[技术文献] 网络安全整体解决方案

1、目前internet网络的基础是脆弱的 　　Internet的基础是TCP/IP协议、网络设备和具有联网能力的操作系统。TCP/IP协议族有一些先天的设计漏洞。 最近发生的对各顶级网站的攻击方式就是利用TCP/IP协议的漏洞。由于TCP/IP标准协议本身并不具备任何信息安全保护措施， 全部信息以明文进行传输，并且没有对用户的认证，从而为基于INTERNET网的攻击犯罪得以实现。 在飞速发展的互连网上增长的犯罪活动（主要是黑客攻击）使各国金融、生产/商贸企业承受巨大的压力和现实损失。
　　各种操作系统也存在先天缺陷和由于不断增加新功能带来的漏洞。Unix操作系统就是一个很好的例子。 Unix的历史可以追溯到60年代中。大多数Unix操作系统的源代码都是公开的,30多年来, 各种各样的人不断地为Unix开发操作系统和应用程序, 这种协作方式是松散的, 早期这些程序多是以学生完成课题的方式或由研究室的软件开发者突击完成的,它们构成了Unix的框架, 这个框架当初没有经过严密的论证,直到今天，商业Unix操作系统如Solaris和SCOUnix都还是构建在这个基础之上的， 除非重新改变设计思想，推翻三十年来的Unix系统基础，否则以后还必须遵循这个标准。 这种情况导致了Unix系统存在很多致命的漏洞。前脆弱的网络必须经历磨难，付出代价，否则必将经受不住历史的考验。 对于计算机病毒，包括国人在内的计算机用户都为它付出了沉重的代价。无数重要的数据被病毒吞噬消失得无影无踪。 但多年来经过几代人与计算机病毒的斗争，我国对病毒的研究和反病毒技术已经走在了世界的前列。
　　目前全球各大金融、生产/商贸跨国企业纷纷设立独立于各个业务部门的安全机构，聘请著名安全专家担任公司首席安全科学家领导， 拨出单列预算，跟踪国际信息安全及破译技术发展，专事本公司业务、信息系统安全性的研究、改造及监督管理。
　　网络安全技术产业已成为当今计算机产业中发展最为迅速的部分，安全技术与产品的需求正以指数级向上增长。
　　民用商密技术在强大市场需求的推动下取得了长足进展。基于科研领域的安全技术，产品化过程极为迅速。在传统互连网行业， 原有产品在安全与高速的双重压力下迅速进化，不少国内外的产品已不适合当前市场的需要。
　　不具备先进的网络安全技术会造成多种危害，其中最直接的危害是对企业、个人造成不可弥补的损失； 而在目前我国就要加入WTO之际，落后的网络安全技术会降低民族产业的竞争生存能力。而从全局考虑， 如果不发展先进的网络安全技术，会使整个国家的科技水平跟不上时代而导致落后挨打。 所以信息安全技术对IT产业的发展乃至国家的科技水平的发展都具有深远的意义。
2、国家需要更安全可靠的网络系统
　　网络化的趋势不可避免，任何行业都需要网络通信。综观处于应用阶段的网络技术和硬件，发展走在最前面的依然是internet。 所以TCP/IP网络互联技术被广泛地用于各行各业。有关部门认识到Internet的安全脆弱性，采取了一定的措施， 例如使重要部门的网络在物理上与Internet完全脱离。这是比较有效的。但网络安全是一个整体的概念， 只要能接触重要部门网络的人没有完全与Internet脱离，就不能说该网络与Internet已经完全脱离。比如一个重要部门的系统管理员， 他经常上网的个人电脑上就可能有他所在重要部门的机密资料，通过顺藤摸瓜的方法，黑客可以获取更多他们想要的信息。 黑客还可能通过电话、无线电和卫星信号传输的方式对重要部门的网络进行渗透。
3、整体解决方案简介
目前可将网络的不安全因素大致归为以下三类：

• 来自公用网络或开放环境的侦测、攻击；
• 来自内部网络的侦测、攻击；
• 基于明文传送的网上邮件系统、以及基于明文的信息存储系统的被攻击。

方案综述

　抗公网攻击的安全防护方案
　　首道VPN服务器设置。进行IP包过滤、内部路由隐藏、服务代理，及VPN IKE/IPSEC协议的实现。 对非信息系统的网上用户节点流入的IP包经过滤后代理转接至本地INTERNET咨询服务器、匿名FTP公共服务器； 对来自信息系统内部节点及合法用户的IP包，在完成第一重VPN验证或隧道信息解密后，重组信息代理转接至相关内部节点。 对内部流出数据按分类进行隧道建立及加密发送、隧道加密应答回送，或明文（如本层INTERNET服务器对普通用户的应答）回送。 内部办公子网的外联控制，在实现时由本防火墙完成过滤及内部安全路由（IP地址隐藏）控制。
　　本防护层的核心机制为VPN，完善的防护更是离开VPN不能实现的。
　　具体实现方式有三种：

• 可嵌入VPN及PCI接口高速加密机的高端屏蔽主机防火墙；
• 超级VPN服务器（涵盖屏蔽主机防火墙功能、路由器功能、基于LINUX系统、含加密机）；
• 路由器+防火墙+VPN服务器（含高速加密机）。
  设备安装位置：
  • 各DDN专线出口；
  • 各无线发射端口；
  • PSTN入口。
  三种实现方式的差别在于旧有设备的可利用性。旧有设备如防火墙、路由器等，如能满足功能设计的要求， 能重设路由、过滤策略、代理服务功能，则仅增加VPN服务器即可。
  

　抗内部攻击的安全防护方案
　　第二重VPN机制用来对内部各分支机构子网节点内业务分组，及各节点运营管理人员之间建立对内安全保护分隔。
　　关于内部子网的划分，主要依据各个独立的职能部门进行分割，如财务、市场、生产、研发部门。 在一些部门内需要作进一步的划分，如研发部门内各个不同的产品研发小组。
　　对各个分组进行网络结构的调整，统一在一个子网及一个代理服务器出口下，在这个服务器上增加VPN机制及高速加密机。
　　本层VPN机制的设立，是对内部建立安全的网络信息保护机制。将内部普通部门与重要部门隔离； 将重要部门之间的合法通信与即使同样拥有VPN机制的侦听者隔离。
　　实现方式：
　　在各子网出口安装VPN服务器（含代理服务及路由功能）。子网加密机选择密安高速加密机。 个别大流量子网节点仍需配置密安超高速加密机（如ERP系统的中心数据库等处）。
　安全电子邮件和文件加密存储软件EBPS方案
　　在电子邮件及文件存储环节，使用密安公司的EBPS安全文件及传输系统。该系统是一个纯软件包产品。该软件无需调试， 安装简单，使用方便。有多种平台版本（LINUX、WINDOWS 95/98 NT、UNIX等 ）。