信息安全方案.docx

1、某企业信息安全解决方案解析 ■ 杨小敏 本文以某大型企业信息安全解决方案为例，阐述如何构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失。 某企业总部设在广州，由三方股东共同投资组建，其中中方股东占51%股份，英国某公司和香港某公司分别占24.5%股份。该公司拥有中南地区广州、桂林、长沙、武汉、郑州等共十五个分公司的经营业务，2004年销售收入逾40亿元，在国内同行业中是最大的中外合资企业。 该企业信息化建设起步于2000年底，到目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以广州为中

2、心与汕头、湛江、桂林、北海、南宁、长沙、张家界、武汉、宜昌、郑州共10个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及工控SCADA系统接口、FHS自动加油系统接口、海关监管系统、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。 图1 某企业的信息安全综合防卫体系 该企业网络安全系统建设始于2002年，经过几年的不断投入和发展，企

3、业的网络安全体系已经相当完善。该企业信息安全防护方案和策略主要由以下各部分组成: ● Internet安全接入; ● 防火墙访问控制; ● 用户认证系统; ● 入侵检测系统; ● 网络防病毒系统; ● VPN加密系统; ● 网络设备及服务器加固; ● 桌面电脑安全管理系统; ● SCADA系统防护方案; ● 数据备份系统; ● 网络安全制度建设及人员安全意识教育。 该企业的安全网络拓扑如附图所示，下面具体阐述各安全子系统的功能和实现方法。 1.安全的互联网接入 该企业内部网络的每位员工要随时登录互联网，因此Internet接入平台的安全是

4、该企业信息系统安全的关键部分。 如附图所示，该企业采用PIX515作为外部边缘防火墙，其内部用户登录互联网时经过NetEye防火墙，再由PIX映射到互联网。PIX与NetEye之间形成了DMZ区，需要提供互联网服务的邮件服务器、Web 服务器等防止在该DMZ区内。该防火墙安全策略如下: （1） 从Internet上只能访问到DMZ内Web服务器的80端口和邮件服务器的25端口; （2） 从Internet和DMZ区不能访问内部网任何资源; （3） 从Internet访问内部网资源只能通过VPN系统进行。 为了防止病毒从Internet进入内部网，该企业在DMZ区部署了网关防

5、病毒系统。目前，该企业采用Symantec Web Security 3.0防病毒系统，对来自互联网的网页内容和附件等信息设定了合理的过滤规则，阻断来自互联网的各种病毒。 2、防火墙访问控制 PIX防火墙提供PAT服务，配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接，并通过扩展ACL对进出防火墙的流量进行严格的端口服务控制。 NetEye防火墙处于内部网络与DMZ区之间，它允许内网所有主机能够访问DMZ区，但DMZ区进入内网的流量则进行严格的过滤。 3.用户认证系统 用户认证系统主要用于解决电话拨号和VPN接入的安全问题，它是从完善系统用户认证、访问控制和使用

6、审计方面的功能来增强系统的安全性。 该企业采用思科的ACS用户认证系统。在主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。拨号用户和VPN用户身份认证在Radius服务器上进行，用户账号集中在主域服务器上开设。系统中设置了严格的用户访问策略和口令策略，强制用户定期更改口令。同时配置了一台VPN日志服务器，记录所有VPN用户的访问，而拨号用户的访问则记录在Radius服务器中，作为系统审计的依据。系统管理员可以根据需要制定用户身份认证策略，表1就是一个实例。 表1 用户身份认证策略一例 序号 认证要求 实现方式 1 拨号用户接

7、入认证 用户账号和口令在Cisco ACS Server。 2 VPN用户认证 用户账号和口令在Cisco ACS Server。 3 内部用户访问Internet认证 用户账号和口令在Symantec WebSecurity。 4. 入侵检测系统 在系统中关键的部位安装基于网络的入侵检测系统，可以使得系统管理员能够实时监控网络中发生的安全事件，并能及时做出响应。 根据该企业网络应用的实际情况，在互联网流量汇聚的交换机处部署了一套CA eTrust Intrusion Detection，它可实时监控内部网中发生的安全事件，使得管理员及时做出反应，并可记录内部用户对In

8、ternet的访问，管理者可审计Internet接入平台是否被滥用。当冲击波病毒爆发时，该系统能够显示出哪些主机感染了病毒而不停地向其他网络主机发出广播包。 企业的网络管理员可以根据实际应用环境对IDS进行详细配置，并在实践中根据需要随时调整配置参数。表2举例说明如何配置IDS以及时发现黑客攻击行为并提供审计日志。 表2 IDS的配置策略 序 号 客户端 服务端 行 为 动 作 备 注 1 Any Web服务器 所有基于Web服务的攻击 报警并记录日志 监控Web服务器是否受到来自Internet的攻击。 2 Any Mail服务器 所有基于Web、SM

9、TP服务器的攻击 报警并记录日志 监控Mail服务器是否受到来自Internet的攻击。 3 Any Web服务器 Mail服务器 所有http请求 记录日志 记录来自Internet的所有http请求，一旦服务器受到攻击，可从该记录内就行攻击查找。 4 内部网用户 Any 地址扫描端口扫描 报警并记录日志 监控内部网用户是否有对Internet的攻击行为（包括主动攻击和拨号用户或蠕虫的攻击）。 5 VPN用户和拔号用户 Any 端口扫描所有漏洞扫描 告警并记录日志 监控VPN用户和拨号用户用户是否有对内部网的攻击行为。 该IDS系统曾为本企业及时发现

10、蠕虫病毒起到关键作用。当时是2003年底，企业网络中出现一些异常情况，2个省外分支机构的员工通过长途网络专线访问广州总部OA服务器时，访问速度特别慢，而且经常掉线。该企业网络管理员开始怀疑是专线传输问题，并向电信运营商报了故障。运营商对这些数据专线传输路径的每一环节进行测试，未发现任何问题。几经周折，网络管理员在查看IDS实时监测记录时，发现分支机构的一些主机正在不断地向其他网段的主机发送大量的广播包，网络管理员立即意识到这些主机很可能感染了I-Worm/China冲击波病毒。这一病毒正是利用微软系统的多重漏洞，通过发送大量数据包使得网络流量剧增，最后导致网络不稳定甚至瘫痪。管理员根据IDS侦

11、测出来的异常主机的IP地址，通知用户拔去网线，这时网络立即恢复正常访问速度，远程主机互“PING”响应时间均在15ms以内，剩下的工作就是为这些感染病毒的主机进行安全处理。 5. 网络防病毒系统 该企业全面地布置了防病毒系统，包括客户机、文件服务器、邮件服务器和OA服务器。 该企业采用McAfee TVD防病毒系统保护客户机和文件服务器的安全，客户机每天定时从McAfee服务器通过FTP方式下载并安装最新的病毒代码库。 该企业电子邮件系统运行在Domino平台上，采用了McAfee针对Domino数据库的病毒过滤模块，对发送和接手的邮件附件进行病毒扫描和隔离。 由于该企业O

12、A服务器是运行在Sun Solaris上的，NAI McAfee TVD没有运行于该平台上的软件，因此采用了赛门铁克的SAVF for Domino系统来实现病毒防范。 6. VPN加密系统 该企业通过PIX防火墙建立了基于IPSec国际标准协议的虚拟专网VPN，采用3DEC加密算法实现了信息在互联网上的安全传输。 VPN系统主要用于该企业移动办公的员工提供互联网访问企业内网OA系统，同时为企业内网ERP用户访问大股东集团公司的SAP系统提供VPN加密连接。 需要注意的是，由于VPN机制需要执行加密和解密过程，其传输效率将因此降低30％～40％，因此对于关键业务，如果有条件应该

13、尽可能采用数据专线方式。 7. 网络设备及服务器加固 该企业网络管理员定期对各种网络设备和主机进行安全性扫描和渗透测试，及时发现漏洞并采取补救措施。 安全性扫描主要是利用一些扫描工具，包括Retina、X-Scan、SuperScan、LanGuard等，模拟黑客的方法和手段，以匿名身份接入网络，对网络设备和主机进行扫描并进行分析，目的是发现系统存在的各种漏洞。 进行渗透测试时，网络管理员预先假设攻击者来自用户内部网，该攻击者在内部网以匿名身份接入网络，起初不具备进入任何系统的权限。通过利用扫描阶段发现的系统中的安全漏洞，以黑客使用的手段对系统进行模拟攻击，最大限度地得到系统的

14、控制权。例如，利用Unix系统的/bin/login ,无需任何身份验证即可远程非法登录漏洞以及priocntl系统调用漏洞，通过缓冲溢出进入系统后进行权限提升，即可获得Root权限。 根据安全扫描和渗透测试的结果，网络管理员即可有针对性地进行系统加固，具体加固措施包括: （1） 关闭不必要的网络端口; （2）视网络应用情况禁用ICMP、SNMP等协议; （3） 安装最新系统安全补丁; （4） 采用SSH而不是Telnet进行远程登录; （5） 调整本地安全策略，禁用不需要的系统缺省服务; （6） 启用系统安全审计日志。 以上措施主要用于防范系统中的非法扫描、利

15、用系统漏洞进行缓冲区溢出攻击、拒绝服务攻击、非法远程登录等黑客攻击行为。 8. 桌面电脑安全管理系统 该企业的办公人员几乎每人配置了一台笔记本或台式计算机，几百台终端计算机的安全管理是该企业IT管理人员必须解决的问题。目前，该企业采用LANDesk安全管理套件系统来加强对桌面电脑的安全管理。该系统主要具有如下功能: 补丁管理 补丁管理是LAN-Desk系统的主要功能之一，主要用于修复桌面电脑系统漏洞，避免蠕虫病毒、黑客攻击和木马程序等。 LANDesk补丁管理器能够高效地实现安全补丁管理。补丁程序能够从全球统一的补丁管理服务器自动下载，并自动分发到每台桌面电脑，无需IT人员干预

16、补丁程序在分发安装前，都经过本地服务器的测试，从而确保补丁自身的安全性，避免损坏用户系统。 由于LANDesk采用全自动补丁分发方式，大大减轻了管理员的负荷，而更重要的是能够及时发现操作系统的漏洞并第一时间自动进行修补，从而有效地保护OA用户的电脑免受破坏。 间谍软件检测 基于LAN-Desk随时更新的集中化安全管理核心数据库，该系统能够自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。 安全威胁分析 LANDesk提供自动的威胁分析功能，它能够自动检测桌面电脑的配置风险，包括共享、口令、浏览器等安全问题，并自动进行修补或提出修改建议。

17、应用程序阻止 用户随意安装的游戏等应用程序可能导致系统紊乱、冲突，影响正常办公。LANDesk提供的应用程序管理功能可以通过远程执行指令，阻止有关应用程序的运行。 设备访问控制 LANDesk通过硬件级别的管理功能，可以对用户电脑的硬件采用适当的访问控制策略，限制对网络、驱动器、通信端口、USB和无线频道的访问，防止关键数据丢失和未授权访问。 IT资产管理 对该企业所有上网电脑进行在线管理。该系统能够自动扫描在线电脑的配置信息，包括硬件配置、软件配置的详细信息，如生产厂家、型号、产品序列号、组件参数、IP地址、操作系统类型、应用程序安装情况等等，并可进行分类、根据需要形成不同报表。

18、 9. SCADA工控系统防护方案 由于中方大股东集团公司ERP系统需要在SCADA系统上采集各种实时数据，因此必须在SCADA系统与企业局域网之间建立一个安全的数据通道。 考虑到工控网络和局域网都处于相对比较安全的企业内网，因此采用防火墙方式进行隔离，而没有采用网闸方式物理隔离，这样可以降低成本。 该企业采用了NetScreen防火墙，在工控网与局域网之间进行流量过滤，它禁止局域网中任何主机对工控网的访问，仅允许特定流量从工控网传输到企业局域网的特定主机，以完成SCADA实时数据向ERP系统的传送。 10. 数据备份系统 目前该企业采用HP 1/8磁带自动装载机对企业数据

19、进行备份，该磁带库可以同时装载9盒磁带，能够根据预先定义好的备份策略自动装载磁带，自动执行定义好的备份策略，压缩后最大存储容量为640GB。备份软件采用Legato NetWorker网络备份管理系统。该系统运行稳定，备份和恢复效果较好。 11. 网络安全制度建设及人员安全意识教育 该企业主要开展以下工作: （1）开展计算机安全意识教育和培训，如不要随意到网上下载软件、不要打开不明邮件附件等等，并加强计算机安全检查，以此提高最终用户对计算机安全的重视程度。 （2）为总部及各分支机构的系统管理员提供信息系统安全方面的专业培训，提高处理计算机系统安全问题的能力。 （3）制定《信息系统安全管理规定》等制度,并纳入企业ISO文件体系，定期宣贯，并通过计算机应用知识考试等方式加以推广执行。 该企业网络安全体系经过近几年的不断建设和完善，目前已处于良好的运行状态，对企业信息安全起到很好的防护作用，避免了安全事故的发生，确保了整个信息平台的稳定运行，为企业的日常经营管理提供了有力的支撑。