网络安全技术方案

《网络安全技术方案》由会员分享，可在线阅读，更多相关《网络安全技术方案（56页珍藏版）》请在装配图网上搜索。

1、网络安全技术方案492020年4月19日文档仅供参考目录1网络安全实施的难点分析11.1IT系统建设面临的问题11.2IT 系统运维面临的问题22系统安全22.1网络系统安全风险分析22.1.1设备安全风险分析22.1.2网络安全系统分析32.1.3系统安全风险分析32.1.4应用安全风险分析42.1.5数据安全风险分析42.2网络系统安全设计42.2.1设备安全42.2.2网络安全42.2.3系统安全52.2.4应用安全62.2.5数据安全62.3系统的网络安全设计72.3.1防火墙系统72.3.1.1防火墙的基本类型72.3.1.2常见攻击方法102.3.1.3常见攻击对策102.3.2V

2、PN路由器112.3.3IDS 入侵检测112.3.4CA认证与SSL加密132.3.4.1CA的作用132.3.4.2CA系统简介142.3.4.3SSL加密172.3.5防病毒系统192.3.5.1病毒的类型192.3.5.2病毒的检测222.3.5.3防病毒建议方案242.3.6网站监控与恢复系统242.3.7SAN网络存储/备份/灾难恢复:243业务网络安全设计243.1网络安全设计原则243.2系统的安全设计253.2.1威胁及漏洞253.2.2计说明263.3系统的安全设计273.3.1各业务系统的分离273.3.2敏感数据区的保护283.3.3通迅线路数据加密293.3.4防火墙

3、自身的保护303.3.5网络安全设计313.3.5.1设计说明:331 网络安全实施的难点分析1.1 IT系统建设面临的问题企业在IT系统建设过程中,往往面临以下方面的问题;其一:专业人员少,因为任何一个企业的IT系统建设,往往都是为企业内部使用,只有自己最为了解自己企业的需求,可是往往企业内部的专业人员比较少。其二:经验不足,专业性不强,由于企业内部的专业人员仅仅着眼于本企业自身的需求,项目实施的少,相应的项目经验欠缺专业性不强;其三:效率不高,效果不好,应为欠缺对系统建设的系统知识和经验,总是在摸索着前进,在这个过程中,实施人员和使用人员的积极性就会降低,无法按照预期完成项目。1.2 IT

4、 系统运维面临的问题2 系统安全2.1 网络系统安全风险分析2.1.1 设备安全风险分析网络设备、服务器设备、存储设备的安全是保证网络安全运行的一个重要因素。为了保证网络的安全而制定的安全策略都是由网络设备执行的,如果一些非网络管理人员故意或无意对网络设备进行非法操作,势必会对网络的安全造成影响,甚至是重大的安全事故。因此,没有网络设备的安全,网络设备的安全就无从谈起。因此,必须从多个层面来保证网络设备的安全。2.1.2 网络安全系统分析网络层位于系统平台的最低层,是信息访问、共享、交流和发布的必由之路,也是黑客(或其它攻击者)等进行其截获、窃听窃取信息、篡改信息、伪造和冒充等攻击的必由之路。

5、因此,网络层所面临的安全风险威胁是整个系统面临的主要安全风险之一。网络层的安全风险包括以下几方面:l 黑客攻击外网经过防火墙与Internet公众网相连,因此Internet上的各种各样的黑客攻击、病毒传播等都可能威胁到系统的安全。其存在的安全风险主要是黑客攻击,窃取或篡改重要信息,攻击网站等。许多机器临时性(甚至经常性的)连接到外网上或直接连接到Internet上。这样Internet上的黑客或敌对势力使用木马等黑客攻击手段,就能够将该员工机器用作一个侦察站。l 网内可能存在的相互攻击由于公司内网中的各级网络互连,这些设备在网络层是能够互通的,在没有任何安全措施的情况下,一个单位的用户能够连

6、接到另一个单位使用的机器,访问其中的数据。这样就会造成网络间的互相病毒等其它因素引起的网络攻击。2.1.3 系统安全风险分析系统安全一般分为系统级软件比如操作系统、数据库等的安全漏洞、病毒防治。1、系统软件安全漏洞系统级软件比如操作系统、数据库等总是存在着这样那样的安全漏洞,包括已发现或未发现的安全漏洞。2、病毒侵害计算机病毒一直是困扰每一个计算机用户的重要问题,一旦计算机程序被感染了病毒,它就有可能破坏掉用户工作中的重要信息。网络使病毒的传播速度极大的加快,公司内部网络与Internet相连,这意味着每天可能受到来自世界各地的新病毒的攻击。2.1.4 应用安全风险分析基于B/S模式的业务系统

7、由于身份认证、数据传输、访问控制、授权、口令等存在安全隐患,从而对整个系统造成安全威胁。2.1.5 数据安全风险分析在系统中存放有的重要的数据。这些数据如被非法复制、篡改、删除,或是因各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。2.2 网络系统安全设计针对上面提到的种种安全风险,对系统安全进行设计。2.2.1 设备安全设备安全在这里主要指控制对交换机等网络设备的访问,包括物理访问和登录访问两种。针对访问的两种方式采取以下措施:对基础设施采取防火、防盗、防静电、防潮措施。系统主机应采用双机热备(主备/互备)方式,构成集群系统;系统关键通信设备应考虑冗余备份;要求利用系统监控工具,实时

8、监控系统中各种设备和网络运行状态,及时发现故障或故障苗头,及时采取措施,排除故障,保障系统平稳运行。2.2.2 网络安全为保障网络安全,在网络上要采取以下措施:l 设立防火墙。防火墙作为内部网络与外部公共网络之间的第一道屏障,一般用在企业网与Internet等公众网之间的连接点处,防护来自外部的攻击,并过滤掉不安全的服务请求和非法用户进入;l 在内部系统的Web服务器到应用服务器之间设置防火墙,防止来自内部的攻击和破坏,保证系统的安全;l 进行入侵检测。对计算机网络和计算机系统的关键结点的信息进行收集分析, 检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。l 采用相应技术

9、和手段,保证网络安全。对传输数据进行加密,保障数据传输安全l 防止网页的篡改;利用防护工具防止黑客篡改或非法破坏网页,保证网站网页安全。针对防止网页篡改,推荐使用InforGuard。InforGuard主要提供文件监控保护功能,保证文件系统安全,防止被非法修改。InforGuard适用于网站网页文件的安全保护,解决了网站被非法修改的问题,是一套安全、高效、简单、易用的网页保护系统;采用数字证书技术实现InforGuard的用户管理,加强了对Web站点目录的ftp用户和口令的保护,防止了ftp口令泄漏造成的安全隐患;经过用户操作日志提供对网页文件更新过程的全程监控。从而保证了网站网页文件的绝对

10、安全。l 定期进行安全检查,查补安全漏洞,采用漏洞扫描软件对内部服务器浏览器和所有网络设备进行漏洞扫描,及时弥补各类安全漏洞。2.2.3 系统安全应用安全的解决往往依赖于网络层、操作系统、数据库的安全,因此对系统级软件的安全防范突显其重要性;由于病毒经过Internet网,能够在极短的时间内传到Internet的各个角落,而病毒对系统稳定性和数据安全性的威胁众所周知,因此对病毒的预防是一项十分重要的工作;同时对一些专用服务器的特别防护也是我们保证系统良好运行的前提。下面就从系统漏洞防护、病毒防护和专用服务器防护等方面来阐述安全防范的措施。l 系统安全漏洞防护:经过系统扫描工具,定期检查系统中与

11、安全有关的软件、资源、各厂商安全”补丁包”的情况,发现问题及时报告并给出解决建议。l 病毒防护:在内网和外网中分别设置网络防病毒软件控制中心,安装网络版的防病毒控制台,在服务器系统和网络内的主机均安装防病毒软件的客户端。管理员负责每天检查有没有新的病毒库更新,并对防病毒服务器上的防病毒软件进行及时更新。然后再由防病毒服务器将最新的病毒库文件下发到各联网的机器上,实现全网统一、及时的防病毒软件更新,防止因为少数内部用户的疏忽,感染病毒,导致病毒在全网的传播。l 专用服务器的专门保护:针对重要的、最常受到攻击的应用系统实施特别的保护。对WEB服务器保护对Web访问、监控/阻塞/报警、入侵探测、攻击

12、探测、恶意applets、恶意Email等在内的安全政策进行明确规划。对E-mail服务程序、浏览器,采取正确的配置与及时下载安全补丁实现。2.2.4 应用安全针对人为操作造成的风险,必须从系统的应用层进行防范,因此应用系统在建设时需考虑系统的安全性。具体包括以下几个方面:l 访问控制:操作系统的用户管理、权限管理;限制用户口令规则和长度,禁止用户使用简单口令,强制用户定期修改口令;按照登录时间、登录方式限制用户的登录请求;加强文件访问控制管理,根据访问的用户范围,设置文件的读、写、执行权限;对重要资料设置被访问的时间和日期。l 权限控制和管理:按照单位、部门、职务、工作性质等对用户进行分类,

13、不同的用户赋予不同的权限、能够访问不同的系统、能够操作不同的功能模块;应用系统的权限实行分级管理,每个系统的管理员自己定义各类用户对该系统资源的可访问内容。l 身份验证:经过采用口令识别、数字认证方式,来确保用户的登录身份与其真实身份相符,保证数据的安全性、完整性、可靠性和交易的不可抵赖性、增强顾客、商家、企业等对网上交易的信心。l 数据加密存储:关联及关键数据加密存储,提取数据库中表间关联数据或重要数据信息,采用HASH算法,生成一加密字段,存放在数据表中,保证数据库中关联数据的一致性、完整性,防止重要数据的非法篡改。l 日志记载:数据库日志:使得系统发生故障后能提供数据动态恢复或向前恢复等

14、功能,确保数据的可靠性和一致性。应用系统日志:经过记录应用系统中操作日志,经过事后审计功能为将来分析提供数据分析源,确保业务的可追溯性。2.2.5 数据安全业务数据是业务系统运行的重要元素,也是企业中宝贵的资源。这些数据如被非法复制、篡改、删除,或是因系统崩溃及各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。由此造成的损失将是巨大的。为了保证数据的安全,一般的做法是对数据进行备份。数据备份解决方案大致能够分为两种:数据级的备份和系统级的备份。数据级的备份是指对存储在磁盘阵列、磁带库等设备上的数据的备份。系统级备份主要是指对服务器系统、数据库系统等系统的备份。对于数据库系统备份,有两种方

15、式能够选择:第一种是采用数据库自身的备份功能,其优点是不需要追加额外的投资,缺点是这种备份方式是手工进行的,备份效率较低,而且在备份时需要关闭数据库,即需要shutdown数据库实例。第二种方式是采用专业的备份工具,这种方式能够实现在线备份的方式,即在备份的过程中不需Shutdown数据库实例。同时,在备份过程中,经过追踪数据块的变动记录来实现增量备份,缩短备份窗口。在保持数据库online的前提下,这种方式还能够充分保证数据库的OLTP联机事务处理的性能。数据库的数据量庞大,能够经过同时驱动多个磁带驱动器来保证数据库备份的效率。经过这种方式,能够在夜间的非工作时段内完成全备份,并在相对更短的

16、时间段内完成日增量备份。在上述数据备份环境中,能够对操作系统及应用程序环境实现动态即时在线快速备份,即在不影响用户和应用程序运行的前提下,备份系统的动态数据,同时能够将传统文件系统的备份速度成倍提高。在前面的服务器平台设计中,我们为每台服务器都配置了两块硬盘,经过磁盘镜像(RAID 1)技术实现系统冗余备份,能够极大提高服务器系统的安全性。保证数据安全,对数据进行备份。2.3 系统的网络安全设计2.3.1 防火墙系统2.3.1.1 防火墙的基本类型实现防火墙的技术主要包括四类:包过滤防火墙、电路网关防火墙、应用层防火墙以及动态包过滤防火墙。其各自的特点如下:包过滤防火墙:包过滤防火墙技术主要经

17、过分析网络传输层数据,并经过预先定义的规则对数据包转发或丢弃。其检查信息为网络层、传输层以及传输方向等报头信息,典型的包过滤主要利用下面的控制信息:数据包到达的物理网络接口数据包的源网络层地址数据包的目的网络层地址传输层协议类型传输层源端口传输层目的端口包过滤防火墙有以下先进性:包过滤防火墙一般性能高,因为她们执行的评估比较少而且一般能够用硬件完成。能够简单地经过禁止特定外部网络和内部网络的连接来保护整个网络。包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。结合NAT(网络地址转换功能,能够将内部网络从外部网络中屏蔽起来。包过滤防火墙具有以下缺点:包过滤防火墙不能识别上层信息,因此,同

18、应用层防火墙以及电路网关防火墙相比,其安全性较低。包过滤防火墙不是基于连接状态的,因此,它不保存会话连接信息或上层应用信息。包过滤只利用了数据包中有限的信息。包过滤不提供增值服务,如HTTP Cache,URL过滤等。电路网关防火墙电路网关防火墙是一种基于连接状态的防火墙技术,它能确认、证实一个数据包是两个传输层之间连接请求、两个传输层之间已建连接中的数据包或两个传输层之间的虚电路。电路网关防火墙检查每一个连接的建立过程来保证连接的合法性,以及利用一个合法的连接信息表(包括状态以及序列号)来检查数据包的正确性。当一个连接关闭时,这个连接信息表就被关闭。电路网关级防火墙主要应用下列状态信息:一个

19、唯一的会话识别用于跟踪处理。连接状态,包括:握手、建立以及关闭。序列号信息。源网络地址。目的网络地址。数据包到达的物理网络接口。数据包离开的物理网络接口。电路网关级防火墙具有以下优点:电路网关防火墙一般性能高,因为她们执行的评估比较少。能够简单地经过禁止特定外部网络和内部网络的连接来保护整个网络。包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。结合NAT(网络地址转换功能,能够将内部网络从外部网络中屏蔽起来。电路应用网关具有以下缺点:电路应用网关不能限制TCP之外的其它协议集。电路应用网关防火墙不能进行严格的高层应用检查。包过滤不提供增值服务,如HTTP Cache,URL过滤等。应用

20、层防火墙应用层防火墙检查所有的数据包、连接状态信息以及序列号,同时还能验证应用层特定的安全控制,包括:用户名,口令等。大多数应用层防火墙包括一个特定服务程序和代理服务,代理是一个面向特定应用的流量管理程序,如HTTP、FTP等,能提供增强的访问控制、细节检查以及审记记录等信息。每一个应用代理一般由两部分组成,代理服务器以及代理客户,相对于发起连接的客户端来说,代理服务器充当一个最终服务器。代理客户端代替实际的客户应用同外部服务器进行数据交换。应用层防火墙具有以下优点:代理服务能完全理解和实施上层协议。如HTTP、FTP等。代理服务维护所有的应用状态信息,包括:部分的通讯层状态信息、全部应用层状

21、态信息以及部分会话信息。代理服务能处理和利用数据包。代理服务不允许外部服务器和内部主机之间的直接通讯,可有效的隐含内部网络信息。代理服务能提供增值特征,包括:HTTP Cache、URL过滤以及用户认证等。代理服务能很好的产生审记记录,允许管理员监控企图违反网络安全策略的行为。应用层防火墙具有以下缺点:代理服务需要替换防火墙服务器的原来的网络堆栈。由于代理服务要监听服务端口,因此,在防火墙服务器上不能提供同样的服务。代理服务对数据包需要处理两次,因此,性能比较差。一般,对于不同的应用,需要对每一个服务提供一个代理服务程序。应用级防火墙不能提供UDP、TCP以及其它协议代理功能。代理服务一般需要

22、修改客户应用程序端或应用配置。代理服务一般依赖操作系统提供设备驱动,因此,一个操作系统或应用Bug都有可能造成代理服务容易受到攻击。代理服务经常会遇到多次登录的情况。动态包过滤防火墙动态包过滤防火墙类似电路网关防火墙,但它提供了对面向非连接的传输层协议,如UDP的支持。其同电路网关有相同的优缺点。2.3.1.2 常见攻击方法了解常见的攻击方法能够更好的制定安全防范措施,常见的攻击方法包括以下几种:被动监听:这种攻击方法是攻击者利用网络监听或分析工具,直接窃获用户的报文信息,从而获得用户/口令信息,这时,攻击者就能够以合法用户的身份对应用进行破坏。地址欺骗:在这种方法中,攻击者伪装成一个信任主机

23、的IP地址,对系统进行破坏。端口扫描:这是一种主动的攻击方法,攻击者不断的扫描安全控制点上等待连接的监听端口,一旦发现,攻击者就集中精力对端口上的应用发起攻击。否认服务:这种攻击方法又细分为两种:即洪水连接和报文注入,洪水连接是向目的主机发出大量原地址非法的TCP连接,这样,目的主机就一直处于等待状态,最后由于资源耗尽而死机。报文注入就是在合法连接的报文中插入攻击者发出的数据包,从而对目的主机进行攻击。应用层攻击:这种攻击方法是利用应用软件的缺陷,从而获得对系统的访问权利。特洛伊木马:在这种攻击方法中,攻击者让用户运行一个用户误认为是一个合法程序的攻击程序,从而寄生在用户系统中,为以后的攻击埋

24、下伏笔。这种攻击方法最常见的应用就是在WEB服务嵌入Java Applet、Active-X等控件,使用户在浏览网页时,不知不觉中被寄生了攻击程序。2.3.1.3 常见攻击对策下面我们对上面所述的攻击方法提出自己的防范措施。被动监听:在共享式以太网结构中,一个主机发送的数据会发送到一个网段上的每主机数据包被监听是不可避免的。而交换式网络根据目的地址选择发送的端口,因此,尽量连接桌面工作站到交换机端口会避免数据包被监听。对于同各个分支机构的按Extranet方式连接的采用IPSec技术对IP数据包加密,该加密算法对数据加密采用DES算法,其DES密钥是动态产生的,连接双方加密密钥是经过RAS算法

25、传送的,因此,具有很高的安全性。对于Internet个人用户的访问,数据被监听是不可避免的,因此,对这种攻击的防范是合理设定用户权限。地址欺骗:对这种攻击的防范采用扩展访问过滤列表方式,凡是从其它网段进来的数据包,如果其源地址不是来自该网段的合法地址,就抛弃该数据包。端口扫描:对这种攻击的防范采用扩展访问列表方式,拒绝非授权网络访问特定的网络服务。否认服务:对于洪水连接攻击我们采用TCP拦截技术,对一个主机的访问限制在一个可接受范围内,对于超过的可按几种设定方式丢弃连接。对于报文注入,Cisco PIX防火墙产品是一种基于状态的包过滤产品,本身能很好的防范报文注入攻击。应用层攻击:改进、替换具

26、有安全漏洞的应用服务器。特洛伊木马:对于这种攻击方式,首先应该教育公司职员不要运行不明来源的程序,避免内部主机被攻破,一旦内部主机被攻破,攻击者就能够以被攻破主机为落脚点,对内部所有主机进行攻击。对Java Applet和Active-X的防范采用员工教育方式,教育职员不要访问不明站点,尽量在浏览器中关闭Java Applet和Active-X功能。2.3.2 VPN路由器l 采用Cisco Router 进行IP数据包过滤,安全VLAN子网划分l 作为VPN配置路由使用,可方便进行安全访问的划分l 结合PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,最大限

27、度地保证了企业VPN的可靠性和安全性2.3.3 IDS 入侵检测入侵检测 (eTrust Intrusion Detection 简称eID) 提供了全面的网络保护功能,其内置主动防御功能能够防止破坏的发生。这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法 URL 探测和阻塞、警告、记录和实时响应。l 网络访问控制入侵检测 (eTrust Intrusion Detection) 使用基本规则定义能够访问特定网络资源的用户,从而确保只对网络资源进行授权访问。l 高级反病毒引擎能够探测包含计算机病毒的网络流量的病毒扫描引擎。它能够防止用户在不知情的情况下下载受

28、病毒感染的文件。从 CA web 站点能够得到最新和更新后的病毒特征码。 l 全面的攻击模式库入侵检测 eID 能够自动探测来自网络流量的攻击模式(即使是正在进行中的攻击)。定期更新的攻击模式库 - 能够从 CA web 站点获得 - 能够确保入侵检测保持最新。 l 包检测技术入侵检测 eID 在隐蔽模式下工作,攻击者是察觉不到的。因为黑客不知道她们正在被监视,因此一般在未察觉的情况下被捕获。 l URL 阻塞管理员能够指定不允许用户访问的 URL,从而防止了非工作性 Web 冲浪。l 内容扫描管理员经过入侵检测 eID 能够定义策略对内容进行检查。这能够防止在没有授权的情况下经过电子邮件或

29、Web 发送敏感数据。l 网络使用情况记录入侵检测 eID 允许网络管理员跟踪最终用户、应用程序等的网络使用情况。它有助于改进网络策略规划和提供精确的网络收费。l 集中化监控网络管理员能够从本地或远程监控运行入侵检测 (eTrust Intrusion Detection) 的一个或多个站,在不同网络段(本地或远程)上安装了受中央站控制的入侵检测 (eTrust Intrusion Detection) 代理后,管理员能够根据收集到的合并信息查看报警和生成报告。 l 远程管理远程用户能够使用 TCP/IP 或者调制解调器连接访问运行入侵检测 (eTrust Intrusion Detectio

30、n) 的站。在连接后,根据入侵检测 (eTrust Intrusion Detection) 管理员定义的权限, 用户能够查看和监控入侵检测 (eTrust Intrusion Detection)数据、更改规则以及创立报告。l 入侵记录和分析入侵检测 (eTrust Intrusion Detection) 为捕获信息和进行分析提供了全面的系统功能。在安装软件并指定归档地点后,用户能够定义在档案中记录会话的规则。然后用户能够经过浏览器过滤、排序和查看归档信息,并创立详细的报告。 入侵检测 eID 代表了最新一代企业网络保护技术,具有前所未有的访问控制、用户透明性、高性能、灵活性、适应性及易用

31、性等。它提供给企业一个易于部署的网络保护方案。2.3.4 CA认证与SSL加密2.3.4.1 CA的作用l 数字证书能为你做什么 :个人数字证书是网友进入21世纪的必须品。网上证券少不了它;网上缴款不能没有它;进入全球知名网站,更不得没有它。它简单易懂、安装容易,它比”卡”还要重要,是您身份的表征,网络新贵的识别证。现今不论X、Y、Z世代,您皮夹中至少必备四五张卡(提款卡、万事达卡、威士卡、会员卡、金卡、普卡、电话卡、保健卡.),因为当前是”卡”的时代。而在网际路上,您如果没有数字证书,不论您外表多young、多炫,多酷,依旧是寸步难行。因为”一证在手,走遍天下”的时代已经到来。CA为了更好地

32、满足客户的需要,给客户提供更大的便利,设计开发的通用证书系统使得一证多用成为可能。 l 数字证书和电子商务的关系 电子商务正以不可逆转之势席卷全球的各行各业,但世界各地也面临着共同的阻碍电子商务的安全问题,必须要采用先进的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是当前通用可行的安全问题解决方案。数字安全证书建立了一套严密的身份认证系统,能够确保电子商务的安全性。 l 信息的保密性交易中的商务信息均有保密的要求.如信用卡的帐号和用户名被人知悉,就可能被盗用,订货

33、和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。l 交易者身份的确定性 网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店.因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,她们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司能够采用各种保密与识别方法,确认顾客的身份是否

34、合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。 l 不可否认性由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益.例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。l 不可修改性交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。2.3

35、.4.2 CA系统简介人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人不见面的计算机互联网上进行交易和作业时, 怎么才能保证交易的公正性和安全性,保证交易方身份的真实性。国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。 我们能够使用数字证书,经过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够经过数字证书来确认接收方的身份;发送方对于自己

36、的信息不能抵赖。系统特性l 高强度加密和认证 Universal CA采用基于RSA 加密算法的公钥体系加密和认证,能够生成512、768、1024位三种不同密钥的长度的证书,确保证书的安全性和可靠性。多种生成证书的方法 由用户的请求文件生成证书。在服务器端由管理员为用户生成证书。利用已有的数据库为用户生成证书。Universal CA 能够以上述三种方法生成证书,使用户应用极为方便。支持国际互联网Universal CA发放的证书不依赖于固定的内部用户,只需一个Email地址即可实现证书的申请及应用,因此具有广泛的应用性。 具有同其它系统交换数据的能力Universal CA 后台应用了东大

37、阿尔派自主版权的数据库Oopenbase能够实现证书的海量管理,并具有同其它系统交换数据的能力,这使得系统具有良好的开放性与通用性。易使用、功能强 Universal CA运行在Windows环境下,将各种复杂操作屏蔽于后台,前台界面简单,且支持请求、证书的批量操作,以及能够实现过期证书的自动撤消。CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者

38、不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不但需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。CA为电子商务服务的证书中心,是PKI(Public Key Infrastructu

39、re)体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务。它将客户的公钥与客户的名称及其它属性关联起来,为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。认证中心在密码管理方面的作用如下:自身密钥的产生、存储、备份/恢复、归档和销毁从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其它存储介质中,并以高等级的物理安全措施保护起来。密钥的销

40、毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,因此CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务。在客户证书的生成与发放过程中,除了有CA中心外,还有注册机构、审核机构和发放机构(对于有外部介质的证书)的存在。行业使用范围内的证书,其证书的审批控制,可由独立于CA中心的行业审核机构来完成。CA中心在与各机构进行安全通信时,可采用多种手段。对于使用证书机制的安全通信,各机构(通信端)的密钥产生、发放与管理维护,都可由CA中心来完成。确

41、定客户密钥生存周期,实施密钥吊销和更新管理。每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般大约为23年。密钥更新不外为以下两种情况:密钥对到期、密钥泄露后需要启用新的密钥对(证书吊销)。密钥对到期时,客户一般事先非常清楚,能够采用重新申请的方式实施更新。采用证书的公钥吊销,是经过吊销公钥证书来实现的。公钥证书的吊销来自于两个方向,一个是上级的主动吊销,另一个是下级主动申请证书的吊销。当上级CA对下级CA不能信赖时(如上级发现下级CA的私钥有泄露的可能),它能够主动停止下级CA公钥证书的合法使用。当客户发现自己的私钥泄露时,

42、也可主动申请公钥证书的吊销,防止其它客户继续使用该公钥来加密重要信息,而使非法客户有盗取机密的可能。一般而言,在电子商务实际应用中,可能会较少出现私钥泄露的情况,多数情况是由于某个客户由于组织变动而调离该单位,需要提前吊销代表企业身份的该客户的证书。提供密钥生成和分发服务。CA中心可为客户提供密钥正确生成服务,它采用集中或分布式的方式进行。在集中的情形下,CA中心可使用硬件加密服务器,为多个客户申请成批的生成密钥对,然后采用安全的信道分发给客户。也可由多个注册机构(RA)分布生成客户密钥对并分发给客户。提供密钥托管和密钥恢复服务。CA中心可根据客户的要求提供密钥托管服务,备份和管理客户的加密密

43、钥对。当客户需要时能够从密钥库中提出客户的加密密钥对,为客户恢复其加密密钥对,以解开先前加密的信息。这种情形下,CA中心的密钥管理器,采用对称加密方式对各个客户私钥进行加密,密钥加密密钥在加密后即销毁,保证了私钥存储的安全性。密钥恢复时,采用相应的密钥恢复模块进行解密,以保证客户的私钥在恢复时没有任何风险和不安全因素。同时,CA中心也应有一套备份库,避免密钥数据库的意外毁坏而无法恢复客户私钥。其它密钥生成和管理、密码运算功能。CA中心在自身密钥和客户密钥管理方面的特殊地位和作用,决定了它具有主密钥、多级密钥加密密钥等多种密钥的生成和管理功能。对于为客户提供公钥信任、管理和维护整个电子商务密码体

44、系的CA中心来讲,其密钥管理工作是一项十分复杂的任务,它涉及到CA中心自身的各个安全区域和部件、注册审核机构以及客户端的安全和密码管理策略。2.3.4.3 SSL加密SSL是一种国际标准的加密及身份认证通信协议,您用的浏览器就支持此协议。SSL(Secure Sockets Layer)最初是由美国Netscape公司研究出来的,后来成为了Internet网上安全通讯与交易的标准。SSL协议使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征:信息保密性、信息完整性、相互鉴定。2.3.4.3.

45、1 SSL(Secure Socket Layer):安全套接层协议 SSL协议是由Netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成,底层是建立在可靠的传输协议(例如:TCP)上的是SSL的记录层,用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前,能够经过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议,其它更高层协议能够建立在SSL协议上。 当前大部分的Web Server及Browser大多支持SSL的资料加密传输协定。因此,能够利用这个功能,将部分具有机密性质的网页设定在加密的传输模式,

46、如此即可避免资料在网络上传送时被其它人窃听。 SSL是利用公开密钥的加密技术(RSA)来作为用户端与主机端在传送机密资料时的加密通讯协定。当前,大部分的Web Server及Browser都广泛使用SSL 技术。 对消费者而言,SSL已经解决了大部分的问题。可是,对电子商务而言问题并没有完全解决,因为SSL只做能到资料保密,厂商无法确定是谁填下了这份资料,即使这一点做到了,还有和银行清算的问题。SSL是当前在网上购物网站中最常使用的一种安全协议,它主要的设计目的在于确保信息在网际网络上流通的安全性,让主从式结构的应用程序(如浏览器与web服务器)能够安全地进行沟通。当然,这里的安全指的是信息不

47、被伪造,不被网络上的黑客中途拦劫解毒及擅自更改。SSL的协议中结合了许多密码学的技术,其中包括:1信息加解密。2数字签名与签证技术。除此之外,在进行安全联机之前,SSL会先采取”握手”(Handshaking)的动作,以确保网络上通信的双方都能够按部就班的根据预定步骤建立起两者之间的安全通道。2.3.4.3.2 SSL能够提供以下三种安全防护:数据的机密性与完整性:主要是经过数据的加解密来实现。1服务器端的个体识别服务:利用服务器的数字证书来验证商店的资格,这是必要的手续,如此我们才能保证商店的有效性。2客户端的个体识别服务:同样是经过客户自己的数字证书来完成。但这个服务并不是必要的,可根据需

48、求来设置。以网上购物的例子来说,为了不让网络上的第三者看到我们的信用卡数据,因此必须先将数据加密之后再传送,而当数据到达对方服务器时再将数据解密,同时检查数据是否有被她人更改过,如果发现任何的错误,那么这份数据就不会被接受。3除此之外,SSL也利用数字证书的方法类确定商店的资格。因此商家如果想要提供网上交易的服务,她必须先向认证中心是、提出商店的合法证明,如营业执照,负责人等等(不同的饿认证中心所要求的文件可能不同)。检查经过后才能取得数字证书。SSL内部使用的是RSA公司所授权的公开金钥加密法,服务器必须申请属于自己的数字证书,加装到服务器中作为识别之用。如此一来,一个加装SSL的服务器便能

49、够与支持SSL的浏览器相互传送机密数据了,即使是internet也不同担心。2.3.4.3.3 SSL协议运行的基点是商家对客户信息保密的承诺。SSL协议有利于商家而不利于客户。客户的信息首先传到商家,商家阅读后再传到银行,这样,客户资料的安全性便受到威胁。商家认证客户是必要时,但整个过程中缺少了客户对商家的认证。在电子商务的开始阶段,由于参与电子商务的公司大都是一些大公司,信誉较高,这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加,对厂商的认证问题越来越突出,SSL协议的缺点完全暴露出来。SSL协议逐渐被新的SET协议所取代。当前中国开发的电子支付系统,无论是中国银行的长城卡电子支

50、付系统,还是上海长途电信局的网上支付系统,均没有采用SSL协议。主要原因就是无法保证客户资金的安全性。2.3.5 防病毒系统计算机病毒是附属在其它文件上的一种程序,能够自行复制。计算机病毒十分有害,如果没有检测和防护,用户经常不知道自己感染上病毒,直到病毒发作并产生危害。病毒中的破坏进程能够格式化硬盘、破坏分区表或占用计算机资源。病毒十分流行。事实上,当前世界上已存在超过10,000种,计算机存在病毒的比率高达35-85%,中国、香港、台湾为高发区。尽管病毒在Apple机和PC上都存在, 但在PC系统中更为广泛,这是因为MS-DOS结构使用中断和向量表,编写病毒相对容易。清除病毒十分困难。据分

51、析,对于数据丢失,病毒发作的损失在US$ -50,000,而恢复数据的代价十分昂贵甚至不可能,而且清除后病毒还可能再感染。因此, 每个用户有50%的可能感染病毒并招致损失。大的计算机网络几乎必然被病毒感染。2.3.5.1 病毒的类型2.3.5.1.1 介质病毒病毒可分为两类:文件型和引导型。文件型病毒驻留在另一个.EXE或.COM文件中,当文件执行时截取系统控制,并将自身附加到另外的文件上。引导型驻留在软盘或硬盘的引导区,在系统启动时装入内存,然后监视DOS中断并感染插在软驱中的磁盘。有两种病毒不容易被检测:隐身病毒和多态病毒。隐身病毒使用DOS中断,并不断变换方式,避开文件大小监测。多态病毒

52、当前很多,在传染时修改本身的版本,使根据模式扫描的病毒检测程序无能为力。最初,大约80%的病毒是引导型病毒。随着Internet的普及,文件型病毒变得越来越多。另外,一种新型的文件病毒感染文档和图表的病毒,被称作宏病毒,使用文字处理器和表格中的编码,是当前最多的病毒。这种病毒经过电子邮件的附件快速传染,躲过了许多只检查.EXE和.COM文件的防病毒程序。2.3.5.1.2 网络病毒网络病毒的特性 经过攻击操作系统或应用软件的已知安全漏洞来获得控制权 在本地硬盘上并不留下文件 由于其在网络上进行扫描的动作,可能会引起严重的网络负载 如果攻击是属于常规的应用,例如SQL, IIS等就可能穿过防火墙

53、 2.3.5.1.3 木马病毒木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌。根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。 2.3.5.2 病毒的检测客户端防病毒软件安装在客户计算机上,当用户启动计算机时或用户手动运行时检查硬盘或软盘。好的桌面产品使用多种检测方式,例如监视病毒的行为(如格式化硬盘)、根据已知病毒代码库比较文件、检查无法解释的文件大

54、小改变等。可是,客户端防病毒软件有一个致命弱点:只是在用户使用时周期地检测病毒,对下载的、或其它方式传输的文件则不检测,而这些文件可能带有病毒。另外,每个客户端要同时安装防病毒软件,更新、维护十分麻烦。因此,出现了网络防病毒软件,驻留在网络服务器上,运行于NetWare或Windows NT环境,对经过服务器传递的文件病毒进行检测。服务器防病毒软件比客户端防病毒软件效率提高了很多,能够集中管理病毒防范、经常扫描文件病毒,并及时更新病毒库。然而,文件服务器型防病毒软件也有一些缺点:很强的网络服务器防病毒功能,客户端则没有,对于不经过文件服务器的文件型病毒,如从Internet下载的文件和电子邮件

55、,则无法防护。其次,服务器防病毒软件不能扫描电子邮件附件上的病毒。这是因为在LAN中,电子邮件和附件被加密,只有附件在”另存为”在硬盘上时病毒扫描程序才启动,从而导致病毒扫描不及时、效率低。随着Internet的普及,越来越多的企业、大学、政府和消费者共享文件、发送信息、经过网络交谈。最重要的两种方式是经过电子邮件和FTP交换邮件和文件。伴随而来的问题是许多病毒经过文件下载和电子邮件传播,而且传播的速度十分惊人。本质上, Internet成为传播病毒的电脑空间,计算机系统管理员很少能控制网络用户下载带病毒的免费软件、共享软件或游戏。在公司内部网络上传输文件也不是没有风险,因为存在附加在非可执行

56、文件,如Word、Excel或电子邮件上的病毒。Internet上的病毒不经过文件服务器,因此服务器防病毒软件不起作用。许多网络都配置了防火墙,能够拒绝没有授权的访问或阻止可能引起问题的外部用户访问内部网,但防火墙无法防病毒。因此出现了新型的防病毒软件:病毒墙(Virus-Wall)。病毒墙驻留在Internet网关,在病毒进入系统搞破坏前进行检测并清除。2.3.5.3 防病毒建议方案由于在这次网站的建设中,服务器使用Linux操作系统。现在流行的病毒一般情况下只是针对windows操作系统中。因此,系统在针对病毒方面是相对安全的。2.3.6 网站监控与恢复系统近几年,随着Internet的普

57、及,网络上发生的攻击事件越来越普遍,一个普通人员在Internet上能够很容易的找到攻击工具,然后攻击网站。网站被篡改的事件时有发生。因此,对网站进行保护是非常必要的。网站实时监控与恢复系统是一种网站的灾难恢复技术,它的立足点是在其它的网站安全措施,如使用防火墙、加强Web服务器软件自身的安全性、清查不安全的CGI程序都失败,网页文件被黑客破坏的情况下,网站文件系统的自动恢复问题。2.3.7 SAN网络存储/备份/灾难恢复:采用当前流行的群集技术SAN技术,将存储设备从传统的以太网中隔离出来,成为独立的存储域网络。完全采用光纤连接,保证了数据传输带宽达到100MB/S。使大量的数据只是在服务器

58、和存储设备之间流动,不占用网络带宽及服务器资源。建立远程备份中心,进行远程容灾备份,确保系统的数据安全。3 业务网络安全设计3.1 网络安全设计原则l 防止来自外部的黑客攻击l 防止来自内部的恶意攻击l 网络资源访问控制l 网络传输的实时监控l 强大的安全审计l 事件分析与告警在本方案中,网络的对外出口处以及在总行和分行之间的连接都设置防火墙将是最理想的选择,外部网出口都配置防火墙,以及在总行与分行的业务网的连接处也配置防火墙,对外防止黑客入侵,对内以防止内部人员的恶意攻击或由于内部人员造成的网络安全问题。本方案中主要用到NetScreen-10和NetScreen-100,在总行与分行连接点

59、采用NetScreen-100作为防火墙,同时在重要的业务连接点采用NetScreen独特的多机备份技术用两台作为热备份,保证整个系统的网络安全。在分行采用NetScreen-10防火墙,为连接各终端以及服务器节点提供安全防护。3.2 系统的安全设计3.2.1 威胁及漏洞作为一个网络营销和管理系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前 面临的主要风险和威胁有: 非法访问:一个远程互连的网络营销和管理系统。现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者能够在任一终端利用现有的大量攻击工具发起攻击;由于整个网络经过公用网络互连同样存在链接终端进

60、行攻击的可能;另一方面 开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络经过这些接口攻击,可能造成巨大损失。窃取PIN/密钥等敏感数据: 系统当前没有使用任何的数据加密技术,因此安全的关键是对进行数据加密保护,能够使用密钥加密技术,从而避免主机中敏感数据的丢失。假冒终端/操作员: 网络中存在大量远程终端经过公网与 前置机相连,因此, 网络服务器存在大量安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。截获和篡改传输数据: 现有网络系统经过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,

61、现有的许多工具能够很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。其它安全风险:主要有病毒、系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等。3.2.2 计说明在对 网络结初步分析后我们提出以下安全措施来安全处理。图四、 网络安全防火墙保护总体示意图一般电子商务,也包括 网络中用到的通信线路涉及到:X.25、FR、DDN、ISDN、拨号等通信接口和协议,因此,最佳的方案是在网络层上采用先进的NETSCREEN网络安全技术,以有效的阻止外来的攻击和保证业务数据在公网上的安全传输,同时在应用层上提供对敏感数据加密消息进行完整性鉴别及密钥管理因此能够经过各级节点配备NE

62、TSCREEN100 来保证IP包的机密性。在业务系统中为了保护用户敏感信息防止信息被非法篡改实现对业务数据加密、身份认证等安全功能。3.3 系统的安全设计3.3.1 各业务系统的分离 现有网络上部署了多种应用,包括ERP系统、CRM系统、内部OA系统、在线销售系统、在线销售管理系统等一系列的业务系统,这些业务系统之间存在一定的联系,但又要防止侵权使用资源,特别是在线销售系统与ERP和管理系统,因此各业务系统的隔离是保障业系统安全的一个重环节。图五、各业务系统隔离方案在企业内部,各业务系统使用的主机IP地址要有严格的区分,为建立访问控制机制为核心的隔离措施提供方便。在局域网当中,经过具有第二层

63、(支持VLAN划分,VLAN为虚拟局域网)或三层交换的交换机(支持VLAN划分及网内路由),划分业务系统在一个VLAN范围内,OA系统在另的一个VLAN范围内,各VLAN之间不直接交换数据,在必要的情况下,采取一定技术实现部分数据交换。在各个业务内能够象总部一样,经过VLAN的划分,划分业务VLAN和OA VLAN,隔离办公网与业务网。VLAN技术是近阶段较流行的局域网隔离技术,在一套硬件网络环境内运行许多个(视交换机支持数据)完全独立、互不通信的局域网,看起来就象两个完全分隔开的局域网系统。使用VLAN划分开之后,当网络信息经过路由器后,MAC地址信息都会被路由器的MAC地址所替代,VLAN的隔离作用消失。就是说总行内和分行内划分出的业务VLAN和OA VLAN,在局域网内根据路由策略,及对对MAC地址的判别,可使隔离的业务VLAN和OA VLAN按需实现通迅。远程通讯是经过路由器的同一个广域网端口,经过广域网传输后的业务网和OA网是无法经过VLAN技术加以隔离的。如不加以控制,总行的业务网和OA网虽然不能互相访问,但总行的业务网能够和分行的OA网