网络安全防范体系及设计上的原则

　　一、引 言

　　随着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也得到最大程度的共享。

　　但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

　　二、安全攻击、安全机制和安全服务

　　ITU-T X.800标准将我们常说的“网络安全（networksecurity）”进行逻辑上的分别定义，即安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。

　　三、网络安全防范体系框架结构

　　为了能够有效了解用户的安全需求，选择各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图1给出了基于DISSP扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。

　　框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。

　　四、网络安全防范体系层次

　　作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

　　1．物理环境的安全性（物理层安全）

　　该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。

　　2．操作系统的安全性（系统层安全）

　　该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。

　　3．网络的安全性（网络层安全）

　　该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。

　　实现主动性的网络安全模型

　　那么作为一家企业的技术人员，你该如何保护企业的网络呢？下面我会介绍几个简单的步骤，帮助你实现一个具有主动性的安全网络。首先你需要开发一套安全策略，并强迫所有企业人员遵守这一规则。同时，你需要屏蔽所有的移 动设备，并开启无线网络的加密功能以增强网络的安全级别。为你的无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起来，这样可以防止黑客利用这些漏洞窃取公司的资料，或者令你的网络瘫痪。以下是各个步骤的实现细节： 　

　　开发一个安全策略

　　实现良好的网络安全总是以一个能够起到作用的安全策略为开始的。就算这个安全策略只有一页，公司的全体人员包括总经理在内，都必须按照这个策略来执行。基本的规则包括从指导员工如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如，你应该有针对客户的财产和其它保密信息的备份策略，比如一个镜象系统，以便在灾难发生后可以迅速恢复数据。在有些情况，你的BCP和DRP也许需要一个“冷”或“热”的站点，以便当灾难发生或者有攻击时你可以快速将员工的工作重新定向到新的站点。执行一个共同的安全策略也就意味着你向具有主动性安全网络迈出了第一步。

　　减少对安全策略的破坏

　　不论是有限网络，还是笔记本或者无线设备，都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件，同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等，它们都是网络安全漏洞的根源。因此，你必须强制所有的终端安装反病毒软件，并开启Windows XP内建的防火墙，或者安装商业级的桌面防火墙软件，同时卸载点对点共享程序以及乱七八糟的聊天软件。

　　封锁移动设备

　　对于企业的网络来说，最大的威胁可能就是来自那些随处移 动的笔记本或其它移 动终端，它们具有网络的接入权限，可以随时接入公司的网络。但是正因为它们具有移 动特性，可以随着员工迁移到其它不安全的网络并暴露在黑客的攻击之下，当这些笔记本电脑再次回到公司的网络环境时，就成了最大的安全隐患。其它无线终端也和笔记本有类似的情况。

　　据ForresterResearch调查，到2005年，世界总共将有3500万移 动设备用户，而到2010年，这个数字将增加到150亿。我们不是数学家，不需要具体算出到底这些移 动设备会给企业的网络增加多少受攻击的几率，只需要知道这将是企业网络安全所面临的巨大考验。任何一个系统都有可能由于未经验证的用户的访问而被感染。

　　通过安全策略，你可以让网络针对无线终端具有更多的审核，比如快速检测到无线终端的接入，然后验证这些终端是否符合你的安全策略，是否是经过认证的用户，是否有明显的系统漏洞等。

　　开启无线网络加密功能

　　在无线网络系统中，无线网络加密 (Wireless Encryption，WEP)应该处于开启状态，并应该设置为最高安全级别。而且管理者的用户名和密码需要经常及时更换。但是这些措施也并不能够完全防止黑客通过你的无线路由器入侵企业内部网络。这是由于在大多数无线路由器中，都包含有目前尚未被修补的CVE，黑客可以利用这些CVE进行攻击。一些高级的黑客会下载免费的工具对这些漏洞进行更高级的利用，以此完全攻破你的安全系统。

　　为无线路由器打补丁，并使用其自带的防火墙功能

　　我强烈建议用户在使用无线路由器时及时更新产品的固件，而且如果无线路由器有内置防火墙功能，一定学习如何使用并配置它，开启这个防火墙。你也可以限制同时接入无线路由器的用户数量，如果企业员工数量不是很多，完全没有必要让路由器设置为可以接纳无限多的用户。比如企业只有十五个员工，那么就设置无线路由器只能同时接入十五个连接好了。

　　设置你的防火墙

　　虽然防火墙并没有特别强的安全主动性，但是它可以很好的完成自己该做的那份工作。你应该为防火墙设置智能化的规则，以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口，因此你需要为防火墙建立规则，屏蔽所有系统上的1045端口。另外，当笔记本或其它无线设备连接到网络中时，防火墙也应该具有动态的规则来屏蔽这些移 动终端的危险端口。

　　下载安装商业级的安全工具

　　目前与安全有关的商业软件相当丰富，你可以从网上下载相应的产品来帮助你保护企业网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等，应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级，因此你应该充分利用它们。

　　禁止潜在的可被黑客利用的对象

　　“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的，由于它可以将外界的信息存入你的系统，因此对网络安全来说是一个威胁。有些人利用BHO对象开发出了间谍软件，并尽量将起隐藏起来。一般来说，间谍软件都会不断变种，尽量避免被流行的间谍软件检测程序所发现，直到间谍软件检测程序进行了升级。如果你想看看自己的系统中到底有多少BHO，可以从Definitive Solutions公司的网站上下载BHODemon工具进行检测。

　　BHO是通过ADODB流对象在IE中运行的。通过禁止ADODB流对象，你就可以防止BHO写入文件、运行程序以及在你的系统上进行其它一些动作。要禁止ADODB流对象，你可以访问微软的技术支持页面。

　　留意最新的威胁

　　据计算机安全协会 (CSI)表示，2002 CSI/FBI计算机犯罪和安全调查显示，“计算机犯罪和信息安全的威胁仍然不衰退，并且趋向于金融领域”。因此，你需要时刻留意网络上的最新安全信息，以便保护自己的企业。网络上很多地方可以提供最新的安全信息。

　　弥补已知的漏洞

　　系统上已知的漏洞被称为“通用漏洞批露”(CVEs)，它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施，你可以将网络中所有系统的CVE漏洞弥补好。目前通过工具软件，你可以快速检测系统的CVE漏洞并将其修补好。有关这方面更多的信息，你可以查阅cve.mitre.org网站。

　　总的来说，一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后你需要确保这个安全策略可以被彻底贯彻执行。最后，由于移动办公用户的存在，你的企业和网络经常处在变化中，你需要时刻比那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步，你应该时刻具有主动性的眼光并在第一时刻更新的你安全策略，同时你要确保系统已经安装了足够的防护产品，来阻止黑客的各种进攻尝试。虽然安全性永远都不是百分之百的，但这样做足可以使你处于优势地位。