第一章前言
以Internet為基礎(chǔ)的信息高速公路的迅猛發(fā)展,正以前所未有的速度和能力改變著人們的生活和工作方式,我們真正處于一個(gè)“信息爆炸”的時(shí)代。
一方面,Internet使得人們能夠跨越時(shí)空的限制,為學(xué)習(xí)、生活和工作帶來空前的便利;許多企事業(yè)單位不僅僅充分利用Internet的豐富資源,同時(shí),為了企事業(yè)單位內(nèi)部的資源共享和信息傳輸,也紛紛建起了企事業(yè)單位內(nèi)部Intranet,達(dá)到企事業(yè)單位內(nèi)部資源的高度共享。甚至一些信息化建設(shè)程度較高的企事業(yè)單位已經(jīng)建起了Extranet,與其他政府機(jī)構(gòu)、合作伙伴也進(jìn)行了資源共享。
另一方面,面對(duì)信息的汪洋大海,人們往往感到無所適從,出現(xiàn)“信息迷向”的現(xiàn)象。更嚴(yán)重的是Internet是一個(gè)無國(guó)界的虛擬信息社會(huì),現(xiàn)實(shí)社會(huì)中的各種問題都會(huì)在Internet上通過電子手段予以重現(xiàn),信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性,互連性,共享性程度的擴(kuò)大,使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大,信息安全問題變得越來越重要。信息安全問題不僅僅涉及到國(guó)家的經(jīng)濟(jì)安全、金融安全,還涉及到國(guó)家的國(guó)防安全、政治安全和文化安全。對(duì)于企事業(yè)單位的重要信息和資源,也構(gòu)成了巨大威脅,致使一些企事業(yè)單位單位不敢聯(lián)網(wǎng),把網(wǎng)絡(luò)互聯(lián)的優(yōu)勢(shì)完全拋棄,形成了一個(gè)一個(gè)信息孤島。
政府信息化的發(fā)展已經(jīng)成為當(dāng)代信息化的最重要的領(lǐng)域之一。據(jù)聯(lián)合國(guó)教科文組織在2000年的調(diào)查,89%的國(guó)家都在不同程度地推進(jìn)政府信息化的發(fā)展,并將其列為國(guó)家級(jí)的重要工作。
江澤民總書記明確指出:“四個(gè)現(xiàn)代化,那一化也離不開信息化。”我國(guó)的政務(wù)現(xiàn)代化也離不開信息化。
“兩會(huì)”前,朱總理提出:“電子政務(wù)的發(fā)展正在成為當(dāng)代信息化的最重要的領(lǐng)域之一。為了適應(yīng)國(guó)際形勢(shì)和我國(guó)經(jīng)濟(jì)建設(shè)與社會(huì)發(fā)展的需要,我國(guó)必須加快電子政務(wù)的發(fā)展?!痹诮衲甑摹墩ぷ鲌?bào)告》中,朱總理更明確指出,要“加快政府管理信息化建設(shè),推廣電子政務(wù),提高工作效率和監(jiān)管有效性。”
如何有效地利用網(wǎng)絡(luò)互聯(lián)的優(yōu)勢(shì),提升XX證券系統(tǒng)信息化建設(shè)的速度,同時(shí)保證網(wǎng)絡(luò)和信息的安全共享,是擺在我們面前的迫切問題。虛擬私有網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)的出現(xiàn),為我們提供了一個(gè)安全、經(jīng)濟(jì)、快捷、靈活的網(wǎng)絡(luò)安全互聯(lián)組網(wǎng)方案。結(jié)合的XX證券實(shí)際需求和現(xiàn)狀網(wǎng)絡(luò),通過對(duì)必要性和可行性,實(shí)施效果、成本和風(fēng)險(xiǎn),硬件和網(wǎng)絡(luò)方案等進(jìn)行了充分的調(diào)研和論證,提出了《XX證券VPN組網(wǎng)解決方案》。
根據(jù)項(xiàng)目計(jì)劃,將在XX證券中心機(jī)房和全國(guó)各營(yíng)業(yè)點(diǎn)部署VPN安全網(wǎng)關(guān),實(shí)施安全訪問控制和各點(diǎn)之間的加密通信。
第二章項(xiàng)目情況介紹
2.1 目前網(wǎng)絡(luò)的現(xiàn)狀
目前,XX證券總部在電信申請(qǐng)了2個(gè)互聯(lián)網(wǎng)線路,一條線路用于同其他各營(yíng)業(yè)點(diǎn)(在全國(guó)共27個(gè))進(jìn)行OA系統(tǒng)的信息傳輸,另外一條線路用戶內(nèi)部員工訪問互聯(lián)網(wǎng)。其他各營(yíng)業(yè)點(diǎn)均在本地電信申請(qǐng)ADSL線路。
目前的網(wǎng)絡(luò)示意圖如下:
圖2-1XX證券網(wǎng)絡(luò)示意圖
2.2 目前網(wǎng)絡(luò)系統(tǒng)存在的需求
1、應(yīng)用需求
目前,XX證券全國(guó)各營(yíng)業(yè)點(diǎn)需要實(shí)時(shí)訪問XX證券總部(武漢)應(yīng)用服務(wù)器(OA服務(wù)器、mail服務(wù)器等)。利用傳統(tǒng)的公網(wǎng)是無法快捷、安全地訪問內(nèi)部服務(wù)器。因?yàn)樗袛?shù)據(jù)在傳輸過程中都是以明文的,如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具,極易篡改、竊取甚至破壞關(guān)鍵數(shù)據(jù),給造成不可估量的損失。針對(duì)的相關(guān)應(yīng)用需求,我們建議采用VPN的組網(wǎng)方式,可以安全、方便地在XX證券和全國(guó)27各營(yíng)業(yè)點(diǎn)之間的“虛擬專用網(wǎng)絡(luò)”。
2、安全需求
目前XX證券應(yīng)用系統(tǒng)和重要數(shù)據(jù)都以明文在網(wǎng)絡(luò)進(jìn)行直接傳輸,因應(yīng)用系統(tǒng)的網(wǎng)絡(luò)傳輸數(shù)據(jù)體現(xiàn)了XX證券的重要情況和保密敏感信息,屬于高度機(jī)密,以明文在公共網(wǎng)絡(luò)上直接傳輸存在著很大的隱患,黑客或網(wǎng)絡(luò)運(yùn)營(yíng)商中的某些有不良居心的人員可以利用專用軟件在網(wǎng)絡(luò)結(jié)點(diǎn)設(shè)備或線路上截獲應(yīng)用系統(tǒng)或重要數(shù)據(jù),如果這些數(shù)據(jù)被公布或透露給外界,對(duì)于來說,后果是非常嚴(yán)重的。
另一方面,各營(yíng)業(yè)點(diǎn)網(wǎng)絡(luò)直接和internet相連,這樣就存在極大的安全隱患,外部網(wǎng)絡(luò)可以隨意訪問內(nèi)部網(wǎng)絡(luò),甚至控制內(nèi)部服務(wù)器,然后已內(nèi)部主機(jī)作為跳板,轉(zhuǎn)而攻擊網(wǎng)絡(luò)總部的服務(wù)器,那么整個(gè)系統(tǒng)將無安全性可言。
綜上所述,如何很好地解決“信息的共享和信息的安全問題”是本方案重點(diǎn)討論要解決的問題。使整個(gè)網(wǎng)絡(luò)的安全達(dá)到一個(gè)全面加強(qiáng),使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。
第三章設(shè)計(jì)原則和設(shè)計(jì)思想
系統(tǒng)的總體設(shè)計(jì)思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性,著力于“實(shí)用性、高起點(diǎn)、前瞻性、擴(kuò)展性”。具體的我們遵循了以下原則:
3.1安全性原則
在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中,都應(yīng)該嚴(yán)格注意安全的問題,防止其中的任一過程存在著安全的漏洞,從而影響整個(gè)區(qū)政府正常辦公的大局。
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的提高,網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范,在該方案中,安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供多種手段保障系統(tǒng)的安全,對(duì)相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用數(shù)據(jù)庫(kù)提供嚴(yán)密的保護(hù)。同時(shí),采用國(guó)際上最新的主流VPN技術(shù),確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性,同時(shí)可以為用戶盡可能地降低系統(tǒng)投入成本,實(shí)現(xiàn)高效益。
網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品,好的安全策略;另一方面,更為重要的是要有完善的安全管理制度。
3.2實(shí)用性原則
系統(tǒng)在設(shè)計(jì)上一方面將滿足雙向的數(shù)據(jù)傳送、實(shí)時(shí)處理的要求;另一方面,又采用國(guó)際上最先進(jìn)的技術(shù),使系統(tǒng)完成后,保持一定時(shí)期的領(lǐng)先地位。
尤其是采用了目前國(guó)際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù),將“Firewall+VPN+IDS”技術(shù)的充分糅合,較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢(shì),體現(xiàn)在:不僅具有FireWall的保護(hù)內(nèi)網(wǎng)、提供服務(wù)的功能,而且利用VPN技術(shù),可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題(在本方案中,導(dǎo)致可以直接省略“撥號(hào)服務(wù)器”),同時(shí)可以不受接入數(shù)量限制,這使整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù),不僅強(qiáng)化了本身的抗攻擊能力,而且可以與IDS系統(tǒng)互動(dòng)。
實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧,又要使系統(tǒng)的高性能與實(shí)用性相結(jié)合。
3.3可靠性原則
這套網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)的門戶。它的穩(wěn)定可靠關(guān)系重大,特別是WEB網(wǎng)上服務(wù)等具體業(yè)務(wù)項(xiàng)目,隨著使用的普及,信息平臺(tái)的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響政府的形象,也將給為政府帶來不便和不可低估的損失。因此可靠性是平臺(tái)運(yùn)行的首要保證。
我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性,采用負(fù)載均衡技術(shù)、備份技術(shù)就是其中的重要策略。
3.4可擴(kuò)展性原則
網(wǎng)絡(luò)安全建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實(shí)施、逐步完善的的過程。我公司在該方案的設(shè)計(jì)中充分考慮它的可擴(kuò)展性,在實(shí)現(xiàn)基本的網(wǎng)絡(luò)被動(dòng)防護(hù)系統(tǒng)(安裝防火墻、VPN安全網(wǎng)關(guān)及其管理平臺(tái))以及信息傳輸加密的前提下,為以后進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)防護(hù)系統(tǒng),主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口,便于以后的擴(kuò)展以及與IDS等設(shè)備實(shí)現(xiàn)互動(dòng)。
3.5易管理性原則
網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平臺(tái)的易管理性,為平臺(tái)維護(hù)者提供方便的管理工具;同時(shí)又要設(shè)計(jì)規(guī)范但不失靈活的工作流程。另外,通過網(wǎng)管平臺(tái),可以實(shí)現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管理手段。
第四章XX證券VPN組網(wǎng)建設(shè)方案
4.1 VPN技術(shù)簡(jiǎn)介
VPN(虛擬專用網(wǎng))技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道(即隧道),將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機(jī)將不再感覺到公共網(wǎng)絡(luò)的存在,仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。對(duì)企業(yè)而言,VPN可以替代傳統(tǒng)租用線來連接計(jì)算機(jī)或局域網(wǎng)等。而任何VPN業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的,隧道機(jī)制是VPN實(shí)施的關(guān)鍵。數(shù)據(jù)通過安全的"加密管道"在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),各地的機(jī)構(gòu)就可以互相傳遞信息;同時(shí),企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上,就可以連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處,是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。
在眾多的VPN解決方案中,IP-VPN脫穎而出,成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運(yùn)行IP協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計(jì)初期并沒有過多地考慮安全問題,因此無法為用戶解決他們所擔(dān)心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后,解決了這一難題。
目前,國(guó)際主流的大多是基于Ipsec的VPN技術(shù),該技術(shù)正在迅速走向成熟,而且它正處于興盛期。
圖4-1VPN組網(wǎng)示意圖
虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)傳輸通道,構(gòu)造這條安全通道的協(xié)議必須具備以下條件:
保證數(shù)據(jù)的真實(shí)性:通信主機(jī)必須是經(jīng)過授權(quán)的,要有抵抗地址冒認(rèn)(IPSpoofing)的能力。
保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致,要有抵抗不法分子纂改數(shù)據(jù)的能力。
保證通道的機(jī)密性:提供強(qiáng)有力的加密手段,必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。
提供動(dòng)態(tài)密匙交換功能:提供密匙中心管理服務(wù)器,必須具備防止數(shù)據(jù)重演(Replay)的功能,保證通道不能被重演。
提供安全防護(hù)措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力,并且可以對(duì)VPN通道進(jìn)行訪問控制(AccessControl)。
虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障,大多數(shù)的VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點(diǎn)的連接方式,后來它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù),例如在一個(gè)遠(yuǎn)程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前,VPN技術(shù)正在迅速走向成熟,而且它正處于興盛期。
安達(dá)通公司作為國(guó)內(nèi)領(lǐng)先的專業(yè)VPN廠商,投入了很大的人力、財(cái)力,經(jīng)過一段時(shí)間的研究和攻關(guān),提出了國(guó)內(nèi)領(lǐng)先的全動(dòng)態(tài)地址VPN的解決方案。安達(dá)通公司的解決方案不但真正解決了全動(dòng)態(tài)VPN的組網(wǎng)問題,還融入了PKI技術(shù),采用基于數(shù)字證書的身份認(rèn)證機(jī)制,解決了大規(guī)模VPN應(yīng)用中的設(shè)備管理和網(wǎng)絡(luò)管理的難題。
4.2 產(chǎn)品選型
上海安達(dá)通信息安全技術(shù)有限公司(簡(jiǎn)稱ADT)是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的公司。公司將自己定位為:基于PKI的網(wǎng)絡(luò)安全傳輸平臺(tái)供應(yīng)商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺(tái)、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SureID系列、證書中間件”等產(chǎn)品。形成了一個(gè)以CA為核心,證書為靈魂,網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動(dòng)、密切配合的構(gòu)建在PKI平臺(tái)上的網(wǎng)絡(luò)安全系統(tǒng)。
安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備,并且具有和入侵檢測(cè)系統(tǒng)(IDS)互動(dòng)的功能;隨著系統(tǒng)的升級(jí),ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品,還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測(cè)功能來增強(qiáng)“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備,安全網(wǎng)關(guān)將具有綜合的安全作用,使網(wǎng)絡(luò)的安全和投入,獲得最佳的安全和效益。
另外,安達(dá)通公司的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢(shì)――解決了目前國(guó)際上的VPN技術(shù)的難題――非固定IP間的VPN通訊連接(如:通訊雙方均采用ADSL進(jìn)行連接)。
故此,我們建議目前的各XX證券組網(wǎng)方式改為VPN組網(wǎng)方案。
VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外,還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)(PSTN)提供的服務(wù):如Modem撥號(hào)方式、ISDN、ADSL等。利用專線、幀中繼/ATM或以太網(wǎng)方式,從經(jīng)濟(jì)上和功能上不太適合的組網(wǎng)需求,利用電話線路的組網(wǎng)方式中,由于Modem撥號(hào)方式從技術(shù)上、管理上、安全上不太適合目前業(yè)務(wù)發(fā)展的需要。ADSL是電信力推的企事業(yè)單位上網(wǎng)模式,不但速度快、性能好、實(shí)時(shí)性好,針對(duì)的應(yīng)用特點(diǎn)和聯(lián)網(wǎng)規(guī)模,從經(jīng)濟(jì)上也是前幾種組網(wǎng)方式所不能比擬的。
針對(duì)的實(shí)際需求和具體應(yīng)用,我們推薦此方案采用安達(dá)通公司的SGW25C、SGW25B、SGW25A等型號(hào)的硬件產(chǎn)品。
4.3網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署
1、總部設(shè)計(jì)方案
考慮到目前總部服務(wù)器的高安全性、高載荷和將來的發(fā)展,建議在總部業(yè)務(wù)線路(100M線路上)放置兩臺(tái)安達(dá)通SGW25C型VPN安全網(wǎng)關(guān)。為了避免出現(xiàn)單點(diǎn)故障,兩網(wǎng)關(guān)作雙機(jī)熱備。
利用安達(dá)通安全網(wǎng)關(guān)的VPN技術(shù)建立總部和下面各營(yíng)業(yè)點(diǎn)的“安全隧道”,實(shí)現(xiàn)總部和營(yíng)業(yè)點(diǎn)之間安全的VPN“虛擬專用通道”。
利用安達(dá)通安全網(wǎng)關(guān)的防火墻功能實(shí)現(xiàn)基本的訪問控制和安全隔離。普通數(shù)據(jù)包通過防火墻模塊到達(dá)XX證券內(nèi)部網(wǎng)絡(luò),實(shí)現(xiàn)包狀態(tài)檢測(cè)和訪問控制功能。只有需要加密的數(shù)據(jù)和信息才可以通過安達(dá)通VPN網(wǎng)關(guān)到總部?jī)?nèi)部網(wǎng)絡(luò),對(duì)于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進(jìn)行過濾和處理。
另外,作為VPN備份線路,建議在總部的另外一個(gè)出口(10M線路,用于內(nèi)部訪問互聯(lián)網(wǎng))處步署一臺(tái)安達(dá)通SGW25B安全網(wǎng)關(guān),當(dāng)業(yè)務(wù)線路出現(xiàn)故障(如路由器出現(xiàn)故障,被攻擊,或者電信部門調(diào)整線路)時(shí),下面各營(yíng)業(yè)點(diǎn)可以同該網(wǎng)關(guān)(SGW25B)建立VPN通道,從而連接到內(nèi)部網(wǎng)絡(luò)。
2、全國(guó)各營(yíng)業(yè)點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)方案
目前各營(yíng)業(yè)點(diǎn)的使用adsl接入互聯(lián)網(wǎng),鑒于其網(wǎng)絡(luò)流量不是很大的特點(diǎn),建議在各營(yíng)業(yè)點(diǎn)步署安達(dá)通公司SGW25A安全網(wǎng)關(guān),利用其VPN功能,可以通總部建立VPN通道,從而安全的連接到總部?jī)?nèi)部網(wǎng)絡(luò);另外,利用其強(qiáng)大的防火墻功能,可以保護(hù)營(yíng)業(yè)點(diǎn)內(nèi)部網(wǎng)絡(luò)。
VPN組網(wǎng)結(jié)構(gòu)如下:
圖4-2XX證券VPN組網(wǎng)結(jié)構(gòu)示意圖
愛華網(wǎng)



