三山島網絡安全綜合監控平臺研究

[摘要] 對山東黃金三山島金礦網絡安全綜合監控平臺的研究，旨在有效指導下一步完善三山島網絡安全。在前人工作的基礎上，采用主動防御的方法，總結了三山島金礦網絡系統特征，分析了三山島金礦網絡安全的潛在問題，探討了網絡安全維護的解決方案，得出主動防御，邊界防護及主動隔離的技術方案。

[關鍵詞] 三山島金礦； 網絡安全； 技術方案

[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2013）04- 0085- 02

1 三山島金礦網絡情況背景

隨著我礦數字化礦山的發展，我們已經建成了千兆辦公網和千兆工業網，互聯網客戶端已超過700臺，通過互聯網，任何一個單位的數據資料的傳輸和存取都變得方便、快捷，但同時也面對上網帶來的數據安全的新挑戰和新危險：即移動用戶、異地員工和內部人員的安全訪問。

2 原有網絡系統狀態

為了確保我礦的網絡安全，我們部署了各種網絡設備，包括思科asa5520防火墻、kaspersky殺毒軟件。雖然部署了各種網絡安全設備，但是我礦的網絡仍然經常出現一些安全問題。這是因為目前網絡安全風險已經從網絡層上升到應用層，而我們所部署的網絡安全設備基本上都只能針對網絡層的安全威脅進行分析和阻斷，對于內容安全防護還是比較薄弱。所以新的網絡威脅需要更全面的解決方案。

3 目前存在的安全問題

3.1 來自HTTP的病毒和間諜軟件讓人防不勝防

客戶端在通過HTTP訪問網頁時，會不經意感染內嵌在網頁中的病毒、間諜軟件。或者由于瀏覽器的漏洞或者由于瀏覽器的安全級別設置得太低，而使得病毒、間諜軟件以ActiveX控件的形式自動非法安裝到用戶計算機中。造成用戶系統運行不正常，機密數據丟失，甚至在不知情的情況下成為了犯罪分子的工具和跳板。

3.2 來自郵件的病毒和間諜軟件讓人難以防范

自從互聯網上出現第一封病毒郵件以來，郵件就被當作病毒傳播的主要途徑之一。因為疏忽而打開陌生人發來的郵件而導致感染病毒的案例屢見不鮮。更有甚者，有些病毒和間諜軟件利用郵件客戶端的漏洞，即時客戶不打開附件僅僅只是預覽也有可能被感染。一旦感染了病毒和間諜軟件，用戶的計算機或者企業的網絡就像犯罪分子敞開了大門，由此引發的一系列后果隨之而來。

3.3 潛在威脅分析

外部——網絡系統與互聯網有直接通道，雖然中間有防火墻驗證訪問的合法性，但仍會受到來自互聯網以HTTP、SMTP、FTP等數據流為載體的潛在病毒的威脅。

內部——局域網中的工作站及文件服務器都會受到病毒的感染，病毒的攻擊方式多種多樣，有通過局域網傳播、傳統介質（光盤、軟盤等）傳播等等，一旦受到感染，便會迅速傳播，會給日常的工作和學習帶來極大的威脅。

4 解決方案

4.1 主動防御

部署安信華Anchiva-A500安全防病毒網關。

防病毒網關的工作原理是按照事先規定好的配置和規則，監測并過濾所有通向外部網和從外部網傳來的信息，只允許授權的數據通過，防病毒網關還應該能夠記錄有關的聯接來源、服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監測和跟蹤。

通過在網關部署防毒產品，可以提高企業整體的防毒效能、減少資源占用。對染毒郵件、帶有ActiveX、JavaScript病毒的網頁以及通過FTP方式傳輸的文件進行“主動防御”，不讓這些不受歡迎的東西進入企業的網絡。

4.2 邊界防護和網絡隔離

部署深信服SSL7150、SSL3150 VPN設備。

通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全地訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。

4.3 上網行為管理

部署新網程網絡督察。

通過部署新網程網絡督察，利用其內置的危險插件和惡意腳本過濾等創新技術過濾掛馬網站的訪問、封堵不良網站等，從源頭上切斷病毒、木馬的潛入，再結合終端安全強度檢查與網絡準入、DOS防御、ARP欺騙防護等多種安全手段，實現立體式安全護航，確保組織安全上網。

4.4 網絡物理隔離

部署聯想網御網閘。

三山島金礦目前有辦公網與工業網兩大網絡體系，從網絡安全性方面考慮，工業網不得直接或間接地與互聯網或其他公共信息網絡相連，必須實行物理隔離。

安全隔離與信息交換系統架構主要由內網主機系統、外網主機系統和隔離交換矩陣3部分構成。內網主機系統與內網相連，外網主機系統與外網相連，內/外網主機系統分別負責內外網信息的獲取和協議分析，隔離交換矩陣根據安全策略完成信息的安全檢測，內外網絡之間的安全交換。整個系統具備以下技術特性：

多網絡隔離的體系結構，通過專用硬件完成兩側信息的“擺渡”。

被隔離網絡之間任何時刻不產生物理連接。

內/外網主機系統之間沒有網絡協議邏輯連接，通過隔離交換矩陣的全部是應用層數據，也就是OSI模型的7層協議全部斷開。

數據交換方式完全私有，不具備可編程性。

統一安全引擎：對隔離交換報文進行全文數據還原，對用戶登錄、命令請求、文本系統、協議格式等實施深度檢測和過濾，并支持對特定應用協議標簽的檢測控制；

智能黑白名單：針對文件名、命令、域名等內用進行嚴格控制，創建黑名單和白名單任務策略，攔截各種非法數據報文，保證數據的安全性；

針對數據庫和文件數據，通過訪問用戶身份識別，保證數據不被非法訪問和傳遞；

針對不同用戶操作，系統提供了分級別管理機制， 根據最小化用戶權限的原則，使不同用戶管理配置不同的任務，最大程度保障用戶使用的安全。

5 結 語

目前三山島金礦已有思科asa5520防火墻、安信華Anchiva-A500安全防病毒網關、新網程網絡督察、kaspersky殺毒軟件、深信服VPN與聯想網御網閘。

通過現在的網絡安全平臺，可以防止員工接收惡意軟件，也可以避免內部員工往外傳播病毒，避免許多法律糾紛，可以提高網絡安全水平，給員工提供純凈的網絡辦公環境，提供異地安全登陸信息內網提高工作效率，節約成本，使三山島金礦的網絡安全水平領先于同行業水平，提升了公司的整體形象，促進了三山島金礦數字化礦山的建設。

主要參考文獻

[1] 周學廣，等. 信息安全學[M]. 北京：機械工業出版社，2003.

[2] 曹天杰，張永平，蘇成. 計算機系統安全[M]. 北京：高等教育出版社，2003.

[3] 劉衍衍，等. 計算機安全技術[M]. 長春：吉林科學技術出版社，1997.