清华得实一汽网络安全方案(上)
一、网络现状与应用服务需求
中国第一汽车集团公司(1953-1998)为中国汽车工业的著名大型国有企业,一汽集团公司厂区面积约三十多平方公里,各专业厂、处分布较广,另外厂区外的分公司和集团部门单位分布全国各地。企业网建设由总公司电子计算处统筹规划,全面安排。
一汽集团企业网(FAWNET)由总部汽车城厂区高速光纤骨干网、Internet 接入服务网络和远程广域网组成。整个骨干网以一汽集团电算处为中心节点,向外辐射。通过十一个骨干节点,将65个专业厂、子公司与各大处室的微机和局域网连到光纤网干道上。Internet接入服务网络通过 DDN 专线与 ChinaNet 长春节点相连;广域网包括拨号网和Internet公众网。
一汽集团企业网络提供的应用服务有计算机辅助信息管理系统、计算机辅助设计、制造、分析(CAD/CAM/CAE);办公自动化管理系统(OA系统)。
各子网内部通讯相互独立,互不干扰;支持数据、语音和视频的同时传输。网管中心具有信息转发,信息存储共享,信息综合处理和查询服务能力的交换系统核心。具有异种机互联的能力,使用信息优选与管理及推送与网播技术服务,
二、企业网络应用模式概述
为什么要讨论应用模式呢?网络安全说到底是信息系统安全,其中最重要的是网络应用服务安全。只有将应用模式归纳总结清楚,才能找到解决安全的有效手段和方法。在Internet技术发展到今天的地步,过去传统的应用模式正在发生变化,演变成Intranet的模式。在这里主要讨论如下几种Intranet模型:
集中数据库Intranet模型
分布数据库Intranet模型
分布式数据处理的Intranet模型
企业间Extranet模型
在讨论之前我们先看一下应用模式的变化。
2.1 传统数据库应用模式向Intranet模型的转变
传统的网络应用模式大多是数据库的Client/Server结构,目前大多数的MIS都使用这种模式,但是,随着企业应用的深入,越来越感觉到这种应用的不足,这主要体现在:需要专用客户端软件、需要专用通信协议、客户端投资较大、限制在局域网用户、难与其它技术集成等等。
此时Internet技术发展起来了,而又解决了上述问题。这就引发了传统数据库应用模式向Intranet模型的转变的这场变革。当然这个过程不是在短时间内能完成的,需要一个较长的阶段来完成这种过渡和转变,在今后若干年中会出现两种模式并存的局面。下图说明了这两种模式的并存和转变。
基于Web技术的主要特点如下:
基于Web技术,使用HTTP通讯协议。
Web服务器作为中间件连接用户端和后台数据库。
与最先进的网络安全技术WebST有良好的结合性。
将应用范围扩展到了远程用户。
客户端基于统一的Web浏览器。
客户端培训、升级简单,投资小。
易于将多种不同技术集成在一起。
Intranet模式,易于建立Extranet。
2.2 集中数据库Intranet模型
集中式数据库的Intranet适用于中小型企业的信息管理,其特点是整个企业网络应用采用集中的数据库服务器和Web服务器。用户可以分布在局域网内部或通过公共网络连接的广域网上,通过各种网络连接形式访问企业的Web服务器,通过Web服务器访问后台数据库服务器。要求根据用户的身份对企业信息进行授权的访问控制,对敏感信息必须进行加密传输。
2.3 分布数据库Intranet模型
分布式数据库的Intranet适用于大型企业的信息管理,其特点是整个企业网络应用分布在多台数据库服务器和Web服务器上,这些服务器甚至在地理上都是分散的。用户分布在由通过公共网络连接起来的多个局域网内部和广域网上,通过Web服务访问后台数据库服务器。这些数据库服务器都是独立处理企业某一类型的信息,相互间并不需要进行直接的通讯。安全方面要求同前。
2.4 分布式数据处理的Intranet模型
分布式数据处理的Intranet也是适用于大型企业的信息管理和过程控制,其特点也是整个企业网络应用分布在分散的多台数据库服务器和Web服务器上,用户通过Web服务访问后台数据库服务器,不同的是这些数据库服务器都是有着某些联系,相互间需要进行直接的通讯以及数据交换和传递。对安全的要求与上文是一致的。
2.5 企业间Extranet模型
企业间的Extranet模型适用于企业间或企业与客户、供应商等合作伙伴之间提供信息共享服务。这是在企业各自的Intranet基础上,将企业的部分相关信息向企业外提供服务。其特点是相关信息分布在不同企业Intranet Intrane中,不同企业的用户为了某个共同的目标需要相互共享有关数据,同时要保证这些数据的安全和企业Intranet内部的安全。
.6 WebST应用服务的安全手段
WebST 是基于应用的安全解决方案,具有身份认证、访问控制、安全通信和安全管理等特性。在企业Intranet中,这些功能和特性都起着非常重要的作用,在探讨一汽的应用模式前,先对与Intranet应用有关的一些安全概念和特性作简单介绍。
WebSEAL对Web对象实现细粒度访问控制
WebSEAL服务器本身包括一个Web服务器,可以接受HTTP请求,有自己的web空间,同时也可作为HTTP代理支持第三方Web服务器,使没有访问控制的第三方Web服务器具有相同的安全性。
SmartJunction 安全的Web服务代理
WebSEAL可以将第三方Web服务器资源空间SmartJunction(灵巧连接)到WebSEAL服务器上,两者构成一个统一的Web空间。WebSEAL作为HTTP请求安全代理来自客户端的Web请求,无论是NetSEAT(WebST 的安全客户端软件包)授权用户还是非授权用户(非NetSEAT客户,也就是普通HTTP用户,对WebSEAL服务器来说是“非授权用户”),首先由WebSEAL服务器处理。WebSEAL服务器根据对象的ACL检查用户的访问权限,如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给第三方Web服务器,由它来处理这个请求并将结果返回给WebSEAL服务器,然后WebSEAL服务器将这个结果按安全RPC( Remote Procedure Call ) 方式返回给NetSEAT用户,或按HTTP方式返回给非NetSEAT用户。
NetSEAL 实现对应用服务的粗粒度访问控制
NetSEAL服务器可以将任何基于TCP/IP协议的网络应用服务集成到WebST安全范围之内。NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用,NetSEAL和WebSEAL一样,提供相同级别的数据安全性和完整性。NetSEAL起到了分布式防火墙的功能。
NetSEAT 建立用户到服务的安全的通信通道
NetSEAT安全客户端软件是运行在客户端的瘦型的DCE客户端软件,用来进行身份认证和建立安全通讯通道。
NetSEAT对应用的客户端软件不作任何改变,采用两种方式结合。一是采用本地应用代理方式, 如在浏览器中将代理设置成本地的某个端口,而这个端口由NetSEAT进行监听。另一种是陷阱方式,由NetSEAL设置IP陷阱、监视和截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。
如果客户端没有运行NetSEAT,则该客户只能作为非授权用户,不能进入WebST的安全域。只能访问公开的数据。
安全域是安全管理的范围和空间
对于一个严密和安全的系统,系统管理要有明确的任务和责任。为了安全管理,必须指定WebST安全的范围。这个安全范围或称作基本单元就称为WebST安全域。
一个企业可能需要一个独立的安全域,也可能需要几个安全域。配置合适的安全域需要考虑以下几个因素:单位的大小,目的、需要和特殊的需求,安全性,网络拓扑结构,以及管理和开销。
WebST的位置
WebST 可以保护传统应用和基于Web的BWD模式应用的安全,使用NetSEAL和NetSEAT可以为传统基于数据库的客户和服务器提供安全保护,WebSEAL和NetSEAT可以为基于Web的应用服务提供安全保护。
发布人:Crystal 来自:天极网