1网络系统安全
1.1企业网络区域边界划分状况及风险
企业网络边界布局:
(1)以企业机关为核心层和其生产厂为汇聚层构成的局域网(Intranet),部署了大量用户计算机和应用服务器;
(2)与企业上级总部主干网连通的远程SDH数字光纤专线,主要承载着视频会议数据、电子邮件和总部信息门户访问等;
(3)供企业内用户访问互联网(Internet)的电信运营商出口;
(4)供企业外部用户访问位于DMZ内的服务器和进行VPN访问企业网的联通运营商入口。
1.2对企业网络可采取的安全措施
(1)防火墙。在所有互联网(Internet)及专线出入口处安装防火墙。可选择FortiGate系列的防火墙产品,它集成了IPSec/SSLVPN、入侵防护、反病毒、反垃圾邮件和Web过滤等安全功能,将应用控制策略与身份认证策略相结合,设置了ACL,在高速交换的情况下提供防火墙和VPN流量的深度安全内容检查。可自动下载并按时升级过滤库,保护企业不会受到最新病毒、网络漏洞、蠕虫、垃圾邮件、网络钓鱼及恶意站点的侵害[1]。
(2)加密机与防毒墙。总部与企业的连接通过两端的加密机实现链路层的数据流加密。在企业的边界路由器和防火墙的内部可加装瑞星RSW-9300防毒墙。它兼具防火墙与杀毒功能,支持网页脚本以及控件的过滤,支持所有常见文件格式的查杀,杀毒时延迟更低,用户体验更好。安全策略支持多种协议的数据包过滤,可以检测当前流行的蠕虫病毒使用的系统漏洞,并对其数据流进行自动拦截。
(3)上网行为管理器。由于企业内部员工上网行为不当引起安全与管理隐患,应控制员工在上班时间上网做非工作需要事情,从而保障工作效率;对外发信息进行监控审计,避免企业机密信息泄露;有效阻止、限制严重消耗带宽的应用,使企业的核心业务带宽得以保障。可选择网康ICGNI-5000系上网行为管理产品,它基于用户准入、时间流量、应用控制、内容审计、带宽管理、协议端口等元素对员工的上网行为进行全面而灵活的策略设置,把网络风险管理提升为主动式预警控制管理。管理员可在远端利用浏览器登陆ICG管理平台查询统计与报表分析[2]。
(4)虚拟专用网(VPN)。VPN被定义为通过互联网(Internet)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,可以帮助远程用户、企业外部分支机构、商业伙伴及供应商与企业内部网(Intranet)建立可信的安全连接,并保证数据的安全传输。SSL-VPN是一个基于SSL协议的远程访问企业资源的安全方案,它采用标准的SSL对传输中的数据包进行加密,从而在应用层保护了数据的安全性。SSL协议是运行在TCP/IP协议栈中TCP之上的,协议已被集成入大部分的浏览器中,在Internet上,有企业网接入准许的计算机上都可以通过浏览器经SSL-VPN接入设备对企业资源进行安全访问。可选择美国Juniper网络公司的SA4500系列SSLVPN产品。它拥有应用层的资源访问控制,当一个用户登入之后,他不能自由的访问内网的所有资源,而必须接受SSLVPN的策略设定,有限制的访问内网资源。这样提高了VPN网络的安全性和稳定性。它的日志系统分别是用户日志、管理员日志和系统日志,都有非常详尽的记录供管理员分析。
2设施安全风险
2.1应用服务器部署状况及风险
企业核心应用系统服务器主要集中部署在机关数据中心,在做好Internet网络安全防范的基础上,还应考虑局域网内的防病毒、防攻击工作。企业内部员工试图尝试获取未授权的企业内部资源,同时随着安全漏洞不断被发现,入侵者的技巧和破坏能力不断提高,而且入侵者在实施入侵或攻击时往往同时采取多种入侵的手段。这些威胁会对企业造成很大的损失。
2.2针对服务器系统可采取的安全措施
(1)防病毒系统。可部署包括SymantecSEP11服务器(SEPM管理器及数据库)和安装在各个应用服务器的SEP11客户端。SEP11有三大部分:防病毒及防间谍软件模块、网络威胁防护模块、主动性威胁防护模块。模块可自动清除病毒;强化了对间谍软件的防护;对漏洞利用攻击的一般性拦截(主动防护技术);基于包或流的IPS(入侵防御系统);恶意软件检测和拦截;拦截外设和其读写行为;增强了对本地文件系统和应用的保护。实际中可为应用服务器启用下列防护策略:防病毒策略:启用查杀各种病毒、黑客工具、间谍软件、跟踪软件、木马程序。防火墙策略:使无法运行下载类、股票类、网络游戏类、即时通信类、在线视频类、服务器类软件。入侵防护策略:启用拒绝服务攻击、端口扫描、缓冲区溢出。外设控制策略:禁用USB存储类、3G/CDMA/GPRS接入卡、红外、蓝牙设备。
(2)入侵检测系统(IDS)。可选择天阗入侵检测与管理系统。作为风险管理类安全产品,其主要作用是协助用户了解网络的内部状况,在此主要针对数据中心服务器网络安全。它通过旁路方式部署在网络中,可将探测引擎硬件联到交换机端口,这个交换机与重要应用服务器相连,利用超级终端对探测引擎进行基本设置。使用端口流量映射方式实时抓取分析网络数据,可监控蠕虫攻击、IM/P2P事件、网络病毒、攻击事件等。依据所定策略判断是否有违规或者是恶意行为发生并告知网络管理员。所谓策略,就是告诉探测引擎,什么样的网络事件执行什么动作,包括报警、日志、发送邮件、复位TCP连接、通知进行联动的防火墙阻断等。控制中心每隔一段时间从探测引擎查询最新的事件信息供管理员分析[3]。
3应用系统安全
3.1应用运行状况及风险
随着信息化建设的不断深入发展,计算机使用范围更加普及,终端用户计算机安全问题凸现。系统漏洞、安全措施裸机运行、非法外联网络出口等成为引入病毒和黑客攻击的跳板,导致组织内部重要信息泄露或毁灭,造成不可弥补的损失。网络设备及链路是否正常也直接影响到应用系统的安全使用。
3.2针对用户系统可采取的安全措施
(1)桌面管理系统。可选择BigFix企业管理套件(BES)。在中心机房安装一台BESServer,在所有终端计算机及服务器上安装BESClient,并根据计算机终端数量设置中继BESRelay。系统采用了BigFix公司Fixlet专利技术,可自动收集所辖范围内的计算机的软硬件和联网的交换机、路由器和网络打印机等设备信息。应用功能包括:资产管理,软件分发管理,远程协助管理,补丁下发管理,漏洞扫描管理,终端安全管理,报表管理等。企业桌面计算机资产信息及安全状况数据,通过FTP的方式传送到总部的数据汇总服务器,总部可对其进行查询分析统计,并形成报表[4]。
(2)网络管理系统。可选择BrightView系列产品。它是在OpenView产品基础上的丰富和补充。配有Windows2003系统上的ORACLE9i数据库+Web服务器;SUNSolaris9系统上的HPOpenView后台进程服务器。网管系统提供网络拓扑、告警、性能分析、IP地址管理、流量管理等功能。系统采用SNMP协议进行网络管理,查看若干跳数的网络拓扑图;查看某个交换机设备的配置、性能以及每个端口下连用户计算机等情况;检查是否存在采集不到数据的设备,以在拓扑图上每一个节点状态颜色显示来分析网络设备的通断状况;通过网络异常流量的监视来捕捉和定位来自终端用户的非法行为或病毒迹象,保障网络的安全;通过IP地址统计分析,可供IT工程师全面掌握网段内的IP的在线使用状态,成为日常查找网络故障的有力诊断工具.
(3)网络杀毒系统。可选择瑞星网络版杀毒软件产品。它能及时升级,定时查杀用户计算机上的病毒木马。
4物理环境安全
物理环境安全包括在信息安全的整体框架下,是信息安全保障体系的基础和底层的支持。信息系统所在区域的物理环境安全是保护区域内计算机相关设备免遭环境事故以及周围环境因素影响。应加强不间断供电系统、温度和湿度、消防、自然灾害防御、门禁摄像监控等安全管理。
5结语
在对上述几个方面加强了信息安全防护措施后,基础设施安全条件会得到很大改善,管理更加精细到位。对于安全管理者来说,各个安全设备策略的制定,要平衡好用户便利与信息安全之间的关系。虽着日志记录的大量增加,分析工作量也会加大。另外,现在很多安全产品趋向多功能化,实际应用中要根据需解决的问题,分清主次,有针对性地选择部署。企业信息安全除了建立策略体系、技术体系之外,还应建立组织体系和建设与运行体系,这涉及管理职责落实、人员保障和培训、财力物力投入等多个层面。体系应符合企业自身特点,只有做到覆盖全面、重点突出、持续改进,抑制风险的综合效益才能最大化。
作者:匡杨 单位;中石化股份天津分公司
