企业网络安全风险与防范技术纵览【东拼西凑】

企业网络安全风险与防范技术纵览

（定稿：2004-8-4）

21世纪全世界的计算机都将通过Internet联到一起，随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网用户带来了安全问题。由于Internet的开放性和超越组织与国界等特点，使它在安全性上存在一些隐患。而且信息安全的内涵也发生了根本的变化。它从一般性的防卫变成了一种非常普通的防范，还从一种专门的领域变成了无处不在。

网络安全是企业网络（Intranet）正常运行的前提。网络安全不单是单点的安全，而是整个企业信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络的中断。

本文根据国内企业网络系统的网络结构和应用情况，首先从网络安全、系统安全、应用安全及管理安全等方面对当前企业网络安全存在的隐患进行全面地分析；然后介绍一些主要的保证网络安全的技术；最后对如何保证企业网络安全进行一个总结。

一、      企业网络(Intranet)安全存在的主要隐患

1，网络结构的安全风险分析

1.1，外部网络的安全威胁

    企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严重的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。

    如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。

1.2，内部局域网的安全威胁

    据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括：误用和滥用关键、敏感数据；内部人员故意泄漏内部网络的网络结构；内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。

1.3，网络设备的安全隐患

    网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。

2，操作系统的安全风险分析

    所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。从安全角度考虑，其表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。

    目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的，这需要相当高的技术水平及相当长时间。

3，应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

文件服务器的安全风险：办公网络应用通常是共享网络资源。可能存在着员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

数据库服务器的安全风险：内网服务区部署着大量的服务器作为数据库服务器，在其上运行数据库系统软件，主要提供数据存储服务。数据库服务器的安全风险包括：非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外（硬件问题或软件崩溃）而导致不可恢复，也是需要考虑的安全问题。

病毒（蠕虫）侵害的安全风险：网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

数据信息的安全风险：数据安全对企业来说尤其重要，数据在公网线路上传输，很难保证在传输过程中不被非法窃取、篡改。现今很多先进技术，黑客或一些企业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息，也就造成的泄密。

4，管理的安全分析

管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术下功夫外，还得依靠安全管理来实现。

二、 确保企业网络安全的主要技术

1   防火墙技术

　　网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

　　目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

　　防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

　　根据防火墙所采用的技术不同,我们可以将它分为四种基本类型：包过滤型、网络地址转换-NAT、代理型和监测型。具体如下：

1.1，包过滤型

　　包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点，一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

　　包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

　　但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

1.2，网络地址转化-NAT

　　网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

　　NAT的工作过程是：在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

1.3，代理型

　　代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

　　代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

1.4，监测型

　　监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。

　　虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

2 入侵检测技术

2.1 入侵检测技术简介

入侵检测技术主要通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。

2.2 为什么需要入侵检测

目前在网络安全方面，国内的用户对防火墙已经有了很高的认知程度，而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。

同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能．如果把放火防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。

2.3 入侵检测技术的发展趋势

(1)，分析技术的改进

入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。

统计分析是统计网络中相关事件发生的次数，达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个数据包。

协议分析技术是在对网络数据流进行重组的基础上，理解应用协议，再利用模式匹配和统计分析的技术来判明攻击。例如：某个基于HTTP协议的攻击含有ABC特征，如果此数据分散在若干个数据包中，如：一个数据包含A，另外一个包含B，另外一个包含C，则单纯的模式匹配就无法检测，只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里，因为不符合协议，就不会报警。利用此技术，有效的降低了误报和漏报。

行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效，是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大，目前还不是非常成熟，但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术，而不只是依靠传统的统计分析和模式匹配技术。另外，规则库是否及时更新也和检测的准确程度相关。

(2)，内容恢复和网络审计功能的引入

前面已经提到，入侵检测的最高境界是行为分析。但行为分析前还不是很成熟，因此，个别优秀的入侵检测产品引入了内容恢复和网络审计功能。

内容恢复即在协议分析的基础上，对网络中发生的应为加以完整的重组和记录，网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息，还可以记录网络内部连接状况，此功能对内容恢复无法恢复的加密连接尤其有用。

内容恢复和网络审计让管理员看到网络的真正运行状况，其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警，还可以看到整个攻击过程，了解攻击确实发生与否，查看攻击着的操作过程，了解攻击造成的危害。不但发现已知攻击，同时发现未知攻击。不当发现外部攻击者的攻击，也发现内部用户的恶意行为。毕竟管理员是最了解其网络的，管理员通过此功能的使用，很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。

(3)，集成网络分析和管理功能

入侵检测不但对网络攻击是一个检测。同时，侵检测可以收到网络中的所有数据，对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时，也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法，最好能和主动分析结合。所以，入侵检测产品集成网管功能，扫描器(Scanner)，嗅探器(Sniffer)等功能是以后发展的方向。

(4)，安全性和易用性的提高

入侵检测是个安全产品，自身安全极为重要。因此，目前的入侵检测产品大多采用硬件结构，黑洞式接入，免除自身安全问题。同时，对易用性的要求也日益增强，例如：全中文的图形界面，自动的数据库维护，多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。

(5)，改进对大数据量网络的处理方法

随着对大数据量处理的要求，入侵检测的性能要求也逐步提高，出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析，同时具备内容恢复和网络审计功能，则其存储系统也很难完全工作在千兆环境下。这种情况下，网络数据分流也是一个很好的解决方案，性价比也较好。这也是国际上较通用的一种作法。

(6)，防火墙联动功能

入侵检测发现攻击，自动发送给放火墙，防火墙加载动态规则拦截入侵，称为防火墙联动功能。目前此功能还没有到完全实用的阶段，主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击，如Nimda等，联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试，对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高，联动功能日益趋向实用化。

3 网络防毒、防蠕虫技术

目前，从计算机病毒的发展趋势来看，蠕虫类的病毒越来越多。与普通感染可执行文件的文件型病毒不同，此类程序通常不感染正常的系统文件，而是将自身作为系统的一部分安装到系统中。相对来说，此类病毒的隐蔽性更强一些，更不容易被使用者发觉。

计算机病毒和蠕虫有多种定义。为了更好地区分二者，根据 RFC 以及 Eugene Spafford 的定义，蠕虫的特点是：可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。而计算机病毒则是一段代码，能把自身加到其它程序包括操作系统上，不能独立运行，需要由它的宿主程序运行来激活它。目前，随着电子邮件系统的广泛应用，利用电子邮件作为主要传播载体的病毒越来越多，并且造成了极大的危害。所以，我们可以将病毒进一步细分为邮件病毒和普通计算机病毒。

蠕虫和邮件病毒具备的相同之处就是具有极强的传染性。设置后门程序、发动拒绝服务攻击等也往往成为二者的重要行为特征。

由此我们可以看到，控制蠕虫和邮件病毒的有力手段是网络传播途径，包括邮件传播、漏洞入侵传播、共享传播等；而控制普通计算机病毒的重要手段则是分布全网所有计算机终端的集中网络防病毒系统。

全球著名的信息安全教育机构 SANS Institute 将抗蠕虫（ Anti-Worm ）解决方案和防火墙、 入侵检测系统等并列为安全技术中的一大类。但是目前国内能够实现抗蠕虫以及邮件病毒防范的产品只有冠群金辰公司发布的 KSG （ KILL Shield Gateway ），该产品被认为是第一个抗蠕虫和病毒的网关。

KSG 独有的抗蠕虫攻击技术（ Anti-Worm ）能够全方位抵御所有已知蠕虫病毒的攻击和传播行为，具有防杀蠕虫，防杀病毒病毒、防垃圾邮件、内容过滤四大功能，填补了信息安全界的空白。经过两三年的开发应用， KSG 系列产品已经在多个领域被广泛使用，得到了用户的支持，其特点如下：

•  独有的 Anti-Worm 技术能够主动防御蠕虫病毒引发的病毒传播、后门漏洞、入侵行为以及 DoS 攻击等

•  具有极高的处理能力，支持百兆和千兆网络环境，确保不成为网络瓶颈

•  具有优秀的病毒和蠕虫检测和清除引擎，获得 ICSA 、美国西海岸实验室、病毒公告板等国际权威机构认证

•  采用专用安全操作系统，杜绝安全隐患

•  透明桥式接入网络，即插即用，使用和管理方便

4   加密技术

　　信息交换加密技术分为两类：即对称加密和非对称加密。具体如下：

4.1 对称加密技术

　　在对称加密技术中，对信息的加密和解密都使用相同的钥，也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程，信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露，那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足，如果交换一方有N个交换对象，那么他就要维护N个私有密钥，对称加密存在的另一个问题是双方共享一把私有密钥，交换双方的任何信息都是通过这把密钥加密后传送给对方的。

4.2 非对称加密技术

　　在非对称加密体系中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密，私有密钥用于解密，私有密钥只能有生成密钥的交换方掌握，公开密钥可广泛公布，但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信，广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上，是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

　　RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制，其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止，无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

　　公开密钥：n=pq(p、q分别为两个互异的大素数，p、q必须保密)
　　e与（p-1）(q-1)互素
　　私有密钥：d=e-1 {mod(p-1)(q-1)}
　　加密：c=me(mod n),其中m为明文，c为密文。
　　解密：m=cd(mod n)

　　利用目前已经掌握的知识和理论，分解2048bit的大整数已经超过了64位计算机的运算能力，因此在目前和预见的将来，它是足够安全的。

5   PKI技术

　　PKI（Publie Key Infrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（CA）、注册机构（RA）、策略管理、密钥（Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。

5.1 认证机构（CA）

　　CA（Certification Authorty）就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明-证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。

5.2 注册机构（RA）

　　RA（Registration Authorty）是用户和CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。

5.3 策略管理

　　在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。

5.4 密钥备份和恢复

　　为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。

5.5 证书管理与撤消系统

　　证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。

6   虚拟专用网技术

　　虚拟专用网(Virtual Private Network，VPN)是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务，乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。

　　虚拟专用网实际上就是将Internet看作一种公有数据网，这种公有网和PSTN网在数据传输上没有本质的区别，从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。

　　目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

6.1 隧道技术

　　隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

　　被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。

6.2 加解密技术

　　对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。

6.3 密钥管理技术

　　密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

6.4 使用者与设备身份认证技术

　　VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

　　VPN整合了范围广泛的用户，从家庭的拨号上网用户到办公室连网的工作站，直到ISP的Web服务器。用户类型、传输方法，以及由VPN使用的服务的混合性，增加了VPN设计的复杂性，同时也增加了网络安全的复杂性。如果能有效地采用VPN技术，是可以防止欺诈、增强访问控制和系统控制、加强保密和认证的。选择一个合适的VPN解决方案可以有效地防范网络黑客的恶意攻击。

7   安全隔离

　　网络的安全威胁和风险主要存在于三个方面：物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、Teardrop碎片攻击、SYNFlood等则属于协议层的威胁；非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以防范。

　　面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念--"安全隔离技术"应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。

　　隔离概念的出现，是为了保护高安全度网络环境，隔离产品发展至今共经历了五代。

　　第一代隔离技术，完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络，做到了完全的物理隔离，但需要多套网络和系统，建设和维护成本较高。

　　第二代隔离技术，硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问，它仍然存在使用不便、可用性差等问题，有的设计上还存在较大的安全隐患。

　　第三代隔离技术，数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间较长，甚至需要手工完成，不仅大大降低了访问速度，更不支持常见的网络应用，只能完成特定的基于文件的数据交换。

　　第四代隔离技术，空气开关隔离。该技术是通过使用单刀双掷开关，通过内外部网络分时访问临时缓存器来完成数据交换的，但存在支持网络应用少、传输速度慢和硬件故障率高等问题，往往成为网络的瓶颈。

　　第五代隔离技术，安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制，来实现网络间的隔离和数据交换，不仅解决了以往隔离技术存在的问题，并且在网络隔离的同时实现高效的内外网数据的安全交换，它透明地支持多种网络应用，成为当前隔离技术的发展方向。

三、 总结

目前，网络安全领域进入了全方位、专业化的发展道路。网络安全市场开始多样化，中国的网络安全体系正逐渐形成。单一的网络安全产品已经不足以满足企业网络安全的需求，从系统需求分析提出的整体解决方案开始成为最受青睐的选择。

下面，将以“冠群金辰立体防毒体系在中国储备粮管理总公司系统中的应用”为例，介绍如何为企业量身定做安全解决方案。

1，需求

中国储备粮管理总公司是国有大型企业，目前下属14个分公司及194个直属粮食储备库（以下简称直属库）。在信息化迅速发展的形势下，中国储备粮管理总公司正在积极地进行网络信息系统的建设，计划建设一个包含总公司、分公司和直属库的多级计算机网络系统。该系统划分为总公司主控中心为一级网络结构，分公司网络管理系统为二级网络结构和直属库网络管理系统为三级网络结构。在中国储备粮管理总公司网络系统的设计中，对系统的高可靠性、可用性、性能和互联都做了充分的考虑。目前网络已经完成了总公司的核心网络主控中心建设及分公司与总公司内部广域网建设，总公司和各分公司之间采用DDN或拨号等方式进行互连。

由于中国储备粮管理总公司计算机网络系统的内容涉及国家安全，某些数据属机密，在网络安全的考虑上，更应该完整而细致。为了进一步提高网络安全性，达到建设一个完整、安全和高效的信息系统的目标，网络安全问题已经成为了急需解决的问题。因此，中国储备粮管理总公司决定搭建一套专门的网络和信息安全管理系统。经过慎重的调研与筛选，鉴于在整体网络安全领域的领先地位，成熟的产品与丰富的实施及服务经验，最终选择了北京冠群金辰软件有限公司作为此次的解决方案提供及实施厂商。

2，把脉 

在信息安全管理系统搭建之前，考虑到中国储备粮管理总公司目前已经在网络安全设计上采取了一些比较初步的措施，并且顾及到其进行整体网络建设的步骤与保护投资等问题，冠群金辰首先对其网络中的存在安全问题及隐患进行了细致的分析，以保证提供方案的针对性与高效性：

首先，中国储备粮管理总公司现在的业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在世界的各个角落。在这样一个分布式应用的环境中，中国储备粮管理总公司的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”，只要有一个“门户”没有完全保护好－忘了上锁或不很牢固，“黑客”就会通过这道门进入系统，窃取或破坏所有系统资源。

其次，目前中国储备粮管理总公司的网络主要采用TCP/IP作为网络通讯协议，主要服务器为Windows NT操作系统。众所周知，TCP/IP是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还存在一些这样那样的漏洞。实际上，从TCP/IP的网络层，人们很难区分合法信息流和入侵数据，DoS(Denial of Services，拒绝服务)就是其中明显的例子。

再次，在中国储备粮管理总公司中存在着多种应用，包括WWW、邮件系统、数据库系统等等。这些系统都存一些安全问题。从应用系统（软件）情况看，目前大多数直属库建设了粮情检测系统，使用单机处理财务、统计、人事和文档等工作。近期将应用统计、财务、仓储、人事等独立的小型数据库软件。利用HTTP服务器的一些漏洞，特别是在大量使用服务器脚本的系统上，利用这些可执行的脚本程序，入侵者可以很容易的获得系统的控制权。同时，中国储备粮管理总公司的数据库系统也存在很多安全问题。如何保证和加强数据库系统的安全性和保密性对于中国储备粮管理总公司的正常、安全运行至关重要。

此外，虽然中国储备粮管理总公司当前也对安全问题也做了一定的考虑，并设计了防火墙系统，但是鉴于当前IT系统安全性的严重状况，这些考虑还是比较朴素和初步的，并没有形成一套完整的防护体系。

3，守仓

根据中国储备粮管理总公司网络系统中存在的安全需求，冠群金辰软件公司针对其网络系统架构的特点，提出了构建从边界防护、传输层防护，到核心主机防护的深层防御体系的解决方案，以确保其网络系统的安全。根据中国储备粮管理总公司的建设进度安排，首期将主要部署网络防病毒体系。

中国储备粮管理总公司企业网络系统是建立在总公司、分公司、各直属库等基础上的多级分布式网络系统，其网络构成包括Unix/NT服务器、邮件服务器、Windows95/98等联网客户机等，其多级网络模拟结构图如下：

因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，因此在构建企业网络防病毒系统时，可以通过KILL建立完整的防病毒体系，实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略。根据中国储备粮管理总公司的网络结构，冠群金辰公司将其病毒防护体系的部署重点分为了以下几个方面：PC机防护、实时保护文件/数据库服务器、实时防护邮件服务器、实时Internet网关的防护、在关键网段部署eTrust入侵检测、保护核心数据安全。具体的架构及产品在网络中的部署分布如下：

在防毒体系的设计中，冠群金辰公司在中国储备粮管理北京总公司安装了一台KILL反病毒管理服务器作为全国网络防毒安全管理中心。在各级分公司各安装了一台KILL反病毒管理服务器作为二级防毒安全管理中心。在中国储备粮管理总公司全国194个直属库中， 则可根据规模和实际管理需要， 安装KILL反病毒管理服务器作为第三级网络防毒安全管理中心，并在各地相应的管理员工作站上安装管理员客户端。管理员可以直接通过管理员客户端登录到管理服务器进行远程策略配置分发等管理工作。在网络中其他服务器和客户端上分别安装客户端产品， 客户端所有的查杀病毒配置都可以从管理服务器分发获得。这样在整个企业网中就形成了一个三级集中管理结构:第一级：北京总部的管理服务器负责总部网络防毒策略的制定分发和信息收集， 同时负责二级管理服务器群的策略制定。 总部服务器负责从冠群金辰网站上下载病毒库和杀毒引擎升级代码， 向总部网络和二级管理中心提供升级服务。

总公司管理员视图

第二级：二级管理服务器负责各分公司网络和直属库的防毒策略制定和分发， 同时负责向下属的没有设置管理中心的直属库分发安全策略和升级代码。

分公司管理员视图

第三级：三级管理服务器负责自己网络的客户端的安全策略的制定和分发。

直属库管理员视图

根据需要，上级管理员可以直接登录到下级管理控制中心进行安全策略检查和配置。通过这样的部署，可以帮助中国储备粮管理总公司在网络中所有可能感染和传播病毒的地方均采取相应的防范手段，从而形成一个完整的网络防毒体系。此外，该防毒体系的策略设置是通过中央管理台集中设置的。管理员可以集中制定适用于网络的所有防毒策略， 然后分别部署到各个组中去， KILL的集中管理功能可以使管理员能够通过一台管理服务器完成对网络中的所有机器的集中配置，在客户端实现零管理。

4，无忧 

防毒体系采用了全平台统一的杀毒界面，所有操作采用微软资源管理器风格，操作简单易用。具备安装后不需要重新启动，自动实时升级不需要用户干预和重新启动等特性。最大程度上降低了用户对客户端的手工操作。此外，充分考虑到在中国储备粮管理总公司这样一个大的企业网络中存在各种不同的操作平台和应用系统，接入网络的计算机设备也多种多样，KILL防病毒产品对全平台的支持和对资源的极少占用的特点可以使用户在最大程度上保持自己原有的配置不变，而且版本的向下兼容与集成管理能够在最大限度上保护用户已有的投资。

目前，该防毒体系已经在中国储备粮管理总公司投入使用，从各个环节增强了其网络系统对于病毒的免疫力，从而为有效的确保了中国储备粮管理总公司信息系统的高可靠性、可用性及高性能。