如圖2-1示,國(guó)家局網(wǎng)絡(luò)一方面通過(guò)寬帶網(wǎng)與國(guó)家局直屬單位互連,另一方面國(guó)家局網(wǎng)絡(luò)經(jīng)電信公司的專(zhuān)網(wǎng)與各省局單位網(wǎng)絡(luò)互連;而各省局單位又通過(guò)專(zhuān)網(wǎng)與其各自的下屬地市局單位互連。本行業(yè)系統(tǒng)各局域網(wǎng)經(jīng)廣域線路互連構(gòu)成一個(gè)全國(guó)性的企業(yè)網(wǎng)(Intranet)。
2.2 網(wǎng)絡(luò)應(yīng)用
對(duì)于各級(jí)網(wǎng)絡(luò)系統(tǒng)通過(guò)本地局域網(wǎng),用戶間可以共享網(wǎng)絡(luò)資源(如:文件服務(wù)器、打印機(jī)等)
對(duì)于各級(jí)用戶之間,根據(jù)用戶應(yīng)用需要,通過(guò)廣域網(wǎng)絡(luò),各級(jí)用戶之間可以利用電子郵件互相進(jìn)行信息交流。
而單位間通過(guò)網(wǎng)絡(luò)互相提供瀏覽器訪問(wèn)方式對(duì)外部用戶發(fā)布信息,提供游覽、查詢等服務(wù)。如發(fā)布一些政策、規(guī)劃;網(wǎng)上報(bào)稅等。
各級(jí)用戶間還有行業(yè)數(shù)據(jù)需要通過(guò)網(wǎng)絡(luò)進(jìn)行交換。而這些數(shù)據(jù)大多都可能涉及到秘密信息。
各級(jí)單位通過(guò)網(wǎng)絡(luò)召開(kāi)電視電話會(huì)議,比如計(jì)論有關(guān)一些國(guó)家政策性的內(nèi)容,因此其內(nèi)容在網(wǎng)上傳輸也需要保密。
通過(guò)網(wǎng)絡(luò)使用單位系統(tǒng)內(nèi)部的IP電話。
第三章 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)應(yīng)用給人們帶來(lái)了無(wú)盡的好處,但隨著網(wǎng)絡(luò)應(yīng)用擴(kuò)大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī), 引起大范圍的癱瘓和損失;另外加上缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足,這些風(fēng)險(xiǎn)正日益加重。而這些風(fēng)險(xiǎn)與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等 因素密切相關(guān)。下面從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全進(jìn)行分類(lèi)描述:
3.1 物理安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有:
·地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅;
·電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失;
·設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏;
·電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱;
·報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。
3.2 鏈路傳輸風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽(tīng)裝置,竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù),再通過(guò)一些技術(shù)讀 出數(shù)據(jù)信息,造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性;以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。因此,對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò),數(shù) 據(jù)在鏈路上傳輸必須加密。并通過(guò)數(shù)字簽名及認(rèn)證技術(shù)來(lái)保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。
3.3 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析
3.3.1 來(lái)自與公網(wǎng)互聯(lián)的安全危脅
如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連。基于Internet公網(wǎng)的開(kāi)放性、國(guó)際性與自由性,內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全危脅。因?yàn)?,每天黑?都在試圖闖入Internet節(jié)點(diǎn),假如我們的網(wǎng)絡(luò)不保持警惕,可能連黑客怎么闖入的都不知道,甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其 辦公系統(tǒng)及各人主機(jī)上都有涉密信息。假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損(被攻擊或者被病毒感染),就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播, 還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò);影響所及,還可能涉及法律、金融等安全敏感領(lǐng)域。對(duì)于政府行業(yè)網(wǎng)絡(luò)系統(tǒng),國(guó)家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間 接與相連。
3.3.2 內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅
如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防護(hù)措施,內(nèi)部網(wǎng)絡(luò)容易造到來(lái)自外網(wǎng)一些不懷好意的入侵者的攻擊。如:
入侵者通過(guò)Sniffer等嗅探程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類(lèi)型、開(kāi)放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。
入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)重要信息。
惡意攻擊:入侵者通過(guò)發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊,使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。
3.3.3 內(nèi)部局域網(wǎng)的安全威脅
據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來(lái)自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu);安全管理員有意透露其用戶名及口令;內(nèi)部不懷 好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息傳播出去。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很的威脅。
3.4 系統(tǒng)的安全風(fēng)險(xiǎn)分析
所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開(kāi)發(fā)的 應(yīng)用系統(tǒng),其開(kāi)發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些"后門(mén)"或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上,系統(tǒng) 的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系,操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置,則其是漏洞百出,掌握一般攻擊技術(shù)的人都可能入侵得手。如 果進(jìn)行安全配置,比如,填補(bǔ)安全漏洞,關(guān)閉一些不常用的服務(wù),禁止開(kāi)放一些不常用而又比較敏感的端口等,那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易,這需要相當(dāng) 高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。