论文部分内容阅读
【摘 要】随着电力行业信息化建设的不断深入和互联网技术的不断发展,带动了信息技术的深入应用和快速发展,在促进企业发展的同时,也带来了信息安全问题,并且越来越突出,因此开展企业信息安全技术研究非常重要。本文对信息网络区域间安全防护体系的进行了分析和研究,介绍信息网络区域间安全防护体系的组成及特点,以及实施后取得的效果。
【关键词】信息网络;安全防护技术;研究
引言
区域间安全防护主要是从信息网络一体化的角度出发,以构建信息网络一体化安全防护体系为目的,首先以各个地区作为整个信息安全体系的子区域的模式对信息网络进行安全区域的划分,在各个子安全区域与高速数据信息网络的网络接入点上配置一台高性能的防火墙设备,通过结合地区间的实施应用系统的具体要求,设置统一的安全策略,来达到信息网络关口的信息流量的安全控制。其次,通过对各个关键节点上安全防护设备的统一集中管理和安全防护联动措施,初步具有抵御大规模恶性病毒泛滥和恶意攻击的安全防护能力。
一、总体架构
信息网络区域间安全防护系统安全设备主要在子区域网络和高速信息网络的接入点,通过结合地区间的实施应用系统的具体要求部署。防火墙拓扑结构图如图所示。
如图所示,两台防火墙处于路由交换网络之间,每台防火墙可以直接到达相邻的路由器或交换机,这样每台防火墙和相邻路由交换设备都可直接相连,所有的路由交换设备之间的线路可以使用TRUNK封装。
二、采用的设备及特点
具体实施标准及项目实施后的预期效果如下表。
序号 实施项目 实施标准 预期效果
1 防火墙设备 防火墙安装到机柜内走线整洁、布局合理;
完成策略、IP、路由等规划; 达到网络运行稳定,单台设备出现故障不影响整个网络通讯的中断。
2 防火墙集中管理系统 实现对防火墙设备的集中管理;
完成认证设备、维护设备、维护VPN隧道、维护VRC信息等; 达到网络运行稳定,实现设备的管理、拓朴管理、状态监视、隧道管理等功能。
3 防火墙日志分析系统 实现对防火墙设备的日志分析;
完成网络事件的收集、处理、智能实时检测、可视化分析; 有效的实现全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过于其它安全设备的联动来真正实现动态防御。
2.1防火墙设备
项目采用的网络卫士系列防火墙NGFW(NetGuard FireWall)是以天融信公司具有自主知识产权的TOS(Topsec Operating System)为系统平台,该平台采用开放性的系统架构及模塊化的设计,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,具有安全、高效、易于管理和扩展等特点。
自主安全操作系统平台
采用安全操作系统—TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能。
强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
完全内容检测CCI
完全内容检测(CCI,Complete Content Inspection)可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
强大的AAA功能,支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。
2.2集中管理系统
TopPolicy用于网络安全设备的集中管理,能为安全设备和VPN客户端提供身份认证功能、指定设备间的VPN通讯关系、统一下发策略、提供设备策略的上传及恢复功能、以及设备性能监视功能。
与业务管理对应的分级管理体系,应对大型网络
首先,本系统支持4级的域管理,这样,用户可以方便的把一个全国的项目分级与分域管理,在统一策略下对责任进行分担;通过分级与分域管理,本系统可以支持到1000台安全设备和30000个VPN客户端。其次,本系统可以对安全设备和策略实现完全的集中管理,也可以实现由下级管理中心或设备来管理日常的管理工作,而上级中心仅负责监控与分析统计工作。
完善的PKI体系支持
TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系,则无需外部证书发放机构的签发证书,企业自己就可以构建自己的证书发放机构(CA)。对这种用户TopPolicy提供了简单实用的PKI CA系统,可以为管理员、设备、VRC生成、更新、发放证书,同时提供证书验证与CRL文件管理等功能。
对于已经建有CA系统的用户,TopPolicy完全支持第三方的PKI系统,可以为设备和VRC导入/更新第三方CA生成的证书,不仅支持在TP本地使用第三方CA的根证书验证设备以及VRC身份,还支持通过OCSP协议实时在线验证设备和VRC身份。支持通过HTTP、LDAP协议自动下载CRL列表等等。
多视角的可视化管理
TopPolicy能通过拓扑图等多种方式,实现对设备、隧道等进行各种管理,进而实现对设备性能信息的监视,包括CPU信息、内存信息、接口信息和连接信息等。另外,对于具有VPN功能的设备还提供了隧道监控和VPN监控功能、实时监视VRC用户在线情况。
TopPolicy通过拓扑图等监控的同时提供的丰富的报警功能。 系统高安全性
作为安全管理产品,TopPolicy自身具有很高的安全性。系统各功能模块间的通信均可采用加密的方式进行;在TopPolicy构建的系统内采用证书進行身份认证;系统可以抵御一定强度的DOS攻击。通过这些安全措施,有效地防止了由于网络监听或帐号滥用造成的一系列安全问题。
2.3日志分析的特点及功能
该项目采用安全审计综合分析系统(TopSEC Audit),用于帮助企业实现网络事件和信息的有效管理及全面审计。
高柔韧性及可靠性的1类微内核系统模式
微内核(Micro-Kernel)是经典的高可靠性OS设计模式,TopSEC Auditor为了实现系统可靠性与性能的平衡采用了一种类似微内核的系统模式。可以通过在系统内核上简单的添加或移去功能插件来满足不同用户的要求并实现对系统扩展。建立在内核之上的分立功能插件实现了错误的隔离,从而提高了系统安全性。
独有基于AI技术的实时审计分析
基于经典模糊集合理论,采用神经网络等AI技术,结合异常与误用检测方法,实时审计网络事件,有效发现入侵行为,并有一定的未知攻击发现能力。由于采用了AI技术,引擎的误报率远低于采用普通统计技术的系统(传统的采用统计模型的检测方式,只适用于简单分布的事件集合)。
基于IDS技术的应用层事件审计
将先进的IDS(入侵检测)技术用于应用层事件的实时审计,系统采用了高效的多级模式匹配算法,及时准确发现各种攻击行为。针对不同网络应用上的差别,用户可以按需配置入侵检测规则集。系统的入侵检测库能够随着应用的扩展和攻击方式的变化不断获得升级。
三、项目实施达到效果及结论
通过项目的实施配置安全防护设备、设置统一的安全策略和建立安全事件的联动措施,初步具有有效抵御来自网络外部或内部攻击的安全防护能力,实现实时监控和制止内部用户的未授权活动和合法用户的误操作及资源滥用。
1、达到网络运行稳定,单台设备出现故障不影响整个网络通讯的中断;实现设备的管理、拓朴管理、状态监视、隧道管理等功能。
2、有效的实现全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过于其它安全设备的联动来真正实现动态防御。
3、所选防火墙具有av(防病毒)功能,并且具有实时的病毒更新具有较强的防毒能力,免去了再次购买硬件防毒墙的投资。网络中接入防火墙后防止外部的攻击对内网造成的经济损失。
【关键词】信息网络;安全防护技术;研究
引言
区域间安全防护主要是从信息网络一体化的角度出发,以构建信息网络一体化安全防护体系为目的,首先以各个地区作为整个信息安全体系的子区域的模式对信息网络进行安全区域的划分,在各个子安全区域与高速数据信息网络的网络接入点上配置一台高性能的防火墙设备,通过结合地区间的实施应用系统的具体要求,设置统一的安全策略,来达到信息网络关口的信息流量的安全控制。其次,通过对各个关键节点上安全防护设备的统一集中管理和安全防护联动措施,初步具有抵御大规模恶性病毒泛滥和恶意攻击的安全防护能力。
一、总体架构
信息网络区域间安全防护系统安全设备主要在子区域网络和高速信息网络的接入点,通过结合地区间的实施应用系统的具体要求部署。防火墙拓扑结构图如图所示。
如图所示,两台防火墙处于路由交换网络之间,每台防火墙可以直接到达相邻的路由器或交换机,这样每台防火墙和相邻路由交换设备都可直接相连,所有的路由交换设备之间的线路可以使用TRUNK封装。
二、采用的设备及特点
具体实施标准及项目实施后的预期效果如下表。
序号 实施项目 实施标准 预期效果
1 防火墙设备 防火墙安装到机柜内走线整洁、布局合理;
完成策略、IP、路由等规划; 达到网络运行稳定,单台设备出现故障不影响整个网络通讯的中断。
2 防火墙集中管理系统 实现对防火墙设备的集中管理;
完成认证设备、维护设备、维护VPN隧道、维护VRC信息等; 达到网络运行稳定,实现设备的管理、拓朴管理、状态监视、隧道管理等功能。
3 防火墙日志分析系统 实现对防火墙设备的日志分析;
完成网络事件的收集、处理、智能实时检测、可视化分析; 有效的实现全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过于其它安全设备的联动来真正实现动态防御。
2.1防火墙设备
项目采用的网络卫士系列防火墙NGFW(NetGuard FireWall)是以天融信公司具有自主知识产权的TOS(Topsec Operating System)为系统平台,该平台采用开放性的系统架构及模塊化的设计,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,具有安全、高效、易于管理和扩展等特点。
自主安全操作系统平台
采用安全操作系统—TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能。
强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。
完全内容检测CCI
完全内容检测(CCI,Complete Content Inspection)可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
强大的AAA功能,支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。
2.2集中管理系统
TopPolicy用于网络安全设备的集中管理,能为安全设备和VPN客户端提供身份认证功能、指定设备间的VPN通讯关系、统一下发策略、提供设备策略的上传及恢复功能、以及设备性能监视功能。
与业务管理对应的分级管理体系,应对大型网络
首先,本系统支持4级的域管理,这样,用户可以方便的把一个全国的项目分级与分域管理,在统一策略下对责任进行分担;通过分级与分域管理,本系统可以支持到1000台安全设备和30000个VPN客户端。其次,本系统可以对安全设备和策略实现完全的集中管理,也可以实现由下级管理中心或设备来管理日常的管理工作,而上级中心仅负责监控与分析统计工作。
完善的PKI体系支持
TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系,则无需外部证书发放机构的签发证书,企业自己就可以构建自己的证书发放机构(CA)。对这种用户TopPolicy提供了简单实用的PKI CA系统,可以为管理员、设备、VRC生成、更新、发放证书,同时提供证书验证与CRL文件管理等功能。
对于已经建有CA系统的用户,TopPolicy完全支持第三方的PKI系统,可以为设备和VRC导入/更新第三方CA生成的证书,不仅支持在TP本地使用第三方CA的根证书验证设备以及VRC身份,还支持通过OCSP协议实时在线验证设备和VRC身份。支持通过HTTP、LDAP协议自动下载CRL列表等等。
多视角的可视化管理
TopPolicy能通过拓扑图等多种方式,实现对设备、隧道等进行各种管理,进而实现对设备性能信息的监视,包括CPU信息、内存信息、接口信息和连接信息等。另外,对于具有VPN功能的设备还提供了隧道监控和VPN监控功能、实时监视VRC用户在线情况。
TopPolicy通过拓扑图等监控的同时提供的丰富的报警功能。 系统高安全性
作为安全管理产品,TopPolicy自身具有很高的安全性。系统各功能模块间的通信均可采用加密的方式进行;在TopPolicy构建的系统内采用证书進行身份认证;系统可以抵御一定强度的DOS攻击。通过这些安全措施,有效地防止了由于网络监听或帐号滥用造成的一系列安全问题。
2.3日志分析的特点及功能
该项目采用安全审计综合分析系统(TopSEC Audit),用于帮助企业实现网络事件和信息的有效管理及全面审计。
高柔韧性及可靠性的1类微内核系统模式
微内核(Micro-Kernel)是经典的高可靠性OS设计模式,TopSEC Auditor为了实现系统可靠性与性能的平衡采用了一种类似微内核的系统模式。可以通过在系统内核上简单的添加或移去功能插件来满足不同用户的要求并实现对系统扩展。建立在内核之上的分立功能插件实现了错误的隔离,从而提高了系统安全性。
独有基于AI技术的实时审计分析
基于经典模糊集合理论,采用神经网络等AI技术,结合异常与误用检测方法,实时审计网络事件,有效发现入侵行为,并有一定的未知攻击发现能力。由于采用了AI技术,引擎的误报率远低于采用普通统计技术的系统(传统的采用统计模型的检测方式,只适用于简单分布的事件集合)。
基于IDS技术的应用层事件审计
将先进的IDS(入侵检测)技术用于应用层事件的实时审计,系统采用了高效的多级模式匹配算法,及时准确发现各种攻击行为。针对不同网络应用上的差别,用户可以按需配置入侵检测规则集。系统的入侵检测库能够随着应用的扩展和攻击方式的变化不断获得升级。
三、项目实施达到效果及结论
通过项目的实施配置安全防护设备、设置统一的安全策略和建立安全事件的联动措施,初步具有有效抵御来自网络外部或内部攻击的安全防护能力,实现实时监控和制止内部用户的未授权活动和合法用户的误操作及资源滥用。
1、达到网络运行稳定,单台设备出现故障不影响整个网络通讯的中断;实现设备的管理、拓朴管理、状态监视、隧道管理等功能。
2、有效的实现全网的安全预警、入侵行为的实时发现、入侵事件动态响应,通过于其它安全设备的联动来真正实现动态防御。
3、所选防火墙具有av(防病毒)功能,并且具有实时的病毒更新具有较强的防毒能力,免去了再次购买硬件防毒墙的投资。网络中接入防火墙后防止外部的攻击对内网造成的经济损失。