作者:张桂红 黄显信
网络安全隔离
要求合理、有效的划分网络区域,并设置不同安全级别,通过适宜的防火墙安全隔离手段保障不同安全级别区域之间的安全隔离。
湖北联通局域网分为3个区域:核心区、缓冲区(DMZ)和接入区。核心区放置数据库服务器、核心接口服务器、备份服务器以及存储系统等关键服务器和系统,网络设备采用两台Cisco的Catalyst4507R三层交换机,各业务支撑子系统核心设备直接接入两台局域网交换机,各系统间通过划分VLAN进行业务隔离。
缓冲区实现接入区与核心区之间的缓冲连接,同时放置应用服务器、接口机、储值卡系统、防病毒服务器等需要提供外部用户访问的服务器,并设置入侵检测系统,从而实现双层防火墙保护和缓冲功能。缓冲区网络设备采用两台Cisco的Catalyst6506三层交换机,缓冲区交换机Cisco6506与核心区交换机Cisco4507R之间通过千兆防火墙隔离。
接入区主要用于总部和地市、银行和邮政、内部专业部门、公司MSS网络等网络的接入。网络设备包括2台Cisco7507路由器,1台Cisco3640路由器和2台3550局域网交换机。
(1)VLAN隔离不同业务
将不同业务网的主机及设备放置在不同的VLAN中,进行物理隔离。业务交互较多的主机放在同一网络,例如在计费和营账核心主机并不划分过多子网,但是在内部和外部交换区,尽量做到不同的业务分为不同子网;
(2)ACL、防火墙进行访问控制
为保证业务主机及数据的安全,不允许不同安全区域的无控制互访,应在三层交换机或在VLAN之间进行路由转发的路由器上设置控制列表,通过有效的IP地址规划,区分办公网与其它业务网,并对这些网络之间的互访进行严格的控制。
特别是,由于各网点间互通及访问是通过接入层网络来完成的,因此在路由器的ACL控制中,建议对每个端口进行设置,只允许本端口下面网点设备(IP)的数据能从本端口发送,其它的都需要丢弃;在各业务网络的网关(路由器或三层交换机)处,也设置相应的访问控制策略,只允许本业务网相互访问的数据(通过源IP地址及目的IP地址可以确定)通过本网关转发出去,这样可以防止IP地址假冒、源路由攻击等。
另外,由于省中心网络中,有的地方接入到了外部网(例如银行),因此需要考虑进行NAT地址转换,以隐藏内部地址信息,并对本地服务器进行访问控制及攻击检测,以防止外部对服务器的不安全访问。通过每一层的安全控制来构建一个完善的安全网络。
(3)数据加密传输
不同安全区域的数据跨区域传递时,需要考虑数据加密和隧道,使用IPSEC加密体系,目前支持128位的DES、3DES、RSA等加密算法,可有效保证数据传输的安全。在需求扩大时考虑硬件加密的升级功能(目前不需要),保证在需要的时候可满足网络安全要求。为保证安全,需要设置防火墙/VPN网关,分别通过GRE隧道及IPSEC加密,
(4)路由认证
中心与各网点间互联的路由器在进行路由信息交换时,需要进行路由认证,以防止路由被扩散到非法的地方(如宽带网等)。
权限管理
权限和口令的管理对于信息系统是至关重要的。湖北联通所有的系统账号均进行了安全加固,对口令的复杂性,更新时间、账号的分级管理等都有了明确的管理规定,系统也进行了严格的设置。账号和口令的管理提高了系统的安全性,但对用户的合法性没有可靠的认证,如果有人盗用了密码,安全性就会受到严重威胁,为了解决这个问题,湖北联通采用了RSASecurity公司的ACE/Server的用户集中认证方式。湖北联通营账网络所有的应用主机和支持RADIUS认证的网络设备都可以根据需要将现有的认证服务转交给RSA的ACE/Server认证服务器。
该解决方案包括三个部分:第一是安装在NT或UNIX平台上的服务器软件ACE/Server;第二是用户随身携带的SecurID卡(生成无法预测的随机密码数字);第三是认证代理(Agent),在需要进行认证的地方安装Agent软件,通过代理的配置将认证权利转交给ACE/Server。并且,代理和ACE/Server之间的信息传递也是加密的。我们可以利用这种机制实现安全的口令认证。该认证方式实现原理如图1所示。
图1 动态认证管理技术实现原理
ACE/Server认证时需要同时输入只有个人才知道的PIN码以及SecurID卡的数字,卡上的数字每分钟都在变化且无法预测,该数字与ACE/Server上数据库里的数字同步,每次认证时还自动进行时间同步校正。这里ACE/Server使用了双重因子一次性的口令控制,任一部分被第三方窃取不会对系统造成影响。如拣到卡,不知道PIN码,该卡无法发挥作用,此外用户卡丢失后可通知管理员注销ACE/Server上的该卡记录,使该卡失效。知道某一时刻的密码,要在一分钟内能破译PIN码并登录的难度极大,而下一分钟的数字一定不同,此外,一分钟内只能有一个相同一次性密码的用户登录。如果使用传统的访问方法,用户的密码是固定的。万一密码被窃取,整个防线便被突破。对于关键应用系统,不管密码组成多么复杂都尽量不用固定的密码。RSA用户密码的生成管理是由ACE/Server实现,它还能记录用户成功或不成功访问的时间,便于系统审计。
对于远程维护,维护人员每人发一块SecurIDToken卡,只有经过严格的SecurID认证后才能进入湖北联通核心网络,同时认证服务器将记录该用户的登录信息以便进一步查询。不同的应用主机及网络设备开设相应权限的用户账号,并将该用户的认证转交给ACE/Server,我们可以通过SecurID卡控制每个用户的访问权限,管理人员能够访问OA、财务等信息,而维护人员只进行系统维护管理。这样员工不管是出差还是在家,都可通过拨号远程访问湖北联通核心网络,获得相关的资源访问权限,进行远程办公和维护管理。
网络安全检测
安全的最后法则是,在系统安全被破坏后,必须有手段能够找出是谁干的。即能够再现系统被破坏的全过程或是部分过程。在湖北联通的网络系统建设中,能够记录网络事件的,有网络上的防火墙日志(经过配置后,可以记录一些可疑信息),还有部署在网络中的入侵检测系统。
对于湖北联通网络系统而言,系统的入侵点并不多,我们同时实施二种入侵检测方案:
(1)基于网络的入侵检测侦听,监听服务网络主要针对网络中的一般入侵动作;
(2)基于主机的入侵检测,主要部署在核心接口机、应用服务器等服务器上,因为这些服务器和全省的服务终端前台保持通信,针对他们的入侵和进攻比较多,也难于防范。
多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辨认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。以提供更加有效的入侵检测和保护措施。
应急预案
在网络系统安全建设过程中,如何确保核心系统7*24小时不间断运行也是我们考虑的一个重点环节。在实际建设中,我们建起了一套较安全的网络体系架构,即核心网络设备、链路有热备方案,重要的非核心网络设备、链路有冷备方案。所谓热备,即重要的网络链路和网络设备一段出现故障,应能够自动启动备用链路和设备,承载网络之上的业务应不受影响。实现的主要方式是将核心的主备两个网络设备通过心跳线相连,对外连接的网络设备也分别与主备链路相连,在网络设备上配置相应得策略,一段备机发现主机或主要网络出现故障,备机将浮动IP和配置自动接管过来,这样上面的应用不受影响。这样,以一定的配置冗余可以极大地增强系统得安全性和健壮性。比较典型的接入方式如营账网络设备的两台千兆防火墙,如图2所示。
图2 典型的接入方式
病毒防护
如果问目前最有可能影响网络系统稳定的因素,病毒肯定高居榜首。而湖北联通近两年很少受到病毒的影响。湖北联通信息化部于2003年开始,在全省网络系统内集中内部署了趋势公司的防病毒软件。经过全省信息化员工不断的努力,全网趋势防病毒软件的安装率达到97%以上,对网内的办公及营业用终端起到了良好的防护作用。近两年没有出现因病毒而导致网络不可用的事件,网络运行通畅,病毒防护工作也取得了较好的效果。
网管
由于网管产品具有能够集中管理和及时监控设备的优点,湖北联通在网络安全系统建设的过程中,将网管产品作为一个重要的环节。出于产品扩展性较强的考虑,湖北联通选用了HPOPENVIEW的网管软件,主要选取了NNM和OVO两个产品。NNM能够及时发现网络中各设备的运行状态,并直观的展现出来。OVO能够将各告警信息收集到服务器上集中展现。湖北联通利用该产品以上特点,进行二次开发,将一些需要监控的设备状态、系统运行状况及时发邮件、短信、打电话通知到相应维护人员。具体方式是,首先在各客户端编写各应用监控程序,利用HPOPENVIEW客户端和服务器端的通信机制,将我们要监控和发送的信息通过OPENVIEW集中收集起来,再在服务器端开发了发送短信、打电话和发送邮件的软件,一段受到告警信息,根据策略触发短信、电话或邮件发送程序,这样维护人员能够及时了解到设备的工作状态和故障情况,大大缩短了故障发现时间。
安全管理
对于安全管理我们认为:安全的最终法则就是无论你采取了什么样高级的安全措施都必须认为它是不够安全的。即安全是相对的,而不安全是绝对的。技术是手段,管理是基础,要想保障系统安全,信息系统安全管理需要贯穿于系统的日常运行维护和业务管理工作中,需要相应的管理和考核制度来配套。随着系统安全性的增强,在一定程度上会降低信息系统的易用性,这给推广工作带来难度,在实际工作中从我们觉得需要从以下几方面加强系统和数据安全:
(1)切实执行安全管理制度,如内控中明确要求的杜绝账号共享,系统需要加固等。
(2)实施网络安全通告制度,安全问题列为省公司各部门和各地市分公司的考核指标之一,在使用防病毒、防火墙、入侵检测系统的过程中,对发现存在网络安全的问题,通过网络安全通告单的形式督促限期解决,到期未处理通过服务督察部进行考核。
(3)引入网络接入安全评估流程,对所有要接入核心网络的系统进行安全评估,对有安全隐患的业务拒绝接入,提出整改意见。(耿文欣编辑)
更多内容请看PCdog.com--Sniffer安全技术 路由安全配置 网路安全基础专题
