【IT168专稿】针对军工单位参与国防科研的现实，为了实现信息化建设要求，建立覆盖全局的安全、可靠、保密、实用、经济、合理的网络信息平台，以实现WEB浏览、邮件服务等基本网络应用，并在此基础上实现OA、CAD/CAM系统应用、CAPP/PDM、管理信息系统（包括ERP系统）等的网络应用，必须在网络建设的同时，设计安全可靠的安全系统，以保证国家秘密的安全和信息传输的完整性。

    现阶段，保证计算机网络安全的主要方法和途径包括有实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等。但网络安全是一个系统工程，不能仅仅依靠防火墙、防病毒等单个的系统，而需要仔细考虑整个系统的安全需求，并将各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的网络系统。

    针对军工单位参与国防科研的现实，为了实现信息化建设要求，建立覆盖全局的安全、可靠、保密、实用、经济、合理的网络信息平台，以实现WEB浏览、邮件服务等基本网络应用，并在此基础上实现OA、CAD/CAM系统应用、CAPP/PDM、管理信息系统（包括ERP系统）等的网络应用，必须在网络建设的同时，设计安全可靠的安全系统，以保证国家秘密的安全和信息传输的完整性。

    现阶段，保证计算机网络安全的主要方法和途径包括有实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等。但网络安全是一个系统工程，不能仅仅依靠防火墙、防病毒等单个的系统，而需要仔细考虑整个系统的安全需求，并将各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的网络系统。

    一、网络总体设计——涉密兼顾联通

    由于军工科研机构的性质，所属计算机网络必须保证相应的安全等级。同时，由于地理位置的原因，为了实现与上级机关和所属分部之间的联系，必须设置广域网外联结构。所以，网络总体设计应包括：

    1、局域网设计

    在网络内部实现互联互通，必须考虑网络中合法用户的身份验证、网络中数据传输的完整性和隐秘性以及内网行为的内部审计，以保证内部网络安全可信。
　　
    2、广域网接入设计

    为了实现到上级机关或分支机构的连接，必须敷设光缆或租用公用线路以实现安全接入。

    3、互联网接入设计

    主要实现如收发Email、客户联系、对外宣传(WWW)、查阅资料等应用。按保密要求，不能直接将Internet接入研究所内网之中。

    二、网络拓扑结构

    1、局域网拓扑结构

    局域网以高速以太网技术构建，并以TCP/IP作为网络传输协议，提供各建筑物内信息点的高速网络连接。整个网络采用星型层次结构，根据各主要建筑物内用户对流量以及对带宽方面的需求情况，在网络中心设立互为冗余、备份的核心交换机，两台核心交换机之间采用GEC技术进行连接，以防止单链路或者单台设备出现故障造成对正常业务的影响，为了保证科研楼的日常的设计、开发工作。
　　
    同时，在科研楼设立分中心核心交换机，三台核心交换机之间采用环状连接进一步保证内部关键业务的开展，核心交换机和服务器设在网络中心，核心交换机到服务器之间采用1000M以太网技术、链路冗余技术实现连接，核心以及分核心交换机通过1000M光缆直接连接到各主要建筑物配线间的汇聚/接入层交换机。接入交换机设在各主要建筑物的配线间和子配线间，各主要建筑物的接入交换机，通过六类双绞线直接连接到各信息点，个别距离过远的信息点采用光缆和交换机通过级联进行扩展。网络整体采用集中式管理，室外主干光缆架设一次到位。

    网络整体设计采用层次化的网络结构，即包括核心(Core)层、汇聚(Distribution)层和接入(Access)层。网络层次化设计有利于当局部网络环境发生变化时不影响其它无关的层次，也便于发现和隔离故障。其中核心层提供网络系统高效、可靠的数据交换；汇聚层提供网络系统网管中心与各部门网络交换设备之间高效率、高可靠性的数据传输服务；接入层提供各专业系统的接入。

    最终的网络方案是网络内网系统在核心层采用千兆以太网技术（将来可以顺利平滑过渡到万兆以太网），通过千兆链路将各汇聚层的交换设备连接到网络系统的核心层次，同时在汇聚层和接入层采用100兆到桌面（将来可以顺利过渡到千兆以太网）的以太网络交换技术来完成部门专业化的各类应用。网络拓扑图如图1所示。

图1  园区网网络拓扑图

    2、广域网规划和设计

    由于军工性质的原因，在对外连接、数据访问方面，对数据、信息安全方面的要求很高。为了实现到上级机关和分支机构的广域连接，考虑到经济成本因素，租用公用线路必须采用路由器、防火墙、密码机、入侵检测等产品实现安全接入。出差在外的员工与内部局域网通信，采用VPN技术接入。

    3、互联网接入设计

    为了满足保密规定不能直接将Internet接入内网，所以对于必须访问Internet进行资料查询、Email、信息共享等应用的用户，在不违反保密规定、条例的前提下，由其自行通过拨号或ADSL等方式解决，所使用的计算机与企业内网物理隔离。

    三、网络安全设计

    建成后的计算机网络，网络风险不仅来自Internet上黑客、病毒等的侵袭，即使是在LAN环境内，系统也不可避免地要受到来自内部一些员工有意或无意的入侵甚至是恶意的攻击、破坏，以及病毒的潜在威胁、数据的窃取、流失等不安全因素，这些不安全因素严重时可以使整个内部局域网络陷于瘫痪。

    因此，需要制订一套统一、完善的能够指导整个计算机及信息网络系统安全运行的管理规范，以最大限度避免和杜绝实施信息共享时所面临的安全问题。内部局域网络安全需要建立体化、多层次的安全体系，其中主要涉及到的安全问题包括实体保护、加密技术、身份认证、路由器和防火墙、入侵检测系统、内容（行为）审计、防病毒等。

    1、计算机实体安全

    由于计算机设备存在电磁泄露、非法终端、搭线窃取和介质的剩磁效应等泄密渠道，对于计算机硬件，必须采用电源保护、防盗技术、环境保护、电磁兼容性等技术，对发射信号和辐射信号进行防护，保证系统中的设备不因外界或其他设备的电磁干扰而影响其正常工作。

    具体的措施包括，在网络中心专门设置屏蔽电源，保证“红黑”分离；严格按照保密条例中规定的距离等级，使涉密计算机的布置远离城市公共区域；使用传导干扰器；非屏蔽电缆与其他并行线缆保持1m-3m的距离等。

    2、加密技术

         由于需要采用广域网与上级机关和所属分部通讯，所以必须在线路上加装密码机设备。它可以有效对抗截收、非法访问等威胁。通过硬件在网络的链路层和物理层的加密技术和公钥密码算法实现的数字签名和验证手段，保护了通信节点之间数据的传输。
    
         同时，在数据存储方面，考虑选用操作系统的文件加密方式，使用NTFS文件分区格式，将所用客户端的涉密文件，存储到域服务器上，以实现某种程度的对文档的加密。
    
    3、身份认证和内部访问控制

    3．1身份认证

         目前的实际应用中，有三种常用的身份认证方法：用户帐号＋口令密码；智能卡；虹膜或指纹等生物特征技术等，三种技术各有利弊。各种智能卡中，动态口令的令牌方式和基于USBkey的认证技术发展很快。但动态口令存在时钟漂移等缺点，考虑到安全、可靠、成本低廉等因素，基于USBkey的身份认证系统，作为用户来说，不失为一种易于应用推广的技术。
    
         本项目中采用的USBSkey局域网智能钥匙强双因子身份认证系统，域用户可结合存储在Skey中的Skey域用户名、PIN值及域名，安全登录指定域，本机用户也可以结合Skey和正确的用户名、PIN值，安全登录本机。这样，用更安全的数字证书认证机制代替用户名、口令的认证机制，加强了用户身份认证机制的安全性；每个用户拥有了一个惟一的身份，实现了全系统内用户身份的统一管理。否则，用户为了使用方便，采用某些简单的对策，就极有可能会严重地降低系统的安全性；同时，采用USBSkey电子钥匙来携带用户的数字证书，携带方便安全。还有远程拨号强双因子身份认证系统，在通过MODEM拨号远程登录过程中，运用PKI技术代替PAP、CHAT等认证方式，使用户通过数字证书而不是简单的用户名、密码来验证身份，从而大大提高了系统的安全性。
    
         本系统在网络中心设置认证服务器一台，通过SQL Server数据库存储认证信息，处理认证请求；用户安装USBSkey客户端，通过电子钥匙、用户名、PIN值，有效保证了身份认证的可靠性。同时，服务器通过身份认证可以严格控制了客户端的输入/输出，使所有涉密信息严格处于可控状态。图2是USBSkey身份认证框图。

图2 USBSkey身份认证框图

    3．2内部访问控制

       内部访问控制采用了以下几种技术：
  
       1)VLAN
  
    VLAN依据协议、MAC地址或端口在逻辑上将网络划分为若干部分。VLAN模拟了一组终端设备，即使它们处于不同的物理网段上，也不受物理位置的限制。VLAN的作用是使得同一VLAN中的成员之间能够通信，而不同VLAN用户之间是相互隔离的，如果需要通信必须通过路由设备或三层交换机。VLAN使网络管理简单化，可以减少工作站移动和变化所需的费用，方便地进行逻辑分组，添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外VLAN可以将广播风暴遏制在本VLAN的范围之内，其他VLAN用户不受影响，大大节约了网络带宽，提高了带宽利用率。

       2)IP-MAC端口绑定
  
    在使用其它安全设备、产品的同时，为了实现对计算机网络内各个部分的更细粒度的安全防护，即防止IP地址盗用、假冒身份的现象的发生，对于一般第二层交换机，需要将网卡MAC地址同交换机的端口进行绑定，即使是这样，但仍然会有一些计算机会冒用别的机器的IP地址，从而进行一些非法的、非授权的访问，为了彻底杜绝这种潜在的危险，可以充分利用我们所选择的第三层交换机的三层特性，在各个交换机上实施IP地址—MAC地址—交换机端口三者之间的绑定。这样就能保证各个网络用户在其权限之内安全、充分地享受系统所提供的各种网络资源，有效的杜绝一些系统内部用户有意或者无意的入侵、数据流失、数据窃取、系统外部恶意的攻击等行为的发生，才能避免给系统造成各种危害或者使危害给系统所造成的损失降低到最低程度。

       3）ACL（Access Control List）
  
    ACL通过网络接口进入网络内部的数据包进行控制，从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等二层技术，来实现对网络的各层面的有效控制。具体到安全领域来说，它可以实现限制网络流量以提高网络性能、提供网络访问的基本安全手段。这样，在网络中，ACL不但可以让网管员用来制定网络策略，对个别用户或特定数据流进行控制；也可以用来加强网络的安全屏蔽作用。从简单的Ping of Death攻击、TCP Syn攻击，到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。如果从边缘、二层到三层交换机都具备支持标准ACL及扩展ACL的能力，网络设备就可以将安全屏蔽及策略执行能力延伸到网络的边缘。

       4）802.1x认证
  
    IEEE802.1x协议通过对认证方式和认证体系结构进行优化，有效地解决了传统PPPoE和Web/Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而成为当前内部局域网选型的一个热点。针对内网所有用户，可以采用交换机本身支持的802.1x技术实现用户的登陆身份认证。

    4、路由器和防火墙

    边界路由器提供了园区网到广域网的互联访问，边界防火墙可以管理内、外网之间的访问。网管员可以利用硬件提供的工具，阻止非法用户进入内网，并过滤掉不安全服务。边界防火墙具有访问控制、状态包检测、集中式管理、网关入侵检测和报警、网络地址翻译(NAT)、流量审核日志等功能。访问控制和状态包检测技术能够有效侦测和阻止不符合安全策略的访问行为；网络地址翻译可以屏蔽内网中的IP地址，避免内网主机遭受外网攻击；防火墙日志能够记录进出网关的行为和外部攻击行为，方便网管员设置更全面的网关安全策略。 

    5 入侵检测和安全审计

　　    虽然网络配置了防火墙，它不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统（IDS：Intrusion Detection System），对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。使用基于网络的入侵检测系统和基于主机的入侵检测系统的协同使用，以保证信息的安全和完整。同时，必须采用网络漏洞扫描与评估系统，它包括网络模拟攻击、漏洞检测、报告服务进程、提取对象信息、风险评估和安全建议等功能，能帮助用户控制可能发生的安全事件，最大可能地消除安全隐患。具有强大的漏洞检测能力和检测效率、贴切用户需求的功能定义、灵活多样的检测方式、详尽的漏洞修补方案和友好的报表系统，并需要支持在线升级。
　　
    同时，对于内部局域网中的各种访问操作、共享(尤其是对于关键应用、关键主机等方面)等，需要采用严格的审计措施以便进行有效监控和事件追踪、回放，包括典型网络应用协议审计、文件共享审计、自定义协议审计、数据库操作审计、流量审计、主机服务审计和制定黑白名单。其系统结构包括：1）中心控制台：整个网络预警系统的集中显示和控制软件系统。2）审计监控引擎：是该系统运行的核心，它监听该引擎所在的物理设备上所有的数据流，分析这些网络信息，实时和控制台进行通讯。

    安全审计控制台可实现的系统功能有：1）通讯协议的审计监控：对telnet、HTTP、FTP、SMTP、POP3等应用进行还原分析。2）审计监控策略定制：用户可对特定的协议端口和目标对象进行审计监控。3）流量审计监控：对被监控的数据流进行流量分析统计，并以报表，图形等方式提供给管理员。4）关键字过滤能力：对传输的主要内容，如邮件及其附件（压缩文档、word文档、Text文档等）www页面文档等进行有效的匹配过滤，定义安全级别。5）网络共享审计：针对windows的网络共享协议进行审计，提供主机间的共享行为和操作信息。6）审计查询：以多种形式提供查询方法。7）关键字定义：可按安全级别由用户自己定义关键字库。8）多级管理：安全审计监控系统使用了严格的用户身份认证与控制机制，根据用户的权限赋予该用户对系统功能的使用权限。图3是网络安全审计的框图。

图3 网络安全审计框图

    6 网络防病毒

    网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因些，病毒的危害是不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等危害。统计表明，在所有安全威胁中，病毒带给用户的损失是最严重的。

    根据对网络病毒的传播方式的分析和用户在网络防病毒工作中的具体需求，在计算机网络中配置了网络版杀毒软件，客户端病毒库自动升级，有效防止了计算机病毒在局域网中的传播。

    四、结论

    通过网络实施和信息安全技术的应用，该园区网已经投入使用，并通过了国家保密资格认证。所采取的措施有效保护了国家秘密的安全，并且实现了局域网内WEB浏览、邮件服务等基本网络应用以及OA、CAD/CAM系统应用、CAPP/PDM、管理信息系统（包括ERP系统）等的网络高级应用的目的。
 
    从中我们可以看到，随着信息化进程的发展，网络和信息技术逐渐深入到每一个角落，人们的生活正越来越多的以数字方式的处理事务，这其中也包含了很多的敏感信息。

    由于以Internet为代表的计算机网络设计者的主要目的是互联、互通和共享，而不是安全，因此广泛使用的网络协议普遍存在许多安全漏洞和隐患，网络的技术基础十分脆弱，所以，对敏感信息的潜在威胁也在与日俱增。

    同时，由于技术、管理等各种原因也会导致计算机网络面临一种前所未有的危险。所以，必须研究一切影响计算机网络系统资源和信息资源的安全措施，以保障网络服务的可用性和网络信息的完整性和机密性。