企业网络安全系统设计建议书(编辑修改稿)

企业网络安全系统设计建议书(编辑修改稿)内容摘要：

的环境，这些应用程序本身设计的缺陷也会带来安全漏洞。 另外，系统权限管理的松懈也是造成安全漏洞的重要原因。 此外，任 何东西的特性都是两方面的，只要恶意的破坏者掌握了系统的特性，这些特性就可以被用来进行系统的破坏。 基于以上的原因，企业网络需要对总部的 应用服务器进行操作系统和数据库的备份，操作系统包括 Windows NT, Windows 20xx,Solaris,Linux，数据库系统主要包括 Oracle，MS SQL 数据库。 需要对这些系统进行系统安全漏洞的扫描和实时入侵的检测。 应用安全管理需求分析 应用层安全主要是对应用资源的有效性进行控制，管理和控制什么用户对资源具有什么权限。 资源包括信息资源和服务资源。 需要提高身 份认证安全性的系统包括主机系统、网络设备、移动用户访问、 VPN 和应用层。 主机系统 包括企业总部和各下属公司中心主机、数据库系统， WEB 服务器、 MAIL 服务器等等，这些主机系统是公司网络系统的核心，存储着公司最重要的信息资源，因此，保证这些主机系统的登录的安全是极其重要的。 目前企业的主机系统仍然沿用单一密码的身份认证方式，这种简单的身份认证存在以下安全隐患：  网络入侵者，很容易猜测或破解账号、密码，利用他人的帐户登录，进行非法操作。  人员的流动、集成商自设等很多因素，使得每台主机系统上的多余帐户增加。 网 络设备安全管理 企业全公司，网络设备（路由器、交换机）数量以数十甚至数百计。 公司所有的业企业网络安全系统设计建议书 13 务系统都是建立在网络设备基础之上的，保证网络设备的安全是保证系统正常运行的首要条件；而保护网络设备的安全，通常考虑的最多的是设备的冗余，而网络设备的配置保护却不被重视，其实，当某一个人登录了网络设备（路由器、防火墙、 VPN 设备等），将配置进行了更改，为以后非法的登录建立通道，对整个系统来说，所有的安全设施就形同虚设。 因此对登录网络设备的人员进行强的身份认证是完全必要的。 移动用户的访问控制访问 移动用户进入公司内部网络可 以通过本地拨号连接公司的内部网络，也可以通过互联网的 ISP 接入公司内部网。 对于企业来说，移动用户将基本上采用 VPN 的方式对内部进行访问，外出的员工可以通过 Inter 渠道的方式进入公司内部网络，获取所需要信息资源或回送需要提交的信息。 而目前从终端上访问也是采用单一静态密码，从我们前面的分析来看，显然是不安全的。 因此我们必须在移动用户访问上增加更加强大的手段对移动用户进行控制管理。 VPN 上的认证 在网络系统将配置 VPN 系统，远程移动用户可以通过拨号连接本地 ISP，用 VPN Client 建立安全通道访 问公司信息资源。 而 VPN 技术能够很好的解决系统传输的安全问题，极大的节约公司的费用，并且使外部非法用户无法访问公司内部信息；但是，对于公司内部用户，由于 VPN 所提供的用户认证机制依然是单一的密码方式，使我们无法保证目前访问信息资源帐户和拥有该帐户的员工的身份相符合，也就是说，还是存在内部用户盗用他人密码访问特定的信息资源的安全隐患（可能这些信息资源是他无权浏览或更改的），因此，补充更强的身份认证机制对 VPN 系统应用来说也是非常必要的。 应用层安全保护 这里的应用层，主要指企业的信息资源管理系统（ ERP）。 在员工进入 ERP 系统时需要输入用户名称和密码，同样的原因，单一静态密码不安全性使得我们有必要在ERP 系统上采用强的认证机制，保证不同权限的、不同级别的用户安全合法的使用 ERP系统。 ERP 系统上单一静态密码的安全隐患主要有： 企业网络安全系统设计建议书 14  用户无法保证办公文件能正确的接受，在接受之前没有被其他人浏览过。  单一密码容易泄露，一旦密码泄露，其恶果可能会很严重。  高级别的用户在远程授权以后，需要及时地更改密码。 以上讨论了企业网络系统各个不同应用的安全认证问题，不难看出，上述的应用都必须在原有的单一静态认证基础上，增加更加 强大的认证手段，因此我们建议在企业网络安全系统内引入动态认证机制，即动态的 SecurID。 加入的 RSA SecurID必须提供通用的 API，使用户可以将 RSA SecurID 认证内嵌到 ERP系统或其他的应用系统中，保证公司内部网络用户接收 MAIL 和文件的安全，验证用户身份，并创建用户登录日志文件。 为了使系统的认证操作和对非法访问的拦截更加有效，所有认证的转发和认证结果的处理都由防火墙来操作完成，即对所有被认证系统认定为非合法访问的服务请求，通过防火墙“掐断”其访问连接，而不是通过应用系统直接拒绝访问服务。 这是防火墙系统设计时必须考虑的可实现功能之一 应用对安全系统的要求分析 任何一个完整的网络安全系统，从其功能和物理层次来看，它将分别是网络基础设施和网络应用系统的组成部分。 防火墙作为网络基础设施的一部分，和其他网络设备一样，其性能目标应该按照网络系统的应用要求进行选型设计。 如果防火墙选型设计的不恰当，即使网络其他设备的选型设计满足要求，同样也会因为防火墙的效率妨碍网络的应用，严重的话会导致整个网络应用建设的失败，这已经是被事实证明的。 因此，本建议书有必要针对企业的网络应用进行防火墙系统的要求分析。 网络应 用系统的现状及发展说明 企业的网络应用包括了集团公司几乎所有的业务活动和管理方面的应用，例如 ERP、OA、财务、网络视频会议应用等等。 任何一个应用系统提供的应用，都是依赖于网络的各个层次来实现应用信息的处理和传送，应用系统最终是通过向所有的网络用户提供使用来达到其应用的目的。 由此可以看出从网络用户电脑（客户端）到应用系统平台（服务器端）的结构形式会对网络设备（尤其防火墙）提出相应的要求；简单而言，不同的应用模式，对网络防火墙系统有不同的技术指标要求。 企业网络目前的应用系统结构是 C/S 和 B/S 两种应用结构 的混合形式，主要的业务企业网络安全系统设计建议书 15 应用系统现在是分布式的 C/S 结构。 现在正在进行的已有应用系统升级开发将使应用系统从 C/S 结构向 B/S 结构迁移；新增加的应用系统开发，也是集中式的 B/S 结构。 在未来一两年内，企业的应用系统将大部分实现集中式的 B/S 结构模式。 同时随着公司规模的扩大和业务领域的拓展，目前已经在企业网络系统内应用的网络视频会议系统（对网络的传输性能要求很高的应用系统）会随着系统应用规模的扩大，为网络系统带来越来越大的数据传输压力。 以上两种主要的因素，在很大程度上决定我们在防火墙选型设计时对产品的取舍。 面向 应用系统的防火墙系统设计要求 根据企业网络应用系统的现状以及未来系统的结构发展，我们认为着重考虑企业的B/S 结构应用特点，是防火墙系统技术指标设计的主要依据。 众所周知，防火墙作为网络设备，对网络性能影响最为主要的是两个参数指标，一个是防火墙的 TCP 连接处理能力（并发会话处理数），另一个是防火墙对网络数据流量的吞吐能力（带宽参数）。 B/S 结构的应用系统虽然具有管理简单，客户端开发、使用和维护的成本很低的优点，但是在网络上 B/S 结构应用系统将会给网络带来巨大的网络流动数据处理压力，而且是并发的。 具 体来说， B/S 结构的应用系统在网络上使用，会给网络防火墙带来数倍甚至数十倍于 C/S 结构应用系统的并发 TCP 会话数量，而且这些会话绝大部分是包长很短的“垃圾” IP 包。 由此可见，在设计企业防火墙系统时，足够大的 TCP 会话处理能力，是我们选择防火墙（包括 VPN）产品考虑的主要因素。 通过对各类防火墙的比较分析，我们认为目前面向 B/S 结构应用的防火墙设备，硬件防火墙是最为明智的选择。 企业网络安全系统设计建议书 16 3 安全系统实现目标 根据上一章的需求分析，从网络安全的技术手段而言，企业企业网的安全系统必须实现从 Inter 和广域网进入内部 资源网络的数据被有效检查和过滤、所有对内部资源网络的访问可以被有效控制、移动用户从 Inter 进入内部网络进行业务操作的通信和通过广域网进入内部网的用户通信必须加密、所有网络访问行为能够被记录和审计、非法访问被预警和阻拦（条件允许时实施）、应用系统平台及数据可以被有效备份以抗击灾难风险、用户的身份的真实性认证等几方面的目标。 网络基础层安全系统建设目标 网络层安全系统通过防火墙系统（带 VPN 功能）实现访问控制、网络信息检查、通信加密、非法入侵检测和拦截，异常情况告警和审计几大功能目标。 Inter 及 Extra 进出口控制 在国际互联网（ Inter）和企业广域网（ Extra）的进出口，防火墙系统通过有效的策略选择，可以阻断有害的网络数据和被禁止的数据源进入企业内部网络。 从互联网入口进入企业网的用户，可以被防火墙有效地进行类别划分，即区分为通过互联网进入内部网的企业移动用户或外部的公共访问者，对于要求进入企业内部网的访问者进行用户的授权认证，拦截没有用户权限的访问者试图进入内部网。 对于通过 Inter 入口和广域网入口进入总部企业内部网或分支机构内部网的用户，设置在网络出入口的防火 墙系统不仅可以对访问者进行能否被允许进入的权限认证，同时可以实现按照企业资源被访问权限划分的访问路由控制。 对于内部或外部的本企业用户而言，防火墙系统可以实现，企业各类资源的应用系统在逻辑上进行子网系统的划分，即在技术上提供可以独立选择安全策略的虚拟系统划分。 VPN 应用 VPN 应用是为网络通信提供有效的信息加密手段。 在企业企业网的 VPN 应用中，采用三倍 DES 的加密技术，这是目前可以获得的最先进和实用的网络通信加密技术手段。 网络的 VPN 应用范围包括移动用户的客户机到企业网络 Inter 出入口的防火墙、各分支机构的广域网出入口防火墙到集团总部广域网出入口防火墙。 企业网络安全系统设计建议书 17 防火墙系统的功能实现要求总结 网络层的安全保证是企业网络系统安全的最关键，因此在企业网络安全系统中，防火墙系统是整个系统的最重要组成部分，它将担负完成大部分的安全服务（安全技术手段）实现和执行的任务。 传统的网络安全系统由于受设备功能和性能的限制，在网络层（从物理层到传输层）很难全部由单一的防火墙或其他安全设备全部完成表 1 中提出的功能要求，所以系统的实施难度和费用（包括设备、人力投入和管理成本）会比较惊人。 但是在今天已经出现了满足网络层全部应用的 、功能强大、性能优异的防火墙产品，如 Cisco 防火墙。 为了使企业的网络安全系统结构简化、建设成本降低，本建议书在网络防火墙系统建设目标方面，提出了下表 2 的功能目标要求。 表 2 防火墙系统实现功能目标 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 认证 * * * * 访问控制 * * * 数据保密 * * * * 数据完整性 * * * 不可抵赖性 审计 * * * 可用性 * * * * 应用辅助安全系统的建设目 标 应用系统的安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制，具有审计和记录机制，确保防止拒绝和防抵赖的防否认机制。 对于重要的主机系统和应用系统、网络设备管理系统，在原有的静态密码认证管理的基础上，增加动态密码认证管理系统，通过 动态的密码方式实时不间断地验证所有访问这些系统用户的真实身份。 企业网络安全系统设计建议书 18 企业网络安全系统设计建议书 19 4 网络安全系统的实施建议 基于以上的规划和分析，我们建议企业网络安全系统按照系统的实现目的，分两个步骤（两期）分别实现以下各个安全子系统： 防火墙系统 VPN 系统 动态认证系统 系统设计的基本原 则 实用、先进、可发展是安全系统设计的基本原则。 本建议书设计的安全系统首先是满足企业现有和可预见未来几年内的应用要求；其次是考虑在投资增加很少的前提下，选择目前可以提供最先进技术手段的设备和系统方案；最后要考虑实现的安全系统面对应用要有长远发展的能力。 防火墙系统作为网络出入口的内外连接控制和网络通信加密 /解密设施，不仅需要有足够的数据吞吐能力，如网络物理接口的带宽，也需要优越的网络连接的数据处理能力，例如并发连接数量和网络连接会话处理能力等。 以下的防火墙系统设计将根据这些原则合理的设计系统。 本建议书将 重点对防火墙系统（包括 VPN 应用系统）提出设计建议。 安全系统实施步骤建议 任何一个网络应用系统在实施和建设阶段，在进行应用系统开发的同时，首先是考虑网络基础设施的建设。 防火墙系统和 VPN 应用系统作为现代网络系统基础设施的重要部分，毫无疑问也是我们建设网络安全系统首先需要构架的系统。 这也是我们建议企业网络安全系统第一阶段需要完成的系统建设部分。 动态认证系统是对网络用户对具体的应用系统或网络资源访问控制的一种加强手段。 正。