8.3.2.7 数据完整性与保密性
目前,XX信息系统中传输的信息主要是XX类型的数据,对信息完整性校验提出了一定的需求。
在XX应用系统中,将采用消息摘要机制来确保完整性校验,其方法是:发送方使用散列函数(如SHA、MD5等)对要发送的信息进行摘要计算,得到信息的鉴别码,连同信息一起发送给接收方,将信息与信息摘要进行打包后插入身份鉴别标识,发送给接收方。接收方对接收到的信息后,首先确认发送方的身份信息,解包后,重新计算,将得到的鉴别码与收到的鉴别码进行比较,若二者相同,则可以判定信息未被篡改,信息完整性没有受到破坏。通过上述方法,可以满足应用系统对于信息完整性校验的需求。而对于用户数据特别是身份鉴别信息的数据保密,应用系统采用密码技术进行数据加密实现鉴别信息的存储保密性。
在传输过程中主要依靠VPN系统可以来保障数据包的数据完整性、保密性、可用性。目前VPN的组建主要采用两种方式,基于IPSEC协议的VPN以及 基于SSL协议的VPN。
IPSec VPN适用于组建site-to-site形态的虚拟专有网络,IPSEC协议提供的安全服务包括:
保密性——IPSec在传输数据包之前将其加密.以保证数据的保密性。 完整性——IPSec在目的地要验证数据包,以保证该数据包任传输过程中没有被修改或替换。完整性校验是IPSEC VPN重要的功能之一。
真实性——IPSec端要验证所有受IPSec保护的数据包。
防重放——IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
SSL VPN适用于远程接入环境,例如:移动办公接入。它和IPSEC VPN适用于不同的应用场景,可配合使用。
31
SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL与IPSec安全协议一样,也可提供加密和身份验证安全方法,因此安全性上二者无明显差别。
SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有,不用额外的软件实现。使用SSL VPN,在移动用户和内部资源之间的连接通过应用层的Web连接实现,而不是像IPSec VPN在网络层开放的“通道”。SSL对移动用户是理想的技术,因为:
? SSL无需被加载到终端设备上 ? SSL无需终端用户配置
? SSL无需被限于固定终端,只要有标准浏览器即可使用
产品部署方面,SSL VPN只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置,不增加故障点,部署简单灵活,同时提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关,通过身份鉴别,在基于角色的策略控制下实现对企业内部资源的存取访问。远程移动用户只需打开标准IE浏览器,登陆SSL VPN网关,经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。
8.3.2.8 备份与恢复
备份与恢复主要包含两方面内容,首先是指数据备份与恢复,另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。
数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错
32
误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择,而已成为必然的趋势。
数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能,易于管理,广泛的设备兼容性和较高的可靠性,以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能,其中包括联机备份应用系统和数据文件,先进的设备和介质管理,快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。
本地完全数据备份至少每天一次,且备份介质需要场外存放。
提供能异地数据备份功能,利用通信网络将关键数据定时批量传送至异地备用场地。
对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计,保障从网络结构、硬件配置上满足不间断系统运行的需要。
8.3.2.9 资源控制
为保证XX网络的应用系统正常的为用户提供服务,必须进行资源控制,否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标,包括:
? 会话自动结束:当应用系统的通信双方中的一方在一段时间内未作任何
响应,另一方应能够及时检测并自动结束会话,释放资源;
? 会话限制:对应用系统的最大并发会话连接数进行限制,对一个时间段
内可能的并发会话连接数进行限制,同时对单个帐户的多重并发会话进行限制,设定相关阈值,保证系统可用性。
? 登陆条件限制:通过设定终端接入方式、网络地址范围等条件限制终端
登录。
33
? 超时锁定:根据安全策略设置登录终端的操作超时锁定。
? 用户可用资源阈值:限制单个用户对系统资源的最大或最小使用限度,
保障正常合理的资源占用。
? 对重要服务器的资源进行监视,包括CPU、硬盘、内存等。 ? 对系统的服务水平降低到预先规定的最小值进行检测和报警。 ? 提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请
求进程的优先级,根据优先级分配系统资源。
应用系统如具备上述功能则需要开启使用,若不具备则需进行相应的功能开发,且使用效果要达到以上要求。
8.3.2.10 客体安全重用
为实现客体的安全重用,及时清除剩余信息存储空间,应通过对操作系统及数据库系统进行安全加固配置,使得操作系统和数据库系统具备及时清除剩余信息的功能,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。
8.3.2.11 抗抵赖
解决系统抗抵赖特性最有效的方法就是采用数字签名技术,通过数字签名及签名验证技术,可以判断数据的发送方是真实存在的用户。数字签名是不对称加
密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性同时,通过对签名的验证,
可以判断数据在传输过程中是否被更改。从而,可以实现数据的发送方不能对发
34
送的数据进行抵赖,发送的数据是完整的,实现系统的抗抵赖性和完整性需求。
PKI体系具备了完善的数字签名功能。因此部署PKI体系可解决抗抵赖的问题,同时提供身份鉴别和访问控制。
8.3.3 区域边界安全设计 8.3.3.1 边界访问控制
通过对XX网络的边界风险与需求分析,在网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动,为网络创造全面纵深的安全防御体系。
在各安全域边界部署XX产品,部署效果如下: ……
? 产品部署效果: 1. 网络安全的基础屏障:
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2. 强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
35