提升單位信息網(wǎng)絡(luò)安全防護(hù)

近年來單位的網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險(xiǎn)，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、DDoS攻擊、網(wǎng)站掛馬、垃圾郵件、網(wǎng)絡(luò)資源濫用等，極大地困擾著用戶，給單位的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞。

現(xiàn)有網(wǎng)絡(luò)分為DMZ服務(wù)器區(qū)和內(nèi)網(wǎng)辦公區(qū)，DMZ服務(wù)器運(yùn)行著各種業(yè)務(wù)系統(tǒng)，威脅不僅包括針對網(wǎng)絡(luò)、主機(jī)、系統(tǒng)等基礎(chǔ)設(shè)施的攻擊，而且還包含針對業(yè)務(wù)系統(tǒng)的特定攻擊。內(nèi)網(wǎng)辦公區(qū)人員、終端設(shè)備、網(wǎng)絡(luò)應(yīng)用眾多，使用者的安全意識和掌握的安全技能也參差不齊，導(dǎo)致內(nèi)網(wǎng)辦公區(qū)面臨諸多安全威脅。

隨著單位總部信息化應(yīng)用的不斷深化，圍繞ERP系統(tǒng)、一體化門戶以及財(cái)務(wù)管控等業(yè)務(wù)系統(tǒng)的上線運(yùn)行，信息網(wǎng)絡(luò)安全更加凸顯重要，需要可靠的網(wǎng)絡(luò)環(huán)境作保障。

威脅分析

內(nèi)網(wǎng)信息系統(tǒng)是面向單位內(nèi)部員工的業(yè)務(wù)支撐系統(tǒng)，因此其威脅主要來自網(wǎng)絡(luò)內(nèi)部。

1.非法掃描和攻擊

有些單位內(nèi)部人員出于好奇、報(bào)復(fù)、經(jīng)濟(jì)利益等目的，會惡意掃描和攻擊財(cái)務(wù)部、人力資源部等內(nèi)網(wǎng)關(guān)鍵部門的計(jì)算機(jī)，從而竊取軟件源代碼、薪資信息、合同信息等公司機(jī)密資料。

2.網(wǎng)絡(luò)蠕蟲病毒侵襲

網(wǎng)絡(luò)蠕蟲病毒傳播速度快，難以快速定位并清除。一旦遭受了病毒和蠕蟲的侵襲，不僅會造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，同時也會對核心敏感數(shù)據(jù)造成嚴(yán)重的威脅，甚至造成網(wǎng)絡(luò)擁塞，導(dǎo)致業(yè)務(wù)和生產(chǎn)的中斷。

3.不安全系統(tǒng)配置

由于終端用戶的安全意識和安全技能存在著不足之處，計(jì)算機(jī)不能及時安裝補(bǔ)丁或者開放了不受保護(hù)的共享文件夾，都成為被攻擊的隱患。

4.外來人員的非法訪問

由于單位的業(yè)務(wù)發(fā)展需要，經(jīng)常會有外部人員接入內(nèi)網(wǎng)進(jìn)行業(yè)務(wù)交流、數(shù)據(jù)交換等操作。外部人員攜帶的電腦不受單位控制，存在很大的安全威脅，很有可能會導(dǎo)致網(wǎng)絡(luò)蠕蟲病毒進(jìn)入內(nèi)網(wǎng)或訪問到存儲單位機(jī)密信息的計(jì)算機(jī)。

5.單位內(nèi)部用戶的違規(guī)操作

為保障系統(tǒng)安全，單位會制定一系列的安全規(guī)范、流程來約束內(nèi)部用戶的行為，而有些人員為圖方便會違反操作規(guī)程，帶來不必要的安全問題。

6.未及時安裝補(bǔ)丁程序

為避免補(bǔ)丁程序與業(yè)務(wù)系統(tǒng)軟件沖突造成的系統(tǒng)故障，核心業(yè)務(wù)系統(tǒng)服務(wù)器有時不能及時安裝系統(tǒng)、軟件的補(bǔ)丁程序，使得服務(wù)器陷入無保護(hù)的狀態(tài)。

7.DDoS/DoS攻擊

DDoS攻擊出現(xiàn)在十年前，是一種技術(shù)含量不高，但攻擊效果顯著的攻擊。由于近些年僵尸網(wǎng)絡(luò)的發(fā)展，DDoS攻擊重新成為了惡意入侵者的新寵，特別是針對應(yīng)用層的C&C攻擊，直接威脅單位業(yè)務(wù)系統(tǒng)的可用性安全。

8.Web相關(guān)攻擊

隨著系統(tǒng)、軟件廠商對安全問題的重視，系統(tǒng)級安全漏洞正在減少，應(yīng)用層攻擊，特別是針對Web系統(tǒng)的攻擊成為入侵者的主要攻擊手段，例如：SQL注入、XSS跨站腳本、網(wǎng)站掛馬等等。

風(fēng)險(xiǎn)分析

我們主要從以下幾個方面關(guān)注內(nèi)網(wǎng)辦公區(qū)和DMZ區(qū)可能面臨的安全風(fēng)險(xiǎn)：

1.單位機(jī)密信息泄露的風(fēng)險(xiǎn)

單位內(nèi)部員工的非法掃描和滲透攻擊，以及外來人員的非授權(quán)訪問，嚴(yán)重威脅著單位內(nèi)網(wǎng)辦公區(qū)內(nèi)的敏感信息，例如：軟件源代碼、員工薪酬信息、商務(wù)合同信息等。一旦這些機(jī)密信息泄露，將會給單位帶來不可估量的損失。

2.網(wǎng)絡(luò)可用性的風(fēng)險(xiǎn)

目前利用漏洞傳播的網(wǎng)絡(luò)蠕蟲病毒傳播速度加快，留給人們響應(yīng)的時間越來越短，使用戶來不及對入侵做出響應(yīng)，一旦蠕蟲爆發(fā)便會造成單位網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)防病毒系統(tǒng)屬于被動防護(hù)，對于新的未知蠕蟲病毒，防病毒軟件無法檢測出。

3.內(nèi)部員工非法操作的安全風(fēng)險(xiǎn)

內(nèi)部員工的授權(quán)或非授權(quán)違規(guī)操作，是威脅內(nèi)部服務(wù)器區(qū)安全的重要因素，直接危害業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)的機(jī)密性及完整性。

4.系統(tǒng)不能安全補(bǔ)丁程序的安全風(fēng)險(xiǎn)

系統(tǒng)不能安裝補(bǔ)丁程序作為一種被動威脅自身并無危害，但其為蠕蟲病毒的傳播和內(nèi)部員工的惡意攻擊提供了便利條件，是亟待解決的基礎(chǔ)安全問題。

5.關(guān)鍵信息被篡改的風(fēng)險(xiǎn)

Web網(wǎng)站是單位對外發(fā)布信息的網(wǎng)絡(luò)媒介，一旦發(fā)布的信息被惡意篡改將會影響單位的可信度。而業(yè)務(wù)系統(tǒng)中的重要數(shù)據(jù)被篡改，則會給單位帶來經(jīng)濟(jì)上的損失。如果被別有用心之人發(fā)布了不實(shí)言論，單位將有可能面臨法律問題。

6.業(yè)務(wù)系統(tǒng)不可用的風(fēng)險(xiǎn)

系統(tǒng)被DDoS攻擊后不可用將失去其存在的意義，會給對網(wǎng)上業(yè)務(wù)系統(tǒng)高度依賴、對業(yè)務(wù)系統(tǒng)及時性要求較高的單位帶來不可估量的損失。

7.損害單位聲譽(yù)的風(fēng)險(xiǎn)

單位網(wǎng)站被篡改或者被植入木馬，訪問網(wǎng)站的用戶將成為受害者，而單位也會因此而使自身的聲譽(yù)遭受損害。

需求分析

根據(jù)對單位內(nèi)網(wǎng)辦公區(qū)和DMZ區(qū)的威脅、風(fēng)險(xiǎn)分析，其信息安全需求主要包括以下方面：

1.防御內(nèi)部員工的非法掃描和滲透攻擊，限制對敏感區(qū)域的訪問，避免機(jī)密信息泄露，并記錄違規(guī)操作，保障敏感信息的機(jī)密性和完整性。

2.阻止蠕蟲、網(wǎng)絡(luò)病毒爆發(fā)對單位網(wǎng)絡(luò)的破壞，縮小擴(kuò)散的范圍，保障單位網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)信息系統(tǒng)的安全性。

3.有效控制外來人員對內(nèi)網(wǎng)資源的訪問，避免外來人員竊取公司機(jī)密信息，防止其攜帶的網(wǎng)絡(luò)蠕蟲病毒擴(kuò)散到單位內(nèi)網(wǎng)。

4.實(shí)時的發(fā)現(xiàn)和阻止蠕蟲以及網(wǎng)絡(luò)病毒爆發(fā)對單位內(nèi)網(wǎng)服務(wù)器區(qū)的影響，保障單位網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行。

5.提供有效方法防范針對未安裝補(bǔ)丁系統(tǒng)的攻擊行為。

6.防御各種流量型、資源耗盡型、應(yīng)用層DDoS攻擊，提高網(wǎng)絡(luò)信息系統(tǒng)的可用性。

7.防御針對 Web、Mail等業(yè)務(wù)系統(tǒng)的攻擊，保證業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。

混合防護(hù)解決方案

針對上述需求分析，部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，能夠有效防御2至7層的各種攻擊，保證網(wǎng)絡(luò)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

筆者單位網(wǎng)絡(luò)結(jié)構(gòu)相對復(fù)雜，不僅包括有總部，還有各地的直屬單位，既要保護(hù)網(wǎng)絡(luò)邊界的安全，同時又要保護(hù)單位內(nèi)網(wǎng)的安全。

針對單位網(wǎng)絡(luò)的特點(diǎn)，入侵保護(hù)系統(tǒng)應(yīng)采用混合防護(hù)的解決方案：

1.在筆者單位總部網(wǎng)絡(luò)的出入口處在線部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，以實(shí)現(xiàn)路由防護(hù)，提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)。

2.在筆者單位總部的內(nèi)部網(wǎng)段之間以及與直屬單位網(wǎng)絡(luò)之間在線部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，提供透明接入的、獨(dú)立多路一進(jìn)一出的、交換式的多進(jìn)多出的全方位和立體式的安全防護(hù)體系，實(shí)現(xiàn)內(nèi)網(wǎng)的安全區(qū)域劃分和控制。

3.在單位服務(wù)器區(qū)和辦公區(qū)旁路部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，相當(dāng)于入侵檢測系統(tǒng)（IDS），監(jiān)測、分析服務(wù)器區(qū)的安全狀況，保護(hù)服務(wù)器安全。

4.通過一個控制臺，實(shí)現(xiàn)對全網(wǎng)網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)設(shè)備的集中管理、安全信息的集中分析和處理，有效解決單位面臨的安全問題，提高投資回報(bào)率。

結(jié)論

隨著信息化建設(shè)的不斷推進(jìn)，信息網(wǎng)絡(luò)安全成為信息化建設(shè)系統(tǒng)工程的“短板”，而單位所面臨的安全問題和威脅越來越繁雜多變，尤其諸如蠕蟲、病毒、間諜軟件、DDoS攻擊、垃圾郵件、網(wǎng)絡(luò)資源濫用等混合威脅的風(fēng)險(xiǎn)，給單位的信息網(wǎng)絡(luò)造成嚴(yán)重破壞。隨著單位信息化應(yīng)用的不斷深化，圍繞ERP系統(tǒng)、一體化門戶以及財(cái)務(wù)管控等業(yè)務(wù)系統(tǒng)的上線運(yùn)行，信息網(wǎng)絡(luò)安全更加凸顯重要。

網(wǎng)絡(luò)信息系統(tǒng)安全的建設(shè)，應(yīng)嚴(yán)把數(shù)據(jù)、流程、監(jiān)管三個關(guān)口，為單位現(xiàn)代化管理與信息化建設(shè)提供有力支撐。網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)的建設(shè)和使用，將大大提升信息網(wǎng)絡(luò)安全防護(hù)能力，為公司信息網(wǎng)絡(luò)提供動態(tài)的、深度的、主動的安全防御，標(biāo)志著公司及直屬單位信息網(wǎng)絡(luò)整體安全防護(hù)水平的全面提升，信息網(wǎng)絡(luò)安全管理實(shí)現(xiàn)等級升級。