民航管理局内部网络安全解决方案.docx

1、民航管理局内部网络安全解决方案民航管理局内部网络安全解决方案资料来源：计算机世界刘炳南 陶舸 一、概述随着网络和InternetIntranet的普及和电子商务的发展，整个社会的活动将越来越依赖于网络系统，网络系统在整个社会中扮演的角色将越来越重要，也将使得网络系统的安全问题变得越来越突出。如果我们不采取坚决有效的安全控制措施，可以预计网络黑客将如同目前的计算机病毒那样泛滥成灾。特别是当前还有一些国际国内敌对势力亡我之心不死，例如，2001年“五.一”前美国黑客对我国网络系统进行的大范围的疯狂攻击，而邮政部门作为我国一个重要的国家机构之一，掌握着大量用户敏感信息和国家的一些机密信息，是犯罪分子

2、首要攻击的对象之一。因此，我们必须从现在做起，将安全控制当作一项综合系统工程来看待，以适应二十一世纪网络世界日新月异飞速发展的步伐。某民航管理局（以下简称：管理局）是全国民航管理的重要组成部分，其内部网络主要用于处理民航内部管理信息，其中包括许多民航管理政策、公文甚至秘密文件，其安全甚至关系到全国民航管理局的安全。在管理局领导的关心下，其网络系统经过不断发展，随着网络信息系统的不断壮大、业务的不断增多，系统安全及信息安全问题也日益重要，管理局的领导也十分重视，目前已经成为其重要的议事日程。二、安全性分析2.1 系统分析及安全现状管理局网络覆盖面大、结构复杂、设备多种多样、应用系统很多，这些都造

3、成了网络管理上比较困难，可能会存在很多的安全漏洞，而即使是一些对漏洞的修补工作也可能会产生新的安全漏洞。管理局的硬件资源包括目前已经开通了两个工作区100余台机器，未来将要开通四个工作区，计算机设备将达到600至700台，除此之外还包括若干交换机、路由器等网络交换设备。管理局的软件资源包括：Windows 2000、Windows98等操作系统，SQL SERVER、ORACLE数据库管理系统，IIS浏览服务器，Exchange邮件服务器，公文系统软件，航空安全信息系统软件等。管理局内部网络系统中涉及的信息资源主要包括：公文（这其中可能有涉及国家秘密的信息）、航空安全信息（这其中可能有涉及商业

4、秘密的信息）、其它业务信息包括未来可能开通的系统（这其中可能也有涉及商业秘密的信息）、除了上述信息之外的信息相应安全敏感程度较低，但其中WEB服务器上的网站信息虽然安全敏感度不高，但要求的可用性较高，因此在安全方案中应对它做适当安全保护。某民航管理局内部网络系统结构如图1.所示，它们管理着西南地区四省一市的地域，对上通过FR（PVC）与民航管理总局相连，对下西南地区四省一市的民航管理局目前还没有进行网络连接，但马上就要实施。目前某民航管理局网络系统现有的安全措施： 利用操作系统、数据库、应用系统本身的安全性，对用户进行权限控制。 简单的用户口令认证，且大多口令在网上进行文明传输。 在局域网的某

5、些桌面工作站上部署防病毒软件。图1. 某民航管理局网络结构示意图2.2 管理局网络系统的安全风险分析分析网络、应用和内部管理，我们认为网络系统中存在以下的安全风险及需要采取的安全对策：表1. 安全风险一览表如前节所述，以管理局现有的安全措施，网络系统远没有作到必要的安全性，系统还非常脆弱。如系统很容易遭到非授权用户的非法访问甚至是黑客和病毒的入侵，造成网络系统的瘫痪；数据在网络（局域网或广域）上传输，可能被截取、篡改、假冒；远程访问系统经常被未授权的用户入侵；当网络受到攻击时，缺乏必要的防范措施及灾难恢复机制等等。管理局网络系统内主要运行的网络协议为TCP/IP，而TCP/IP网络协议并非专为

6、安全通信而设计。所以，管理局信息系统可能存在的安全威胁来自以下方面：1) 物理层的安全威胁物理层的安全威胁，主要来自对物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)、电磁辐射等，针对这类威胁主要依靠物理设备和线路的保护以及设备防电磁辐射技术来防范，建立完善的备份系统。 由于管理局主要的系统设备都不是低辐射设备同时也没有建立屏蔽间来放置这些设备，局网内大部分线路使用的是非屏蔽5类双绞线，广域网则是PVC线路，因此管理局的网络系统缺乏有效的防电磁辐射措施。2) 网络层的安全威胁网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或窃听，对于这类威胁，主要依

7、靠采用访问控制、网络信息检测和监控的手段来防范、划分VLAN(局域网)、加密通讯（广域网）等手段来进行防范。 在广域网与管理局内部局网之间缺乏有效的网络边界保护措施和集中的访问控制措施。 缺乏完善的网络事件日志审记措施。 缺乏有效的网络监控与入侵防范措施。 采用的TCP/IP协议族，本身缺乏安全性。在通讯中未采取加密措施和严格的认证机制，信息容易被截取或窃听。3) 操作系统和数据库管理系统的安全威胁目前流行的许多操作系统和数据库管理系统均存在安全漏洞，同时它们本身的安全强度也属于非安全的C2级，如UNIX服务器、NT服务器及基于Windows 的桌面平台、ORACLE、SQL SERVER等；

8、对付这类的安全威胁最好采用安全的操作系统和安全数据库管理系统，但是目前基本还没有用于商业的安全操作系统和安全数据库管理系统或这类产品本身的功能还不完善。因此就有必要采取其它手段加强这方面的安全性能，目前对付这类的安全威胁的较为有效的手段是：系统漏洞检测、打补丁、升级等。 缺乏评估网络系统安全性的技术手段与工具系统和网络漏洞扫描系统。 缺乏有效的数据库系统安全评估的技术手段与工具数据库漏洞扫描系统。 缺乏整体的企业级病毒保护。4) 应用平台的安全威胁应用平台的安全威胁主要包括建立在网络系统之上的应用软件服务，如文件传输服务器、电子邮件服务器、Web服务器等存在安全问题。由于应用平台的系统非常复杂

9、，通常采用OS安全增强技术、SSL技术等来增强应用平台的安全性。5) 应用系统的安全威胁应用系统完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统采用各种基于PKI的技术、加密技术、防火墙技术等等来保证信息存储安全，通讯双方的认证，审计等。 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 公文收发及管理很不安全，其收发目前是基于普通的电子邮件系统，管理也不是基于文档和档案管理软件，很容易造成泄密和数据丢失。而作为民航管理局单位的性质要求电子公文的安全管理又相对比较重要。6) 系统安全管理上的漏洞威胁由

10、于网络系统安全管理涉及面广、实施非常复杂，对于安全管理员的技术和责任心要求很高，一个网络系统虽然采用了很先进和严密的安全技术措施，但是由于内部人员使用不当或安全管理员疏忽，对安全策略设置不严密、管理制度不健全，都可能给系统带来安全漏洞或安全隐患，同时随着时间推移出现新的攻击方式或系统显现新的漏洞或者网络系统发生变化都可能给网络系统带来新的漏洞，因此这就需要系统安全管理员要有极强的责任心加强对系统安全管理，我们认为安全三分技术七分管理，可见安全管理在系统安全中的重要性。三、设计原则3.1 适度安全，提高用户投资效益系统安全的设计与实施必须充分考虑被保护对象的价值与保护成本之间的平衡性，构建一个安

11、全信息系统的几乎涵盖了信息系统的各个方面，但并不是要求我们实施其所有的方面，那些方面该实施，那些方面由于成本太高或者目前技术不成熟需要暂缓实施或不实施，这就要求设计人员必须做出取舍，必须遵循下述原则，即在保障安全性的前提下，必须充分考虑投资效益，将用户的利益始终放在第一位，通过认真规划安全性设计，认真选择安全性产品(包括利用现有设备)，使用户投入较少的成本而能大幅度提升其信息系统安全强度，达到为用户节约系统投资的目的。必须紧密切合要进行安全防护的实际对象来实施安全性，防止出现过安全，以免过于庞大冗杂的安全措施导致性能下降或使用起来麻烦。所以要真正做到有的放矢、行之有效。3.2 系统性与可扩展性

12、原则安全性设计必须从全方位、多层次加以考虑，即便在本期工程中某些安全措施暂缓实施或不实施，但有必要对已经实施的系统做出恰当评估，从整个系统的安全角度考虑还可能存在那些安全隐患，或者随着系统升级、配置变化或信息攻防技术的演变，可能伴随那些安全隐患，目前的方案是否有所考虑或在将来如何采取措施。安全工程设计，必须具有良好的可伸缩性。整个安全系统必须留有接口，以适应将来工程规模拓展的需要。在产品选择与集成商选择上应考虑其可持续发展能力及产品的升级能力和与其它产品的兼容能力。3.3 技术先进性原则管理局网络系统安全设计应采用先进的安全体系与架构，选用具有较高安全技术水平、性能可靠高效的成熟稳定的安全设备

13、与产品，在实施中应采用先进可靠的工艺和技术，从而保证整个系统运行的可靠性与稳定性。3.4 主动式安全和被动式安全相结合主动式安全主要是从人的角度考虑，通过安全教育与培训，提高员工的安全意识，主动自觉地利用各种工具去加强安全性；被动式安全则主要是从具体安全措施的角度考虑，如防火墙措施、防病毒措施等等。只有人与具体安全措施的完美结合，方能切实有效地实现安全性。3.5 易于实施、管理和维护整套安全工程设计必须具有良好的可实施性与可管理性，同时还要具有尚佳的易维护性。3.6 测评认证原则鉴于管理局的行业特性，建议贵单位在安全系统建设中，安全产品应尽量选用国产的经过国家或军队信息安全产品测评认证部门认证

14、的产品。四、安全体系规划我们的解决方案是提供一个企业级安全管理方案，以解决IT基础设施内各个领域的问题，为此明确了以下的这些安全领域:物理安全、网络安全、服务器安全、用户安全、应用程序与服务安全、数据安全和安全管理。由于各项安全技术所涉及的底层技术各不相同， 用来保护每一安全领域机制也有所不同，根据国家有关信息系统安全建设的指导设计原则，我们建议如下的机制:表2. 安全对策一览表4.1 总体设计由于技术领域的交叉性，可能有些安全项目的建设已经在其它项目实施，或应独立实施，例如：物理安全可能应在网络建设时就已经实施，但是由于我国安全建设相对滞后，大多数企业在网络和机房建设时对于防盗、防毁、防灾（

15、防火、防水、防震、防雷击）处理考虑比较周详，但对于防辐射尚有欠缺。又例如：数据备份可能单独作为一项工程系统容灾及数据备份来实施。因此在本方案中对于防盗、防毁、防灾的物理安全以及系统容灾及数据备份不做过多阐述。网络安全总体规划图如图2所示：图2 某民航管理局网络安全总体规划示意图1、 在管理局中心交换机与管理局的边界路由器之间配置防火墙（如图2），这种方案的优点是突出重点保护中心局网，有效防止了来自所有远程网络的不安全因素，同时非常有效地控制了各个安全区域之间的相互访问，安全强度较高；缺点是对于设备要求较高，适应这种接入方式的防火墙必须具有混合接入模式，另外它要求配置的安全策略相应较多。建议实施

16、IP绑定，防止IP冒用。建议防火墙应具备用户认证功能模块，以便于实现用户强化的身份验证。2、 对管理局中心网络系统中所配置的防火墙实施策略评估，保证防火墙的策略必须是安全的。3、 在管理局局网内外配置网络入侵检测系统（IDS），对进出管理局中心网络的所有行为进行监控并进行日志审记，探测网络攻击行为，并根据定制的策略进行响应（阻断、报警），因此这里选用的IDS产品最好能与管理局使用的防火墙产品进行联动。4、 在管理局中心局网内配置网络漏洞扫描系统，实施对整个局网系统的安全漏洞扫描评估。5、 对管理局中心服务器配置基于主机的操作系统漏洞扫描器，实施对主机操作系统的安全漏洞扫描评估。6、 对管理局中

17、心服务器配置基于主机的数据库漏洞扫描器，实施对相关数据库的安全漏洞扫描评估。7、 在管理局中心系统处部署的防火墙与路由器之间部署VPN或者防火墙本身含VPN模块，而在各省市管理局局网络边界处配置VPN来保证省管理局中心与各省市管理局之间的保密通讯（在图2中未画出），具体配置见图3。4.2 物理安全4.2.1 防电磁辐射管理局网络系统大量采用了5类UTP线缆，而广域网则是租用的DDN线路，由于电信号在传输时随着信号的变化电磁场也在不断变化，这就会产生电磁辐射，而上述线路基本没有任何屏蔽能力；同时由于管理局所采用的计算机及网络设备均不是低辐射产品，同样也存在较强的电磁辐射。因此，如果不采取有效的防

18、电磁辐射措施，管理局的信息很容易被国外间谍机构采用电磁波还原技术所窃取，从而造成严重后果。对于计算机和网络设备的防电磁辐射，主要采用以下一些方法来抑制：对于较为集中的重要设备可以为其建立屏蔽室，对于分散的不能在屏蔽室存放的设备则宜采用低辐射设备，若因无相应低辐射设备或采用低辐射设备成本太高，也可以考虑使用主动式电磁干扰设备来降低被窃听的风险。对于线路防电磁辐射，主要采用以下一些方法来抑制：将非屏蔽网线更换成有屏蔽能力的5类STP或光纤，但这样相对成本较高。对网络通讯进行加密，虽然其本身不能防止电磁辐射，但却能够很有效防范因电磁泄露而被敌人窃听信息，因此如果更新线路成本太高或者无法达成，则可以考

19、虑对网络通讯进行加密。4.2.2 重要设备及信息点的物理保护对于重要设备（如：中心服务器）需要进行物理保护，它主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护（参见国家标准GB50173-93电子计算机机房设计规范、GB2337-89计算机场地技术条件、CB9361-88计算机场地安全要求）。设备安全：主要包括设备的防盗、防毁坏和电源保护等。对于中心机房和关键信息点应采取多种安全防范措施，确保非授权人员无法进入，中心机房与处理核心业务的系统均应采用有效的电子门控系统和多重的身份验证措施。核心业务设备应有不间断电源保护。媒体安全：包括数据及媒体本身的安全。4.3 网络安

20、全4.3.1 网络安全设计本节主要从网络角度论述如何保证网络系统提供数据传输和交换中的完整性、保密性、抗否认性和可用性。针对网络系统的具体情况采用不同的安全考虑。我们主要从以下几个方面考虑：首先考虑网络中合法用户的身份验证，如何通过安全机制对非法用户进行拒绝，容许合法用户的访问，对不同用户的访问权限进行限制。其次要考虑数据在网络中传输的完整性，保证数据不被篡改，保证数据传输的安全，可以通过各种数据加密技术来实现。再次要考虑数据传输的隐秘性，保证数据在传输过程中不被非法窃取，造成泄密。最后要考虑对网络用户进行稽查，运作核查和维护，通过可用的核查工具进行核查， 要了解用户的所作所为及系统运行情况。

21、为了完成以上的四点要求，我们对不同需求采用不同的方法来实现。具体可采取以下几方面的措施进行网络安全的控制。1. 网络访问控制依托防火墙技术保证只有被允许的主机（IP/MAC）可以访问其被授权访问的主机和相关服务（包括应用程序）。2. 通讯的安全保密依托VPN和加密应用软件防止敏感数据在通讯信道中传输时被窃取、被篡改和否认企图。3. 网络入侵检测主要依托网络入侵检测软件并辅以各种网络设备的审记日志及入侵检测系统。4. 在管理局中心网络系统中还应配置网络漏洞扫描检测软件，对管理局中心网络系统进行网络安全风险评估及网络漏洞进行检测、并对已检测出的漏洞根据设置的策略提出处理建议。由于各方的网络设备配置

22、情况不尽相同，因此在具体实施安全保障过程中应以立足现有设备为基本前提条件，采用相应的安全措施。4.3.2 网络设备的安全保障整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问一台机器、防火墙和网络交换设备。这里我们通过一个具体的例子来说明网络设备安全的实现，对于不同的网络设备、不同厂家的网络设备，要防范的内容是一样的，但具体的配置方法可能不同。为了保障网络设备的安全性，我们要考虑从以下几个方面的因素： 安全的控制台/Telnet 访问 控制SNMP 访问 在局网中划分VLAN 强化用户的管理对防火墙及VPN访问的控制由于防火墙和VPN在本安全系统中是控制安全非常关键的基础设备，它们

23、安全与否关系到整个网络体系的安全强度，因此对它们的保护应是非常严格的。建议对它们的访问控制可使用以下几种方式： 由指定的控制台访问控制和管理防火墙或VPN 对用户实行3A认证 对口令进行加密 禁止Telnet的访问对简单网络管理协议（SNMP）访问的控制通过对路由器、防火墙设备的配置，使得只能由某个指定IP地址的网管工作站才能对路由器、防火墙进行网络管理，对路由器、防火墙其它网络设备进行读写操作。4.4 服务器安全保护服务器主机主要依托以下一些安全机制：访问控制：利用服务器操作系统的访问控制机制来解决分布式系统的服务器和用户工作站需要控制谁能访问它们或访问者可以干些什么；主机入侵检测系统：检测

24、有意或偶然闯入系统的不速之客；操作系统/数据库漏洞扫描系统：风险评估被用来检查系统安全配置的缺陷，发现安全漏洞；防病毒软件：防止病毒和特洛伊木马的侵入，并对已感染的系统进行杀毒和隔离处理；病毒免疫系统：目前几乎所有的计算机防病毒软件都是根据病毒特征码对现有的病毒进行侦测和查杀，但是对于新病毒查杀都存在一定周期的滞后，并且对于多态性病毒几乎无能为力，同时又无法做到防患于未然，而最新的防病毒技术病毒免疫技术则采用对所有计算机中的文件注射疫苗的方式使它们能够有效抵抗各种病毒的攻击，因此有必要采用病毒免疫系统与防病毒软件配合使用才能非常有效防范计算机病毒。政策审查：政策审查则用来监视系统是否严格执行了

25、规定的安全政策。4.5 用户安全实施单一的登录机制用户账户是通向系统内所有资源的访问关口。管理这些账户，在用户获得访问特权时设置用户功能，或在他们的访问特权不再有效时限制用户账户是安全的关键。这部分安全主要依托于各个系统自带的分级授权、用户身份效验、审计功能。实施强化的用户管理机制随着企业分布式计算环境的发展，需要管理的资源越来越多，如用户、用户组、计算机之间的信任关系、不同操作系统、不同通讯协议、不同的数据库系统、不同的服务器和桌面机等等。随着这些资源的增加，要想安全有效地管理他们就越来越困难了。单独地维护多种目录体系既费时费力，又容易出错，还难以保证系统的总体安全性和一致性。管理企业内部的

26、用户资源也变得越来越重要和困难。在通常的管理模式中，每种系统都有自己的系统管理员，如UNIX的超级用户为root、Windows NT的管理员为administrator、Sybase和MS SQL Server的系统管理员为sa等等。IT管理人员每天都要和这些繁杂的系统打交道，不同的系统管理员在管理这些用户时，就有可能采用不同的用户名，不同的管理策略，以适应各类系统的需要。好的安全管理模式应该帮助用户解决上述问题，允许用户在单一的界面中管理不同系统的用户，提供跨平台的用户策略一致性管理。可以实施基于策略的管理以确保系统安全，可以减少IT管理人员管理用户的时间和精力，可以隐藏不同操作系统的差异

27、。做类似工作的所有用户可能需要类似的安全权限，安全管理应该提供角色（或用户组）的概念，可以将不同平台上有类似安全权限需求的用户规划成组，将用户账号归为角色的概念之下，用户可以对同一角色的用户进行相同的管理，不管这些用户是属于那个平台、从事何种功能，使得管理员可迅速地在企业内不同操作系统下迅速地创建所需的用户账号。4.6 应用程序和服务安全大多数应用程序和服务都是靠口令保护的，加强口令变化是安全方案中必不可少的手段， 而授权则是用来规定用户或资源对系统的访问权限。访问控制主要通过对用户及其特权的管理来实现，同时防火墙也是它的重要组成部分。对于公文管理系统则应该采用“安全的公文管理系统”。对WEB

28、服务器实施主页防篡改保护。4.7 数据安全数据保密性可以保证非法或好奇者无法阅读它，不论是在储存状态还是在传递当中。其主要安全手段是通过加密来实现，但是由于数据的存储加密耗费系统开销太大，同时密码消耗量巨大，使得密码的维护和管理非常困难，从而给企业带来巨大的成本开销，因此不宜实施。数据完整性是指防止非法或偶然的数据改动。冗余备份主要用于防灾抗灾和灾难恢复。五、结束语通过对物理、网络、服务器、用户、应用程序与服务、数据等构成的安全体系的设计分析，结合管理局对相关安全产品的技术要求，我们选用了以下安全产品：防火墙产品：龙马卫士防火墙（含“用户认证”模块）。VPN：龙马卫士VPN。网络入侵检测产品：

29、东方龙马网络入侵检测系统。网络漏洞扫描产品：中联绿盟的“RSAS远程安全评估系统”。中联绿盟信息技术有限公司成立后，其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪，对重大安全问题更成立专项研究小组进行技术攻关，迄今为止已完成分布式拒绝服务攻击（DDos）、SUN RPC远程溢出、Windows NetBIOS安全问题、Windows IIS安全问题、缓冲区溢出防护、网络入侵主动监测等安全技术研究，取得了一系列在国内、甚至是国外处于领先水平的优秀成果。关键还在于上述产品，完全是我国自行研制开发的安全产品，同时具有同类产品的世界先进水平，而且这些产品与国内外同类产品相比其

30、性能价格比也较高，因此我们推荐它。系统漏洞扫描产品：安士的“System Scanner”。数据库漏洞扫描产品：安士的“Database Scanner”。网络防病毒软件：赛门铁克的“Norton Antivirus”网络防病毒系列软件。赛门铁克公司以研制和开发用户安全性产品，其诺顿品牌防病毒产品在世界的占有量处于第一，技术水平世界领先。病毒免疫软件：盘古公司的“疫苗（Immuner）病毒免疫系统”软件。目前掌握这一技术的产品只此一家。另外建议该项技术可以考虑在二期实施，以便可以做出更好的选择。主页防篡改系统：东方龙马公司的“防主页篡改系统”。安全公文管理系统：有两家公司的产品进入我们的选择：卫士通公司的“SOA安全办公自动化系统”，该系统基本进入可实用阶段，但是整套系统配置及管理复杂，需要硬件设备较多，配置成本较高，且不易扩展。数安公司的“PGSOA安全办公自动化系统”，该系统目前尚处于后续开发阶段，但是技术领先，配置及管理简单，需要的硬件较少，配置成本较低，非常容易扩展。在本项目中我们采用了工程化的项目管理方法，进行严格，科学和有效的项目控制与管理。取得了非常好的效果，同时，整个管理局的网络安全也得到了加强。