對利用深度防御思想構筑公安信息安全體系的探討

張偉 （天津市公安局 天津300040）

對利用深度防御思想構筑公安信息安全體系的探討

張偉 （天津市公安局 天津300040）

近年來，隨著公安信息化建設的不斷深入開展，傳統的網絡安全部署抵御日趨復雜的網絡拓撲和迅速增長的網絡應用所帶來的安全風險的難度日益加大，因此，信息安全保障工作在各地公安機關得到了越來越高的關注。在分析公安網絡安全現狀的基礎上，對利用深度防御理念構建公安網絡信息安全體系的相關技術進行了探討。

公安網絡 信息安全 深度防御

0 引言

作為信息化建設的重要基礎設施，近年來公安網絡得到了極大發展，各類信息共享、網絡通信等信息化應用越來越依賴于公安網絡的支持。然而，隨著公安網絡規模的不斷擴大，來自內部網絡的威脅也日漸增多，如網絡攻擊、信息竊取、信息破壞以及人為的網絡搗蛋和誤操作等諸多可能因素，導致公安網絡所面臨的安全形勢日益嚴峻。如何建立起有效的網絡安全防范體系，使網絡運行穩定、可靠、安全，從而有效保障信息安全，現已成為公安網絡面臨的一個重要課題。

1 公安網安全威脅分析

公安網涉及網內所有計算機和附屬設備互聯運行的網絡，是由計算機、網絡技術設備和軟件等構成的，其雖屬于內部專網，但由于公安工作的特殊性，使其網絡管理的復雜性和所面臨的信息安全問題的嚴重性遠遠高于其他網絡。

1.1 公安網規模大、速度快

一般公安網的接入帶寬不低于100 Mbps，而且網絡覆蓋面廣，以天津公安網絡為例，用戶群體已達上萬人。這種高帶寬、大用戶量的特性，使公安網絡安全問題一旦發生，則蔓延迅速、影響嚴重。

1.2 漏洞威脅普遍存在

隨著計算機新技術在公安網絡的廣泛應用，內部網絡中常見的除了常規PC、服務器外，還涉及CISCO、華為（3COM）等網絡設備，這些設備提供了各種網絡服務。而新技術的應用往往伴隨著較大的安全風險，同時由于公安網與互聯網相隔離，不便于各類軟件的正常更新升級，致使各種軟、硬件漏洞對信息安全和網絡運行構成了現實威脅。

1.3 管理與維護的投入有限

公安網絡的物理隔離決定了其在網絡管理與維護上投入的有限性，許多服務器系統缺乏維護人員，而且沒有容災備份。而活躍的搗蛋者往往對新技術充滿好奇，甚至嘗試各種攻擊技術，卻對可能造成的影響和破壞缺乏認識，這些因素也對公安網絡安全形成了一定威脅。

顯然，在當今網絡技術飛速發展的情況下，要足以保證網絡和信息安全，就務必要建立起完善的安全保障機制。而信息安全保障的核心思想就是深度防御思想（Defense in Depth）。

2 實現深度防御

2.1 總體思想

所謂深度防御思想就是采用一個層次化的、多樣性的安全措施來保障用戶信息及信息系統的安全。通過實施深度防御，即使安全層次中的某一層被攻破，仍然可以依靠其他的保護措施來保護網絡。在深度防御思想中，邊界、內部網絡和人是3個核心要素，要保障信息及信息系統的安全，三者缺一不可。

2.2 邊界防御

邊界是指不同可信級別網絡之間的分界線，它可能包括以下部件：路由器、防火墻、IDS/IPS、DMZ和被屏蔽的子網。每種部件各司其職，將各部件功能綜合后可整體保護網絡邊界。

2.2.1 路由器 引導流量流入網絡、流出網絡或者在網絡中傳輸。非正常流量的目的地址可能是內部地址，它們會通過路由器的外部接口進入網絡，也可能其目的地址是外部地址，它們會通過路由器的內部接口流出網絡。位于邊界處的路由器是數據流入內網的第一個可控設備，也是數據流出內網時我們可控的最后一個設備。每一個網絡都應該在邊界路由器上設置進入過濾和外出過濾，只允許應該進入網絡內部和應流向網絡外部的報文通行。

2.2.2 防火墻 可以對邊界路由器不能監控的流量進行更加深入的分析和過濾。防火墻能夠識別和阻塞未建立連接的惡意流量或已連接但有安全隱患的流量。防火墻的規則庫定義了源IP地址、目的IP地址、源端口和目的端口，一般攻擊通常會有很多征兆，應該及時將這些征兆加入規則庫中。

2.2.3 IDS/IPS 用于檢測和告警惡意事件，IPS在此基礎上更可阻斷惡意流量的進入。有兩種類型的IDS/IPS，基于網絡的（Network-based IDS/IPS，NIDS/NIPS）和基于主機的（Host-based IDS/IPS，HIDS/HIPS）。防火墻降低了惡意流量進出網絡的可能性，并能確保只有與協議一致的流量才能通過防火墻。如果惡意流量偽裝成正常的流量，并且與協議的行為一致，這樣的情況，可以使用IDS/IPS設備對網絡加以保護。IDS/IPS能夠在關鍵點上對網絡和主機進行監視，以防止惡意行為。

2.2.4 DMZ DMZ是界于安全區域之間的非安全區域，是針對網絡層的深度防御策略。這種把數據與網絡內應用層隔離開來的辦法提供了又一層的安全。因為DMZ系統即使受到危及，也不至于把存放關鍵數據的內部系統暴露在網絡攻擊面前。

2.2.5 被屏蔽的子網 被屏蔽的子網是一個連接到防火墻或者其他過濾設備的專用接口上的隔離網絡。被屏蔽子網上一般駐留有“公共”服務，而運行此類服務的服務器稱為堡壘主機，需要特別加強其安全性。

通過將以上各部件統一規劃后實施整體策略，以達到將網絡邊界形成立體化崗哨的功效，從各層面對出入流量實行嚴格把關。

2.3 內部網絡保護

內部網絡是受邊界保護的，它包含所有的服務器、工作站和基礎設施網絡。但內部網絡并非是可以完全信任的網絡，因為有些內部攻擊并非是出于惡意，有時內部人員無意識的操作也會造成攻擊的發生。內部網絡的保護主要分為對內部網絡的保護和對網絡中心（即內部主機）的保護。

2.3.1 部署內部網絡 為了解決跨過邊界崗哨直接作用于內網的攻擊問題，在內部網絡上，我們應考慮實施如下策略：在每臺路由器上做出入過濾，用來做隔離資源的內部防火墻，加強性能和安全的代理，并監視內部網絡的IDS/IPS。以上技術與邊界實施的技術大體相同，目的是要提高對內網的監控級別，及時發現和避免內部可疑流量造成的破壞，減小其發作范圍。

2.3.2 部署網絡中心設備 在網絡中心的位置，如應用服務器、單機等內網資源性設備中，應做如下部署：個人防火墻、反病毒軟件、操作系統加固、配置管理和審計。

①個人防火墻是擴展邊界的一種很好的軟件。如果傳統的防火墻沒有在網絡入口點進行部署的話，個人防火墻就是一種性能價格比很高的替代選擇，尤其是當網絡上的主機都是一些小系統的時候更是如此。對于移動用戶來說，個人防火墻更加重要，因為他們經常要在外出的時候進行網絡連接。

②反病毒軟件和網絡IDS在很多方面比較相似，他們都頻繁檢查數據，發現惡意流量。反病毒軟件一般檢查文件系統上的數據，而IDS/IPS則檢測網絡上的數據。

③主機加固是對主機上的操作系統和應用程序進行安全配置的過程，目的是為了關閉系統中不必要的開放狀態。一般要做的是及時打補丁和設置文件系統的權限，關閉不必要的權限，以及加強口令的約束能力等。如果網絡邊界上的其他部件在阻止入侵的過程中失敗了，那么主機加固是保護單個系統的最后一個保護層，因此，主機加固在深度防御中非常重要。

④配置管理是建立和維護網絡上的系統和設備配置的過程。其可以保證某種特定的運行環境，如：所有的Windows機器都安裝了某個服務包；所有的Linux機器都運行某個內核；擁有遠程訪問賬戶的所有用戶都擁有個人防火墻；每臺機器每天都要進行反病毒特征庫的更新；在用戶登錄時，他們應該接受的使用策略等。

⑤審計是將對安全狀況進行認識并加以改善的過程。內部員工或外部訪問者都應該進行審計。審計的過程如下：收集需求，制定方案，實施審計，實施中定期生成審計報告（技術報告），生成最終報告（非技術報告和技術報告），進行后續工作（驗證執行情況）。

2.4 重視人為因素

盡量避免由于用戶誤操作造成的內部攻擊，這需要對人員本身的培訓和對網絡中設備有策略的實施。一個有效的深度防御基礎結構需要一套完整的且能夠解決實際問題的策略。如：職權（誰負責），范圍（誰實現），截止（誰終止），規范（需要什么樣的安全），透明（是否每一個人都能夠理解這些安全策略和方法）。

同時還要著力提高用戶的應用技能和思想認識，要使用戶認識到策略的重要性，并在實踐中嚴格按照策略的要求進行工作，進一步減少風險，從而充分發揮深度防御的作用。

此外，實施基于深度防御理念的安全體系結構時還要注意一些問題，如：需要保護哪些資源、估計可能的風險、確定業務需求等，根據這些信息，就可以準確地實施網絡防御的策略部署。

3 結語

基于深度防御思想建立網絡安全防范體系可以有效地抵御多種已知和未知的攻擊，是實現信息安全保障的有效方法，在公安網絡和信息化建設中具有廣泛的應用空間，并且將對網絡信息技術的發展帶來深遠的影響。■

[1]楊義先，任金強.信息安全新技術[M].北京：北京郵電大學出版社，2002.

[2]宋連濤，莊為華.基于異常的入侵檢測技術在Snort系統中的應用[J].計算機技術與發展，2006（6）：136-138.

2012-03-06