重庆跃进机械厂网络信息安全及对策
第一章 重庆跃进机械厂网络信息平台安全体系概述
 重庆跃进机械厂网络信息主要由办公自动化网和该研究所托管服务器网站所组成，由于出差在外的移动用户需要访问内部办公网，以访问内部网络资源，网络信息安全体系的建立和网络信息安全的全面解决方案更是迫在眉睫。
 现在提供的解决方案力图从网络信息安全的威胁分析入手，在网络信息的各个层次上解决网络信息安全问题。
1.1安全威胁
 由于重庆跃进机械厂网络信息内运行的主要是多种网络信息协议，而这些网络信息协议并非专为安全通讯而设计。所以，研究所网络信息可能存在的安全威胁来自以下方面：
 1.操作系统的安全性，目前流行的许多操作系统均存在网络信息安全漏洞；
 2.防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；
 3.来自内部网用户的安全威胁；
 4.缺乏有效的手段监视、评估网络系统的安全性；
 5.采用的TCP/IP协议族软件，本身缺乏安全性；
 6.应用服务的安全，许多应用服务系统在访问控制及安
 7.通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。
1.2研究所网络信息的基本安全需求
 满足基本的安全要求，是该网络信息成功运行的必要条件，在此基础上提供强有力的安全保障，是该网络信息系统安全的重要原则。
  对于各种各样的网络攻击，如何在提供灵活且高效的网络信息通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。
 该网络信息基本安全要求：
 1.网络信息正常运行。在受到攻击的情况下，能够保证网络信息系统继续运行。
 2.网络信息管理/网络部署的资料不被窃取。
 3.具备先进的入侵检测及跟踪体系。
 4.提供灵活而高效的内外通讯服务。
1.3平台安全与平台性能和功能的关系
 IPtrust外联网络信息结构图：

图1-1 外联网络信息结构
 根据总部办公地点现状，结合层次化网络信息设计方法，网络信息平台结构如附图1-2所示：

图1-2 网络信息平台结构
 构建平台安全系统，一方面由于要进行认证、加密、监听、分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。
 选择适当的技术和产品，制订灵活的网络信息安全策略，在保证网络信息安全的情况下，提供灵活的网络信息服务通道。
 采用适当的安全体系设计和管理计划，能够有效降低网络信息安全对网络信息性能的影响并降低管理费用。
第二章 重庆跃进机械厂网络信息结构分析及安全需求
 重庆跃进机械厂经过多年的建设，已经形成比较完善的综合网络信息，具体的网络拓扑结构如2-1所示 。
 
 
 
 
 
 
 
 
 
 
 
 图2-1 网络拓扑结构图
2.1重庆跃进机械厂现行网络信息整体结构分析
 内部网络信息结构和外部网络信息连接两个方面讨论研究所网络信息的结构。
 （1）内部网络信息结构：
 从网络信息结构拓扑图中可以看出，将整个托管服务器网站与办公自动化网设为内部网络，它包括：
 1.各种服务器
 2.运行系统的工作站
 3.通过专线连接的托管服务器网站与办公自动化网
 托管服务器网站通过ISP与Internet连通，办公自动化网通过ADSL与Internet连通，托管服务器网站与办公自动化网之间通过路由器通过DDN专线连接。网络间各节点通过TCP/IP协议进行通讯。
 （2）外部网络连接：
 由于业务需要，某研究所员工经常需要出差，并且要保证该移动用户能使用当地ISP拨号上网连接上Internet，安全进入内部网网络，形成一个虚拟私有网络信息。
 以上连接属于内部网络信息与外部网络信息的连接，一方面虽然满足了该研究所的需要，同时也导致了新的安全问题。这些外部连接的安全防范也成为研究所网络信息安全的重要方面之一。
2.2该研究所网络信息安全需求概述
 网络信息系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境，安全问题变得越来越复杂和突出，所以网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础。
 通过以上对网络结构的分析不难看出，目前研究所网络信息的规模庞大，结构复杂，网络上运行着各种各样的主机和应用程序，使用了多种网络信息设备；同时，由于多种业务的需要，又和许多其他网络信息进行连接。
第三章 网络信息安全系统的总体规划
3.1安全体系结构
 网络信息安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络信息安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。
3.2安全体系设计
 在进行计算机网络信息安全设计、规划时，应遵循以下原则：
 （1） 需求、风险、代价平衡分析的原则 ：对任一网络信息来说，绝对安全难以达到，也不一定必要。对一个网络信息要进行实际分析，对网络信息面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。
 （2） 综合性、整体性原则 ：
 运用系统工程的观点、方法，分析网络信息的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络信息包括个人、设备、软件、数据等环节。它们在网络信息安全中的地位和影响作用。
 （3）一致性原则 ：这主要是指网络信息安全问题应与整个网络信息的工作周期同时存在，制定的安全体系结构必须与网络信息的安全需求相一致。实际上，在网络信息建设之初就考虑网络信息安全对策，比等网络信息建设好后再考虑，不但容易，而且花费也少得多。
 （4）易操作性原则 ：
 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。
 （5）适应性、灵活性原则 安全措施必须能随着网络信息性能及安全需求的变化而变化，要容易适应、容易修改。

第四章 网络信息安全整体解决方案详细设计
 以上概括地介绍了重庆跃进机械厂的网络信息安全体系，分析了研究所的网络信息结构以及网络信息安全的隐患，并提出了我们对于网络信息安全建设的总体设想。
4.1网络信息安全集中管理
 防火墙是近年发展起来的重要安全技术，其主要作用是在网络信息入口点检查网络信息通讯，根据客户设定的安全规则，在保护内部网络信息安全的前提下，提供内外网络信息通讯。
4．1．1选择防火墙的要点
 1.安全性：即是否通过了严格的入侵测试；
 2.抗攻击能力：对典型攻击的防御能力；
 3.性能：是否能够提供足够的网络吞吐能力；
 4.自我完备能力：自身的安全性；
 5.可管理能力：是否支持SNMP网管；
 6.认证和加密特性；
 7.服务的类型和原理；
 8.网络信息地址转换能力。
4．1．2理想网络信息结构下的防火墙设置
 所有来自外部网络信息的服务请求只能到达防火墙，防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机，对于非法访问加以拒绝。如图4-1所示。
 
 
 
 
 
 
 
 
 
 
 
 
图4-1 防火墙设置
 网络信息的情况对于外部网络信息的用户来说是完全不可见的。由于代理防火墙是内部网络信息和外部网络信息的唯一通讯信道，因此防火墙可以对所有针对内部网络信息的访问进行详细的记录，形成完整的日志文件。防火墙要保护的网络与外部网络信息应该只有唯一的连接通路，如果防火墙后还有其他通路，防火墙将被短路，无法完成保护内部网络信息的工作。因内部网络信息有多个外部连接，我们就应该在每个入口处都放置防火墙,在托管服务器网出口处放置一台硬件的FIREWALL;在办公自动化网与托管服务器网之间放置一台硬件FIREWALL,以防止攻击者进入托管服务器网后,再使用DDN专线攻击办公自动化网络信息;在ADSL拨号服务器上安装一套软件FIREWALL,以防止攻击者攻击ADSL拨号服务器,以此为入口,进入研究所办公网。
4.2防火墙技术
 利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络信息保护，降低了网络信息安全风险。但是，仅仅使用防火墙、网络信息安全还远远不够：
 1.入侵者可寻找防火墙背后可能敞开的后门；
 2.入侵者可能就在防火墙内；
 3.由于性能的限制，防火墙通常不能提供实时的入侵检测能力。
 入侵检测系统是近年出现的新型网络信息安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 实时入侵检测能力之所以重要首先它能够对付来自内部网络信息的攻击，其次它能够缩短黑客入侵的时间。
4．2．1选择入侵监视系统的要点
 入侵监测系统可实时监视：
 1.可疑的连接、异常进程、非法访问的闯入等；
 2.检查系统日志；
 3.通过监视来自网络信息的攻击，入侵监测系统能够实时地检测出攻击，并对非法入侵行为作出切断服务、重启服务器进程、发出警报、记录入侵过程等动作；
 4.提供对典型应用的监视；
 5.因此，在提供关键服务的服务器上使用入侵监测系统，安装实时的安全监控系统，可以提高服务器系统的可靠性,使网络信息安全系统更加强健。
4.3安全扫描工具的分类
 安全扫描工具通常分为基于服务器和基于网络信息的扫描器。
 1.基于服务器的扫描器
 基于服务器的扫描器主要扫描与服务器相关的安全漏洞，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
 2.基于网络信息的扫描器
 基于网络信息的安全扫描主要扫描特定网络信息内的路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围。
 网络信息安全扫描的主要性能：
 1.速度，在网络信息内进行安全扫描非常耗时；
 2.网络信息拓扑，通过GUI的图形界面，可选择某些区域的设备；
 3.能够发现的漏洞数量；
 4.报告，扫描器应该能够给出清楚的安全漏洞报告；
 5. 更新周期，提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。
4.4应用VPN技术
 出差员工采用公网网络信息进行连接，其最大的弱点在于缺乏足够的安全性。企业网络信息接入到公网中，暴露出两个主要危险：
 1.来自公网的未经授权的对企业内部网的存取；
 2.当网络系统通过公网进行通讯时，信息可能受到窃听和非法修改。
 完整的集成化的企业范围的VPN安全解决方案，提供在公网上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。
4．4．1远程访问内部网的安全性
 对于从外部拨号连接Internet访问内部局域网的用户，由于使用Internet进行数据传输所带来的风险，必须严格控制其安全性。
 首先，应严格限制拨号上网用户所能访问的系统信息和资源，这一功能可通过在防火墙和应用服务来实现。
 其次，应加强对拨号用户连接Internet进入内部网的身份验证功能，使用身份认证令牌进行认证。一方面，可以实现对帐号的统一管理；另一方面，在身份验证过程中采用一次性口令认证，避免用户口令被猜测的可能性。
 第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGP for Business Security，对数据直接加密。另一种方法是采用软件或防火墙所提供的VPN（虚拟专网）技术。VPN在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的安全性，其运行示意图4-3所示。
 
 
 
 
 
 
 
 
 
 
 
 
 
 图4-3防火墙运行示意图
4.5对网络信息的全面管理
 随着信息技术日新月异的飞速发展，企业的网络信息环境也日益复杂，这不仅为网络信息系统管理带来了挑战和压力，还带来了运行效率、可用性、可靠性和安全性等诸多方面的问题。企业网络信息监控和安全管理已成为一个倍受瞩目的焦点领域，越来越多的人认识到它是整个企业网络信息环境中必不可少而且非常重要的一个组成部分。
 监控和安全维护工具是在已运行的网络信息系统上叠加部分计算机网络信息资源，在不影响系统正常运行和不改变系统内核的情况下，完成系统运行情况数据的采集、系统故障预警和告警、部分调整工作的实施并提供分析数据和部分参考解决方案等项功能。
第五章 安全体系中的其它问题
 重庆跃进机械厂网络信息系统的安全性，并不能通过以上所描述产品的简单组合实现，事实上再好的安全产品，如果没有良好的安全策略和管理手段做后盾，等于在蚊帐上安装了铁门，是无法确保网络信息安全的。
 由于篇幅的限制，以及对用户需求了解的粗糙性，我们以上提供的解决方案只能是研究所网络信息安全的一个大体轮廓，至少还有以下的主要问题需要进行描述：
 1．网络信息安全策略的制定；
 2．认证技术的讨论；
 3．产品选型的分析比较。
 由于重庆跃进机械厂是多级网络系统，各节点具有不同的网络规模、应用和管理权限，安全系统的配置也需要具体进行用户化。
 网络信息安全系统的正常有效运行需要大量的技术支持保证。由于安全问题层出不穷，购买了安全产品，还必须获得供应商及集成商提供的持久的技术支持。
 用户技术支持：
 1.安全服务，在客户授权下，模拟一个攻击者，对客户网络信息进行合法的人工扫描，
 2.尝试入侵网络信息，找出网络信息的安全漏洞及其隐患；
 3.培训，包含网络信息安全及管理理论及产品；
 4.设计，帮助客户设计网络信息安全系统；
 5.升级，每个月对网络信息安全产品实行升级；
 6.咨询，提供基于电话/传真/电子邮件的咨询。

[摘   要]
 近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络信息联通性为主要目标的第一代Internet技术向以提供网络信息数据信息服务为特征的第二代Internet技术的过渡。与此同时，数以万计的商业公司、政府机构在多年的犹豫、观望之后，意识到采用Internet技术并使企业数据通信网络信息成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以
 Internet互联技术为基础的第三代企业信息网络。所有这些，都促使了计算机网络信息互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络信息协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络信息传播病毒，线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。

[关键字]：Internet  网络信息  联通性  信息服务  商业公司  发展趋势  网络安全

注 释
①网络信息安全逐渐成为一个潜在的巨大问题。
②网络信息安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。
③主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。
④安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。
⑤网络信息安全的解决方案，目的在于为用户提供信息的保密。
⑥认证和完整性保护机制，使网络信息中的服务，数据以及系统免受侵扰和破坏。
⑦防火墙，认证，加密技术等都是当今常用的方法。
⑧深入研究各个方面的网络信息安全问题的解决。
参考文献
[1]雷震甲.网络工程师教程.[M].北京.清华大学出版社.2004
[2]王春森.系统设计师.[M].北京.清华大学出版社.2001
[3]郭军.网络管理.[M].北京.北京邮电大学出版社.2001
[4]赛迪网.计算机用户.[J].2002
[5]王缜,叶林 .电子商务中的安全技术.[M] .河北.河北工业科技报. 2002
[6]张炯明.电子商务安全使用技术.[M].北京.清华大学出版社.2002
[7]劳帼龄.网络安全与管理.[M].北京.高等教育出版社.2003
[8]祁明.网络安全与保密.[M].北京.高等教育出版社.2001
[9]白以恩.计算机网络基础及应用.[M].黑龙江.哈尔宾工业大学出版社.2003
[10]张铎.电子商务加油站.[M] .北京.北京邮电出版社.2003

相关论文