1、孫建偉北京理工大學軟件學院網絡信息系統安全技術體系與安全防護系統解決方案內容概要要局域網系系統概述述信息安全全體系結結構網絡信息息系統安安全需求求構建網絡絡系統安安全的相相關技術術及產品品典型企業業網絡安安全解決決方案小結局域網系系統概述述組網技術術交換式以以太網通過路由由器外接接Internet局域網之之間可以以通過VPN技技術互聯聯功能內部網絡絡應用共共享共享Internet接入對外提供供的服務務,Web, Email等局域網系系統概述述典型的例例子校園網企業網政務網行業專網網電信、金金融、鐵鐵路、公公安等信息安全全體系結結構20世紀紀80年年代中期期,基于于計算機機保密模模型(BellL

2、apadula模型)的基礎礎上的“可信計算算機系統統安全評評價準則則”(TCSEC)20世紀紀90年年代初，英、法法、德、荷四國國針對TCSEC準則則只考慮慮保密性性的局限限，聯合合提出了了包括保保密性、完整性性、可用用性概念念的“信息技術術安全評評價準則則”(ITSEC)20世紀紀90年年代末六六國七方方(美國國國家安安全局和和國家技技術標準準研究所所、加、英、法法、德、荷)共共同提出出了“信息技術術安全評評價通用用準則”(CCfor ITSEC)CC標準準綜合了了國際上上已有的的評測準準則和技技術標準準的精華華，給出出了框架架和原則則要求。信息安全全體系結結構CC標準準適用于于信息系系統的

3、安安全性設設計安全操作作系統安全數據據庫安全Web應用用網絡設備備自身安安全一般C/S應用用系統網絡信息息系統安安全CC標準準適用于于信息系系統安全全性設計計，并不不針對網網絡信息息系統的的安全需需求：統一的身身份管理理與運維維安全管管控網絡攻擊擊的檢測測與防護護網絡安全全脆弱性性分析、風險評評估信息的安安全傳輸輸網絡安全全域劃分分與網絡絡隔離信息安全全體系結結構網絡信息息系統的的安全體體系架構構設計架構復雜雜，安全全架構與與網絡信信息系統統架構交交叉融合合架構可裁裁剪、可可擴展，根據安安全需求求和信息息系統自自身架構構部署運行時物物理安全全運維安全全管控網絡攻擊擊的檢測測與防護護網絡安全全脆

4、弱性性分析、風險評評估信息的安安全傳輸輸網絡安全全域劃分分與網絡絡隔離網絡信息息系統的的安全需需求物理安全全需求重要信息息可能會會通過電電磁輻射射或線路路干擾而而被泄漏漏，因此此需要對對存放機機密信息息的機房房進行必必要的設設計機房設計計構建屏蔽蔽室、采采用輻射射干擾機機等，以以防止電電磁輻射射泄漏機機密信息息。此此外，還可對對重要的的設備和和系統進進行備份份。網絡信息息系統的的安全需需求訪問控制制的運維維管控統一的身身份管理理統一的認認證管理理集中的授授權管理理集中的訪訪問控制制集中的運運維審計計網絡信息息系統的的安全需需求加密傳輸輸是網絡絡安全的的重要手手段之一一。信息息的泄漏漏很多都都是

5、在鏈鏈路上被被搭線竊竊取的，數據也也可能因因為在鏈鏈路上被被截獲、被篡改改后傳輸輸給對方方，造成成數據的的真實性性、完整整性得不不到保證證。完整性機密性信道的認認證性與與不可否否認性網絡信息息系統的的安全需需求網絡攻擊擊防護體體系網絡內部部或外部部發起的的網絡攻攻擊檢測測網絡攻擊擊抑制、阻斷攻擊事件件的統一一管理基于P2DR防防護模型型的防御御體系IDS、IPS防火墻安全事件件、安全全策略管管理網絡信息息系統的的安全需需求安全風險險評估系系統需求求網絡系統統和操作作系統存存在安全全漏洞(如安全全配置不不嚴密等等)等是是使黑客客等入侵侵者的攻攻擊屢屢屢得手的的重要因因素。入入侵者通通常都是是通過

6、一一些程序序來探測測網絡中中系統存存在的一一些安全全漏洞，然后通通過發現現的安全全漏洞，采取相相應的技技術進行行攻擊。信息系統統風險評評估網絡安全全掃描系系統對目標網網絡中的的工作站站、服務務器、數數據庫等等各種系系統以及及路由器器、交換換機、防防火墻等等網絡設設備可能能存在的的安全漏漏洞進行行逐項檢檢查網絡信息息系統的的安全需需求系統病毒毒防護病毒的危危害性極極大并且且傳播極極為迅速速，必須須配備從從單機到到服務器器的整套套防病毒毒軟件，實現全全網的病病毒安全全防護。必須配備備從服務務器到單單機的整整套防病病毒軟件件，防止止病毒入入侵主機機并擴散散到全網網，實現現全網的的病毒安安全防護護，以

7、確確保整個個單位的的業務數數據不受受到病毒毒的破壞壞，日常常工作不不受病毒毒的侵擾擾。系統補丁丁的統一一管理網絡安全全技術與與產品解決網絡絡信息安安全問題題的主要要途徑內控：建建立集中中的身份份管理，實現統統一訪問問控制和和審計，實現CC標準準在網絡絡空間的的擴展實實現靜態防護護：適用用VPN、網絡絡隔離、防火墻墻等技術術實現網網絡安全全架構事前的機機制：通通過漏洞洞掃描，發現系系統脆弱弱性并采采取系統統加固措措施動態防護護架構：建立網網絡攻擊擊檢測防防護體系系信息安全全保護: 用SSL/SSH實現網網路傳輸輸加密， 電子子信封等等技術實實現數據據機密性性、完整整性、認認證性保保護網絡安全全技

8、術與與產品相關的網網絡安全全技術產產品PKI/CA，公共數數字證書書服務體體系VPN，虛擬專專用網IDM，聯合身身份管理理、認證證系統ITAudit，IT系統統審計產產品Firewall，防防火墻IDS，SOC，入侵侵檢測系系統，安安全事件件管理平平臺網絡、系系統掃描描器文件加密密系統遠程桌面面系統網絡安全全技術與與產品PKI/CA，公共數數字證書書服務體體系以密碼理理論為基基礎統一的證證書頒發發管理機機構CA網絡系統統內通信信主體持持有自己己的合法法證書證書用來來在作身身份認證證、數據據加密、數據簽簽名，實實現數據據機密性性、完整整性、不不可否認認性的保保護通過在網網絡系統統部署PKI，可實

9、現現統一的的身份管管理和通通信安全全保護網絡安全全技術與與產品VPN，虛擬專專用網基礎：身身份認證證、密碼碼理論功能：通通過認證證、加密密、數據據封裝技技術實現現公網上上傳輸私私網機密密數據應用：跨跨區域建建設大型型企業網網、專網網，實現現遠程安安全接入入部署模式式：MPLSVPN，IPSec，SSL，SSH網絡安全全技術與與產品IDM，聯合身身份管理理、認證證系統聯合身份份管理的的必要性性基礎：PKI證證書服務務,集集中身份份認證服服務，集集中接入入管理，集中審審計（，account,authorization,authentication,audit）特點：實實現體系系龐大，實現復復雜，帶

10、帶來網絡絡運營維維護模式式的根本本變化網絡安全全技術與與產品ITAudit，IT系統統審計產產品必要性：審計是是一種事事后機制制，作為為安全事事故分析析、責任任追究或或免責的的手段技術基礎礎：網絡絡數據還還原、事事件收集集、分析析（人工工智能）產品分類類：日志收集集與管理理系統網絡審計計網絡安全全技術與與產品Firewall，防防火墻實質：部部署于網網絡邊界界，執行行安全規規則控制制進出網網絡的數數據。技術基礎礎：包過濾技技術應用網關關技術狀態檢測測其他功能能、網關、負載均均衡網絡安全全技術與與產品IDS，SOC，入侵侵檢測系系統，安安全事件件管理平平臺功能：檢檢測、發發現、評評估、管管理網絡

11、絡攻擊事事件，與與其他網網絡安全全設備，如防火火墻、IPS、掃描器器，構成成網絡安安全防御御體系技術基礎礎：數據據收集、攻擊模模式識別別、事件件關聯分分析類類型：、的的數據來來源：IDS、防火墻墻、掃描描器等，執行安安全事件件分析管管理網絡安全全技術與與產品網絡、系系統掃描描器功能：發發現網絡絡上存活活主機、開啟的的應用服服務、存存在的系系統漏洞洞、系統統脆弱性性（如：口令）、掛馬馬網站等等技術基礎礎：協議議分析、滲透性性測試負面效果果：可作作為網絡絡攻擊平平臺網絡安全全技術與與產品其它安全全設備上網行為為管理網絡行為為分析防水墻網閘設備備網絡安全全技術與與產品其它安全全設備文件加密密系統：用

12、電子子信封技技術桌面發布布系統：將桌面面應用發發布為遠遠程服務務避免客戶戶端保存存數據便于監管管、審計計有利于企企業知識識產權保保護代表性產產品：CITRIX典型企業業網絡安安全解決決方案問題：對對于已經經建設運運行的網網絡信息息系統，如何構構建系統統安全防防護解決決方案？系統的安安全威脅脅是什么么？確立系統統安全目目標安全技術術體系的的構建安全策略略的設置置系統的維維護典型企業業網絡安安全解決決方案分析系統統的安全全威脅邊界網絡絡設備安安全威脅脅(1)入入侵者者通過控控制邊界界網絡設設備進一一步了解解網絡拓拓撲結構構，利用用網絡滲滲透搜集集信息，為擴大大網絡入入侵范圍圍奠定基基礎。比比如，入

13、入侵者可可以利用用這些網網絡設備備的系統統(Cisco的IOS)漏漏洞或者者配置漏漏洞，實實現對其其控制。(2)通通過各各種手段段對網絡絡設備實實施拒絕絕服務攻攻擊，使使網絡設設備癱瘓瘓，從而而造成網網絡通信信的癱瘓瘓。典型企業業網絡安安全解決決方案分析系統統的安全全威脅信息基礎礎安全平平臺威脅脅信息基礎礎平臺主主要是指指支撐各各種應用用與業務務運行的的各種操操作系統統。操作作系統主主要有Windows系列與與UNIX系統統。相對對邊界網網絡設備備來說，熟知操操作系統統的人員員的范圍圍要廣得得多，而而且在網網絡上，很容易易就能找找到許多多針對各各種操作作系統的的漏洞的的詳細描描述，所所以，針針

14、對操作作系統和和數據庫庫的入侵侵攻擊在在網絡中中也是最最常見的的。典型企業業網絡安安全解決決方案分析系統統的安全全威脅內部網絡絡的失誤誤操作行行為由于人員員的技術術水平的的局限性性以及經經驗的不不足，可可能會出出現各種種意想不不到的操操作失誤誤，勢必必會對系系統或者者網絡的的安全產產生較大大的影響響。源自內部部網絡的的惡意攻攻擊與破破壞據統計，有70%的網網絡攻擊擊來自于于網絡的的內部。對于網網絡內部部的安全全防范會會明顯地地弱于對對于網絡絡外部的的安全防防范，而而且由于于內部人人員對于于內部網網絡的熟熟悉程度度一般是是很高的的，因此此，由網網絡內部部發起的的攻擊也也就必然然更容易易成功， 一

15、旦旦攻擊成成功，其其強烈的的攻擊目目的也就就必然促促成了更更為隱蔽蔽和嚴重重的網絡絡破壞。典型企業業網絡安安全解決決方案分析系統統的安全全威脅網絡病毒毒威脅在網絡環環境下，網絡病病毒除了了具有可可傳播性性、可執執行性、破壞性性、可觸觸發性等等計算機機病毒的的共性外外，還具具有一些些新的特特點，網網絡病毒毒的這些些新的特特點都會會對網絡絡與應用用造成極極大的威威脅。典型企業業網絡安安全解決決方案安安全技術術體系的的構建建立全網網的身份份管理、訪問控控制體系系部署統一一身份認認證、授授權、訪訪問控制制對網絡用用戶進行行統一的的帳號管管理對網絡用用戶進行行統一身身份驗證證，保證證網絡用用戶的合合法性

16、集中的授授權管理理集中的訪訪問控制制典型企業業網絡安安全解決決方案安安全技術術體系的的構建建立全網網的綜合合審計體體系網絡審計計通過堡壘壘主機的的集中接接入審計計集中日志志收集與與審計分分析與系統配配合構成成綜合的運運維管控控體系典型企業業網絡安安全解決決方案安安全技術術體系的的構建在局域網網入口處處部署防火墻系系統（支支持）防火墻是是指設置置在不同同網絡或或網絡安安全域之之間的一一系列部部件的組組合。它它是不同同網絡或或網絡安安全域之之間信息息的唯一一出入口口，能根根據網絡絡的安全全政策控控制(允允許、拒拒絕、監監測)出出入網絡絡的信息息流。防火墻可可以確定定哪些內內部服務務允許外外部訪問問

17、，哪些些外人被被許可訪訪問所允允許的內內部服務務，哪些些外部服服務可由由內部人人員訪問問。防火墻本本身具有有較強的的抗攻擊擊能力，它是提提供信息息安全服服務，實實現網絡絡和信息息安全的的基礎設設施。典型企業業網絡安安全解決決方案安安全技術術體系的的構建部署連接接局域網網分支和和移動用用戶局域網之之間可采采用移動用戶戶登錄采采用認認證納入入統一身身份認證證系統典型企業業網絡安安全解決決方案安全全技術體體系的構構建部署入侵侵檢測系系統、安安全事件件管理中中心防火墻是是部署在在網絡邊邊界的安安全設備備，相當當于計算算機網絡絡的第一一道防線線。入侵檢測測系統（）一般般部署在在局域網網內部，可以彌彌補防

18、火火墻的不不足，為為網絡安安全提供供實時的的入侵檢檢測及采采取相應應的防護護手段，如記錄錄證據用用于跟蹤蹤、恢復復、斷開開網絡連連接等。安全事件件管理中中心收集集全網安安全事件件，集中中管理，通過關關聯分析析，強化化安全設設備協同同，為安安全策略略評估提提供依據據。典型企業業網絡安安全解決決方案安全全技術體體系的構構建部署漏洞洞掃描系系統操作系統統、網絡絡軟件、應用軟軟件存在在安全漏漏洞，利利用這些些漏洞可可以很容容易地破破壞乃至至完全地地控制系系統;利利用應應用系統統的脆弱弱性的攻攻擊是主主要攻擊擊形式；由于管管理員的的疏忽或或者技術術水平的的限制所所造成的的配置漏漏洞也是是廣泛存存在的，這

19、對于于系統的的威脅同同樣很嚴嚴重。部署漏洞洞掃描系系統，檢檢測網絡絡內部的的脆弱性性，可以以為系統統安全防防護建設設提供評評估手段段本質上是是一種必必要的事事前機制制典型企業業網絡安安全解決決方案安全全技術體體系的構構建部署漏洞洞掃描系系統的安安全防護護效果對企業網網絡系統統網絡重重要服務務器和PC進行行漏洞掃掃描，發發現由于于安全管管理配置置不當、疏忽或或操作系系統本身身存在的的漏洞(這些漏漏洞會使使系統中中的資料料容易被被網絡上上懷有惡惡意的人人竊取，甚至造造成系統統本身的的崩潰)，生成成詳細的的可視化化報告，同時向向管理人人員提出出相應的的解決辦辦法及安安全建議議。對企業網網絡系統統網絡

20、邊邊界組件件、基礎礎組件和和其他系系統進行行漏洞掃掃描，檢檢查系統統的潛在在問題，發現操操作系統統存在的的漏洞和和安全隱隱患。漏洞掃描描系統對對網絡及及各種系系統進行行定期或或不定期期的掃描描監測，并向安安全管理理員提供供系統最最新的漏漏洞報告告，使管管理員能能夠隨時時了解網網絡系統統當前存存在的漏漏洞并及及時采取取相應的的措施進進行修補補。通過漏洞洞掃描的的結果，對系統統進行加加固和優優化入侵檢測、防火墻和漏洞掃描聯動體系示意圖典型企業業網絡安安全解決決方案安全全技術體體系的構構建部署網絡絡防病毒毒系統一般計算算機的病病毒有超超過20%是通通過網絡絡下載文文檔時感感染的，另外有有26%是經電

21、電子郵件件的附加加文檔感感染的，這就需需要一套套方便、易用的的病毒掃掃描器，使企業業的計算算機環境境免受病病毒和其其他惡意意代碼的的攻擊。建議采用用三層防防病毒部部署體系系來實現現對企業業網絡的的病毒防防護。E-mail網網關防病病毒系統統服務器病病毒系統統桌面防病病毒系統統大型企業網絡安全防護系統部署示意圖典型企業業網絡安安全解決決方案安全全技術體體系的構構建該防御體體系由漏漏洞掃描描與入侵侵檢測聯聯動系統統、入侵侵檢測與與防火墻墻的聯動動系統及及防病毒毒系統組組成。用戶主動動防范攻攻擊行為為，尤其其是防范范從單位位內部發發起的攻攻擊。對對在企業業內網發發起的攻攻擊和攻攻破了防防火墻的的黑客攻攻擊行為為，可以以依靠入入侵檢測測系統阻阻斷和發發現攻擊擊的行為為，同時時通過與與防火墻墻的互動動，自動動修改策策略設置置上的漏漏洞，阻阻擋攻擊擊的繼續續進入。本方案在在交換機機上連入入入侵檢檢測系統統，并將將其與交交換