1、1网络安全整体解决方案神州数码DCN产品规划部王景辉2 网络安全建设原则 网络安全体系结构 P2DR模型 网络安全技术 不同行业中应用的安全技术主要内容3网络安全的建设原则 需求、风险、代价平衡的原则 综合性、整体性原则 一致性原则 易操作性原则 适应性、灵活性原则 多重保护原则 可评价性原则4安全体系结构可用性审计管理不可抵赖数据完整数据保密访问控制身份鉴别信息处理单元信息处理单元通信网络通信网络物理环境物理环境安全管理安全管理结构层次结构层次安全特性安全特性系统单元系统单元5P2DR模型的组成部分P2DR模型的应用模型的应用6MPDRR模型PMRRDManagement 安全管理Prote
2、ct 安全保护Reaction安全响应Recovery安全恢复安全模型安全模型MPDRR7安全服务建立相应的8安全风险分析 物理层安全风险分析 网络层安全风险分析 应用层安全风险分析 管理安全风险分析9物理层安全风险 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。如:设备被盗、被毁坏 链路老化或被有意或者无意的破坏 因电子辐射造成信息泄露 设备意外故障、停电 地震、火灾、水灾等自然灾害10网络层安全风险分析 数据传输安全 网络边界安全 网络设备安全11数据传输安全 由于在同级局域网和上下级网络数据传输线路之间存在
3、被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。12网络边界安全 严格的说网络上的任何一个节点,其它所有网络节点都是不可信任域,都可能对该系统造成一定的安全威胁。13网络设备的安全 网络设备可能存在系统漏洞 网络设备可能存错误的配置14网络设备的安全风险 以CISCO为例说明:对于网络设备本身访问认证的攻击 对于网络设备运行的
4、专有操作系统攻击 对于网络设备的拒绝服务攻击 不必要的IOS服务或潜在的安全问题 Multiple Vendor SNMP World Writeable Community Vulnerability:对于已知的缺省SNMP社区,任何用户都可以进行写入或读取操作。Cisco IOS HTTP%Vulnerability:当正在利用Web接口时,如果在普通的URL上加上特定的字符串时,将陷入DoS状态。Cisco Router Online Help Vulnerability:在线帮助中显示不应泄漏的信息。15系统层安全风险分析 操作系统安全漏洞 数据库系统安全漏洞16 操作系统(如Wind
5、ows 2000 server/professional,Windows NT/Workstation,Windows ME,Windows 95/98、UNIX)、服务器(如DOMINO)、数据库(如SYBASE)等产品可能会因为设计、编码的原因存在各种各样的安全漏洞(有已知的、未知的),还可能留有隐蔽通道或后门。操作系统(如NT、UNIX)、服务器(如DOMINO)、数据库(如SQL、SYBASE、ORACLE)等商用产品本身安全级别较低。17 操作人员对系统功能、系统服务、数据库管理系统和Web服务器等的误操作或者配置,不可避免会给信息网系统带来一定的安全风险。网络管理人员和用户的终端极
6、易感染病毒(如外来文件的拷贝,盗版软件,从外部站点下载的文件或应用软件的非法安装等),而一旦感染病毒,就有可能造成整个系统感染病毒。电子邮件系统的邮件收发,极易感染恶意病毒程序。病毒可肆意进行删除、篡改和拷贝操作,从而导致巨大的危害。18应用层安全风险 身份认证漏洞 DNS服务威胁 WWW服务漏洞 电子邮件系统漏洞19身份认证漏洞 网络服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对业务系统和OA系统中的资源非法访问和越权操作。20
7、DNS服务威胁 Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。但是,域名服务通常为hacker提供了入侵网络的有用信息,如服务器的IP、操作系统信息、推导出可能的网络结构等。例如,新发现的针对BIND-DNS实现的安全漏洞也开始发现,而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议,利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。21WWW服务漏洞 Web Server经常成为Internet用户访问企业内部资源的通道之一,如Web server通过中间件访问主机系统,通过数
8、据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心。22电子邮件系统漏洞 电子邮件为网络系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些恶意程序(如,特洛伊木马、蠕虫等)、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。23安全管理 再安全的网络设备也离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是
9、整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。24OSI七层参考模型物理层安全技术物理层安全技术网络层安全技术网络层安全技术应用层安全技术应用层安全技术系统层安全技术系统层安全技术安全管理安全管理25物理层安全技术GAP技术(物理隔离)技术(物理隔离)物理设备的冗余和备份物理设备的冗余和备份防电磁辐射、抗静电等等防电磁辐射、抗静电等等26物理隔离技术 双机双网 双硬盘隔离卡 单硬盘隔离卡 安全网闸27网络层安全技术防火墙技术防火墙技术VPN技术技术网络入侵检测技术网络入侵检测技术网络设备的安全性增
10、强技术网络设备的安全性增强技术28防火墙分类ApplicationPresentationSessionTransportNetworkData LinkPhysical Application Layer Gateway(Proxy)Application Level Packet Filtering Network Level Stateful Inspection Before Network Level29Packet Filtering(包过滤防火墙的优点)Pros Inexpensive Application Transparency Quicker than applicati
11、on layer gatewaysApplicationPresentationSessionTransportNetworkData LinkPhysical30Packet Filtering(包过滤防火墙的缺点)nConsLow SecurityLimited access to packet headerLimited screening above network layerLimited ability to manipulate informationDifficult to configureInadequate loggingSubject to IP SpoofingApp
12、licationPresentationSessionTransportNetworkData LinkPhysical31Application Layer Gateway的优点 Pros Good Security Full application-layer awarenessApplicationPresentationSessionTransportNetworkData LinkPhysical32Application Layer Gateway的缺点 Cons State information partial.Poor Scalability Detrimental Perf
13、ormance Proxies cannot provide for UDP Most proxies non-transparent Vulnerable to OS Overlooks lower level info Expensive performance costApplicationPresentationSessionTransportNetworkData LinkPhysical33Stateful Inspection的特点的特点 Good Security Full Application-layer awareness High Performance Scalabi
14、lity Extensible TransparencyApplicationPresentationSessionTransportNetworkData LinkPhysical34防火墙功能 访问控制功能 NAT功能 PAT功能 流量管理功能 地址绑定 双机热备和负载均衡 支持入侵检测 支持动态路由 支持身份认证等等35动态防火墙安全模型 Policy网络访问控制策略的制订 Protection传统防火墙,可以定义防火墙允许流过的服务数据,定义基本的访问控制限制 Detection 实时入侵检测系统,可以动态地发现那些透过防火墙的入侵行为 Response根据发现的安全问题,在统一策略的
15、指导下,动态地调整防火墙36动态防火墙安全模型示例Host C 入侵检测 控制台 Host B Host A 受保护网络IDS主机黑客发起攻击验证报文并采取措施识别出攻击行为阻断连接或者报警等InternetInternet返回37Intranet 38入侵检测技术 Intrusion Detection System 入侵的定义 破坏系统资源可用性、完整性和保密性的行为 入侵检测系统的定义 检测侵入系统或非法使用系统资源行为的系统 机理:基于某种策略或规则 推理的方法 知识库方法 模式匹配方法 自学习的方法 响应机制:日志、报警、通讯阻断、事后审计39 IDS 的 分 类 按数据源:按数据源
16、:基于主机基于主机IDS:数据源来自单个主机:数据源来自单个主机-文件系统、帐文件系统、帐户系统、进程分析户系统、进程分析 分布式分布式IDS:多主机系统:多主机系统 基于网络基于网络IDS:网络数据:网络数据-数据包分析和嗅探器技术数据包分析和嗅探器技术 按数据处理方式:按数据处理方式:单包分析单包分析 与与 上下文分析上下文分析 按模型:按模型:异常(异常(anomaly)检测模型检测模型-偏离正常的行为检测偏离正常的行为检测 违规违规(misuse)检测模型检测模型-具有入侵特征或利用系具有入侵特征或利用系统漏洞的行为检测统漏洞的行为检测40IDS 具备的攻击检测能力按服务划分 监视E-
17、Mail攻击 监视Web攻击 监视远程过程攻击 监视NFS攻击 监视FTP攻击 监视Telnet攻击 监视非授权网络传输按技术途径划分 监视口令攻击 监视扫描攻击 监视特洛伊攻击 监视拒绝服务攻击 监视防火墙攻击 监视daemon攻击 监视非授权网络访问41网络入侵检测示意图42VPNVPN概述概述 什么是什么是VPNVPN VPN,英文全称是virtual Private Network,中文名称一般称为虚拟专用网或虚拟私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网
18、络(Private Network)性能的网络服务技术。43VPN功能鉴别鉴别数字签名数字签名44数据机密性保护管理子网一般子网内部WWW重点子网WWW Mail DNS密文密文传输明文传输明文传输45数据完整性保护数据完整性保护管理子网一般子网内部WWW重点子网原始数据包对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要摘要对原始数据包进行加密加密后的数据包加密后的数据包加密加密后的数据包加密后的数据包摘要摘要加密后的数据包加密后的数据包摘要摘要摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较,验证数据的完整性46管理子网一般子网内部WWW重点子网原始数据包对原
19、始数据包进行HashHash摘要摘要加密摘要摘要摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗?验证通过47VPNVPN概述概述 VPN VPN的应用示意图的应用示意图 VPN 网关Internet路由器路由器VPN 网关受保护子网受保护子网Windows客户端控制中心VPN移动客户48VPN的组成 VPN网关 VPN客户端软件 集中管理软件或控制中心49网络设备的安全性增强 从全网角度考虑,在保证全网路由畅通的基础之上,通过安全配置路由器、交换机等网络设备改
20、进整个网络的安全性。50以路由器为例说明 Global服务配置-通过考察骨干节点上的骨干路由器配置情况,结合实际需求,打开某些必要的服务或是关闭一些不必要的服务。例如:no service fingerno service pad等 Interface服务配置-根据制定好的基本配置方案对路由器进行配置检查,删去某些不必要ip特性,诸如:no ip redirectsno ip drected-broadcast CDP配置根据ISP网络的特点,以及制定好的方案,配置路由器的CDP。Login Banner配置修改login banner,隐藏路由器系统真实信息。Enable secret配置使
21、用enable secret来加密secret口令。等等51系统层的安全技术 操作系统的安全性增强技术 数据库系统的安全性增强技术 基于主机的入侵检测技术 漏洞扫描技术(针对操作系统和数据库)52基于主机的入侵检测 基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。主机入侵检测基于这样一个原理:计算机系统上的攻击和正常的系统活动有着显著的不同。一个系统入侵者所表现出的行为模式不同于合法用户的正常行为。入侵检测的工作就是通过分析现有系统提供的众多信息来检测那些异常模式。53基于主机的入侵检测示意图54
22、漏洞扫描技术 从原理上讲,网络漏洞检测就是模拟攻击者的角度、攻击的方法和手段并结合漏洞知识库进行扫描和检测,也就是说网络漏洞检测是通过扫描工具发出模拟攻击检测包,然后侦听检测目标响应来收集信息和判断网络中是否存在漏洞。检测范围包括所有的网络系统设备:服务器、防火墙、交换机、路由器等网络中所有设备及主机。55漏洞扫描示意图56漏洞扫描产品的功能 对所有网络中的附属设备进行扫描,检查来自通讯、服务、防火墙、WEB应用等的漏洞;其扫描对网络不会做任何修改和造成任何危害;生成针对企业决策人、部门管理人员以及技术人员等不同管理对象的报告,报告中详细说明了每个漏洞的危害及补救办法;网络的漏洞扫描可以按安全
23、级别实施,评估安全级别越高,达到的安全程度越高。57应用层安全技术身份认证技术身份认证技术防病毒技术防病毒技术应用服务器的安全增强技术应用服务器的安全增强技术58PKI的引入59PKI组成框图PKI应用证书机构CA注册机构RA证书发布系统PKI策略软硬件系统基础服务实体60典型CA框架图 一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器等。61CA系统构成vCAServer认证中心vCA本地数据库服务器vCA证书库(目录服务器)(可选件)vRAServer注册中心(可选件)vRA本地数据库服务器vLRA(Local RA)注册终端(可选件)vCATe
24、rminal个人管理器(可选件)vCABrowser公众申请/下载服务器(可选件)62CA主要功能v根CA管理v证书管理v密钥管理vCRL管理v目录管理v审计管理 63证书的申请、签发流程HHOMERA/CAAdmin新用户目录服务器CA身份证明策略规定的方法用户申请创建用户DNLDAP参考号授权码参考号和授权码64证书下载流程最终用户CAAdminCALDAP填写得到的Ref#和AuthCode并通过验证用户本地产生密钥对用户将公钥传送给CACA签证将用户证书发布到目录服务器CA下传用户证书和根CA证书HHOMEPSEWebServerCATerminalCABrowser65防病毒产品组成
25、 网关防毒 FTP/HTTP/SMTP 服务器防病毒 邮件或群件防毒 EXCHANGE Sendmail Lotus Notes 客户机防病毒 病毒控制中心66proxyftp serverwww serverMail server病毒控制中心病毒控制中心防火墙防火墙6768安全管理建议 安全体系建设规范 安全组织体系建设 安全管理制度建设 安全管理手段69安全服务 漏洞扫描、风险评估 安全应急响应 增强配置服务 网络设备的安全性增强配置服务(如交换机、路由器)操作系统、数据库系统安全性增强 应用程序的安全性增强服务(如WWW/DNS/MAIL)培训 用户现场培训 用户集中培训 认证培训70防
26、火墙或防火墙或VPNVPN网关网关71中国石油网 InternetSiSiSCADA数据库局域网共共6台台Cisco Catalyst 3548PSTN核心交换机核心交换机Cisco Catalyst 6509Cisco2620Cisco2600对外公开服务器网段www、MAIL、DNS、Proxy服务器网管服务器网段,包括网管主机、业务应用服务器财务网物理隔离ISDN/ADSL100M1000M远程单位山西陕西72中国石油网 Internet远程单位SiSiVPN远程客户端软件物理隔离防火墙防火墙可扩展为VPN网关在公开服务器上安装网在公开服务器上安装网关防病毒产品关防病毒产品3 3个入侵检测引擎分别用个入侵检测引擎分别用来监视对外公开服务器网来监视对外公开服务器网段、网管和应用服务器、段、网管和应用服务器、拨号拨号安装客户机与服务器安装客户机与服务器防病毒产品防病毒产品病毒管理控制病毒管理控制中心中心入侵检测管理入侵检测管理控制台控制台身份认证服务身份认证服务器器CA、RA防火墙、防火墙、VPNVPN管理中心管理中心73欢迎批评指正!谢谢!74谢谢 谢!谢!放映结束 感谢各位的批评指导!让我们共同进步75
