网络安全方案

3.1网络安全解决方案

3.2.1安全建设目标

总体安全性：全面有效的保护企业网络系统的安全,保护计算机硬件、软

件、数据、网络不因偶然的或恶意破坏的原因遭到更改、泄漏和丢失，

确保数据的完整性，大幅度地提高系统的安全性和保密性。

可控与可管理性:可自动和手动分析网络安全状况,适时检测并及时发现

记录潜在的安全威胁，制定安全策略,及时报警、阻断不良攻击行为,具有

很强的可控性和可管理性.

系统可用性:保持网络原有的性能特点,即对网络的协议和传输具有很好

的透明性；尽量不影响原网络拓扑结构，便于系统及系统功能的扩展;

易于操作、维护,并便于自动化管理，而不增加或少增加附加操作.

可扩展特性：满足成都酒店的业务需求和企业可持续发展的要求，具有

很强的可扩展性和柔韧性；安全保密系统具有较好的性能价格比,一次性

投资,可以长期使用.

合法性：安全与密码产品具有合法性，并便于安全管理单位与密码管理

单位的检查与监督。

3.2.2安全建设手段

3.2.2.1防火墙

作为一种有效的保护计算机网络安全技术性措施，防火墙是一种隔离控制

技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对

信息资源的非法访问,也可以使用防火墙阻止专利信息从企业的网络上被非法输

出。防火墙是一种被动防卫技术，它假设了网络的边界和服务,因此，防火墙最

适合于部署在相对独立的企业内部网络与公网(主要为Internet)之间.

作为对企业内网的安全性保护设备/节点,防火墙已经得到广泛的应用。通常企业

为了维护内部的信息系统安全，在企业内网和Internet间安装防火墙。企业信息

系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具

体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。

防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外,

使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简

单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一

定的安全要求。

3.2.2.2加密与数字签名

数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数

据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术

这四种。

在网络应用中一般采取两种加密形式：对称密钥和非对称/公开密钥，采用

何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作

出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结

合性，以及投入产出分析都应在实际环境中具体考虑.

对于对称密钥加密.其常见加密标准为DES等，当使用DES时，用户和接

受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时，则要采取IDEA

和三重DES等.作为传统企业网络广泛应用的加密技术,秘密密钥效率高，它采用

KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。

在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解

密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,

另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很

高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上

数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然

后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自

己的私钥将密文解密得到发送的数据和发送方的数字签名,然后，用发布方公布

的公钥对数字签名进行解密，如果成功,则确定是由发送方发出的.数字签名每次

还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方

事先要建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。

3.2.2.3用户认证

仅仅加密是不够的,全面的保护还要求认证和识别。它确保参与加密对话的

人确实是其本人。用户认证可以依靠许多机制来实现,从安全卡到身份鉴别。前

一个安全保护能确保只有经过授权的用户才能通过可靠终端进行公网/私网的交

互式访问；后者则提供一种方法,用它生成某种形式的口令或数字签名，被访问

的一方（通常是准入设备)据此来认证来自访问者的请求。用户管理的口令通常

是前一种安全措施；硬件/软件解决方案则不仅正逐步成为数字身份认证的手段，

同时它也可以被可信第三方用来完成用户数字身份（ID）的相关确认。

3.2.2.4网络防病毒

随着Internet开拓性的发展，病毒可能为网络带来灾难性后果。Internet带

来了两种不同的安全威胁。一种威胁是来自文件下载。这些被浏览的或是通过

FTP下载的文件中可能存在病毒。而共享软件(publicshareware）和各种可执行

的文件，如格式化的介绍性文件（formattedprentation）已经成为病毒传播的重

要途径.并且,Internet上还出现了Java和ActiveX形式的恶意小程序.

另一种主要威胁来自于电子邮件.大多数的Internet邮件系统提供了在网络

间传送附带格式化文档邮件的功能.只要简单地敲敲键盘,邮件就可以发给一个或

一组收信人。因此，受病毒感染的文档或文件就可能通过网关和邮件服务器涌入

企业网络.

另一种网络化趋势也加重了病毒的威胁.这种趋势是向群件应用程序发展的，

如LotusNotes，MicrosoftExchange，NovellGroupwi和NetscapeColabra.由于

群件的核心是在网络内共享文档，那么这就为病毒的发展提供了丰富的基础。而

群件不仅仅是共享文档的储藏室，它还提供合作功能，能够在相关工作组之间同

步传输文档。这就大大提高了病毒传播的机会.因此群件系统的安全保护显得格

外重要。

在企业中,重要的数据往往保存在位于整个网络中心结点的文件服务器上，

这也是病毒攻击的首要目标.为保护这些数据，网络管理员必须在网络的多个层

次上设置全面保护措施.

有效的多层保护措施必须具备四个特性:

•集成性：所有的保护措施必须在逻辑上是统一的和相互配合的。

•单点管理:作为一个集成的解决方案，最基本的一条是必须有一个安全管

理的聚焦点.

•自动化:系统需要有能自动更新病毒特征码数据库和其它相关信息的功能.

•多层分布：这个解决方案应该是多层次的，适当的防毒部件在适当的位置

分发出去，最大限度地发挥作用，而又不会影响网络负担。一般情况下，

防毒软件至少应该安装在服务器工作站和邮件系统上。

3.2.3解决方案

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层

次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层

次，并且与安全管理相结合。以该思想为出发点,提出如下的"网络信息安全解决

方案”

3.2.3.1网络安全建设总体原则

•满足Intranet网的分级管理需求

根据客户网络规模大、用户众多的特点，对Intranet信息安全实施分级管理

的解决方案，将对它的控制点分为三级实施安全管理.

第一级：数据中心级网络，主要实现内外网隔离；内外网用户的访问控制；

内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级,主要实现不同用户分配的虚拟网络间的访问控制；同用户

虚拟网络不同地点间的访问控制；以及用户虚拟网络内部的安全审计。

第三级：终端/个人用户级,实现用户内部主机的访问控制；数据库及终端信

息资源的安全保护。

•需求、风险、代价平衡的原则

对任何网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额

研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及

可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施,确定本系

统的安全策略。

•综合性、整体性原则

应用系统工程的观点、方法,分析网络的安全及具体措施.安全措施主要包括：

行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专

业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品

等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网

络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也

只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施.即计算

机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全

体系结构。

•可用性原则

安全措施需要人为去完成，如果措施过于复杂,对人的要求过高,本身就降低

了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常

运行，如不采用或少采用极大地降低运行速度的密码算法。

•分步实施原则：分级管理分步实施

由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，

网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于

实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息

安全的基本需求,亦可节省费用开支。

3.2.3.2安全防护手段与安全区域规划

由于网络安全的目的是保障用户的重要信息的安全，因此限制直接接触十

分重要。如果用户的网络连入Internet,那么最好尽可能地把与Internet连接的机

器与网络的其余部分隔离开来.实现这个目标的最安全的方法是将Internet服务

器与网络划分不同的领域,建立不同的安全策略。如此一来,如果有人闯入隔离开

的机器，那么网络的其余部分不会受到牵连。

安全区域的规划核心点是访问控制，访问控制是网络安全防范和保护的主

要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网

络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起

到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和

用户组被赋予一定的权限.网络控制用户和用户组可以访问哪些目录、子目录、

文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。用

户对网络资源的访问权限可以用一个访问控制表来描述.

防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它

可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问

控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行

有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定、智

能蠕虫防护等安全增强措施。

•ARP攻击防护

ARP欺骗：在同一个IP子网内，数据包根据目标机器的MAC地址进行寻

址，而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每

台主机(包括网关）都有一个ARP缓存表,在正常情况下这个缓存表能够有效维护

IP地址对MAC地址的一对一对应关系.但是在ARP缓存表的实现机制和ARP

请求应答的机制中存在一些不完善的地方,容易造成ARP欺骗的情况发生。

对于ARP欺骗攻击来说，单独针对任何一台设备做防护配置都是微薄的，解决

ARP欺骗需要对整体网络的进行有效的规划，在每一台网络设备,每一台终端设

备上做有效地防护措施：

把网络划分多个网段，ARP询问不会超出你的VLAN,超出VLAN的IP和

MAC地址表由网关来控制.这样危急的范围会变小，易于故障处理

在每一台网络设备/终端设备上做IP和MAC静态绑定，在网内把主机和网

关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器，所

以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行

IP和MAC的静态绑定,这样双向绑定才比较保险.

通过对防火墙进行设置也是防御ARP攻击的好方法，通过防火墙的ARP

严格限制可以使网关、服务器等重要的设备地址不被冒用,能够有效地解决针对

网关地址欺骗等的问题。

在接入层/汇聚层的交换机等设备上启动ARP防护也是行之有效的办法，包

括使用DHCP认证、ARP—Guard等安全功能，能够限制ARP包在网络间传输,

有效过滤虚假ARP信息，保持网络的真实性。

•静态/动态VPN接入

基于VPN隧道的加密数据传输能够提供安全可靠的网络互联,在无法保证

电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措

施的情况下,一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密

码的问题。考虑到我国对密码管理的体制情况,密码是一个单独的领域。对防火

墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方

的加密算法和密码,非常重要。

对于VPN业务，企业比较关心的一个问题能是传输的安全性。在这个问题

上，BMC的企业级防火墙能够提供全面的安全性保证。企业级防火墙可以应用

户的要求,在VPN用户拨入时对他的身份进行验证，然后才建立隧道,将用户交由

VPN服务器进行再次验证。其次，企业级防火墙对用户数据包进行完整转发，

并不读取数据包的内容。因此，用户可以对它的数据进行加密，而不会影响防火

墙本身的工作,而且此时即使是防火墙本身也无法读取用户数据。最后,企业级防

火墙支持自身到VPN服务器间隧道的数据加密。这样，即使拨入用户不对其数

据加密,Internet上的其他用户也无法读取VPN用户的私有数据.

方案描述：

通过在6509—E交换机上安装防火墙模块实现防火墙的集成。根据“横向

隔离、纵向加密”的理念，对酒店网络实行安全区域划分，包括实验室、培训教

室、办公室等接入层网络定义为同级别、同安全等级的单独区域、即为横向，要

求做到网间隔离，拒绝数据直接转发；

汇聚层网络对于接入层网络则处于更高的级别,更高的安全等级,即为纵向，

要求数据流在汇聚层转发时具有可控、可加密等特性；同时，汇聚层设备的管理

要求尽量使用本地管理、SSL/SSH安全管理或SNMP加密方式管理，对telnet

等不安全的管理方式,拒绝使用;

核心层设备以数据转发效率为主要工作,不进行特别的安全防护措施,对于

安全管理同样要求尽量使用本地管理、SSL/SSH安全管理或SNMP加密方式管

理，对telnet等不安全的管理方式,拒绝使用;

另外，接入层设备开启ARP防护能力，以及DHCP验证能力;汇聚层延长

ARP的刷新时间,并做主要设备的MAC地址绑定.