三、网络安全设计

    建成后的计算机网络，网络风险不仅来自Internet上黑客、病毒等的侵袭，即使是在LAN环境内，系统也不可避免地要受到来自内部一些员工有意或无意的入侵甚至是恶意的攻击、破坏，以及病毒的潜在威胁、数据的窃取、流失等不安全因素，这些不安全因素严重时可以使整个内部局域网络陷于瘫痪。

    因此，需要制订一套统一、完善的能够指导整个计算机及信息网络系统安全运行的管理规范，以最大限度避免和杜绝实施信息共享时所面临的安全问题。内部局域网络安全需要建立体化、多层次的安全体系，其中主要涉及到的安全问题包括实体保护、加密技术、身份认证、路由器和防火墙、入侵检测系统、内容（行为）审计、防病毒等。

    1、计算机实体安全

    由于计算机设备存在电磁泄露、非法终端、搭线窃取和介质的剩磁效应等泄密渠道，对于计算机硬件，必须采用电源保护、防盗技术、环境保护、电磁兼容性等技术，对发射信号和辐射信号进行防护，保证系统中的设备不因外界或其他设备的电磁干扰而影响其正常工作。

    具体的措施包括，在网络中心专门设置屏蔽电源，保证“红黑”分离；严格按照保密条例中规定的距离等级，使涉密计算机的布置远离城市公共区域；使用传导干扰器；非屏蔽电缆与其他并行线缆保持1m-3m的距离等。

    2、加密技术

         由于需要采用广域网与上级机关和所属分部通讯，所以必须在线路上加装密码机设备。它可以有效对抗截收、非法访问等威胁。通过硬件在网络的链路层和物理层的加密技术和公钥密码算法实现的数字签名和验证手段，保护了通信节点之间数据的传输。
    
         同时，在数据存储方面，考虑选用操作系统的文件加密方式，使用NTFS文件分区格式，将所用客户端的涉密文件，存储到域服务器上，以实现某种程度的对文档的加密。
    
    3、身份认证和内部访问控制

    3．1身份认证

         目前的实际应用中，有三种常用的身份认证方法：用户帐号＋口令密码；智能卡；虹膜或指纹等生物特征技术等，三种技术各有利弊。各种智能卡中，动态口令的令牌方式和基于USBkey的认证技术发展很快。但动态口令存在时钟漂移等缺点，考虑到安全、可靠、成本低廉等因素，基于USBkey的身份认证系统，作为用户来说，不失为一种易于应用推广的技术。
    
         本项目中采用的USBSkey局域网智能钥匙强双因子身份认证系统，域用户可结合存储在Skey中的Skey域用户名、PIN值及域名，安全登录指定域，本机用户也可以结合Skey和正确的用户名、PIN值，安全登录本机。这样，用更安全的数字证书认证机制代替用户名、口令的认证机制，加强了用户身份认证机制的安全性；每个用户拥有了一个惟一的身份，实现了全系统内用户身份的统一管理。否则，用户为了使用方便，采用某些简单的对策，就极有可能会严重地降低系统的安全性；同时，采用USBSkey电子钥匙来携带用户的数字证书，携带方便安全。还有远程拨号强双因子身份认证系统，在通过MODEM拨号远程登录过程中，运用PKI技术代替PAP、CHAT等认证方式，使用户通过数字证书而不是简单的用户名、密码来验证身份，从而大大提高了系统的安全性。
    
         本系统在网络中心设置认证服务器一台，通过SQL Server数据库存储认证信息，处理认证请求；用户安装USBSkey客户端，通过电子钥匙、用户名、PIN值，有效保证了身份认证的可靠性。同时，服务器通过身份认证可以严格控制了客户端的输入/输出，使所有涉密信息严格处于可控状态。图2是USBSkey身份认证框图。

图2 USBSkey身份认证框图

    3．2内部访问控制

       内部访问控制采用了以下几种技术：
  
       1)VLAN
  
    VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。VLAN模拟了一组终端设备，即使它们处于不同的物理网段上，也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成员之间能够通信，而不同VLAN用户之间是相互隔离的，如果需要通信必须通过路由设备或三层交换机。VLAN使网络管理简单化，可以减少工作站移动和变化所需的费用，方便地进行逻辑分组，添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外VLAN可以将广播风暴遏制在本VLAN的范围之内，其他VLAN用户不受影响，大大节约了网络带宽，提高了带宽利用率。

       2)IP-MAC端口绑定
  
    在使用其它安全设备、产品的同时，为了实现对计算机网络内各个部分的更细粒度的安全防护，即防止IP地址盗用、假冒身份的现象的发生，对于一般第二层交换机，需要将网卡MAC地址同交换机的端口进行绑定，即使是这样，但仍然会有一些计算机会冒用别的机器的IP地址，从而进行一些非法的、非授权的访问，为了彻底杜绝这种潜在的危险，可以充分利用我们所选择的第三层交换机的三层特性，在各个交换机上实施IP地址—MAC地址—交换机端口三者之间的绑定。这样就能保证各个网络用户在其权限之内安全、充分地享受系统所提供的各种网络资源，有效的杜绝一些系统内部用户有意或者无意的入侵、数据流失、数据窃取、系统外部恶意的攻击等行为的发生，才能避免给系统造成各种危害或者使危害给系统所造成的损失降低到最低程度。

       3）ACL（Access Control List）
  
    ACL通过网络接口进入网络内部的数据包进行控制，从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术，来实现对网络的各层面的有效控制。具体到安全领域来说，它可以实现限制网络流量以提高网络性能、提供网络访问的基本安全手段。这样，在网络中，ACL不但可以让网管员用来制定网络策略，对个别用户或特定数据流进行控制；也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击，到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力，网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。

       4）802.1x认证
  
    IEEE802.1x协议通过对认证方式和认证体系结构进行优化，有效地解决了传统PPPoE和Web/Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而成为当前内部局域网选型的一个热点。针对内网所有用户，可以采用交换机本身支持的802.1x技术实现用户的登陆身份认证。

    4、路由器和防火墙

    边界路由器提供了园区网到广域网的互联访问，边界防火墙可以管理内、外网之间的访问。网管员可以利用硬件提供的工具，阻止非法用户进入内网，并过滤掉不安全服务。边界防火墙具有访问控制、状态包检测、集中式管理、网关入侵检测和报警、网络地址翻译(NAT)、流量审核日志等功能。访问控制和状态包检测技术能够有效侦测和阻止不符合安全策略的访问行为；网络地址翻译可以屏蔽内网中的IP地址，避免内网主机遭受外网攻击；防火墙日志能够记录进出网关的行为和外部攻击行为，方便网管员设置更全面的网关安全策略。