制,即限制一些用户使其只能对数据库某些授权的子集进行存取或修改,同时也限制非法用户对数据库的任何访问行动,以免数据丢失或泄露。 在系统设计中,可利用分布式RDBMS系统先进与完备的安全管理措施。 备份服务器 在一个大型数据库(VLDB)中,对数据及日志的有效存储和装载可以确保用户管理和操纵VLDB。备份服务器一般完成对数据的连接备份: ・联机备份,备份服务器允许从正在运行中的RDBMS中同时实现对数据和事务日志的备份,并且这种备份过程对RDBMS的其它处理几乎没有影响; ・转储分解,允许用户同时使用多台外设转储,能以接近理论的传送速度运转; ・异地转储,备份可在无人情况下自动进行或通过DBA管理多个远程服务器的备份及装载。 安全服务器 对一些需要比NCSC更高安全性的企业而言,安全服务器可以实现更强功能的安全管理: ・符合NCSC B1级和ITSEC F/E3(B1)级安全标准; ・安全性在服务器被加强从而消除在客户端加强的需要; ・支持在同一数据库(甚至在同一表)内存储在许多不同安全级别上的数据的受控存取,取消昂贵的数据冗余; ・支持自由访问控制(DAC)和托管访问控制(MAC)的强制安全性; ・提供用户用综合审计进行追踪的管理能力; ・多级授权描述、支持多级和单级用户。 数据库监听服务器 数据库监听服务器补充RDBMS已有的安全功能,使企业可控制不同层次的审计和注册安全性,实现登录安全和多种层次的审计控制,并支持用户有效性验证和与场地有关的加密算法。 6.计算机病毒的防治对策 在网络环境下,计算机病毒对计算机网络的安全构成巨大威胁。 ①从管理入手,进行防治 ・实行严格的用机制度; ・禁止非法拷贝软件,严格控制外来软件,进行磁媒体的安全检查,严禁随便使用来历不明的程序; ・实行安全的备份制度; ・实施网络防病毒策略。 ②在技术上加强预防措施 ・设立网络防病毒系统; ・配备专用的病毒免疫程序。 二、企业网络安全设计的实施 安全系统需要由人来计划和管理,即使是最好的、最值得依赖的系统安全设施,也不能完全由计算机系统独立承担系统安全保障的任务,在Client/Server结构中,信息处理过程被分散开来,越来越多的数据位于PC或工作站上,于是成功的安全控制就取决于使用系统的每个工作人员。 1.各级领导的重视与支持 企业网络需要连续有效的运转,数据的安全性十分重要。当计算机操作和服务分散到Client/Server结构中、依靠网络连接起来时,对数据量、使用程序等数据安全要求大为提高,数据的安全性成为保障整个企业网络系统正常运行的组成部分。保证数据安全必须包括每一种操作和过程及从开始到结束的全盘考虑。 为达到这些目的,企业网络的上层领导及各级领导一定要高度重视并积极支持有关系统安全的全面努力。 2.安全培训 安全培训是任何安全信息系统的关键。系统安全人员必须不断接受最新技术,从而指导系统更有效地工作。此外,最终用户的培训也会越来越重要。用户需要在安全环境中进行使用培训,进行安全管理,只有这样才能降低网络信息系统的安全风险。 3.组织控制措施 企业网络与信息管理系统除去技术上的安全控制之外,还应在组织上提供安全控制措施。 建立企业网络企业级安全组织结构与体制,整个系统安全应处于网络信息中心的全面控制与管理之下,任何一个分系统或部门都应该在该体系下统一运转,服从整个企业统一的安全策略。 4.人事控制措施 对企业网络整体组织的许多正常的人事控制措施进行适当修订以支持计算机和网络安全。例如:在员工手册等文档中列入计算机安全的一节,包括计算机安全对企业网络的重要性及员工所必须遵守的规定及违反规定的后果。将安全培训纳入新员工的培训课程。对那些对系统安全做出努力的用户进行奖励,并持续培训未遵守安全规定的用户,在员工离职或改变工作岗位时,要及时进行安全系统更新维护。 5.操作控制 操作控制是计算机系统及支持人员用来防止错误和从错误中恢复过来的方法。具体可以采取保证备份很快做到磁带上、保证服务器有良好的电源保护等,在成本合理的最大限度上保证数据可靠和安整。 6.应用程序开发控制 企业网络应用系统涉及面广,具体开发将分阶段实施,承担开发任务的队伍也将不同,因此,无论是整体系统结构上,还是应用开发组织上,都不是集中化的应用程序开发,而是分阶段式开发。因此对整个应用系统开发控制是系统安全性考虑的一个重要方面,开发过程严格按照软件工程方法实施,确保开发过程的安全控制。开发完毕,将源代码保存在一台或若干未连接到任何网络的独立机器上且只允许目标代码向下装载,彻底测试新的应用程序并确保所有应用系统代码都有备份。 7.工作站安全控制 企业网络系统中有几千台工作站和PC机,对这些设备的保护是整体系统安全保护的一个重要环节。因此,要根据需要对这些设备增设不同的安全访问控制机制,特别是增加对计算机病毒的安全检查措施。 8.服务器安全控制 服务器是整个企业网络与管理信息系统中的核心资源,因此应该得到全面的安全保护: ・将所有服务器单独放在物理上可以隔离的地方并对其访问加以控制; ・给服务器提供干净、稳定的UPS电源进行电源后备,提供适当的温度和湿度; ・提供防火措施(如报警装置、灭火器、耐火墙和地毯); ・及时进行系统备份并随时检查备份系统,并将备份系统与运行系统置于不同场所。