摘  要： 研究了基于某大型科技信息應用網站的安全管理解決方案的設計與實現(xiàn)。介紹了網絡系統(tǒng)的安全體系設計、網絡安全保證以及網絡安全管理措施。著重介紹了雙重防火墻保障技術以及非軍事區(qū)結構模式，硬件安全保障措施以及先進的網管系統(tǒng)，嚴格的認證、授權機制，并采用防病毒軟件和入侵監(jiān)測系統(tǒng)等一系列安全技術和保障措施，形成了一個較完整的基于Internet信息系統(tǒng)應用的安全解決方案。
關鍵詞： 網絡內容提供商；網絡服務提供商；防火墻；非軍事區(qū)模式；定制攻擊描述語言

    目前，大中城市科技網得到了迅猛發(fā)展，已成為國家和省、市、地區(qū)信息基礎設施的組成部分，是城市科技管理與科技工作現(xiàn)代化的重要基礎。某市科技信息網的建設以專業(yè)化為特征，以科技、科管信息為采集重點，以統(tǒng)籌規(guī)劃、統(tǒng)一標準、分布建庫為建設方針，建設面向所屬市及全國科技界的內容豐富、輻射面寬、實用性強、手段先進的網上科研信息資源。本文研究和建設的某市科技信息網定位為一個專門提供所屬城市及全國科技信息的ICP(Internet Content Provider)，同時兼任ISP(Internet Service Provider)的功能。
    作為地區(qū)國民經濟信息化的重要工程之一，某市科技信息網絡系統(tǒng)的建設目標是：成為國際科技信息網和省科技信息網的地區(qū)主干網；成為城市與國內外科技信息交流的平臺；成為市科技信息開發(fā)、應用與服務的平臺和反映地區(qū)科技信息的主要窗口；面向科技管理職能部門，面向公眾，加強科技服務的力度；通過網絡的運作提高城市科技水平，為科教興市作出貢獻。本系統(tǒng)的建設目標為系統(tǒng)的總體安全方案設計提出了嚴格的要求，如何確保系統(tǒng)的安全，如何構建一個堅實的網絡系統(tǒng)及安全體系已成為本系統(tǒng)的一項的重要任務。本文主要從雙重防火墻過濾、入侵檢測技術、防病毒技術、子網間網絡協(xié)議互聯(lián)及安全等幾方面重點闡述。
1 網絡總體規(guī)劃及功能
    系統(tǒng)網絡平臺和網絡管理系統(tǒng)的建設總體規(guī)劃是：
    (1)構建外部連接網絡平臺。通過與一些主要信息網的Internet連接，使本系統(tǒng)成為一個城市內的科技信息主干網，為市內用戶提供Internet入網和科技信息資源的綜合利用服務。
    (2)構建內部網絡平臺，為本系統(tǒng)各類網絡應用提供網絡支撐平臺和完善安全的網絡管理系統(tǒng)。
    根據上述的系統(tǒng)總體規(guī)劃目標，本系統(tǒng)網絡平臺提供以下網絡功能服務：
    (1)用戶接入：提供撥號接入、Internet接入、本系統(tǒng)局域網連接Internet，域名解釋、路由、文件傳輸、郵件收發(fā)。
    (2)應用支持：為網上數據庫提供網絡支撐平臺。本系統(tǒng)網絡主干達到1 000 MHz的帶寬，提供了Oracle數據庫服務器/Lotus Domino R5/全文檢索工具等結構化及非結構化的數據庫平臺，并提供相應應用開發(fā)工具，這樣的帶寬及數據庫平臺保證了軟件的開發(fā)和運行。
    (3)網絡設備管理：提供網絡設備管理支持平臺、網絡設備管理系統(tǒng)。
    (4)網絡互聯(lián)支持：提供系統(tǒng)局域網內部各子網互聯(lián)系統(tǒng)及協(xié)議系統(tǒng)支持。本系統(tǒng)配有代理服務器/IP三層交換路由協(xié)議/防火墻等提供網絡互聯(lián)的支持。
2 網絡體系結構
    本系統(tǒng)網絡體系分為外部互連結構與內部互連結構。
    外部互連結構實現(xiàn)本系統(tǒng)與市公共多媒體信息交換網、市信息中心網及省科技信息網的網絡互連。實現(xiàn)方法是：與市信息中心通過100 MHz單模光纖連到Cisco 7204邊界路由器上，與省內科技網及公眾多媒體信息網通過128 K幀中繼連接。同時在Cisco 7204上留有ISDN接口，作為光纖的備用線路。把訪問市科技信息網的路由直接指在CISCO 7204上。
    內部體系結構由各子網組成，確定子網劃分的依據是子網應用職能及子網應用(或應用部門)的獨立性；確定子網互連結構的依據是子網互聯(lián)運行的安全要求，以及系統(tǒng)的對外服務性能優(yōu)先原則。子網互連體系結構如圖1所示。子網劃分方案如下：

    外部網：與本系統(tǒng)連接的所有遠程網絡、ISP網和撥號網。
    對外服務子網：包括本系統(tǒng)內與一切外部網直接連接的系統(tǒng)，是本系統(tǒng)與Internet連接和圖1系統(tǒng)內部互連結構圖對外服務的唯一子網，也是本系統(tǒng)分隔外部網和內部網的子網。
    內部網和內部公共網：只與對外服務網互連，但內部網與對外服務子網的連接需通過內部防火墻過濾。內部分共網與對外服務子網的連接需通過外部防火墻的過濾。
3 安全性整體解決方案
3.1 安全性原則
    為保證安全性本系統(tǒng)采取以下措施：
    (1)采用雙重防火墻系統(tǒng)，即硬件和軟件防火墻，針對不同的服務和數據安全性滿足不同的數據過濾要求和協(xié)議支持。
    (2)接入設備、路由器和中心交換機均有冗余插槽和端口，提供接入通道、接入端口的備份，保證了對外連接和內部數據交換的高可用性。
    (3)提供對VPDN的支持擴展，以保證樓外內部用戶的安全接入。
    (4)內部網支持VLAN，可以隨時針對不同的部門重新劃分網段。
    (5)采用先進的防病毒技術。
    (6)采用先進的防入侵檢測技術。
    (7)比較完整的安全性管理措施和IP規(guī)劃。
    (8)由于本網站與市信息中心采用100 MHz單模光纖連接，因此可以借用這個高速通道，對數據進行遠程備份，這也是一個提高本系統(tǒng)安全性的措施。
3.2 網絡安全設計
    本系統(tǒng)通過操作系統(tǒng)配置、路由器、防火墻、代理服務器、防入侵檢測系統(tǒng)、硬件設備安全保證措施等多種手段，保證只有合法的、經授權的用戶才能上網，才能登錄到服務器[1-2]。
    (1)雙重防火墻
    本系統(tǒng)根據需要劃分了若干子網，其安全保障措施是通過雙重防火墻技術實現(xiàn)。其中內部網的安全性要求最高，所有系統(tǒng)的審計信息、計費信息以及所有最重要的信息都存儲在這個網段的服務器中。本系統(tǒng)內部體系結構如圖1所示。
    系統(tǒng)選用兩道防火墻。外部防火墻選用Cisco PIX
Fire Wall 520，內部防火墻采用中網公司開發(fā)的國產硬件軟件一體的防火墻[3]。
    Cisco Pix FireWall滿負荷時運行速率超過45 Mb/s，具有專用鏈路加密插件，可以用數據加密標準(DES)算法對數據加密，同時引入了IETF的鑒別標題(AH)和封閉安全性負載(ESP)協(xié)議。
    這兩個防火墻針對不同的應用和不同的網段進行了不同的包過濾。對內部網和外部網的數據包過濾系統(tǒng)(即內、外防火墻系統(tǒng))進行分布式配置，內、外防火墻系統(tǒng)均具有地址過濾和服務過濾功能，還具有有關的過濾控制方面的能力[4]。所有內部網段內幾個子網都要通過這個防火墻才能訪問到對外服務網，再通過Pix訪問Internet[5]。
    在本系統(tǒng)中，外部網與內部網互連采用了非軍事區(qū)結構模式，如圖2所示。

    非軍事區(qū)(DMZ)通常是一個過濾的子網，DMZ在內部網絡和外部網絡之間構造了一個安全地帶。DMZ防火墻方案為要保護的內部網絡增加了一道安全防線，同時，它提供了一個區(qū)域放置公共服務器，從而又能有效地避免一些互聯(lián)應用需要公開而與內部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機、Modem池以及所有的公共服務器。在這種防火墻方案中，包括兩個防火墻、外部防火墻抵擋外部網絡的攻擊，并管理所有外部網絡對DMZ的訪問。內部防火墻管理DMZ對于內部網絡的訪問，內部防火墻是內部網絡的第三道安全防線(前面有了外部防火墻和堡壘主機)，當外部防火墻失效的時候，它還可以起到保護內部網絡的功能。
    本系統(tǒng)中外部網與內部網互連需要由對外服務子網分隔，其目的是禁止外部網與內部網的直接互連)；對外服務子網是外部網與內部網的隔離區(qū)，即DMZ非軍事區(qū)，也稱周邊網絡，此防火墻系統(tǒng)采用的是被屏蔽子網結構的防火墻。
    (2)用戶接入安全
    對于用戶接入功能，也提供了非常安全的保證措施。漫游用戶首先需要通過Cisco 7204的數據過濾，撥號用戶需要首先通過Cisco 3640上的數據過濾、Radius Server安全認證，如果訪問對外服務子網，要通過Cisco Pix FireWall 520上的安全管理及安全檢測，如果要訪問內部網則還要通過中網防火墻的安全過濾，同時在對外服務子網安裝了NAI的Cybercop Monitor 防入侵檢測系統(tǒng)，最大限度地保證網絡安全。
    (3)防病毒軟件
    采用防病毒軟件對服務器、工作站進行保護，防止病毒侵襲。防病毒的安全解決方案實現(xiàn)包括對服務器的保護、網關的保護、桌面的保護。
    (4)入侵檢測系統(tǒng)
    采用入侵檢測系統(tǒng)，提供實時的入侵檢測及采取相應的防護手段，可記錄證據用于跟蹤恢復和斷開網絡連接等。實時入侵檢測能力還能夠對付來自內部網絡的攻擊，并能夠縮短黑客入侵的時間。該系統(tǒng)可檢測網絡配置方面的安全漏洞；可檢測網絡系統(tǒng)日志或系統(tǒng)審計記錄，發(fā)現(xiàn)用戶的異?；顒樱挥袑ι鲜龅陌踩┒春彤惓；顒舆M行定義的入侵檢測管理系統(tǒng)；具有開放性的系統(tǒng)結構，可為以后增加檢測功能提供檢測功能開發(fā)接口和檢測功能調用；具有模塊化的跨平臺檢測能力，能通過增減功能模塊達到對NT、Netware和各UNIX平臺的動態(tài)支持；可定時運行和由系統(tǒng)管理員執(zhí)行運行。此外，系統(tǒng)還配置了安全掃描工具CyberCop Scanner，測試潛在的網絡漏洞，評估系統(tǒng)安全配置，以提前主動地控制安全危險。
    為了確保系統(tǒng)的安全，硬件設備等也采取不同的措施[6]，主要有：
    (1)所有設備具有非常可靠的性能。
    (2)設備的適當冗余，以滿足高峰時間的訪問，同時由于網管系統(tǒng)的監(jiān)視，當出現(xiàn)非正常的訪問接入時，可以放棄某些請求，以保證整個系統(tǒng)的正常運行。
    (3)主要服務器系統(tǒng)具有硬盤熱插拔能力和熱備用系統(tǒng)，當某些系統(tǒng)出現(xiàn)故障時，可以不間斷服務，更換有問題的硬盤。
    (4)主要網絡設備和服務器具有熱備用系統(tǒng)或備用插槽。
    (5)大容量的磁盤陣列，這些磁盤陣列本身具有信息備份和磁盤備份能力。
    (6)在綜合布線系統(tǒng)中，通信線路留有一定的余量。
    (7)機房裝修符合國家標準，采用標準的通風、電源和防雷措施，所有重要的服務器和網絡系統(tǒng)均有UPS電源保護。
    另外，網絡安全措施還采用了先進的網管系統(tǒng)，網管系統(tǒng)是系統(tǒng)安全性的重要保障手段；采用嚴格的IP地址規(guī)劃，對內部網的IP采用保留地址，使入侵者看不到內部重要的服務器及工作站，限制了入侵者可能攻擊的范圍；采用認證、授權、審計和計費管理，包括各種接入的認證、各種操作的授權，所有的網絡設備和服務器均設有審計措施。對服務器、數據庫和網絡設備實現(xiàn)審計日志的統(tǒng)一管理，對不同的用戶類型進行嚴格的計費管理和監(jiān)視管理。
3.3 安全管理措施
    當前，人們對網絡安全已經有一個共識，即網絡安全不只是技術問題，更是管理問題[7]。建立日常安全管理規(guī)章制度，任何優(yōu)秀軟件都需要人掌握和使用，因此對所有的信息備份管理、審計信息集中管理、IP地址的分配管理、網段的劃分等除提供管理軟件外，還要針對不同的內部人員(如系統(tǒng)管理員、管理人員、信息管理員、一般內部人員等)建立一系列管理的規(guī)章制度，對信息備份、設備的使用范圍、帳號的建立、更換和銷毀等都要做詳細的規(guī)定，并制訂一系列檢查、監(jiān)督跟蹤措施，以保證這些規(guī)章制度的執(zhí)行。在這些制度中，針對系統(tǒng)管理員的制度尤為重要，主要有：帳號管理、權限分配、系統(tǒng)運行的監(jiān)視；針對信息管理員的制度有：信息的錄入、銷毀、備份、變換、傳送等。
    本文詳細介紹了一個大型科技信息網絡系統(tǒng)的安全體系設計、安全保證以及管理措施。著重介紹了雙重防火墻保障技術以及非軍事區(qū)結構模式，硬件安全以及先進的網管系統(tǒng)，嚴格的認證、授權機制，并采用防病毒軟件和入侵監(jiān)測系統(tǒng)等一系列安全技術和保障措施，形成了一個較完整的基于Internet科技信息系統(tǒng)應用的安全解決方案。該系統(tǒng)運行兩年多，有效地滿足了用戶需求，用戶反映良好。
參考文獻
[1] ARBAUGH W A. An inductive chosen plaintext attack against WEP/WEP2. IEEE Document 802.11-01/230，2001-05.
[2] CCIMB-99-031. Common Criteria Security Evaluation for Information Technology， V2.1.1999-08.
[3] 謝希仁.計算機網絡[M].大連:大連理工大學出版社，2000.
[4] 劉淼，李鵬，陳康民，等.綜合網絡安全系統(tǒng)的研究與設計[J].計算機工程與設計，2009，30(13).
[5] 張國情，曹重英.一種Intranet信息保護系統(tǒng)的設計和實現(xiàn)[J].計算機工程與應用，2003(39):157-158.
[6] 楊衛(wèi)東．網絡系統(tǒng)集成與工程設計[M]．北京:科學出版社，2002.
[7] 李曉明.從整合管理開始.中國計算機報，2005(1380):12.