网络安全设计需遵循的原则及产品技术标准

网络安全设计需遵循的原则及产品技术标准

郝维嘉

辽宁社会科学院信息办网络室郝维嘉

【摘要】本项目主要是围绕用户网络的各个薄弱环节进行信息系统安全的建设。详细阐明了网络及信息系统安全设计要遵循的原则，同时给出了网络产品购置的产品技术指标。

【关键词】网络；安全；方案

【中图分类号】G412.65【文章标识码】B【文章编号】1326-3587（2012）11-0091-02

一、前言

近来，随着信息化的发展和普及，危害网络安全的事情时常发生。例如，越权访问、病毒泛滥、网上随意发布信息，甚至发表不良言论。这些问题需要我们引起足够的重视，规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。

信息系统安全建设项目，应该严格按照网络和信息安全工程学的理论来实施；严格按照信息安全工程的规律办事，做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”，因此，将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设，从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手，按照科学规律与方法论，从理论到实践、从文档到工程实施等方面，着手进行研究、开发与实施。

信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全：

1、对整个信息系统进行全面的风险分析与评估，充分了解安全现状；

2、根据评估分析报告，结合国家及行业标准，进行安全需求分析；

3、根据需求分析结果，制定统一的安全系统建设策略及解决方案；

4、根据解决方案选择相应的产品、技术及服务商，实施安全建设工程；

5、在安全建设工程实施后期，还要进行严格的稽核与检查。

二、安全系统设计要点

有些用户对网络安全的认识存在一些误区：认为网络运行正常，业务可以正常使用，就认为网络是安全的，是可以一直使用的；网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件，认为只要安装了这些设备，网络就安全了；他们没有认识到网络安全是动态的、变化的，不可能仅靠单一安全产品就能实现。所以，我们必须从网络安全可能存在的危机入手，分析并提出整体的网络安全解决方案。

1、建设目标。

通过辽宁地区网络及应用安全项目的建设目标来看，构建一个安全、高效的网络及应用安全防护体系，充分保障业务系统稳定可靠地运行势在必行。

2、设计思想。

一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准，集多年的研发成果及无数项目实施经验提炼出来的，同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识，最终部署安全产品和实施安全服务以保证客户系统的安全。

为什么要实施安全体系？

内因，也就是根本原因，是因为其信息有价值，网络健康高效的运行需求迫切。客户的信息资产值越来越大，信息越来越电子化、网络化，越来越容易泄漏、篡改和丢失，为了保护信息资产不减值，网络行为正常、稳定，必须要适当的保护，因此要有安全投入。

其次才是我们耳熟能详的外因，如遭受攻击。当前在网络信息领域中，入侵的门槛已经越来越低（攻击条件：简单化；攻击方式：工具化；攻击形式：多样化；攻击后果：严重化；攻击范围：内部化；攻击动机：目的化；攻击人群：低龄化和低层次化），因此当入侵者采用技术方式攻击，客户必须采用安全技术防范。随着我国安全技术的逐步深入研究，已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。

时间和空间是事物的两个根本特性，即一经一纬构成了一个立体的整体概念，安全系统的设计也可以这么理解。

从时间角度部署安全系统，如图一，基于时间的防御模型。

该模型的核心思想是从时间方面考虑，以入侵者成功入侵一个系统的完整步骤为主线，安全方案的设计处处与入侵者争夺时间，赶在入侵者前面对所保护的系统进行安全处理。在入侵前，对入侵的每一个时间阶段，即下一个入侵环节进行预防处理。也就是说，与入侵者赛跑，始终领先一步。

从空间角度部署安全系统，如图二，基于空间的防御模型。

一个具体的网络系统可以根据保护对象的重要程度（信息资产值的大小）及防护范围，把整个保护对象从网络空间角度划分成若干层次，不同层次采用具有不同特点的安全技术，其突出的特点是对保护对象“层层设防、重点保护”。

一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。

边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是两个不同逻辑或物理的网络之间，常见的边界防护产品有防火墙等。

区域防护相较于边界是一个更小的范围，指在一个重要区域设立的安全防护措施，常见的区域防护产品有网络入侵检测系统等。

节点防护范围更小，一般具体到一台服务器或主机的防护措施，它主要是保护系统的健壮性，消除系统的漏洞，常见的节点防护产品主机监控与审计系统。

核心防护的作用范围最小但最重要，它架构在其它网络安全体系之上，能够保障最核心的信息系统安全，常见的核心防护产品有身份认证系统、数据加密、数据备份系统等。

3、设计原则。

1)实用性。

以实际业务系统需求为基础，充分考虑未来几年的发展需要来确定系统规模。以平台化、系统化来构造安全防护体系，各安全功能模块以组件方式扩展。

2)标准化。

安全体系设计、部署符合国家相关标准，各安全产品之间实现无缝连接，确实不能实现的必需采用其他技术手段予以解决，并与内部的网络平台兼容，使安全体系的设备能够方便的接入到现有网络系统中。

3)可靠性。

安全体系设计必须具有较高的安全性和可靠性。安全体系应当结合各类安全产品与安全措施，切实保障网络平台的平稳运行。关键设备、关键部件应有冗余配置。权限设置合理，有完善的灾难应急功能和恢复能力。

4)扩展性。

安全体系结构设计应易于升级和扩展，能满足各项业务的需求；必须充分考虑与未来各种标准兼容，具有可扩充性，能保障整个网络平台提供持续、健康和安全的运行，并且今后能与新的网络相互共享信息资源。

5)易用性。

安全产品界面应简单、统一、通用，力求操作简便，使操作人员很快能进行实际操作；特别是针对领导经常使用的模块，应保证能方便快捷地完成日常工作；减少人与安全系统的磨合，降低网络安全方面维护的工作量。

4、设计依据标准。

国家标准GB-T20281-2006《信息安全技术-防火墙技术要求和测试评价方法》

国家标准GB-T20280-2006《信息安全技术-网络脆弱性扫描产品测试评价方法》

国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》

《中华人民共和国计算机信息中心安全保护条例》

《计算机信息系统国际联网保密管理规定》

《计算机信息网络国际互联网安全保护管理方法》……

三、安全产品技术指标

1、网络防火墙。

产品名称：网络防火墙，部署位置：网络出口。

1.1硬件架构。高集成度的专用芯片，内嵌通信处理单元和高速VPN加密处理单元，具有千兆级的通信处理能力和高速互连接口，保证防火墙可以24小时不间断工作。

1.2接口类型及数量：千兆WAN口≥6个。

1.3攻击防范。支持防扫描探测，包括：地址扫描、端口扫描等；

支持可疑数据包检测与控制，包括：IPOption控制、IP分片报文控制、TCP标记合法性检查、超大ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、TRACERT报文控制等；

支持网络攻击防御，包括：synflood攻击、udpflood攻击、icmpflood攻击、DNSFlood攻击、ARP攻击、IPSpoofing攻击、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke攻击、PingofDeath攻击、TearDrop攻击、Httpget攻击、CC攻击等。

1.4VLAN：支持对LAN口进行VLAN划分。

1.5NAT功能：支持NAT地址转换，包括接口地址转换（多对一）、静态地址转换（一对一）、地址池转换（多对多）、端口转换（一对多）。

1.6VPN功能：支持IPSec、SSL等VPN协议；支持硬件加密。

1.7系统日志。支持Syslog日志和二进制日志，并提供配套的日志服务器软件；支持NAT日志记录；支持流日志，能够对网络流量、DDoS攻击流量、P2P流量等进行统计分析排序，并自动输出图形报表。

1.8配置与管理。支持中文界面WEB管理及命令行管理，支持基于SSH的远程安全管理

2、网络入侵检测系统。

产品名称：网络入侵检测系统，部署位置：全网重点区域设备。

2.1系统结构。系统采用C/S结构，引擎支持网桥模式，单网段监控，多网段监控3种工作模式的支持。

2.2检测能力。检测规则大于29大类1900多条，支持主要的攻击检测，还需要支持对Oracle数据库，流媒体，P2P等攻击的检测。能够捕获攻击者的相关信息，比如操作系统，攻击工具名称，版本等；能够查明攻击针对的对象的情况，比如被攻击的软件版本，操作系统等，便于发现自身安全隐患；能够对特殊网段或者特殊主机进行单独监控。

2.3事件响应。向控制台实时发送报警信息，实时切断会话，Email通知，日志记录，用户自定义响应方式，发送Windows消息。

2.4设备联动性。能够和网络设备如路由器、交换机进行联动，支持OpenIds互动协议,与防火墙联动，支持与扫描器进行联动，支持与安全管理平台联动管理，支持标准接口。

2.5设备管理。可以对设备进行集中管理，提供串口管理方式，提供液晶屏管理方式，可以查看检测设备的基本信息；具有设备集中管理能力，引擎支持ssh加密远程管理，支持控制台与引擎的双向自定义连接。

2.6用户管理。支持用户分级管理，支持对用户权限的设定，提供对超级用户的保护，串口管理员与系统管理员权限分级。

2.7报表。生成五种类型报表（常规报表，详细报表，审计报表，安全建议和解决方案报表），根据时间段,原地址，目标地址，等多种统计参数生成报表，提供定时报表功能，可以在用户设定的时间自动生成报表，用户可以根据自己需要，自定义报表，报表导出支持多种格式：PDF、HTML、EXECL、TXT、RPT。

2.8报警显示。可以根据报警的事件，安全级别，源地址和目的地址等多种信息提显示。报警事件合并功能，可以对报警进行不同层次的合并，报警条数超过最大限制后的自动删除。根据报警名称、源IP、目的IP、源端口、目的端口、时间、设备名称、事件级别进行分类。用户可以根据需要自定义报警显示的方法。当警报信息满的时候能够自动提示，分级查看报警信息，可以针对来源IP，时间，攻击方式等多种信息进行查询。

2.9安全审计。可以配置审计数据选择性生成，提供多种审计日志查阅方式，提供专门权限对系统审计日志进行管理。

2.10自身安全性。硬件设备本身具有防攻击的功能，与控制台通讯进行认证，支持控制台锁定，控制台在一定时间内没有操作，自动锁定控制台；支持管理端口、监听端口分离，监听网口不带IP地址，能抗DoS和绕过IDS的攻击。

2.11流量统计功能。实时显示保护网络中每台主机的进出流量，用户可以定义需要监视的网段和主机。每台主机的流量信息以表格和图形的方式显示，显示主要的应用协议HTTP、SMTP、POP3、TELNET、FTP的流量信息。

2.12会话还原功能。实时监视网络中的HTTP、FTP、POP3、SMTP、TELNET、MSN等流行的应用层协议，对协议进行分析还原。并支持对分析还原后的结果进行存储和查询，支持用户级别管理，针对不同的用户，可以提供不同的查看权限。

2.13系统稳定性。网络断开连接后并恢复后，控制台和检测设备的连接具有自动恢复功能。检测设备和控制台连接断开时，报警事件保存于检测设备；当检测设备硬盘空间到达一定程度时，自动清除日志，并通知控制台。

2.14入侵策略库。提供网络在线升级方式，提供本地升级方式，安全策略库两周升级一次，紧急情况提供紧急升级。提供策略多种类型的检测模版，提供自定义入侵检测规则，对每条策略库中的策略都有中文说明，每条警报能实现方便的开启和关闭。

2.15数据维护。数据库数据可以进行可选择的导入和导出操作，支持数据库的定时备份和删除操作，提供数据库压缩功能，支持数据库切换，支持Access和SQL数据库。