大型科技網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計

朱亞興

(廣東科學(xué)技術(shù)職業(yè)學(xué)院 軟件工程學(xué)院，廣東 珠海 519010)

目前，大中城市科技網(wǎng)得到了迅猛發(fā)展，已成為國家和省、市、地區(qū)信息基礎(chǔ)設(shè)施的組成部分，是城市科技管理與科技工作現(xiàn)代化的重要基礎(chǔ)。某市科技信息網(wǎng)的建設(shè)以專業(yè)化為特征，以科技、科管信息為采集重點，以統(tǒng)籌規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、分布建庫為建設(shè)方針，建設(shè)面向所屬市及全國科技界的內(nèi)容豐富、輻射面寬、實用性強、手段先進(jìn)的網(wǎng)上科研信息資源。本文研究和建設(shè)的某市科技信息網(wǎng)定位為一個專門提供所屬城市及全國科技信息的 ICP(Internet Content Provider)，同時兼任 ISP(Internet Service Provider)的功能。

作為地區(qū)國民經(jīng)濟(jì)信息化的重要工程之一，某市科技信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)目標(biāo)是：成為國際科技信息網(wǎng)和省科技信息網(wǎng)的地區(qū)主干網(wǎng)；成為城市與國內(nèi)外科技信息交流的平臺；成為市科技信息開發(fā)、應(yīng)用與服務(wù)的平臺和反映地區(qū)科技信息的主要窗口；面向科技管理職能部門，面向公眾，加強科技服務(wù)的力度；通過網(wǎng)絡(luò)的運作提高城市科技水平，為科教興市作出貢獻(xiàn)。本系統(tǒng)的建設(shè)目標(biāo)為系統(tǒng)的總體安全方案設(shè)計提出了嚴(yán)格的要求，如何確保系統(tǒng)的安全，如何構(gòu)建一個堅實的網(wǎng)絡(luò)系統(tǒng)及安全體系已成為本系統(tǒng)的一項的重要任務(wù)。本文主要從雙重防火墻過濾、入侵檢測技術(shù)、防病毒技術(shù)、子網(wǎng)間網(wǎng)絡(luò)協(xié)議互聯(lián)及安全等幾方面重點闡述。

1 網(wǎng)絡(luò)總體規(guī)劃及功能

系統(tǒng)網(wǎng)絡(luò)平臺和網(wǎng)絡(luò)管理系統(tǒng)的建設(shè)總體規(guī)劃是：

(1)構(gòu)建外部連接網(wǎng)絡(luò)平臺。通過與一些主要信息網(wǎng)的Internet連接，使本系統(tǒng)成為一個城市內(nèi)的科技信息主干網(wǎng)，為市內(nèi)用戶提供Internet入網(wǎng)和科技信息資源的綜合利用服務(wù)。

(2)構(gòu)建內(nèi)部網(wǎng)絡(luò)平臺，為本系統(tǒng)各類網(wǎng)絡(luò)應(yīng)用提供網(wǎng)絡(luò)支撐平臺和完善安全的網(wǎng)絡(luò)管理系統(tǒng)。

根據(jù)上述的系統(tǒng)總體規(guī)劃目標(biāo)，本系統(tǒng)網(wǎng)絡(luò)平臺提供以下網(wǎng)絡(luò)功能服務(wù)：

(1)用戶接入：提供撥號接入、Internet接入、本系統(tǒng)局域網(wǎng)連接Internet，域名解釋、路由、文件傳輸、郵件收發(fā)。

(2)應(yīng)用支持：為網(wǎng)上數(shù)據(jù)庫提供網(wǎng)絡(luò)支撐平臺。本系統(tǒng)網(wǎng)絡(luò)主干達(dá)到1 000 MHz的帶寬，提供了Oracle數(shù)據(jù)庫服務(wù)器/Lotus Domino R5/全文檢索工具等結(jié)構(gòu)化及非結(jié)構(gòu)化的數(shù)據(jù)庫平臺，并提供相應(yīng)應(yīng)用開發(fā)工具，這樣的帶寬及數(shù)據(jù)庫平臺保證了軟件的開發(fā)和運行。

(3)網(wǎng)絡(luò)設(shè)備管理：提供網(wǎng)絡(luò)設(shè)備管理支持平臺、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)。

(4)網(wǎng)絡(luò)互聯(lián)支持：提供系統(tǒng)局域網(wǎng)內(nèi)部各子網(wǎng)互聯(lián)系統(tǒng)及協(xié)議系統(tǒng)支持。本系統(tǒng)配有代理服務(wù)器/IP三層交換路由協(xié)議/防火墻等提供網(wǎng)絡(luò)互聯(lián)的支持。

2 網(wǎng)絡(luò)體系結(jié)構(gòu)

本系統(tǒng)網(wǎng)絡(luò)體系分為外部互連結(jié)構(gòu)與內(nèi)部互連結(jié)構(gòu)。

外部互連結(jié)構(gòu)實現(xiàn)本系統(tǒng)與市公共多媒體信息交換網(wǎng)、市信息中心網(wǎng)及省科技信息網(wǎng)的網(wǎng)絡(luò)互連。實現(xiàn)方法是：與市信息中心通過100 MHz單模光纖連到Cisco 7204邊界路由器上，與省內(nèi)科技網(wǎng)及公眾多媒體信息網(wǎng)通過128 K幀中繼連接。同時在Cisco 7204上留有ISDN接口，作為光纖的備用線路。把訪問市科技信息網(wǎng)的路由直接指在CISCO 7204上。

內(nèi)部體系結(jié)構(gòu)由各子網(wǎng)組成，確定子網(wǎng)劃分的依據(jù)是子網(wǎng)應(yīng)用職能及子網(wǎng)應(yīng)用(或應(yīng)用部門)的獨立性；確定子網(wǎng)互連結(jié)構(gòu)的依據(jù)是子網(wǎng)互聯(lián)運行的安全要求，以及系統(tǒng)的對外服務(wù)性能優(yōu)先原則。子網(wǎng)互連體系結(jié)構(gòu)如圖1所示。子網(wǎng)劃分方案如下：

外部網(wǎng)：與本系統(tǒng)連接的所有遠(yuǎn)程網(wǎng)絡(luò)、ISP網(wǎng)和撥號網(wǎng)。

對外服務(wù)子網(wǎng)：包括本系統(tǒng)內(nèi)與一切外部網(wǎng)直接連接的系統(tǒng)，是本系統(tǒng)與Internet連接和圖1系統(tǒng)內(nèi)部互連結(jié)構(gòu)圖對外服務(wù)的唯一子網(wǎng)，也是本系統(tǒng)分隔外部網(wǎng)和內(nèi)部網(wǎng)的子網(wǎng)。

內(nèi)部網(wǎng)和內(nèi)部公共網(wǎng)：只與對外服務(wù)網(wǎng)互連，但內(nèi)部網(wǎng)與對外服務(wù)子網(wǎng)的連接需通過內(nèi)部防火墻過濾。內(nèi)部分共網(wǎng)與對外服務(wù)子網(wǎng)的連接需通過外部防火墻的過濾。

3 安全性整體解決方案

3.1 安全性原則

為保證安全性本系統(tǒng)采取以下措施：

(1)采用雙重防火墻系統(tǒng)，即硬件和軟件防火墻，針對不同的服務(wù)和數(shù)據(jù)安全性滿足不同的數(shù)據(jù)過濾要求和協(xié)議支持。

(2)接入設(shè)備、路由器和中心交換機(jī)均有冗余插槽和端口，提供接入通道、接入端口的備份，保證了對外連接和內(nèi)部數(shù)據(jù)交換的高可用性。

(3)提供對VPDN的支持?jǐn)U展，以保證樓外內(nèi)部用戶的安全接入。

(4)內(nèi)部網(wǎng)支持VLAN，可以隨時針對不同的部門重新劃分網(wǎng)段。

圖1 系統(tǒng)內(nèi)部互連結(jié)構(gòu)圖

(5)采用先進(jìn)的防病毒技術(shù)。

(6)采用先進(jìn)的防入侵檢測技術(shù)。

(7)比較完整的安全性管理措施和IP規(guī)劃。

(8)由于本網(wǎng)站與市信息中心采用100 MHz單模光纖連接，因此可以借用這個高速通道，對數(shù)據(jù)進(jìn)行遠(yuǎn)程備份，這也是一個提高本系統(tǒng)安全性的措施。

3.2 網(wǎng)絡(luò)安全設(shè)計

本系統(tǒng)通過操作系統(tǒng)配置、路由器、防火墻、代理服務(wù)器、防入侵檢測系統(tǒng)、硬件設(shè)備安全保證措施等多種手段，保證只有合法的、經(jīng)授權(quán)的用戶才能上網(wǎng)，才能登錄到服務(wù)器[1-2]。

(1)雙重防火墻

本系統(tǒng)根據(jù)需要劃分了若干子網(wǎng)，其安全保障措施是通過雙重防火墻技術(shù)實現(xiàn)。其中內(nèi)部網(wǎng)的安全性要求最高，所有系統(tǒng)的審計信息、計費信息以及所有最重要的信息都存儲在這個網(wǎng)段的服務(wù)器中。本系統(tǒng)內(nèi)部體系結(jié)構(gòu)如圖1所示。

系統(tǒng)選用兩道防火墻。外部防火墻選用Cisco PIX Fire Wall 520，內(nèi)部防火墻采用中網(wǎng)公司開發(fā)的國產(chǎn)硬件軟件一體的防火墻[3]。

Cisco Pix FireWall滿負(fù)荷時運行速率超過45 Mb/s，具有專用鏈路加密插件，可以用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)算法對數(shù)據(jù)加密，同時引入了IETF的鑒別標(biāo)題(AH)和封閉安全性負(fù)載(ESP)協(xié)議。

這兩個防火墻針對不同的應(yīng)用和不同的網(wǎng)段進(jìn)行了不同的包過濾。對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)包過濾系統(tǒng)(即內(nèi)、外防火墻系統(tǒng))進(jìn)行分布式配置，內(nèi)、外防火墻系統(tǒng)均具有地址過濾和服務(wù)過濾功能，還具有有關(guān)的過濾控制方面的能力[4]。所有內(nèi)部網(wǎng)段內(nèi)幾個子網(wǎng)都要通過這個防火墻才能訪問到對外服務(wù)網(wǎng)，再通過Pix訪問Internet[5]。

在本系統(tǒng)中，外部網(wǎng)與內(nèi)部網(wǎng)互連采用了非軍事區(qū)結(jié)構(gòu)模式，如圖2所示。

圖2 非軍事區(qū)結(jié)構(gòu)模式示例圖

非軍事區(qū)(DMZ)通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，同時，它提供了一個區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池以及所有的公共服務(wù)器。在這種防火墻方案中，包括兩個防火墻、外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊，并管理所有外部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問，內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機(jī))，當(dāng)外部防火墻失效的時候，它還可以起到保護(hù)內(nèi)部網(wǎng)絡(luò)的功能。

本系統(tǒng)中外部網(wǎng)與內(nèi)部網(wǎng)互連需要由對外服務(wù)子網(wǎng)分隔，其目的是禁止外部網(wǎng)與內(nèi)部網(wǎng)的直接互連)；對外服務(wù)子網(wǎng)是外部網(wǎng)與內(nèi)部網(wǎng)的隔離區(qū)，即DMZ非軍事區(qū)，也稱周邊網(wǎng)絡(luò)，此防火墻系統(tǒng)采用的是被屏蔽子網(wǎng)結(jié)構(gòu)的防火墻。

(2)用戶接入安全

對于用戶接入功能，也提供了非常安全的保證措施。漫游用戶首先需要通過Cisco 7204的數(shù)據(jù)過濾，撥號用戶需要首先通過Cisco 3640上的數(shù)據(jù)過濾、Radius Server安全認(rèn)證，如果訪問對外服務(wù)子網(wǎng)，要通過Cisco Pix FireWall 520上的安全管理及安全檢測，如果要訪問內(nèi)部網(wǎng)則還要通過中網(wǎng)防火墻的安全過濾，同時在對外服務(wù)子網(wǎng)安裝了NAI的Cybercop Monitor防入侵檢測系統(tǒng)，最大限度地保證網(wǎng)絡(luò)安全。

(3)防病毒軟件

采用防病毒軟件對服務(wù)器、工作站進(jìn)行保護(hù)，防止病毒侵襲。防病毒的安全解決方案實現(xiàn)包括對服務(wù)器的保護(hù)、網(wǎng)關(guān)的保護(hù)、桌面的保護(hù)。

(4)入侵檢測系統(tǒng)

采用入侵檢測系統(tǒng)，提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段，可記錄證據(jù)用于跟蹤恢復(fù)和斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力還能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，并能夠縮短黑客入侵的時間。該系統(tǒng)可檢測網(wǎng)絡(luò)配置方面的安全漏洞；可檢測網(wǎng)絡(luò)系統(tǒng)日志或系統(tǒng)審計記錄，發(fā)現(xiàn)用戶的異常活動；有對上述的安全漏洞和異常活動進(jìn)行定義的入侵檢測管理系統(tǒng)；具有開放性的系統(tǒng)結(jié)構(gòu)，可為以后增加檢測功能提供檢測功能開發(fā)接口和檢測功能調(diào)用；具有模塊化的跨平臺檢測能力，能通過增減功能模塊達(dá)到對NT、Netware和各UNIX平臺的動態(tài)支持；可定時運行和由系統(tǒng)管理員執(zhí)行運行。此外，系統(tǒng)還配置了安全掃描工具CyberCop Scanner，測試潛在的網(wǎng)絡(luò)漏洞，評估系統(tǒng)安全配置，以提前主動地控制安全危險。

為了確保系統(tǒng)的安全，硬件設(shè)備等也采取不同的措施[6]，主要有：

(1)所有設(shè)備具有非常可靠的性能。

(2)設(shè)備的適當(dāng)冗余，以滿足高峰時間的訪問，同時由于網(wǎng)管系統(tǒng)的監(jiān)視，當(dāng)出現(xiàn)非正常的訪問接入時，可以放棄某些請求，以保證整個系統(tǒng)的正常運行。

(3)主要服務(wù)器系統(tǒng)具有硬盤熱插拔能力和熱備用系統(tǒng)，當(dāng)某些系統(tǒng)出現(xiàn)故障時，可以不間斷服務(wù)，更換有問題的硬盤。

(4)主要網(wǎng)絡(luò)設(shè)備和服務(wù)器具有熱備用系統(tǒng)或備用插槽。

(5)大容量的磁盤陣列，這些磁盤陣列本身具有信息備份和磁盤備份能力。

(6)在綜合布線系統(tǒng)中，通信線路留有一定的余量。

(7)機(jī)房裝修符合國家標(biāo)準(zhǔn)，采用標(biāo)準(zhǔn)的通風(fēng)、電源和防雷措施，所有重要的服務(wù)器和網(wǎng)絡(luò)系統(tǒng)均有UPS電源保護(hù)。

另外，網(wǎng)絡(luò)安全措施還采用了先進(jìn)的網(wǎng)管系統(tǒng)，網(wǎng)管系統(tǒng)是系統(tǒng)安全性的重要保障手段；采用嚴(yán)格的IP地址規(guī)劃，對內(nèi)部網(wǎng)的IP采用保留地址，使入侵者看不到內(nèi)部重要的服務(wù)器及工作站，限制了入侵者可能攻擊的范圍；采用認(rèn)證、授權(quán)、審計和計費管理，包括各種接入的認(rèn)證、各種操作的授權(quán)，所有的網(wǎng)絡(luò)設(shè)備和服務(wù)器均設(shè)有審計措施。對服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備實現(xiàn)審計日志的統(tǒng)一管理，對不同的用戶類型進(jìn)行嚴(yán)格的計費管理和監(jiān)視管理。

3.3 安全管理措施

當(dāng)前，人們對網(wǎng)絡(luò)安全已經(jīng)有一個共識，即網(wǎng)絡(luò)安全不只是技術(shù)問題，更是管理問題[7]。建立日常安全管理規(guī)章制度，任何優(yōu)秀軟件都需要人掌握和使用，因此對所有的信息備份管理、審計信息集中管理、IP地址的分配管理、網(wǎng)段的劃分等除提供管理軟件外，還要針對不同的內(nèi)部人員(如系統(tǒng)管理員、管理人員、信息管理員、一般內(nèi)部人員等)建立一系列管理的規(guī)章制度，對信息備份、設(shè)備的使用范圍、帳號的建立、更換和銷毀等都要做詳細(xì)的規(guī)定，并制訂一系列檢查、監(jiān)督跟蹤措施，以保證這些規(guī)章制度的執(zhí)行。在這些制度中，針對系統(tǒng)管理員的制度尤為重要，主要有：帳號管理、權(quán)限分配、系統(tǒng)運行的監(jiān)視；針對信息管理員的制度有：信息的錄入、銷毀、備份、變換、傳送等。

本文詳細(xì)介紹了一個大型科技信息網(wǎng)絡(luò)系統(tǒng)的安全體系設(shè)計、安全保證以及管理措施。著重介紹了雙重防火墻保障技術(shù)以及非軍事區(qū)結(jié)構(gòu)模式，硬件安全以及先進(jìn)的網(wǎng)管系統(tǒng)，嚴(yán)格的認(rèn)證、授權(quán)機(jī)制，并采用防病毒軟件和入侵監(jiān)測系統(tǒng)等一系列安全技術(shù)和保障措施，形成了一個較完整的基于Internet科技信息系統(tǒng)應(yīng)用的安全解決方案。該系統(tǒng)運行兩年多，有效地滿足了用戶需求，用戶反映良好。

[1]ARBAUGH W A.An inductive chosen plaintext attack against WEP/WEP2.IEEE Document 802.11-01/230，2001-05.

[2]CCIMB-99-031.Common Criteria Security Evaluation for Information Technology，V2.1.1999-08.

[3]謝希仁.計算機(jī)網(wǎng)絡(luò)[M].大連：大連理工大學(xué)出版社，2000.

[4]劉淼，李鵬，陳康民，等.綜合網(wǎng)絡(luò)安全系統(tǒng)的研究與設(shè)計[J].計算機(jī)工程與設(shè)計，2009，30(13).

[5]張國情，曹重英.一種Intranet信息保護(hù)系統(tǒng)的設(shè)計和實現(xiàn)[J].計 算 機(jī) 工 程 與 應(yīng) 用 ，2003(39)：157-158.

[6]楊衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計[M].北京：科學(xué)出版社，2002.

[7]李曉明.從整合管理開始.中國計算機(jī)報，2005(1380)：12.