当前位置:Linux教程 - 网络安全 - 清华得实一汽网络安全方案(上)

清华得实一汽网络安全方案(上)



         一、网络现状与应用服务需求

     中国第一汽车集团公司(1953-1998)为中国汽车工业的著名大型国有企业,一汽集团公司厂区面积约三十多平方公里,各专业厂、处分布较广,另外厂区外的分公司和集团部门单位分布全国各地。企业网建设由总公司电子计算处统筹规划,全面安排。


      一汽集团企业网(FAWNET)由总部汽车城厂区高速光纤骨干网、Internet 接入服务网络和远程广域网组成。整个骨干网以一汽集团电算处为中心节点,向外辐射。通过十一个骨干节点,将65个专业厂、子公司与各大处室的微机和局域网连到光纤网干道上。Internet接入服务网络通过 DDN 专线与 ChinaNet 长春节点相连;广域网包括拨号网和Internet公众网。

      一汽集团企业网络提供的应用服务有计算机辅助信息管理系统、计算机辅助设计、制造、分析(CAD/CAM/CAE);办公自动化管理系统(OA系统)。

      各子网内部通讯相互独立,互不干扰;支持数据、语音和视频的同时传输。网管中心具有信息转发,信息存储共享,信息综合处理和查询服务能力的交换系统核心。具有异种机互联的能力,使用信息优选与管理及推送与网播技术服务,

    二、企业网络应用模式概述

      为什么要讨论应用模式呢?网络安全说到底是信息系统安全,其中最重要的是网络应用服务安全。只有将应用模式归纳总结清楚,才能找到解决安全的有效手段和方法。在Internet技术发展到今天的地步,过去传统的应用模式正在发生变化,演变成Intranet的模式。在这里主要讨论如下几种Intranet模型:

    集中数据库Intranet模型

    分布数据库Intranet模型

    分布式数据处理的Intranet模型

    企业间Extranet模型

    在讨论之前我们先看一下应用模式的变化。

    2.1 传统数据库应用模式向Intranet模型的转变

      传统的网络应用模式大多是数据库的Client/Server结构,目前大多数的MIS都使用这种模式,但是,随着企业应用的深入,越来越感觉到这种应用的不足,这主要体现在:需要专用客户端软件、需要专用通信协议、客户端投资较大、限制在局域网用户、难与其它技术集成等等。

      此时Internet技术发展起来了,而又解决了上述问题。这就引发了传统数据库应用模式向Intranet模型的转变的这场变革。当然这个过程不是在短时间内能完成的,需要一个较长的阶段来完成这种过渡和转变,在今后若干年中会出现两种模式并存的局面。下图说明了这两种模式的并存和转变。
    基于Web技术的主要特点如下:

    基于Web技术,使用HTTP通讯协议。

    Web服务器作为中间件连接用户端和后台数据库。

    与最先进的网络安全技术WebST有良好的结合性。

    将应用范围扩展到了远程用户。

    客户端基于统一的Web浏览器。

    客户端培训、升级简单,投资小。

    易于将多种不同技术集成在一起。

    Intranet模式,易于建立Extranet。


    2.2 集中数据库Intranet模型

      集中式数据库的Intranet适用于中小型企业的信息管理,其特点是整个企业网络应用采用集中的数据库服务器和Web服务器。用户可以分布在局域网内部或通过公共网络连接的广域网上,通过各种网络连接形式访问企业的Web服务器,通过Web服务器访问后台数据库服务器。要求根据用户的身份对企业信息进行授权的访问控制,对敏感信息必须进行加密传输。

    2.3 分布数据库Intranet模型

      分布式数据库的Intranet适用于大型企业的信息管理,其特点是整个企业网络应用分布在多台数据库服务器和Web服务器上,这些服务器甚至在地理上都是分散的。用户分布在由通过公共网络连接起来的多个局域网内部和广域网上,通过Web服务访问后台数据库服务器。这些数据库服务器都是独立处理企业某一类型的信息,相互间并不需要进行直接的通讯。安全方面要求同前。

    2.4 分布式数据处理的Intranet模型

      分布式数据处理的Intranet也是适用于大型企业的信息管理和过程控制,其特点也是整个企业网络应用分布在分散的多台数据库服务器和Web服务器上,用户通过Web服务访问后台数据库服务器,不同的是这些数据库服务器都是有着某些联系,相互间需要进行直接的通讯以及数据交换和传递。对安全的要求与上文是一致的。

    2.5 企业间Extranet模型

      企业间的Extranet模型适用于企业间或企业与客户、供应商等合作伙伴之间提供信息共享服务。这是在企业各自的Intranet基础上,将企业的部分相关信息向企业外提供服务。其特点是相关信息分布在不同企业Intranet Intrane中,不同企业的用户为了某个共同的目标需要相互共享有关数据,同时要保证这些数据的安全和企业Intranet内部的安全。
    .6 WebST应用服务的安全手段

      WebST 是基于应用的安全解决方案,具有身份认证、访问控制、安全通信和安全管理等特性。在企业Intranet中,这些功能和特性都起着非常重要的作用,在探讨一汽的应用模式前,先对与Intranet应用有关的一些安全概念和特性作简单介绍。

      WebSEAL对Web对象实现细粒度访问控制

      WebSEAL服务器本身包括一个Web服务器,可以接受HTTP请求,有自己的web空间,同时也可作为HTTP代理支持第三方Web服务器,使没有访问控制的第三方Web服务器具有相同的安全性。

      SmartJunction 安全的Web服务代理

      WebSEAL可以将第三方Web服务器资源空间SmartJunction(灵巧连接)到WebSEAL服务器上,两者构成一个统一的Web空间。WebSEAL作为HTTP请求安全代理来自客户端的Web请求,无论是NetSEAT(WebST 的安全客户端软件包)授权用户还是非授权用户(非NetSEAT客户,也就是普通HTTP用户,对WebSEAL服务器来说是“非授权用户”),首先由WebSEAL服务器处理。WebSEAL服务器根据对象的ACL检查用户的访问权限,如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给第三方Web服务器,由它来处理这个请求并将结果返回给WebSEAL服务器,然后WebSEAL服务器将这个结果按安全RPC( Remote Procedure Call ) 方式返回给NetSEAT用户,或按HTTP方式返回给非NetSEAT用户。

      NetSEAL 实现对应用服务的粗粒度访问控制

      NetSEAL服务器可以将任何基于TCP/IP协议的网络应用服务集成到WebST安全范围之内。NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用,NetSEAL和WebSEAL一样,提供相同级别的数据安全性和完整性。NetSEAL起到了分布式防火墙的功能。

      NetSEAT 建立用户到服务的安全的通信通道

      NetSEAT安全客户端软件是运行在客户端的瘦型的DCE客户端软件,用来进行身份认证和建立安全通讯通道。

      NetSEAT对应用的客户端软件不作任何改变,采用两种方式结合。一是采用本地应用代理方式, 如在浏览器中将代理设置成本地的某个端口,而这个端口由NetSEAT进行监听。另一种是陷阱方式,由NetSEAL设置IP陷阱、监视和截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。

      如果客户端没有运行NetSEAT,则该客户只能作为非授权用户,不能进入WebST的安全域。只能访问公开的数据。

      安全域是安全管理的范围和空间

      对于一个严密和安全的系统,系统管理要有明确的任务和责任。为了安全管理,必须指定WebST安全的范围。这个安全范围或称作基本单元就称为WebST安全域。

      一个企业可能需要一个独立的安全域,也可能需要几个安全域。配置合适的安全域需要考虑以下几个因素:单位的大小,目的、需要和特殊的需求,安全性,网络拓扑结构,以及管理和开销。

      WebST的位置

    WebST 可以保护传统应用和基于Web的BWD模式应用的安全,使用NetSEAL和NetSEAT可以为传统基于数据库的客户和服务器提供安全保护,WebSEAL和NetSEAT可以为基于Web的应用服务提供安全保护。

    发布人:Crystal 来自:天极网