计算机网络系统运行过程中的安全体系
2009-10-26苏庆昶
苏庆昶
[摘要]对计算机网络在实际运行过程中可能遇到的各种安全威胁,必须采用防护、检测、响应、恢复等行之有效的安全措施,建立一个全方位并易于管理的安全体系,保障计算机网络系统运行的安全、稳定、可靠。
[关键词]计算机网络安全体系
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0710074-02
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。计算机网络具备分布广域性、体系结构开放性、网络资源共享性和网络信道共用性的特点,因此增加了网络的实用性和易用性,同时也不可避免地带来系统的脆弱性,使其面临严重的安全问题。目前广泛应用的TCP/IP协议是在可信环境下为网络互联专门设计的,加上黑客的攻击及病毒的泛滥,使得网络存在很多不安全因素,如DDOS攻击、口令猜测、地址欺骗、TCP端口盗用、业务数据篡改、对域名系统和基础设施的破坏、利用Web破坏数据库和社会工程、邮件炸弹、病毒携带等。
一、计算机网络安全问题分析
(一)计算机网络的安全隐患
当前计算机网络的安全隐患主要有以下几种:传输数据被窃听或篡改;内部人员作案;网络连接被盗用;网络窃听;病毒扩散;攻击扩散;关键数据的备份和恢复。
(二)对计算机网络的攻击手段
目前对计算机网络的攻击手段主要有以下几种:口令破解;连接盗用;拒绝服务(DDOS);网络窃听;数据篡改;地址欺骗;恶意端口扫描;基础设施破坏;数据驱动攻击。
(三)计算机网络安全体系的构成
计算机网络的安全体系主要由以下几个方面组成:
1.网络级安全。通过合理的网络拓扑结构和路由的设计、虚拟局域网(VLAN)、虚拟专网(VPN)、访问控制列表(ACL)、包过滤、网络地址转换(NAT)等措施保证网络的安全运行。
2.应用级安全。应用级安全主要从下面3个方面加以实现:一是利用计算机网络应用系统自身的安全机制,主要是指数据库自身的安全机制来实现;二是通过采用一个通用的安全应用平台来保证对各种应用系统信息访问的合法性;三是通过对关键系统的数据进行备份来保证数据的安全。
3.操作系统级安全。计算机网络的各种重要应用系统均运行在UNIX或Windows系统平台上。对于系统级安全的实现,可以通过科学合理的设置来充分利用UNIX和Windows操作系统本身提供的安全机制,弥补操作系统的安全漏洞,利用主机监控与保护来增强系统运行的安全性。
4.企业级安全。企业级安全建立在计算机网络系统上,确保网络系统的正常运行,包括网络设备、应用系统的正常运行以及信息存储和传输的安全可靠。其主要内容包括内部安全管理、安全审计、病毒防范以及防止外部入侵等。
在计算机网络的安全体系中,以上几个方面并非是独立的,而是一个整体,互为保障,只有这样,才能确保计算机网络的安全运行。
二、网络级安全的设计
(一)网络的拓扑及路由结构设计
为保证网络系统运行的可靠性和稳定性,在网络拓扑结构设计时,可以将网络划分为3层结构,即核心层、汇聚层和接入层。
1.核心层负责进行数据的快速转发,其网络结构重点考虑可靠性和可扩展性,核心层节点的位置选择应结合业务分布、机房条件和光纤布放情况等综合考虑,其节点数量一般应控制在2~4个左右,采用环状或网状连接,核心层设备建议采用Gb路由交换机。
2.汇聚层负责汇集分散的接入点,扩大核心层设备的端口密度和种类,扩大核心层节点的业务覆盖范围,实现接入用户的可管理性。汇聚层节点和核心层节点间采用星型连接,在光纤资源具备的情况下,每个汇聚层节点最好能够与两个核心节点同时连接。汇聚层设备可采用3层交换机或中高档多端口路由器。
3.接入层负责提供各种类型用户的接入,将不同地理分布的用户快速接入骨干网。接入层节点可根据实际环境中的用户数量、距离和密度的不同,设置一级或二级联接入。接入层设备可采用高端密度二层交换机。当前域内路由选择协议主要有静态路由、RIP、OSPF和IGRP等,比较典型的路由选择协议是选择OSPF协议,核心层路由交换机划为骨干0域(Area0)、核心层和汇聚层,3层交换机之间分别划分为Areal,Area2,Area3。由于汇聚层节点和核心层节点之间通过两路以上的光纤相连,而OSPF协议又支持相同距离上的负载均衡,因此,这样做既能提高链路的可靠性,又能加快数据的转发速率。
(二)纵向网互通及横向网逻辑隔离的实现
为了实现计算机网络中各单位横向业务之间的逻辑隔离和纵向业务的互通,保障业务实现的安全性,可采用VLAN+VPN的方式,当前业界比较流行的VPN组网方式是基于MPLS(多协议标签交换)的VPN。在汇聚层3层交换机以下,各单位之间业务通过VLAN进行逻辑隔离,通过汇聚层的3层交换机实现VLAN之间的互通。对于需要实现纵向网业务的单位,通过MPLSVPN保障其纵向网的安全性。
(三)网络地址转换和包过滤及访问列表控制
计算机网络要实现网上办公及面向公众的服务,就必须接入Internet。在Internet出口处设立千兆防火墙,计算机网络内部采用Internet保留地址(10.0.0.0/8),根据实际情况,对计算机网络各部门分配IP网络地址。对Internet的访问可通过NAT来实现,以隐藏网络内部拓扑及地址结构,同时通过包过滤及访问列表控制对不需要对外开放的端口号以及受限访问的IP地址进行控制。各部门局域网接入Internet时,可自己设立防火墙,在部门防火墙上,各部门系统管理员通过在部门防火墙上设立访问列表及包过滤规则对本部门局域网进行保护。在汇聚层3层交换机上对一些安全关键部门通过访问列表限制访问。
三、应用级安全的实现
应用级安全主要是针对各个具体的应用实现其安全性,主要包括邮件、数据库、OA系统以及FTP和DNS等应用的安全。
(一)网络存储备份系统安全
为保障数据的安全性及可靠性,计算机网络中必须采用适当的数据存储及备份系统。当前,网络存储系统主要有3种,即直接存储(DAS)、网络存储系统(NAS)和存储区域网(SAN),其中基于光通道存储网络的SAN可以更好地满足计算机网络对存储设备的性能、可用性、可扩展性以及灵活性的要求。对于邮件系统、数据库系统、公文流转系统等比较关键系统的数据可以采用SAN进行集中存储,并制定备份策略定期用SAN网络所连接的磁带库进行增量备份和全备份。
(二)应用系统安全
计算机网络主要是通过各种应用系统来对网络用户提供服务,因此应用系统的安全可靠性就显得非常重要。应用系统的安全主要包括授权、认证和加密传输。由于涉及的应用系统非常多,总体上应遵循以下原则:
1.系统之间或系统各模块之间的通信必须经过授权或认证,如对办公自动化(OA)等系统传输数据必须进行加密。
2.利用防火墙或TCPWRAPPER等限制应用服务可被访问的客户地址段,关闭不必要开放的端口,降低被攻击的可能性。
3.加强计算机网络信息中心各主机的安全管理,严禁用户以各种途径执行系统级指令,以避免黑客通过SNIFFER等工具软件侦听密码或其他信息。
4.传输中所用的加密算法根据不同情况选用公开密钥或私有密钥算法。为保证传输信息不被篡改,还可采用MD5等算法。
5.计算机网络内部的一些基于WWW的应用(如OA系统),其加密协议可选用SSL,HTTPS或COOKIE机制及DES,MD5算法。
(三)操作系统级安全
计算机网络操作系统的安全更多的时候是与操作系统软件厂家的反应速度密切相关,如“冲击波”病毒的爆发,微软站点就及时公布了path代码供用户下载。另外,计算机网络系统管理员自身的素质也和操作系统的安全息息相关,系统管理员需要及时了解网上的操作系统安全信息,定期对操作系统进行安全审计检查,并对操作系统进行及时升级。总的来看,操作系统的安全问题主要存在于以下两个方面:一是系统安全机制的配置;二是系统本身的漏洞。对操作系统漏洞的发现及补救可以通过一些厂家的安全漏洞扫描检测工具来实现。操作系统的安全策略可以从以下几方面来考虑:
1.通过防火墙或路由器及交换机中的ACL设计,禁止用户对没有必要开放的主机或端口进行访问。
2.重要主机,如OA以及WWW、邮件服务器等采用专门的安全软件,对主机的各项服务进行动态监测,及时发现问题并通知管理员。
3.保证服务器上系统目录和文件的安全。
4.限制用户的权限,使用户无法获得系统管理员的口令,防止非法用户对系统进行破坏。对新用户开放满足要求的权限即可,不必开放所有权限。
5.经常留意用户从哪里登录主机系统,要检查其合法性。
6.关闭服务器上不需要运行的服务进程。
7.禁止使用或设置不经授权即可共享的系统资源,包括硬盘及服务。
8.加强密码管理,提醒或强制管理员定期修改密码,禁止使用安全性不高的密码。
9.对操作系统及时升级版本和patch,及时堵住安全漏洞。
四、企业级安全
企业级安全主要是从设备安全、安全管理、安全审计、病毒防范以及防止外部侵入等整体上保障计算机网络的安全。
(一)设备安全
定期检查主机、设备、UPS等模块是否正常工作。
(二)防火墙等的安全
防火墙、安全审计系统和入侵检测系统形成了计算机网络安全防范的一个链条。首先,入侵检测系统检测到一些攻击行为,通知防火墙阻隔掉这些具有攻击行为的数据包,安全审计系统对这些攻击行为进行记录,以便于对攻击行为进行分析,并使攻击方对自己的攻击行为具有不可抵赖性。这里需要特别指出的是对防火墙、安全审计及入侵检测系统的软件包需定期升级,以保证其特征库能得到及时更新。
(三)病毒防范
计算机网络中病毒防范也是一个非常关键的问题,针对目前日益增多的计算机病毒和恶意代码,应采取的病毒防范策略如下:一是建立防病毒的规章制度,严格管理;二是建立防病毒和应急体系;三是进行计算机安全教育,提高安全防范意识;四是对服务器及主机系统进行安全评估;五是选择经公安部认证的防病毒产品;六是正确配置、使用防病毒产品;七是正确配置系统,减少病毒侵害事件;八是定期检查敏感文件;九是适时进行安全评估,调整各种防病毒系统策略;十是建立病毒事故分析制度;十一是确保系统可以快速恢复以减少损失。在具体实施时,由于计算机网络用户数量庞大,如所有用户都购买网络防病毒软件则投资太大,可以优先对服务器进行网络防病毒保护,而对个人主机可用单机防病毒软件进行防护。另外,需调动各级系统管理员和用户的积极性,定期对操作系统进行升级,及时发现感染病毒的主机,清除病毒。
(四)安全管理
计算机网络即使采用了最先进的技术而没有一个好的安全管理体制,其网络也是不安全的。管理是整个网络安全中最重要的部分。责权不明、管理混乱、安全管理制度不健全以及缺乏可操作性等都可能引起安全管理的风险。安全管理不仅是一个技术上的问题,也涉及组织、制度、人员和意识,是一个多层次、多方面的体系。安全管理主要包括安全管理机构、安全管理制度及安全管理技术三部分,这三个方面相辅相成,缺一不可。
1.安全管理机构是安全管理的实施者、安全管理制度的制定者,是整个安全管理体系的组织基础。
2.安全管理制度是安全管理的规范和依据,是整个安全管理体系的制度基础。
3.安全管理技术是安全管理的技术手段,是安全管理体系的技术保障。
实践表明,安全架构计算机网络,其投资及工作量都非常庞大,需要各级部门的高度重视,采取多种防范措施,保障计算机网络的安全。
参考文献:
[1]李海泉,计算机网络安全与加密技术[M].北京:科学出版社,2001.
[2]李明之、赵粮著,张侃译,网络安全与数据完整性[M].北京:机械工业出版社,1998.
[3]赵慧玲、叶华,以软交换为核心的下一代网络技术[M].北京:人民邮电出版社,2002.
[4]李洪、林殿魁、李学军,电信级IP信息网络的构建[M].北京:人民邮电出版社,2002.
[5]陈龙,安全防范系统工程[M].北京:清华大学出版社,1998.