网络安全基本部署

网络安全基本部署

This model paper was revised by the Standardization Office on December 10, 2020

网络安全基本部署

1网络安全概述

随着计算机技术和网络技术的发展，网络成为信息高速公路，人们利用网络来获取和发布信息，处理和共享数据，随之而来的网络信息安全问题日益突出，网络协议本身的缺陷、计算机软件的安全漏洞，对网络安全的忽视给计算机网络系统带来极大的风险。实际上，安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet计算机侵入事件。网络防黑客、防病毒等安全问题已经引起各企业和事业机关的重视。网络安全系统面临的安全问题主要有以下几大类：网络黑客的入侵

计算机病毒四处泛滥

内部人员有意或无意的非法信息访问和操作

网络环境下的身份冒充

公共网络传输中的数据被窃取或修改

此外，由于网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络管理也逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管理系统对网络进行管理，就很难向广大用户提供令人满意的服务。因此，找到一种使网络运作更高效，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫

切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所认识，可迄今为止，在网络管理领域里仍有许多漏洞和亟待完善的问题存在。

2网络安全系统的基本需求

将网络所覆盖的计算机全部安装防病毒软件，并加装入侵检测和漏洞扫描系统，将网络系统进行多层防护；另一方面还要进一步加强网络安全服务管理体系，以全面提高系统安全指数。

让我们分析一下多层防护策略如何发挥作用。

如果网络中的入侵检测系统失效，防火墙、漏洞扫描和防病毒软件还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞，即使一个攻击没有被发现，那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒，防火墙没能够阻止病毒，安全漏洞检测没有清除病毒传播途径，防病毒软件同样能够侦测这些病毒。所以，在使用了多层安全防护措施以后，企图入侵信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时，信息系统的安全系数得到了大大的提升。

根据大型网络及应用系统的目前实际需求，其安全管理体系由以下部分组成：

◇ 防火墙：主要针对来源于外部的攻击，隔离内外网，建立一个内部网和外部网之间的安全屏障，实施全网安全策略；

◇ 病毒防护系统：从桌面、服务器到Internet/Intranet网关的多级立体防病毒体系，使病毒无处藏身和进行破坏；

◇ 安全漏洞扫描：随时对网络系统的各个环节包括操作系统到防火墙等各个环节提供可靠的安全分析结果，并提供网络安全性分析报告等，以改善安全措施，加强防卫；

◇ 网络检测分析：对网络中的数据进行包捕捉、解包分析、流量监测、发现及解决故障、专家系统建议以优化网络系统；

将以上网络安全产品结合起来，加上专门定制的安全策略和配置管理手段等，就构成了企业信息网络的基本安全管理体系。通过以上的集成安全策略的实施，才可以有效地抵御来源于网络内部、外部的各种非法访问及病毒威胁。

而今的业界，将漏洞扫描与入侵检测互联互动、搭配使用的技术趋势已渐成气候，而现今大多数网络仅有防火墙，漏洞扫描与入侵检测都还没有部署，这会使内部用户完全处在了防火墙的盲区，网络对他们而言是没有防范的，即是不安全的。外来用户一旦发现了防火墙的漏洞，那么整个网络对他们也是通行无阻的。漏洞扫描与入侵检测对网络安全是必不可少的。要想有效的防范各种网络威胁，就必须全面的部署网络安全产品，任何层面的防范都不能少。

3.1网络防火墙系统

防火墙对网络的安全起到了一定的保护作用，但并非万无一失。在应用防火墙时应注意如下几点：

1.正确选用、合理配置防火墙非常不容易防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：a.风险分析；b.需求分析；c.确立安全政策；d.选择准确的防护手段，并使之与安全政策保持一致。然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”

还是个问题。

2.需要正确评估防火墙的失效状态

评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何按级别来分，它应有这样四种状态：a.未受伤害能够继续正常工作；b.关闭并重新启动，同时恢复到正常工作状态；c.关闭并禁止所有的数据通行；d.关闭并允许所有的数据通行。前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

3.防火墙必须进行动态维护

防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch)产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

4.目前很难对防火墙进行测试验证

防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。

5.非法攻击防火墙的基本“招数”

a.通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等其他因素，但对攻击者而言很值得一试。

b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处

于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。

c.需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。

以上分析表明，防火墙的安全防护性能依赖的因素很多。防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则无能为力。从技术来讲，绕过防火墙进入网络并非不可能。目前大多数防火墙都是基于路由器的数据包分组过滤类型，社会上存在各种网络外部或网络内部攻击防火墙的技术手段。

3.2网络入侵检测系统

在传统的网络安全概念里，似乎配置了防火墙就标志着网络的安全，其实不然，从上面的分析可以看出，防火墙仅仅是部署在网络边界的安全设备，它的作用是防止外部的非法入侵，仅仅相当于计算机网络的第一道防线。虽然通过防火墙可以隔离大部分的外部攻击，但是仍然会有小部分攻击通过正常的访问的漏洞渗透到内部网络；另外，据统计有70%以上的攻击事件来自内部网络，也就是说内部人员作案，而这恰恰是防火墙的盲区，而当今大部分网络系统却正是处在这种情况下运行的。入侵检测系统(IDS)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。

入侵检测系统是实时的网络违规自动识别和响应系统。它运行于敏感数据需要保护的网络上，通过实时监听网络数据流，识别，记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络信息安全检测系统预警系统能够根据系统安全策略做出反应。该系统可安装于防火墙前后，可以对攻击防火墙本身的数据流进行响应，同时可以对穿透防火墙进行攻击的数据流进行响

应。在被保护的局域网中，入侵检测设备应安装于易受到攻击的服务器或防火墙附近。这些保护措施主要是为了监控经过出口及对重点服务器进行访问的数据流。入侵检测报警日志的功能是通过对所有对网络系统有可能造成危害的数据流进行报警及响应。由于网络攻击大多来自于网络的出口位置，入侵检测在此处将承担实时监测大量出入整个网络的具有破坏性的数据流。这些数据流引起的报警日志，是作为受到网络攻击的主要证据。

3.3漏洞扫描系统

网络的应用越来越广泛，而网络不可避免的安全问题也就越来越突出，如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。

动态安全的概念是：帮助管理员主动发现问题。最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。因此所有的网络系统需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网

络系统平台安全。动态防御与响应

随着网络脆弱性的改变和威胁攻击技术的发展，使网络安全变成了一个动态的过程，静止不变的产品根本无法适应网络安全的需要。同时由于单一的安全产品对安全问题的发现处理控制等能力各有优劣，因此不同安全产品之间的安全互补，可以提高系统对安全事件响应的准确性和全面性，使防护体系由静态到动态，由平面到立体，不仅增强了入侵检测系统的响应能力，降低了入侵检测的误报率，充分发挥了入侵检测的作用，同时提升了防火墙的机动性和实时反应能力。因此，入侵检测系统的动态防御应实现入侵检测和防火墙、入侵检测和漏洞扫描的联动。

与防火墙联动

入侵检测系统可以进行简单的针对TCP连接的阻断，对于网络上的错综复杂的攻击事

件，入侵检测系统的防护效果还是不够全面。防火墙作为网络系统的专用的安全防护工具，其防护能力较入侵检测产品，要全面和有效。所以，建议使用入侵检测系统与防火墙联动方式，来实现对目标网络的整体防护。

当入侵检测系统检测到此攻击事件时，会实时的传送一个防护策略给防火墙，由防火墙实现实时的入侵阻断。在入侵检测系统中部署的入侵检测设备可以同网络系统中的防火墙通过互联协议实现联动。当入侵检测设备检测到入侵行为后可以直接由防火墙实施切断攻击行动。

与漏洞扫描系统联动

入侵检测在发现攻击行为的同时，发出指令通知漏洞扫描系统，对被攻击目标机或攻击源进行扫描，来确认攻击源的存在和被攻击机系统存在的漏洞，以做到主动防御。

同时，通过获得扫描结果，使IDS系统的事件报警更加准确，提高IDS系统的运行效率。同时，也让管理员动态了解了网络系统内服务器的安全状况，为制定入侵检测系统策略提供依据。

3.5网络防病毒系统

网络防病毒系统是在原有单机防病毒基础上发展而来。目前，优秀的网络防病毒系统应该能够在各个层面上对病毒进行检测和清除。

在当前网络系统中由于涉及大量桌面操作交互，我们建议采用两层防病毒体系来实现对网络系统的病毒防护。

Mail网关防病毒系统部署

服务器防病毒部署

客户端防病毒部署

另外，对于网络内部手提电脑的防病毒问题，由于手提电脑不经常联入网络，因此在它没有连接到网络的时候，无法向管理员进行实时报警，也不能将染毒的相关信息马上上报到管理服务器上，但是当手提电脑安装防病毒软件的客户端，重新联入网络时，会将尚未上报的染毒的相关信息汇总上报到管理服务器上，因此，管理员总是能得到相关消息。

以上三类防病毒产品的选择上，要遵循同一厂商产品的原则，以方便管理员的管理。