局域网安全体系分析与设计
2018-01-04付文博苗松娟朱杰胡丽龙杨涛
付文博 苗松娟 朱杰 胡丽龙 杨涛
摘要:网络安全是网络运营的灵魂,也是网络设计和管理要解决的首要问题。该文紧紧围绕局域网安全这个主题,主要提出了局域网安全体系的设计思想,结合网络安全理论和自动控制原理,给出了一种新型的智能预警系统模型——RPRDR的设计思想,进一步完善了传统的 P2DR网络安全模型;依据分布式网络安全体系思想,兼顾 IPS技术建立了局域网安全设计模型,给出了进一步优化的目标。
关键词:入侵防御;防火墙;入侵检测;虚拟蜜网
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)30-0020-04
Abstract:Network security is the soul of network operation,which is also the primary problem of network design and management.In this article a design idea of LAN security system was put forward arouding the topic of LAN security.We designed a new intelligence model—RPRDR for warning system,further improving traditional model----P2DR of LAN.Based on the idea of distributed network security system,the security design model of LAN is established with IPS technology,and the goal of further optimization is given。
Key words:IPS(Intrusion Prevention System); firewall; intrusion detection; virtual honeynet
隨着网络的普及和应用,局域网成为单位自动化办公的主要平台,其稳定、高效的传输环境是确保任务完成的重要条件。局域网是一个独立的专用互联网络,它在物理上与外界是相对隔离的,局域网中大部分接入点都是在单位办公环境内,理论上讲用户应该都是内部人员,这样从物理和使用人员上对局域网系统起到了一定的保护作用,具备了相对较大的安全保障,在一定程度提高了局域网的安全性。但是,就网络的高度共享和群体参与原则而言,局域网肯定也存在一些不安全因素。
1 局域网的安全隐患
1.1 重视信息共享,忽视信息保护
当前,各单位局域网的建设,均采取完全自主的形式,根据本单位的使用特点,完全自行规划和建设。规划和建设时,只重视应用,不重视甚至忽视网络安全。有些单位象征性地安装了防火墙,但是长期无法更新,结果防火墙形同虚设;有些单位则根本不采取防护措施,并将本单位的局域网直接接入上一级网络,严重违反了网络安全的基本原则。
1.2 看似物理隔离,实则掩耳盗铃
有些单位也意识到了网络安全的重要,因此将办公用的局域网和外网物理隔离,每台计算机在连接局域网的同时无法使用外网,但是同一台计算机可以在不同时段随意在外网和局域网之间进行切换。由于没有制度规定和相应的控制措施,更由于网络安全理念的不成熟,一些单位由于计算机数量的限制,造成使用人员经常将自己计算机上的网线在内外网插座之间随时进行更换,内网办公时将计算机网线接入内网,需要接入外网或者发电子邮件时又将网线直接接入外网,造成了极大的安全隐患。这就像一个正常人和一个有严重传染性皮肤病的人共用一双鞋子一样,后果可想而知。
1.3 注重外部防范,忽视内部安全
由于局域网一般在办公区域内,常常被默认为置于安全环境之下而忽略了自身的安全防范,因此,一些局域网中的计算机不按规定设置口令,或者口令设置过于简单,容易被破解。有些局域网中的计算机操作系统的设置不合理,将硬盘或某些文件夹设置成共享状态,这样,非法入侵者就可以通过操作系统提供的功能非常容易地下载这些计算机硬盘上的文件。
1.4 地址分配随机,泄密倒查困难
有些局域网的网络管理人员为了节约网络用户的注册或审核时间,更为了省事,采用局域网IP地址自动分配的方式,用户只要将自己的计算机接入网络就可获得一个合法的 IP地址;有的则采用分网段方式分配 IP地址,只要用户的 IP地址在该网段就可以进入该网络;这些处理 IP 地址的方式随机且没有实名登记,都存在安全隐患,一旦出现网络泄密事件,无从查起。
1.5 网络纵横互联,一处危害全盘
为了办公方便,也为了尽可能地发挥网络的作用,很多上级部门要求对口的下级部门与自己的网络相连成为纵向网;同时有些下级部门的内网通过不同的方式与多个上级部门的专用网络相连,这样就在物理上将这几个网络进行了互联,这对重要信息的安全保密来讲是非常危险的。
事实上,局域网的安全隐患还很多,本文不必一一列举,通过以上这些方面的隐患,笔者发现,这些安全威胁的消除和防范,需要在局域网的设计之初,就开始重视。
2 局域网安全体系的设计
2.1 局域网安全体系的基本原则
从局域网既要正常办公、高度共享,又要重视信息保护、维护网络安全运行这一事实出发,基于系统方法论的观点,局域网安全体系的设计思想主要应该重视以下几个方面。
1)分层次和立体的防御
系统的硬件设施比如服务器、路由器等分布在网络的不同节点,所承载的服务范围和级别不同,因此安全体系的安全组件必须根据具体情况设置不同的安全策略,从而构成一个多层次、全方位、立体的安全防御体系。
2)积极和动态的防御
各个网络节点在设置信息加密和身份认证等访问控制手段的基础上,要关注系统本身的安全漏洞,并设置防火墙和病毒防御体系,防止非法用户的入侵;同时系统安全需求的变化应对各个安全策略进行动态调整;不断更新升级防御体系,使得各个环节的安全策略具备主动和动态防御的功能。
3)实时并可控的防御
安全体系必须能够实时检测各种网络攻击和黑客入侵,并第一时间做出响应,当发现较大的系统性攻击正在实施时,安全体系能够自动阻挡可能出现的攻击,情况严重时,管理员能够在网络的任一节点进入后台,通过后台了解和掌握目前各网络节点的状态,并随时随地进行处理,情况严重时能够果断采取措施,如切断网络连接等;当阻挡住网络攻击或病毒入侵之后,安全体系要允许并由管理员对系统遭到破坏甚至崩溃的内容及时进行安全恢复。
4)开放且协同的防御
安全体系必须是一个开放的平台,一方面对用户开放,一方面必须为该系统安全需求的扩展留有余地,无论是硬件你还是软件,都必须为系统安全组件的更新留有接口,只有这样,新老安全组件之间,同类安全组件内部、不同类安全组件之间才可以高度集成、形成合力,才可以顺利实现协同和联动,满足安全需求的同时也降低了安全体系的成本。
2.2 分布式动态网络安全模型的基本要求和设计思路
基于上述思想,本文提出基于IPS(Intrusion Prevention System)技术的分布式动态网络安全模型RPRDR(Risk analysis, Policy, Reinforce,Detection & Waining,Response&Recovery;),进一步完善了传统的P2DR(Policy,Protection,Detection,Response)模型。
1)分布式系统的基本要求
所谓分布式系统,是指为了最大限度地进行数据共享,各用户通过有线或者无线手段,将使用单元通过网络捆绑在一起,进而形成一个包含时空在内的四维体系。为了获得较高的稳定性和冗余度,这样的系统应该具备如下特征。
(1)系统内的所有合法用户,能够在其权限内共享系统中的各种资源,即各使用单元必须能够高度共享;
(2)高度共享并不意味不可分离,由于系统终端是各个独立的用户,因此系统内的各个使用单元,均处于平等地位,在物理上能够彼此独立;
(3)因为处于同一网络平台,系统内的所有合法用户及其使用单元,必须遵守同一网络协议,此即各使用单元必须高度统一;
(4)每一个合法用户并不清楚此刻系统上连接着多少个终端和使用单元,也许只有一个,也许有成千上万个,不管咋样,他使用系统里的资源和使用自己所属单元里的资源没有任何区别,也就是说,在用户眼里,整个系统是透明的。
将安全体系融入上述分布,由于各个使用单元绝大多数处于并行状态,当某一个使用单元瘫痪时,其他绝大多数使用单元并不会受到影响,依然能够正常工作,整个系统依然能够正常运行。这就以较低的使用成本创造了较高的安全效能,极大地提高了整个体系的安全性和可靠性。
2)RPRDR 网络模型
P2DR模型简称动态信息安全模型,是基于TCSEC模型發展起来的、被目前业界普遍采用的安全模型之一,也是传统计算机安全模型的主流模型。P2DR模型主要包含四个部分:安全策略、防护措施、检测办法、响应机制。服从于安全策略的核心指导,防护措施、检测办法和响应机制为网络系统构建了一个貌似完整和动态的安全循环,以此保证整个系统的安全。如图1所示:
P2DR模型的基本思想是基于安全策略,启用系统检测办法随时检测系统的各种已知风险,及时做出应急响应,同时综合调用各种防护手段对系统进行防护。但是广义来讲,安全防护永远是一个动态的过程,随着系统的运行和不断发展、新软件的出现以及连续使用、攻击手法和技术的不断创新,新的威胁将会不断出现。而 P2DR 安全模型的主要因素完全依靠对现有问题的检测,并不具备自适应功能,在尽量缩短检测时间和响应时间的基础上,解决问题的手段也仅仅是延长正常状态的寿命,因此仅仅依靠 P2DR 安全模型无法解决更多的网络安全问题。
基于上述分析,本文认为,一个完善的安全防护系统应该是在系统运行的过程中,能够及时检测出外界输入给网络的已知风险,并及时排除,还应该不断查明潜在风险和威胁,这样,安全系统及其网络必须是一个在安全策略核心组件之下完全动态且高度自适应的高级系统,这样的系统必然具有风险分析、安全防护、实时入侵监控、漏洞扫描和安全决策等一整套功能。只有这样,才能够将安全系统对网络系统的加固和保护拓展为在上述功能的基础上预先发现网络漏洞和缺陷,并及时响应和提高免疫力。为此,本文结合网络安全理论和自动控制原理,设计了一种具有动态自适应网络安全的智能预警系统模型——RPRDR模型。如图2所示:
整个模型由风险分析(Risk analysis),安全策略(Policy),系统加固(Reinforce),检测和预警(Detection & Waining),响应与恢复(Response & Recovery)等五个部分共同组成,形成了一个动态的闭合反馈环。
2.3 安全体系的功效评估
1)局域网风险存在的综合分析
根据上述RPRDR模型的基本要求,本文以局域网系统为例,从网络构件的不同层面以及系统安全的不同背景,简单进行风险分析和功效评估。
(1)物理层暨硬件设施
物理层面的安全隐患是最容易排除的隐患,但也是最基本和最重要的安全环节。物理层面的安全威胁可以直接造成设备的损坏,系统和网络的不可用,数据的直接损坏或完全丢失等等,后果严重、无法弥补。其隐患主要包括连接于网络中的各个工作站、各种服务器和交换机、各个环节的有线或无线路由器等硬件设备和通信链路。其安全隐患来源于水灾、火灾、雷击等自然灾害,包含外界的电磁干扰,设备固有的弱点或缺陷,以及人为的破坏或错误操作等等。
人为破坏也包括网络攻击者采用传感器等手段在数据传输的线路上进行窃听,获得真实数据之后再通过另外一些技术手段篡改、伪造数据,彻底改变了数据的真实性和完整性,对网络系统的安全使用直接构成威胁。因此,要想彻底杜绝此类泄密,就必须对数据进行加密,同时通过数字签名及认证技术保护数据在网络传输中的安全、完整和真实。
(2)网络层暨广域用户
以局域网为例,基于安全,可将整个局域网分为若干子域,但以权限来分,除了服务器系统之外均可看作外网,一方面要求外网之间要有防护措施,同时服务器系统和外网之间必须有更高层次的、更加严格的防护措施,因为从使用角度来讲,外网各用户之间没有太多的权限设置,相互访问和数据共享,容易收到莫名的攻击和威胁,存在私有信息泄露的危险,危及的只是局部。更重要的是,各外网用户直接或间接地和服务器相连,外网用户之间的上述威胁,使得服务器很容易成为恶意攻击的重点目标,一旦被攻击瘫痪,整个系统无法运行,尤其严重的是各个外网使用者对服务器的结构和应用特点比较熟悉,几处外网用户联手同时恶意攻击服务器,对安全防护不到位的服务器来说是最为致命的。
(3)基层暨服务器系统
网络系统中的服务器无疑是整个网络系统的心脏,这个层面以服务器为核心,涵盖工作站、路由器和交换机等部分,是操作系统、数据库和软件运行的基本平台。这个层面是集团黑客攻击的主要对象,集团黑客主要利用操作系统的各种潜在漏洞对系统进行攻击,一旦得手损失是不可估量的。
目前常见的操作系统主要有UNIX和WINDOWS,尤其对WINDOWS操作系统而言,某些漏洞可以使黑客获得系统的管理权限,这样,一方面,使得整个网络的心脏被其控制,系统数据完全被窃取和篡改;另一方面,黑客可以利用被占领的服务器作为掩护,形成一种伪装,直接访问或攻击与服务器同一网段的其他系统;这样,直接访问其他目标系统以隐藏攻击来源,进而倍增、递进式地对其他更远处的目标进行更加广泛的攻击。
(4)病毒暨用户和系统的疥点
计算机病毒是一种能自动附加在类目标文件上并以此为宿主而不断扩展的恶意高级程序,其破坏性不仅体现在系统的瘫痪和数据的丢失上,更主要的是它以幂级数的形式进行扩散并具有极高的变异能力。当病毒被人为投放或通过电子邮件、移动存储介质等途径进入网络系统时,一旦一台电脑受到病毒感染,病毒便首先在此电脑中进行内部扩散,并在极短的时间内有可能在网络中迅速扩散、传播到网络中的所有在途电脑,造成电脑死机、电脑硬件损坏、数据信息泄漏、核心文件丢失等等情况,人们短期内无法预测它的破坏程度。
2)安全体系所解决的主要问题
本文建立的网络安全体系要保证内部信息系统和整个网络的稳定运行,归结起来,具体来讲,可基本保证以下几点:
(1)主体网络的可用以及有效管理
系统是整个网络的载体,为了杜绝外侵对网络核心系统部分的控制,系统可以根据内设权限自动完成分层管理和阻隔入侵,保证内核网络的持续有效运行,让消耗带宽等破坏方式无用武之地;同时,安全系统有审计和日志功能,为事后系统的全面维护提供可靠、方便的管理。
(2)身份识别和数据可控
系统能够及时管控访问者对关键体系和数据的访问,能够精准确认访问者的身份,谨慎授权,同时能对任何访问进行跟踪记录,并根据不同权限确定跟踪级别,将跟踪及时进行反馈,对威胁采取措施。
(3)数据共享和业务系统的安全运行
实体业务网络化的最大特点就是在不同终端之间架起桥梁,为各终端提供可靠而及时的服务,这些服务不但包括整个网络的建立和流畅运行,而且包括整个网络平台的维护、数据的共享和安全、各子网的有效运行等。网络安全体系能够阻挡非法访问、恶意入侵和破坏,基本实现上述功能的同时,注重核心信息在存储与传输时的保密性,实现了关键数据的绝对安全。
3)局域网的基本安全策略
本文提出的局域网的基本安全策略主要包括以下几个方面:
(1)网络正常运行。即使在受到攻击的情况下,也能够保证系统继续运行;
(2)网络管理/网络传输的资料不被窃取;
(3)具备先进的入侵检测和网络预警体系;
(4)提供灵活、高效且可靠的内外通讯服务,保证通往各节点的关键数据加密传输。
2.4 兼顾 IPS 技术的安全体系结构
现阶段,传统的网络安全技术都集中体现在系统自身的加固和防护上,通常采用配置防火墙、数据加密、身份认证和入侵检测等等手段。然而,这些被动防护技术有许多问题和局限性,目前传统的防火墙或早期的入侵检测技术一般都是针对现有攻击手段,采用基于特征匹配的方式进行工作,但是,随着网络攻击技术的不断更新,新的攻击方法层出不穷,传统防护技术已相对落伍。新的入侵防御技术IPS(Intrusion Prevention System)是一种主动的、积极的网络安全防护和预警技术,它将网络的被动防御和主动预警相结合,不仅具备了侦测与预防能力,更重要的是具备有效的告警响应与管理能力。
IPS技术的主动响应的功能可以做到一旦发现攻击行为,立即响应,主动切断连接。IPS中加入了密網技术,并以串联的方式接入网络中。这样,不仅能弥补入侵防御系统的缺陷,而且这种主动响应功能可以直接嵌入到网络流量中,通过一个端口接收来自外部的流量,经过检查确认其内容是安全的之后,再通过另一端口将其传送到内部系统。一旦检测到某一数据流存在问题,则其后续存疑数据包,都能在 IPS设备中被直接清除。
本文设计的分布式动态网络安全体系主要包含了防火墙技术、入侵检测技术和密网技术以及联动技术,以期最大限度地保证网络系统的安全稳定。
上述分析所确定的局域网安全体系的结构如图3所示:
根据不同的应用环境和安全需求而设计的兼顾 IPS 技术的合理安全体系,具体实施时可以分成以下三个步骤:
(1)制订系统的安全目标。这是整个项目的开始阶段,在这一阶段中主要的工作是根据部局域网系统的安全需求和安全风险评估制定整体安全目标,该目标将规定了后续整个项目的指导原则。
(2)技术分析和设计。根据风险评估和安全策略,结合现有的安全技术和产品,形成网络信息系统的整体安全解决方案。
(3)项目实施。根据方案设计的框架进行体系的实现和调试,建立一套完备可行的网络安全体系,确保信息系统内部各类信息的完整、安全与可靠,将内部网络与其他网络进行隔离,避免与外部网络的直接通讯,并将整个系统投入使用。
3 结语
本文结合网络安全理论和自动控制原理,提出了局域网安全体系的设计思想,进一步完善了传统的 P2DR网络安全模型;给出了一种新型的智能预警系统模型——RPRDR安全体系模型的设计思想和局域网安全体系的基本策略;依据分布式网络安全体系思想,兼顾 IPS技术建立了较为完善的局域网安全体系结构,同时给出了整个安全体系的设计目标。
本策略的设计理念主要基于局域网而产生,在实际应用和检验的同时,本文将对本策略不断进行改进和完善,争取实现兼顾IPS 技术的局域网并网安全体系,主要包括网络混合防火墙、入侵检测系统和虚拟蜜网系统,并将三者结合联动使用,以最大限度地防止网络入侵和恶意攻击,让局域网系统的安全级别不断提升。
参考文献:
[1] 徐敬乐,张建忠.计算机网络[M].北京:清华大学出版社,2003.
[2] 焦树海,李勤,李宏力.计算机安全概论[M].天津:南开大学出版社,2001.
[3] 马晓峰等.计算机网络安全技术[M].北京:科学出版社,2004.
[4] 卿斯汉,蒋建春.网络攻防技术原理与实战[M].北京:科学出版社,2009.
[5] 张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2010.
[6] 陈海涛,胡华平,徐传福.动态网络安全的框架模型[J].国防科技大学学报,2008(19).
[7] 娜杜英等.一种基于主動防御网络安全模型的设计与实现[J].微计算机信息,2012(22).
[8] 黄金莲,高会生.入侵防护系统 IPS初探[J].网络安全技术与应用,2010(7).
【通联编辑:光文玲】