网络安全管理平台

针对网络存在的脆弱性，几年来的 漏洞扫描、防火墙、入侵检测等技术使 网络安全的保护能力有所进步，但需要 考虑的方面还很多。 今后的努力方向应该力争在比入侵 者早走一步棋上下工夫，要在入侵或受 攻击的不同阶段有各种对付的手段。
在突发性强的情况下，原有的许 多安全范式不能应付这种局面。例如， 现有的我国金融系统的网络拓扑结构 过于集中，一旦发生突发事件，其抗 毁性、可恢复性都可能存在严重困难。
下面是一些建议： 资源配置考虑方面 · 重点设防 （如操作系统、关键服务 器） · 关闭有关端口 · 合理的拓扑结构（增强生存能力） · 重组能力
配置冗余能力的考虑 · 多样性（Diversity）：如多种操作系统；
· 可变性（Variability）：如通信模式、网络 结构、数据库分配、地址分配； · 自调节（Homeostasis）：抗干扰、免疫能 力、备份能力等；
陷阱机
IDS 预警
入侵 取证
备份 系统
黑客入侵防范体系功能测试环境示意图
网络安全管理平台是一项极有意义的课题， 她可能成为我国网络建设中的黑客防范的基础 平台，将为我国的安全产品规范化及建立一个 崭新的安全管理模式。
黑客入侵防范体系设计示意图
管 理 策 略
安全政策
Internet
安全管理制度
DMZ区
· 动态变异性（Mutation）利用DTK
工具(Deception Tool Kit) 运行后会使对 方误判断出一系列可知弱点，导致入 侵失败，而我方争取到时间的主动。 另有STACK GUARD是个很有效的工 具，采用虚拟主机技术。
2） 入侵侦察阶段
这一阶段也可叫“虚实篇”， 即以假乱真、尽可能隐蔽自身重要部 位。要做到使“攻者不知何以攻”， 不但要迷惑对方，还要发现跟踪对方 在进行的侦察扫描行为，诱导对方并 了解对方的特性。
网络安全防护体系建设措施
5． 针对用户特点，开发研制了有针对性的网络安全检测和预警系 统 高能所计算机用户中，相当多的人可能在不知情的情况下， 做出了非法的网络操作。例如，他们的计算机被人利用进行黑客 行为、传播病毒等。为此，专门开发了安全报警系统，此系统将 “安全数据库系统”与“网络安全检测系统”的功能结合起来， 当“网络安全检测系统”发现非法网络通讯的计算机时，能从 “安全数据库系统”中查询非法通讯者的联系人姓名和通讯地址， 并自动将警告信息通过Email通知本人和网络安全员。 如在2003年8月29日，高能所计算机病毒的疫情状况通过专 家系统， 诊测后立即在 http://bingdu.ihep.ac.cn 发布，发现有下列 IP 地 址 在 不 断 对 外 扫 描 ： 1 9 2 . 1 6 8 . 2 9 . 7 3 9 2 . 1 6 8 . 2 9 . 7 4 192.168.29.95 202.122.32.106 202.122.32.23 202.122.34.227 202.122.34.228 202.122.35.165 202.122.35.242 202.122.35.250，课 题组的相关人员及时对这些地址进行了相关处理或隔离，有效避 免了这些问题主机对我所其他用户造成安全影响。
高能所网络安全防护体系建设进展
课题人员组成（按姓名拼音排序） 安德海 刘宝旭 刘瑞荣 马兰馨 石京燕 吴春珍 许榕生 课题配合人员组成 毕学尧 杨泽明 曹爱娟 李雪莹 王旭仁 高级工程师 副研究员、博士后 工程师 工程师 助工、硕士生 高级实验师 研究员 博士生 博士生 博士生 博士生 博士生
网络安全防护体系建设措施
网络安全管理平台
许榕生 2004年4月
Proactive Security —— 积极防御的网络安全战略
网络的弱点很多，通常的网络防范 总是处于被动地位，要主动防御，就要 采用谋略来争到主动，因此，英文里有 Proactive Approach一说。
911事件后美国的一篇评论提到这样的话：
“Proactive rather then Reactive”，意思是 与其被动的响应不如积极的防御。 英国安全界人士反思：前几年建防火墙、 堵漏洞使网络安全走了一段弯路！ 美国众院听证会讨论美国的“先进防卫计 划”报告时也强调指出：现在需要一种富 有创造性的、先进的主动防御体系。
网络安全防护体系建设措施
8． 建立了一定的网络监视跟踪设施 在关键网关处部署了网络数据截获和保存系统，当发生攻击 时，可通过对通讯数据的分析查找攻击源（管理人员通过网站 http://fw.ihep.ac.cn/smjl/来分析）。在该系统的帮助下，同时， 借助IDS网络入侵检测系统的相关警告信息，课题组多次发现网 络攻击行为和其他不法行为企图，并给予警告，对加强我所网 络安全防护系统起到了较好的辅助作用。
在扩展树形方式下 ，每个设备可以随 意拖动其位置
管 理 平 台 的 事 件 查 询 功 能

部分功能在我国党政军及企业部门的电子政务及电子 商务系统中试用，如 国务院新闻办直属的几大新闻网站 国家测绘系统 解放军报社网站 总参通讯部 解放军二炮 公安部 上海证券交易所 航天科技集团 北京电信、TCL集团
需要探讨如何对突发攻击有预 见、预兆、预防和预警，采用必 要的有主动防御意识的措施，使 我们在未来信息对抗中具备给对 方的威慑力量。
911事件中，世贸中心只有43%的公 司恢复了经营，美国联邦储备委员会要 求美国银行设立第二个数据中心。 印度承认缺少安全维护软件开发方 面受过培训的人员，也缺乏打击网络犯 罪的意识。
这样，提高了防火墙系统的整体性能，使得在发生网络安全 问题时（如：所内机器感染病毒或在发包，造成网络不正常等）， 及时调整防火墙的过滤规则和安全策略，及时对问题主机进行隔 离，以避免对整个网络的安全性能造成影响。
网络安全防护体系建设措施
2． 设立了虚拟专用网络（VPN）服务器 虚拟专用网络（VPN，Virtual Private Network）是对通过共享或公 共网络并使用封装、加密和身份验证进行链接的局域私有网络的一种扩 展。使用VPN这种技术手段，实现了从外网连入所内网络的安全认证机 制，为需要“在家办公”或“暂时在国外访问”的人员提供了一个方便、 安全地访问所内主机的途径。 3． 安装并使用防垃圾邮件系统，解决垃圾邮件造成的相关问题 购买并安装了EQ Manager邮件网关管理系统的防垃圾邮件功能软件 作为网络安全防护系统的一个构成部分，用于解决日益严重的垃圾邮件 问题。 同时，通过管理员不断地对垃圾邮件过滤规则、阻断ip 地址、拒收 黑名单等策略进行调整，使得本软件更加行之有效的解决本单位的垃圾 邮件问题。对于向外发垃圾邮件造成邮件服务器被列入垃圾邮件列表的 问题，专门设计了自动检查和报告将我所邮件服务器列入垃圾邮件列表 的软件工具，解决了邮件服务器被列入垃圾邮件列表造成邮件中断而不 能及时知道的问题。
主动防御被明确提出的时间不长， 还没有成熟的概念、思维和技术，各 国都在积极探索中。按主动防御的策 略，可将入侵的各个阶段概括为：
1）入侵发生前阶段； 2）入侵侦察阶段； 3）被局部得手阶段； 4）遭受了破坏阶段； 5）跟踪、自卫反击阶段。
让我们分阶段叙述相应的对策： 1） 入侵发生前阶段 这一阶段主要是要“防范于未然”， 通过法律、政策、管理以及扫描检测、 模拟、演习等提高对自身系统的安全 脆弱的认识，进行系统的评估、加固， 人员训练等。特别注意的是对可能存 在的风险危机要保持足够的警惕。历 史上一些突发事件往往发生在节假日、 夜间，即在人们最放松的时刻。
（自稳定性研究可参考美国SantaFee研究所）
计算机取证是使用软件和工具，全面地检 查计算机系统，以提取和保护有关受入侵的证 据，这些证据不但能够为法律接受、足够可靠 和有说服性，同时也提供系统自身弱点和对方 攻击手段的原始记录。
5Leabharlann Baidu 跟踪反击阶段
这是一种战略性的反击，反击防御的实 质内容包括攻势防御和决战防御。在决定反 击时候的一切信息必须保持绝对保密。 在保密方面，可以看历史上的三次黑客 事件：Morris懦虫病毒、红色代码、分布式 拒绝服务，由于极端保密至今仍作为留下的 三大疑案。
防病毒系统
管理平台
各部门LAN
网络安全评估 系统 安全事件响 应队伍 实时监控系统
核心LAN
——网络取证代理
——网络陷阱机
——IDS代理
——备份系统
——抗毁系统
管 理 平 台 对 评 估 分 析 系 统 的 管 理 功 能
在标准树形方式下 ，呈现标准树形结 构
管 理 平 台 的 拓 扑 显 示 功 能
9． 建立了高能所的网络时间（NTP）服务器 在网络中各服务器之间以及与客户端之间要求保持时间同步 是AFS各种进程要求的。由于本地AFS可以加入到全球AFS系统 中，这时要求和全球时间系统同步。 高能所的时间服务器（网址为：http://time.ihep.ac.cn）设置与 中国教育网的时间保持同步，也可看作是和全球时间系统同步， 因此只要所内各AFS主机系统设置与time.ihep.ac.cn服务器时间同 步即可满足要求。网络时间服务器可为高能所网络用户的计算 机提供标准校对时间的服务，解决了计算机时钟普遍不准的问 题。
1． 完成防火墙结构的调整 针对高能所网络特点和需要，对防火墙结构进行调整。主要 调整原因和调整结果为：
高能所网络受历史和应用特点的影响，IP地址分配较分散， 并且各个计算机有不同的安全要求，因此要求对每个IP 地址制定 相应独立的安全规则，随着防火墙安全规则设置的不断完善，防 火墙上的安全规则数目也大大增多，这为动态修改防火墙规则带 来不便。 单个防火墙已不能满足高能所的实际需要。经过讨论，增加 了一台防火墙设备，专门承担动态规则的配置防护功能。 原来的 防火墙系统专门负责静态或相对时间较长不变的安全规则的配置。
网络安全防护体系建设措施
6． 建成高能所网络安全管理中心雏形 制定了我所基本的网络系统及网络安全管理策略和规章制度， 目前这些规章制度正在试行和逐步完善的过程中，还有待在实际 工作中逐步磨合和完善。同时，通过一年多的相关工作及各方面 技术的储备，现已形成了高能所网络安全管理中心的雏形，并在 实际工作中不断取得相关经验，逐步完善网络安全管理中心的功 能，为实施高能所网络安全管理中心做好准备，计划在明年进行 实际运行。 7． 解决了高能所网络流量统计的难题 使用防火墙系统后，原来通过CISCO路由器进行流量统计的 方式变得无效，为解决网络流量统计和记费问题，在今年新添加 的防火墙系统（即：承担动态和临时性安全规则的防火墙）上编 写了专用的流量统计程序，可截获所有通过防火墙的数据包信息， 并能实时地给出流量统计报告，从而有效的解决了高能所网络流 量统计问题。
网络安全防护体系建设措施
4． 针对机构的安全状况，开发研制了有针对性的网络攻击阻断系统 今年以来，高能所时常发生由内部发起的网络攻击和病毒传播行 为，其中一些攻击对国际Internet网络构成威胁，还有的攻击行为造成 自身网络瘫痪。为此，专门在出口防火墙处开发了网络安全检测系统， 该系统能及时发现所内外网络之间的异常通讯（如针对网络安全漏洞 的病毒传播方式，对他人主机进行漏洞检测等行为），并实时地进行 阻断。 同时，为用户提供网站http://fw.ihep.ac.cn/smjl/来查看自己的机器 是否在对外扫描或出现通讯异常，若在名单里，可能该机器已被黑客 攻击或由病毒造成对外发包等异常现象，这时，该机器会被防火墙自 动隔离起来，不能正常访问网络。这时，请用户尽快与计算中心联系 或自行处理后通知计算中心打开对该机器的封锁。 这一系统的使用，很大程度上减少了病毒或黑客攻击等问题造成 的安全影响，有效的控制了问题主机对其他主机和系统的影响，使问 题控制在一个有限的范围内，为安全事件的快速响应和及时解决提供 了帮助。
归结起来，主动防御是要人机结 合，通过各种智能手段在各阶段、从 内到外的基于行为的实时监控。同时， 从战略上的后发制人结合战术上的主 动反击，达到削弱对方、限制对方的 目的。总之，我们的基本方针应该是 占领网络空间的主动权。
路由器
Internet
防火墙
DMZ区
内部网
实时监控 系统
抗毁 系统
管理 平台 IDS 预警 网络安全评 估系统 防病毒 系统 陷阱机 入侵 取证 备份 系统
3） 局部得手阶段
要尽量限制对方，使之失能；保 持有效地监控，发现对方的弱点。
要建立一套对入侵行为的实时智 能分析工具，通过挖掘、融合，诱敌 暴露而自己不露痕迹（如金丝雀、蜜 罐、陷井技术等）。
4） 破坏阶段
应该在系统的生存能力、免疫能力等方 面多加考虑。要建立快速反应机制，在恢复、 转移及自稳定性方面做到保证。