政府／行业网络信息交换与共享安全体系及关键技术研究

维普资讯 http://www.cqvip.com ；　ｌｔ．话｝精，Ｌｔ＾　：电，ｌ－　政索Ｉ行　与共享安全　●公安部第三研究所信息网络安全研究中心　邹翔　沈寒辉　近年来，我国政府／行业信息化在建设规模、应用范围　３．部门工作人员借助公共网络链路访问内网。各部门的很　等方面取得了长足进步，包括各级党政机关、政法部门（公安、　多工作需要现场办公、深入基层，查询信息和提交信息的实时　机关、法院、检察院）及税务、海关、银行等行业通过“金盾”、　性也非常重要。而在所有现场地点建立专线，从成本、时间、　“金关”、“金卡”、“金税”等大型信息化工程建设，搭建了自　效益等方面考虑，可行性较低，必须借助公共网络链路实现对　己的信息化业务系统及安全平台。　内网的访问。　政府／行业网络一般可划分为对外服务的对外服务网（以　在政府，行业网络信息交换与共享过程中，主要应达到以　下简称“外网”）、日常工作使用的内部办公网（以下简称“内　下安全目标：　网”）。其中，外网一般连接在互联网上，面向公众服务。内网　１．保障政府，行业网络，尤其是内网的信息安全。　一般为本部门的专用网络，与互联网隔离。某些部门中还建有　２．保证信息交换与共享的高效稳定运行。　涉及国家秘密的涉密网络，本文所指内网中的信息资源不涉及　安全风险分析　国家秘密。但是，政府／行业内网中信息资源大部分属于敏感　在政府／行业网络信息交换与共享过程中，政府／行业网　信息，信息的安全非常重要。而且，政府／行业网络已成为各　络和信息系统面临很大风险。以下从终端安全、链路安全、网　级国家机关和部门工作离不开的重要基础设施。因此政府／行　络安全、系统及应用安全等方面进行安全风险分析。　业网络的安全、可靠运行是各部门正常工作的重要保证。　１．终端安全风险　随着各部门信息应用的深度与广度不断发展，政府／行业　终端不仅指借助公共网络链路访问内网的接入设备，也　网络信息交换与共享的需求日益强烈，已成为当前亟待解决　包括那些外网上需要与内网交换信息的服务器。所面临的安　的热点问题。信息交换与共享的需求一般可分为以下几类：　全风险主要包括：接入终端的非法使用，如终端的遗失或被　Ｌ内网与公共网络间的信息交换，包括内网与外网间的信　盗，为非法人员接触或使用；接入终端的非授权访问：如　息交换，内网从公共网络上的信息采集等。如政务公开、网上　终端企图进行超越其权限的操作；接入终端的成为木马、病　办事平台等业务受理、咨询信息导入内网，以及对外发布的信　毒等入侵行为的传播源等。　息从内网交换到外网等。　２．链路安全风险　２．不同部门的内网间信息交换与共享。各部门依据其管理　信息在链路上传输时主要存在以下风险：攻击者截获、　职能，通过政府／行业网络的建设和运行，都积累了大量业务　读取、破解通信线路中的信息；攻击者利用通信干扰工具，　相关信息。这些信息资源不仅对本部门的工作具有重要作用，　故意导致通信数据错误；攻击者利用某些安全协议，算法，软　而且对于其他相关部门也具有重大价值。　件等缺陷，获取信息、解密密钥或破坏通信完整性等。　维普资讯 http://www.cqvip.com ｊ　／行业信患化安全论坛　盒　蒸　：　３．网络安全风险　信息交换与共享过程中，在网络方面主要存在以下风　险：攻击者利用网络协议存在的漏洞进行攻击（如碎片重　组，协议端口重定位等）；攻击者利用网络结构设汁缺陷旁　路安全策略，未授权访问网络；攻击者利用分布式拒绝服务　攻击等拒绝服务攻击工具，恶意地消耗网络资源，导致拒绝　服务；攻击者盗用授权用户的会话连接；内部人员未授权接　入外部网络。　４．系统及应用安全风险　信息交换与共享过程中，在系统和应用安全方面主要存　在以下风险：攻击者利用操作系统、应用系统漏洞，越权　访问文件、数据或其他资源；攻击者利用通过恶意代码或木　马程序或其他非法手段获得授权用户的鉴别信息或密码介质，　访问网络、系统，或使用应用软件、文件和数据，获取敏　感信息；以及病毒传播风险等。　安全关键技术　安全体系结构　根据对政府，行业网络信息交换与共享过程中安全风险的　分析，为实现安全目标，建立起一个政府，行业网络信息交　换与共享平台（以下简称“平台”），统一处理三类交换　与共享。平台采取深度防御方针，建立起基于“两个基础　设施支持下的三重防护体系结构”的安全体系。　＿ｌ　信息交换与共享安全体系结构　两个基础设施：　１．ＰＫＩ／ＰＭＩ基础设施。公钥基础设施与授权管理体系　（ＰＫＩ／ＰＭＩ），实现基于公钥密码体制证书的产生、管理、存储、　分发、撤销和授权等功能，并进行密钥的配置和管理，是平台　身份认证、访问控制和授权管理等安全机制的基础。　２．安全监控与管理基础设施：实现整个平台安全策略的　制定、运行状况的监控与安全审计。　三重防护体系：　１．应用环境安全：即确保与平台连接的终端和用户来源　可信、可监控，终端安全加固。没备认证可采用ＭＡＣ／ＩＰ绑　定、硬件特征码、设备证书等形式，用户认证可采用动态令牌、　数字证书等形式，终端安全加固可采用的方式包括操作系统加　固、关键应用程序保护、终端监控、可信计算机等。　２．应用区域边界安全：包括身份认证、访问控制等安全　技术，实现合法访问者对应用系统细粒度控制下的访问。身份　认证针对与平台连接的终端和用户进行，认证协议￣ＮＩＫＥ、ＳＳＬ　握手协议等，访问控制可使用防火墙进行网络访问控制，利用　边界安全网关进行应用访问控制，能够细粒度控制访问者对应　用系统及数据资源的访问权限。　３．链路与网络通信安全：采用数据机密性与完整性保护　技术，建立端到端传输的安全机制。在链路层，实现设备　链路接入认证与访问控制，可利用ＶＰＤＮ（虚拟专用拨号　网）、８０２．１ｘ等技术手段进行，其中ＶＰＤＮ在公共网络链路还　可以建立安全隧道，实现与互联网的逻辑隔离。在网络层，利　用包过滤、入侵检测等技术防范入侵；统一网络入口，实现基　于硬件数字证书的双向身份认证及网络访问控制，基于安全通　信协议（ＩＰＳＥＣ／ＳＳＬ等）建立高强度加密隧道，实现数据的机　密性、完整性保护；采用ＮＡＴ（网络地址转换）、ＶＬＡＮ进行　网段划分和地址转挽利用安全隔离设备实现内外网网络隔离　与安全数据交换等。　以下就应用区域边界安全中的应用认证与访问控制技术，　安全监控与管理基础设施中的安全策略管理、实时监控及安全　审计技术进行分析。　应用认证与访问控制技术　应用认证与访问控制技术，包括应用身份认证，应用访　问控制、应用代理、通道保护等主要功能，能够有效保障不同　部门的内网问信息交换与共享，以及部ｆ】工作人员借助公网链　路访问内网两类应用的安全交换。在系统实现架构上分为客户　端平台和服务端平台两部分。　应用认证与访问控制系统实现架构　客户端平台：客户端业务模块作为应用客户端（包括浏　览器）的代理，与服务端业务模块交互建立加密连接。客　户端硬件密码模块作为证书存放介质及算法提供者，受客户　端业务模块调用完成相应的证书操作和密码运算。　服务端平台：一般采用硬件网关方式，服务端业务模块　（下转第３　７页）　维普资讯 http://www.cqvip.com ———————————————————————————————————————————————————————————————————＿＿（２００７　０６　Ｊ　ＮｅＴＩＮＦＯ　ＳＥＣｕＲＩＴＹ　ｆ　３７、卜一Ｉ嘎　豳　机继而获取各种信息包括ＡＤｓＬ帐户和密码用于充值ＱＱ币等　有找到跳板机，同常，通过获取程序样本可以分析得到跳板机　信息，但要进一步追查黑客线索，必须得到跳板机的大力配　其他用途。分析灰鸽子日志发现，黑客控制的肉鸡数量达到　２万余台！　而且利用灰鸽子发出命令许多肉鸡统一时间访问　同一网站，这样完全可以导致拒绝服务攻击。　１２月１５日，通过河北分中心获得了２１９，１４８．×．×所属　合，才能及时发现黑客踪迹。　４．受害用户的有效配合，将大大提高处理速度。受害用户　报告事件后，应及时做好有关配合，除了要应对攻击外，还应　及时分析攻击的特征，是真实ＩＰ地址的攻击还是伪造ＩＰ地址　的攻击，如果是真实ＩＰ地址攻击，则尽可能提供每日攻击流量　人，即黑客嫌疑人的详细信息（姓名、住址、联系方式　等），并协调运营商暂时停止对２１９　１４８　×，×的开放服务，　以防止其造成更大危害，同时将有关分析结果保存。　２００６年１２月１８日，国家中心人员联系到Ｋ６８网站负责　人，讲述事件大概进展后，用户出面协调北京某机房，由　排名靠前的ＩＰ地址，如果是伪造ＩＰ地址攻击，则应通过运营　商，查找流量来源，此外，应注意保存攻击的情况记录。这些　工作有利于事件处理组织及时协调，协助受害用户及时找到最　终攻击源或者攻击嫌疑人，从根本上制止攻击。　从ＣＮＣＥＲＴ／ＣＣ掌握的情况来看，拒绝服务攻击行为的破　坏能力日益强大，不但对互联网上的中小企业和应用服务构　其向北京市网监局报案。　至此，ＣＮＣＥＲＴ／ＣＣ找到了攻击嫌疑人，成功处置了一　起大规模ＤＤｏＳ攻击。　总结　从上述实际案例中，我们可以看到，要成功处理应对　ＤＤｏＳ攻击，需要满足许多条件：　１，事件处理队伍必须有遍布全国的反应迅速、统一规范的　处理体系。目前的ＤＤｏＳ攻击，攻击来源很多，只有各地同时　迅速按同样流程追踪各地的攻击来源有关线索，才有可能在最　短时间内追踪到最终攻击源。　２．事件处理队伍必须就同运营商及ＩＤＣ保持良好的协作关　成严重威胁，也对政府部门的一些业务和公共服务、事关国　家利益的重要系统以及关系到整个国家互联网运行的核心服务　系统构成威胁。　从ＣＮＣＥＲＴ／ＣＣ实际案例的处理情况来看，目前，应对　利用多个被控制主机的拒绝服务攻击行为所面临的挑战还是比　较大，就事件处理环节，就需要多个相关角色多个环节的密切　合作。鉴于处理拒绝服务攻击是较困难的，目前实际情况下，　处理速度是关键，只有处理速度足够陕，才能减少攻击带来的　损失，制止攻击，并及时揪出幕后的攻击人，才是目前法　制、管理、技术尚无法有效应对ＤＤｏＳ攻击情况下，唯一　能有效的打击ＤＤｏＳ攻击的途径。　（责编褚德坤）　系，才能及时追查攻击线索。运营商及ＩＤＣ是受攻击用户的网　络服务提供商，只有得到他们的配合，可能找到攻击源，并在　中间逐步追溯最终的攻击源。　３．用户的配合，很爹隋况下是必要条件，尤其是跳板机的　用户。目前的ＤＤｏＳ攻击大多通过控制很多肉鸡实现攻击，只　（上接第１　４页）　负责接受客户端的安全连接，使用双证书完成身份认证和密钥　平台、业务、终端设备等方面，根据实际应用需求进行安全策　略配置。　交换，指定加密算法，与客户端建立安全加密通道，将接收来　的数据解密；根据授权规则进行访问控制，授权规则内容包　括：用户角色，资源，动作（允许或拒绝）、过滤条件等；代　理访问应用服务器，从而实现对内网的代理访问并且无网络层　通道，在应用级与内网安全隔离。服务端硬件密码模块作为证　书存放介质及算法提供者，受服务端业务模块调用完成相应的　证书操作和密码运算。　安全策略管理、实时监控及安全审计技术　实时监控：根据安全策略配置结果监控网络运行安全状　况，不符合安全策略情况即为违规行为，可以避免一般入侵检　测系统所具有的漏报或误报的缺点，准确、及时地发现违规行　为并进行报警处置。　安全审　对各类设备日志和实时监控信息进行综合统计　分析，能够定位违规行为来源并进行责任认定。　文章所提出的安全体系已实际应用于公安等部门信息交换　与共享的安全保障，并且将随着技术的发展和应用规模的拓　展而不断完善。鳕　（责编褚德坤）　安全策略管理、实时监控、及安全审计是一个完整的安　全监控与管理工作流程。　安全策略管理：包括细粒度的应用及操作授权管理，从