信息化觀察網(wǎng)

網(wǎng)絡逐漸成為企業(yè)運營不可或缺的一部分，基于互聯(lián)網(wǎng)的應用、遠程培訓、在線訂購以及財務交易等，極大地提高企業(yè)的生產力和盈利能力，帶來很多的便利。

但在享受便利的同時，網(wǎng)絡系統(tǒng)同樣也成為安全威脅的首要目標，網(wǎng)絡安全面臨著前所未有的威脅。威脅不僅來自人為的破壞，也來自自然環(huán)境。各種人員、機構出于各種目的攻擊行為，系統(tǒng)自身的安全缺陷（脆弱性），以及自然災難，都可能構成對企業(yè)網(wǎng)絡系統(tǒng)的威脅。

威脅的發(fā)起因素是威脅的主體，按威脅主體的性質分類，安全威脅可以分為人為的安全威脅和非人為的安全威脅。按人為攻擊的方式分類，可以分為被動攻擊、主動攻擊、鄰近攻擊和分發(fā)攻擊等。

1、安全威脅

非人為的安全威脅

非人為的安全威脅主要分為兩類，一類是自然災難，另一類是技術局限性。信息系統(tǒng)都是在一定的物理環(huán)境下運行，自然災難對信息系統(tǒng)的威脅是非常嚴重的。典型的自然災難包括：地震、水災、火災、風災等。自然災難可能會對信息系統(tǒng)造成毀滅性的破壞。

同所有技術一樣，信息技術本身也存在局限性，有很多缺陷和漏洞。典型的缺陷包括：系統(tǒng)、硬件、軟件的設計缺陷、實現(xiàn)缺陷和配置缺陷。信息系統(tǒng)的高度復雜性以及信息技術的高速發(fā)展和變化，使得信息系統(tǒng)的技術局限性成為嚴重威脅信息系統(tǒng)安全的重大隱患。

人為安全威脅

網(wǎng)絡系統(tǒng)面臨的人為安全威脅可分為外部威脅和內部威脅，人為安全威脅主要是人為攻擊，主要分為以下幾類：被動攻擊、主動攻擊、鄰近攻擊、分發(fā)攻擊。

被動攻擊

這類攻擊主要包括被動監(jiān)視通信信道上的信息傳送。被動攻擊主要是了解所傳送的信息，一般不易被發(fā)現(xiàn)。典型攻擊行為有：

a)監(jiān)聽通信數(shù)據(jù)；

b)解密加密不善的通信數(shù)據(jù)；

c)口令截獲；

d)通信流量分析。

主動攻擊

主動攻擊為攻擊者主動對信息系統(tǒng)實施攻擊，包括企圖避開安全保護，引入惡意代碼，以及破壞數(shù)據(jù)和系統(tǒng)的完整性。

a)修改數(shù)據(jù)；

b)重放所截獲的數(shù)據(jù)；

c)插入數(shù)據(jù)；

d)盜取合法建立的會話；

e)偽裝；

f)越權訪問；

g)利用緩沖區(qū)溢出（BOF）漏洞執(zhí)行代碼；

h)插入和利用惡意代碼（如：特洛依木馬、后門、病毒等）；

i)利用協(xié)議、軟件、系統(tǒng)故障和后門；

j)拒絕服務攻擊。

鄰近攻擊

此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網(wǎng)絡、系統(tǒng)和設備，目的是修改、收集信息，或者破壞系統(tǒng)。這種接近可以是公開的或秘密的，也可能是兩種都有，鄰近攻擊最容易發(fā)生在沒有良好保安措施的地方。典型的鄰近攻擊有：

a)偷取磁盤后又還回；

b)偷窺屏幕信息；

c)收集作廢的打印紙；

d)物理毀壞通信線路。

分發(fā)攻擊

分發(fā)攻擊是指在系統(tǒng)硬件和軟件的開發(fā)、生產、運輸、安裝和維護階段，攻擊者惡意修改設計、配置等行為。典型的分發(fā)攻擊方式有：

a)利用制造商在設備上設置隱藏的攻擊途徑；

b)在產品分發(fā)、安裝時修改軟硬件配置，設置隱藏的攻擊途徑；

c)在設備和系統(tǒng)維護升級過程中修改軟硬件配置，設置隱藏的攻擊途徑。直接通過因特網(wǎng)進行遠程升級維護具有較大的安全風險。

內部威脅

內部威脅是由于內部管理不善，由內部合法人員造成，他們具有對系統(tǒng)的合法訪問權限。內部合法人員對系統(tǒng)的威脅，除了具有上述人為安全威脅的攻擊方式，還具有其特有的攻擊手段。內部威脅分為惡意和非惡意兩種，即惡意攻擊和非惡意威脅。惡意攻擊是指出于各種目的而對所使用的信息系統(tǒng)實施的攻擊。非惡意威脅則是由于合法用戶的無意行為造成了對政務信息系統(tǒng)的攻擊，他們并非故意要破壞信息和系統(tǒng)，但由于誤操作、經(jīng)驗不足、培訓不足而導致一些特殊的行為，對系統(tǒng)造成了破壞。

典型的內部威脅有：

a)惡意修改數(shù)據(jù)和安全機制配置參數(shù)；

b)惡意建立未授權的網(wǎng)絡連接，如：撥號連接；

c)惡意的物理損壞和破壞；

d)無意的數(shù)據(jù)損壞和破壞，如：誤刪除。

2、傳統(tǒng)安全防范技術

面對如此眾多的威脅威脅，傳統(tǒng)安全防范技術強調單個安全產品的重要性，如防火墻的性能和功能，IDS入侵檢測系統(tǒng)的高效性等，而對全網(wǎng)的安全威脅沒有一個仔細的研究，對網(wǎng)絡安全的設計沒有明確的層次和區(qū)域，如下圖所示：

網(wǎng)絡中部署了相關的安全產品，防火墻，VPN，IDS，安全管理等，但由于組網(wǎng)方式很隨意，沒有統(tǒng)一規(guī)劃，不清楚網(wǎng)絡的威脅，層次，區(qū)域策略，安全防護手段部署原則不明確，當網(wǎng)絡某一局部出現(xiàn)安全隱患被侵入后，由于網(wǎng)絡之間邊界不清楚，無清楚的邊界控制，攻擊很容易擴散，從而局部侵入馬上成為全網(wǎng)侵入，造成對全網(wǎng)的威脅。當局部的蠕蟲泛濫，造成全網(wǎng)的快速泛濫，企業(yè)用戶缺乏足夠的緩沖處理時間，可能很快造成全網(wǎng)癱瘓，而部署的安全設備也不能充分的發(fā)揮作用，成為資源的浪費。

3、縱深防御和安全區(qū)域劃分

因此，在多種多樣的安全威脅前，企業(yè)需要建立縱深防御體系，防止因某個部分的侵入而導致整個系統(tǒng)的崩潰；基于網(wǎng)絡系統(tǒng)之間邏輯關聯(lián)性和物理位置，功能特性，劃分清楚的安全層次和安全區(qū)域，在部署安全產品和策略時，才可以定義清楚安全策略和部署模式。

特別是對復雜的大系統(tǒng)，安全保障包括網(wǎng)絡基礎設施、業(yè)務網(wǎng)，辦公網(wǎng)，本地交換網(wǎng)，電子商務網(wǎng)，信息安全基礎設施等多個保護區(qū)域。這些區(qū)域是一個緊密聯(lián)系的整體，相互間既有縱向的縱深關系,又有橫向的協(xié)作關系，每個范圍都有各自的安全目標和安全保障職責。積極防御、綜合防范的方針為各個保護范圍提供安全保障，有效地協(xié)調縱向和橫向的關系，提高網(wǎng)絡整體防御能力。

安全區(qū)域劃分對企業(yè)網(wǎng)絡的建設有著以下重要意義：

縱深防御依賴于安全區(qū)域的清除定義

安全區(qū)域間邊界清晰，明確邊界安全策略

加強安全區(qū)域策略控制力，控制攻擊擴散，增加應對安全突發(fā)事件的緩沖處理時間

依據(jù)安全策略，可以明確需要部署的安全設備

使相應的安全設備充分運用，發(fā)揮應有的作用

安全域隔離技術

安全域隔離技術主要分為物理隔離技術和邏輯隔離技術兩類

物理隔離

•物理級（電磁輻射）--屏蔽、干擾

•終端級（雙網(wǎng)機）--雙盤型、雙區(qū)型

•傳輸信道級--非加密信道、加密信道

•網(wǎng)絡級（網(wǎng)閘）

--信息交換型

--信息共享型

--系統(tǒng)互操作型

邏輯隔離

•防火墻控制

•VLAN虛擬網(wǎng)技術

•FR,ATM技術

•L2TP V3,ATOM

•IPsec VPN,MPLS VPN,SSL VPN,GRE技術

•病毒網(wǎng)關過濾技術

•應用層安全控制技術

4、一般企業(yè)網(wǎng)絡安全區(qū)域設計模型

企業(yè)網(wǎng)絡情況和業(yè)務系統(tǒng)千差萬別，所以不同企業(yè)對安全區(qū)域的劃分，可以有完全不同的表述方法和模式。但一般而言，大多數(shù)企業(yè)均有相同的網(wǎng)絡部分和安全分區(qū)。

安全區(qū)域相關定義

在劃分安全區(qū)域時，需要明確幾個安全區(qū)域相關的定義，以免模糊他們之間的概念，造成區(qū)域劃分完之后，依然邏輯不清晰，安全策略無法明確，立體的縱深防御體系也無法建立。一般在安全區(qū)域劃分時，需要明確如下常用的定義：

•物理網(wǎng)絡區(qū)域

物理網(wǎng)絡區(qū)域是指數(shù)據(jù)網(wǎng)中，依照在相同的物理位置定義的網(wǎng)絡區(qū)域，通常如辦公區(qū)域，遠程辦公室區(qū)域，樓層交換區(qū)域等

•網(wǎng)絡功能區(qū)域

功能區(qū)域是指以功能為標準，劃分的邏輯網(wǎng)絡功能區(qū)域，如互聯(lián)網(wǎng)區(qū)域，生產網(wǎng)區(qū)域，辦公網(wǎng)區(qū)域等

•網(wǎng)絡安全區(qū)域

網(wǎng)絡安全區(qū)域是指網(wǎng)絡系統(tǒng)內具有相同安全要求、達到相同安全防護等級的區(qū)域。同一安全區(qū)域一般要求有統(tǒng)一的安全管理組織和安全防護體系及策略，不同的安全區(qū)域的互訪需要有相應的邊界安全策略。

•網(wǎng)絡安全層次

根據(jù)層次分析方法，將網(wǎng)絡安全區(qū)域劃分成幾個不同安全等級的層次，同一層次包含若干個安全等級相同的區(qū)域，同層安全區(qū)域之間相互邏輯或物理隔離。

•物理網(wǎng)絡區(qū)域和安全區(qū)域的關系

一個物理網(wǎng)絡區(qū)域可以對應多個安全區(qū)域，一個安全區(qū)域只能對應一個物理網(wǎng)絡區(qū)域

•網(wǎng)絡功能區(qū)域和物理網(wǎng)絡區(qū)域的關系

一個網(wǎng)絡功能區(qū)域可以對應多個物理網(wǎng)絡區(qū)域，一個物理網(wǎng)絡區(qū)域只能對應一個網(wǎng)絡功能區(qū)域，如辦公網(wǎng)功能區(qū)域，可以包含總部辦公網(wǎng)物理區(qū)域，遠程辦公室辦公網(wǎng)物理區(qū)域，移動辦公物理區(qū)域等。

•網(wǎng)絡功能區(qū)域和安全區(qū)域的關系

一個網(wǎng)絡功能區(qū)域可以對應多個網(wǎng)絡安全區(qū)域，一個網(wǎng)絡安全區(qū)域只能對應一個網(wǎng)絡功能區(qū)域。

安全區(qū)域設計一般原則

盡管不同企業(yè)對安全區(qū)域的設計可能理解不盡相同，但還是有一般的安全區(qū)域設計原則可供參考如下：

•一體化設計原則

綜合考慮整體網(wǎng)絡系統(tǒng)的需求，一個整體的網(wǎng)絡安全區(qū)域設計規(guī)范以規(guī)范我

•多重保護原則

不能把整個系統(tǒng)的安全寄托在單一的安全措施或安全產品上，要建立一套多重保護系統(tǒng)，各重保護相互補充，當一層保護被攻破時，其它層的保護仍可確保信息系統(tǒng)的安全

•定義清楚的安全區(qū)域邊界

設定清楚的安全區(qū)域邊界，可以明確安全區(qū)域策略，從而確定需要部署何種安全技術和設備

•在安全域之間執(zhí)行完整的策略

在安全域之間執(zhí)行完整的安全策略，幫助建立完整的縱深防御體系，方便安全技術實施部署

•通常安全域越多越好

•較多的安全區(qū)域劃分可以提供更精確的訪問控制策略，提高網(wǎng)絡的可控性

•太多的安全區(qū)域，會增加管理復雜性

•需要在較多的安全區(qū)域劃分和管理的復雜性之間做出平衡選擇

•風險、代價平衡分析的原則

通過分析網(wǎng)絡系統(tǒng)面臨的各種安全問題挑戰(zhàn)，確保實施網(wǎng)絡系統(tǒng)安全策略的成本與被保護資源的價值相匹配；確保安全防護的效果與網(wǎng)絡系統(tǒng)的高效、健壯相匹配。

•適應性、靈活性原則

在進行網(wǎng)絡安全區(qū)域設計時，不能只強調安全方面的要求，要避免對網(wǎng)絡、應用系統(tǒng)的發(fā)展造成太多的阻礙；另外，在網(wǎng)絡安全區(qū)域模型保持相對穩(wěn)定的前提下，要求整體安全區(qū)域架構可以根據(jù)實際安全需求變化進行微調，使具體網(wǎng)絡安全部署的策略易于修改，隨時做出調整。

網(wǎng)絡安全區(qū)域劃分方法

傳統(tǒng)的劃分方法

傳統(tǒng)安全區(qū)域劃分方法基本是以安全功能區(qū)域和物理區(qū)域相結合，做出安全區(qū)域的劃分。在一般規(guī)模較小的企業(yè)網(wǎng)絡環(huán)境中，這種方式簡明，方便，邏輯清楚便于實施。但在先對比較復雜的企業(yè)網(wǎng)絡系統(tǒng)中，應用系統(tǒng)相對復雜，傳統(tǒng)方式主要考慮不同應用系統(tǒng)之間安全防護等級的不同，較少考慮同一應用系統(tǒng)對外提供服務時內部不同層次之間存在的安全等級差異，一般而言，存在以下4個方面缺點：

•在應用系統(tǒng)較為復雜的網(wǎng)絡系統(tǒng)中，不同應用系統(tǒng)的用戶層、表示層功能相互整合，各應用系統(tǒng)不同層次間的聯(lián)系日趨復雜，從而很難設定明確的界限對應用系統(tǒng)進行歸類，造成安全區(qū)域邊界模糊。

•設置在安全區(qū)域邊界的防火墻實施的安全策略級別不清，存在著應用劃分層次(用戶、表示、應用、數(shù)據(jù))4層功能兩兩之間各種級差的訪問控制策略，防火墻安全等級定位不清，不利于安全管理和維護。

•所有區(qū)域定義的安全級別過于復雜，多達10+級安全等級，等級高低沒有嚴格的劃分標準，造成實施邊界防護時難以進行對應操作。

•邏輯網(wǎng)絡安全區(qū)域和物理網(wǎng)絡區(qū)域的概念不清，相互混用，無法明確指出兩者之間的相互關系。

改進的安全區(qū)域劃分方法-層次型安全區(qū)域劃分方法

借鑒B/S結構應用系統(tǒng)對外提供服務的層次關系，采用層次分析的方法，將數(shù)據(jù)網(wǎng)絡劃分成核心數(shù)據(jù)層、應用表述層、網(wǎng)絡控制層、用戶接入層4個不同的安全等級，從核心數(shù)據(jù)層到用戶接入層安全等級遞減。不同安全層次等級之間由于存在較大安全級差，需要通過防火墻實施物理隔離和高級別防護；同一安全等級層次內的資源，根據(jù)對企業(yè)的重要性不同，以及面臨的外來攻擊威脅、內在運維風險不同，進一步劃分成多個安全區(qū)域，每個區(qū)域之間利用防火墻、IOS ACL、VLAN實施邏輯、物理的隔離，形成一個垂直分層，水平分區(qū)的網(wǎng)絡安全區(qū)域模型。