军工行业网络安全解决方案整体设计.doc

1、军工行业网络安全解决方案整体设计田鑫中国核工业建设集团公司四七一厂摘 要网络安全问题越来越引起世界各国的严密关注，随着计算机网络在军工行业的广泛应用，不断出现网络被非法入侵，重要资料被窃取，网络系统瘫痪等严重问题，网络、应用程序的安全漏洞越来越多；各种病毒泛滥成灾。这一切，已给各个国家以及我国军工行业造成巨大的经济损失，甚至危害到国家安全。 关键词计算机 网络 安全 方案1 概述1.1 方案背景随着计算机、通信、网络技术的发展，全球信息化的步伐越来越快，网络信息系统已经成为一个国家、一个行业、一个集团、一个企业寻求发展的基础设施。人类在感受到网络信息系统对社会文明的巨大贡献的同时，也认识到网络

2、信息安全问题已成为影响国家、军工行业和长远利益而亟待解决的重大关键问题。对国家而言，没有网络安全解决方案，就没有信息基础设施的安全保证，就没有网络空间上的国家主权和国家安全，国家的政治、军事、经济、文化、教育、社会生活等将处于信息战的威胁之中。 大多数军工集团、军工企业在2002年完成了对计算机网络的升级改造。近年来通过各集团、各企业的积极努力，极大地加快了信息化建设的进程；然而，内部网络的安全问题还是相当突出，比如计算机病毒就是一个主要的危害因素。如何根据军工行业具体的网络系统环境，在“整体安全评估与安全规划”的基础上，建立一套行之有效的安全解决方案，将是本文研讨的主题。1.2 实施意义随着

3、计算机技术、信息技术的发展，计算机网络系统必将成为我国军工行业业务的关键平台。同时，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。网络安全系统的建立，必将为军工行业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防黑客、数据加密、身份验证防火墙等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制止经济情报丢失、泄密现象发生，维护数据安

4、全。中国核工业建设集团公司四七一厂在2005年全面启动信息化建设，建成了覆盖整个企业各业务部门并与Internet联接的千兆快速以太网，尤其在当前网络安全和今后的信息安全上取得的实践经验，笔者作为项目的负责者认为可作为军工行业各级机构借鉴。因此，本方案的实施还可以达到预期的经济及社会效益。2 需求分析 2.1 网络现状2005年，中国核工业建设集团公司四七一厂由于生产、科研、经营、管理工作的需要，对原有的10Mbps低速局域网进行了较大规模的升级改造工程，建成了覆盖一个企业各业务部门并与Internet联接的千兆快速以太网；使整个网络从IPX和TCP/IP协议混用的网络过渡到统一使用TCP/I

5、P协议的网络，整个网络变的易于管理,较IPX和TCP/IP协议混用的网络更易于控制。现有网络核心设备采用HUAWEI、CISCO等公司的产品，信息中心设在机关办公大楼楼三楼，并配有一台高性能的中心交换机；厂机关及下属处级单位、车间分别配置可堆叠工作组交换机，中心交换机与各工作组交换机之间使用光纤形成星型连接，建成了4个千兆、9个百兆的主干传输通道，共连接3栋办公楼，联网计算机近150多台。如图1-1所示。图核工业四七一厂网络拓扑图在网络建设的同时，开发推广了实用的网络应用服务功能，包括开发数据库综合应用、WWW信息网站、电子邮件、FTP、视频服务等等。随着各种应用的开展，大大促进了中国核工业建

6、设集团公司四七一厂信息化管理和无纸化办公的进程。2.2 网络安全现状目前，中国核工业建设集团公司四七一厂对网络安全采取的主要措施有：1) 利用操作系统、数据库、电子邮件、应用系统本身安全性，对用户进行权限控制。2) 采用了一定的数据备份措施（数据库系统备份）。3) 使用防病毒软件对计算机病毒及时清除。4) 使用了基于用户名/口令的访问控制。5) 不定期对系统和应用日志进行审计。6) 浏览相关系统网站，及时下载安全补丁。但是，仅靠以上几项安全措施，还不能达到中国核工业建设集团公司四七一厂安全的要求。2.3 主要网络安全威胁网络安全的建立并不是单纯几种安全技术产品的堆积，它的重点在于要针对中国核工

7、业建设集团公司四七一厂现有的网络环境，对网络中所有可能存在的破坏侵入点进行详细的分析，针对每一个可能的侵入点进行层层防护，对症下药，真正使之成为“安全的”企业网络。对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有：1) 内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同进也能访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。 2) 来自内部网的病毒的破坏。内部用户的恶意攻击、误操作，但目前发生的概率较小。3) 来自外部网络的攻击，具体有二条途径：1) Internet的连接部分；2）与各二级单位连接的部分。4) 外部网的破

8、坏主要方式为：1）黑客用户的恶意攻击、窃取信息；2）通过网络传送的病毒和Internet的电子邮件夹带的病毒。3）来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。5) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。6) 缺乏一套完整的安全策略、政策。其中，目前最主要的安全威胁是来自网络外部用户（主要是各二级单位用户和Internet用户）的攻击。2.4 网络安全需求分析根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析，我们提出如下网络安全体系需求报告：

9、1) 访问控制：通过对特定网段、服务建立访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。2) 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。3) 攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。4) 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。5) 认证：良好的认证体系可防止攻击者假冒合法用户。6) 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。7) 多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目

10、标。8) 隐藏内部信息：使攻击者不能了解系统内的基本情况。9) 设立安全监控中心：为信息系统提供安全体系管理、监控、保护及紧急情况服务。3 网络安全方案设计3.1 安全体系设计原则在进行计算机网络安全设计、规划时应遵循以下原则：1) 需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2） 综合性、整体性原则：运用系统工程的观点、方法，分

11、析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 3） 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。4） 易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。5）

12、 适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。6） 多重保护原则：任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其他层保护仍可保护信息的安全.3.2 安全体系层次模型按照网络OSI的7层模型，网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型：物理层 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）。链路层 链路层的网络安全需要保证通过网络链路传送的数据不被

13、窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段。网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。企业安全策略用户责任计算机网络安全保证客户病毒防治操作系统信息服务信息安全物 理 实 体 安 全操作系统 操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。应用平台 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。应用系统 应用系统完成网络系统的最终目的-为用户服务。应

14、用系统的安全与系统设计和实现关系密切。应用系统通过应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。3.3 安全产品选型赛门铁克公司是目前世界上技术领先的Internet网络安全软件公司，也是最大、最著名的工具软件公司。作为全球第七大软件商，全球有超过6千万的用户使用赛门铁克产品，包括企业、政府和高等院校等各个领域的用户。作为全球安全领域的领导者，赛门铁克公司致力于向商业和个人计算机环境提供创造性的、最有效的解决方案和产品，着重在为用户的系统提供可靠的安全保障，帮助用户提高生产效率，保持用户的计算机系统在任何时间和任何地点，以最佳性能安全可靠地运行。赛门铁克公司

15、主要以计算机系统内容安全、漏洞检测与风险评估、入侵扫描软件和系统支持与恢复软件的研究发展著称。Symantec提供全方位、多层次的、整体的网络安全解决方案。1) 在网络结构方面：Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护，尤其是对电子邮件的防病毒，Symantec具有最全面的解决方案，包括市场上流行的所有邮件系统如：IBM Lotus Notes/Domino(on AIXAS/400、OS/390、SUN Solalis、NT)、MS Exchang Server以及其他的基于Unix平台下的邮件系统。2)

16、在系统平台支持方面：Symantec对各种操作系统提供全面的支持，如：IBM AIX，Linux,AS/400,OS/390,SUNSolaris，Dos，Windows/3x，Windows95/98，Windows NT Workstation/Server，Windows 2000，OS/2，NOVELL Netware,Macintosh等。 3) 在防病毒技术方面：Symantec采用各种先进的反病毒技术，尤其在对付未知病毒和多态病毒方面，采用了各种先进的技术对其进行查杀，如：启发式侦测技术（Bloodhund TM）,神经网络技术，打击技术（Striker32）和防宏病毒技术（MV

17、P）等，因此NAV产品不仅能查、杀各种未知病毒，还能修复被病毒感染的文件。4) 在防病毒软件和防病毒策略管理方面：通过赛门铁克的SSC（Symantec System Center）赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。5) 在病毒定义码和扫描引擎升级方面：采用模块化（NAVEX）的升级方式，也就是说，用户每次升级都包括最新的病毒定义码和扫描引擎，而且各种NAV产品采用的是同一套病毒定义码和扫描引擎，方便用户病毒定义码和扫描引擎的升级，同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。6) 在技术支持和服务方面：S

18、ymantec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应，并能迅速提供相应的解决方案。7) Symantec对新出现的病毒具有最快的响应速度：Symantec在全球有4个防病毒研究中心（SARC），同时于2000年在中国成立第五个防病毒研究中心，在SARC有专门的系统每时每刻主动在Internet上搜索病毒，同时把搜索来的病毒样本自动送到数字免疫系统中进行分析，产生响应的解决方案，在经过SARC的验证后公布在Symantec的网站上。4 规章制度“三分技术七分管理”是信息网络安全业界人士的共识。只有把安全管理和网络安全技术同步运用于信息网络安全建设中，才可以构筑完善的信息网络

19、安全保障体系。4.1网络基础设施管理网络基础设施包括：挂接在计算机网络上的服务器、交换机、线缆、客户机、系统软件等。4.1.1 服务器的管理1） 在服务器上进行系统配置参数更改时，必须先将原配置参数记录下来，然后再进行更改。2） 需要对文件改动或删除时，要先进行备份，然后执行操作，以避免出现因误删而导致服务终止的情况发现。3） 严禁往服务器上备份不可靠的软件和数据，以保证在用的数据和软件不受病毒和其他破坏程序的攻击。 4） 对于网络服务的启动和终止，必须严格按照标准的规范和步骤进行。关闭网络服务器必须等待所有数据正常保存、服务全部终止后方可进行。5） 网络服务器上系统软件和应用服务软件的升级，

20、要根据需求确定，升级操作严格按照说明进行。6） 对网络交换机进行的任何配置、更改必须先进行配置信息的备份，然后执行操作，以保证不出现影响用户正常使用的情况出现。4.1.2 网络线缆的管理1) 任何人对网络线缆不得随意破坏。2) 破坏线缆当事人将负责赔偿一切相关损失。3) 线缆出现问题后由维护人员及时解决，并填写维护记录。4.1.3 网络客户机的管理1) 网络客户机在移动后必须由信息中心技术服务室指派专门的人员删除原有的IP地址和邮箱，并根据客户机调整方案重新配置IP地址和邮箱。2) 对于更换客户机的人员也必须将原有客户机的IP地址和邮箱删除并在新机上建立与原有客户机相同的IP地址和邮箱。4.1

21、.4 系统软件的管理1) 系统软件的升级首先填写申请报告，经主管人员审核批准后，由网络管理人员负责实施，升级完成后必须提交相关技术文档。2) 系统运行参数的调整必须由网络管理人员进行，并填写更改记录。4.2 数据库管理1) 中心数据库系统必须使用中国核工业建设集团公司四七一厂统一要求的SQL SERVER数据库；2) 应用系统需要表空间，需填写数据库表空间申请表；3) 开发人员在使用中，不得随意更改权限，需向数据库管理人员提交申请报告，由数据库管理人员根据实际情况统一授权；4) 应用系统正式投入运行后，需通知数据库管理员，以便做好系统的备份工作。未通知而造成数据丢失的，由该系统人员负责；5)

22、应用系统正式投入运行后，不能在该系统用户下存放垃圾表，一旦发现，数据库管理员有权在不做任何通知的情况下进行删除。4.3 WWW信息发布4.3.1 部门网页的申请与管理1) 部门需要建立网站时，首先向信息中心提出申请；2) 信息中心网络管理人员审查后建立相关环境，并通知用户；3) 部门主页的内容遵循第一消息原则，其他部门可做链接转载，严禁同一信息重复存储浪费空间。4.3.2 个人主页申请与管理1) 个人主页的申请需要通过信息中心审查；2) 主页的发布内容必须遵守计算机系统保密工作管理细则及其国家相应的互联网络法规；3) 对于违反规定的个人主页，信息中心有权在不作通知的情况下先停止其服务，然后再与

23、相关个人联系。4.3.3 用户权限的申请与管理1) 用户提出权限要求，以所在单位核准后报信息中心审查；2) 信息中心根据实际情况赋予用户相应权限。4.3.4 账号与密码管理1) 网络账号和密码的管理必须确保安全，密码采用数字与字母组合方式，长度不得小于七位。2) 网络账号和密码作为绝密信息进行存储和传输，严禁将用户信息泄漏给第三方。3) 用户密码丢失后，若要恢复，必须到信息中心向网络管理员提供身份证明后，才能给予恢复，并记录在案。4.4 电子邮件服务1) 电子邮件服务器配置严格按照中国核工业建设集团公司四七一厂统一的邮件服务器名配置标准进行配置。2) 用户申请邮箱，必须填写计算机网络用户申请表

24、报信息中心；3） 信息中心网络管理员对用户的申请进行审核，合乎要求的给建立帐号，并通知用户；4） 原则上不限制用户邮件空间的使用量，不允许用户使用邮件进行不利于网络正常运转的操作，如在邮箱中存储大的文件以及备份，也不得故意产生垃圾邮件。5） 发送邮件不得附带带毒软件或程序，附件不得大于5MB；6） 尽量减少邮件群发方式分发信息。4.5 FTP文件存储1） 用户必须填报计算机网络用户申请表，在申请表中必须按计算机信息系统保密工作管理细则严格指定密级；2） 网络管理员进行审核，合乎要求的建立帐号，分配空间，并通知用户；3） 不得向服务器上传垃圾文件；4） FTP用户只能获得读、写、浏览权限。4.6

25、 网络应用系统开发1） 开发基于网络的应用系统，要有利于网络的运行和安全。2） 网络应用系统提交运行前要进行安全性、完善性测试并进行性能优化；3） 信息存储统一使用SQL SERVER，不得使用其他类型库。4） 数据库信息的发布，必须通过指定用户进行，该类用户对数据库信息只有读取的权限；5） 任何站点或进程对信息库的访问都必须使用同一缓冲池进行，禁止打开多用户连接或多缓冲池连接，造成服务器过载。4.7 信息资源备份、病毒防治、信息的保密1） 为了保证存储在网络服务器上信息资源的安全，需要对这些资源进行备份。备份工作由信息中心网络管理人员执行。2） 备份方式及周期：备份磁带上必须标注备份内容，备

26、份种类（日备份、月备份、年备份）、备份日期、操作人等内容。3） 系统备份操作系统每次更改前后的完全备份；4） 数据库每次调参前后的完全备份；5） 在进行升级、调参操作后，新系统或新配置正常运行一个月以上，并已经拥有新的备份时才能将老的备份清除。6） 数据备份：日备份，每天下午21：30对数据进行增量备份、对修改过的应用软件进行备份，日备份以周为周期循环进行；月备份，每月10号对数据和应用软件进行完全备份，月备份以年度为周期循环进行；年备份，每年元月15日对系统、数据、应用程序进行完全备份，必要情况下可以以双备份方式进行，年度备份必须形成历史记录，年度备份磁带内容不得删除，作为历史记录保存。7）

27、 将在线监测杀毒软件加载至每台个人计算机，并启动实时监视器。对在线监测杀毒软件的病毒数据库更新包，由网络管理员或维护人员下载至厂内服务器上，各单位计算机管理员负责下载并对本单位每台计算机病毒数据库进行更新。8） 用户需要定期进行杀毒操作，杀毒时间和人员安排由各单位负责计算机管理的人员自主安排执行。9） 需要增加服务器端共享软件的用户，必须填表注册，经信息中心研究同意后，由网络管理员将其安装至服务器端。10） 为了尽可能减少病毒的破坏，用户应定期作好自己单机的重要数据备份工作，对于财务部门的专用服务器数据，由该部门的计算机管理人员负责备份。全厂网络服务器的数据，由信息中心网络管理员或维护人员负责

28、。11） 服务器端原有的系统数据库文件和可执行文件的存放位置分开，网络上只提供可执行文件下载，不允许直接在网络上安装。12） 必须严格按照WEB应用服务器、文件服务器、数据库服务器分开的方式运转。13） 网络服务中文件需要上传的必须提出申请，经核准并确定上传文件无病毒后方允许上传存放。不得有意将带毒文件上传或分发他人，导致病毒扩散。14） 各单位如果发现无法杀除的病毒，必须及时反映给信息中心，以便尽快研究解决，无法解决的，将样本发送相应杀毒软件制作公司求助。15） 各单位计算机管理人员和使用人员有义务及时报告最新病毒信息，以便全厂防范。16) 财务部门的专用服务器数据被病毒感染或破坏，由该处室

29、兼职管理人员负责，信息中心网络管理室和相应的技术人员提供技术支持。4.8 监督考核考核指标与奖惩办法1) 网络值班时间内不在岗记问题点一个，如出现问题记重大问题点一个。2) 未按时进行备份或备份标识不明确引起后果的，以及未作或丢失备份而导致数据丢失的，对当事人记问题点一个，引起重大后果和影响的，记重大问题点一个。3) 网络服务器不得出现病毒破坏事件，如出现记重大问题点一个。4) 个人计算机的月病毒发生不得多于一次，如多于一次记相关人员问题点一个。5) 如果出现由于相关人员未履行职责而引起的病毒破坏事件，要对相关人员追究责任。个人未按要求进行备份或杀毒而出现数据丢失或文件被子病毒破坏的，由本人负

30、责，并记问题点一个。6) 如果发现在信息网页上发布了不符合规定的内容根据后果轻重记问题点或重大问题点一个。7) 电子邮件发送大的邮件垃圾记当事人问题点一个。8) 网络应用开发不遵守标准者，勒令当事人整改并记问题点一个。5 结束语在提到网络安全的全面解决方案时，很多人会认为：在服务器前加一个防火墙就解决了网络安全问题，这其实是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的安全设备，在底层包过虑，对会超大ICMP（信报控制协议）包、IP伪装，碎片攻击，端口控制等方面的确有着不可替代的作用，但它在应用层的控制和检测能力是很有限的。比如利用Unicode漏洞和MS SQL Server远程

31、控制等就可轻松穿透防火墙实施攻击。因此，缺乏一套整体安全解决方案的网络系统，其安全是肯定没有保障的。一套网络安全的整体解决方案涉及很多方面，包括设置好密码策略、设置安全日志策略以及安全管理制度等等。由于系统本身是不安全的，其不安全性主要体现在没有进行安全地安装配置、设置用户及目录的权限不当、没有建立适当的安全策略等。例如：没有打安全补丁、安装时为了方便使用简单口令而后来又不更改、没有进行适当的目录和文件权限设置、没有进行适当的用户权限设置、打开了过多的不必要的服务、没有对自己的应用系统进行安全检测等等。另外，安全和管理是分不开的。即便有好的安全设备和系统，没有一套好的安全管理方法并贯彻实施，安全就是空谈。值得注意的是这里强调的不仅要有安全管理方法，而且还要贯彻实施。安全管理的目的在于两点：一是最大程度地保护网络，使得其安全地运行，再就是一旦发生黑客事件后能最大程度地挽回损失。所以建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的。参考文献1刘其奇，赵翠霞企业网络安全性机制建立计算