论文部分内容阅读
随着国民经济的发展,进出口贸易规模进一步扩大,为了简化手续,方便货物进出口,提高贸易效率,降低贸易成本,与海关连网的单位将越来越多。作为海关,也希望通过外部网,为企业提供全方位的口岸综合信息资源服务,增加企业的商业机会。此外,如在出口退税、结关等海关业务环节还须与外管局、银行、税务局等单位连网,以便加强职能部门之间的协调配合。因此在建设海关内部网的同时,还要积极搞好外部网建设,努力树立海关的窗口形象,而且海关作为政府的执法部门,其数据的安全性与完整性不仅涉及到一般意义上的安全,更关系到海关的正确执法。同时,计算机技术的迅速发展,伴随的计算机不安全因素也变得越来越严重,各种对计算机网络的攻击手段也不断更新变化,计算机网络的广泛使用和网上信息传输量的剧增,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也越来越多地遭到不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁,这些均表明有效构建计算机网络安全防范体系的重要性和必要性。
福州海关网络结构现状
福州海关下辖八个分关和三个处级办事处以及走私犯罪侦查分局,共有十四个远程业务现场。分关分布点多面广,网络结构是以总关的快速交换式局域网为中心,以分关本地局域网作为总关局域网的延伸,覆盖全关区的两级网络结构,该网络方式组网灵活,布局合理,可靠性高,扩展性好。
位于总关的本地局域网采用交换型集线器DECHub900MultiSwitch,分别安装在总关的机房、办公大楼和报关大厅三个地方,用光纤在三栋楼间连成FDDI双环主干,构成一个兼容多种协议的交换式以太网。包括DECnet网、WindowsNT网、Novell网三种网络,DECnet网应用项目主要有小型机H883系统等,Novell网主要应用项目有办公文档管理系统和缉私指挥系统等,WindowsNT网主要应用项目有知识产权保护等。
部分分关采用DECHUB90背板,上面接插有Brouter90T2,Server90L+,Repeater90T-16等模块,建立起分关本地以太网,与总关形成两级网络结构。这些以太网既可自成体系,独立运行,又可作为总关以太网的扩展,成为全关网络的有机组成部分。其特点是利用路桥设备的协议过滤,地址过滤功能,灵活地允许或限制节点的访问,有效地调节网络流量。
另一部分分关应用CISCO2500系列或3600系列路由器和HUB改成二级网段结构,只开通TCP/IP协议,以减少路由协议开销,有效利用广域网的线路带宽。
另外,随着外向型经济越来越发达,进出口贸易双方采用的科技手段越来越先进,为使货物及时、快速地完成进出口报关手续,各船务代理公司和一些进出口业务量大的企业纷纷要求与海关连网。为满足这一要求,在网络结构上增加一台CISCO2511路由器通过机架MODEM利用PSTN公用电话网让连网单位拨号接入海关网,目前已与福建省船务代理公司、福州马尾港务公司、福州榕恒集装箱公司等20多家运输、港务、银行及其它行政管理部门、单位连网,进行着报关自动化、办公自动化、舱单连网核查、保证金台帐、知识产权保护等网上应用项目。
网络安全防范对策
海关计算机系统安全保护是指对计算机网络、硬件、软件资源的保护,防止一些未经授权或故意进入系统的事件,窃取、改变和破坏这些资源,导致削弱计算机功能,利用计算机作案,损害国家利益。因此,安全防范就是尽可能地采用各种安全技术,保护计算机网络系统的各种资源免遭自然的或人为的破坏,使系统具有抗灾害和抗破坏的能力,当发生来自系统内部或外部的意外事故或非法入侵时,系统能够予以识别和抵制。
福州海关计算机网络系统可能遭到攻击的类型主要有:(1)非法使用资源。主要是指对计算机资源的滥用和盗用。比如盗用管理员或特权用户的帐号、密码,非法浏览海关业务数据及其带密级的文件和数据库。这种类型虽然不造成系统结构性的破坏,但会严重侵犯国家和企业的利益,并可能把罪名转嫁给合法用户。(2)盗窃数据。海关电子单证的增加和各类数据库系统的不断增加与完善,使盗窃行为的可能性危险性也在不断增加。(3)恶意破坏。采用修改、删除、毁坏数据文件,传递进入网络中的带病毒文件,或安置黑客软件等方式破坏系统或数据文件,造成系统对合法用户停止服务。
(一)、网络的内连区与外连区
从图一看出,福州海关计算机网络结构可以分为与各分关、办事处,与报关厅、办公楼相连的内连区和与各船务代理公司相连的外连区两部分。以此可以划分内部网与外部网的范围。福州海关计算机网的外部网是指:目前通过拨号线或专线连入关区网的进出口企业、有关行政管理部门、运输、港务、银行等单位;各个部门通过Modem连入Internet,同时又与内部网相连的用户。对外连区的安全防范是本文的重点。
(二)、网络外连区的安全防范技术方案
1、防火墙技术
安全防范系统应包括授权管理、身份认证、漏洞扫描、病毒防范等。防火墙技术就是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏性侵入,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。图一是防火墙技术示意图。在图中,把装有Gauntlet防火墙。
图一、Gauntlet防火墙结构示意图
软件的主机作为网关,在此主机中装有三块网络接口卡,其中一块连接各连网单位,称为外连网(UntrustedNetwork),另一块接海关内部网,第三块接口卡连接一个子网,也就是在内部网络与外部网络之间增加的网络,提供安全的附加层,该子网的主机是唯一一个内连网和外连网都能访问到的系统。这样配置后,对于攻击者来说要先闯入Gauntlet主机,再进入内部网,然后返回IP包中报文屏蔽信息,分别进行配置,这显然是极其困难的。另外将防病毒软件Webshield和安全扫描器CyberCopScanner与Guantlet防火墙无缝集成,使系统的防御能力得到进一步的提高。
2、回拨证实技术
目前福州海关与外连单位是利用PSTN电话网通过Modem拨号连接的。这里就存在一个问题:只要非法用户侦测到拨号连接号码,利用Modem就有可能擅自拨入海关网。为了堵塞这个漏洞,我们选用具有回拨功能的机架Modem,设置成用户拨入时,并不马上连接,而是按照预先设定的号码再回拨过去,如果证实是合法用户,再进行Modem握手训练,构成连接链路。这样一来,就保证了每个预分配的号码只有合法用户才能通过拨号建立连接。用户连接之后,再经过路由器与防火墙连接,只有通过了防火墙的过滤认证,才能最终与海关网连接。
3、内部网与外部网物理断开控制器技术
福州海关关区网目前还没有设置网关通过代理服务连接,但一些部门由于工作需要必须连接,加上福州电信提供8163“上网直通车”和8169“网上直通大巴”免帐户拨号上网服务,使得电脑单机通过Modem拨号上网基本无法控制。国家有关部门又要求政府机关连接互联网必须做到内部网与互联网物理断开。简单的做法是同一部门配置两台电脑,分别用于连接内部网和互联网,但资源的浪费是显而易见的。为此,我们研制了“网络安全控制器”,用于将连接互联网的电脑,使得内部网与互联网物理断开。在同一时刻,电脑要么连接内部网,要么连接互联网,这样一来,杜绝了黑客通过互联网非法闯入内部网的途径,从物理连接上保证了网络的安全。
结束语
计算机网络专家F.T.Grampp说:“运行一个安全的计算机系统并不难。你只要断开全部拨号连接设备,只与终端相连,并将计算机及其终端都置于坚如铁壁且戒备森严的屋子里就万事大吉了。”这种极端的方法是不可能有人采用的,我们所要做的就是要随着计算机网络技术的发展,不断提高安全防范的水平。
福州海关网络结构现状
福州海关下辖八个分关和三个处级办事处以及走私犯罪侦查分局,共有十四个远程业务现场。分关分布点多面广,网络结构是以总关的快速交换式局域网为中心,以分关本地局域网作为总关局域网的延伸,覆盖全关区的两级网络结构,该网络方式组网灵活,布局合理,可靠性高,扩展性好。
位于总关的本地局域网采用交换型集线器DECHub900MultiSwitch,分别安装在总关的机房、办公大楼和报关大厅三个地方,用光纤在三栋楼间连成FDDI双环主干,构成一个兼容多种协议的交换式以太网。包括DECnet网、WindowsNT网、Novell网三种网络,DECnet网应用项目主要有小型机H883系统等,Novell网主要应用项目有办公文档管理系统和缉私指挥系统等,WindowsNT网主要应用项目有知识产权保护等。
部分分关采用DECHUB90背板,上面接插有Brouter90T2,Server90L+,Repeater90T-16等模块,建立起分关本地以太网,与总关形成两级网络结构。这些以太网既可自成体系,独立运行,又可作为总关以太网的扩展,成为全关网络的有机组成部分。其特点是利用路桥设备的协议过滤,地址过滤功能,灵活地允许或限制节点的访问,有效地调节网络流量。
另一部分分关应用CISCO2500系列或3600系列路由器和HUB改成二级网段结构,只开通TCP/IP协议,以减少路由协议开销,有效利用广域网的线路带宽。
另外,随着外向型经济越来越发达,进出口贸易双方采用的科技手段越来越先进,为使货物及时、快速地完成进出口报关手续,各船务代理公司和一些进出口业务量大的企业纷纷要求与海关连网。为满足这一要求,在网络结构上增加一台CISCO2511路由器通过机架MODEM利用PSTN公用电话网让连网单位拨号接入海关网,目前已与福建省船务代理公司、福州马尾港务公司、福州榕恒集装箱公司等20多家运输、港务、银行及其它行政管理部门、单位连网,进行着报关自动化、办公自动化、舱单连网核查、保证金台帐、知识产权保护等网上应用项目。
网络安全防范对策
海关计算机系统安全保护是指对计算机网络、硬件、软件资源的保护,防止一些未经授权或故意进入系统的事件,窃取、改变和破坏这些资源,导致削弱计算机功能,利用计算机作案,损害国家利益。因此,安全防范就是尽可能地采用各种安全技术,保护计算机网络系统的各种资源免遭自然的或人为的破坏,使系统具有抗灾害和抗破坏的能力,当发生来自系统内部或外部的意外事故或非法入侵时,系统能够予以识别和抵制。
福州海关计算机网络系统可能遭到攻击的类型主要有:(1)非法使用资源。主要是指对计算机资源的滥用和盗用。比如盗用管理员或特权用户的帐号、密码,非法浏览海关业务数据及其带密级的文件和数据库。这种类型虽然不造成系统结构性的破坏,但会严重侵犯国家和企业的利益,并可能把罪名转嫁给合法用户。(2)盗窃数据。海关电子单证的增加和各类数据库系统的不断增加与完善,使盗窃行为的可能性危险性也在不断增加。(3)恶意破坏。采用修改、删除、毁坏数据文件,传递进入网络中的带病毒文件,或安置黑客软件等方式破坏系统或数据文件,造成系统对合法用户停止服务。
(一)、网络的内连区与外连区
从图一看出,福州海关计算机网络结构可以分为与各分关、办事处,与报关厅、办公楼相连的内连区和与各船务代理公司相连的外连区两部分。以此可以划分内部网与外部网的范围。福州海关计算机网的外部网是指:目前通过拨号线或专线连入关区网的进出口企业、有关行政管理部门、运输、港务、银行等单位;各个部门通过Modem连入Internet,同时又与内部网相连的用户。对外连区的安全防范是本文的重点。
(二)、网络外连区的安全防范技术方案
1、防火墙技术
安全防范系统应包括授权管理、身份认证、漏洞扫描、病毒防范等。防火墙技术就是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏性侵入,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。图一是防火墙技术示意图。在图中,把装有Gauntlet防火墙。
图一、Gauntlet防火墙结构示意图
软件的主机作为网关,在此主机中装有三块网络接口卡,其中一块连接各连网单位,称为外连网(UntrustedNetwork),另一块接海关内部网,第三块接口卡连接一个子网,也就是在内部网络与外部网络之间增加的网络,提供安全的附加层,该子网的主机是唯一一个内连网和外连网都能访问到的系统。这样配置后,对于攻击者来说要先闯入Gauntlet主机,再进入内部网,然后返回IP包中报文屏蔽信息,分别进行配置,这显然是极其困难的。另外将防病毒软件Webshield和安全扫描器CyberCopScanner与Guantlet防火墙无缝集成,使系统的防御能力得到进一步的提高。
2、回拨证实技术
目前福州海关与外连单位是利用PSTN电话网通过Modem拨号连接的。这里就存在一个问题:只要非法用户侦测到拨号连接号码,利用Modem就有可能擅自拨入海关网。为了堵塞这个漏洞,我们选用具有回拨功能的机架Modem,设置成用户拨入时,并不马上连接,而是按照预先设定的号码再回拨过去,如果证实是合法用户,再进行Modem握手训练,构成连接链路。这样一来,就保证了每个预分配的号码只有合法用户才能通过拨号建立连接。用户连接之后,再经过路由器与防火墙连接,只有通过了防火墙的过滤认证,才能最终与海关网连接。
3、内部网与外部网物理断开控制器技术
福州海关关区网目前还没有设置网关通过代理服务连接,但一些部门由于工作需要必须连接,加上福州电信提供8163“上网直通车”和8169“网上直通大巴”免帐户拨号上网服务,使得电脑单机通过Modem拨号上网基本无法控制。国家有关部门又要求政府机关连接互联网必须做到内部网与互联网物理断开。简单的做法是同一部门配置两台电脑,分别用于连接内部网和互联网,但资源的浪费是显而易见的。为此,我们研制了“网络安全控制器”,用于将连接互联网的电脑,使得内部网与互联网物理断开。在同一时刻,电脑要么连接内部网,要么连接互联网,这样一来,杜绝了黑客通过互联网非法闯入内部网的途径,从物理连接上保证了网络的安全。
结束语
计算机网络专家F.T.Grampp说:“运行一个安全的计算机系统并不难。你只要断开全部拨号连接设备,只与终端相连,并将计算机及其终端都置于坚如铁壁且戒备森严的屋子里就万事大吉了。”这种极端的方法是不可能有人采用的,我们所要做的就是要随着计算机网络技术的发展,不断提高安全防范的水平。