青鸟环宇VPN系列产品-技术白皮书v1

精品资料网（）25万份精华管理资料，2万多集管理视频讲座精品资料网（）专业提供企管培训资料青鸟环宇VPN系列产品技术白皮书北京北大青鸟环宇科技股份有限公司2002年5月目录第一章企业网络系统信息安全问题.....................................11.1企业（政府）网络系统典型架构及其安全现状......................11.2企业网络面临的威胁及安全需求..................................31.3网络安全基本技术与VPN技术....................................61.4IPSEC网络安全体系.............................................81.5用SJW10IP保密机构建VPN系统.................................9第二章青鸟环宇VPN设备SJW10IP保密机...........................122.1SJW10IP保密机技术说明.......................................122.1.1硬件平台及主要功能.......................................122.1.2软件系统及网络位置.......................................132.1.3功能指标及配置说明.......................................142.2SJW10IP安全包技术说明.......................................172.2.1概述.....................................................172.2.2系统总体结构.............................................182.2.3功能特点.................................................182.3SJW10安全管理中心...........................................192.3.1概述.....................................................192.3.2密钥管理方案.............................................21第三章典型应用案例................................................233.1某省银行应用SJW10构建安全金融业务网.........................233.2某市银行应用SJW10构建安全银证联网系统.......................243.3某省环保局应用SJW10在INTERNET上构建安全数字环保网络..........27第1页第一章企业网络系统信息安全问题1.1企业（政府）网络系统典型架构及其安全现状随着我国通信基础设施建设的飞速发展和互连网络技术的日趋完善，各行各业及政府各部门纷纷借助公共网络基础设施将分散在不同地域的相对封闭的信息系统联成一个整体，以加快信息的流动速度，提高企业的综合竞争力，提升政府办公的工作效率。就目前大部分网络应用而言，典型的企业（政府）网络结构一般都由一个总部（网络中心）、若干分支机构、数量不等的合作伙伴及移动远程（拨号）用户所组成。除远程用户外，其余各部分均为规模不等的局域网络系统。其中总部局域网络是整个网络系统的核心，为企业（政府）各类中心服务器所在地，同时也是网络管理中心。各部分之间的联接方式多种多样，包括远程拨号、专线、Internet等。从互联方式来看，则可分为三种模式：通过拨号远程访问企业网络，拨号又可分为通过电话网络拨入访问服务器和拨入网络服务提供商（如：ISP）两种方式；远程分支机构局域网通过专线或公共网络和总部局域网络连接；合作伙伴（客户、供应商）局域网通过专线或公共网络和总部局域网连接；该典型结构如下页图1.1所示。在这个网络系统运行的既有传统的客户服务器模式的业务系统，也有基于Internet技术的WEB应用，或者两者兼有。随着Internet技术的日益成熟，WEB应用将逐步成为主流，而TCP/IP协议则是网络互连的唯一选择。现行的各类企业（政府）网络系统均有其特定的发展历史，一般而言，在其网络系统建设过程中，主要侧重信息系统的稳定、正确运行。就网络信息系统安全而言，一般仅利用了一些常规的安全防护措施，这些措施包括利用操作系统、数据库系统自身的安全设施；购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中，也仅考虑到了部分信息安全问题。应该说这在系统建设初期的客观环境下是可行的，也是客观条件限制下的必然。由于业务网络系统中大量采用第2页不是专为安全系统设计的各种版本的商用基础软件，这些软件通常仅具备一些基本的安全功能，而且在安装时的缺省配置往往更多的照顾了使用的方便性而忽略了系统的安全性，如考虑不周很容易就留下安全漏洞。总的来说，这些系统中的大部分远没有达到能和系统中信息的重要性相称的安全级别，有的甚至对于一些常规的攻击手段也无法抵御。网管中心中心主机工作站…ISP/NSP移动用户拨号用户总部分支机构合作伙伴拨号/移动办公用户图1.1企业网络结构第3页1.2企业网络面临的威胁及安全需求对企业（政府）网络系统的安全威胁可以说多种多样，就攻击的对象及采用的手段来加以区分，可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类，实施安全攻击的人员既可能是外部人员，也可能是内部人员。1.2.1针对信息的攻击对处于传输和存储形态的信息实施非法攻击，其手段包括侦听破译、篡改报文、重发（或少发）报文、改变信息的传输顺序以及流量分析等，其攻击地点既可以在局域网内，也可以在广域网上。由于信息在局域网中多采用广播方式，因此，若在某个广播域中可以侦听到所有的信息包，攻击者就可以对信息包进行分析，那么本广播域的信息传递过程都会暴露在攻击者面前。即使是采用交换方式的局网，由于信息的流动具有明显的集中性（如一个服务器对多个客户机），攻击者只要有机会接近信息的汇聚点（如交换机的服务器端口），即可对其实施攻击。对广域网而言，由于广域网通常是基于公共网络连接而成，因而在广域网上进行传输时信息就更可能受到各种各样的攻击，诸如：窃取、伪造、破坏等。任何一个有条件接触通信结点或信道的人都可以实施上述攻击，这种形式的“攻击”是相对比较容易成功的，只要使用现在很容易得到的“包检测”软件即可。随着网络侦听工具的隐蔽化和灵巧化，对信息攻击的可实施性正变得越来越容易实现。以前购置一套功能强大的协议分析设备需花费十几万乃至几十万元，能掌握这些设备的人极为稀少。而现在，协议分析工具软件随处可得，有些免费软件的协议分析能力越来越强大，试用人员队伍十分庞大，一旦得到合适的机会，即使无心之人也可能抵挡不住好奇心而铤而走险，更何况蓄意犯罪之徒。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性，攻击者可以不动声色地窃取并利用信息，而无虑被发现；他也可以在积聚足够的信息后骤起发难，进行敲诈勒索。此类案件见诸报端的层出不穷，而未公开与之相比会数以倍计。1.2.2针对系统的攻击利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管第4页理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其它系统。此类攻击手段包括隐通道攻击、特络伊木马、口令猜测、缓冲区溢出等，早期的黑客多是利用这类攻击方法。随着基础系统软件安全功能和安全管理制度的不断完善，此类攻击的成功比例正在逐步减少，但由于当今黑客组织越来越严密，攻击技巧层出不穷，攻击工具传播迅速，因此在相当长时期内，仍是主要的威胁之一。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台，这些软件在安装时的缺省配置往往更多的照顾方便性而忽略了安全性，如考虑不周很容易就留下安全漏洞，如果再考虑到某些软件供应商出于政治或经济目的，可能在系统中预留“后门”，因此必须要有有效的技术手段加以预防。1.2.3针对使用者的攻击这是一种看似困难却普遍存在的攻击途径，攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点，通过种种手段窃取系统权限，通过合法程序来达到非法目的，并在事后或嫁祸他人、或毁灭证据。此类攻击的特点是难以取证。1.2.4针对资源的攻击以各种手段耗尽系统某一资源，使之丧失继续提供服务的能力，因此又称为拒绝服务类攻击，如邮件炸弹、ping流攻击等。拒绝服务攻击的高级形式为分布式拒绝服务攻击(DDoS),即攻击者利用其所控制的成百上千个系统同时发起攻击，迫使攻击对象瘫痪。针对资源的攻击发起点通常来自互联网，其攻击对象多为各类网站。分布式拒绝服务攻击通常都是经过精心策划，有组织的犯罪行为。由于针对资源的攻击利用的是现有的网络架构，尤其是Internet以及TCP/IP协议的固有缺陷，因此在网络的基础设施没有得到大的改进前，难以彻底解决。1.2.5企业的安全需求网络安全包括五个基本要素：机密性、完整性、可用性、可审查性和可控性。第5页机密性：确保信息不暴露给未授权的任何其它方实体或进程。完整性：只有授权的实体或进程才能修改数据，并且能够判别出数据是否已被篡改。可用性：确保授权实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可审查性：对出现的网络安全问题提供调查的依据和手段。可控性：可以控制授权范围内的信息流向及行为方式。目前国内企业的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题，即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有：传输信息的安全、节点身份认证、网络访问控制、操作人员的身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。传输信息的安全总部和分支机构、合作伙伴之间的业务数据在网上传输时，有可能被截取、窃取、伪造、假冒、篡改，所以必须保证通信信道上的信息安全性。通信信息的安全性包括通信数据的机密性和完整性。通信数据的机密性可通过数据加密来实现，可防止传输信息被截取、偷看；通信数据的完整性则依赖于MAC码（消息验证码）和数字签名来实现，可防止被假冒、篡改、重放等。节点身份认证是指在进行网上业务时，系统内各节点之间要互相验证对方的身份，以防假冒。节点身份认证对关键性的实时业务尤为重要，例如，对于金融储蓄业务，案犯可以利用PC机伪造储蓄网点，进行存钱操作，然后立即在合法的储蓄所取出现金。网络访问安全关键业务网络系统的各节点之间通常是通过跨地域的公共基础网络连接，第6页需要有效地防止可能来自该基础网络的对系统主机和内部网络的非法访问和攻击。操作人员的身份认证和交易的不可抵赖性对操作人员身份的正确而有效的认证是实现不可抵赖的前提，交易的不可抵赖性是指防止对交易行为的抵赖和否认行为，交易的不可抵赖通常通过数字签名来实现，重要的交易行为应该签名并实时验证。非法攻击事件的可追踪性对重要事件应具有详细的审计纪录，以便在发生攻击时提供确凿的追究证据，从而使系统具有强大的威慑力量和有效的取证手段。必须指出：网络信息系统是由人参与的信息系统环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。1.3网络安全基本技术与VPN技术解决网络信息