構建安全可靠網絡需要主動與被動防御相結合

摘要:如何保證煙草網絡的安全性成為促進信息時代的煙草行業順利發展的關鍵問題。針對煙草行業實施電子政務與電子商務的現實需要，結合福州煙草網絡安全的現狀，聯系日常工作實際，提出了網絡安全管理是一個綜合的系統工程，需要從策略、管理、技術三方面著手，在傳統被動防御的基礎上結合主動防御技術構造更加有效可靠的網絡安全體系。

關鍵詞:主動;被動;防御;安全;網絡

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)25-7098-03

To Build a Secured and Reliable Network Needs Combination of Initiative and Passive Defense

HUANG Wei-fa

(Fujian Provincial Tobacco Company Fuzhou Branch Company，Fuzhou 350013，China)

Abstract: How to guarantee the security of network tobacco business has become a key issue to push forward the smooth development of tobacco industry in the information era. According to the necessity to conduct electronic administration and e-commerce in tobacco industry， on the basis of the status quo of Fuzhou network security of tobacco business and daily work， this paper put forward a suggestion: network security administration is a comprehensive system， hence it is necessary to focus on the aspects of strategy， management and technology so as to build a more effective and more reliable network security system by combining initiative defense technology with the traditional passive defense.

Key words: initiative; passive; defense; security; network

近年來，隨著信息技術的飛速發展和互聯網的迅速普及，網絡以其驚人的發展速度和巨大的利益吸引著廠商紛紛通過建立電子商務虛擬市場完成其交易活動，其廣闊的發展前景已經引起世界各國的密切關注，而且越來越多的傳統企業已經意識到以信息技術為主導的知識經濟時代，以網絡化、信息化、知識化、全球化為特征的新經濟是不可逆轉的。然而隨著網絡上的數據來往，網絡信息安全成為企業更為關注的問題。由于煙草行業是國民經濟的重要組成部門，面對激烈的競爭，提高網絡的安全性能將對這種新型的網絡商務運作模式的有效運轉、提高我國煙草行業的經濟效益和效率、提高企業的競爭力占據有力的作用。

該文以作者所在單位的網絡為例，從策略、管理、技術等方面對如何打造更為安全可靠的網絡安全體系進行了分析和探討。

1 網絡安全的基本認識

當今社會是信息化的社會，信息化的基礎設施是網絡。隨著Internet的發展和PC機的普及，網絡和信息化已經成為了現代社會的重要標志之一。從Internet的最早起源美國國防部高級研究計劃署DARPA(Defence Advanced Research Projects Agency)的前身ARPAnet開始，到現代高達發達的信息化公路，網絡可以說是無處不有，電子郵件、網上銀行、電子商務、網絡辦公…… 網絡已經融入了我們的生活，給人們的生活帶來的極大的方便。

然而，網絡信息技術也和其他科學技術一樣是一把雙刃劍。當大部分人們利用網絡信息技術提高工作效率，為社會創造更多財富的同時，另外一些人利用網絡信息技術卻做著相反的事情。他們非法侵入他人的計算機系統竊取機密信息、篡改和破壞數據，給社會造成難以估量的巨大損失。據國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)統計， 2007年各種網絡安全事件與2006年相比都有顯著增加，CNCERT/CC接收的網絡仿冒事件和網頁惡意代碼事件成倍增長，網絡仿冒事件數量由563件增加至1326件，增長率近1.4倍;垃圾郵件事件數量由587件增加至1197件，增長率達1倍;網頁惡意代碼事件數量由320件增加至1151件，增長率近2. 6倍。2007年微軟公司正式公布了69個4具有編號的安全漏洞。其中，除Windows操作系統漏洞外，安全漏洞更多的集中出現在了IE瀏覽器和MS Office等應用軟件上。

2 福州煙草網絡安全現狀

圖1為作者所在單位的網絡拓撲圖。在圖中可以看到，在廣域網范圍，全網由主備兩條2M SDH鏈路連省公司和下屬各縣分公司;在城域網范圍，連接各業務部門和下屬單位近十條鏈路;由于業務需要，還存在到其他地區的2M 幀中繼以及到興業銀行和農業銀行等連接。這些線路或通過廣域網連接到市公司中心機房的兩臺cisco 3600路由器，或通過城域網連接到市公司中心機房的6509核心交換機，最終全區所有節點約800臺都匯聚到6509核心交換機。在全區外網唯一的出口和內網之間架設一臺中科網威防火墻NPFW-200-P4和入侵檢測服務器。在公司架設一臺防病毒服務器，全網所有電腦都安裝瑞星網絡版防病毒軟件。

從拓撲圖來看，這是一個規模不大的網絡系統，網絡中采用了防火墻、入侵檢測服務器和瑞星網絡版防病毒軟件等措施來構建基本的安全防御系統。防火墻隔離了內部局域網與外部互聯網，保護內部網絡不會輕易受到攻擊，瑞星防病毒軟件安裝在每個終端上，對終端進行殺毒保護，這是最為簡單的組合模式，然而在實際運作中，我們發現存在著不少安全問題。

首先，基于傳統安全防御理念構建的網絡架構，其防御的對象著眼于外部，忽視了來自內部的威脅。在傳統思維的引導下，通常企業也都比較信任內部的員工，安全設備根本不對企業網絡內部的情況進行監視。企業內部的每一個人都得到了充分的信任，可以在網絡中隨意游走，毫無限制。然而，來自安全研究機構的統計:超過85%的安全威脅來自企業內部，威脅源頭包括內部未授權的存取、專利信息被竊取、內部人員的財務欺騙等。當然更有說服力的，還是國內外一些活生生的例子，包括很多全球知名企業的泄密案等，其損失之巨大，更是足以讓后來者引以為戒。

傳統安全防御的方法更多的是采取被動防御技術的，構筑好一個防御的城堡以后，就坐等敵人的進攻，主動權交到了對方的手里，這樣的防御永遠只能跟在對方的身后，拆拆補補，南門受到了攻擊，就調集部隊守南門，北門告急，再調過去補北門，疲于奔命，顧此失彼。而且一個城堡能否被攻破，不是取決于城堡有多厚，而是最薄的地方在哪里，而更加致命的是被動防御往往不知道什么地方最薄。

其次，在管理上，建立規范的信息化管理系統和制定符合實際的安全管理制度體系，并不是一個有什么難度的事情，最為困難的就是如何保障信息管理系統的有效運行和安全管理制度體系的執行到位，這涉及到企業的管理風格，業務模式與對信息安全的重視依賴程度，特別是企業領導對信息安全問題的重視程度以及信息部門在企業中的地位，決定了網絡安全體系如何建設、建設到什么程度以及能夠起到多大的作用。

最后，在技術上，我們雖已配備安全產品的“老三樣”——防火墻、入侵檢測以及防病毒軟件。但隨著技術的發展，現代防火墻技術已經逐步走向網絡層之外的其他安全層次。而我們的防火墻功能比較弱，無法為各種網絡應用提供相應的安全服務。同時，由于沒有流量控制、帶寬控制等功能，使得我們在外網訪問管理上捉襟現肘，許多很好的管理思路無法得到實施。

對于終端電腦沒有有效的工具來管理。如前所述，在傳統安全防御思路中，對來自內部的安全威脅認識不足，各類信息軟硬件的發展諸如移動存儲設備(移動硬盤、閃盤、SD/CF/等)、代理服務器軟件等使得病毒木馬可以輕易繞過防火墻進入局域網內部，更何況現在許多的病毒木馬可以終止安全軟件的運行。身份認證系統是整個網絡安全體系的基礎，否則即便發現了安全問題也會由于無法查找而只能不了了之，只有建立了基于全區網絡的統一身份認證系統，才能徹底的解決用戶入網身份問題，同時也為各項應用系統提供了安全可靠的保證。

與作者所在單位相似的是，多年的信息化建設，使得許多企業也意識到了搞好網絡安全的重要性和必要性，不少企業都能斥資數百乃至上千萬購置防火墻、防病毒軟硬件設備來構筑自己信息安全的堡壘。但是他們往往發現投入了許多，安全問題不減反增，每天不停打著漏洞補丁，病毒日志數十頁地增加著，系統運行時好時壞，從事信息建設的工作者無法高枕無憂，反而更加有如履薄冰的感覺。盡管采用了花樣翻新的安全產品和解決方案，但企業所面臨的安全威脅不是減少，而是大大增加了。

道高一尺，魔高一丈。雖然90%的企業機構已經采用了防火墻和防病毒解決方案，但仍有超過一半會受到安全漏洞的影響;盡管對信息安全憂心忡忡的企業已經在該領域投入了大量資金，但企業每天受到攻擊的次數卻以每半年30%的速度增長。

3 主動與被動防御相結合構建更為安全的網絡安全體系

網絡安全解決方案核心目標是最大限度確保數據安全和業務的連續性。對于企業來說最關心的并不是一個完美的，無懈可擊的網絡，而是如何保證網絡所承載業務的正常、安全、可靠地運行。雖然我們面對的信息網絡具有各種各樣的安全缺陷，只要我們通過適合靈活的安全策略，保證業務活動和業務數據的安全，并確保業務應用的可用性，那么承載業務的這個網絡對于我們來說就是符合要求的安全網絡。

以下從策略、管理、技術三個方面就如何打造主動與被動防御相結合的網絡安全體系進行探討:

3.1 在策略方面

3.1.1 配置入網身份認證機制

身份認證的缺失，使得任何一個用戶對任何一個安全問題都是可抵賴的。而內部攻擊的發生是無法從制度上阻止的。在網絡節點接入安全網絡時，需要對待接入的系統安全狀況以及操作該節點系統用戶的身份進行充分的評估、認證，以確定該系統是否符合網絡的內部安全策略，來決定該網絡節點系統是否接入到安全網絡中，還是拒絕接入或安全升級后接入。顯然，網絡準入的機制不僅實現了安全網絡“主動”的動態擴展，而且能夠有效降低不可信終端系統接入網絡所帶來的潛在安全風險，為網絡管理奠定良好的基礎，有效保護核心數據的生成、訪問、更改等操作，保障電子政務的運行以及為所有應用系統的統一單點登錄創造條件。

3.1.2 加強網絡內部機器的管理

對內部網絡所有計算機上的重要信息的存儲和傳輸實施訪問控制、數據保護和日志記錄，提供完善的集中管理控制機制、有效的安全策略生命周期管理方法和細致清晰的審計分析報告，從而能夠有效地防止內部網絡重要信息通過各種途徑被非法泄漏和破壞。安全問題不僅僅來自外網，實踐證明更多的來自內網。雖然我們非常清楚地知道企業內部人員的危險程度有多高，但是，內部人員的活動是無法預測的。誰都不可能知道哪些員工會在什么時間干出傷害公司利益的事情。因此，主動防御更多的就是要我們主動出擊，防患于未然。

3.1.3 建立安全管理中心(SOC)

將關鍵設備的運行管理權利集中到一起，通過高度密集的管理產品和手段，將分散在各地區、不同業務網絡上面的各種安全產品有機的結成一個整體。所涉及的安全管理管理范圍包括:所有的基于IP的網絡和應用系統的安全:包括支撐網本身、業務支撐系統(如決策支持系統、網管)、業務系統本身和其他應用。所有安全產品組成的安全體系的實時管理和監控都應當受到SOC的管理。所有非安全產品的關鍵應用系統均應該通過一定途徑將安全相關信息輸送到安全管理中心中，保證及時安全時間的發現、分析和響應。

3.2 在管理方面

3.2.1 網絡安全是一項技術問題，更是一項管理問題

網絡不能完全依賴安全產品來解決信息安全，網絡安全更需要從管理的基礎上突破技術問題。安全問題不僅僅是技術問題，更多是管理的問題。在技術保障下，良好的管理能夠使網絡安全達到最大化。網絡安全事務是多維的，涉及到:公共管理、安全策略、法律法規、人員素質、安全審計、安全保險、安全技術、安全意識培養、安全評估等多方面。一個方面的疏漏就會導致整個安全防護系統功敗垂成。通過加強管理來避免安全問題，使安全隱患最小化，建立安全問題的責任問責制，形成信息安全問題解決機制。

3.2.2 提高全體人員網絡安全意識

1) 提高領導網絡安全意識

網絡安全關系著核心數據的保護、業務運行的穩定性和辦公流程運轉的連續性，是信息化工作的重要的基礎性的內容。

2) 提高信息化工作人員網絡安全意識

網絡安全不是裝個防火墻和防病毒軟件，沒事就殺殺毒。它是復雜的，多維的，動態發展的;它要求工作人員不僅要具備技術水平，更需要提高認識和綜合能力，具備良好的管理水平。信息化工作人員有必要定期進行培訓，接觸并學習到較為前沿先進的技術知識，并加強和同行間的交流。

3) 提高終端用戶網絡安全意識。

所有終端用戶是信息化工作開展的出發點和歸宿點;他們既是信息網絡的使用者，也是信息網絡安全風險最大的制造者。引發安全問題可能是有意的，可能是無意的;但絕大多數是無意的。只有提高所有終端用戶計算機使用水平和網絡安全意識，才能最大程度消除安全風險。

3.2.3網絡安全管理監督機制

任何制度建立了但沒有執行就是一紙空文，執行了但沒有監督就無法落到實處。網絡安全管理監督需要技術做保證。只有具備進行身份認證和操作記錄的技術，才能防止用戶的抵賴，真正做到監督有所依據、有所成效。同時建立網絡運行狀況定期公布制度，甚至進一步建立獎懲制度，有力的督促用戶規范使用網絡和信息設備。

3.3 在技術方面

3.3.1 及時更新升級網絡安全設備

對防火墻、防病毒軟件等被動防御技術進行及時更新換代，以確保防火墻、防病毒軟件能夠適應最新的安全防御要求，實現管理者的安全防御思路和策略。提高網絡管理者對網絡的操控能力。

3.3.2 配置安全代理專用設備加強外網安全管理

新的網絡安全觀念認為應該用防火墻阻擋攻擊者從正面的試探入侵，著重的是網絡層的過濾;而安全代理專用設備管理和控制內部用戶對外的訪問，著重的是應用層內容的檢查。兩者相輔相成，達成全方位及最佳效能的安全防衛架構。

3.3.3 配置網絡管理軟件加強終端用戶管理

由于全網內終端電腦數量多、分布廣、權限大、使用人員水平參差不齊等原因，網絡安全管理在防范內網安全上存在著巨大的漏洞。內網存在大量的病毒傳播，文件傳輸，共享漏洞，密碼保護等問題。只有配置了網絡管理軟件，才能有效的實現可控、可追蹤、可審計和全面的終端管理。

3.3.4 合理使用VPN或VLAN技術

合理使用VPN或VLAN技術，通過物理網絡的劃分，控制網絡流量的流向，使其不要流向非法用戶，以達到防范目的。

4 結論

構筑一個主動與被動防御相結合的網絡安全體系，就需要打破原來城堡式的被動防御觀念，建立一個靈活機動、積極尋找防御點的可以信賴并且是可控的網絡環境，關鍵點就在于這個體系要能夠主動預知和控制我們的防御。任何方案不可能做到絕對安全，只能最大限度去降低安全事故的發生概率，主動防御通過各種措施來評估和預知安全事故的可能發生點，采取手段制止事故的發生。在網絡安全的管理與建設當中，應當清醒的認識到網絡安全管理是一個綜合的系統工程，需要從策略、管理、技術三方面著手，在傳統被動防御的基礎上結合主動防御技術構造更加有效可靠的網絡安全體系，為煙草行業實現健康穩定可持續發展提供強有力的信息化技術支撐。

參考文獻:

[1] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社，2002.

[2] 梅杰，許榕生.Internet防火墻技術.最新發展[J].微電腦世界，1996(6):27-30.

[3] 劉東華.網絡與通信安全技術[M].北京:人民郵電出版社，2002.