1、 网络安全和解决方案概述 技术白皮书 安全 Intranet 解决方案 网络安全需求 企业 Web 应用模式与安全解决方案 本手册及其中所包含内容的版权属得实发展集团所有。除版权法允许使用的方式外,未经事先书面许可,不得对全部或部分内容复制、转载、改编或翻译。 本手册及相应的软件受产品所附的软件许可协议的约束,只能在符合该许可协议条款下使用和复制。 得实发展集团尽最大努力保证本手册的准确性和完整性,对手册中的错误和遗漏不承担任何责任。对本手册内容可能随时修改,恕不另行通知。 WebST 是得实发展集团注册商标, WebSEAL、 NetSEAL、NetSEAT、 Smart Junctions
2、 和 DASCOM DCE 是得实发展集团注册名称。 本手册提到的其它产品名称是各自公司的注册商标,特此声明。 1999 年 7 月 9907WP01 网络安全和解决方案概述 i 目录 安全 Intranet解决方案 一、 INTRANET五要素 .1 二、 通用的授权控 制的安全服务 .2 三、 授权控制 INTRANET解决方案 .3 1. WEBST功能 .3 2. WEBST组成 .3 3. WEBST适应环境 .4 4. WEBST应用实例 .4 四、 安全方案的评估 .5 网络安全需求 一、 网络安全需求概述 .7 二、 网络攻击分析 .7 三、 安全管理漏洞 .8 四、 网络安全
3、防护的一般措施 .8 五、 网络安全需求分析 .9 1. 网络层安全 .9 2. 应用层安全 .9 3. 网络安全检测 .10 企业 Web应用模式与安全解决方案 公告栏 W EB模式 .12 客户化 W EB模式 .12 企业应用 WEB模式 .13 问与答 .14 网络安全和解决方案概述 ii 网络安全和解决方案概述 1 安全 Intranet解决方案 WebST 技术和应用剖析 清华得实网络安全技术有限公司董事长 胡道元教授 在建设企业的信息技术基础设施中, Intranet已经成为十分重要的角色,据 COMDEX Research 的统计(图 1)有一半的大企业已经实施了 Intran
4、et,有 40的企业正在实施或即将实施。 2911 92 不 确 定49正 在 实 施 计 划 实 施 未 计 划 实 施已 经 实 施 I nt r a ne t图 1 最初,企业把 Intranet只是作为一个通信的工具,用来访问和浏览信息和文件,发布企业内部信息。进一步的应用,把 Intranet用于企业内部经营过程,包括文件管理、工作流程管理、项目合作,最终发展到电子商务。 一、 Intranet五要素 Intranet是基于 InternetTCP/IP协议,使用环球网 WWW工具,采用防止外界侵入的安全措施,为企业内部服务,并有连接 Internet功能的企业内部网络。 Intra
5、net的五要素是: 1. Intranet是根据企业内 部要求而设置的,它的规模和功能是根据企业经营和发展的需求确定的。 2. Intranet不是一个孤岛,它能方便地和外界连接,尤其是和 Internet的连接。 3. Intranet采用 TCP/IP的协议及相应的技术和工具,是一个开放的系统。 4. Intranet根据企业的安全需求,设置相应的防火墙和安全代理,建立一个授权控制的安全网络,以保护企业内部的信息 ,防止外界侵入。 5. Intranet广泛使用环球网 WWW的工具,使企业员工和用户能方便地浏览和采掘企业内部的以及 Internet的丰富信息资源。这些工具包括超文本标记语言
6、 HTML、公共网关接口 CGI以及新的编程语言 Java等。 随着 Intranet规模的扩大和延伸至 Extranet,以及信息资源的积累和丰富,建立一个主要基于 Web应用的、安全的授权控制 Intranet基础设施显得尤为重要。 网络安全和解决方案概述 安全 Intranet解决方案 2 二、 通用的授权控制的安全服务 开放系统互连参考模型 OSI RM精确地定义了连接异种计算机的分层结构、标准框架以及各层的功能。 TCP/IP模型也采用分层结构,并和 OSI七层参考模型有对应的关系。 ISO TC97制定的 ISO 7498 2网络安全体系结构,确定了五种基本安全服务和八种安全机制。
7、并 在 OSI七层中有相对应的关系。也就是说,完整的网络安全服务要在各个层次中实现。 在物理传输层要保证通信线路的可靠,不易被窃听。在链路层可以采用加密技术,保证通信的安全。在网络层,可以采用传统的防火墙技术,如 TCP/IP网络中,采用 IP过滤功能的路由器,以控制信息在内外网络边界的流动。在传送层可以实现进程到进程的端到端加密。在应用层可针对特定的应用实施安全服务。 在 Internet、 Intranet的环境中,地域分布很广,物理层的安全难以保证,链路层的加密技术并不完全适用。 IP过滤防火墙是已被广泛应用的、行之 有效的 Internet安全技术,但单纯防火墙技术有很大的局限性,主要
8、是不能防止网络内部的不安全因素 ;是基于网络主机地址,不能区分用户 ;是粗粒度的访问控制,无法针对具体文件进行控制。传输层的安全机制,如 Netscape公司制定的安全套接字层SSL,近来也得到广泛使用,它提供了基于进程对进程的安全服务,并可利用公钥密码进行身份认证。但传输层的安全服务机制对应用层不透明,且不适用于数据报服务的 UDP。在应用层实施安全机制,对特定的应用是有效的,如基于 SMTP电子邮件的安全增强型邮件 PEM提供了安全服务的电子邮件。 又如用于 Web的安全增强型超文本传输协议 S HTTP提供了文件级的安全服务机制。由于它是针对特定应用的,既缺乏通用性,又必须修改应用程序。
9、 一种基于能提供各种安全服务的中间件上的通用应用层安全服务克服了上述针对专门应用实施安全服务的缺陷,本文推荐的 WebST安全解决方案就是采用这种体系结构,如图 2所示。 图 2 安全中间件是基于操作系统之上的一层系统软件,它独立于操作系统,便于在不同的平台和操作系统中实现,可运行在微机、工作站、小型机和大型主机上。 WebST的安全中间件是基于 DCE分 布计算环境的网络安全模型。 DCE的安全服务可防止非法用户入侵,同时也防止进网用户进行授权之外的操作和访问,从而保护系统的安全。 DCE的安全服务包括认证、授权和用户注册三部分。安全服务通过远程过程调用 RPC实现。 WebST对 DCE作
10、了较大改进。主要是开发利用 DCE强的安全功能,并支持各种平台以提高可用性;开发新的客户端以替代原有的 DCE客户端软件,易于用户使用;改进 DCE的单元配置,易于设置和管理;针对 Web的应用和基于 TCP的应用,简化了开发;并用插入技术和授权控制的 API提高可扩展性;以及简化管理,降低 开销等。 WebST 安全中间件 操作系统( UNIX/NT)安全 Intranet解决方案 网络安全和解决方案概述 3 三、 授权控制 Intranet解决方案 1. WebST功能 作为一个安全的授权控制的 Intranet基础设施, WebST提供了以下几个安全功能 授权控制,控制不同用户对信息资源
11、的访问权限,根据安全政策,对信息资源进行集中管理,对资源的控制粒度兼有粗粒度和细粒度两种,可控制到文件、 Web的 HTML页面、图形、 CGI、Java应用等。 身份认证,作为授权控制的基础, WebST提供了对客户和服务方的双向身份认证,采用著名的 Kerberos身份认证协议和机制,基于对称密钥和公开密钥的加密方法,采用自行研制的、128位高强度密码算法,并可将其它密码算法嵌入系统。 数据保密和数据完整性,防止通过网上传输的数据被修改、删除、插入、替换或重发,以保证合法用户接收和使用该数据的真实性。可选用多种密码算法。 审计和日志, WebST在提供强的访问控制功能同时,还为每个 Web
12、服务器提供详细的日志和审计信息。 安全管理控制台,基于 Java技术开发的 WebST控制台提供了对分散在网上的众多的 Web的集中管理,对 Web对象的访问控制和 URL管理配置十分方便。 2. WebST组成 WebST的组成包括客户端软件 NetSEAT和代理服务器 WebSEAL和 NetSEAL。 NetSEAT为客户提供端到端的安全访问 Web服务器的资源,像 Netscape公司的浏览器这些商用应用软件通过 HTTP协议和 NetSEAT客户软件通信,并通过它和安全 Web服务器建立安全的远程过程调用 RPC通信。也可以直接以 TCP/IP方式和网上其它一般的 Web服务器进行通
13、信。 NetSEAT具有以下特点: 这是基于 Windows95和 WindowsNT的一个轻量级客户端软件。 用于浏览器、 FTP这类应用的安全解决方案。 用于分布计算环境的、通用的安全客户端软件。 可使传统的 DCE桌面扩展到 Java应用。 提供了通用的客户安全基础设施,既可适用对称密钥,又适用公开密钥。 WebSEAL为已有的应用服务器提供安全性保护,将已有的商用 Web服务器与 WebST安全技术集成在一起。 WebSEAL服务器通过使用灵巧连接提供 HTTP代理服务,将现有的商用 Web服务器与WebST安全技术结合在一起。可以将多个 Web服务器创建成一个统一的 Web空间,将
14、WebST的安全性扩展到一般的 Web服务器的每个页面及 CGI程序等。可以连接 Intranet外的服务器以及不在用户直接控制下的服务器。 WebSEAL服务器对所有到来的 Web请求进行监听和记录,管理 WebSEAT客户软件和商用 Web服务器之间的访问控制和数据安全性。访问 Web对象的用户请求首先由 WebSEAL服务器处理。WebSEAL服务器根据被访问对象的访问控制政策检查用户的访问权限,如果用户具有访问权限,WebSEAL服务器将 HTTP请求递交给商用服务器,由它来处理这个请求,并将结果返回给 WebSEAL服务器, WebSEAL服务器将结果用安全 RPC方式返回给 Net
15、SEAT用户,或用 HTTP方式返回给非NetSEAT用户。 NetSEAL服务器可以将任 何网络应用服务器集成到 WebST安全性之内。 NetSEAL能针对用户身份而不是 IP地址进行访问控制。它虽然不提供细粒度的访问控制功能,但能提供和 WebSEAL相同级别的数据安全性和完整性。 网络安全和解决方案概述 安全 Intranet解决方案 4 NetSEAL服务器可以为诸如 Telnet这类 Internet通用服务器提供安全性和访问控制。用户利用Telnet客户机软件和 NetSEAT客户机软件访问运行 NetSEAL服务器软件的远程主机。 NetSEAL服务器检查是否允许该用户 Tel
16、net到远程主机,如允许则向远程主机的 Telnet服务器递交 Telnet连接。因为Telnet连接必须穿过 WebST系统,所以包括用户口令在内的所有数据都经过加密,从而解决了 Telnet的安全性。 NetSEAL也可用来限制访问防火墙外面的网络资源,用户对这些外部资源的访问首先必须通过NetSEAL服务器检查,如果用户拥有相应的访问权限,请求被递交给外部资源,否则拒绝这个请求并予以提示。 NetSEAL还可有效地用于管理那些不使用 NetSEAT客户机软件的用户对企业网内外的访问,作为通用的 Internet应用代理,接受到来的 TCP和 UDP连接,按非授权用户的访问权限处理。 Ne
17、tSEAL服 务也可作为 FTP连接的应用代理服务器。根据访问控制数据库检查用户正在访问的服务器的访问控制权限。 NetSEAL作为一个高效的应用代理型防火墙,比普通的应用代理型防火墙具有以下优点: 访问控制信息都存放在集中式数据库中,保证了整个企业安全策略的一致性。 NetSEAL服务器可作任何 Internet应用的应用代理,毋需为每个应用配置特定的应用网关。 如与 NetSEAL客户机软件一起使用,作为替代传统应用代理型防火墙的 NetSEAL的能力将得到大大提高。 3. WebST适应环境 WebST能适应众多的应用环境,包括传 统的商业应用,基于 Web的应用以及兼有这两种应用,还包
18、括电子商务应用,既适用于 Intranet环境,也适用于 Extranet环境。 传统的商业应用也采用客户服务器模型,但用户通过专用的客户机对资源进行访问,关键的商业事务处理由大的数据库服务器实施,并为大量用户共享服务。为了提高在网络环境下这种运行模式的安全性,可以在客户端引入 NetSEAT客户机软件,在服务器端引入 NetSEAL软件,以获得上面分析的 NetSEAT和 NetSEAL所提供的各种安全服务。 随着 Web技术的发展,愈来愈多的应用不再单纯使用数据库 技术,而是将 Web技术集成在一起。将传统的客户服务器模式改为浏览器数据库管理系统。一些厂商开发了 Web中间件网关,如 Or
19、acle WebListener, Forte WebSDK, NeXT WebObjects和 Lotus Domino。这是一种开放结构,引入 WebST技术,是确保这种开放结构安全性的理想解决方案。 对一复杂的应用环境,可能兼有这两种模式,配置 NetSEAT、 NetSEAL和 WebSEAL,可分别通过专用客户机端和通用浏览器共享安全的数据库服务器应用。通过 Internet的电子商务,为了确保 安全,用户用浏览器通过 Internet进入电子商务系统,首先进入公钥管理服务器 PKMS,进行身份确认,然后进入 WebSEAL,经身份认证和授权控制最终进入电子商务处理服务器。 从 In
20、tranet发展到 Extranet的应用,采用 WebSEAL并结合传统的防火墙,可保证分布环境下的Extranet的安全性。 4. WebST应用实例 WebST技术和产品已经在一些重要的企事业单位应用,其中有美国的 T.Rowe Price,这是一家大的经纪、投资公司;美国加州大学的 Lawrence Livermore实验室;日本的 SECOM公司 Intranet;美国的 InfoTEST,这是由多家著名公司的产品集成在一起的测试床,以试验采用先进的信息技术缩短产品设计、生产周期的一个试验项目;日本 Canon的数字图象网络,采用 WebSEAL确保用户图象资源的安全保密以及用户负载
21、的平衡;香港新世纪电话公司,将电话和智能卡集成而成的多媒体公用安全 Intranet解决方案 网络安全和解决方案概述 5 电话亭。在国内清华大学校园网、成都飞机工业公司、得实集团公司企业网也正在采用 WebST技术,增强 Intranet的安全性。 四、 安全方案的评估 为了确定信息网络的安全策略及解决方案,首先应该评估风险,即确定侵 入破坏的机会和危害的潜在代价;其次应该评估增加的安全操作代价。在此基础上确定对危害和降低危害的代价进行均衡的策略网络安全最终是一个折衷的方案。 在评估时要考虑网络的现有环境,以及近期和远期网络发展变化的趋势。选用先进的安全体系结构和系统安全平台可以减少安全操作代
22、价,获得良好的安全强度。安全操作代价主要有以下几点: 1. 用户的方便程度。不应由于增加安全强度给用户带来很多麻烦。 2. 管理的复杂性。对增加安全强度的网络系统要易于配置和管理。 3. 对现有系统的影响。包括增加的性能开销以及对原有环境的改变等。 4. 对不同平台的支持。 网络安全系统能适应不同平台的异构环境的使用。 一个性能良好的安全系统结构和安全系统平台可以小的安全代价换取高的安全强度。 WebST提供了一个安全性很强的通用的授权控制 Intranet解决方案,根据安全政策,对信息资源进行集中管理,对资源访问进行细粒度控制,且基于严格认证的用户身份进行授权,而不是简单的基于 IP地址。同
23、时具有以下特点: 1. WebST毋需对现存网络环境的物理设备作任何修改,它可简单地建立于现有环境之上。它十分适合于当前 Intranet发展的主流技术,即基于 Web的应用,同时也能适应传统的非 Web技术的基于数据库的客户服务器应用。 2. WebST体系结构是基于安全服务中间件上的通用应用层安全服务,很容易嵌入已有的企业网中,而毋需更改已有的协议、应用程序和正在使用的服务。 3. WebST采用 Kerberos身份认证协议和自主版权的 128位密码算法,且同时支持基于对称密钥和公开密钥加密机制。 4. 基于 Java技术开发的 WebST管理控制台对地域分布很广的众多 Web安全配置、管理十分方便。 WebST安全性采用集中式控制,同时可进行远程管理。 总之, WebST为用户提供了易于使用、方便访问、灵活通用、既开放又安全的网络 环境,是一种较为完善的安全 Intranet解决方案。 网络安全和解决方案概述 安全 Intranet解决方案 6
