国内各省市的移动通信有限公司(以下称:移动通信)经营本地的GSM移动通信服务、Internet增值服务等业务。随着国内电信市场的分化和开放,移动通信公司的组织结构、业务特点对自身的网络信息安全提出了更高的要求。根据当前的用户要求,我公司提供以下的网络应用安全解决方案(建议稿),为移动通信公司的网络信息安全提供良好的保障,并能够满足未来业务扩展的需要。
本方案的提供者——清华得实网络安全技术公司(以下简称:清华得实公司),成立于1997年,现拥有注册资本金3000万元,是一家专业从事网络安全技术研究开发、网络安全产品销售、安全网络系统集成、网络安全技术咨询的高科技公司。依托清华大学的技术优势和人才优势,依靠清华同方良好的社会信誉和资金优势,结合清华大学在网络安全技术领域的长期研究获得的国际先进技术成果,清华得实网络安全技术有限公司致力于DCE网络安全技术在中国的推广应用,为国民经济信息化作出贡献。清华得实网络安全技术公司与清华同方网络公司在运作、管理上是一体的,清华得实网络安全技术公司侧重于网络安全、网络应用系统,清华同方网络公司侧重于系统集成。两家公司的整体运作,显示了强大的竞争实力的网络应用安全情况分析
1.网络拓扑结构
移动公司的网络是典型的城域网架构,从应用类型上可分为两个互联的网络:
l 业务管理网——提供GSM运营和关键业务处理服务。由两个子网构成:运营管理子网(OMC_Subnet)和计费管理子网(Billing_Subnet)。
l OA办公网——部署在公司总部的各楼层办公室内,提供OA和事务处理服务。在OA办公网中有一部分UNIX工作站具有直接或代理访问业务管理网的职能。
目前,OA办公网和业务管理网已通过专线方式实现互连。同时,OA办公网已接如Internet。公司总部的用户可以通过代理服务器(Proxy Server)访问Internet。拓扑结构示意图如下(图1)。
图1 总体网络拓扑结构示意图
OA办公网有两台中心L3交换机和各楼层的二级节点交换机构成星型分布、冗余备份的网络拓扑结构。一台中心交换机透过防火墙接入Internet(在防火墙上进行IP地址翻译NAT),防火墙连接一个DMZ区域,提供面向Internet用户的WWW和Mail服务。如图2所示。业务管理网络由核心层(Kernel Layer)、分配层(Distribute Layer)和访问层(Access Layer)构成,如图3所示。
图2 公司总部网络拓扑结构示意图
图3 业务管理网络拓扑结构示意图
2.网络应用分析
移动通信公司的网络应用系统可能包括以下内容:
l GSM计费管理系统(用户管理、话单管理、信息查询、统计、分析等)
l GSM设备监控管理
l 网络系统管理(CA UniCenter TNG 或 HP OpenView)
l OA办公系统
l 部门级MIS系统
l Internet典型应用(E-Mail、WWW等)
3.安全风险分析
对移动通信公司的网络应用而言,网络安全风险主要来自两个方面:
(1) 来自Internet的攻击与破坏:由于OA办公网直接接入Internet,将面临来自Internet的网络入侵、黑客攻击和病毒传播。虽然移动通信公司可能已部署的了网络防火墙,起到一定的网络隔离作用,但仍然需要建立更完善的网络防护措施。
(2) 来自网络内部的攻击和破坏:移动通信公司公司对于来自内部网络的攻击或破坏的防范能力相当脆弱。根据以往的数据统计,网络信息系统遭受内部(或内外勾结)攻击和破坏的比例高达85%以上,因此如何有效防范内部破坏,是移动通信公司公司需要解决的首要课题,尤其是如何有效控制从OA办公网的用户访问业务管理网内的主机(直接攻击或通过宿主机间接发起入侵攻击),是本方案中重点讨论的问题。
网络安全需求
总体上讲,移动通信公司公司的网络安全性涉及到系统安全(包括各类软硬件系统)和数据安全,其中系统安全主要是指操作系统安全、网络服务安全。通常的系统攻击使系统不能正常工作,但不导致数据泄密。而数据安全则直接关系到经营管理数据的泄漏。
具体的安全需求如下:
1. 对公司网络按功能类别进行重新划分,实施有效隔离,防范来自内部和外部的攻击;
2. 需采用安全监测机制来实时监测网络攻击事件的发生;
3. 需保护外部公开WWW服务器的安全;
4. 需采用网络防病毒机制来防止网络病毒的攻击和蔓延;
5. 需采用链路加密机制来实现链路传输的安全(可选);
6. 需实现内部应用系统的身份认证、访问授权等安全机制;
7. 需实现从应用系统客户端到服务器端的加密(针对跨越Internet的远程访问);
8. 需实现内部安全策略的合理规划;
9. 保护现有的安全投资。
安全解决方案
4.安全方案的设计原则和安全体系的建立
4.1 安全方案的设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。以下我们只重点讨论安全技术体系的相关内容。
在设计移动通信公司安全系统时,我们将遵循以下原则:
体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
全局性、均衡性、综合性设计原则
安全方案将从移动通信公司网络整体建设角度出发,提供一个具有相当高度、可扩展性的安全解决方案;从移动通信公司的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。本方案将考虑到各种安全措施的使用。
本安全方案将均衡考虑各种安全措施的效果,提供具有最优的性能价格比的安全解决方案。安全需要付出代价(资金、性能损失等)。任何单纯为了安全而不考虑代价的安全方案都是不切实际的。
安全问题在很大因素上取决于安全管理,包括对各种安全设备的管理、对网络设备的管理、对用户的安全教育等。
可行性、可靠性、安全性
作为一个工程项目,可行性是设计移动通信公司安全方案的根本,它将直接影响到网络通信平台的畅通;可靠性是安全系统和网络通信平台正常运行的保证;而安全性是设计安全方案的最终目的。
本方案将保证设计的安全系统是可实施的,加入安全系统后,网络通信和应用系统运行是畅通的,安全系统和整个网络是安全可靠的。
4.2安全技术体系分析模型
安全方案的科学性、可行性是其可顺利实施的保障。
安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。
为了系统、科学地分析安全方案涉及的各种安全问题,我公司董事长胡道元教授在大量调查研究的基础上,重点分析、借鉴了美国国防部DISSP(Defense Wide Information System Security Program)计划中提出的三维安全体系结构,并在其基础上提出了能够指导安全方案总体设计的安全体系(见图-2),它反映了信息系统安全需求和体系结构的共性。
具体说明如下:
安全体系是一个三维结构:
l 第一维(X轴)是安全服务特性,给出了7种主要的安全属性,根据需要可以进一步扩充延伸;
l 第二维(Y轴)是系统单元,给出了信息网络系统的组成;
图4 安全框架示意图
第三维(Z轴)是协议层次,给出了国际标准化组织ISO的开放系统互连(OSI)模型。
安全体系的具体模型和介绍如下:
4.2.1 安全服务维
安全服务源于ISO7498-2,并做了适当扩展。具体如下:
身份认证,用于确认所声明的身份的有效性;
访问控制,防止非授权使用资源或以非授权的方式使用资源;
数据保密,数据存储和传输时加密,防止数据窃取、窃听;
数据完整,防止数据篡改;
不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认;
审计管理,设置审计记录措施,分析审计记录;
可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。
4.2.2 协议层次维
协议层次维由ISO/OSI参考模型的七层构成。与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。
4.2.3 系统单元维
系统单元维描述了信息网络的各个成分。
1) 通信平台,信息网络的通信平台;
2) 网络平台,信息网络的网络系统;
3) 系统平台,信息网络的操作系统平台;
4) 应用平台,信息网络各种应用的开发、运行平台;
5) 物理环境,信息网络运行的物理环境及人员管理。
贯穿于上述三个方面,各个层次的是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。
4.3 安全技术体系框架
在移动通信公司的安全方案设计中,首先要确定安全方案所涉及到的系统单元,其次要考虑该系统单元在各个层次所提供的安全服务(功能),最后还应考虑这些单元系统之间的逻辑关系,才能提供全面的、合理的、有机的安全服务。
根据以上的分析,我们把整个移动通信公司总公司网络安全的规划分为以下几个部分,通过集中的安全管理界面,实现全局同一的安全策略配置、分发、监控和维护:
网络运行环境管理——IT资源配置管理、网络环境可用性管理、网络性能管理、故障管理等
网络系统安全管理——功能子网划分、网络层流量控制、入侵检测与防病毒网关
主机系统安全管理——服务器和桌面PC防病毒、系统安全漏洞扫描和修正
应用系统安全管理——全局用户管理、应用服务资源访问控制、数据加密与安全审计
数据库系统安全管理——数据库存储权限管理、存储过程、触发器设计等
在不同的系统单元层次上有着不同的安全需求和安全解决方案,下面我们就各个层次的安全解决方案的规划设计进行具体描述。借助这些新增的安全管理子系统,结合现有的网管系统和数据库的安全规则的支持,可以形成全面的安全技术体系框架(如下图所示)。
图5 安全技术体系框架
5.网络层安全解决方案
选择网络层安全管理平台时主要考虑这个安全管理平台能否与其它相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
在这个前提下,我们建议在网络系统中采用由清华得实网络安全技术公司提供的网络层安全管理平台。这一平台以Check Point FireWall-1企业级产品为核心,集成了Check Point FireWall-1企业级防火墙、Check Point FireWall-1 RealSecure入侵检测模块、以及Norton防病毒产品。
Check Point公司是开放安全企业互联联盟(OPSEC)的组织者和倡导者之一。OPSEC组织目前已有包括IBM、HP、Sun、Cisco、Bay等260多个公司。OPSEC标准允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安产品。
Check Point FireWall-1企业级产品正是基于OPSEC标准的一个网络层安全管理平台产品。它可以把其它网络层的安全产品,如安全路由器、网络入侵检测产品、网络防病毒产品无缝集成到FireWall-1企业级的安全管理范畴之内。本方案中选择的网络层安全产品都支持OPSEC标准,可以由FireWall-1企业级产品进行集中管理。
5.1 网络安全方案规划
移动通信公司网络层上的安全需求主要是通过防火墙来隔离公司内外的各级功能子网的网段,设置必要的黑客入侵监测(IDS)和网络病毒斟测免疫功能。下面我们就详细分析一下如何通过防火墙来隔离网段,以保护内部主机和服务的。
通过防火墙可将所有的网络划分为非安全区、停火区和安全区。非安全区即Internet;停火区(简称:DMZ)部署对外提供公共服务的主机,如WWW服务器、E-Mail服务器、DNS服务器等,以及对内部用户访问Internet的Proxy Server等。DMZ是外部和内部用户唯一都能到达的网络区域。在停火区与非安全区的出入口处设置了防火墙,以保护停火区内主机和服务的安全,同时,停火区提供了对安全区的服务器的服务提供代理,实施第一层次的安全保护,是安全的缓冲地带;所有的重要服务器都放在安全区内。
对网络拓扑结构调整和安全产品部署,我们提出了如下建议:
功能子网VLAN划分(重点针对OA办公网)。利用现有的L3/L2交换机,设置VLAN:
VLAN-1——包括所有的Windows桌面PC,以及不需要特殊防护的NT服务器
VLAN-2——需要实施保护的NT、UNIX服务器,本身需要访问OMC-Subnet与Billing-Subnet,或为VLAN-1内的桌面PC提供代理访问 OMC-Subnet与Billing-Subnet的UNIX工作站,应归入VLAN-2。
OMC-Subnet——运营管理子网。
Billing-Subnet——计费管理子网。
在中心服务上切断VLAN-1与VLAN-2之间的动态路由,使两个VLAN不能进行直接访问。
1、 设置高性能防火墙,连接两台中心交换机(SSR8600-1和SSR8600-2),提供VLAN-1与VLAN-2的网络层访问控制。
2、 将DMZ与高性能防火墙连接,在DMZ中部署WWW、E-MAIL、DNS、PROXY等服务器。
3、 设置独立的安全管理子网,与高性能防火墙连接,部署网络安全的管理服务器、安全管理终端、网络管理终端等。
4、 设置WebST安全服务器子网,与高性能防火墙连接,提供应用层安全管理服务。
5、 结合防火墙配置安全监测软件,实时监测并阻断网络上的攻击事件的发生。
6、 结合防火墙配置防病毒网关,对流经防火墙的数据包进行病毒监测和过滤。
7、 实现全网集中的网络安全策略部署和管理。
以下是我们为移动通信公司总公司所设计的网络层安全结构:
图6 移动通信公司网络层安全结构示意图
在本方案中,我们推荐使用CheckPoint公司的CheckPoint FireWall-1防火墙模块和CheckPoint RealSecure 入侵监测模块(OEM from ISS),防火墙和IDS运行平台选择Nokia提供的电信级硬件运行平台Nokia IP Appliance Platform(NAP)。FireWall-1防火墙具有强大的防火功能,能够有效地保护内网的主机和服务免受黑客的攻击,同时,它提供了强大的访问控制、客户机认证、会话认证、地址翻译和审计功能,并能够支持多防火墙同步。作为一个防火墙产品,CheckPoint FireWall-1在市场占有率上已超过44%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。
设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。
网络入侵检测的主要安全需求是:
1) 根据网络攻击的特征,在被保护网络的入口处进行实时监测。发现攻击时,向管理员报警并阻断、记录攻击的来源;
2) 针对系统扫描以及实时监测发现的系统漏洞,及时采取措施,实施动态的安全防卫策略;
本方案中,我们选择Check Point RealSecure入侵检测模块,所需数量与Check Point防火墙模块相同,并且与防火墙模块安装在同一个硬件平台上。由Check Point 安全管理控制台实现集中管理。
CheckPoint RealSecure作为实时网络入侵检测、预警和响应系统,能够与CheckPoint FireWall-1防火墙集成,并由FireWall-1企业级产品进行统一管理,从而为企业网络提供更加全面、可靠,更具适应能力安全保护能力。
利用RealSecure全面的攻击模式数据库,管理员能够动态检测网络攻击和误用行为并且作出响应,无论攻击来自企业网络内部还是外部,均能够及时、准确识别攻击企图或网络误用、实现攻击预警并对攻击作出响应。而且,系统会定期升级,以保证RealSecure攻击模式库的完整与全面,从而确保系统对入侵检测的准确性和可靠性。
CheckPoint RealSecure能够准确分析所有流经的数据包的信息。通过分析不同通信模式数据包信息,识别带有敌意的网络误用行为,并作出响应:
? 自动地配置FireWall-1封堵所有可以的网络通信。
? 运行替代脚本 。
? 将安全预警信息直接安全发送至系统控制台,或以E-Mail方式以及通过SNMP Trap方式报警。
? 终止网络连接。
? 以安全事件为对象,记录所有与安全事件相关联的信息。
? 发送SNMP Trap消息。
? 记录所有可以会话。
CheckPoint RealSecure 能够实时检测150类攻击:
? 拒绝服务攻击;
? 非授权访问;
? 攻击前检测;
? 可疑活动;
? 协议解码等。
防病毒推荐使用Symantec Norton AntiVirus for CheckPoint FireWall-1。运行平台可选择NT或UNIX工作站。以上所有网络安全产品均支持OPSEC标准,能够实现集中安全规则配置和管理,并实现安全管理信息的共享和互操作。
北京清华得实网络安全技术有限公司是CheckPoint公司在中国的总代理和特别合作伙伴,是CheckPoint防火墙产品在中国的技术支持中心,拥有多名CheckPoing认证工程师(CCSE)。清华得实公司代理的CheckPoint FireWall-1防火墙产品已通过了公安部的信息安全产品检测,并获得了销售许可证,许可证号是XKC33006,符合国家对网络安全产品的要求。
5.2 网络安全解决方案设备部署
通过对移动通信公司的网络拓扑结构的初步分析,我们发现作为电信运营级的网络结构配置了高性能的路由交换设备,具备设备冗余备份能力,很好地避免了单点设备失效的硬件风险。我们在考虑网络安全设备的选型和配置时,充分考虑了性能和避免单点失效的要求。具体的设备选型如下表:
网络安全产品部署示意图如下(包含主机安全和应用安全产品部署):
图7 公司总部网络安全产品部署示意图
以下是我们为移动通信公司总公司所设计的网络层安全结构:
图6 移动通信公司网络层安全结构示意图
在本方案中,我们推荐使用CheckPoint公司的CheckPoint FireWall-1防火墙模块和CheckPoint RealSecure 入侵监测模块(OEM from ISS),防火墙和IDS运行平台选择Nokia提供的电信级硬件运行平台Nokia IP Appliance Platform(NAP)。FireWall-1防火墙具有强大的防火功能,能够有效地保护内网的主机和服务免受黑客的攻击,同时,它提供了强大的访问控制、客户机认证、会话认证、地址翻译和审计功能,并能够支持多防火墙同步。作为一个防火墙产品,CheckPoint FireWall-1在市场占有率上已超过44%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。
设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。
网络入侵检测的主要安全需求是:
1) 根据网络攻击的特征,在被保护网络的入口处进行实时监测。发现攻击时,向管理员报警并阻断、记录攻击的来源;
2) 针对系统扫描以及实时监测发现的系统漏洞,及时采取措施,实施动态的安全防卫策略;
本方案中,我们选择Check Point RealSecure入侵检测模块,所需数量与Check Point防火墙模块相同,并且与防火墙模块安装在同一个硬件平台上。由Check Point 安全管理控制台实现集中管理。
CheckPoint RealSecure作为实时网络入侵检测、预警和响应系统,能够与CheckPoint FireWall-1防火墙集成,并由FireWall-1企业级产品进行统一管理,从而为企业网络提供更加全面、可靠,更具适应能力安全保护能力。
利用RealSecure全面的攻击模式数据库,管理员能够动态检测网络攻击和误用行为并且作出响应,无论攻击来自企业网络内部还是外部,均能够及时、准确识别攻击企图或网络误用、实现攻击预警并对攻击作出响应。而且,系统会定期升级,以保证RealSecure攻击模式库的完整与全面,从而确保系统对入侵检测的准确性和可靠性。
CheckPoint RealSecure能够准确分析所有流经的数据包的信息。通过分析不同通信模式数据包信息,识别带有敌意的网络误用行为,并作出响应:
? 自动地配置FireWall-1封堵所有可以的网络通信。
? 运行替代脚本 。
? 将安全预警信息直接安全发送至系统控制台,或以E-Mail方式以及通过SNMP Trap方式报警。
? 终止网络连接。
? 以安全事件为对象,记录所有与安全事件相关联的信息。
? 发送SNMP Trap消息。
? 记录所有可以会话。
CheckPoint RealSecure 能够实时检测150类攻击:
? 拒绝服务攻击;
? 非授权访问;
? 攻击前检测;
? 可疑活动;
? 协议解码等。
防病毒推荐使用Symantec Norton AntiVirus for CheckPoint FireWall-1。运行平台可选择NT或UNIX工作站。以上所有网络安全产品均支持OPSEC标准,能够实现集中安全规则配置和管理,并实现安全管理信息的共享和互操作。
北京清华得实网络安全技术有限公司是CheckPoint公司在中国的总代理和特别合作伙伴,是CheckPoint防火墙产品在中国的技术支持中心,拥有多名CheckPoing认证工程师(CCSE)。清华得实公司代理的CheckPoint FireWall-1防火墙产品已通过了公安部的信息安全产品检测,并获得了销售许可证,许可证号是XKC33006,符合国家对网络安全产品的要求。
5.2 网络安全解决方案设备部署
通过对移动通信公司的网络拓扑结构的初步分析,我们发现作为电信运营级的网络结构配置了高性能的路由交换设备,具备设备冗余备份能力,很好地避免了单点设备失效的硬件风险。我们在考虑网络安全设备的选型和配置时,充分考虑了性能和避免单点失效的要求。具体的设备选型如下表:
网络安全产品部署示意图如下(包含主机安全和应用安全产品部署):
图7 公司总部网络安全产品部署示意图
国内各省市的移动通信有限公司(以下称:移动通信)经营本地的GSM移动通信服务、Internet增值服务等业务。随着国内电信市场的分化和开放,移动通信公司的组织结构、业务特点对自身的网络信息安全提出了更高的要求。根据当前的用户要求,我公司提供以下的网络应用安全解决方案(建议稿),为移动通信公司的网络信息安全提供良好的保障,并能够满足未来业务扩展的需要。
本方案的提供者——清华得实网络安全技术公司(以下简称:清华得实公司),成立于1997年,现拥有注册资本金3000万元,是一家专业从事网络安全技术研究开发、网络安全产品销售、安全网络系统集成、网络安全技术咨询的高科技公司。依托清华大学的技术优势和人才优势,依靠清华同方良好的社会信誉和资金优势,结合清华大学在网络安全技术领域的长期研究获得的国际先进技术成果,清华得实网络安全技术有限公司致力于DCE网络安全技术在中国的推广应用,为国民经济信息化作出贡献。清华得实网络安全技术公司与清华同方网络公司在运作、管理上是一体的,清华得实网络安全技术公司侧重于网络安全、网络应用系统,清华同方网络公司侧重于系统集成。两家公司的整体运作,显示了强大的竞争实力的网络应用安全情况分析
1.网络拓扑结构
移动公司的网络是典型的城域网架构,从应用类型上可分为两个互联的网络:
l 业务管理网——提供GSM运营和关键业务处理服务。由两个子网构成:运营管理子网(OMC_Subnet)和计费管理子网(Billing_Subnet)。
l OA办公网——部署在公司总部的各楼层办公室内,提供OA和事务处理服务。在OA办公网中有一部分UNIX工作站具有直接或代理访问业务管理网的职能。
目前,OA办公网和业务管理网已通过专线方式实现互连。同时,OA办公网已接如Internet。公司总部的用户可以通过代理服务器(Proxy Server)访问Internet。拓扑结构示意图如下(图1)。
图1 总体网络拓扑结构示意图
OA办公网有两台中心L3交换机和各楼层的二级节点交换机构成星型分布、冗余备份的网络拓扑结构。一台中心交换机透过防火墙接入Internet(在防火墙上进行IP地址翻译NAT),防火墙连接一个DMZ区域,提供面向Internet用户的WWW和Mail服务。如图2所示。业务管理网络由核心层(Kernel Layer)、分配层(Distribute Layer)和访问层(Access Layer)构成,如图3所示。
图2 公司总部网络拓扑结构示意图
图3 业务管理网络拓扑结构示意图
2.网络应用分析
移动通信公司的网络应用系统可能包括以下内容:
l GSM计费管理系统(用户管理、话单管理、信息查询、统计、分析等)
l GSM设备监控管理
l 网络系统管理(CA UniCenter TNG 或 HP OpenView)
l OA办公系统
l 部门级MIS系统
l Internet典型应用(E-Mail、WWW等)
3.安全风险分析
对移动通信公司的网络应用而言,网络安全风险主要来自两个方面:
(1) 来自Internet的攻击与破坏:由于OA办公网直接接入Internet,将面临来自Internet的网络入侵、黑客攻击和病毒传播。虽然移动通信公司可能已部署的了网络防火墙,起到一定的网络隔离作用,但仍然需要建立更完善的网络防护措施。
(2) 来自网络内部的攻击和破坏:移动通信公司公司对于来自内部网络的攻击或破坏的防范能力相当脆弱。根据以往的数据统计,网络信息系统遭受内部(或内外勾结)攻击和破坏的比例高达85%以上,因此如何有效防范内部破坏,是移动通信公司公司需要解决的首要课题,尤其是如何有效控制从OA办公网的用户访问业务管理网内的主机(直接攻击或通过宿主机间接发起入侵攻击),是本方案中重点讨论的问题。
网络安全需求
总体上讲,移动通信公司公司的网络安全性涉及到系统安全(包括各类软硬件系统)和数据安全,其中系统安全主要是指操作系统安全、网络服务安全。通常的系统攻击使系统不能正常工作,但不导致数据泄密。而数据安全则直接关系到经营管理数据的泄漏。
具体的安全需求如下:
1. 对公司网络按功能类别进行重新划分,实施有效隔离,防范来自内部和外部的攻击;
2. 需采用安全监测机制来实时监测网络攻击事件的发生;
3. 需保护外部公开WWW服务器的安全;
4. 需采用网络防病毒机制来防止网络病毒的攻击和蔓延;
5. 需采用链路加密机制来实现链路传输的安全(可选);
6. 需实现内部应用系统的身份认证、访问授权等安全机制;
7. 需实现从应用系统客户端到服务器端的加密(针对跨越Internet的远程访问);
8. 需实现内部安全策略的合理规划;
9. 保护现有的安全投资。
安全解决方案
4.安全方案的设计原则和安全体系的建立
4.1 安全方案的设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。以下我们只重点讨论安全技术体系的相关内容。
在设计移动通信公司安全系统时,我们将遵循以下原则:
体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
全局性、均衡性、综合性设计原则
安全方案将从移动通信公司网络整体建设角度出发,提供一个具有相当高度、可扩展性的安全解决方案;从移动通信公司的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。本方案将考虑到各种安全措施的使用。
本安全方案将均衡考虑各种安全措施的效果,提供具有最优的性能价格比的安全解决方案。安全需要付出代价(资金、性能损失等)。任何单纯为了安全而不考虑代价的安全方案都是不切实际的。
安全问题在很大因素上取决于安全管理,包括对各种安全设备的管理、对网络设备的管理、对用户的安全教育等。
可行性、可靠性、安全性
作为一个工程项目,可行性是设计移动通信公司安全方案的根本,它将直接影响到网络通信平台的畅通;可靠性是安全系统和网络通信平台正常运行的保证;而安全性是设计安全方案的最终目的。
本方案将保证设计的安全系统是可实施的,加入安全系统后,网络通信和应用系统运行是畅通的,安全系统和整个网络是安全可靠的。
4.2安全技术体系分析模型
安全方案的科学性、可行性是其可顺利实施的保障。
安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。
为了系统、科学地分析安全方案涉及的各种安全问题,我公司董事长胡道元教授在大量调查研究的基础上,重点分析、借鉴了美国国防部DISSP(Defense Wide Information System Security Program)计划中提出的三维安全体系结构,并在其基础上提出了能够指导安全方案总体设计的安全体系(见图-2),它反映了信息系统安全需求和体系结构的共性。
具体说明如下:
安全体系是一个三维结构:
l 第一维(X轴)是安全服务特性,给出了7种主要的安全属性,根据需要可以进一步扩充延伸;
l 第二维(Y轴)是系统单元,给出了信息网络系统的组成;
图4 安全框架示意图
第三维(Z轴)是协议层次,给出了国际标准化组织ISO的开放系统互连(OSI)模型。
安全体系的具体模型和介绍如下:
4.2.1 安全服务维
安全服务源于ISO7498-2,并做了适当扩展。具体如下:
身份认证,用于确认所声明的身份的有效性;
访问控制,防止非授权使用资源或以非授权的方式使用资源;
数据保密,数据存储和传输时加密,防止数据窃取、窃听;
数据完整,防止数据篡改;
不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认;
审计管理,设置审计记录措施,分析审计记录;
可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。
4.2.2 协议层次维
协议层次维由ISO/OSI参考模型的七层构成。与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。
4.2.3 系统单元维
系统单元维描述了信息网络的各个成分。
1) 通信平台,信息网络的通信平台;
2) 网络平台,信息网络的网络系统;
3) 系统平台,信息网络的操作系统平台;
4) 应用平台,信息网络各种应用的开发、运行平台;
5) 物理环境,信息网络运行的物理环境及人员管理。
贯穿于上述三个方面,各个层次的是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。
4.3 安全技术体系框架
在移动通信公司的安全方案设计中,首先要确定安全方案所涉及到的系统单元,其次要考虑该系统单元在各个层次所提供的安全服务(功能),最后还应考虑这些单元系统之间的逻辑关系,才能提供全面的、合理的、有机的安全服务。
根据以上的分析,我们把整个移动通信公司总公司网络安全的规划分为以下几个部分,通过集中的安全管理界面,实现全局同一的安全策略配置、分发、监控和维护:
网络运行环境管理——IT资源配置管理、网络环境可用性管理、网络性能管理、故障管理等
网络系统安全管理——功能子网划分、网络层流量控制、入侵检测与防病毒网关
主机系统安全管理——服务器和桌面PC防病毒、系统安全漏洞扫描和修正
应用系统安全管理——全局用户管理、应用服务资源访问控制、数据加密与安全审计
数据库系统安全管理——数据库存储权限管理、存储过程、触发器设计等
在不同的系统单元层次上有着不同的安全需求和安全解决方案,下面我们就各个层次的安全解决方案的规划设计进行具体描述。借助这些新增的安全管理子系统,结合现有的网管系统和数据库的安全规则的支持,可以形成全面的安全技术体系框架(如下图所示)。
图5 安全技术体系框架
5.网络层安全解决方案
选择网络层安全管理平台时主要考虑这个安全管理平台能否与其它相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
在这个前提下,我们建议在网络系统中采用由清华得实网络安全技术公司提供的网络层安全管理平台。这一平台以Check Point FireWall-1企业级产品为核心,集成了Check Point FireWall-1企业级防火墙、Check Point FireWall-1 RealSecure入侵检测模块、以及Norton防病毒产品。
Check Point公司是开放安全企业互联联盟(OPSEC)的组织者和倡导者之一。OPSEC组织目前已有包括IBM、HP、Sun、Cisco、Bay等260多个公司。OPSEC标准允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安产品。
Check Point FireWall-1企业级产品正是基于OPSEC标准的一个网络层安全管理平台产品。它可以把其它网络层的安全产品,如安全路由器、网络入侵检测产品、网络防病毒产品无缝集成到FireWall-1企业级的安全管理范畴之内。本方案中选择的网络层安全产品都支持OPSEC标准,可以由FireWall-1企业级产品进行集中管理。
5.1 网络安全方案规划
移动通信公司网络层上的安全需求主要是通过防火墙来隔离公司内外的各级功能子网的网段,设置必要的黑客入侵监测(IDS)和网络病毒斟测免疫功能。下面我们就详细分析一下如何通过防火墙来隔离网段,以保护内部主机和服务的。
通过防火墙可将所有的网络划分为非安全区、停火区和安全区。非安全区即Internet;停火区(简称:DMZ)部署对外提供公共服务的主机,如WWW服务器、E-Mail服务器、DNS服务器等,以及对内部用户访问Internet的Proxy Server等。DMZ是外部和内部用户唯一都能到达的网络区域。在停火区与非安全区的出入口处设置了防火墙,以保护停火区内主机和服务的安全,同时,停火区提供了对安全区的服务器的服务提供代理,实施第一层次的安全保护,是安全的缓冲地带;所有的重要服务器都放在安全区内。
对网络拓扑结构调整和安全产品部署,我们提出了如下建议:
功能子网VLAN划分(重点针对OA办公网)。利用现有的L3/L2交换机,设置VLAN:
VLAN-1——包括所有的Windows桌面PC,以及不需要特殊防护的NT服务器
VLAN-2——需要实施保护的NT、UNIX服务器,本身需要访问OMC-Subnet与Billing-Subnet,或为VLAN-1内的桌面PC提供代理访问 OMC-Subnet与Billing-Subnet的UNIX工作站,应归入VLAN-2。
OMC-Subnet——运营管理子网。
Billing-Subnet——计费管理子网。
在中心服务上切断VLAN-1与VLAN-2之间的动态路由,使两个VLAN不能进行直接访问。
1、 设置高性能防火墙,连接两台中心交换机(SSR8600-1和SSR8600-2),提供VLAN-1与VLAN-2的网络层访问控制。
2、 将DMZ与高性能防火墙连接,在DMZ中部署WWW、E-MAIL、DNS、PROXY等服务器。
3、 设置独立的安全管理子网,与高性能防火墙连接,部署网络安全的管理服务器、安全管理终端、网络管理终端等。
4、 设置WebST安全服务器子网,与高性能防火墙连接,提供应用层安全管理服务。
5、 结合防火墙配置安全监测软件,实时监测并阻断网络上的攻击事件的发生。
6、 结合防火墙配置防病毒网关,对流经防火墙的数据包进行病毒监测和过滤。
7、 实现全网集中的网络安全策略部署和管理。
以下是我们为移动通信公司总公司所设计的网络层安全结构:
图6 移动通信公司网络层安全结构示意图
在本方案中,我们推荐使用CheckPoint公司的CheckPoint FireWall-1防火墙模块和CheckPoint RealSecure 入侵监测模块(OEM from ISS),防火墙和IDS运行平台选择Nokia提供的电信级硬件运行平台Nokia IP Appliance Platform(NAP)。FireWall-1防火墙具有强大的防火功能,能够有效地保护内网的主机和服务免受黑客的攻击,同时,它提供了强大的访问控制、客户机认证、会话认证、地址翻译和审计功能,并能够支持多防火墙同步。作为一个防火墙产品,CheckPoint FireWall-1在市场占有率上已超过44%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。
设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。
网络入侵检测的主要安全需求是:
1) 根据网络攻击的特征,在被保护网络的入口处进行实时监测。发现攻击时,向管理员报警并阻断、记录攻击的来源;
2) 针对系统扫描以及实时监测发现的系统漏洞,及时采取措施,实施动态的安全防卫策略;
本方案中,我们选择Check Point RealSecure入侵检测模块,所需数量与Check Point防火墙模块相同,并且与防火墙模块安装在同一个硬件平台上。由Check Point 安全管理控制台实现集中管理。
CheckPoint RealSecure作为实时网络入侵检测、预警和响应系统,能够与CheckPoint FireWall-1防火墙集成,并由FireWall-1企业级产品进行统一管理,从而为企业网络提供更加全面、可靠,更具适应能力安全保护能力。
利用RealSecure全面的攻击模式数据库,管理员能够动态检测网络攻击和误用行为并且作出响应,无论攻击来自企业网络内部还是外部,均能够及时、准确识别攻击企图或网络误用、实现攻击预警并对攻击作出响应。而且,系统会定期升级,以保证RealSecure攻击模式库的完整与全面,从而确保系统对入侵检测的准确性和可靠性。
CheckPoint RealSecure能够准确分析所有流经的数据包的信息。通过分析不同通信模式数据包信息,识别带有敌意的网络误用行为,并作出响应:
? 自动地配置FireWall-1封堵所有可以的网络通信。
? 运行替代脚本 。
? 将安全预警信息直接安全发送至系统控制台,或以E-Mail方式以及通过SNMP Trap方式报警。
? 终止网络连接。
? 以安全事件为对象,记录所有与安全事件相关联的信息。
? 发送SNMP Trap消息。
? 记录所有可以会话。
CheckPoint RealSecure 能够实时检测150类攻击:
? 拒绝服务攻击;
? 非授权访问;
? 攻击前检测;
? 可疑活动;
? 协议解码等。
防病毒推荐使用Symantec Norton AntiVirus for CheckPoint FireWall-1。运行平台可选择NT或UNIX工作站。以上所有网络安全产品均支持OPSEC标准,能够实现集中安全规则配置和管理,并实现安全管理信息的共享和互操作。
北京清华得实网络安全技术有限公司是CheckPoint公司在中国的总代理和特别合作伙伴,是CheckPoint防火墙产品在中国的技术支持中心,拥有多名CheckPoing认证工程师(CCSE)。清华得实公司代理的CheckPoint FireWall-1防火墙产品已通过了公安部的信息安全产品检测,并获得了销售许可证,许可证号是XKC33006,符合国家对网络安全产品的要求。
5.2 网络安全解决方案设备部署
通过对移动通信公司的网络拓扑结构的初步分析,我们发现作为电信运营级的网络结构配置了高性能的路由交换设备,具备设备冗余备份能力,很好地避免了单点设备失效的硬件风险。我们在考虑网络安全设备的选型和配置时,充分考虑了性能和避免单点失效的要求。具体的设备选型如下表:
网络安全产品部署示意图如下(包含主机安全和应用安全产品部署):
图7 公司总部网络安全产品部署示意图
如图所示,我们选择Nokia公司的NAP IP650作为防火墙和IDS硬件运行平台,并且提供冗余备份的网络连接设置(IP650可工作于负载平衡模式);IP650提供E1/T1接口,可直接连入Internet。SSR8600提供除DMZ、安全管理子网以外其他所有VLAN之间的流量控制管理。DMZ和安全管理子网内的每台主机应提供2个以上10/100M NIC端口。WebST服务器配置一台Primary服务器和一台Secondary服务器,提供冗余的安全管理服务。处于VLAN-2中的服务器或UNIX工作站受到WebST服务器的保护和管理,用户从VLAN-1只能访问WebST服务器或DMZ,不能直接访问VLAN-2、Internet、OMC-Subnet、Billing-Subnet。
图8 业务管理子网安全产品部署示意图
6.主机系统安全解决方案
在移动通信公司的内部网络上,我们建议使用Norton AntiVirus 企业解决方案来全面解决NT服务器和桌面PC的防病毒问题。可以选择配置ISS System Scanner作为主机漏洞扫描的备选方案。
6.1 主机系统防病毒
一个完善的企业网络防病毒解决方案主要应考虑以下几个问题:
一个多层次、全方位的防病毒体系,而不仅仅是几套防病毒软件,同时具有跨平台的技术及强大功能,也就是说,在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。
在这个防病毒体系中应该具有统一的、集中的、智能的和自动化的管理手段和管理工具,包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。
采用先进的防病毒技术,能够有效的查杀各种多态病毒和未知病毒
集中和方便地进行病毒定义码和扫描引擎的更新。尤其是能否及时对扫描引擎更新尤为重要,由于在一个防病毒软件中,主要靠扫描引擎来清除病毒,因此能否方便、快捷地升级扫描引擎直接影响到防病毒体系的防毒能力。
方便、全面、友好的病毒警报和报表系统管理机制
病毒防护自动化服务机制
客户端防病毒策略的强制定义和执行,它可以确保客户端不会因为人为因素而造成防病毒策略的更改、破坏等。
合理的预算规划和低廉的总拥有成本
良好的服务与强大支持
时刻具有最强的防病毒能力
紧急处理能力和对新病毒具有最快的响应速度。由于病毒总是先出现,因此对于这些新出现的病毒,防病毒体系是否具有足够强的紧急处理能力和快速的响应速度,从而确保在新病毒出现时,系统不受其影响,或尽量少地受其影响。
本方案中,我们推荐采用Symantec公司的Nonton AntiVirus系列产品构筑全方位、多层次的、整体的网络防病毒解决方案。
在网络结构方面:Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护,尤其是对电子邮件的防病毒,Symantec 具有最全面的解决方案,包括市场上流行的所有邮件系统如:IBM Lotus Notes/Domino(on AIX、AS/400、OS/390、SUN Soralis、NT)、MS Exchang Server以及其他的基于Unix平台下的邮件系统。
在系统平台支持方面:Symantec对各种操作系统提供全面的支持,如:IBM AIX, Linux, AS/400, OS/390,SUN Solaris,Dos, Windows/3x, Windows 95/98, Windows NT Workstation/Server, Windows 2000,OS/2, NOVELL Netware, Macintosh等。
在防病毒技术方面:Symantec采用各种先进的反病毒技术,尤其在对付未知病毒和多态病毒方面,采用了各种先进的技术对其进行查杀,如:启发式侦测技术(Bloodhund TM),神经网络技术,打击技术(Striker32)和防宏病毒技术(MVP)等,因此NAV产品不仅能查、杀各种未知病毒,还能修复被病毒感染的文件。
在防病毒软件和防病毒策略管理方面:通过赛门铁克的SSC(Symantec System Center)赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。
在病毒定义码和扫描引擎升级方面:采用模块化(NAVEX)的升级方式,也就是说,用户每次升级都包括最新的病毒定义码和扫描引擎.而且各种NAV产品采用的是同一套病毒定义码和扫描引擎,方便用户病毒定义码和扫描引擎的升级,同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机.
在技术支持和服务方面:Symantec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应,并能迅速提供相应的解决方案。
对新出现病毒的响应速度:Symantec对新出现的病毒具有最快的响应速度,Symantec 在全球有4个防病毒研究中心(SARC),同时会在2000年在中国成立第五个防病毒研究中心,在SARC有专门的系统每时每刻主动在Internet上搜索病毒,同时把搜索来的病毒样本自动送到数字免疫系统中进行分析,产生响应的解决方案,在经过SARC的验证后公布在Symantec的网站上。由于Symantec在获取病毒样本和提出相应的解决方案这个过程全部是自动的,所以我们对新病毒有最快的响应速度,如在今年夏天出现的“爱虫病毒”,Symantec 从获取病毒样本到提出相应的解决方案只有40多分钟,同时我们的解决方案会比病毒传播的更快,可以把新病毒造成的危害尽量限制在最小的范围。
网络各层次的防病毒产品均可以通过赛门铁克控制中心Symantec System Center (SSC)实现统一集中的管理,如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。
在本方案中,我们选择Norton AntiVirus Enterprise Solution 4.0 。其中以Norton AntiVirus for FireWall 1.5作为网关防病毒产品,部署在网络边界防火墙模块上,由FireWall-1网络安全管理平台进行统一管理。
6.2 主机漏洞扫描(可选项)
我们推荐ISS System Scanner作为主机安全评估系统。ISS System Scanner通过对UNIX、NT操作系统安全弱点的完全分析帮助移动通信公司管理安全风险。ISS System Scanner比较当前网络系统的安全策略和实际的主机配置来发现潜在的安全风险,包括缺少安全补丁、不正确的系统登录权限、不安全的服务设置和代表攻击的可以行为等。
另外,ISS System Scanner存储了目标OS的配置并在个人主机上放置了一个电子的指纹。这个特征允许管理员维护一个正在运行的系统配置序列。对这些记录的日常检查可以帮助在形成安全问题之前识别破坏性的和恶意的对OS配置进行修改的企图。ISS System Scanner可以修复有问题的OS,自动产生文件所有权和文件权限的修复脚本。
ISS System Scanner主要功能包括:
基于主机的风险管理
快速识别系统安全漏洞
交互扫描或预设脚本扫描
多级风险排序
OS修正办法和脚本
提供相应软件补丁供应商的URL
自动产生漏洞修复脚本
保护企业的终端和服务器
6.3 主机系统安全解决方案配置说明
主要配置见下表:
配置示意图参见图7。
7.应用系统安全解决方案
7.1安全管理
整个移动通信公司的安全管理主要集中在应用系统,其可分为三个方面:
l 用户空间的规划和管理
l 资源空间的规划和管理
l 授权策略的规划和管理
1、用户空间的规划和管理
移动通信公司应用系统比较繁多,涉及到不同的业务部门,应用系统管理各自的系统用户,整体上比较混乱,如果某个领导想访问不同的应用系统,他就需要登录不同的应用系统,输入不同的用户名和口令,大大增加访问应用系统的繁琐度和降低工作效率。
在移动通信公司应用系统用户的规划和管理过程中,我们建议采用集中统一的用户管理,即在全网内,每个合法用户只拥有唯一的用户身份,这个用户身份是针对公司内部的所有应用系统,不论是OA系统还是业务管理系统,包括对访问OMC-Subnet和Billing-Subnet提供代理服务UNIX工作站的用户群。这样,对于移动通信公司的所有应用系统,就形成了一个统一的用户空间。
用户身份的集中管理能够很好地统一用户的空间,全面解决单点登录,从而大大减轻各应用系统管理员的工作,但需要一个机构来进行全局用户的管理,集中进行用户身份建立、密码分发等工作。这项工作应落实到某个职能部门全权负责。
2、资源空间的规划和管理
本方案中,我们将主要针对移动通信公司公司内部的服务器提供应用层安全管理措施。受保护的应用服务资源包括:OMC-Subnet和Billing-Subnet上的UNIX服务器,以及VLAN-2网段上的UNIX、NT服务器和UNIX工作站。
如果未来移动通信公司公司提供面向Internet用户的公共服务业务,也可以将DMZ区域内的应用服务器纳入应用安全管理的范围。本方案不对DMZ中的服务器(除PROXY服务器以外)提供安全管理服务。
根据第2节的功能子网规划策略,PROXY服务器将放置在DMZ区域内。我们建议,可以将PROXY服务器作为受保护的应用服务资源,由WebST安全管理平台进行集中管理。
3、授权策略的规划和管理
概括地讲,移动通信公司应用系统安全管理具备以下特性:
从管理的角度来看,安全管理要体现出企业信息平台的管理模式:
移动通信公司总公司落实专门的安全管理部门;
由安全管理部门制订并实施企业信息平台总的安全管理策略;
每个部门提供并维护共享给别的部门的资源,执行安全管理部门制订的安全策略;
从用户角度来看:
用户帐号的统一管理;
统一的用户身份识别;
从资源角度来看,要实现资源的分布配置和统一的资源目录管理;
从访问控制的角度来看,要实现统一的访问控制策略制定与分发,提供与分布应用系统集成的访问控制服务
从第三方应用的角度来看:要为第三方应用提供安全强度一致的安全管理服务;
要与第三方已有的安全服务无缝集成。
从维护的角度看,要有友好的图形界面,易于配置和维护;
安全的加密日志文件,防止否认。
针对上述的具体要求,各种安全手段需要有效的管理策略和手段,将上述技术和产品有机结合,满集中管理的要求。
7.2应用类型
本方案可以满足以下两类应用的安全管理需求:
C/S应用类型——提供基于TCP服务端口的安全访问控制
B/W/D应用类型——提供基于静态或动态Web页面的安全访问控制
在本方案中,我们建议使用清华得实网络安全技术有限公司的WebST应用安全平台,它基于先进而成熟的分布式计算环境(DCE),集成统一用户管理、身份认证、访问控制、数据加密、过程审计等多种网络安全管理机制,为Internet/Intranet/Extranet网络应用提供标准的、开放的、跨平台的、与网络拓扑结构无关的安全服务功能。WebST可以集成第三方提供的软硬件加密算法,满足对信息安全有有着特殊要求的网络应用系统的需要。
WebST的基本特征是为Intranet提供统一的安全管理平台,作为网络的授权和访问控制中心,实施由用户到应用的安全管理。
WebST可以提供应用层的安全管理平台,实现应用层统一的安全管理,同时也提供用户到应用的安全通道,这种安全通道是安全管道最长的方式。WebST可以与其他产品的安全机制集成,比如可以采用基于CA的身份认证,结合现有的访问控制机制,为应用提供授权机制等。
WebST作为一个安全应用平台在移动通信公司的应用系统中起着重要的作用。它主要解决了传统应用系统中最主要的四大安全问题:身份认证、授权管理、传输加密和审计记录,而同时WebST为各种应用提供了一个统一的安全平台,可无缝集成第三方应用系统的安全机制。
7.3 WebST安全管理运行平台
WebST网络应用安全管理平台是一组面向应用的企业网络安全中间件,是清华得实的网络应用安全产品系列的技术基础,在此平台上可以开发出针对具体网络应用的安全产品。(技术框架见图9)
l JavaConsole 基于交互图形界面的安全管理控制台
l WebSEAL Web应用安全管理系统——基于Web三层应用模式的统一安全管理;
l NetSEAL 网络应用安全VPN——基于TCP/IP的传统C/S应用模式的统一安全管理;
l ObjectSEAL CORBA应用安全管理系统
l MQSEAL MQ应用安全管理系统
l NotesSEAL Notes群件应用安全管理系统
l DBSEAL 数据库应用安全管理系统
l EPKMS 支持PKI身份认证
图9 WebST技术框架示意图
WebST特征与优势:
l 标准化的安全服务中间件——使应用系统的开发过程更加简便、高效、快捷
l 集中统一的用户管理——符合应用系统的客观需要
l 支持多种网络认证体系——确保应用系统的开放性、扩展性、互联性
l 独立的、多层次的访问授权——适合用户的业务流程管理需求
l 跨越网络拓扑结构——认证用户无论从内网或外网登录,都具有相同的访问权限
l 替换数据加密算法——满足特殊用户对数据安全强度的需求
l 用户活动审计——丰富详实的事后跟踪和责任评估手段
l 自动复制与负载平衡——全面支持企业级应用
l JavaConsole管理控制台——功能丰富的安全管理图形交互界面
WebSEAL 特征与优势:
l 与Web应用无缝集成——使Web应用系统获得标准的访问控制功能
l 灵巧连接(Smart Junction)——建立统一的Web资源空间
l 动态URL映射——对动态Web对象实现细粒度访问控制
l 用户身份传递——为已有的Web应用提供身份认证服务
如图所示,WebST安全服务器和WebSEAL分别运行在不同机器上;客户端安装NetSEAT,运行普通的Web浏览器;Web服务器和数据库服务器只响应来自WebSEAL的访问请求。工作原理如下:
(1) 首先使用管理控制台将所有用户的用户名、口令等安全存放到用户数据库,并分发给用户;
(2) 根据应用服务资源的安全策略,使用JavaConsole管理控制台设置访问控制列表,存放在ACLs数据库中;
(3) 客户端向WebST安全服务器申请登录认证;
(4) WebST服务器检查用户数据库,对用户身份进行认证;向认证用户发放访问Web资源的一次性访问凭证;
(5) 通过认证客户端向WebSEAL传送http请求和访问凭证;
(6) WebSEAL读取ACLs数据库中对应的ACL记录,验证用户的访问凭证,确定用户是否有权访问相应的Web应用服务资源;
(7) 确认成功后,WebSEAL代理客户端向Web应用服务器发送http请求;
(8) Web应用服务器响应WebSEAL的访问请求,将结果传递给WebSEAL ;
(9) WebSEAL将来自Web应用服务器的结果传递给客户端,完成客户的访问请求。
图10 WebSEAL工作流程示意图
注:NetSEAT客户端与WebSEAL之间自动建立安全的加密通道
NetSEAL 特征与优势:
l 与传统的TCP/IP应用无缝集成——使Internet/Intranet/Extranet应用获得标准的访问控制功能
l 端到端的加密数据通道——构建安全距离最长的VPN通道
l 根据用户权限开放对应主机的服务端口——保护后台TCP/IP应用服务
l 高效灵活的VPN管理功能——按需建立应用VPN、按需加密通信数据,提供最佳的性能价格比
图11 NetSEAL工作流程示意图
如图所示,WebST安全服务器和NetSEAL分别运行在不同机器上;客户端安装NetSEAT,运行普通的TCP/IP客户端软件;应用服务器只响应来自NetSEAL的访问请求。工作原理如下:
(1) 使用JavaConsole管理控制台将所有用户的用户名、口令等安全存放在用户数据库中,并分发给用户;
(2) 根据应用系统的安全策略使用JavaConsole管理控制台设置访问控制列表(ACL),存放到ACLs数据库;
(3) 客户端向WebST安全服务器申请登录认证;
(4) WebST服务器检查用户数据库,对用户身份进行认证;向客户端发送一次性的应用服务访问凭证;
(5) 通过认证客户端向NetSEAL传送TCP/UDP请求和访问凭证;
(6) NetSEAL读取ACLs数据库中对应的ACL记录,确定用户是否有权访问相应的应用服务资源;
(7) 确认成功后,NetSEAL将客户端请求发送到对应的应用服务TCP/UDP端口;
(8) 应用服务通过NetSEAL监控的TCP/UDP端口响应客户端的请求。
7.4 OA办公网UNIX工作站的安全管理
在网络层安全解决方案的描述中,我们将OA办公网内的UNIX工作站作为受保护的系统服务资源归入VLAN-2虚网内,因为这类UNIX工作站扮演着两种类型的角色:
l 用户通过UNIX工作站交互界面直接访问受保护的NT或UNIX服务器
l UNIX工作站向PC用户提供访问代理服务,使PC用户可以通过UNIX工作站访问本地或远程的UNIX服务器
因此,不能简单地将UNIX工作站当作业务终端,而应将其当作受保护的服务节点(类似于PROXY服务器所起的作用)。我们将这些UNIX工作站以及所有提供TCP/IP服务功能的UNIX服务器纳入WebST的保护范围,当用户登录WebST完成身份认证后,由对应的NetSEAL服务器对用户的访问请求进行授权检查,并且将通过检查的TCP连接请求发送给指定的UNIX工作站或UNIX服务器。管理员对防火墙指向VLAN-2的端口配置过滤规则,所有直接对VLAN-2内的UNIX工作站或NT/UNIX服务器的TCP连接请求均被拒绝或丢弃,使得非法用户无法实现对UNIX工作站和NT/UNIX服务器的越权访问。(如图7所示)
当UNIX工作站(或VLAN-2内的NT/UNIX服务器)需要访问OMC-Subnet和Billing-Subnet时,我们建议采用低成本的防火墙访问过滤规则实现IP到IP的访问控制,以满足移动通信公司的安全管理需求。主要因为目前的UNIX工作站与桌面PC相比数量比较少,能够直接操作UNIX工作站的用户比较固定,并不需要设置复杂的访问控制策略。另外,目前市场上的安全管理软件多数不提供针对UNIX工作站的安全管理客户端,需要专门定制,开发成本和运行维护成本较高,而市场需求并不明显。
7.5 应用安全解决方案产品配置
WebST产品部署示意图参见图7。
与网络安全解决方案配合,可以有效控制内部用户对OMC-Subnet、Billing-Subnet、VLAN-1和Proxy服务器的访问。只有经过WebST注册和授权的访问,能够通过WebSEAL或NetSEAL服务器的访问授权检查,到达特定的应用服务器;未经授权的访问请求都被WebST安全管理平台拒绝或屏蔽。管理员可以根据需要在用户客户端与WebST服务器之间设置加密选项,由WebSEAL、NetSEAL实现与NetSEAT客户端之间的数据加密传输。NetSEAL、WebSEAL对用户访问过程提供安全审计日志。
8.安全解决方案总结
8.1规划设计原则
在编制本安全解决方案时,我们遵循以下的设计原则:
l 建立多层次、立体综合的安全防护机制
l 开放技术与标准化
l 以安全管理平台为基础,集成多种安全产品和技术
l 形成完善的安全技术体系
l 应用安全管理方案整合独立分散的各类应用系统
l 满足企业级网络应用的要求
l 集中的安全策略管理
l 具有良好扩充性,适应网络系统的扩展和升级
l 技术、组织和管理并重,建设全面的安全体系框架
8.2安全解决方案总体效果
我们将针对多个系统单元层次的安全解决方案,与现有的网管系统和数据库的安全规则相结合,可以形成全面的安全技术体系框架。
在网络层,我们采用符合OPSEC标准的Check Point FireWall-1防火墙、Check Point RealSecure IDS系统结合Symantec NAV防病毒网关,对移动通信公司的网络划分为不同类型的功能子网,配置以下的安全管理策略:
各功能子网相对独立,子网之间的数据流严格遵从管理员设置的防火墙过滤规则。如:来自Internet的访问只能到达DMZ区。
VLAN-1、VLAN-2或其他OA办公网的用户不能直接访问Internet,必须通过DMZ的PROXY服务器代理访问Internet(管理员可以控制PROXY服务器开通哪些代理服务,关闭危险的或与工作无关的代理服务);如果需要对不同的用户开通不同的PROXY代理服务,应调整防火墙过滤规则,阻断对DMZ PROXY服务器的直接访问,只允许WebST服务器能够访问PROXY服务器(Check Point防火墙可以针对单独的主机IP设置规律规则),用户必须首先登录WebST安全服务器,经过身份认证后,才能获得授权范围内的PROXY代理服务。
VLAN-1或其他功能子网内用户对VLAN-2的访问,需要严格控制,通过防火墙和WebST安全管理平台多重安全策略的组合,经过安全认证和访问授权检查的用户,才能够访问VLAN-1。
对OMC-Subnet和Billing-Subnet的访问,也受到严格限制。可以规定只有VLAN-2和WebST服务器能够直接访问这两个子网内的特定主机IP或 TCP/UDP服务端口。来自VLAN-1或其他子网的访问须经过WebST的身份认证和访问控制检查,由WebST代理或转经VLAN-2 UNIX工作站的代理服务,访问OMC-Subnet和Billing-Subnet的UNIX服务器。对于VLAN-2中UNIX工作站而言,WebST未提供安全身份认证和访问控制技术;可以采用Secure Shell(SSH)等技术安全访问远程OMC-Subnet和Billing-Subnet内的UNIX服务器。
阻断任何功能子网内用户对安全管理子网的访问。
中国移动总公司的PC用户只能访问WebST服务器、UNIX用户只能访问VLAN-2的指定主机IP。
OMC-Subnet和Billing-Subnet的UNIX服务器只能访问VLAN-2内指定的主机IP
对关键功能子网网段设置RealSecure IDS入侵检测引擎,进行重点监视和实时报警、阻断黑客的入侵企图。与防火墙实现安全管理数据的共享和交换,实现安全过滤规则的动态更新。
需要监控的网段(与功能子网对应的两台IP 650防火墙NIC端口)包括:
Internet接入端口
VLAN-1
OMC-Subnet
Billing-Subnet
l 防病毒网关接收来自防火墙的IP流量,进行病毒扫描,阻断病毒在功能子网之间的传播。
l 安全设备的部署充分满足电信级运营指标,提供设备和线路备份、高性能与负载平衡(SSR8600已更名为X-Pedition 8600,最新版本支持第4层交换,可实现动态负载平衡)。
主机系统的安全解决方案实现了全局主机系统的防病毒安全管理。主机操作系统漏洞扫描可选择ISS System Scanner,在需要检测的主机上安装Scanner Agent,由安全管理子网内的Scanner Console实现集中控制。
WebST安全管理平台的引入,是本安全解决方案的最大特点。网络层、主机系统的安全解决方案有多种现成的产品和供应商;而在国内的安全市场上,WebST提供的应用层安全解决管理功能是独一无二的。由于对用户、应用资源和访问规则实现了全局统一管理、集中控制和分布实施,并且与网络防火墙的安全过滤规则相结合,使移动通信公司公司的不同应用系统获得了一致性的安全防护机制,能够充分满足移动通信公司当前和未来的安全管理需求。通过部署多台WebST安全服务器(设置成主从工作模式)、在本地或远程PC上安装NetSEAT安全访问代理、建立全局用户数据库和ACL数据库,可以实现:
l 用户对VLAN-1应用服务端口的身份认证和访问控制
l 用户对OMC-Subnet和Billing-Subnet服务器的应用服务端口的身份认证和访问控制
l 用户对DMZ服务器(如PROXY服务器)的应用服务端口的身份认证和访问控制
l 对其他受WebST保护的应用服务资源的的身份认证和访问控制
l 选择性安全数据加密传输,避免敏感信息被第三方截获
l 安全审计日志对发生重大故障时的责任鉴别和确定提供原始数据
附录
9.安全解决方案预算
参见《安全解决方案总体报价》文件。
10.运行设备要求设备
以下设备未包含在《安全解决方案总体报价》中。
