第一章 前言
　　信息时代的到来给我们的生活带来了极大的便利，同时也深刻的改变了我们的生活，信息网络技术应用到了我们身边的各个行业和机构，政府、金融、教育，军队无处不在。伴随着网络的普及和应用的深入，网络信息的安全也日益显现出其重要性。我们希望网络不仅能给我们提供方便快捷的服务，同时也希望这种服务是稳定和安全的。而网络天生所具有的开放性和自由性的特点，使得网络安全性相对比较薄弱，而比较容易受到非法入侵者,比如黑客甚至工业间谍的入侵。所以，如何维护网络信息的安全和稳定，也就成了一个值得考虑的重要问题。
　　军工企业从事的业务关系到国家的利益，其内部信息基本都带有机密性，此类信息一旦泄漏，就会对国家的利益造成极大的损害。因此，为了全面稳妥的保护军工企业的网络和信息不受非法分子的侵害和窥探，需要对其网络进行全面稳妥的安全设计。
第二章 风险分析及安全目标
2.1 威胁分析 
2.1.1 攻击源分析 
　　要保证军工企业涉密信息网络的安全可靠，必须全面分析军工企业涉密信息网络面临的所有威胁。这些威胁虽然有各种各样的存在形式，但其结果是一致的，都将导致对信息或资源的破坏，影响军工企业涉密信息网络的正常运行，破坏涉密信息的安全性、有效性、可靠性和权威性。 
　　通过对军工企业涉密信息网络的全面分析，该网络可能要面对各方面的攻击，其面临的威胁和风险主要有：敌对势力、犯罪团伙、黑客、管理人员、设备故障、自然灾害等。 
　　下面是这些威胁和风险的一些表现形式： 
　　利用黑客软件对通用、标准化的软、硬件实施攻击以及利用病毒破坏系统，危害军工企业涉密信息网络的安全可靠运行。 
　　军工企业涉密信息网络所涉及工作人员众多，安全意识不同，管理措施不到位，人员的疏忽也会对系统安全带来隐患。 
　　系统的运行管理和维护不善、操作的失误，对系统的运行安全也会造成危害。 
　　外部人员的蓄意破坏。 
2.1.2 攻击手段分析 
1.非法访问 
　　未经授权使用网络资源，包括非法用户进入网络进行违法操作及合法用户以未经授权的方式进行操作。 
2.通信业务流分析
　　通过通信流向，流量，通信频度和长度等参数的分析，得到有用信息。 
3.假冒： 
　　一个实体假装成另一个不同的实体。 
4.恶意代码： 
　　通过恶意程序，计算机病毒等获取信息或破坏系统。 
5.线路窃听： 
　　搭设线路进行信息的收集和还原。 
6.破坏信息完整性： 
　　改变信息的内容或形式。 
7.抵赖： 
　　信息发送方或接收方否认自己发送过或接收到特定的信息。 
8.破坏网络的可用性： 
　　通过执行命令，发送数据或执行其它操作使系统资源对用户失效，使合法用户不能正常访问网络资源或使有严格时间要求的服务不能及时得到响应，也包括以物理方式盗窃或破坏网络的设备、设施。 
9.操作失误： 
　　人为操作失误可能会对信息系统造成破坏。 
10.自然灾害和环境事故： 
　　地震，火灾，水灾等自然灾害和电磁污染等环境事故会对信息系统造成破坏。 
11.电力中断 ： 
　　电力中断会破坏信息系统的可用性或导致数据丢失。 
2.1.3 事故后果分析 
　　一旦攻击者获得对资源的访问权，就可以随意对数据和文件进行修改、拒绝服务等活动。 
　　1. 破坏信息：任何对存储（或传输）中数据、文件的非授权修改； 
　　2.公布信息：将信息散发到了不该获得该信息的人手中； 
　　3.盗取信息：获得不该获得的信息； 
　　4.盗用服务：非法盗用系统的服务，例如：有些攻击者将一些主机攻破后，将其作为新的攻击起点，或在其上保存非法获取的信息。盗用服务有时会影响系统为其他合法用户提供正常服务； 
　　5.拒绝服务：攻击的直接后果就是将系统的服务性能降低或完全瘫痪，无法为合法用户提供正常的服务。 
2.2 系统风险分析 
2.2.1 与通信线路或网络低层通讯机制有关的 风险 
　　攻击者可以在军工企业过往电缆使用上搭线等方法窃取信号，获取合法用户口令、密钥、身份证书等关键信息。得到了这些信息，攻击者可以以合法身份从前门进入目标系统。当然，用线路窃听也可以直接窃取文件或数据。 
　　通过对合法连接的劫持而以其他被授权人员的身份进行非法操作，在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信，进而创建新帐户、安装后门程序、篡改数据等。 
2.2.2 与系统软件或应用软件有关的 风险 
　　不同操作系统所能达到的安全级别是有所区别的，如 Windows95/98 系统几乎无安全性可言，而 Unix 体系结构的开放性、不同厂商、不同版本和配置上的差异都会导致安全程度不同。 
　　军工企业基本都采用了微软的 WINDOWS 操作系统和 OFFICE 办公软件，可是这些软件本身就不安全，在网络上随时都可以看到微软发布的漏洞和补救措施。但不是所有的人都会及时的了解或弥补软件的漏洞，这也就给其他黑客人员带来了入侵机会， 主要表现为利用系统软件或应用软件中的程序错误或安全漏洞来取得对计算机系统的非法访问。一种常见的技术是有意识地利用程序缓冲区溢出而侵入系统保护区进行上面提到的一些非法操作。另一种常用的方法是利用系统程序或应用程序设计时为系统维护提供的入口离开程序的正常使用环境而窃取更高系统权限。两种方法均可能导致系统被攻击者完全控制。 
　　一旦黑客入侵成功，就会使涉密信息破坏、泄漏，更严重的将会对整个网络系统安全运行构成严重的后果。 
2.2.3与数据或通信协议有关的 风险 
　　对加密算法的攻击可以使攻击者有能力解读本来不能理解的数据，从而威胁系统的保密性。加密算法的安全性、合法性和自主性对于数据的传输和存储安全是必须考虑的因素。 
　　此外，某些应用程序所使用的通讯协议存在严重的安全隐患，使得别有用心的人可能利用这些弱点来实现对目标系统的非法访问。 
2.2.4 与网络安全设备有关的 风险 
　　网络系统内装设的安全设备，如防火墙、访问授权及身份认证装置、监测装置、审计装置、密钥分发机制等，是系统安全保障的关键成分，同时也是攻击者的天然目标。对它们的攻击如果得逞，将对整个系统造成极大破坏。 
　　另外，不合理的应用网络安全设备也可能导致潜在的安全威胁，如在支持防火墙功能的路由器上配置大量的访问控制条款，使得路由器处理性能大大降低，形成网络瓶颈，在大量数据流量时导致拒绝服务。 
2.2.5 与系统资源有关的 威胁 
　　攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据洪流阻塞目标。这是因为任何计算机系统所能提供的资源都是有限的，不法分子利用这个缺陷，采用非正常手段将系统资源消耗殆尽，从而使计算机系统因资源耗尽而停止工作。这种称为“拒绝服务”的攻击方式常常是最简单而且最有效的一种攻击方式。攻击者还可通过破坏 DNS 或路由信息等基础设施使目标陷于孤立。 
2.2.6与合法用户有关的威胁 
　　军工企业的网络用户由于级别和职能的不同，对网络的访问等级也不同，但是不管是何种用户都会有可能对系统造成威胁。大致把军工企业的用户分为两类：普通用户和系统管理员。 
　　普通用户对系统资源通常只具有一般的访问权限，正常情况下他们在系统上的活动不应对系统安全造成很大威胁。然而由于他们在系统上已经有了立足点，比较那些不得不通过网络远程地对系统进行攻击的人来说占据了十分有利的地位。系统管理员对所管理的系统（甚至在一定程度上对于友邻的系统）具有完全的控制权。并且，合法用户在自己权限之内仍有可能进行误操作或非法的操作，而系统的访问控制机制不能防止这种操作。这些操作的结果可能对系统造成损失。 
2.2.7 人为因素导致的威胁 
　　网络安全除了技术因素外，还有许多人为因素，黑客圈中存在所谓的社会工程学，就是利用人际关系取得有用信息，如口令、管理员背景等，所有与系统或者管理员相关的信息都会给攻击者带来好处。 
　　系统管理人员工作中违反安全管理政策或安全操作规程而对系统造成的威胁。例如，系统管理人员可能为自己的工作方便违背安全政策创建具有简单口令或无口令的特殊帐户，以至这些帐户为攻击者所发现和利用。用户错误或忽略安全政策所造成的对系统的威胁，如误装了后门程序，或使用了质量不高的口令等。缺少主管领导的支持和广大用户的理解而可能对系统安全造成的影响。信息系统安全管理人员的一项重要职责是通过不断的宣传、教育、培训使得所有有关人员全力支持、自觉协助信息系统的安全建设，同时使所需资源的获取得到切实保证。 
2.3 安全目标 
　　对于军工网这个安全级别高的网络结构，系统的安全需求主要从网络级、系统级、应用级和企业级四个层次来考虑的，因此本方案将着重从这四个级别上考察，同时将其他理解方式与之融会贯通。从而达到安全、可靠、高效、可控和持续运行的总目标。 
2.3.1 网络级安全 

　　网络级安全是整个内部局域网安全的基础。涉及物理安全、节点安全、链路安全、网络协议安全、广域网安全、数据传输安全、路由安全等。只有安全的网络底层支撑，才谈得上其他层次的安全。 

2. 3.2 系统级安全 

　　系统级的安全基于网络级之上，包括平台的安全、操作系统安全、系统管理安全、用户管理安全、系统运行监控、系统故障监测和恢复等。系统级安全是提供安全应用的基础。 

2. 3.3 应用级安全 

　　应用级的安全是系统建设的目标，包括目录、数据、文件、邮件、事件、主页等各种信息和应用的完整性、机密性、抗否认性等安全，同时还包括信息密级管理、访问控制等。总之，应用级的安全应该保障随时随地提供且只能提供给合法用户安全的信息服务。 

2. 3.4 企业级安全 

　　企业级的安全是安全体系的总体策划，包括安全政策法规的制定、管理的权限和级别划分、资源的合理搭配和调度、功能的实现等等。因此，可以说，企业级的安全更多的是网络的合理有效的使用、调度和管理，因而，更侧重于人的因素。 

2. 3.5 系统安全目标 

　　基于以上的分析，我们认为军工网络安全应该实现以下内容： 
　　1.建立一套完备可行的网络安全和网络管理策略； 
　　2.在内外网上设置访问控制手段，将军工网络与其他网络隔离；内部网络采用内部地址，在内外网之间作地址变换； 
　　3.建立全面的用户权限认证体系，健全系统访问日志，提供有效的监督机制； 
　　4.提供网络安全扫描工具，主动发现网络安全漏洞，进行风险评估； 
　　5.及时发现黑客攻击活动，提出报警，并自动采取相应对策； 
　　6.建立完整的系统防病毒体系，防止病毒的侵害； 
　　7.提供监控和安全维护工具，及时分析和排除网络故障； 
　　8.加强人员管理，提高全体人员的网络安全意识和防范技术。 
第三章 系统设计　　
3.1 设计目标 
　　根据军工企业网络的网络安全、系统安全、应用安全、管理安全等安全与保密需求，综合运用各类技术防范措施与管理手段，构筑内部网络完整、安全、可靠、可控的保密防范体系，最大限度地消除网络目前尚存的安全隐患及漏洞，确保内网涉密数据及信息的安全性、保密性、完整性、可用性及抗抵赖性，为企业工作顺利开展保驾护航。 
3.2 设计原则及依据 
　　内部网络安全保密防范体系建设属内部网络建设的重要组成部分，除应遵循网络系统有关设计原则外，还应遵循下列原则： 
　　1. 与其他网物理隔离； 
　　2. 基于企业的安全需求、安全现状和安全威胁； 
　　3. 需求、风险、代价平衡分析； 
　　4. 遵循国家有关计算机信息系统安全标准和规定，并按最高密级进行防护； 
　　5. 多重保护，最小授权； 
　　6. 尽量不影响业务处理性能、网络性能和拓扑结构； 
　　7. 最大限度保留和利用已有安全资源； 
　　8. 系统应具有易操作性，便于自动化管理、维护与升级。 
3.3设计思路 
3.3.1 最小安全实体分析 
　　在军工企业网络安全方案设计中，最重要的是确认威胁产生的根源。最小安全实体就是内部没有安全隐患存在的最小实体，可能是一个网络、一个子网、一台主机，也可能只是一个目录或文件。总之，在最小安全实体内部的所有访问都是安全的，而来自最小安全实体之外的访问就可能存在危险。因此对来自最小安全实体外部的访问应受到安全措施的控制。 
3.3.2 动态安全 
　　由于信息技术不断地在发展，信息技术安全问题具有动态性。今天的安全问题到明天也许不再成为安全问题，而今天不为人关注的问题，明天可能成为严重的安全威胁。例如，线路劫持和窃听目前是严重的安全威胁，但随着数据加密技术的广泛使用，这一威胁可能会大大减弱。而另一方面，用户工作站在传统上被认为是比较安全的所在，但由于多种多样的“后门程序”的出现，安全则成为了问题。安全问题的动态性使得安全不可能存在一劳永逸的解决方案，而需要经历“评估 - 解决 - 再评估”的无限循环。 
3.3.3适度安全 
　　首先由于在绝大多数信息系统以及信息系统环境中，不会仅存在单一的安全威胁点，可能出现于网络设备、操作系统、数据库系统、应用系统和安全管理等诸多方面。其次，安全问题本身具有动态性，在不断的发生变化，使得不可能找到一个方法对安全问题实现百分之百的覆盖。如果这样的方法存在，它一定是从资源和成本考虑不可能被接受的。业界普遍遵循的概念是所谓的“适度安全准则”，即根据具体需求提出适度的安全目标并加以实现，而不是超越现实需求追逐更高的安全等级。 
3.3.4产品与技术分离 
　　安全方案的设计绝不是安全产品的简单应用，也不能局限于现有产品的功能，更不能将不必要的产品堆砌到方案中去。安全方案应该根据实际需求，确定安全目标，并实现安全目标，选取所需的安全产品。在现有安全产品无法满足需求时，考虑开发必要的设备的可能性。如果没有可用产品，也无法在现有状况下完成开发，则必须做出规划，或调整方案，或限制应用范围。总之，必须以客观需求和技术可行性为最高宗旨，不能因产品的限制设计出不安全的方案。 
第四章 涉密信息系统方案设计
4.1 保密产品选择依据 
•  安全保密产品的接入应该不明显影响网络系统运行效率，并满足工作的要求。 
•  涉密系统中使用的安全保密产品原则上必须选用国产设备，只有在无相应国产设备时方可选用经国家主管部门批准的国外设备。 
•  安全保密产品必须通过国家主管部门指定的测评机构的检测。 
•  安全保密产品必须具有自我保护能力。 
•  安全保密产品应符合相关的国家标准。 
4.2 安全保密产品 
4.2.1 安全扫描系统 
　　安全扫描系统通过模拟黑客的进攻手段和技术，对被检系统进行黑客攻击式的安全漏洞和安全隐患扫描，最大限度地暴露了现存网络系统中存在的安全隐患，并且提交风险评估报告；根据风险评估报告，提出相应的漏洞补救和系统安全策略的整改措施，将网络系统的运行风险降至最低，从而达到增强网络安全性的目的。通过安全扫描系统，我们可以最大限度的知道网络中存在的漏洞和隐患，经过弥补后，即使由于其他原因发生了与其他网络连接的话，也可以减少发生网络入侵的机率。 
4.2.2 防火墙 
　　防火墙是现在网络安全运用的最广泛的安全产品。防火墙（ Firewall）在网络中是一个逻辑装置，在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了受保护网络和其他网络之间的任何活动，保证了受保护网络的安全。它的主要功能在于把那些不受欢迎的访问隔离在特定网络之外。通常防火墙被放置于受保护的网络与其他网络的连接处，用来保护与其他网络相连的受保护网络。受保护网络与外部网络之间的任何数据传递都必须通过防火墙，防火墙对这些数据进行分析、处理，并根据已设置的安全规则判定是否允许通过。建立防火墙对于受保护网络免受来自外部的攻击有较好的防范作用，防火墙系统本身具备较高的系统安全级别，可以防止非法用户通过控制防火墙对内网发动攻击。 
　　同时防火墙也是一种将涉密网和非涉密网（如 Internet）分开的方法。它不仅是一些简单的保护网络安全的访问控制规则，实际上，它也是一个安全的平台。把安全的所有要素融合在一起并加以管理。它可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 
　　根据防火墙的原理和军工企业的网络结构，我们可以把防火墙安放在内部涉密网络和非涉密网络之间，经过控制内部上互联网的网络对互联网的访问，可以提高内部上互联网的网络的安全性。同时在服务器和内部网络连接处使用防火墙，使内部网络和服务器区逻辑隔离从而保护内部重要服务器。 
4.2.3 身份认证系统 
　　计算机网络系统的安全性取决于能否正确验证用户或终端的个人身份。认证业务提供了关于某人或某个事物身份的保证。这意味着当某人（或某事）声称具有一个特别的身份（如某个特定的用户名称）时，认证业务将提供某种方法来验证这一声明是正确的。常用的身份认证技术有：静态口令认证、动态口令认证、数字证书、生物特征识别。 
　　针对军工企业涉密信息系统建设中对身份认证的要求，本方案提出如下建议： 
　　1.针对涉密计算机采用一次性口令身份认证系统，也就是说采用基于PKI算法的物理介质实现对涉密计算机用户每一次登陆计算机时必须采用不同口令的效果。 
　　2.针对非涉密计算机，本方案采用操作系统自带的密码登陆方式。要求计算机管理人员在每个月随机生成与以前不同的密码口令。同时建议使用WINDOWS2000或以上及其他安全操作系统。 
4.2.4 病毒防护 
　　军工企业内部网络与外网实行物理隔离，但病毒的传播途径又很多种。例如，存储介质的使用可能导致病毒进入系统。因此，军工企业也应该有一套自己的网络防杀毒软件。 
　　基于网络病毒防杀系统需要具备以下的功能： 
•  及时发现在网络上流传的新型网络病毒，并进行查杀封堵 
•  定期自动查杀用户主机中的病毒 
•  监测用户主机和服务器中的病毒活动 
•  病毒防杀政策的集中制定 
•  自动重装，自动升级 
•  病毒库自动更新 
•  快速反馈机制，报警、汇总统计等功能 
4.2.5 安全审计 
　　安全审计系统将实现以下功能： 
•  对物理隔离网络中的拨号连接进行限制并对拨号连接进行审计 
•  对物理隔离网络中的重要文件资源的使用情况进行审计 
•  对计算机的光驱、软驱、 USB口进行控制 
•  对计算机的网络连接进行审计 
•  对所以审计日志生成记录并产生报表 
4.2.6 数据库加密 
数据库加密系统应该具有以下功能： 
•  增强的身份鉴别过程 
•  数据库存储加密 
•  数据库访问通信加密 
•  备份与恢复 
•  其它安全功能 
4.2.7 入侵检测 
入侵检测系统包括三个功能部件： 
•  提供监测网络数据流的信息源 
•  发现入侵迹象的分析引擎 
•  基于分析引擎结果产生的响应部件 
4.2.8 物理隔离卡 
　　物理隔离卡把连入 Internet国际互联网部分计算机的主机硬盘分成两个部分：同外网连接部分、同内网连接部分。当内部主机同外网连接时，物理隔离卡把同内网的连接完全物理隔离。既当主机连接外网后，完全不会对内网部分有影响。同样，当主机同内网连接时，启用同内网连接部分的硬盘区域，同其他区域完全没有关系。