天融信网络信息安全解决方案

《天融信网络信息安全解决方案》由会员分享，可在线阅读，更多相关《天融信网络信息安全解决方案（8页珍藏版）》请在装配图网上搜索。

1、计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑 防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与 安全管理相结合。以该思想为出发点，北京天融信公司提出了网络信息安全解决方 案。、网络信息安全系统设计原则 11满足Interne t分级管理需求 12需求、风险、代价平衡的原则 13综合性、整体性原则 14可用性原则 15分步实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考 虑技术难度及经费等因素，设计时应遵循如下思想：(1) 大幅度地提高系统的安全性和保密性；(2) 保持网络原有的性能特点，即对网络的协议和传输具有

2、很好的透明性；(3) 易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；(5) 安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；(6) 安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监 督。基于上述思想，网络信息安全系统应遵循如下设计原则：1. 1满足因特网的分级管理需求根据Interne t网络规模大、用户众多的特点，对nternet/Intranet信息安全实施分 级管理的解决方案，将对它的控制点分为三级实施安全管理。第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监 控；内

3、部网传输数据的备份与稽查。第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资 源的安全保护。1. 2需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究 （包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承 担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全 策略。1. 3综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行 政法律手段、各种管理制度

4、（人员审查、工作流程、维护保障制度等）以及专业措 施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括 个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统 综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应 遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。1. 4可用性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安 全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行， 如不采用或少采用极大地降

5、低运行速度的密码算法。1. 5分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆 弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息 安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本 需求，亦可节省费用开支。二、网络信息安全系统设计步骤网络安全需求分析确立合理的目标基线和安全策略明确准备付出的代价制定可行的技术方案工程实施方案（产品的选购与定制）制定配套的法规、条例和管理办法本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安 全强度的网络信息安全解决方案。三、网络安全需求 确

6、切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来 讲，网络信息系统需要解决如下安全问题：局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现在连接Interne t时，如何在网络层实现安全性应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的安全保密性加密系统如何布置，包括建立证书管理中心、应用系统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安 全检测、攻击监控、加密通信、认证、隐藏网络内部信息（如NAT）等，具体参见北 京天融信公司。四、网

7、络安全层次及安全措施 4.1链路安全 4.2网络安全 4.3信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。信息安全信息传输 安全（动 态安全）数据加密数据完整性 鉴别防抵赖信息存储 安全（静 态安全）数据库安全终端安全信息的防 泄密信息内容审计用户鉴别授权（CA）网络安全访问控制 （防火墙）网络安全 检测入侵检 测（监 控）IPSEC （IP安 全）审计分析链路安全链路加密41链路安全链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一 起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行 路由

8、交换。因此，在加密后的数据不需要进行路由交换的情况下，如）DN直通专线用 户就可以选择路由加密设备。一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异 步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码 机则可用于许多专线环境。4. 2网络安全网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑 信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立 出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络 的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网 （信任网络）

9、与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的 隔离与访问控制，保证网络系统及网络服务的可用性。目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代 理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包 过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端号等对数据 流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用 程序透明性。代理型防火墙作用在应用层，一般可以对多种应用协议进行代理，并 对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协 议都需提供相应的代理程序，并且基于代理的防火

10、墙常常会使网络性能明显下降。 应指出的是，在网络安全问题日益突出的今天防火墙技术发展迅速，目前一些领 先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有： VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良 好的开端，但它只能解决40%-60%的安全问题，其余的安全问题仍有待解决。这些 问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错 误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息 系统安全的挑战。信息系统的安全应该是一个动态的发展过程

11、，应该是一种检测一一监视一一安全响 应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正 是实现这一目标的必不可少的环节。网络安全检测是对网络进行风险评估的重要措施，通过使用网络安全性分析系统， 可以及时发现网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与不安全 配置，建议补救措施和安全策略，达到增强网络安全性的目的。入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的 网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记 录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络 违规模式和未授权的网络访问时，入

12、侵检测系统能够根据系统安全策略做出反应， 包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。另外，使用IP信道加密技术（IPSEC）也可以在两个网络结点之间建立透明的安全加 密信道。其中利用IP认证头（IPAH）可以提供认证与数据完整性机制。利用IP封装 净载（IP ESP）可以实现通信内容的保密。IP信道加密技术的优点是对应用透明， 可以提供主机到主机的安全服务，并通过建立安全的IP隧道实现虚拟专网即VPN。目 前基于IPSEC的安全产品主要有网络加密机，另外，有些防火墙也提供相同功能。4. 3信息安全（应用与数据安全）在这里，我们把信息安全定义为应用层与数据安全。在这一

13、层次上，主要是应用密完整性等网络上信息的码技术解决用户身份鉴别、用户权限控制、数据的机密性、 安全问题。由于网络的开放性和资源的共享，使得网络上的信息（无论是动态的还 是静态的）的使用和修改都是自由的，如非法修改、越权使用、改变信息的流向等。 这也必然威胁到信息的可控性、可用性、保密性、完整性等安全属性。为了保证信 息的安全，我们必须采取有效的技术措施。这些措施主要从以下几个方面解决信息 的安全问题，即：用户身份鉴别、用户权限控制、信息的传输安全、信息的存储安 全以及对信息内容的审计。北京天融信公司为解决这一层次的安全问题而提供的相关产品有： w Interne t/Intranet加密系统：

14、它为应用程序提供身份鉴别、数据加密、数 字签名和自动密钥分发等安全功能。 CA系统：建立证书中心（CA）即公钥密码证书管理中心，是公钥密码技术得以 大规模应用的前提条件。公钥密码算法在密钥自动管理、数字签名、身份识别 等方面是传统对称密码算法所不可代替的一项关键技术。尤其在当前迅猛发展 的电子商务中，数字签名是电子商务安全的核心部分。公钥密码算法用于数字 签名时须借助可信的第三方对签名者的公开密钥提供担保，这个可信的第三方 就是CA。因此，建立CA是开展电子商务的先决条件。另外，CA还可为各种基于 公钥密码算法建立的网络安全系统提供认证服务。端端加密机：这类密码机只对用户数据中的数据字段部分加

15、密，控制字段部分 则不加密，用户数据加密后通过网络路由交换到达目的地后才进行解密。用户 数据在网络的各个交换节点中传输时始终处于加密状态，有效地防止了用户信 息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于 X.25分组交换网等端到端通信环境，为X.25网用户提供全程加密服务，它支持 专线及电话拨号两种入网方式。信息稽查系统：是针对信息内容进行审计的安全管理手段，该系统采用先进的 状态检查技术，以透明方式实时对进出内部网络的电子邮件和传输文件等进行 数据备份，并可根据用户需求对通信内容进行审计，并对压缩的文件进行解压 还原，从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵

16、入和外部的 非法攻击提供有效的技术手段。办公自动化文电加密系统：文电办公自动化安全保密系统是用于文件和电子邮 件传送、存储以及访问控制的应用系统，是应用层加密系统。系统采用对称与 非对称算法相结合的体系，为适应国家有关规定，算法可根据用户的安全强度 需求不同进行定制；而且具有操作简单、使用方便的特点。可广泛应用于企业 内部网、局域网、广域网以及利用Internet开展的诸多应用中。安全数据库系统：安全数据库系统是一套完全自主版权实用化的数据库软件产品，系统主要的安全机制包括：管理员、审计员、安全员三权分立的管理机 制；对用户和数据的分级管理机制；同时提供可靠的故障恢复机制。该系统是客户/服务器

17、体系机构的分布式多媒体数据库管理系统，支持多台服务器并行协同工作，提供良好的分布式数据库环境，确保分布数据的完整性；支持存储过程和远程数据访问；系统性能与功能强度，相当于0RACLEV7,并可与ORACLE 等流行数据库互联互访。数据库安全保密系统：数据库安全保密系统是针对目前已选用的通用数据库开 发的安全措施，是在目前流行的通用数据库（如）racle）基础上增加控件，以 实现对数据库的访问/存取控制及加密控制等。五、网络信息安全解决方案选型指导 5.1链路安全解决方案 5.2网络安全解决方案 5.3信息安全解决方案5. 1链路安全解决方案用户需求：链路加密，防信息泄漏，对用户透明，设备自身安

18、全管理解决方案：异步线路密码机（适用于电话网）、同步线路密码机）适用于DDN专线、 X.25专线、卫星线路）5. 2网络安全解决方案1. 基本防护体系（包过滤防火墙+ NAT +计费）用户需求：全部或部分满足以下各项解决内外网络边界安全，防止外部攻击，保护内部网络解决内部网安全问题，隔离内部不同网段，建立VLAN根据IP地址、协议类型、端进行过滤内外网络采用两套IP地址，需要网络地址转换NAT功能支持安全服务器网络SSN通过IP地址与MAC地址对应防止IP欺骗基于IP地址计费基于IP地址的流量统计与限制基于IP地址的黑白名单。防火墙运行在安全操作系统之上防火墙为独立硬件防火墙无IP地址解决方案

19、：采用网络卫士防火墙NG FW-20002. 标准防护体系（包过滤+ NAT +计费+代理+ VPN）用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项提供应用代理服务，隔离内外网络用户身份鉴别权限控制基于用户计费基于用户的流量统计与控制基于WEB的安全管理支持VPN及其管理支持透明接入具有自身保护能力，防范对防火墙的常见攻击解决方案：（1）选用网络卫士防火墙NG FW-3000（2）防火墙基本配置+网络加密机（IP协议加密机）3. 强化防护体系（包过滤+ NAT +计费+代理+ VPN +网络安全检测+监控）用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项网络安全性检测（包括服务器、防火墙、主机及其它TCP/IP相关设备）操作系统安全性检测网络监控与入侵检测解决方案：选用网络卫士防火墙NG FW3000 +网络安全分析系统+网络监控器