網(wǎng)絡(luò)防護體系建構(gòu)

前言：本站為你精心整理了網(wǎng)絡(luò)防護體系建構(gòu)范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：王剛耀馬杰作者單位：人民日報社技術(shù)部

虛擬化應(yīng)用運行過程

從圖1中可以看出，虛擬化應(yīng)用位于網(wǎng)絡(luò)的DMZ區(qū)。Cisco6509、Cisco4506、Cisco3750和防火墻設(shè)備運行的都是路由模式。報社互聯(lián)網(wǎng)上的用戶要訪問單位的虛擬化應(yīng)用，數(shù)據(jù)包首先通過4506交換機，再到防火墻上。在防火墻上配置有相應(yīng)的安全策略，會根據(jù)數(shù)據(jù)包的源和目的IP地址，以及端口號來判斷是否對數(shù)據(jù)包進行路由，允許通過的數(shù)據(jù)包將會傳輸?shù)紻MZ區(qū)的Cisco3750交換機上，最終訪問到虛擬化服務(wù)器上的業(yè)務(wù)應(yīng)用。報社部分編輯、記者用戶，需要通過虛擬化應(yīng)用訪問到報社內(nèi)部網(wǎng)絡(luò)上的一些采編應(yīng)用系統(tǒng)，這樣圖1中的虛擬化服務(wù)器就會作為服務(wù)器，通過Cisco3750、防火墻和Cisco6509，最終訪問到報社內(nèi)部服務(wù)器上的資源。從采編應(yīng)用服務(wù)器上返回的數(shù)據(jù)包也是先到達DMZ區(qū)的虛擬化應(yīng)用服務(wù)器上，然后服務(wù)器再把數(shù)據(jù)包返回給報社互聯(lián)網(wǎng)上的用戶。

虛擬化應(yīng)用安全思考

安全是應(yīng)用的基礎(chǔ)。目前，使用報社虛擬化的用戶主要來自互聯(lián)網(wǎng)，但是隨著報社信息化建設(shè)的不斷發(fā)展，桌面虛擬化和網(wǎng)絡(luò)虛擬化也相繼在報社進行測試應(yīng)用。所以隨著虛擬化使用范圍的越來越廣，更應(yīng)該注重虛擬化在安全方面的防護和加固。（1）安全防護五要素。虛擬化應(yīng)用和其它應(yīng)用系統(tǒng)一樣，都應(yīng)該從五個方面進行安全加固，如圖2所示。一是用戶身份安全。它能夠提供用戶名密碼、USB-KEY、硬件特征碼、數(shù)字證書、短信認(rèn)證中的一種或多種身份認(rèn)證方式，保障用戶身份接入的可靠性。二是終端安全。應(yīng)當(dāng)加強終端設(shè)備的病毒、木馬防護，及時升級系統(tǒng)的漏洞補丁，檢測、攔截和移除病毒、間諜軟件。三是傳輸安全。要使用標(biāo)準(zhǔn)的加密算法保障數(shù)據(jù)的安全傳輸。四是應(yīng)用權(quán)限安全。能夠針對每個部門、每個用戶進行應(yīng)用、URL級別的授權(quán)，并可針對用戶終端安全環(huán)境、登錄時間的不同，進行差別授權(quán)和靈活控制。五是審計安全。日志中心能提供詳細(xì)的報告，作為網(wǎng)絡(luò)規(guī)劃的依據(jù)，并且具備管理員權(quán)限的分級功能，提高管理安全性。（2）虛擬化應(yīng)用安全隱患。報社虛擬化應(yīng)用最普遍的方法是，用戶用各種終端通過互聯(lián)網(wǎng)連接到單位DMZ區(qū)的虛擬化服務(wù)器上，虛擬化服務(wù)器再作為就可以訪問到內(nèi)網(wǎng)的采編應(yīng)用系統(tǒng)上，如圖3所示。從圖中可以看出，接入到虛擬化應(yīng)用的終端有很多種，只要能接入到互聯(lián)網(wǎng)就可以訪問到報社的虛擬化應(yīng)用。但是，訪問虛擬化應(yīng)用的“用戶身份安全”不是很好驗證，存在用戶不能通過智能手機或PDA掌上電腦，使用USB-Key認(rèn)證訪問報社的虛擬化應(yīng)用的問題，因為這些設(shè)備上沒有USB接口。所以為了方便用戶訪問虛擬化應(yīng)用，就開通了“用戶名密碼+認(rèn)證碼”的認(rèn)證訪問方式，這樣用戶無論使用什么樣的終端都可以訪問到虛擬化應(yīng)用。但是，使用“用戶名密碼+認(rèn)證碼”的認(rèn)證方式屬于靜態(tài)認(rèn)證，一旦用戶名和密碼泄露會造成嚴(yán)重的后果。況且認(rèn)證碼也是一種非常簡單的認(rèn)證方式，它的目的是保證登錄網(wǎng)站的是人而不是程序。非法用戶完全可以通過一些專用的破解軟件，把密碼破譯出來。所以，在虛擬化應(yīng)用中最好不要使用“用戶名密碼”的認(rèn)證方式。

虛擬化應(yīng)用安全防護措施

針對應(yīng)用系統(tǒng)的安全防護五要素，和報社虛擬化應(yīng)用的實際情況，提出以下四點虛擬化應(yīng)用的安全防護措施。（1）手機動態(tài)密碼驗證。報社很多業(yè)務(wù)應(yīng)用系統(tǒng)，對安全性的要求也很高，而手機動態(tài)密碼的認(rèn)證方式，在國內(nèi)有的銀行已經(jīng)廣泛應(yīng)用，例如交通銀行。所以它的安全性已經(jīng)得到認(rèn)可，完全可以把它應(yīng)用到報社的虛擬化認(rèn)證中。它是一種動態(tài)的、互動的密碼認(rèn)證方式，即使非法用戶盜用了銀行用戶的銀行卡和支付密碼，若他沒有銀行用戶的手機也不能完成網(wǎng)上支付，因為動態(tài)密碼只發(fā)送到銀行用戶本人的手機上。而且在向銀行用戶發(fā)送動態(tài)密碼時會包括一個“密碼序號”，如圖4所示的上半部分，是用戶進入到銀行支付頁面的提示。在“動態(tài)密碼”輸入框的后邊就有一個提示“密碼序號：56”；同樣在圖4的下半部分的黃色顯示區(qū)域，是銀行用戶本人手機上收到的動態(tài)密碼提示信息，在其中也包含有“密碼序列：56”，這兩個序號的數(shù)值必須一致才是真實有效的密碼，這就進一步提高了手機動態(tài)密碼的安全性。（2）擴展USB-Key認(rèn)證使用范圍。人民日報社目前已部署有完善的PKI認(rèn)證系統(tǒng)，用戶在訪問重要的業(yè)務(wù)應(yīng)用前，都需要通過USB-Key認(rèn)證。而且，從表1對幾種認(rèn)證方式的比較可以看出，安全性最高的是USB-Key和動態(tài)口令認(rèn)證方式。所以，在報社的虛擬化應(yīng)用上，采用USB-Key認(rèn)證就能保證所有業(yè)務(wù)應(yīng)用系統(tǒng)在認(rèn)證方式上的統(tǒng)一性。相比較而言，USB-Key認(rèn)證方式性價比高，而且USB接口又有通用性，因此USB-Key認(rèn)證技術(shù)最適合應(yīng)用推廣。由于USB-Key具有安全可靠、便于攜帶、使用方便、成本低廉的優(yōu)點，加上PKI體系完善的數(shù)據(jù)保護機制，使用USB-Key存儲數(shù)字證書的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。報社用戶通過互聯(lián)網(wǎng)，使用智能手機、PDA等沒有USB接口的設(shè)備，遠(yuǎn)程登錄虛擬化應(yīng)用時，可以使用USB接口的轉(zhuǎn)接線，把設(shè)備上的接口轉(zhuǎn)換成USB接口，就可以繼續(xù)使用USB-Key的認(rèn)證方式。（3）遠(yuǎn)程安全桌面應(yīng)用。圖5安全桌面應(yīng)用原理圖訪問虛擬化應(yīng)用的用戶，無論是用USB-Key認(rèn)證方式，還是用“用戶名密碼”方式登入虛擬化應(yīng)用系統(tǒng)時，經(jīng)常會把報社內(nèi)網(wǎng)中的資源下載到本地電腦中，其中可能會包含有涉及到單位的敏感信息，這些信息又極易被黑客和不法分子獲取，若散播到互聯(lián)網(wǎng)上，會對報社帶來極壞的影響。而安全桌面技術(shù)的應(yīng)用可以很好的解決這一問題。安全桌面技術(shù)可以防止重要數(shù)據(jù)留存在用戶終端而泄露的風(fēng)險。所有和虛擬化應(yīng)用服務(wù)器發(fā)生的訪問行為和傳輸?shù)膽?yīng)用數(shù)據(jù)都將置于該安全桌面中，此安全桌面中的所有數(shù)據(jù)均無法存儲到本機、無法拷貝到U盤等外設(shè)設(shè)備、無法通過局域網(wǎng)和互聯(lián)網(wǎng)外發(fā)，任何方式都無法將數(shù)據(jù)從安全桌面內(nèi)泄漏出去。當(dāng)用戶關(guān)閉安全桌面后，其中的所有數(shù)據(jù)將一并銷毀，從而徹底保障重要數(shù)據(jù)被終端訪問時的高安全性。（4）DMZ區(qū)部署七層防火墻。目前，報社部署的防火墻都是傳統(tǒng)的防火墻設(shè)備，在性能、帶寬和安全性上已遠(yuǎn)遠(yuǎn)不能滿足虛擬化應(yīng)用的各項需求，不能夠在應(yīng)用層面上對傳輸?shù)臄?shù)據(jù)進行攔截和監(jiān)控。從圖1中可以看出，互聯(lián)網(wǎng)上的用戶訪問報社內(nèi)部的虛擬化應(yīng)用的所有數(shù)據(jù)，都必須通過兩臺防火墻設(shè)備FW-A和FW-B，所以防火墻設(shè)備性能的優(yōu)劣，將會對虛擬化應(yīng)用的安全起到?jīng)Q定性作用。七層防火墻增強了允許通過防火墻的數(shù)據(jù)包的安全性，因為網(wǎng)絡(luò)安全的真實需求是，既要保證網(wǎng)絡(luò)安全，也必須保證應(yīng)用的正常運行。它主要是基于應(yīng)用層開發(fā)的新一代防火墻，與傳統(tǒng)防火墻相比它可以針對豐富的應(yīng)用提供完整的、可視化的內(nèi)容安全保護方案。解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng)用管控、應(yīng)用防護處理方面的巨大不足，并且滿足了同時開啟所有功能后性能不會大幅下降的要求。它既滿足了普遍互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應(yīng)用。在圖1所示的網(wǎng)絡(luò)中部署七層防火墻后，可以識別出互聯(lián)網(wǎng)上訪問虛擬化的各種應(yīng)用及其應(yīng)用動作，識別出用戶IP地址對應(yīng)的多種信息，并建立組織的用戶分組結(jié)構(gòu)，這將會大大提高報社互聯(lián)網(wǎng)用戶訪問虛擬化應(yīng)用的安全性。