网络与信息安全保障技术方案

网络与信息安全保障技术方案内容摘要：

务器上不能提供同样的服务。 代理服务对数据包需要处理两次，因此，性能比较差。 通常，对于不同的应用，需要对每一个服务提供一个代理服务程序。 应用级防火墙不能提供 UDP、 TCP 以及其他协议代理功能。 网络安全技术方案 第 10 页 代理服务通常需要修改客户应用程序端或应用配置。 代理服务通常依赖操作系统提供设备驱动，因此，一个操作系统或应用 Bug 都有可能造成代理服务容易受到攻击。 代理服务经常会遇到多次登 录的情况。 动态包过滤防火墙 动态包过滤防火墙类似电路网关防火墙，但它提供了对面向非连接的传输层协议，如UDP 的支持。 其同电路网关有相同的优缺点。 常用攻击方法 了解常用的攻击方法可以更好的制定安全防范措施，常用的攻击方法包括以下几种： 被动监听： 这种攻击方法是攻击者利用网络监听或分析工具，直接窃获用户的报文信息，从而获得用户 /口令信息，这时，攻击者就可以以合法用户的身份对应用进行破坏。 地址欺骗： 在这种方法中，攻击者伪装成一个信任主机的 IP 地址，对系统进行破坏。 端口扫描：这是一种主动的攻击方法，攻击者不 断的扫描安全控制点上等待连接的监听端口，一旦发现，攻击者就集中精力对端口上的应用发起攻击。 否认服务： 这种攻击方法又细分为两种：即洪水连接和报文注入，洪水连接是向目的主机发出大量原地址非法的 TCP 连接，这样，目的主机就一直处于等待状态，最后由于资源耗尽而死机。 报文注入就是在合法连接的报文中插入攻击者发出的数据包，从而对目的主机进行攻击。 应用层攻击： 这种攻击方法是利用应用软件的缺陷，从而获得对系统的访问权利。 特洛伊木马： 在这种攻击方法中，攻击者让用户运行一个用户误认为是一个合法程序的攻击程序，从而寄生在用 户系统中，为以后的攻击埋下伏笔。 这种攻击方法最常见的应用就是在 WEB 服务嵌入 Java Applet、 ActiveX 等控件，使用户在浏览网页时，不知不觉中被寄生了攻击程序。 常用攻击对策 下面我们对上面所述的攻击方法提出自己的防范措施。 被动监听： 在共享式以太网结构中，一个主机发送的数据会发送到一个网段上的每主机数据包被监听是不可避免的。 而交换式网络根据目的地址选择发送的端口，因此，尽量连接桌面工作站到交换机端口会避免数据包被监听。 对于同各个分支机构的按 Extra 方式连接 网络安全技术方案 第 11 页 的采用 IPSec 技术对 IP 数据 包加密，该加密算法对数据加密采用 DES 算法，其 DES 密钥是动态产生的，连接双方加密密钥是通过 RAS 算法传送的，因此，具有很高的安全性。 对于Inter 个人用户的访问，数据被监听是不可避免的，因此，对这种攻击的防范是合理设定用户权限。 地址欺骗： 对这种攻击的防范采用扩展访问过滤列表方式，凡是从其他网段进来的数据包，如果其源地址不是来自该网段的合法地址，就抛弃该数据包。 端口扫描： 对这种攻击的防范采用扩展访问列表方式，拒绝非授权网络访问特定的网络服务。 否认服务： 对于洪水连接攻击我们采用 TCP 拦截技术，对一 个主机的访问限制在一个可接受范围内，对于超过的可按几种设定方式丢弃连接。 对于报文注入， Cisco PIX 防火墙产品是一种基于状态的包过滤产品，本身能很好的防范报文注入攻击。 应用层攻击： 改进、替换具有安全漏洞的应用服务器。 特洛伊 木马： 对于这种攻击方式，首先应该教育公司职员不要运行不明来源的程序，避免内部主机被攻破，一旦内部主机被攻破，攻击者就可以以被攻破主机为落脚点，对内部所有主机进行攻击。 对 Java Applet 和 ActiveX 的防范采用员工教育方式，教育职员不要访问不明站点，尽量在浏览器中关闭 Java Applet 和 ActiveX 功能。 VPN路由器  采用 Cisco Router 进行 IP 数据包过滤，安全 VLAN 子网划分  作为 VPN 配置路由使用，可方便进行安全访问的划分  结合 PIX 防火墙、 NetRanger 入侵检测系统和 NetSonar 安全扫描程序三者配合，最大限度地保证了企业 VPN 的可靠性和安全性 IDS 入侵检测 入侵检测 (eTrust Intrusion Detection 简称 eID) 提供了全面的网络保护功能，其内置主动防御功能可以防止破坏的发生。 这种高性能且使用方便的解决方案在单一软件 包中提供了最广泛的监视、入侵和攻击探测、非法 URL 探测和阻塞、警告、记录和实时响应。  网络访问控制 入侵检测 (eTrust Intrusion Detection) 使用基本规则定义可以访问特定网络资源的用户，从而确保只对网络资源进行授权访问。 网络安全技术方案 第 12 页  高级反病毒引擎 能够探测包含计算机病毒的网络流量的病毒扫描引擎。 它可以防止用户在不知情的情况下下载受病毒感染的文件。 从 CA web 站点可以得到最新和更新后的病毒特征码。  全面的攻击模式库 入侵检测 eID 可以自动探测来自网络流量的攻击模式（即使是正在进 行中的攻击）。 定期更新的攻击模式库 可以从 CA web 站点获得 能够确保入侵检测保持最新。  包检测技术 入侵检测 eID 在隐蔽模式下工作，攻击者是察觉不到的。 因为黑客不知道他们正在被监视，因此通常在未察觉的情况下被捕获。  URL 阻塞 管理员可以指定不允许用户访问的 URL，从而防止了非工作性 Web 冲浪。  内容扫描 管理员通过入侵检测 eID 可以定义策略对内容进行检查。 这可以防止在没有授权的情况下通过电子邮件或 Web 发送敏感数据。  网络使用情况记录 入侵检测 eID 允许网络管理 员跟踪最终用户、应用程序等的网络使用情况。 它有助于改进网络策略规划和提供精确的网络收费。  集中化监控 网络管理员可以从本地或远程监控运行入侵检测 (eTrust Intrusion Detection) 的一个或多个站，在不同网络段（本地或远程）上安装了受中央站控制的入侵检测 (eTrust Intrusion Detection) 代理后，管理员可以根据收集到的合并信息查看报警和生成报告。  远程管理 远程用户可以使用 TCP/IP 或者调制解调器连接访问运行入侵检测 (eTrust Intrusion Detection) 的站。 在连接后，根据入侵检测 (eTrust Intrusion Detection) 管理员定义的权限 , 用户可以查看和监控入侵检测 (eTrust Intrusion Detection)数据、更改规则以及创建报告。  入侵记录和分析 入侵检测 (eTrust Intrusion Detection) 为捕获信息和进行分析提供了全面的系统功能。 在安装软件并指定归档地点后，用户可以定义在档案中记录会话的规则。 然后用户可以通过浏览器过滤、排序和查看归档信息，并创建详细的报告。 入侵检测 eID 代表了最新一代企业网络保护技术，具有前所未有的访问控制、用户透 网络安全技术方案 第 13 页 明性、高性能、灵活性、适应性及易用性等。 它提供给企业一个易于部署的网络保护方案。 CA 认证与 SSL 加密 CA 的作用  数字证书能为你做什么 ： 个人数字证书是网友进入 21 世纪的必需品。 网上证券少不了它；网上缴款不能没有它；进入全球知名网站，更不得没有它。 它简单易懂、安装容易，它比 “卡 ”还要重要，是您身份的表征，网络新贵的识别证。 现今不论 X、 Y、 Z 世代，您皮夹中至少必备四五张卡（提款卡、万事达卡、威士卡、会员卡、金卡、普卡、电话卡、保健卡 ...)， 因为目前是 “卡 ”的时代。 而在网际路上，您如果没有数字证书，不管您外表多 young、多炫，多酷，依旧是寸步难行。 因为 “一证在手，走遍天下 ”的时代已经到来。 CA 为了更好地满足客户的需要，给客户提供更大的便利，设计开发的通用证书系统使得一证多用成为可能。  数字证书和电子商务的关系 电子商务正以不可逆转之势席卷全球的各行各业，但世界各地也面临着共同的阻碍 ——电子商务的安全问题，必须要采用先进的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵 赖性。 以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。 数字安全证书建立了一套严密的身份认证系统，可以确保电子商务的安全性。  信息的保密性 交易中的商务信息均有保密的要求 .如信用卡的帐号和用户名被人知悉 ,就可能被盗用 ,订货和付款的信息被竞争对手获悉 ,就可能丧失商机。 因此在电子商务的信息传播中一般均有加密的要求。  交易者身份的确定性 网上交易的双方很可能素昧平生 ,相隔千里。 要使交易成功首先要能确认对方的身份 ,对商家要考虑客户端不能是骗子 ,而客户也会担心网上的商店 不是一个玩弄欺诈的黑店 .因此能方便而可靠地确认对方身份是交易的前提。 对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。 对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。 银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身 网络安全技术方案 第 14 页 份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。  不可否认性 由于商情的千变万化 ,交易一旦达成是不能被否认的。 否则必然会损害一方的利益 .例如订购黄金 ,订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。 因此电子交易通信过程的各个环节都必须是不可否认的。  不可修改性 交易的文件是不可被修改的，如上例所举的订购黄金。 供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数 1 吨改为 1 克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。 因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。 CA 系统简介 人们在感叹电子商务的巨大潜力的同时，不得不冷静地思考，在人 与人不见面的计算机互联网上进行交易和作业时， 怎么才能保证交易的公正性和安全性，保证交易方身份的真实性。 国际上已经有比较成熟的安全解决方案，那就是建立安全证书体系结构。 数字安全证书提供了一种在网上验证身份的方式。 安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。 我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送 方对于自己的信息不能抵赖。 系统特性  高强度加密和认证 Universal CA 采用基于 RSA 加密算法的公钥体系加密和认证，可以生成 51 76 1024位三种不同密钥的长度的证书，确保证书的安全性和可靠性。 多种生成证书的方法 由用户的请求文件生成证书。 在服务器端由管理员为用户生成证书。 利用已有的数据库为用户生成证书。 Universal CA 可以以上述三种方法生成证书，使用户应用极为方便。 网络安全技术方案 第 15 页 支持国际互联网 Universal CA 发放的证书不依赖于固定的内部用户，只需一个 Email 地址即可实 现证书的申请及应用，因此具有广泛的应用性。 具有同其他系统交换数据的能力 Universal CA 后台应用了东大阿尔派自主版权的数据库 Oopenbase 可以实现证书的海量管理，并具有同其他系统交换数据的能力，这使得系统具有良好的开放性与通用性。 易使用 、 功能强 Universal CA 运行在 Windows 环境下 ,将各种复杂操作屏蔽于后台，前台界面简单，且支持请求、证书的批量操作，以及可以实现过期证书的自动撤消。 CA 机构，又称为证书授证 (Certificate Authority)中心，作为电子商务交 易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。