多措并舉 提升內(nèi)網(wǎng)安全

■江蘇省食品藥品監(jiān)督檢驗(yàn)研究院 錢鑫

隨著信息化建設(shè)不斷深入，業(yè)務(wù)對(duì)信息化更加依賴，網(wǎng)絡(luò)信息安全問(wèn)題日益凸顯。提升網(wǎng)絡(luò)信息安全是每個(gè)企事業(yè)單位勢(shì)在必行的工作。

局域網(wǎng)絡(luò)中信息安全可以分為物理環(huán)境安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全5個(gè)層次。本文結(jié)合單位實(shí)際，針對(duì)各個(gè)層次所面臨的問(wèn)題，采取必要的防護(hù)措施，提升內(nèi)網(wǎng)安全。

網(wǎng)絡(luò)層安全方面

1.劃分VLAN，配置ACL

按照科室和功能區(qū)不同劃分多個(gè)VLAN，分為辦公區(qū)和實(shí)驗(yàn)室區(qū)，每個(gè)區(qū)域再按照科室劃分VLAN，最終形成每個(gè)科室一個(gè)辦公VLAN和多個(gè)實(shí)驗(yàn)室VLAN。

圖1 辦公VLAN ACL3001

圖2 儀器VLAN ACL3007

圖3 采集機(jī)和客戶端VLAN ACL3008

各科室間的VLAN不可以訪問(wèn)，允許所有VLAN訪問(wèn)服務(wù)器（ACL3001）。實(shí)驗(yàn)室區(qū)VLAN劃分為儀器、采集機(jī)和客戶端3個(gè)VLAN。根據(jù)訪問(wèn)需求配置ACL，儀器只與采集機(jī)通信（ACL3007），不與其他VLAN通信。采集機(jī)和客戶端只與對(duì)應(yīng)的服務(wù)器通信，拒絕業(yè)務(wù)無(wú)關(guān)的非法訪問(wèn)（ACL3008）。

2.啟用端口安全，防止非法接入

內(nèi)網(wǎng)相對(duì)是一個(gè)封閉的空間，在防火墻、IPS、防毒墻、網(wǎng)閘等安全設(shè)備的防護(hù)下外網(wǎng)入侵幾乎無(wú)法到達(dá)內(nèi)網(wǎng)，防止來(lái)自內(nèi)部的安全威脅就更加重要。為防止內(nèi)網(wǎng)有計(jì)算機(jī)非法接入，在接入層交換機(jī)上配置的端口安全策略，僅允許登記的MAC地址接入內(nèi)網(wǎng)。

開啟端口安全功能，設(shè)置安全MAC地址最大數(shù)量為1個(gè)，綁定粘貼MAC地址和所屬VLAN，將通過(guò)端口的其他MAC幀設(shè)置為丟棄（如圖4所示）。通過(guò)MAC地址認(rèn)證，只允許登記備案的計(jì)算機(jī)接入內(nèi)網(wǎng)，有效避免了非法接入。

圖4 配置端口安全Sticky貼粘MAC地址

系統(tǒng)層安全方面

在內(nèi)網(wǎng)部署Windows Active Directory服務(wù)器，建立Windows域環(huán)境，對(duì)服務(wù)器、儀器采集機(jī)、工作站和辦公電腦等Windows終端進(jìn)行統(tǒng)一管理。

1.禁止使用可移動(dòng)存儲(chǔ)設(shè)備

通過(guò)組策略管理，禁止可移動(dòng)存儲(chǔ)設(shè)備接入內(nèi)網(wǎng)計(jì)算機(jī)，既有效避免了通過(guò)U盤傳播病毒，也減少了數(shù)據(jù)外泄的可能。

在域控服務(wù)器上，打開組策略管理，創(chuàng)建GPO，命名為禁用USB存儲(chǔ)，依次展開“計(jì)算機(jī)配置→策略→管理模板→系統(tǒng)→可移動(dòng)存儲(chǔ)訪問(wèn)”，將“可移動(dòng)磁盤：拒絕執(zhí)行權(quán)限”“可移動(dòng)磁盤：拒絕讀取權(quán)限”“可移動(dòng)磁盤：拒絕寫入權(quán)限”和“所有可移動(dòng)存儲(chǔ)類：拒絕所有權(quán)限權(quán)限”等4項(xiàng)狀態(tài)設(shè)置為“已啟用”，并將此GPO鏈接到所有終端計(jì)算機(jī)OU。實(shí)現(xiàn)全網(wǎng)域環(huán)境下的所有計(jì)算機(jī)禁止使用可移動(dòng)存儲(chǔ)設(shè)備。

2.實(shí)現(xiàn)統(tǒng)一身份認(rèn)證

圖5 Microsoft Update地址

通過(guò)域用戶身份管理，各應(yīng)用系統(tǒng)與域LDAP集成，各業(yè)務(wù)系統(tǒng)的用戶管理、密碼策略統(tǒng)一由域控負(fù)責(zé)，只需在個(gè)業(yè)務(wù)系統(tǒng)中為用戶分配好相應(yīng)的權(quán)限，有效的為各數(shù)據(jù)資源分配權(quán)限，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，達(dá)到用戶訪問(wèn)集中管控的目的，避免了非法訪問(wèn)。

（3）使用強(qiáng)密碼策略

通過(guò)密碼策略強(qiáng)制用戶使用強(qiáng)密碼規(guī)則，并定期修改密碼。

在域控服務(wù)器上，打開組策略管理，創(chuàng)建GPO，命名為“PASSWORD”，依次展開“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)備→賬號(hào)策略→密碼策略”，將策略“密碼必須符合復(fù)雜性要求”設(shè)置為“已啟用”，將策略“密碼長(zhǎng)度最小值”設(shè)置為“8個(gè)字符”，將策略“密碼最長(zhǎng)使用期限”設(shè)置為“90天”，將策略“強(qiáng)制密碼歷史”設(shè)置為“3個(gè)記住的密碼”。并將此GPO鏈接到全局OU，以滿足密碼復(fù)雜度的要求，確保舊密碼不被連續(xù)重新使用，增強(qiáng)系統(tǒng)的安全性。

4.搭建WSUS補(bǔ)丁更新服務(wù)器。

內(nèi)網(wǎng)搭建WSUS服務(wù)器，配置網(wǎng)閘、防火墻和上網(wǎng)行為管理以允許WSUS服務(wù)器使用的HTTP的80端口和HTTPS的443端口與Microsoft Update通信。Microsoft Update地址如圖5所示。

通過(guò)組策略統(tǒng)一為內(nèi)網(wǎng)計(jì)算機(jī)配置更新服務(wù)器和統(tǒng)計(jì)服務(wù)器地址。在域控服務(wù)器上，打開組策略管理，創(chuàng)建GPO，命名為“Update”，依次展開“計(jì)算機(jī)配置→策略→管理模板→Windows組件→Windows更新”，打開“指定Intranet Microsoft更新服務(wù)位置”，設(shè)置為“已啟用”，在“設(shè)置檢測(cè)更新的Intranet更新服務(wù)”和“設(shè)置Intranet統(tǒng)計(jì)服務(wù)器”的地址設(shè)置為WSUS服務(wù)器地址，并將此GPO鏈接到所有終端計(jì)算機(jī)OU，為域環(huán)境下的所有計(jì)算機(jī)統(tǒng)一進(jìn)行系統(tǒng)更新。

5.部署終端防病毒軟件

采用360天擎終端安全管理系統(tǒng)保護(hù)內(nèi)網(wǎng)辦公終端。在服務(wù)器區(qū)部署一臺(tái)360天擎服務(wù)端，通過(guò)對(duì)制定VLAN統(tǒng)一分發(fā)部署。在內(nèi)網(wǎng)環(huán)境下，360天擎控制中心無(wú)法訪問(wèn)互聯(lián)網(wǎng)進(jìn)行更新，采用離線升級(jí)工具（360EntOffUpd.exe）更新病毒庫(kù)、系統(tǒng)漏銅補(bǔ)丁、天擎客戶端主程序和控制中心版本。通過(guò)360天擎定期對(duì)內(nèi)網(wǎng)辦公計(jì)算機(jī)終端進(jìn)行病毒查殺，為終端計(jì)算機(jī)建立起最后一道安全防線。

網(wǎng)絡(luò)管理層安全方面

隨著業(yè)務(wù)系統(tǒng)不斷增加，管理人員的角色也逐步細(xì)化，分工更為明確。需要加強(qiáng)對(duì)各類人員的管理。對(duì)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、運(yùn)維技術(shù)人員等管理人員采用最小權(quán)限策略，通過(guò)堡壘機(jī)對(duì)管理人員進(jìn)行身份驗(yàn)證和操作審計(jì)。對(duì)于遠(yuǎn)程運(yùn)維人員，采用“VPN+堡壘機(jī)”模式，保證遠(yuǎn)程運(yùn)維安全。

在互聯(lián)網(wǎng)出口處部署VPN設(shè)備，遠(yuǎn)程運(yùn)維人員通過(guò)SSL VPN遠(yuǎn)程接入到局域網(wǎng)的外網(wǎng)環(huán)境，再通過(guò)網(wǎng)閘連接到內(nèi)網(wǎng)堡壘機(jī)，根據(jù)運(yùn)維對(duì)象的不同，分配不同的訪問(wèn)權(quán)限，保證運(yùn)維人員的權(quán)限控制在最小范圍，同時(shí)對(duì)操作行為進(jìn)行審計(jì)和錄屏，以達(dá)到保證遠(yuǎn)程運(yùn)維安全的目的。

應(yīng)用層安全

應(yīng)用層安全主要是保障各類應(yīng)用系統(tǒng)和數(shù)據(jù)安全。在大數(shù)據(jù)時(shí)代下，數(shù)據(jù)作為一種無(wú)形的資產(chǎn)顯得尤其重要。在保障應(yīng)用和數(shù)據(jù)安全方面，主要采取了以下措施：

1.建立高可用的虛擬化資源池

利用VMware vsphere，采用“多虛多”模式，將多臺(tái)物理服務(wù)器組建為一個(gè)虛擬化集群，將CPU、內(nèi)存資源整合，為應(yīng)用系統(tǒng)提供高效、可靠的運(yùn)行環(huán)境。使用SSD+SAS分層存儲(chǔ)模式，其中SD磁盤作為高速緩存，SAS盤采用RAID5+局部熱備盤模式作為數(shù)據(jù)盤。

2.建全備份容災(zāi)系統(tǒng)

采用Actifio備份軟件，對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行周期性備份。結(jié)合虛擬化的特點(diǎn)，利用快照技術(shù)，可以對(duì)虛擬機(jī)進(jìn)行快速備份。使用Actifio備份軟件，對(duì)各業(yè)務(wù)系統(tǒng)服務(wù)器采用每天全備的模式。提高文件服務(wù)器備份的顆粒度，細(xì)化到每個(gè)文件，以達(dá)到還原單個(gè)文件的要求。對(duì)于關(guān)鍵業(yè)務(wù)的SQL數(shù)據(jù)庫(kù)，采用先執(zhí)行數(shù)據(jù)庫(kù)備份計(jì)劃，對(duì)數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)日志進(jìn)行每天全備，再利用備份軟件對(duì)備份BAK文件進(jìn)行災(zāi)備。定期做還原測(cè)試和恢復(fù)演練。

物理層安全方面

主要是針對(duì)機(jī)房安全方面，建立機(jī)房環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房的溫度、濕度、電源、消防、防水等進(jìn)行實(shí)時(shí)監(jiān)控。加強(qiáng)對(duì)機(jī)房進(jìn)出人員管理，建立嚴(yán)格的門禁系統(tǒng)，并定期檢查日志信息。

結(jié)語(yǔ)

信息安全的“木桶原則”強(qiáng)調(diào)對(duì)信息進(jìn)行均衡、全面的保護(hù)。木桶的最大容積取決于最短的一塊木板，系統(tǒng)安全性取決于最薄模塊的安全性。通過(guò)以上幾個(gè)層面的組合防護(hù)，單位進(jìn)一步提升了網(wǎng)絡(luò)安全的保障能力。