大型企業(yè)集團(tuán)信息系統(tǒng)的安全防護(hù)

◆游傳強(qiáng)

大型企業(yè)集團(tuán)信息系統(tǒng)的安全防護(hù)

◆游傳強(qiáng)

（中國石油西南油氣田分公司資本運(yùn)營部 四川 610051）

互聯(lián)網(wǎng)日新月異發(fā)展，資源共享進(jìn)一步加強(qiáng)，信息安全問題越發(fā)突出。大型企業(yè)集團(tuán)信息系統(tǒng)如何有效防止網(wǎng)絡(luò)黑客攻擊，保證合法用戶對資源及時(shí)有效地訪問，確保信息系統(tǒng)安全平穩(wěn)運(yùn)行，已成為企業(yè)信息系統(tǒng)安全防護(hù)的重要內(nèi)容。本文結(jié)合大型企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)現(xiàn)狀，從分析網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)入侵著手，就如何部署企業(yè)整體防病毒方案，安裝入侵檢測軟件，構(gòu)架網(wǎng)絡(luò)安全系統(tǒng)，維護(hù)企業(yè)信息系統(tǒng)安全，提出了有效的防范措施和策略。

企業(yè)；信息系統(tǒng)；防病毒；入侵檢測

0 前言

近年來，隨著網(wǎng)絡(luò)及網(wǎng)絡(luò)工具發(fā)展，信息傳播方式方法改變，計(jì)算機(jī)病毒種類更多，擴(kuò)散速度更快。病毒已由單機(jī)間介質(zhì)傳染向網(wǎng)絡(luò)系統(tǒng)轉(zhuǎn)化。現(xiàn)在很多病毒對計(jì)算機(jī)信息系統(tǒng)的攻擊方式帶有網(wǎng)絡(luò)黑客攻擊模式，因此防病毒也需要結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測系統(tǒng)來輔助完成。病毒和防病毒之間的斗爭已從“殺”到“防”，通過企業(yè)整體防病毒方案，將病毒拒之于企業(yè)網(wǎng)絡(luò)之外，才能保證企業(yè)信息系統(tǒng)的真正安全。

1 企業(yè)網(wǎng)絡(luò)現(xiàn)狀及安全防護(hù)要求

以筆者所在公司為列，公司自建了廣域網(wǎng)絡(luò)。其特點(diǎn)如下:⑴系統(tǒng)規(guī)模大:工作站1000臺(tái)以上，運(yùn)行各種OA、ERP及財(cái)務(wù)信息系統(tǒng)；⑵網(wǎng)絡(luò)分布廣:廣域網(wǎng)節(jié)點(diǎn)上百個(gè)，線路有STM、SDH及DDN等，結(jié)構(gòu)極為復(fù)雜；⑶系統(tǒng)與Internet接口多樣:有光纖寬帶、以太網(wǎng)、ADSL等；⑷系統(tǒng)內(nèi)計(jì)算機(jī)系統(tǒng)操作系統(tǒng)多樣:有Windows、Linux、AIX、Solairs等；⑸系統(tǒng)牽涉數(shù)據(jù)庫繁多:有Oracle、Sybase、SQLServer及DB2等。

顯然，企業(yè)信息系統(tǒng)需要一個(gè)面向所有內(nèi)部網(wǎng)絡(luò)用戶、從互聯(lián)網(wǎng)到業(yè)務(wù)系統(tǒng)和本地工作站全方位的防毒解決方案。由于計(jì)算機(jī)防毒產(chǎn)品的局限性，特別是無法針對大型企業(yè)提供全方位病毒防護(hù)解決方案，部署企業(yè)整體防病毒方案已成為企業(yè)信息系統(tǒng)規(guī)劃的重要內(nèi)容。

2 網(wǎng)絡(luò)安全需求分析

網(wǎng)絡(luò)受到的安全威脅主要有:身份竊取（IndentityInterception），假冒（Masquerading），否認(rèn)（Repudiation），數(shù)據(jù)竊取（Data Interception），非授權(quán)存取（Unauthorized Access），錯(cuò)誤路由（Misrouting），數(shù)據(jù)流分析（Traffic Analysis），拒絕服務(wù)（Denial of Service）。

在網(wǎng)絡(luò)邊緣，防火墻采用IP過濾和應(yīng)用代理方式，路由器采用IP過濾技術(shù)，安全性和效率相對較高。網(wǎng)絡(luò)數(shù)據(jù)通常在應(yīng)用生成、存儲(chǔ)、傳輸，因此，現(xiàn)有數(shù)據(jù)安全控制措施主要部署在應(yīng)用層。

網(wǎng)絡(luò)應(yīng)用層安全需求主要有:數(shù)據(jù)保密、數(shù)據(jù)完整、身份認(rèn)證、授權(quán)、審計(jì)記錄、防止抵賴與公證。

構(gòu)架網(wǎng)絡(luò)安全系統(tǒng)，通過系統(tǒng)的安全檢測和監(jiān)控，實(shí)時(shí)查出網(wǎng)絡(luò)安全漏洞或惡意攻擊，全方位實(shí)施動(dòng)態(tài)的安全控制。

3 病毒防護(hù)方案

為使企業(yè)的信息財(cái)產(chǎn)免受損失，企業(yè)應(yīng)盡快建立全面的主動(dòng)病毒防護(hù)體系。在每臺(tái)單機(jī)服務(wù)器上要有常駐內(nèi)存的反病毒軟件，并實(shí)行集中統(tǒng)一管理；在網(wǎng)關(guān)上要安裝基于網(wǎng)關(guān)的病毒防火墻，以防止病毒對企業(yè)內(nèi)部網(wǎng)絡(luò)的感染；對郵件服務(wù)器安裝郵件系統(tǒng)的防病毒軟件，以阻止病毒通過附件等方式傳播擴(kuò)散；安裝集中管理并實(shí)時(shí)更新的系統(tǒng)，隨時(shí)監(jiān)控網(wǎng)絡(luò)病毒狀況。只有做到把病毒傳播、滋生的渠道完全堵死并不斷升級，才能保證信息系統(tǒng)的真正安全。

3.1 防毒產(chǎn)品選擇

采用的防毒產(chǎn)品要與企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)際需要相結(jié)合，并與現(xiàn)有信息系統(tǒng)具有良好的一致性和兼容性。在企業(yè)網(wǎng)絡(luò)通道或病毒攻擊點(diǎn)，安裝設(shè)置防病毒軟件，確保企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)具有最佳病毒防護(hù)能力。

熊貓衛(wèi)士防病毒軟件統(tǒng)一集中管理和監(jiān)控企業(yè)的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)使用人員和維護(hù)工程師的工作量可減到最小；每天病毒庫及時(shí)更新，售后服務(wù)及技術(shù)支持較好，其可擴(kuò)充性充分考慮和保護(hù)了企業(yè)現(xiàn)有投入，適應(yīng)企業(yè)信息系統(tǒng)的今后發(fā)展需要。

3.2 病毒防護(hù)方案設(shè)計(jì)

企業(yè)廣域網(wǎng)建成后，企業(yè)下屬單位局域網(wǎng)將不再單獨(dú)設(shè)立本地服務(wù)器，熊貓衛(wèi)士客戶端模塊采用集中式管理進(jìn)行分發(fā)。具體實(shí)施如下:

3.2.1 總部方案

總部方案如下:⑴在系統(tǒng)管理機(jī)上安裝熊貓管理員。⑵通過熊貓管理員，對所有本地服務(wù)器進(jìn)行安裝服務(wù)器保護(hù)模塊，保護(hù)服務(wù)器本身；對Proxy服務(wù)器的Proxy模塊進(jìn)行安裝，保護(hù)網(wǎng)關(guān)；對主域服務(wù)器進(jìn)行安裝工作站模塊，以供下面工作站分發(fā)使用。⑶設(shè)置需要分發(fā)的用戶。⑷設(shè)置病毒庫的定時(shí)更新。

3.2.2 分部方案

分部方案如下:總部統(tǒng)一管理本地服務(wù)器和下屬單位各客戶端，通過一臺(tái)域控制器,對下屬單位客戶端分發(fā)，下屬單位客戶端從企業(yè)域控制器上自動(dòng)讀取分發(fā)的腳本文件，進(jìn)行分發(fā)和升級。

4 網(wǎng)絡(luò)入侵檢測

4.1 防火墻的局限性

企業(yè)廣域網(wǎng)用戶端成千上萬眾且不斷增加，防火墻通過IP層訪問控制用戶登錄情況，只能初步抵御網(wǎng)絡(luò)外部安全威脅，但對企業(yè)內(nèi)部工作人員通過網(wǎng)絡(luò)對服務(wù)器系統(tǒng)（操作系統(tǒng)和應(yīng)用系統(tǒng)）實(shí)施各種攻擊，或網(wǎng)絡(luò)黑客繞過防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，防火墻都無法有效監(jiān)控和防御。無論多么嚴(yán)密的安全措施都不能完全阻止黑客進(jìn)入關(guān)鍵部位或服務(wù)器。

4.2 構(gòu)建實(shí)時(shí)入侵偵測系統(tǒng)及產(chǎn)品選擇

實(shí)時(shí)入侵偵測系統(tǒng)是建立高級別網(wǎng)絡(luò)安全重要環(huán)節(jié)，全方位實(shí)時(shí)監(jiān)控訪問服務(wù)器資源的用戶行為。對可能出現(xiàn)的各種危害服務(wù)器的行為，盡快作出報(bào)警、阻斷等響應(yīng)，系統(tǒng)自動(dòng)提供了日志記錄和分析，方便系統(tǒng)管理員進(jìn)一步采取相應(yīng)保護(hù)措施。

中科網(wǎng)威“天眼”入侵檢測（Inbreak Detection System n）的網(wǎng)絡(luò)保護(hù)功能很強(qiáng)大，其內(nèi)置主動(dòng)防御功能可以防止破壞的發(fā)生。在該產(chǎn)品軟件包具有監(jiān)視、警告、記錄、非法 URL 探測和阻塞、入侵和攻擊探測、實(shí)時(shí)響應(yīng)等功能。

4.3 設(shè)計(jì)原則

入侵偵測系統(tǒng)（IDS）是通過辨認(rèn)網(wǎng)絡(luò)或主機(jī)的方式來躲避攻擊，隨時(shí)隨地都在尋找“攻擊標(biāo)志”。該系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源，讓網(wǎng)絡(luò)適配器實(shí)時(shí)動(dòng)態(tài)監(jiān)視并分析網(wǎng)絡(luò)中的通信業(yè)務(wù)。它的攻擊辨識(shí)模塊識(shí)別攻擊標(biāo)志的技術(shù)有:頻率或穿越閥值、模式或表達(dá)式或字節(jié)匹配、統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測、低級事件的相關(guān)性。

如果檢測到攻擊行為，該系統(tǒng)響應(yīng)模塊以通知或報(bào)警方式對攻擊作出反應(yīng)，其反應(yīng)包括:中斷連接，通知管理員、為法庭分析和證據(jù)收集的相關(guān)會(huì)話記錄。

4.4 配置方案

配置方案如圖1所示。

圖1 網(wǎng)絡(luò)入侵偵測系統(tǒng)示意圖

將“天眼”網(wǎng)絡(luò)入侵偵測系統(tǒng)控制臺(tái)分別安裝在核心內(nèi)網(wǎng)、普通內(nèi)網(wǎng)、外網(wǎng)交換機(jī)上，以完成偵聽。安全管理員通過報(bào)警信息和系統(tǒng)日志分析以及前面相應(yīng)的安全設(shè)備日志，發(fā)現(xiàn)入侵的行為，同時(shí)進(jìn)行跟蹤追查。

5 結(jié)束語

網(wǎng)絡(luò)病毒具有極大的隱蔽性和破壞性，一旦入侵企業(yè)信息系統(tǒng)，蔓延速度極快，給企業(yè)造成不可估量的損失。“道高一尺魔高一丈”，病毒隨時(shí)在更新變異，需要我們與制造病毒者作艱苦卓絕地斗爭，不斷研究新的對策，防患于未然，以確保企業(yè)網(wǎng)絡(luò)安全和信息系統(tǒng)的正常平穩(wěn)運(yùn)行。

[1]林國恩.信息系統(tǒng)安全.電子工業(yè)出版社，2010.

[2]kavehpahlavan，prashant Krishnamurthy.網(wǎng)絡(luò)構(gòu)建基礎(chǔ)—廣域網(wǎng)、局域網(wǎng)和個(gè)域網(wǎng)通信.電子工業(yè)出版社，2011.

[3]劉功申，孟魁.惡意代碼與計(jì)算機(jī)病毒——原理、技術(shù)和實(shí)踐.清華大學(xué)出版社，2013.

[4]沈亮，陸臻，張艷，宋好好.網(wǎng)絡(luò)入侵檢測系統(tǒng)原理與應(yīng)用.電子工業(yè)出版社，2013.