青海网络系统是以数据通信为基础的计算机综合信息网,实现了信息通信和资源共享,面向社会提供网络服务和信息服务。但是,随着企业电子商务和个人网络应用的发展,作为一个公共网络平台,青海IP网面临着如何保护企业和用户秘密,维护企业和用户一系列合法权益等一系列重要而棘手的问题。
一、 青海省IP网络系统安全问题分析 1. 青海IP网络系统安全现状与需求分析 在青海IP网络业务系统中,大多采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX操作系统。众所周知,TCP/IP和UNIX都是以开放性著称的,系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面,虽然对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑,但只实现了基本安全控制功能,还存在一些这样那样的漏洞。 2. 网络关键资源定位 由于系统本身的复杂性以及应用中安全的相对性,一个有效的安全解决方案应该首先满足对关键的资源实现重点保护的需要,而在此之前,就必须对关键资源进行定位。青海IP网络中需要提供安全保护的关键资源有:网络资源,包括网络系统的非法进入和传输数据的非法窃取和盗用;数据资源,指业务系统的数据结构、业务原始数据、主机与网络系统的配置维护数据需要保护;文件系统,指主机系统文件、网络系统配置文件和业务系统软件;合法用户,指在整个系统中具有合法身份的用户的权限不能被盗用,或者合法的权限被任意的放大或缩小甚至删除。
二、 网络层安全解决方案 1. 发散性的技术方案设计思路 网络安全是一个循序渐进的过程,不可能一蹴而就。所以,在冠群金辰提供的解决方案中首先对关键资源进行了定位,然后以关键资源为基点,按照发散性的思路进行了安全分析和保护,并将方案的目的确定是为青海IP网络系统建立一个统一规范的安全系统,并体现青海IP网络系统本身所具备的具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。 2. 网络层安全解决方案 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可连续可靠正常地运行,网络服务不中断。针对网络层安全的考虑主要是基于以下几点: 控制不同的访问者对网络和设备的访问;划分并隔离不同安全域; 防止内部访问者对无权访问区域的访问和误操作。 3. 网络层方案配置 在青海IP网络系统核心网段利用一台专用的安全工作站安装冠群金辰公司的eID(eTrust Intrusion Detection)产品,将工作站直接联接到主干交换机的监控端口(SPAN Port),用以监控局域网内各网段间的数据包。 由于eID产品支持在一台工作站上通过安装多块网卡的方式获取多个网段的数据,所以可在关键网段内配置含多个网卡并分别联接到多个子网的入侵检测(eTrust Intrusion Detection)工作站进行相应的监测。eID还具有安全事件取证系统,能够对网络中发生的所有事件进行忠实地记录和取证,即使黑客在主机上抹去了入侵的纪录,eID也可以提供详细的入侵过程纪录。
三 、主机、操作系统、数据库安全方案 本部分主要解决对主机/操作系统/数据库访问时的身份认证和访问控制,以及对各种系统安全漏洞的检测和病毒的防护。 1.主机、操作系、数据库安全问题分析及配置方案 青海IP网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。其面临的攻击主要是针对网络设备和服务器发起的攻击。因此,采用严格有效的访问控制机制实现对人员的授权访问,对防止非授权或越权的操作和访问,防止发生不可预测的、潜在破坏性的侵入能够起到立竿见影的作用。为此,冠群金辰在青海IP网络中的每一个需要保护的关键服务器上都部署eTrust Access Control产品进行防范,在中央安全管理平台上部署中央管理控制台,对全部的eTrust Access Control进行中央管理。 具体来说,eTrust Access Control可以通过如下的途径实现更细粒度的权限管理和访问控制:一是对核心的应用主机、数据库服务器实施安全保护。eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层;通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。二是可以在不改变系统执行文件,不修改内核的情况下变成操作系统的有效的一部分,可以在不重写Unix和透明的情况下实现安全控制功能,这主要利用专利型技术DSX(Dynamic Security Extensions,动态安全扩展)实现该功能。三是跨平台的支持。目前青海IP网大部分采用Solaris平台,但是eTrust Access Control是一个跨平台的访问控制软件,它支持AIX、HP-UX、Solaris、NCR MPRAS、Siemens SINIX、SGI IRIX、Digital UNIX、SCO Unixware、Olivetti Unix、Sequent以及RedHat Linux,同时支持Windows NT。所以,eTrust Access Control完全支持青海IP网的未来的业务扩展。 实际上,eTrust Access Control将超级用户作一般用户看待,即超级用户无法透过eTrust Access Control的安全屏障去访问未经授权的文件。这样既可以保护一个单位的敏感数据(如财务、人事等),也可以防止由于超级用户误操作而给系统带来的损失。 2.系统、数据库漏洞扫描 系统和数据库的漏洞扫描对青海IP网这样的大型网络而言,具有重要的意义。冠群金辰在方案中充分利用已有的扫描工具完成这方面的工作,免去了专门购买其他的系统/数据库漏洞扫描工具。另外,冠群金辰还向青海IP提出了采用服务商专门的安全审计服务的建议,因为他们认为这样将会达到更加理想的效果。这主要是基于这样的考虑,一是用户需要对系统漏洞有充分的了解后,才能使这些扫描工具真正发挥作用;二是即使扫描出漏洞,用户自己也很难提出对应的解决方案;三是缺乏专业的技术支持将会降低这些工具的利用率。 3. 防病毒 对于青海IP网络来说,一个完整的立体的病毒防护机制是十分必要的,公司网络中病毒的安全防护,是要建立企业整体防病毒体系,对从INTERNET/EXTRANET入口到网络内的服务器和所有计算机设备采取全面病毒防护,并且需要在网络中心设置病毒防护管理中心,可以使反病毒工作按照不同部门或地域的实际情况,分组设置反病毒管理工作。冠群金辰提供了KILL系列网络防病毒软件,通过KILL防病毒管理中心将局域网内所有服务器/工作站创建在同一防病毒管理域内,选定一台已安装了KILL的服务器作为KILL防病毒管理域的主服务器,对整个KILL域进行防病毒管理。通过KILL域管理器,制定统一的防毒策略,设定域扫描作业,安排系统自动查、杀病毒。 另外,冠群金辰还为青海IP设置了网络自动下载、更新和分发功能,这样,在局域网中选定一台装有KILL并能连接Internet的NT服务器作为自动下载服务器,定时自动从KILL的FTP站点下载最新的KILL的病毒特征文件和搜索引擎,然后自动分发到网络中其它服务器和联网客户机上,保证防毒软件定期得到最新反病毒文件。
四. 网络安全系统拓展和业务系统的整合 当业务发展到一定规模,需要在骨干网络对网络活动进行入侵检测和网络监控,这就要求使系统具有拓展性。为此,冠群金辰提供了具有业界先进的千兆网络入侵检测和负载均衡解决方案,该方案得益于冠群金辰与其战略合作伙伴Top Layer 网络公司在IDS领域的通力合作。Top Layer 网络公司是目前全球为数不多的专门致力于提供高速网络安全解决方案的供应商之一,这样,集成后的冠群金辰入侵检测系统性能得到极大的提高,可实现在高带宽、高负载网络环境下的实时入侵检测。
[1] [2]
(出处:http://www.sheup.com)
[1] [2]