信息安全方案.docx

某企業(yè)信息安全解決方案解析 楊小敏本文以某大型企業(yè)信息安全解決方案為例，闡述如何構(gòu)建一個全面的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，以確保企業(yè)的信息網(wǎng)絡(luò)和數(shù)據(jù)安全，避免由于安全事故給企業(yè)造成不必要的損失。 某企業(yè)總部設(shè)在廣州，由三方股東共同投資組建，其中中方股東占51%股份，英國某公司和香港某公司分別占24.5%股份。該公司擁有中南地區(qū)廣州、桂林、長沙、武漢、鄭州等共十五個分公司的經(jīng)營業(yè)務(wù)，2004年銷售收入逾40億元，在國內(nèi)同行業(yè)中是最大的中外合資企業(yè)。 該企業(yè)信息化建設(shè)起步于2000年底，到目前已建成覆蓋整個企業(yè)的網(wǎng)絡(luò)平臺，網(wǎng)絡(luò)設(shè)備以Cisco為主。在數(shù)據(jù)通信方面，以廣州為中心與汕頭、湛江、桂林、北海、南寧、長沙、張家界、武漢、宜昌、鄭州共10個城市通過1M幀中繼專線實現(xiàn)點對點連接，其他城市和移動用戶使用ADSL、CDMA登錄互聯(lián)網(wǎng)后通過VPN連接到企業(yè)內(nèi)網(wǎng)，或者通過PSTN撥號連接。在公司的網(wǎng)絡(luò)平臺上運行著辦公自動化系統(tǒng)、SAP的ERP系統(tǒng)、電子郵件系統(tǒng)、網(wǎng)絡(luò)視頻會議系統(tǒng)、VoIP語音系統(tǒng)、企業(yè)Web網(wǎng)站，以及工控SCADA系統(tǒng)接口、FHS自動加油系統(tǒng)接口、海關(guān)監(jiān)管系統(tǒng)、互聯(lián)網(wǎng)接入、網(wǎng)上銀行等數(shù)字化應(yīng)用，對企業(yè)的日常辦公和經(jīng)營管理起到重要的支撐作用。 圖1 某企業(yè)的信息安全綜合防衛(wèi)體系該企業(yè)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)始于2002年，經(jīng)過幾年的不斷投入和發(fā)展，企業(yè)的網(wǎng)絡(luò)安全體系已經(jīng)相當(dāng)完善。該企業(yè)信息安全防護(hù)方案和策略主要由以下各部分組成: Internet安全接入; 防火墻訪問控制; 用戶認(rèn)證系統(tǒng); 入侵檢測系統(tǒng); 網(wǎng)絡(luò)防病毒系統(tǒng); VPN加密系統(tǒng); 網(wǎng)絡(luò)設(shè)備及服務(wù)器加固; 桌面電腦安全管理系統(tǒng); SCADA系統(tǒng)防護(hù)方案; 數(shù)據(jù)備份系統(tǒng); 網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識教育。 該企業(yè)的安全網(wǎng)絡(luò)拓?fù)淙绺綀D所示，下面具體闡述各安全子系統(tǒng)的功能和實現(xiàn)方法。 1.安全的互聯(lián)網(wǎng)接入 該企業(yè)內(nèi)部網(wǎng)絡(luò)的每位員工要隨時登錄互聯(lián)網(wǎng)，因此Internet接入平臺的安全是該企業(yè)信息系統(tǒng)安全的關(guān)鍵部分。 如附圖所示，該企業(yè)采用PIX515作為外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時經(jīng)過NetEye防火墻，再由PIX映射到互聯(lián)網(wǎng)。PIX與NetEye之間形成了DMZ區(qū)，需要提供互聯(lián)網(wǎng)服務(wù)的郵件服務(wù)器、Web 服務(wù)器等防止在該DMZ區(qū)內(nèi)。該防火墻安全策略如下: （1） 從Internet上只能訪問到DMZ內(nèi)Web服務(wù)器的80端口和郵件服務(wù)器的25端口; （2） 從Internet和DMZ區(qū)不能訪問內(nèi)部網(wǎng)任何資源; （3） 從Internet訪問內(nèi)部網(wǎng)資源只能通過VPN系統(tǒng)進(jìn)行。 為了防止病毒從Internet進(jìn)入內(nèi)部網(wǎng)，該企業(yè)在DMZ區(qū)部署了網(wǎng)關(guān)防病毒系統(tǒng)。目前，該企業(yè)采用Symantec Web Security 3.0防病毒系統(tǒng)，對來自互聯(lián)網(wǎng)的網(wǎng)頁內(nèi)容和附件等信息設(shè)定了合理的過濾規(guī)則，阻斷來自互聯(lián)網(wǎng)的各種病毒。 2、防火墻訪問控制 PIX防火墻提供PAT服務(wù)，配置IPSec加密協(xié)議實現(xiàn)VPN撥號連接以及端到端VPN連接，并通過擴(kuò)展ACL對進(jìn)出防火墻的流量進(jìn)行嚴(yán)格的端口服務(wù)控制。 NetEye防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZ區(qū)之間，它允許內(nèi)網(wǎng)所有主機(jī)能夠訪問DMZ區(qū)，但DMZ區(qū)進(jìn)入內(nèi)網(wǎng)的流量則進(jìn)行嚴(yán)格的過濾。 3.用戶認(rèn)證系統(tǒng) 用戶認(rèn)證系統(tǒng)主要用于解決電話撥號和VPN接入的安全問題，它是從完善系統(tǒng)用戶認(rèn)證、訪問控制和使用審計方面的功能來增強(qiáng)系統(tǒng)的安全性。 該企業(yè)采用思科的ACS用戶認(rèn)證系統(tǒng)。在主域服務(wù)器上安裝Radius服務(wù)器，在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。撥號用戶和VPN用戶身份認(rèn)證在Radius服務(wù)器上進(jìn)行，用戶賬號集中在主域服務(wù)器上開設(shè)。系統(tǒng)中設(shè)置了嚴(yán)格的用戶訪問策略和口令策略，強(qiáng)制用戶定期更改口令。同時配置了一臺VPN日志服務(wù)器，記錄所有VPN用戶的訪問，而撥號用戶的訪問則記錄在Radius服務(wù)器中，作為系統(tǒng)審計的依據(jù)。系統(tǒng)管理員可以根據(jù)需要制定用戶身份認(rèn)證策略，表1就是一個實例。 表1 用戶身份認(rèn)證策略一例序號認(rèn)證要求實現(xiàn)方式1撥號用戶接入認(rèn)證用戶賬號和口令在Cisco ACS Server。2VPN用戶認(rèn)證用戶賬號和口令在Cisco ACS Server。3內(nèi)部用戶訪問Internet認(rèn)證用戶賬號和口令在Symantec WebSecurity。4. 入侵檢測系統(tǒng) 在系統(tǒng)中關(guān)鍵的部位安裝基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，可以使得系統(tǒng)管理員能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)中發(fā)生的安全事件，并能及時做出響應(yīng)。 根據(jù)該企業(yè)網(wǎng)絡(luò)應(yīng)用的實際情況，在互聯(lián)網(wǎng)流量匯聚的交換機(jī)處部署了一套CA eTrust Intrusion Detection，它可實時監(jiān)控內(nèi)部網(wǎng)中發(fā)生的安全事件，使得管理員及時做出反應(yīng)，并可記錄內(nèi)部用戶對Internet的訪問，管理者可審計Internet接入平臺是否被濫用。當(dāng)沖擊波病毒爆發(fā)時，該系統(tǒng)能夠顯示出哪些主機(jī)感染了病毒而不停地向其他網(wǎng)絡(luò)主機(jī)發(fā)出廣播包。 企業(yè)的網(wǎng)絡(luò)管理員可以根據(jù)實際應(yīng)用環(huán)境對IDS進(jìn)行詳細(xì)配置，并在實踐中根據(jù)需要隨時調(diào)整配置參數(shù)。表2舉例說明如何配置IDS以及時發(fā)現(xiàn)黑客攻擊行為并提供審計日志。 表2 IDS的配置策略序號客戶端服務(wù)端行 為動 作備 注1AnyWeb服務(wù)器所有基于Web服務(wù)的攻擊報警并記錄日志監(jiān)控Web服務(wù)器是否受到來自Internet的攻擊。2AnyMail服務(wù)器所有基于Web、SMTP服務(wù)器的攻擊報警并記錄日志監(jiān)控Mail服務(wù)器是否受到來自Internet的攻擊。3AnyWeb服務(wù)器 Mail服務(wù)器所有http請求記錄日志記錄來自Internet的所有http請求，一旦服務(wù)器受到攻擊，可從該記錄內(nèi)就行攻擊查找。4內(nèi)部網(wǎng)用戶Any地址掃描端口掃描報警并記錄日志監(jiān)控內(nèi)部網(wǎng)用戶是否有對Internet的攻擊行為（包括主動攻擊和撥號用戶或蠕蟲的攻擊）。5VPN用戶和拔號用戶Any端口掃描所有漏洞掃描告警并記錄日志監(jiān)控VPN用戶和撥號用戶用戶是否有對內(nèi)部網(wǎng)的攻擊行為。該IDS系統(tǒng)曾為本企業(yè)及時發(fā)現(xiàn)蠕蟲病毒起到關(guān)鍵作用。當(dāng)時是2003年底，企業(yè)網(wǎng)絡(luò)中出現(xiàn)一些異常情況，2個省外分支機(jī)構(gòu)的員工通過長途網(wǎng)絡(luò)專線訪問廣州總部OA服務(wù)器時，訪問速度特別慢，而且經(jīng)常掉線。該企業(yè)網(wǎng)絡(luò)管理員開始懷疑是專線傳輸問題，并向電信運營商報了故障。運營商對這些數(shù)據(jù)專線傳輸路徑的每一環(huán)節(jié)進(jìn)行測試，未發(fā)現(xiàn)任何問題。幾經(jīng)周折，網(wǎng)絡(luò)管理員在查看IDS實時監(jiān)測記錄時，發(fā)現(xiàn)分支機(jī)構(gòu)的一些主機(jī)正在不斷地向其他網(wǎng)段的主機(jī)發(fā)送大量的廣播包，網(wǎng)絡(luò)管理員立即意識到這些主機(jī)很可能感染了I-Worm/China沖擊波病毒。這一病毒正是利用微軟系統(tǒng)的多重漏洞，通過發(fā)送大量數(shù)據(jù)包使得網(wǎng)絡(luò)流量劇增，最后導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定甚至癱瘓。管理員根據(jù)IDS偵測出來的異常主機(jī)的IP地址，通知用戶拔去網(wǎng)線，這時網(wǎng)絡(luò)立即恢復(fù)正常訪問速度，遠(yuǎn)程主機(jī)互“PING”響應(yīng)時間均在15ms以內(nèi)，剩下的工作就是為這些感染病毒的主機(jī)進(jìn)行安全處理。 5. 網(wǎng)絡(luò)防病毒系統(tǒng) 該企業(yè)全面地布置了防病毒系統(tǒng)，包括客戶機(jī)、文件服務(wù)器、郵件服務(wù)器和OA服務(wù)器。 該企業(yè)采用McAfee TVD防病毒系統(tǒng)保護(hù)客戶機(jī)和文件服務(wù)器的安全，客戶機(jī)每天定時從McAfee服務(wù)器通過FTP方式下載并安裝最新的病毒代碼庫。 該企業(yè)電子郵件系統(tǒng)運行在Domino平臺上，采用了McAfee針對Domino數(shù)據(jù)庫的病毒過濾模塊，對發(fā)送和接手的郵件附件進(jìn)行病毒掃描和隔離。 由于該企業(yè)OA服務(wù)器是運行在Sun Solaris上的，NAI McAfee TVD沒有運行于該平臺上的軟件，因此采用了賽門鐵克的SAVF for Domino系統(tǒng)來實現(xiàn)病毒防范。 6. VPN加密系統(tǒng) 該企業(yè)通過PIX防火墻建立了基于IPSec國際標(biāo)準(zhǔn)協(xié)議的虛擬專網(wǎng)VPN，采用3DEC加密算法實現(xiàn)了信息在互聯(lián)網(wǎng)上的安全傳輸。 VPN系統(tǒng)主要用于該企業(yè)移動辦公的員工提供互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時為企業(yè)內(nèi)網(wǎng)ERP用戶訪問大股東集團(tuán)公司的SAP系統(tǒng)提供VPN加密連接。 需要注意的是，由于VPN機(jī)制需要執(zhí)行加密和解密過程，其傳輸效率將因此降低3040，因此對于關(guān)鍵業(yè)務(wù)，如果有條件應(yīng)該盡可能采用數(shù)據(jù)專線方式。 7. 網(wǎng)絡(luò)設(shè)備及服務(wù)器加固 該企業(yè)網(wǎng)絡(luò)管理員定期對各種網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行安全性掃描和滲透測試，及時發(fā)現(xiàn)漏洞并采取補救措施。 安全性掃描主要是利用一些掃描工具，包括Retina、X-Scan、SuperScan、LanGuard等，模擬黑客的方法和手段，以匿名身份接入網(wǎng)絡(luò)，對網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行掃描并進(jìn)行分析，目的是發(fā)現(xiàn)系統(tǒng)存在的各種漏洞。 進(jìn)行滲透測試時，網(wǎng)絡(luò)管理員預(yù)先假設(shè)攻擊者來自用戶內(nèi)部網(wǎng)，該攻擊者在內(nèi)部網(wǎng)以匿名身份接入網(wǎng)絡(luò)，起初不具備進(jìn)入任何系統(tǒng)的權(quán)限。通過利用掃描階段發(fā)現(xiàn)的系統(tǒng)中的安全漏洞，以黑客使用的手段對系統(tǒng)進(jìn)行模擬攻擊，最大限度地得到系統(tǒng)的控制權(quán)。例如，利用Unix系統(tǒng)的/bin/login ,無需任何身份驗證即可遠(yuǎn)程非法登錄漏洞以及priocntl系統(tǒng)調(diào)用漏洞，通過緩沖溢出進(jìn)入系統(tǒng)后進(jìn)行權(quán)限提升，即可獲得Root權(quán)限。 根據(jù)安全掃描和滲透測試的結(jié)果，網(wǎng)絡(luò)管理員即可有針對性地進(jìn)行系統(tǒng)加固，具體加固措施包括: （1） 關(guān)閉不必要的網(wǎng)絡(luò)端口; （2）視網(wǎng)絡(luò)應(yīng)用情況禁用ICMP、SNMP等協(xié)議; （3） 安裝最新系統(tǒng)安全補丁; （4） 采用SSH而不是Telnet進(jìn)行遠(yuǎn)程登錄; （5） 調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省服務(wù); （6） 啟用系統(tǒng)安全審計日志。 以上措施主要用于防范系統(tǒng)中的非法掃描、利用系統(tǒng)漏洞進(jìn)行緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、非法遠(yuǎn)程登錄等黑客攻擊行為。 8. 桌面電腦安全管理系統(tǒng) 該企業(yè)的辦公人員幾乎每人配置了一臺筆記本或臺式計算機(jī)，幾百臺終端計算機(jī)的安全管理是該企業(yè)IT管理人員必須解決的問題。目前，該企業(yè)采用LANDesk安全管理套件系統(tǒng)來加強(qiáng)對桌面電腦的安全管理。該系統(tǒng)主要具有如下功能: 補丁管理 補丁管理是LAN-Desk系統(tǒng)的主要功能之一，主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避免蠕蟲病毒、黑客攻擊和木馬程序等。 LANDesk補丁管理器能夠高效地實現(xiàn)安全補丁管理。補丁程序能夠從全球統(tǒng)一的補丁管理服務(wù)器自動下載，并自動分發(fā)到每臺桌面電腦，無需IT人員干預(yù)。補丁程序在分發(fā)安裝前，都經(jīng)過本地服務(wù)器的測試，從而確保補丁自身的安全性，避免損壞用戶系統(tǒng)。 由于LANDesk采用全自動補丁分發(fā)方式，大大減輕了管理員的負(fù)荷，而更重要的是能夠及時發(fā)現(xiàn)操作系統(tǒng)的漏洞并第一時間自動進(jìn)行修補，從而有效地保護(hù)OA用戶的電腦免受破壞。 間諜軟件檢測 基于LAN-Desk隨時更新的集中化安全管理核心數(shù)據(jù)庫，該系統(tǒng)能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。 安全威脅分析 LANDesk提供自動的威脅分析功能，它能夠自動檢測桌面電腦的配置風(fēng)險，包括共享、口令、瀏覽器等安全問題，并自動進(jìn)行修補或提出修改建議。 應(yīng)用程序阻止 用戶隨意安裝的游戲等應(yīng)用程序可能導(dǎo)致系統(tǒng)紊亂、沖突，影響正常辦公。LANDesk提供的應(yīng)用程序管理功能可以通過遠(yuǎn)程執(zhí)行指令，阻止有關(guān)應(yīng)用程序的運行。 設(shè)備訪問控制 LANDesk通過硬件級別的管理功能，可以對用戶電腦的硬件采用適當(dāng)?shù)脑L問控制策略，限制對網(wǎng)絡(luò)、驅(qū)動器、通信端口、USB和無線頻道的訪問，防止關(guān)鍵數(shù)據(jù)丟失和未授權(quán)訪問。 IT資產(chǎn)管理 對該企業(yè)所有上網(wǎng)電腦進(jìn)行在線管理。該系統(tǒng)能夠自動掃描在線電腦的配置信息，包括硬件配置、軟件配置的詳細(xì)信息，如生產(chǎn)廠家、型號、產(chǎn)品序列號、組件參數(shù)、IP地址、操作系統(tǒng)類型、應(yīng)用程序安裝情況等等，并可進(jìn)行分類、根據(jù)需要形成不同報表。 9. SCADA工控系統(tǒng)防護(hù)方案 由于中方大股東集團(tuán)公司ERP系統(tǒng)需要在SCADA系統(tǒng)上采集各種實時數(shù)據(jù)，因此必須在SCADA系統(tǒng)與企業(yè)局域網(wǎng)之間建立一個安全的數(shù)據(jù)通道。 考慮到工控網(wǎng)絡(luò)和局域網(wǎng)都處于相對比較安全的企業(yè)內(nèi)網(wǎng)，因此采用防火墻方式進(jìn)行隔離，而沒有采用網(wǎng)閘方式物理隔離，這樣可以降低成本。 該企業(yè)采用了NetScreen防火墻，在工控網(wǎng)與局域網(wǎng)之間進(jìn)行流量過濾，它禁止局域網(wǎng)中任何主機(jī)對工控網(wǎng)的訪問，僅允許特定流量從工控網(wǎng)傳輸?shù)狡髽I(yè)局域網(wǎng)的特定主機(jī)，以完成SCADA實時數(shù)據(jù)向ERP系統(tǒng)的傳送。 10. 數(shù)據(jù)備份系統(tǒng) 目前該企業(yè)采用HP 1/8磁帶自動裝載機(jī)對企業(yè)數(shù)據(jù)進(jìn)行備份，該磁帶庫可以同時裝載9盒磁帶，能夠根據(jù)預(yù)先定義好的備份策略自動裝載磁帶，自動執(zhí)行定義好的備份策略，壓縮后最大存儲容量為640GB。備份軟件采用Legato NetWorker網(wǎng)絡(luò)備份管理系統(tǒng)。該系統(tǒng)運行穩(wěn)定，備份和恢復(fù)效果較好。 11. 網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識教育 該企業(yè)主要開展以下工作: （1）開展計算機(jī)