如何評估網絡系統的安全

馮朝明

網絡系統的安全程度同樣符合木桶原理，即最終的安全性取決于網絡中最弱的一個環節。本文系統地對網絡架構的各個安全點進行了分析，同時針對性地介紹了降低這些安全點風險的方案和措施。

各種網絡安全事故頻發使得各個組織對信息安全的重視程度逐漸提高，同時各種專門提供網絡安全服務的企業也應運而生。然而，目前大多安全服務都是以主機的安全評估、系統加固、應急響應、應用安全防護、管理層面的安全策略體系制訂、應用安全防護、安全產品集成等為主，對于網絡架構的安全評估卻很少。綜觀近幾年來互連網上不斷出現的病毒蠕蟲感染等安全事件，不少是由于對網絡架構安全的忽視導致了大范圍的傳播和影響。2003年的27號文件——《國家信息化領導小組關于加強信息安全保障的文件》下發后，對信息系統安全域劃分、等級保護、信息安全風險評估、等級保障等需求愈來愈迫切，而做好安全域劃分的關鍵就是對網絡架構安全的正確分析。

信息系統的網絡架構安全分析是通過對整個組織的網絡體系進行深入調研，以國際安全標準和技術框架為指導，全面地對網絡架構、網絡邊界、網絡協議、網絡流量、網絡QoS、網絡建設的規范性、網絡設備安全、網絡管理等多個方面進行深入分析。

網絡架構分析

網絡架構分析的主要內容包括根據IATF技術框架分析網絡設計是否層次分明，是否采用了核心層、匯聚層、接入層等劃分原則的網絡架構（劃分不規范不利于網絡優化和調整）; 網絡邊界是否清晰，是否符合IATF的網絡基礎設施、邊界/外部連接、計算環境、支撐基礎設施的深度防御原則（邊界不清晰不便于安全控制）。應考慮的安全點主要有:

1. 網絡架構設計應符合層次分明、分級管理、統一規劃的原則，應便于以后網絡整體規劃和改造。

2. 根據組織實際情況進行區間劃分，Internet、Intranet和Extranet之間以及它們內部各區域之間結構必須使網絡應有的性能得到充分發揮。

3. 根據各部門的工作職能、重要性、所涉及信息等級等因素劃分不同的子網或網段。

4. 網絡規劃應考慮把核心網絡設備的處理任務分散到邊緣設備，使其能將主要的處理能力放在對數據的轉發或處理上。

5. 實體的訪問權限通常與其真實身份相關，身份不同，工作的內容、性質、所在的部門就不同，因此所應關注的網絡操作也不同，授予的權限也就不同。

6. 網絡前期建設方案、網絡拓撲結構圖應和實際的網絡結構一致; 所有網絡設備（包括交換機、路由器、防火墻、IDS以及其他網絡設備）應由組織統一規劃部署，并應符合實際需求。

7. 應充分考慮Internet接入的問題，防止出現多Internet接入點，同時限制接入用戶的訪問數量。

8. 備份也是需要考慮的重要因素，對廣域網設備、局域網設備、廣域網鏈路、局域網鏈路采用物理上的備份和采取冗余協議，防止出現單點故障。

網絡邊界分析

邊界保護不僅存在于組織內部網絡與外部網絡之間，而且也存在于同一組織內部網絡中，特別是不同級別的子網之間邊界。有效的邊界防護技術措施主要包括網絡訪問控制、入侵防范、網關防病毒、信息過濾、網絡隔離部件、邊界完整性檢查，以及對于遠程用戶的標識與鑒別/訪問控制。邊界劃分還應考慮關鍵業務系統和非關鍵業務系統之間是否進行了分離，分離后各業務區域之間的邏輯控制是否合理，業務系統之間的交疊不但影響網絡的性能還會給網絡帶來安全上的隱患。應考慮的安全點主要有:

1. Internet、Intranet和Extranet之間及它們內部各VLAN或區域之間邊界劃分是否合理; 在網絡節點（如路由器、交換機、防火墻等設備）互連互通應根據實際需求進行嚴格控制; 驗證設備當前配置的有效策略是否符合組織確定的安全策略。

2. 內網中的安全區域劃分和訪問控制要合理，各VLAN之間的訪問控制要嚴格，不嚴格就會越權訪問。

3. 可檢查網絡系統現有的身份鑒別、路由器的訪問控制、防火墻的訪問控制、NAT等策略配置的安全性; 防止非法數據的流入; 對內防止敏感數據（涉密或重要網段數據）的流出。

4. 防火墻是否劃分DMZ區域; 是否配置登錄配置的安全參數。例如: 最大鑒別失敗次數、最大審計存儲容量等數據。

5. 網絡隔離部件上的訪問通道應該遵循“默認全部關閉，按需求開通的原則”; 拒絕訪問除明確許可以外的任何一種服務，也就是拒絕一切未經特許的服務。

6. 實現基于源和目的的IP地址、源和目的端口號、傳輸層協議的出入接口的訪問控制。對外服務采用用戶名、IP、MAC 等綁定，并限制變換的MAC地址數量，用以防止會話劫持、中間人攻擊。

7. 對于應用層過濾，應設置禁止訪問 Java Applet、ActiveX等以降低威脅。

8. 采用業界先進的安全技術對關鍵業務系統和非關鍵業務系統進行邏輯隔離，保證各個業務系統間的安全性和高效性，例如: 采用MPLS-VPN對各業務系統間邏輯進行劃分并進行互訪控制。

9. 必要時對涉密網絡系統進行物理隔離; 實現VPN傳輸系統; 對重要網絡和服務器實施動態口令認證; 進行安全域的劃分，針對不同的區域的重要程度，有重點、分期進行安全防護，逐步從核心網絡向網絡邊緣延伸。例如，網絡可以分成三個區域: 信任域、非信任域和隔離區域。信任域和隔離區域進行重點保護，對于非信任域，可根據不同業務系統的重要程度進行重點保護。

10. 整體網絡系統統一策略、統一升級、統一控制。

網絡協議分析

深入分析組織整個網絡系統的協議設計是否合理，是否存在協議設計混亂、不規范的情況，是否采用安全協議，協議的區域之間是否采用安全防護措施。協議是網絡系統運行的神經，協議規劃不合理就會影響整個網絡系統的運行效率，甚至帶來高度隱患和風險。應考慮的安全點主要有:

1. 路由協議、路由相關的協議及交換協議應以安全的、對網絡規劃和設計方便為原則，應充分考慮局域網絡的規劃、建設、擴充、性能、故障排除、安全隱患、被攻擊可能性，并應啟用加密和驗證功能。

2. 應合理設計網絡路由協議和路由策略，保證網絡的連通性、可達性，以及網絡業務流向分布的均衡性。

3. 啟用動態路由協議的認證功能，并設置具有一定強度的密鑰,相互之間交換路由信息的路由器必須具有相同的密鑰。默認的認證密碼是明文傳輸的，建議啟用加密認證。

4. 對使用動態路由協議的路由設備設置穩定的邏輯地址，如Loopback地址，以減少路由振蕩的可能性。

5. 應禁止路由器上 IP 直接廣播、ICMP重定向、Loopback數據包和多目地址數據包，保證網絡路徑的正確性，防止IP源地址欺騙。如禁止非公有地址、組播地址、全網絡地址和自己內部的網絡地址訪問內部網絡，同時禁止非內部網絡中的地址訪問外部網絡。

6. 重要網段應采取IP地址與MAC地址綁定措施，防止ARP欺騙。

7. 如果不需要ARP代理（ARP Proxy）服務則禁止它。

8. 應限制 SYN 包流量帶寬，控制 ICMP、TCP、UDP 的連接數。

9. ICMP協議的安全配置。對于流入的ICMP數據包，只允許Echo Reply、Destination Unreachable、Time Out及其他需要的類型。對于流出的ICMP數據包，只允許Echo及其他必需的類型。

10. SNMP協議的Community String字串長度應大于12位，并由數字、大小寫字母和特殊字符共同組成。

11. 禁用HTTP服務，不允許通過HTTP方式訪問路由器。如果不得不啟用HTTP訪問方式，則需要對其進行安全配置。

12. 對于交換機，應防止VLAN穿越攻擊。例如，所有連接用戶終端的接口都應從VLAN1中排除，將Trunk接口劃分到一個單獨的VLAN中; 為防止STP攻擊，對用戶側端口，禁止發送BPDU; 為防止VTP攻擊，應設置口令認證，口令強度應大于12位，并由數字、大小寫字母和特殊字符共同組成;盡量將交換機VTP設置為透明(Transparent)模式。

13.采用安全性較高的網絡管理協議，如SNMP v3、RMON v2。

網絡流量分析

流量分析系統主要從帶寬的網絡流量分析、網絡協議流量分析、基于網段的業務流量分析、網絡異常流量分析、應用服務異常流量分析等五個方面對網絡系統進行綜合流量分析。應考慮的安全點主要有:

1. 帶寬的網絡流量分析。復雜的網絡系統中不同的應用需占用不同的帶寬，重要的應用是否得到了最佳的帶寬？所占比例是多少？隊列設置和網絡優化是否生效？通過基于帶寬的網絡流量分析會使其更加明確。采用監控網絡鏈路流量負載的工具軟件，通過SNMP協議從設備得到設備的流量信息，并將流量負載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負載。

2. 網絡協議流量分析。對網絡流量進行協議劃分，針對不同的協議進行流量監控和分析,如果某一個協議在一個時間段內出現超常流量暴漲，就有可能是攻擊流量或有蠕蟲病毒出現。例如: Cisco NetFlow V5可以根據不同的協議對網絡流量進行劃分，對不同協議流量進行分別匯總。

3. 基于網段的業務流量分析。流量分析系統可以針對不同的VLAN來進行網絡流量監控，大多數組織都是基于不同的業務系統通過VLAN來進行邏輯隔離的，所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。例如: Cisco NetFlow V5可以針對不同的VLAN進行流量監控。

4. 網絡異常流量分析。異常流量分析系統支持異常流量發現和報警，能夠通過對一個時間窗內歷史數據的自動學習，獲取包括總體網絡流量水平、流量波動、流量跳變等在內的多種網絡流量測度，并自動建立當前流量的置信度區間作為流量異常監測的基礎。通過積極主動鑒定和防止針對網絡的安全威脅，保證了服務水平協議(SLA)并且改進顧客服務, 從而為組織節約成本。

抗擊異常流量系統必須完備，網絡系統數據流比較大，而且復雜，如果抗異常流量系統不完備，當網絡流量異常時或遭大規模DDOS攻擊時，就很難有應對措施。

5. 應用服務異常流量分析。當應用層出現異常流量時，通過IDS&IPS;的協議分析、協議識別技術可以對應用層進行深層的流量分析，并通過IPS的安全防護技術進行反擊。

網絡QoS

合理的QoS配置會增加網絡的可用性，保證數據的完整性和安全性，因此應對網絡系統的帶寬、時延、時延抖動和分組丟失率等方面進行深入分析，進行QoS配置來優化網絡系統。應考慮的安全點主要有:

1. 采用RSVP協議。RSVP使IP網絡為應用提供所要求的端到端的QoS保證。

2. 采用路由匯聚。路由器把QoS需求相近的業務流看成一個大類進行匯聚，減少流量交疊，保證QoS。

3. 采用MPLSVPN技術。多協議標簽交換(MPLS)將靈活的3層IP選路和高速的2層交換技術完美地結合起來，從而彌補了傳統IP網絡的許多缺陷。

4. 采用隊列技術和流量工程。隊列技術主要有隊列管理機制、隊列調度機制、CAR和流量工程。

5. QoS路由。QoS路由的主要目標是為接入的業務選擇滿足其服務質量要求的傳輸路徑，同時保證網絡資源的有效利用路由選擇。

6. 應保證正常應用的連通性。保證網絡和應用系統的性能不因網絡設備上的策略配置而有明顯下降，特別是一些重要應用系統。

7. 通過對不同服務類型數據流的帶寬管理，保證正常服務有充足的帶寬，有效抵御各種拒絕服務類型的攻擊。

網絡的規范性

應考慮的安全點主要有:

1. IP地址規劃是否合理，IP地址規劃是否連續，在不同的業務系統采用不同的網段，便于以后網絡IP調整。

2. 網絡設備命名是否規范，是否有統一的命名原則，并且很容易區分各個設備的。

3. 應合理設計網絡地址，應充分考慮地址的連續性管理以及業務流量分布的均衡性。

4. 網絡系統建設是否規范，包括機房、線纜、配電等物理安全方面，是否采用標準材料和進行規范設計，設備和線纜是否貼有標簽。

5. 網絡設備名稱應具有合理的命名體系和名稱標識，便于網管人員迅速準確識別，所有網絡端口應進行充分描述和標記。

6. 應對所有網絡設備進行資產登記，登記記錄上應該標明硬件型號、廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容。

7. 所有網絡設備旁都必須以清晰可見的形式張貼類似聲明: “嚴格禁止未經授權使用此網絡設備。

8. 應制定網絡設備用戶賬號的管理制度，對各個網絡設備上擁有用戶賬號的人員、權限以及賬號的認證和管理方式做出明確規定。對于重要網絡設備應使用Radius或者TACACS+的方式實現對用戶的集中管理。

網絡設備安全

對設備本身安全進行配置，并建設完備的安全保障體系，包括: 使用訪問控制、身份驗證配置; 關閉不必要的端口、服務、協議; 用戶名口令安全、權限控制、驗證; 部署安全產品等。應考慮的安全點主要有:

1. 安全配置是否合理，路由、交換、防火、IDS等網絡設備及網絡安全產品的不必要的服務、端口、協議是否關閉，網絡設備的安全漏洞及其脆弱的安全配置方面的優化，如路由器的安全漏洞、訪問控制設置不嚴密、數據傳輸未加密、網絡邊界未完全隔離等。

2. 在網絡建設完成、測試通過、投入使用前，應刪除測試用戶和口令，最小化合法用戶的權限，最優化系統配置。

3. 在接入層交換機中，對于不需要用來進行第三層連接的端口，通過設置使其屬于相應的 VLAN，應將所有空閑交換機端口設置為 Disable，防止空閑的交換機端口被非法使用。

4. 應盡量保持防火墻規則的清晰與簡潔，并遵循“默認拒絕，特殊規則靠前，普通規則靠后，規則不重復”的原則，通過調整規則的次序進行優化。

5. 應為不同的用戶建立相應的賬號，根據對網絡設備安裝、配置、升級和管理的需要為用戶設置相應的級別，并對各個級別用戶能夠使用的命令進行限制，嚴格遵循“不同權限的人執行不同等級的命令集”。同時對網絡設備中所有用戶賬號進行登記備案

6. 應制訂網絡設備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規定。

7. 使用強口令認證，對于不宜定期更新的口令，如SNMP字串、VTP認證密碼、動態路由協議認證口令等，其口令強度應大于12位，并由數字、大小寫字母和特殊字符共同組成。

8. 設置網絡登錄連接超時，例如，超過60秒無操作應自動退出。

9. 采用帶加密保護的遠程訪問方式，如用SSH代替Telnet。

10. 嚴格禁止非本系統管理人員直接進入網絡設備進行操作，若在特殊情況下（如系統維修、升級等）需要外部人員（主要是指廠家技術工程師、非本系統技術工程師、安全管理員等）進入網絡設備進行操作時，必須由本系統管理員登錄，并對操作全過程進行記錄備案。

11. 對設備進行安全配置和變更管理，并且對設備配置和變更的每一步更改，都必須進行詳細的記錄備案。

12. 安全存放路由器的配置文件，保護配置文件的備份和不被非法獲取。

13. 應立即更改相關網絡設備默認的配置和策略。

14. 應充分考慮網絡建設時對原有網絡的影響，并制定詳細的應急計劃，避免因網絡建設出現意外情況造成原有網絡的癱瘓。

15. 關鍵業務數據在傳輸時應采用加密手段，以防止被監聽或數據泄漏。

16. 對網絡設備本身的擴展性、性能和功能、網絡負載、網絡延遲、網絡背板等方面應充分考慮。設備功能的有效性與部署、配置及管理密切相關，倘若功能具備卻沒有正確配置及管理，就不能發揮其應有的作用。

17. 網絡安全技術體系建設主要包括安全評估、安全防護、入侵檢測、應急恢復四部分內容，要對其流程完備性進行深入分析。

18. 安全防護體系是否堅固，要分析整個網絡系統中是否部署了防火墻及VPN系統、抗拒絕服務系統、漏洞掃描系統、IDS&IPS;系統、流量負載均衡系統部署、防病毒網關、網絡層驗證系統、動態口令認證系統，各個安全系統之間的集成是否合理。

19. 應安全存放防火墻的配置文件，專人保管，保護配置文件不被非法獲取。

20. 及時檢查入侵檢測系統廠商的規則庫升級信息，離線下載或使用廠商提供的定期升級包對規則庫進行升級。具體包括:

● 查看硬件和軟件系統的運行情況是否正常、穩定;

● 查看OS版本和補丁是否最新;

● OS是否存在已知的系統漏洞或者其他安全缺陷。

網絡管理

網絡管理和監控系統是整個網絡安全防護手段中的重要部分，網絡管理應該遵循SDLC(生命周期)的原則，從網絡架構前期規劃、網絡架構開發建設到網絡架構運行維護、網絡架構系統廢棄都應全面考慮安全問題，這樣才能夠全面分析網絡系統存在的風險。應考慮的安全點主要有:

1. 網絡設備網管軟件的部署和網絡安全網管軟件的部署; 部署監控軟件對內部網絡的狀態、網絡行為和通信內容進行實時有效的監控，既包括對網絡內部的計算機違規操作、惡意攻擊行為、惡意代碼傳播等現象進行有效地發現和阻斷，又包括對網絡進行的安全漏洞評估。

2. 確認網絡安全技術人員是否定期通過強加密通道進行遠程登錄監控網絡狀況。

3. 應盡可能加強網絡設備的安全管理方式，例如應使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠程登錄的超時時間、遠程管理的用戶數量、遠程管理的終端IP地址，同時進行嚴格的身份認證和訪問權限的授予，并在配置完后，立刻關閉此類遠程連接; 應盡可能避免使用SNMP協議進行管理。如果的確需要，應使用V3版本替代V1、V2版本，并啟用MD5等驗證功能。進行遠程管理時，應設置控制口和遠程登錄口的超時時間，讓控制口和遠程登錄口在空閑一定時間后自動斷開。

4. 及時監視、收集網絡以及安全設備生產廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應的官方站點，并對更新軟件或補丁進行評測，在獲得信息安全工作組的批準下，對生產環境實施軟件更新或者補丁安裝。

5. 應立即提醒信息安全工作組任何可能影響網絡正常運行的漏洞，并及時評測對漏洞采取的對策，在獲得信息安全工作組的批準的情況下，對生產環境實施評測過的對策，并將整個過程記錄備案。

6. 應充分考慮設備認證、用戶認證等認證機制，以便在網絡建設時采取相應的安全措施。

7. 應定期提交安全事件和相關問題的管理報告，以備管理層檢查，以及方便安全策略、預警信息的順利下發。檢測和告警信息的及時上報，保證響應流程的快速、準確而有效。

8. 系統開發建設人員在網絡建設時應嚴格按照網絡規劃中的設計進行實施，需要變更部分，應在專業人士的配合下，經過嚴格的變更設計方案論證方可進行。

9. 網絡建設的過程中，應嚴格按照實施計劃進行，并對每一步實施，都進行詳細記錄，最終形成實施報告。

10. 網絡建設完成投入使用前，應對所有組件包括設備、服務或應用進行連通性測試、性能測試、安全性測試，并做詳細記錄，最終形成測試報告。測試機構應由專業的信息安全測試機構或第三方安全咨詢機構進行。

11. 應對日常運維、監控、配置管理和變更管理在職責上進行分離，由不同的人員負責。

12. 應制訂網絡設備日志的管理制定，對于日志功能的啟用、日志記錄的內容、日志的管理形式、日志的審查分析做明確的規定。對于重要網絡設備，應建立集中的日志管理服務器，實現對重要網絡設備日志的統一管理，以利于對網絡設備日志的審查分析。

13. 應保證各設備的系統日志處于運行狀態，每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發現有異常的現象時應及時向信息安全工作組報告。

14. 對防火墻管理必須經過安全認證，所有的認證過程都應記錄。認證機制應綜合使用多種認證方式，如密碼認證、令牌認證、會話認證、特定IP地址認證等。

15. 應設置可以管理防火墻的IP范圍，對登錄防火墻管理界面的權限進行嚴格限制。

16. 在防火墻和入侵檢測系統聯動的情況下，最好是手工方式啟用聯動策略，以避免因入侵檢測系統誤報造成正常訪問被阻斷。

17. 部署安全日志審計系統。安全日志審計是指對網絡系統中的網絡設備、網絡流量、運行狀況等進行全面的監測、分析、評估，通過這些記錄來檢查、發現系統或用戶行為中的入侵或異常。目前的審計系統可以實現安全審計數據的輸入、查詢、統計等功能。

18. 安全審計內容包括操作系統的審計、應用系統的審計、設備審計、網絡應用的審計等。操作系統的審計、應用系統的審計以及網絡應用的審計等內容本文不再贅述。在此僅介紹網絡設備中路由器的審計內容：操作系統軟件版本、路由器負載、登錄密碼有無遺漏，enable 密碼、telnet 地址限制、HTTP安全限制、SNMP有無安全隱患; 是否關閉無用服務; 必要的端口設置、Cisco發現協議（CDP協議）; 是否已修改了缺省旗標（BANNER）、日志是否開啟、是否符合設置RPF的條件、設置防SYN攻擊、使用CAR（Control Access Rate）限制ICMP包流量; 設置SYN數據包流量控制（非核心節點）。

19. 通過檢查性審計和攻擊性審計兩種方式分別對網絡系統進行全面審計。

20. 應對網絡設備物理端口、CPU、內存等硬件方面的性能和功能進行監控和管理。

● 系統維護中心批準后，根據實際應用情況提出接入需求和方案，向信息安全工作組提交接入申請;

● 由申請人進行非上線實施測試，并配置其安全策略;

● 信息安全員對安全配置進行確認，檢查安全配置是否安全，若安全則進入下一步，否則重新進行配置。

21. 網絡設備廢棄的安全考慮應有一套完整的流程，防止廢棄影響到網絡運行的穩定。任何網絡設備的廢棄都應進行記錄備案，記錄內容應包括廢棄人、廢棄時間、廢棄原因等。