一、前言
全球信息化推动了信息社会的发展,改变了人类的生产和生活方式,促进了知识经济的成长,加快了世界经济一体化进程。对信息的掌握、利用与传播,成为影响生产力发展水平和综合国力增强的关键因素,信息化程度已成为国家发展潜力和发展水平的重要标志。信息化最终要落实在企业信息化,因为企业才是财富的真正源泉。
企业信息化是指"企业利用现代信息技术手段,在生产、经营、管理过程中,有效地开发、利用和传播信息资源的过程"。实现企业信息化,就是企业充分运用通讯、计算机和网络技术等现代信息技术与装备,采集、加工、处理、传递和贮存信息,对信息资源进行有效地开发与利用。企业能否有效地开发利用信息、优化信息资源的配置,决定着企业管理效率高低、整体素质优劣和竞争优势强弱。
企业信息化的范围是以生产控制为核心的自动化系统、以财务成本管理为核心的管理系统、以电子商务为核心的投融资决策与营销系统。
本文所涉及的大型分布式企业,其主要特征一是"大",二是"分布式"。所谓大是指经营规模、资产总量、从业人员、销售收入和利润都具有相当的规模;所谓分布式是指其下属机构在地理上是分散的,但他们之间的业务关系又是紧密的。由于这样的特点存在,在它们的网络建设和网络应用上势必反映出与小型集中式的企业不同,那么其安全需求也就不同,导致安全解决方案的不同。
本文是在为某部级大型企业所做的整体安全解决方案的基础上,综合了大型分布式企业网络的安全需求,总结性地描述如何解决其内部网络安全和应用安全。可作为类似安全需求解决方案的参考模型。
二、网络结构模型
大型分布式企业的网络结构模型可分为两层,一层是企业互联网络--Extranet,一层是企业内部网络--Intranet。所产生的安全需求也不同,那么相应的安全解决方案就不一样。
1.1 企业互联网络结构模型
一般大型企业由于下属企业在地理上的分散,都要建立自己的主干网。具体形式有自建的卫星系统、租用的帧中继、ISDN、PSTN等通信线路。从而实现下属机构、企业与集团总部的网络互联。还有的企业直接采用Internet实现企业间的互联,由于担心Internet上安全问题,目前这类企业不多。
集团总部、下属企业的地理位置可能跨越省市或分布在全国各地,有的国际型企业的下属机构还可能跨越国界。这时一定要通过Internet来实现互联。
图1 企业互联网络结构图
1.2 企业内部网络结构模型
无论集团总部还是下属企业,其内部网络的结构大同小异。在地理位置上一般是处于一个厂区内或一幢大楼内,具有一个中心网络,提供公共应用服务(亦称公共应用平台),同时行使网络管理权利。按行政结构,下属各处、办,各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。这些局域网都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。一般来说,这些局域网之间没有直接通信通道。
这些企业网的出口有两个,一个是连接到集团主干网,一个是连接到Internet上。结构示意图如图2。
图2 企业内部网络结构
如图的中心子网中,放置着各种公共应用服务器,如办公服务器、对内和公开的WWW服务器等。其他应用各有自己的子网,例如,财务服务器放置在财务子网中,销售服务器放置在销售子网,电子商务的Web服务器放置在电子商务子网。
在实际应用中,各个企业内部的应用种类可能不同,但上述子网按应用划分是采用最多的原则。
如图2的网络结构,我们称其为非安全结构,是目前采用最多的一种。一般的安全措施是在连接公网处安装防火墙,但它只能防止外部非授权的网络访问,而对内部几乎没有防范功能。
三、网络层安全需求
1.1 网络层风险
·网络中心连通Internet之后,企业网可能遭受到来自Internet的不分国籍、不分地域的恶意攻击;
·在Internet 上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网,为黑客、竞争对手获取企业数据创造条件;
·企业网内部连接的用户很多,很难保证没有用户会攻击企业的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,如产品的设计图纸、企业的财务数据等,其损失要远远高于系统破坏。
1.2 网络层安全需求
基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:
·企业网络进出口控制(即IP过滤);
·企业网络和链路层数据加密;
·安全检测和报警、防杀病毒。
重点在于企业网络本身内部的安全,如果解决了各个企业网的安全,那么企业互联的安全只需解决链路层的通讯加密。
1.2.1 网络进出口控制
需要对进入企业内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到公网进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
1.2.2 网络和链路层数据加密
对关键应用需要进行链路层数据加密,特别是最核心的领导办公服务系统,为领导提供信息共享,需要有高强度的数据加密措施。
1.2.3 安全检测和报警、防杀病毒
安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
·及时发现来自网络内外对网络的攻击行为;
·详实地记录攻击发生的情况;
·当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
·当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
·对防火墙进行安全检测和分析;
·对Web服务器检测进行安全检测和分析;
·对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
四、企业应用模式
建设网络的目的在于应用,其道理如同高速公路和汽车运输的关系。人们感受网络的优势是通过网络上各种应用来实现的。
1.1 应用模式的变迁
应用模式是指用户与应用之间的层次关系。在Internet流行之前,应用模式是数据库的Client/Server结构,目前大多数的系统都使用这种模式。但是,随着企业应用的深入,越来越感觉到这种应用的不足,这主要体现在:需要专用客户端软件、需要专用通信协议、客户端投资较大、限制在局域网用户、难于与其它技术集成等等。
随着Internet技术的发展,尤其Web技术的出现,解决了上述问题。这就引发了传统数据库应用模式向Intranet模型的转变的这场变革。当然这个过程不是在短时间内能完成的,需要一个较长的阶段来完成这中过渡和转变,在今后若干年中会出现两种模式并存的局面。下图说明了这两种模式的并存和转变。
基于Web技术的应用方式的主要技术特点如下:
·基于Web技术,使用HTTP通讯协议。
·Web服务器作为中间件连接用户端和后台数据库。
·将应用范围扩展到了远程用户。
·客户端基于统一的Web浏览器。
·客户端培训、升级简单,投资小。
·易于将多种不同技术集成在一起。
·Intrane模式,易于建立Extranet。
总结起来,应用模式目前主要是C/S模式和B/W/D模式,也成为二层模式和三层模式。对于一个企业,重要的是详细理解其网络应用的模式,这样有助于了解应用安全需求,也就能够提出有针对性的安全解决方案。
1.2 企业的各种应用
1.2.1.1 办公自动化系统
办公自动化系统是企业网络应用的主要形式之一。以前都是基于C/S模式的MIS应用,随着Interner的发展和普及,目前开始向基于Web的模式转向,正处于两种模式并存的过渡期。
办公系统的主要功能为:
·公文运转
·信息发布
·计划管理
·项目管理
·报表管理
·业务跟踪
上述各大功能是基本的功能,对不同的企业可能会有差异。
另外,loutes Notes也是一中应用广泛的办公环境。
1.2.1.2 领导信息查询系统
该系统是基于Web的应用。该系统的特点是用户少,只限于领导使用;安全保密强度要求高,数据传输过程要求加密。授权控制简单,领导之间一般不再区分权限,除非有特别要求。
在一般安全要求相对较低的单位,可能会把这部分功能归纳到办公系统的信息发布中,这时,就要求有严格的访问控制了。
1.2.1.3 财务管理系统
财务管理是企业管理的核心,其安全需求十分强烈。财务应用对于集中式企业多是基于C/S模式,而对于分布式企业,基于Web模式就呈现出巨大的优越性,它可以跨越地理位置对下属企业进行财务管理,使得整个集团的财务形成统一管理体系。
财务系统提供一个数据汇总的界面,产生各种财务报表和图形,为领导查询所用。
1.2.1.4 销售管理系统
基于Internet的销售管理系统,可以使集团公司领导、销售管理部及省市公司,对企业经营管理重要状况进行了解,并具有分析、预测功能的辅助决策系统。本系统主要依据销售管理部下属企业经营管理的实际情况,采集企业的数据,展示企业宏观经营状况和发展趋势,揭示企业资产运营效率和可用资源状况,提高企业管理水平。能实现经营销售信息的上下传输、共享、灵活分析。通过对自下而上报送的大量进、销、存、价等市场信息的处理,可使集团公司领导的决策更加科学、准确、快捷。
销售管理系统也可以分为C/S模式和Web模式。销售系统提供一个数据汇总的界面,产生各种销售报表和图形,为领导查询所用。
1.2.1.5 BtoB电子商务应用
电子商务是新兴的网络应用,是典型的B/W/D应用模式。在企业中的电子商务最有成效是BtoB,即商家对商家。它不同于BtoC(商家对客户),它的网络应用是有边界的,也就是说用户是已知的。
BtoB电子商务主要为企业之间的上下游供应链提供信息平台,提高资金运用效率,加快物流速度,增强企业市场竞争力。
电子商务提供一个数据汇总的界面,产生各种报表和图形,为领导查询所用。
1.2.1.6 其他应用
还有行业性的网络应用,如CIMS、ERP、CRM、CAD/CAM/CAE、计算机辅助信息管理系统系统等。这些系统都是通过购买和自行开发两种途径形成的,其特点是都是C/S结构,在企业网中应用比较成熟,均自带分级授权、用户身份校验、审计功能等。
五、应用层安全需求
应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的资源如前面所述的公共应用、办公系统应用、信息查询、财务管理、销售管理、电子商务以及企业行业应用。
1.1 应用系统安全风险:
对应用系统的攻击可以分为两类:
1) 由于攻击者对网络结构和系统应用模式不了解,主要通过对应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取企业的重要数据;在现在通用的三层结构(数据库服务器-应用服务器-应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击;
2) 攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
非法用户获取应用系统的合法用户帐号和口令,访问应用系统;
用户通过系统的合法用户帐号,利用系统的BUG,访问其授权范围以外的信息;
攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;
在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。
1.2 公共应用的安全需求
公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有WWW、FTP、电子邮件等方式,必须严格按照用户的身份进行控制对信息的访问,对服务器也必须进行必要的身份认证。在认证的基础上根据用户的身份对信息进行授权的访问控制,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。
公共应用包括外部的和内部的,尤其是内部的公共应用,有着更高的安全要求。如领导信息查询系统,必须从上述的多个方面保证,特别对于身份认证和传输加密,必须做到万无一失。
1.3 办公系统应用的安全需求
内部的办公应用主要是运行在局域网上的办公事务处理,对身份认证和访问控制有更高的要求。对身份认证必须有多重的保证,包括用户口令、使用机器的IP和MAC地址,将来需要发展到使用IC卡或电子钥匙,通过多种方式确认用户的身份。访问控制的控制粒度更细,必须根据不同应用的不同对象形式进行控制,如Web页面、数据库记录等。
1.4 具体应用系统的安全需求
这里得具体应用系统是指前面所描述的财务管理系统、销售管理系统、电子商务以及其他应用系统。总的目标是,要保证只有授权的人员可以进入相应的应用系统,并按所授权限进行操作。具体描述为:
·严格的身份认证;
·细粒度的访问控制;
·必要的数据保密性和完整性;
·审计与日志;
·统一的安全管理。
六、网络层安全解决方案
主要分别针对集团总部、各下属企业,根据前面描述的网络层安全需求,逐一提出安全解决方案。
1.1 安全的网络结构
图2的网络结构是不安全的,内部网络直接连接到公网或专网,即非安全区。这样受到非法攻击的风险非常大。所以需要调整网络结构,使之成为基本安全的前提。图2就是调整后的格局。
 |
图3 安全的网络结构
首先增加一个支持三网段的防火墙,将原来的中心子网和内部网分为非军事化区、服务子网和内部网。将公开的WWW服务器放在非军事化区,并放置代理服务器(即WebST,后面会专门介绍)。将内部使用的各种应用服务器统统放在服务子网。
通过防火墙和路由器的配置,用户无论在网络内部还是在网络外部,都是通过代理服务器来访问各个应用服务器,这就保障了网络应用的安全。
如果需要,在各个子网的出口也安装防火墙,进一步保障子网的安全。上述三网段安全结构也可以应用于各独立的子网。
1.2 防火墙技术与产品
防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
在图3中,我们看到防火墙是设置在接入Internet的路由器后端,将网络划分为三个区域,即三个网段,如上所述。通过合理地配置防火墙过滤规则,满足下列需求:
· 远程客户只能访问非军事化区的安全代理服务器,不能直接对内部网络的各个应用服务器和数据库进行访问;
· 内部网络的客户端访问本网段的应用服务器,如需访问服务子网的各个应用服务器,必须经过非军事化区的安全代理服务器;
· 服务子网中的安全代理服务器可以通过防火墙,访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口;
防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
1.3 网络VPN技术与产品
对于大型分布式的企业,其中最重要的和最普遍的应用是数据库应用,而且是分布式的。数据库的分布式复制操作是自动的,是服务器到服务器的数据传输过程。对数据库复制的安全保护目前最实用的技术是网络VPN。
VPN产品一般具有如下基本功能:
· IP层认证和加密;
· IP包过滤;
· 密钥管理。
VPN产品可以基于公共的IP网络环境进行组网,使用户感觉在公网上独占信道,也就是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上,可以允许上千对VPN通道,网络加密速度在10Mbps以上。
有的VPN产品将防火墙功能结合在一起,形成安全网关。
在分布式数据库环境中,按点到点方式安装VPN产品,保证数据库复制过程的数据加密传输。
这种方案的缺点是设备费用较高,视企业的承受能力来决定。
国内的VPN产品一般是从过去的链路加密机转化而来的,研制单位均为保密行业单位。近年来,一些公司也介入该领域,但受到加密算法的规定限制,发展不平衡。所以在选型上要注意产品提供商的资质。
1.4 入侵检测技术与产品
随着Internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。所以对于党政机关这样关键应用,我们建议采用入侵检测系统(IDS)。
目前国外流行的入侵检测产品主要有ISS公司的RealSecure、Axent的ITA、ESM,以及NAI的CyberCop Monitor等。
国内产品中有科网威信息技术有限公司的 "天眼"入侵检测系统。它根据国内网络的特殊情况,由中国科学院网络安全关键技术研究组经过多年研究,综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,重置路由器、防火墙,同时及时发现并及时提出解决方案,它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节,防范黑客攻击。该系统的总体技术水平达到了"国际先进水平"入侵。
入侵检测系统可分为两类:基于主机和基于网络。
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
我们建议采用基于主机的IDS,安装在非军事化区中,主要检测针对安全代理(WebST)的攻击。
采用IDS在总体上可以实现防范黑客攻击,目前存在的问题是可能会有误警,并占用主机宝贵的资源,这就是安全代价。
1.5 防杀病毒技术与产品
防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查和过滤,可以防止病毒通过邮件、FTP等方式从Internet进入企业网。
七、应用层安全解决方案
1.1 应用层安全分析
所谓应用层就是面向用户的实际应用,其安全需求在前面已经详细描述过。也可以精练地总结为"WWW"问题,即:
什么人(Who)可以做什么(What)并要知道他做过什么(What)。
在大型分布式企业中,运行着各种应用,有C/S模式和B/W/D模式。我们注意到,目前无论哪种模式的应用,软件开发者在开发时都或多或少地编写了一些安全管理和控制程序,如身份认证、访问控制、用户与资源的管理等。当然这些安全措施无论是强度上还是在标准上都存在着各种问题。
首先,每个应用软件的安全设计是非统一的,产生了安全控制强度的差异性。其次,由于安全设计者在经验和标准上的不足,遗留一些安全漏洞,例如,自己设计的用户管理模块,一定是以明文来存储注册用户信息(用户名和口令),身份认证多半是单向的、明文传输口令方式。最后,有关授权访问的程序,是和具体应用对象结合在一起的,如遇需求变化,牵涉软件的改动较大,适应性很差。
所以,需要一个应用层的安全管理平台,统一集中地管理用户、资源和安全策略。
WebST就是这样的一个应用安全管理平台。
1.2 WebST安全服务
WebST提供下列五大安全服务:
· 双向身份认证--用户和各个应用服务器要互相取得身份信任,这是基于Kerberos身份认证协议的;
· 对象访问控制--细粒度的对象访问控制,对象是网络系统中的资源总和,最具特色的是对动态对象(如动态URL)的访问控制,使得动态Web应用可以纳入安全体系;
· 数据传输加密--所有数据在传输过程中均可以加密,保证了数据的机密性和完整性。也可以根据设定加密标志,不加密传输,具有灵活性;
· 审计日志服务--提供详实的审计日志文件,记录客户、各个应用服务器在网络中的活动;
· 安全管理服务--提供基于Java编程的管理控制台,以图形界面对用户、资源对象、服务器以及访问控制授权策略进行管理和维护。
1.3 WebST的安全组件
· WebST安全服务器--WebST安全服务器对安全域中的所有成员(客户和应用服务器)提供集中的身份认证服务。同时它提供一个中央注册数据库,内含被保护对象空间中所有合法用户和组的登录帐号;
· WebSEAL服务器--WebSEAL作为HTTP安全代理,保护指定的Web应用。来自客户端的Web请求,无论来NetSEAT授权用户还是非授权用户(非NetSEAT客户,也就是原HTTP用户,对WebSEAL服务器来说是"非授权用户"),首先由WebSEAL服务器处理。WebSEAL服务器根据对象的ACL检查用户的访问权限。,如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给第三方Web服务器,由它来处理这个请求并将结果返回给WebSEAL服务器,然后WebSEAL服务器将这个结果按安全RPC方式返回给NetSEAT用户,或按HTTP方式返回给非NetSEAT用户。
· NetSEAL服务器--NetSEAL作为TCP安全代理,保护安全域内的网络应用服务器。NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用,如FTP、Telnet以及用户自行设计的网络应用。NetSEAL和WebSEAL一样,提供相同级别的数据安全性和完整性。NetSEAL起到了分布式应用层防火墙的功能。
· WebST Java控制台--这是一个图形界面的管理工具,用来对WebST的用户帐号、访问控制策略、服务器对象等进行管理。主要有用户帐号管理器、ACL管理器、对象空间管理和NetSEAL/WebSEAL服务器管理器等部分。管理控制台基于Java-DCE开发,独立于硬件和操作系统平台,使用拖拉式操作,有很好的人机界面,同时具有很强的安全性。可以管理WebST安全域内的所有安全对象。
· NetSEAT安全客户端--这是一个轻量型的客户端软件,运行在客户端Win95/98/2000上,用来与安全服务器、WebSEAL/NetSEAL服务器进行身份认证和建立安全通信通道。NetSEAT对应用的客户端软件不作任何改变,采用陷阱方式,由NetSEAT设置IP陷阱、截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。
· PKMS服务器--在WebST的机制中,将基于公共密钥的SSL策略集成在一起,用在Web应用方面。WebSEAL服务器通过公共密钥管理服务器(PKMS)与SSL连接起来。PKMS实际是身份认证网关和建立基于SSL的加密通道,客户端不必使用WebST的客户端软件NetSEAT,可使用SSL浏览器登录到PKMS,PKMS将用户的身份映射成WebST用户身份并且通过RPC进行传输,也就是将SSL的用户标识传递给WebSEAL服务器。PKMS是用来与Internet用户之间临时建立起相互信任的安全会话过程,然后将Internet用户身份映射到WebST访问控制机制可以管理的用户身份。
1.4 WebST应用于企业网
图4给出WebST是如何应用于企业网络结构中的。
图4 WebST应用于企业内部网络的安全结构
在图4中,非军事化区里的WebST主要针对服务子网里的服务加以保护,并采用主从复制方式提供安全系统的可靠性。在每个应用子网中设置一个WebST的复制,在管理上采用委托管理的方式,对各个应用进行分级管理,这样是适于我国企业的行政体系结构。所谓复制,是指该安全服务器所维护的用户注册数据库和访问策略数据库与主安全服务器是一致的和同步的。采用复制技术一是提供系统的可靠性,一是可以更方便地进行委托管理。也就是说,各个应用系统在主安全服务器管理员的授权下,可以对自己系统内的资源、用户以及授权进行管理。
1.4.1 双向身份认证服务
WebST安全服务器、WebSEAL服务器、PKMS服务器可以安装在一台主机上,该机放置在非军事化区中。WebST安全服务器做为一个内部的可信任第三方,担负所有访问内部网的客户与内部网中的各个应用服务器之间的身份认证;
1.4.2 访问控制服务
WebSEAL服务器作为Web服务器的安全应用代理,根据身份进行访问控制决策;NetbSEAL服务器作为其他服务器的安全应用代理,根据身份进行访问控制决策;
1.4.3 统一的对象资源空间
在内网中的各个Web服务器和非军事化区中WebSEAL服务器之间各有有一条蓝线,表示WebST提供的灵巧连接(Smart Junction)功能,它将内网Web对象空间连接到WebSEAL的目录里,给予客户一个统一的资源空间访问点;
1.4.4 安全的数据传输通道
在这个结构中,所有的客户端都采用NetSEAT安全客户端,与WebSEAL服务器、NetbSEAL服务器建立应用层的安全隧道,保护数据的私密性和完整性。该隧道可跨越Internet。
1.4.5 将系统后台管理纳入安全管理域
在以前一般的安全解决方案都将注意力集中在前台应用与客户之间,而在不同程度上忽略和忘记内网的后台管理工作的安全。所谓后台管理是一个很广泛的含义,在不同的网络应用中有不同的内容。总的来说是网络管理员和应用管理员的工作,他们需要通过各种网管软件或应用自行设计的管理软件,对网络中的各种资源对象进行管理操作。于是在这个过程中也存在着安全问题,如管理员的身份、管理员的操作权限和管理员的操作记录。
从安全风险的程度来讲,来自管理员的安全风险更强,他们不需要象黑客那样从外部费力的攻击,他们具有得天独厚的便利条件,如果有恶意的话,他们所造成的危害更大。所以加强后台管理的安全是非常重要的事情。
后台管理的安全漏洞主要是口令的泄露。现有的网管软件和应用管理软件在身份认证上基本都是明码口令,极容易被窃取。
在内网里安装NetSEAL服务器,并配置成对内网中所有应用服务器进行保护。在管理工作站上增加NetSEAT安全客户端。这样,管理员要想直接访问应用服务器进行各种管理操作时,就必须经过WebST的身份认证和经过NetSEL的访问控制,为后台管理起到安全保障作用;
1.4.6 高可靠性
在非军事化区里,安装了两个WebST安全服务器,一个是主安全服务器,一个是复制的安全服务器。当两个或多个复制的前端安全服务器响应用户请求时,网络容错配置将起作用。容错性是指不会所有的服务器同时都失效。如果一个安全服务器出错,复制的安全服务器仍可为用户提供访问安全服务。
1.4.7 审计和日志
WebST提供完整的审计功能和日志记录,必要时可二次开发出针对具体应用的审计监控界面和特定的日志输出格式。
八、与现有应用系统及新应用系统的结合
1.1 与现有应用系统的结合
目前大型分布式企业都运行着很多成熟的应用,这些应用系统在设计上都具有自己的用户管理、身份验证和访问控制等功能。对这些应用系统,要保护现有的投资,要求尽量不改动现有应用系统。
为此,我们把WebST作为一个安全中间件,利用WebST服务器和其安全客户端NetSEAT之间的安全机制来为现有应用系统提供安全保障。图5是这种应用模式的一个示意图。
在这里,我们保留了现有应用系统的各种安全机制,如用户管理和身份认证、访问控制等。在现有应用系统的安全机制基础之上,用WebST服务器来加强其安全功能:
· 服务器配置WebST安全服务器和NetSEAL服务器,客户端配置NeTSEAT安全客户端;
· WebST安全服务器提供用户管理和身份认证功能,根据企业网的组织结构,在WebST安全服务器上建立相应的用户帐号;
· NetSEAL服务器维护各个应用系统的端口,授予用户访问某些端口的权限(粗粒度授权);
· 当用户要访问某个应用服务器时,他要首先用WebST安全服务器上的用户帐号进行认证;认证之后,如果WebST不允许其访问该应用服务器,则其访问被中止,否则就继续访问;
· 这时,用户被要求用各个应用系统上面的用户帐号进行认证,并由应用系统内部决定其能够访问什么资源;
· 在用户通过WebST认证之后,应用客户端和应用服务器之间在通信时,就通过NetSEAT客户端和NetSEAL服务器进行高强度的加密。
图5 WebST与现有应用系统结合的示意图
1.2 与新开发的应用系统结合
对将要开发的应用系统,可以在系统设计时,充分考虑到WebST的安全特性,在开发应用系统时,充分利用WebST的安全功能,把WebST和应用系统紧密集成,建立一个统一的、安全的应用平台。这种应用模式如图6所示。
这里主要采用了WebST的安全机制,如其身份认证、访问控制、传输加密等,并在应用系统中做了一些辅助性的工作,使WebST能够与应用系统紧密结合:
· 在服务器端配置WebST安全服务器和WebSEAL、NetSEAL服务器;在客户端配置NetSEAT客户端;
· WebST安全服务器提供用户管理和身份认证功能,根据企业网的组织结构,在WebST安全服务器上建立相应的用户帐号。由于用户身份的唯一性;
· NetSEAL服务器维护各个应用系统的端口,授予用户访问某些端口的权限(粗粒度授权);
· WebSEAL服务器可以维护各个Web服务器的资源目录,包括Web页面、CGI程序和动态HTTP访问请求,并授予用户对这些资源的访问权限(细粒度授权);
· 在NetSEAL和WebSEAL服务器上,可以同时对多个应用服务器资源进行管理和授权,形成一个统一的应用平台;
· 在应用服务器中,不需要再开发、维护用户库和授权库;
· 根据应用系统的需要,可以在应用服务器上建立一个和WebST的用户库对应的用户表,以实现应用系统的功能。如在WebST的用户库中,只以字母维护用户名,而在应用系统的用户对应表中,根据英文用户名,以中文记录用户的姓名。
图6 WebST与新开发应用系统的结合模式
当用户访问应用系统时,他必须首先通过WebST的认证(用他在WebST里的身份)。如果WebST不允许其访问这个应用系统,则访问被中止。否则用户根据WebSEAL服务器授予的访问权限,直接访问应用服务器的资源。
当用户通过WebST的身份认证之后,用户的身份(用户名和所属组、角色)被传递给应用服务器。当应用系统要根据用户身份显示其中文姓名时,可以访问数据库中的用户对应表。当应用服务器希望根据用户身份做更细粒度的授权时,可以根据用户名或其角色进行授权。
1.3 建议
为了保证WebST更好地与应用系统集成,我们建议企业网采用B/W/D模式开发将来的应用系统,如基于Internet的销售系统、办公自动化系统、电子商务系统等,并希望能够尽早介入企业网应用系统的设计和开发,使得WebST与应用系统更好地结合,发挥最佳效应。
九、结束语
企业是国家真正的经济动脉,是我国网络应用的较成熟部分。对信息安全的需求随着应用的不断完善而日益迫切。以WebST为核心技术,配套其他成熟的安全技术和产品,可以构筑大型分布式企业的网络应用安全体系框架。落实到具体的企业项目中,要根据企业的实际网络结构和应用系统模式,度身定做出全面安全解决方案和工程实施方案,才能做到有的放矢。
