WebST 党政机关内部网络安全解决方案

2004-6-11　发布方：清华得实　网友评论 0 条　点击进入论坛

    一、前言
    在我国，党政机关一般指中央直属单位、国家各大部委、各省市机关。这些单位是计算机网络建设和应用的先进部分，具有网络规模适中，人员相对较少，应用以办公为主，辅以少量的数据库应用，但保密级别相当高，从密码的角度来看需要核密和普密两级。人员虽少但访问控制级别要求精确，对审计需求也很高。
    目前党政机关的内部网与外部公网在物理上是隔离的，这一方面是国家有关部门的保密规定要求，另一方面也是由于没有很好的解决方案而不得已为之。即使内外隔离，内部网络的安全问题还是相当突出，更需要对内部人员的身份认证、访问授权以及相互之间的数据查加密等有效解决方案。
    本文是在为国家某部委所做的整体安全解决方案的基础上，综合了党政机关内部网络的安全需求，总结性地描述如何解决其内部网络安全和应用安全。可作为类似安全需求解决方案的参考模型。

    二、网络结构模型及其安全需求
    网络结构模型的不同，所产生的安全需求也不同，那么相应的安全解决方案就不一样。

    1.1 网络结构模型
    党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内，具有一个中心网络，提供公共应用服务（亦称公共应用平台），同时行使网络管理权利。按行政结构，下属各局、委、办，各自具有局域网，各局域网也具有自己的服务器，或Web或应用服务器。这些局域网都是直接连接到中心网络，共享公共应用服务，同时也提供自己的信息给其他单位共享。一般来说，这些局域网之间没有直接通信通道。
    为了给首长提供机要信息，单独建设一个首长机要局域网，内设基于Web的首长查询服务器。
    党政机关由于中心单位和各下属单位之间的地理位置不同，所需连接的距离也不同，形成的园区网络结构也就有所差异。这种差异最终造成安全需求及解决方案的不同。一般有两种模式：
    ·集中式的网络结构
    ·分布式的网络结构
    对于集中式的网络结构，该单位的所有下属部门都处于大楼或大院内，所有局域网与中心网络直接互连，未经过不可信的公网。
    对于分布式的网络结构，该单位的主要部门都处于大楼或大院内，呈现出一个集中式的网络结构；还有一些下属部门分布在其他地方，在业务上需要信息通信和共享。这写局域网与中心网络的互连，是经过不可信的公网（Internet、X.25、PSTN等）。
    这两种结构示意图如图1。

图1 网络结构图

    如图的网络结构，我们称其为非安全结构，是目前采用最多的一种。一般的安全措施是在连接公网处安装防火墙，但它只能防止外部非授权的网络访问，而对内部几乎没有防范功能。
    1.2 网络层安全需求
    网络层安全主要解决网络互联时和在网络通讯层安全问题，需要解决的问题有：
    ·网络进出控制（即IP过滤）；
    ·网络和链路层数据加密；
    ·安全检测和报警。
    1.2.1 网络进出控制
    需要对进入内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
    同样需要对内网到公网进行管理和控制。
    要达到授权用户可以进出内部网络，防止非授权用户进出内部网络这个基本目标。
    1.2.2 网络和链路层数据加密
    对关键应用需要进行链路层数据加密，特别是最核心的领导办公服务系统，为领导提供信息共享，需要有高强度的数据加密措施。

    1.2.3 安全检测和报警
    安全检测是实时对公开网络和公开服务器进行安全扫描和检测，及时发现不安全因素，对网络攻击进行报警。这主要是提供一种监测手段，保证网络和服务的正常运行。要实现：
    · 及时发现来自网络内外对网络的攻击行为；
    · 详实地记录攻击发生的情况；
    · 当发现网络遭到攻击时，系统必须能够向管理员发出报警消息；
    · 当发现网络遭到攻击时，系统必须能够及时阻断攻击的继续进行。
    · 对防火墙进行安全检测和分析；
    · 对Web服务器检测进行安全检测和分析；
    · 对操作系统检测进行安全检测和分析。

    三、应用模式及其安全需求
    建设网络的目的在于应用，其道理如同高速公路和汽车运输的关系。人们感受网络的优势是通过网络上各种应用来实现的。详细地理解网络应用的模式，有助于了解应用安全需求，也就能够提出有针对性的安全解决方案。

    1.1 各种应用模式
    1.1.1.1办公自动化
    党政机关的网络应用是以办公自动化为主。以前都是基于C/S模式的应用，随着Interner的发展和普及，目前开始向基于Web的模式转向，正处于两种模式并存的过渡期。
    办公系统的主要功能为：
    ·公文运转
    ·信息发布
    ·计划管理
    ·项目管理
    ·行业报表管理
    ·业务跟踪
    上述各大功能是基本的功能，对不同的党政机关可能会有差异。党委、人大、政协部门可能以公文运转、信息发布为主；政府部门可能涵盖的更多些。
    对于安全解决方案的提供商，我们更注意应用模式是基于Web的还是基于C/S的，因为模式不同，其安全解决方案也不同，效果也不同。
    1.1.1.2 领导信息查询系统
    该系统是基于Web的应用，一般用于首长机要子网，是传统手工的机要文件的计算机化。该系统的特点是用户少，只限于几位首长使用；安全保密强度要求高，一般属于核密或普密，不但数据传输过程要求加密，可能还会要求文件的加密存储；信息录入、修改、归档有专门的机要人员执行；授权控制简单，首长之间一般不再区分权限，除非有特别要求。
    在一般安全要求相对较低的单位，可能会把这部分功能归纳到办公系统的信息发布中，这时，就要求有严格的访问控制了。
    1.1.1.3 公共数据库应用
    这部分是为行业内用户提供的基本数据查询服务，是基于数据库功能的，不是基于Web的。

    1.2 应用层安全需求
    应用层安全是建立在网络层安全基础之上的，应用层安全主要是对网络资源的有效性进行控制，管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制，具有审计和记录机制，确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的有WWW、数据库、电子邮件、FTP（文件传输）等应用方式。
    1.2.1 公共应用的安全需求
    公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共享同时，保证信息资源的合法访问及通讯隐秘性。
    公共应用主要有WWW、FTP、电子邮件等方式，必须严格按照用户的身份进行控制对信息的访问，对服务器也必须进行必要的身份认证。在认证的基础上根据用户的身份对信息进行授权的访问控制，如有需要建立应用层的数据加密，保证数据隐秘性和完整性。
    公共应用包括外部的和内部的，尤其是内部的公共应用，有着更高的安全要求。如领导信息查询系统，必须从上述的多个方面保证，特别对于身份认证和传输加密，必须做到万无一失。
    1.2.2 内部办公应用的安全需求
    内部的办公应用主要是运行在局域网上的办公事务处理，对身份认证和访问控制有更高的要求。对身份认证必须有多重的保证，包括用户口令、使用机器的IP和MAC地址，将来需要发展到使用IC卡或电子钥匙，通过多种方式确认用户的身份。访问控制的控制粒度更细，必须根据不同应用的不同对象形式进行控制，如Web页面、数据库记录等。
    1.2.3 具体应用软件的安全需求
    我们注意到，目前无论哪种模式的应用，软件开发者在开发时都或多或少地编写了一些安全管理和控制程序，如身份认证、访问控制、用户与资源的管理等。当然这些安全措施无论是强度上还是在标准上都存在着各种问题。
    首先，每个应用软件的安全设计是非统一的，产生了安全控制强度的差异性。其次，由于安全设计者在经验和标准上的不足，遗留一些安全漏洞，例如，自己设计的用户管理模块，一定是以明文来存储注册用户信息（用户名和口令），身份认证多半是单向的、明文传输口令方式。最后，有关授权访问的程序，是和具体应用对象结合在一起的，如遇需求变化，牵涉软件的改动较大，适应性很差。
    所以，需要一个应用层的安全管理平台，统一集中地管理用户、资源和安全策略。

    四、网络层安全解决方案
    根据前面描述的网络层安全需求，逐一提出安全解决方案。

    1.1 安全的网络结构
    图1的网络结构是不安全的，内部网络直接连接到公网或专网，即非安全区。这样受到非法攻击的风险非常大。所以需要调整网络结构，使之成为基本安全的前提。图2就是调整后的格局。

图2 安全的网络结构

    首先增加一个支持三网段的防火墙，将原来的中心子网和内部网分为非军事化区、服务子网和内部网。将公开的WWW服务器放在非军事化区，并放置代理服务器（即WebST，后面会专门介绍）。将内部使用的各种应用服务器统统放在服务子网。
    通过防火墙和路由器的配置，用户无论在网络内部还是在网络外部，都是通过代理服务器来访问各个应用服务器，这就保障了网络应用的安全。

    1.2 防火墙技术与产品
    防火墙在技术上已经相对成熟，也有许多国内外产品可供选择，但需要注意一定要选择支持三网段的防火墙。
    在图2中，我们看到防火墙是设置在接入Internet的路由器后端，将网络划分为三个区域，即三个网段，如上所述。通过合理地配置防火墙过滤规则，满足下列需求：
    ·远程客户只能访问非军事化区的安全代理服务器，不能直接对内部网络的各个应用服务器和数据库进行访问；
    ·内部网络的客户端访问本网段的应用服务器，如需访问服务子网的各个应用服务器，必须经过非军事化区的安全代理服务器；
    ·非军事化区中的安全代理服务器可以通过防火墙，访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口；

    防火墙的功能就是提供网络层访问控制，所以其配置准确严密与否至关重要，只要配置正确，关闭不需要的服务端口，就可以基本实现网络层的安全。

    1.3 入侵检测技术与产品
    随着Internet应用的不断普及，黑客入侵事件也呈上升趋势，在安装防火墙和划分三网段安全结构后，降低了这种风险，但没有彻底消除。因为防火墙只是被动的防止攻击，不能预警攻击。所以对于党政机关这样关键应用，我们建议采用入侵检测系统（IDS）。
    目前国外流行的入侵检测产品主要有ISS公司的RealSecure、Axent的ITA、ESM，以及NAI的CyberCop Monitor等。
    国内产品中有科网威信息技术有限公司的 "天眼"入侵检测系统。它根据国内网络的特殊情况，由中国科学院网络安全关键技术研究组经过多年研究，综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映，实现了对非法入侵的定时报警、记录事件，方便取证，自动阻断通信连接，重置路由器、防火墙，同时及时发现并及时提出解决方案，它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节，防范黑客攻击。该系统的总体技术水平达到了"国际先进水平"入侵。
    入侵检测系统可分为两类：基于主机和基于网络。
    基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
    我们建议采用基于主机的IDS，安装在非军事化区中，主要检测针对安全代理（WebST）的攻击。
    采用IDS在总体上可以实现防范黑客攻击，目前存在的问题是可能会有误警，并占用主机宝贵的资源，这就是安全代价。

    1.4 防杀病毒技术与产品
    防杀病毒的技术和产品已经成熟。建议使用Trend或NAI公司的网络防毒产品对NT操作系统进行实时监控，防范、杀灭各类电脑病毒。

    五、应用层安全解决方案
    所谓应用层就是面向用户的实际应用，其安全需求在前面已经详细描述过。也可以精练地总结为"WWW"问题，即：
    什么人（Who）可以做什么（What）并要知道他做过什么（What）。
    落实到党政机关内部网这个具体应用项目上，系统应当能够确定用户是什么人，他可以做什么不可以做什么，用户在过去地某段时间内多做过什么操作。
    WebST可以一揽子解决上述问题。

    1.1 WebST安全服务
    WebST提供下列五大安全服务：
    · 双向身份认证--用户和各个应用服务器要互相取得身份信任，这是基于Kerberos身份认证协议的；
    · 对象访问控制--细粒度的对象访问控制，对象是网络系统中的资源总和，最具特色的是对动态对象（如动态URL）的访问控制，使得动态Web应用可以纳入安全体系；
    · 数据传输加密--所有数据在传输过程中均可以加密，保证了数据的机密性和完整性。也可以根据设定加密标志，不加密传输，具有灵活性；
    · 审计日志服务--提供详实的审计日志文件，记录客户、各个应用服务器在网络中的活动；
    · 安全管理服务--提供基于Java编程的管理控制台，以图形界面对用户、资源对象、服务器以及访问控制授权策略进行管理和维护。

    1.2 WebST的安全组件
    · WebST安全服务器--WebST安全服务器对安全域中的所有成员（客户和应用服务器）提供集中的身份认证服务。同时它提供一个中央注册数据库，内含被保护对象空间中所有合法用户和组的登录帐号；
    · WebSEAL服务器--WebSEAL作为HTTP安全代理，保护指定的Web应用。来自客户端的Web请求，无论来NetSEAT授权用户还是非授权用户（非NetSEAT客户，也就是原HTTP用户，对WebSEAL服务器来说是"非授权用户"），首先由WebSEAL服务器处理。WebSEAL服务器根据对象的ACL检查用户的访问权限。，如果用户具有访问权限，WebSEAL服务器将HTTP请求递交给第三方Web服务器，由它来处理这个请求并将结果返回给WebSEAL服务器，然后WebSEAL服务器将这个结果按安全RPC方式返回给NetSEAT用户，或按HTTP方式返回给非NetSEAT用户。
    · NetSEAL服务器--NetSEAL作为TCP安全代理，保护安全域内的网络应用服务器。NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用，如FTP、Telnet以及用户自行设计的网络应用。NetSEAL和WebSEAL一样，提供相同级别的数据安全性和完整性。NetSEAL起到了分布式应用层防火墙的功能。
    · WebST Java控制台--这是一个图形界面的管理工具，用来对WebST的用户帐号、访问控制策略、服务器对象等进行管理。主要有用户帐号管理器、ACL管理器、对象空间管理和NetSEAL/WebSEAL服务器管理器等部分。管理控制台基于Java-DCE开发，独立于硬件和操作系统平台，使用拖拉式操作，有很好的人机界面，同时具有很强的安全性。可以管理WebST安全域内的所有安全对象。
    · NetSEAT安全客户端--这是一个轻量型的客户端软件，运行在客户端Win95/98/2000上，用来与安全服务器、WebSEAL/NetSEAL服务器进行身份认证和建立安全通信通道。NetSEAT对应用的客户端软件不作任何改变，采用陷阱方式，由NetSEAT设置IP陷阱、截取IP数据包，由NetSEAT进行处理，根据安全策略使用WebST安全通道，或仍使用固有协议。

    · PKMS服务器--在WebST的机制中，将基于公共密钥的SSL策略集成在一起，用在Web应用方面。WebSEAL服务器通过公共密钥管理服务器（PKMS）与SSL连接起来。PKMS实际是身份认证网关和建立基于SSL的加密通道，客户端不必使用WebST的客户端软件NetSEAT，可使用SSL浏览器登录到PKMS，PKMS将用户的身份映射成WebST用户身份并且通过RPC进行传输，也就是将SSL的用户标识传递给WebSEAL服务器。PKMS是用来与Internet用户之间临时建立起相互信任的安全会话过程，然后将Internet用户身份映射到WebST访问控制机制可以管理的用户身份。

    1.3 WebST应用于党政机关内部网
    图3给出WebST是如何应用于党政机关的内部网络结构中的。

图3 WebST应用于党政机关内部网络的安全结构

    1.3.1.1 双向身份认证服务
    WebST安全服务器、WebSEAL服务器、PKMS服务器可以安装在一台主机上，该机放置在非军事化区中。WebST安全服务器做为一个内部的可信任第三方，担负所有访问内部网的客户与内部网中的各个应用服务器之间的身份认证；
    1.3.1.2 访问控制服务
    WebSEAL服务器作为Web服务器的安全应用代理，根据身份进行访问控制决策；NetbSEAL服务器作为其他服务器的安全应用代理，根据身份进行访问控制决策；PKMS服务器将客户提交的CA证书转换为WebST的身份证书再提交给WebST安全服务器；
    1.3.1.3 统一的对象资源空间
    在内网中的各个Web服务器和非军事化区中WebSEAL服务器之间各有有一条蓝线，表示WebST提供的灵巧连接（Smart Junction）功能，它将内网Web对象空间连接到WebSEAL的目录里，给予客户一个统一的资源空间访问点；
    1.3.1.4 安全的数据传输通道
    在这个结构中，所有的客户端都采用NetSEAT安全客户端，与WebSEAL服务器、NetbSEAL服务器建立应用层的安全隧道，保护数据的私密性和完整性。该隧道可跨越Internet。
    1.3.1.5 将系统后台管理纳入安全管理域
    在以前一般的安全解决方案都将注意力集中在前台应用与客户之间，而在不同程度上忽略和忘记内网的后台管理工作的安全。所谓后台管理是一个很广泛的含义，在不同的网络应用中有不同的内容。总的来说是网络管理员和应用管理员的工作，他们需要通过各种网管软件或应用自行设计的管理软件，对网络中的各种资源对象进行管理操作。于是在这个过程中也存在着安全问题，如管理员的身份、管理员的操作权限和管理员的操作记录。
    从安全风险的程度来讲，来自管理员的安全风险更强，他们不需要象黑客那样从外部费力的攻击，他们具有得天独厚的便利条件，如果有恶意的话，他们所造成的危害更大。所以加强后台管理的安全是非常重要的事情。
    后台管理的安全漏洞主要是口令的泄露。现有的网管软件和应用管理软件在身份认证上基本都是明码口令，极容易被窃取。
    在内网里安装NetSEAL服务器，并配置成对内网中所有应用服务器进行保护。在管理工作站上增加NetSEAT安全客户端。这样，管理员要想直接访问应用服务器进行各种管理操作时，就必须经过WebST的身份认证和经过NetSEL的访问控制，为后台管理起到安全保障作用；
    1.3.1.6 高可靠性
    在非军事化区里，安装了两个WebST安全服务器，一个是主安全服务器，一个是复制的安全服务器。当两个或多个复制的前端安全服务器响应用户请求时，网络容错配置将起作用。容错性是指不会所有的服务器同时都失效。如果一个安全服务器出错，复制的安全服务器仍可为用户提供访问安全服务。
    1.3.1.7 审计和日志
    WebST提供完整的审计功能和日志记录，必要时可二次开发出针对具体应用的审计监控界面和特定的日志输出格式。

    六、结束语
    党政机关是我国网络应用的成熟部分，对信息安全有着相当强烈的需求，WebST能够满足其核心应用的安全需求。我们正在和国家有关部门积极合作，对WebST的加密算法进行置换，对密钥管理进行加固，为我国党政机关的网络应用提供符合实际要求的安全保密平台。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表