天融信網(wǎng)絡(luò)信息安全解決方案

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的平安防護(hù)也需采納分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的網(wǎng)絡(luò)信息平安解決方案應(yīng)當(dāng)覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與平安管理相結(jié)合。以該思想為動(dòng)身點(diǎn)，北京天融信公司提出了"網(wǎng)絡(luò)信息平安解決方案"。一、網(wǎng)絡(luò)信息平安系統(tǒng)設(shè)計(jì)原則1.1滿意Internet分級管理需求1.2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則1.3綜合性、整體性原則1.4可用性原則1.5分步實(shí)施原則目前，對于新建網(wǎng)絡(luò)及已投入運(yùn)行的網(wǎng)絡(luò)，必需盡快解決網(wǎng)絡(luò)的平安保密問題，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：

（1）大幅度地提高系統(tǒng)的平安性和保密性；

（2）保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透亮性；

（3）易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；

（4）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

（5）平安保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期運(yùn)用；

（6）平安與密碼產(chǎn)品具有合法性，并便于平安管理單位與密碼管理單位的檢查與監(jiān)督。

基于上述思想，網(wǎng)絡(luò)信息平安系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則：

1．1滿意因特網(wǎng)的分級管理需求

依據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對Internet/Intranet信息平安實(shí)施分級管理的解決方案，將對它的限制點(diǎn)分為三級實(shí)施平安管理。

第一級：中心級網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問限制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

其次級：部門級，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問限制；同級部門間的訪問限制；部門網(wǎng)內(nèi)部的平安審計(jì)。

第三級：終端/個(gè)人用戶級，實(shí)現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問限制；數(shù)據(jù)庫及終端信息資源的平安愛護(hù)。

1．2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則

對任一網(wǎng)絡(luò)，肯定平安難以達(dá)到，也不肯定是必要的。對一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額探討（包括任務(wù)、性能、結(jié)構(gòu)、牢靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威逼及可能擔(dān)當(dāng)?shù)娘L(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的平安策略。

1．3綜合性、整體性原則

應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的平安及具體措施。平安措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取限制、密碼、低輻射、容錯(cuò)、防病毒、采納高平安產(chǎn)品等）。一個(gè)較好的平安措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)平安應(yīng)遵循整體平安性原則，依據(jù)規(guī)定的平安策略制定出合理的網(wǎng)絡(luò)平安體系結(jié)構(gòu)。

1．4可用性原則

平安措施須要人為去完成，假如措施過于困難，對人的要求過高，本身就降低了平安性，如密鑰管理就有類似的問題。其次，措施的采納不能影響系統(tǒng)的正常運(yùn)行，如不采納或少采納極大地降低運(yùn)行速度的密碼算法。

1．5分步實(shí)施原則：分級管理分步實(shí)施

由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣袤，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)平安問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息平安措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿意網(wǎng)絡(luò)系統(tǒng)及信息平安的基本需求，亦可節(jié)約費(fèi)用開支。

二、網(wǎng)絡(luò)信息平安系統(tǒng)設(shè)計(jì)步驟

網(wǎng)絡(luò)平安需求分析確立合理的目標(biāo)基線和平安策略明確打算付出的代價(jià)制定可行的技術(shù)方案工程實(shí)施方案（產(chǎn)品的選購與定制）制定配套的法規(guī)、條例和管理方法本方案主要從網(wǎng)絡(luò)平安需求上進(jìn)行分析，并基于網(wǎng)絡(luò)層次結(jié)構(gòu)，提出不同層次與平安強(qiáng)度的網(wǎng)絡(luò)信息平安解決方案。

三、網(wǎng)絡(luò)平安需求

準(zhǔn)確了解網(wǎng)絡(luò)信息系統(tǒng)須要解決哪些平安問題是建立合理平安需求的基礎(chǔ)。一般來講，網(wǎng)絡(luò)信息系統(tǒng)須要解決如下平安問題：局域網(wǎng)LAN內(nèi)部的平安問題，包括網(wǎng)段的劃分以及VLAN的實(shí)現(xiàn)在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)平安性應(yīng)用系統(tǒng)如何保證平安性l如何防止黑客對網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)钠桨脖Ｃ苄约用芟到y(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等如何實(shí)現(xiàn)遠(yuǎn)程訪問的平安性如何評價(jià)網(wǎng)絡(luò)系統(tǒng)的整體平安性基于這些平安問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下平安機(jī)制：訪問限制、平安檢測、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息（如NAT）等，具體參見北京天融信公司<。

四、網(wǎng)絡(luò)平安層次及平安措施4.1鏈路平安4.2網(wǎng)絡(luò)平安4.3信息平安網(wǎng)絡(luò)的平安層次分為:鏈路平安、網(wǎng)絡(luò)平安、信息平安

網(wǎng)絡(luò)的平安層次及在相應(yīng)層次上實(shí)行的平安措施見下表。

PRIVATE信息平安信息傳輸平安（動(dòng)態(tài)平安）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別防抵賴平安管理信息存儲平安（靜態(tài)平安）數(shù)據(jù)庫平安終端平安信息的防泄密信息內(nèi)容審計(jì)用戶鑒別授權(quán)（CA）網(wǎng)絡(luò)平安訪問限制（防火墻)網(wǎng)絡(luò)平安檢測入侵檢測（監(jiān)控)IPSEC（IP平安）審計(jì)分析鏈路平安鏈路加密4．1鏈路平安

鏈路平安愛護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對全部用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點(diǎn)后馬上解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不須要進(jìn)行路由交換的狀況下，如DDN直通專線用戶就可以選擇路由加密設(shè)備。

一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點(diǎn)對點(diǎn)通信環(huán)境，它包括異步線路密碼機(jī)和同步線路密碼機(jī)。異步線路密碼機(jī)主要用于電話網(wǎng)，同步線路密碼機(jī)則可用于很多專線環(huán)境。

4．2網(wǎng)絡(luò)平安

網(wǎng)絡(luò)的平安問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以我們考慮信息網(wǎng)絡(luò)的平安首先應(yīng)當(dāng)考慮把被愛護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來，成為可管理、可限制的平安的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的平安才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不行信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)平安域的隔離與訪問限制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。

目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應(yīng)用代理型防火墻，還有一類是復(fù)合型防火墻，即包過濾與應(yīng)用代理型防火墻的結(jié)合。包過濾防火墻通?；贗P數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進(jìn)行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透亮性。代理型防火墻作用在應(yīng)用層，一般可以對多種應(yīng)用協(xié)議進(jìn)行代理，并對用戶身份進(jìn)行鑒別，并供應(yīng)比較具體的日志和審計(jì)信息；其缺點(diǎn)是對每種應(yīng)用協(xié)議都需供應(yīng)相應(yīng)的代理程序，并且基于代理的防火墻經(jīng)常會(huì)使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是，在網(wǎng)絡(luò)平安問題日益突出的今日，防火墻技術(shù)發(fā)展快速，目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當(dāng)中，這些功能有：VPN功能、計(jì)費(fèi)功能、流量統(tǒng)計(jì)與限制功能、監(jiān)控功能、NAT功能等等。

信息系統(tǒng)是動(dòng)態(tài)發(fā)展變更的，確定的平安策略與選擇合適的防火墻產(chǎn)品只是一個(gè)良好的開端，但它只能解決40%－60%的平安問題，其余的平安問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動(dòng)性威逼、后續(xù)平安策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、對平安風(fēng)險(xiǎn)的感知程度低、動(dòng)態(tài)變更的應(yīng)用環(huán)境充溢弱點(diǎn)等，這些都是對信息系統(tǒng)平安的挑戰(zhàn)。

信息系統(tǒng)的平安應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)的發(fā)展過程，應(yīng)當(dāng)是一種檢測──監(jiān)視──平安響應(yīng)的循環(huán)過程。動(dòng)態(tài)發(fā)展是系統(tǒng)平安的規(guī)律。網(wǎng)絡(luò)平安風(fēng)險(xiǎn)評估和入侵監(jiān)測產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不行少的環(huán)節(jié)。

網(wǎng)絡(luò)平安檢測是對網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評估的重要措施，通過運(yùn)用網(wǎng)絡(luò)平安性分析系統(tǒng)，可以剛好發(fā)覺網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與擔(dān)心全配置，建議補(bǔ)救措施和平安策略，達(dá)到增加網(wǎng)絡(luò)平安性的目的。

入侵檢測系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)須要愛護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方，通過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，找尋網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)覺網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)，入侵檢測系統(tǒng)能夠依據(jù)系統(tǒng)平安策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事務(wù)登錄，自動(dòng)阻斷通信連接或執(zhí)行用戶自定義的平安策略等。

另外，運(yùn)用IP信道加密技術(shù)（IPSEC）也可以在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間建立透亮的平安加密信道。其中利用IP認(rèn)證頭（IPAH）可以供應(yīng)認(rèn)證與數(shù)據(jù)完整性機(jī)制。利用IP封裝凈載（IPESP）可以實(shí)現(xiàn)通信內(nèi)容的保密。IP信道加密技術(shù)的優(yōu)點(diǎn)是對應(yīng)用透亮，可以供應(yīng)主機(jī)到主機(jī)的平安服務(wù)，并通過建立平安的IP隧道實(shí)現(xiàn)虛擬專網(wǎng)即VPN。目前基于IPSEC的平安產(chǎn)品主要有網(wǎng)絡(luò)加密機(jī)，另外，有些防火墻也供應(yīng)相同功能。

4．3信息平安（應(yīng)用與數(shù)據(jù)平安）

在這里，我們把信息平安定義為應(yīng)用層與數(shù)據(jù)平安。在這一層次上，主要是應(yīng)用密碼技術(shù)解決用戶身份鑒別、用戶權(quán)限限制、數(shù)據(jù)的機(jī)密性、完整性等網(wǎng)絡(luò)上信息的平安問題。由于網(wǎng)絡(luò)的開放性和資源的共享，使得網(wǎng)絡(luò)上的信息（無論是動(dòng)態(tài)的還是靜態(tài)的）的運(yùn)用和修改都是自由的，如非法修改、越權(quán)運(yùn)用、變更信息的流向等。這也必定威逼到信息的可控性、可用性、保密性、完整性等平安屬性。為了保證信息的平安，我們必需實(shí)行有效的技術(shù)措施。這些措施主要從以下幾個(gè)方面解決信息的平安問題，即：用戶身份鑒別、用戶權(quán)限限制、信息的傳輸平安、信息的存儲平安以及對信息內(nèi)容的審計(jì)。

北京天融信公司為解決這一層次的平安問題而供應(yīng)的相關(guān)產(chǎn)品有：wInternet/Intranet加密系統(tǒng)：它為應(yīng)用程序供應(yīng)身份鑒別、數(shù)據(jù)加密、數(shù)字簽名和自動(dòng)密鑰分發(fā)等平安功能。CA系統(tǒng)：建立證書中心（CA）即公鑰密碼證書管理中心，是公鑰密碼技術(shù)得以大規(guī)模應(yīng)用的前提條件。公鑰密碼算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識別等方面是傳統(tǒng)對稱密碼算法所不行代替的一項(xiàng)關(guān)鍵技術(shù)。尤其在當(dāng)前迅猛發(fā)展的電子商務(wù)中，數(shù)字簽名是電子商務(wù)平安的核心部分。公鑰密碼算法用于數(shù)字簽名時(shí)須借助可信的第三方對簽名者的公開密鑰供應(yīng)擔(dān)保，這個(gè)可信的第三方就是CA。因此，建立CA是開展電子商務(wù)的先決條件。另外，CA還可為各種基于公鑰密碼算法建立的網(wǎng)絡(luò)平安系統(tǒng)供應(yīng)認(rèn)證服務(wù)。端端加密機(jī)：這類密碼機(jī)只對用戶數(shù)據(jù)中的數(shù)據(jù)字段部分加密，限制字段部分則不加密，用戶數(shù)據(jù)加密后通過網(wǎng)絡(luò)路由交換到達(dá)目的地后才進(jìn)行解密。用戶數(shù)據(jù)在網(wǎng)絡(luò)的各個(gè)交換節(jié)點(diǎn)中傳輸時(shí)始終處于加密狀態(tài)，有效地防止了用戶信息在網(wǎng)絡(luò)各個(gè)環(huán)節(jié)上的泄漏和篡改問題。端端系列加密機(jī)系列目前主要用于X.25分組交換網(wǎng)等端到端通信環(huán)境，為X.25網(wǎng)用戶供應(yīng)全程加密服務(wù)，它支持專線及電話撥號兩種入網(wǎng)方式。信息稽查系統(tǒng)：是針對信息內(nèi)容進(jìn)行審計(jì)的平安管理手段，該系統(tǒng)采納先進(jìn)的狀態(tài)檢查技術(shù)，以透亮方式實(shí)時(shí)對進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸文件等進(jìn)行數(shù)據(jù)備份，并可依據(jù)用戶需求對通信內(nèi)容進(jìn)行審計(jì)，并對壓縮的文件進(jìn)行解壓還原，從而為防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻擊供應(yīng)有效的技術(shù)手段。辦公自動(dòng)化文電加密系統(tǒng)：文電辦公自動(dòng)化平安保密系統(tǒng)是用于文件和電子郵件傳送、存儲以及訪問限制的應(yīng)用系統(tǒng)，是應(yīng)用層加密系統(tǒng)。系統(tǒng)采納對稱與非對稱算法相結(jié)合的體系，為適應(yīng)國家有關(guān)規(guī)定，算法可依據(jù)用戶的平安強(qiáng)度需求不同進(jìn)行定制；而且具有操作簡潔、運(yùn)用便利的特點(diǎn)?？蓮V泛應(yīng)用于企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、廣域網(wǎng)以及利用Internet開展的諸多應(yīng)用中。

平安數(shù)據(jù)庫系統(tǒng)：平安數(shù)據(jù)庫系統(tǒng)是一套完全自主版權(quán)好用化的數(shù)據(jù)庫軟件產(chǎn)品，系統(tǒng)主要的平安機(jī)制包括：管理員、審計(jì)員、平安員三權(quán)分立的管理機(jī)制；對用戶和數(shù)據(jù)的分級管理機(jī)制；同時(shí)供應(yīng)牢靠的故障復(fù)原機(jī)制。該系統(tǒng)是客戶/服務(wù)器體系機(jī)構(gòu)的分布式多媒體數(shù)據(jù)庫管理系統(tǒng)，支持多臺服務(wù)器并行協(xié)同工作，供應(yīng)良好的分布式數(shù)據(jù)庫環(huán)境，確保分布數(shù)據(jù)的完整性；支持存儲過程和遠(yuǎn)程數(shù)據(jù)訪問；系統(tǒng)性能與功能強(qiáng)度，相當(dāng)于ORACLEV7，并可與ORACLE等流行數(shù)據(jù)庫互聯(lián)互訪。數(shù)據(jù)庫平安保密系統(tǒng)：數(shù)據(jù)庫平安保密系統(tǒng)是針對目前已選用的通用數(shù)據(jù)庫開發(fā)的平安措施，是在目前流行的通用數(shù)據(jù)庫（如Oracle）基礎(chǔ)上增加控件，以實(shí)現(xiàn)對數(shù)據(jù)庫的訪問/存取限制及加密限制等。五、網(wǎng)絡(luò)信息平安解決方案選型指導(dǎo)5.1鏈路平安解決方案5.2網(wǎng)絡(luò)平安解決方案5.3信息平安解決方案5．1鏈路平安解決方案

用戶需求：鏈路加密，防信息泄漏，對用戶透亮，設(shè)備自身平安管理

解決方案：異步線路密碼機(jī)（適用于電話網(wǎng)）、同步線路密碼機(jī)）適用于（DDN專線、X.25專線、衛(wèi)星線路）

5．2網(wǎng)絡(luò)平安解決方案

1．基本防護(hù)體系（包過濾防火墻＋NAT＋計(jì)費(fèi)）

用戶需求：全部或部分滿意以下各項(xiàng)解決內(nèi)外網(wǎng)絡(luò)邊界平安，防止外部攻擊，愛護(hù)內(nèi)部網(wǎng)絡(luò)解決內(nèi)部網(wǎng)平安問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN依據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾內(nèi)外網(wǎng)絡(luò)采納兩套IP地址，須要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能支持平安服務(wù)器網(wǎng)絡(luò)SSN通過IP地址與MAC地址對應(yīng)防止IP欺瞞基于IP地址計(jì)費(fèi)基于IP地址的流量統(tǒng)計(jì)與限制基于IP地址的黑白名單。防火墻運(yùn)行在平安操作系統(tǒng)之上防火墻為獨(dú)立硬件防火墻無IP地址解決方案：采納網(wǎng)絡(luò)衛(wèi)士防火墻NGFW-2000

2．標(biāo)準(zhǔn)防護(hù)體系（包過濾＋NAT＋計(jì)費(fèi)＋代理＋VPN）

用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿意以下各項(xiàng)供應(yīng)應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)用戶身份鑒別權(quán)限限制基于用戶