14.1.4网络安全平台

1.网络安全概述

安全问题一直是网络研究和应用的热点问题，特别是近年来，由于Intranet网络的高速发展，网络安全已成为网络用户关注的焦点之一。由于来自“黑客”、竞争对手、内部不满分子和各种灾害等诸多威胁，因此，从建网开始就要仔细考虑网络安全解决方案和安全防范措施。

    网络安全主要包括以下几方面。

    (1)防火墙技术，防止网络外部“敌人”的侵犯。目前，常用的防火墙技术有分组过滤、代理服务器和应用网关。

    (2)数据加密技术，防止“敌人”从通信信道窃取信息。目前，常用的加密技术主要有对称加密算法(如DES )和非对称加密算法(如RSA ) o

    (3)入侵监测和漏洞扫描技术。

    (4)物理隔离技术，如网闸。

    (5)访问限制，主要方法有用户口令、密码、访问权限设置等。

    2.网络系统安全体系构成

    信息总是依托于信息系统存在的，表现为信息系统所存储、处理和交换的数据单元。完整的信息系统应当包括信息采集系统、信息存储系统、信息交换系统、信息处理系统和信息应用系统。作为一套完整的信息系统，包括了基础设施、计算机网络、计算机操作系统、基本通用应用平台、存储系统等诸多方面。因此信息系统安全保障体系也就应当涉及信息系统的各个组成部分，同时考虑到信息安全可持续的特性，还需要运行过程中的安全保障问题。根据信息安全工程高级保障体系框架，我们可以把安全体系分为:

实体安全、平台安全、数据安全、通信安全、应用安全、运行安全和管理安全其他层次。

    1)实体安全

    实体安全是信息系统安全的基础，是信息系统安全的最基本的保障。

    机房安全:机房是信息系统主要设备的物理存放场所，机房安全主要是保证机房场地的安全，主要包括机房环境、温度、湿度的控制，电磁、噪声、静电、震动和灰尘的防护，同时要有防火灾、防雷电以及门禁等安全措施。

    2)设施安全

    主要是考虑各种硬件设备的可靠性问题，所有的设备应当具备相应的信息系统工程安全级别，同时要保证通信线路物理上的安全性。包括:

    (1)动力。动力是信息系统运行的基本保障，要保证电源/空调等动力系统的可靠运行，并且要提供事故的预防措施。

    (2)灾难预防与恢复。对灾难的出现应当有预防和紧急恢复的措施。

    3)平台安全

平台安全泛指操作系统和通用基础服务安全，主要用于防范黑客攻击手段，目前市场上大多数安全产品均限于解决平台安全问题，包括以下内容:

    (1)操作系统漏洞检测与修复，包括UNIX系统、Windows系统、网络协议。

    (2)网络基础设施漏洞检测与修复，包括路由器、交换机、防火墙等。

    (3)通用基础应用程序漏洞检测与修复，包括数据库、Weblftp/mai1/DNS/其他各种

系统守护进程。

    平台安全实施需要用到市场上常见的网络安全产品，主要包括VPN、物理隔离系统(网闸)、防火墙、入侵监测和漏洞扫描系统、网络防病毒系统、信息防篡改系统、安全审计等系统。对于重要的信息系统应进行整体网络系统平台安全综合测试，模拟入侵与安全优化。

    4)数据安全

    为防止数据丢失、崩溃和被非法访问，为保障数据安全提供如下实施内容:介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。

    5)通信安全

    为防止系统之间通信的安全脆弱性威胁，为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。

    6)应用安全

    应用安全是保障相关业务在计算机网络系统上安全运行，应用安全脆弱性是可能给信息化系统带来最大损失的致命威胁，以业务运行实际面临的威胁为依据，为应用安全提供的保证措施有:业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。测试实施后，监理将有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。

    7)运行安全

    运行安全是保障系统安全性的稳定，在较长时间内将计算机网络系统的安全性控制在一定范围内。为运行安全提供的实施措施有:应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞及通报、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。

    运行安全是一项长期的服务，包含在网络安全系统工程的售后服务包内。

    8)管理安全

管理安全层次是对以上各个层次的安全性提供管理机制，以用户单位网络系统的特点、实际条件和管理要求为依据，利用各种安全管理机制，为用户综合控制风险、降低

损失和消耗，促进安全生产，提高综合效益。管理安全设置的机制有:人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理和机房管理。主要体现在身份验证、加密、密钥管理、授权等方面。

    安全管理的功能主要包括:

    (1)标识重要的网络资源(包括系统、文件和其他实体);

    (2)确定重要的网络资源和用户集之间的映射关系;

    (3)监视对重要网络资源的访问:

    (4)记录对重要网络资源的非法访问;

    (5)信息加密管理。

    通过管理安全实施，为以上各个方面建立安全策略，形成安全制度，并通过培训和促进措施，保障各项管理制度落到实处。

    3.  VPN

    VPN (Virtual Private Network，虚拟专用网)指在一个共享基千网上采用与普通专用网相同的策略连接用户，如图14.11所示。共享基干网可以是IP、帧中继、ATM主干

网或Internet。

1) VPN的类型

VPN主要有以下三种类型。

    (1)访问型VPN (Access VPN)

    像其他专用网一样，在具有相同规则的共享设施上提供对公司内部或外部网的远程访问，用户利用它可随时随地访问公司的资源。访问型VPN包含模拟型、数字型、ISDN,数字用户线路(DSL)、移动IP和电缆技术，用于安全地连接移动用户、远程通信或分支机构。

    (2) Intranet型VPN

    在专用连接的共享设施上连接公司总部、远程机构和分支机构的VPN。企业与传统专用网一样部署，同样也关注VPN的安全性、服务质量(QoS)、可管理性和可靠性。

    ( 3) Extranet型VPN

    在专用连接的共享设施上连接用户、提供者、合伙人或公司内部网感兴趣的通信VPN。企业与传统专用网一样部署，同样也关注VPN的安全性、服务质量、可管理性及可靠性。

    2)组建VPN技术机制

    组建VPN专用网络不是一个新概念，现在有许多技术能够支持这类应用，包括如下技术机制。

    (1)不透明包传输

    在VPN上传输的数据可能与IP骨干网上的毫无关系，一方面因为这些数据是多协议的，另一方面用户使用的一般是私有IP地址段的地址。

    (2)数据安全性

    VPN的一个重要目标是数据安全，不同VPN有不同的安全模型，一种是通过防火墙等客户端设备保障数据安全，通过建立VPN隧道实现VPN。另一种情况是利用骨干网络供应商提供的安全机制，防火墙功能和保护包传输的安全是业务提供商的责任，不同应用场合可能需要不同的安全等级。如果VPN的数据交易只发生在一个业务提供商的IP骨干网中，那么就不大需要太高的安全机制(如IPSec)来提供的骨干网节点的隧道安全，如果VPN数据需要跨越多个IP骨干网络，启用高安全机制就很有必要了。既然用户认为IP传输网(特别是Internet)是不安全的，即使单个业务提供商也可以为用户数据交易建立高水平安全机制，问题的理解取决于VPN的具体实现。

    (3) QoS保证

除了保证通信的专有性，建立在物理层或者链路层上的专用网络技术也提供不同类型的QoS保证，租用线和拨号线都能够提供带宽和时延等服务质量保证，ATM和帧中继的专用连接也能提供类似的保证，IP VPN的QoS保证主要依赖于基础IP骨干网，随着技术的发展，VPN框架也必须提供这样的手段。

    (4)隧道机制

    目前市场上有多种IP隧道机制，如TCP/IP, GRE, L2TP, IPSec, MPLS。虽然有些协议没有被视为隧道协议，但是它实际上做的也是建立隧道的事情，都是从封装包的地址域提取转发信息，允许不透明帧作为包载荷通过IP网络传输。

    然而要注意的是，MPLS和其他隧道协议有所不同，它是一种专门的链路层协议，MPLS只能在MPLS网络范围内应用，而IP可以伸展到任何可以到达的地方，基于MPLS隧道建立的VPN机制从定义上就不能伸展到MPLS网络之外。可是MPLS可以横跨许多不同的链路层技术，因此MPLS IP是目前较为流行的一种IP VPN技术。

    4.数字证书系统

数字证书系统提供公钥/私钥的生成、用户申请、申请审核、证书签发、证书吊销、证书验证、证书查找、证书更新、密钥管理、证书包装等各项功能。数字证书系统一般应遵循ITU-T X.509标准建设，采用国际上广泛采用的标准协议，支持现行的SS亡和未来基于SET的标准。采用通用技术标准的不同数字证书系统应能互相兼容(见表14-4)。

基于PKI CA体系的用户管理是当今的主流趋势。首先，PKI CA体系利用公钥机制可以确保用户身份的惟一性。PKI CA体系采用非对称密钥体系，通过一个证书签发中心(CA)为每个用户和服务器(如Web服务器等)颁发一个证书，之后用户和服务器、用户和用户之间通过证书相互验证对方的合法性，其标准是能否用CA中心的公钥对个人证书和服务器证书进行解密，而CA中心的公钥存在于公开的CA根证书里。这个过程对用户是透明的，而且是与具体应用无关的，因此可以满足把用户管理和具体应用分离的需求。

其次，PKI CA体系采用LDAP目录技术管理用户，有助于海量用户的管理。LDAP ( Lightweight Directory Access Protocol，轻量目录访问协议)是目录服务在TCP/IP上的实现(RFC 1777 V2版和RFC 2251 V3版)o LDAP是对X.500的目录协议的移植，简化了X.500实现方法，所以称为轻量级的目录服务。

    在LDAP的协议之中，很像硬盘目录结构或倒过来的树状结构。LDAP的根就是全世界，第一级是属于国别(countries)性质的层级，之后可能会有公司(organization )的层级，接着是部门(organizational unit)，再后来为个人，每个人都会有所谓的区别名( distinguished name， dn ) 。

    通过这种标准化的目录服务，PKI CA体系可以管理多达百万级的用户，因此是需要管理大量用户时的最佳选择。

    数字安全证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥)，用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数质因数分解的困难性，加密和解密用的是两个不同的密钥。

    用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点:

    (1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认;

    (2)保证信息自签发后到收到为止未曾做过任何修改，签发的文件是真实文件。