近年來���,很多煙草企業(yè)已然建成了一個規(guī)模龐大的信息系統(tǒng)�����,這樣一個巨大���、復(fù)雜的信息系統(tǒng)����,面臨著各種安全威脅,包括黑客、病毒�、非法的合作伙伴等,如何確保信息系統(tǒng)的安全是煙草企業(yè)IT人員必須認真考慮的問題����。
為了對大型信息系統(tǒng)進行安全保護,可以針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行劃分�,然后根據(jù)需求采用切實的防護措施?����;谶@個思路,筆者提出“化整為零����,化繁為簡�����,形成多個網(wǎng)絡(luò)安全區(qū)域”��,目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題化為多個小區(qū)域的安全保護問題����,這是實現(xiàn)大規(guī)模復(fù)雜信息的系統(tǒng)安全保護的有效方法�。
劃分網(wǎng)絡(luò)安全域
網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求�����、相互信任并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)�,相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。廣義可理解為具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合�。
劃分好網(wǎng)絡(luò)安全域,是做好企業(yè)信息系統(tǒng)安全防衛(wèi)基礎(chǔ)的一步�。因為通過進行安全域劃分可以明確網(wǎng)絡(luò)邊界,形成清晰���、簡潔���、穩(wěn)定的組網(wǎng)架構(gòu),實現(xiàn)系統(tǒng)之間嚴格訪問控制的安全互聯(lián)�����,解決復(fù)雜系統(tǒng)的安全問題��,有效地實現(xiàn)網(wǎng)絡(luò)之間和各支撐系統(tǒng)之間的有效隔離和訪問控制��,達到化繁為簡���、盡在掌控的目的����。安全域的劃分增強了網(wǎng)絡(luò)的可控性�,可以有效地防止?jié)B透式等攻擊。
安全域的劃分有多種依據(jù)����,比如可以根據(jù)組織的最明顯特征進行劃分,安全域可以是分層次的�,一般越大型、管理層次越多的網(wǎng)絡(luò)����,其安全域?qū)哟慰梢愿啵鴮τ诒馄交芾砟J降臋C構(gòu)�,其層次應(yīng)該少一些。另外����,安全域的劃分不能單純從安全角度考慮,而是應(yīng)該以業(yè)務(wù)角度為主輔以安全角度�,并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀,才能以較小的代價完成安全域劃分和網(wǎng)絡(luò)梳理�����,而又能保障其安全性。
在劃分網(wǎng)絡(luò)安全域后�����,還可以在網(wǎng)絡(luò)安全域內(nèi)劃分更細�����、更小的安全域����,如可以劃分為核心處理域、訪問域��、內(nèi)部用戶域����、外部用戶域、接入域等�����。
完成網(wǎng)絡(luò)安全域的劃分后的下一個工作就是進行區(qū)域內(nèi)安全防衛(wèi)系統(tǒng)的建設(shè)��。這里有一些基本原則需要把握:一個是對任何網(wǎng)絡(luò),絕對安全難以達到����,也不一定是必要的��,所以需要建立合理的實用安全性與用戶需求評價與平衡體系���;另一個是要統(tǒng)籌規(guī)劃��、分步實施����,安全防護不可能一步到位�,可在一個比較全面的安全規(guī)劃下,根據(jù)網(wǎng)絡(luò)的實際需要�,先保證基本的、必須的安全性����。
有了這些措施并在劃分好網(wǎng)絡(luò)安全域的基礎(chǔ)上,接下來的最主要工作是如何做好計算機病毒防范��、防入侵這兩個方面的基礎(chǔ)工作��。
各個安全域之間的邊界保護
入侵的渠道主要是通過安全網(wǎng)絡(luò)域的邊界進入,因此針對安全網(wǎng)絡(luò)域的入侵防衛(wèi)關(guān)鍵是要做好各個安全域之間的邊界保護���。
每個網(wǎng)絡(luò)安全域都是一個邊界���,就是說安全策略和設(shè)置(諸如管理權(quán)利、安全策略和訪問控制列表)不應(yīng)從一個域穿過進入另一個域�����,某特定域的管理員只有在該域中設(shè)置策略的權(quán)利��。
通過將各個安全區(qū)域邊界的安全最小化�,并關(guān)閉一切不必要的服務(wù),從而防御和抵抗拒絕服務(wù)的攻擊����,可采用“柏林墻”來過濾、屏蔽和解決因為TCP/IP協(xié)議��、操作系統(tǒng)漏洞和軟件本身的缺陷來侵入的“東德人”��,使得各個區(qū)域之間是“和平共處”的�����。
網(wǎng)絡(luò)邊界層面的安全措施包括使用ACL(訪問控制列表)或防火墻等技術(shù)手段來進行安全層面的控制。特別值得一提的是注意只開放必要的服務(wù)����,關(guān)閉其余不必要的服務(wù),從網(wǎng)絡(luò)邊界對外部威脅進行安全隔離���,保障網(wǎng)絡(luò)內(nèi)部安全。
目前��,上海煙草的邊界設(shè)備多數(shù)情況下使用的是路由器��,一小部分使用的是安全設(shè)備防火墻����。不管采用何種設(shè)備,關(guān)鍵是要制定合理的訪問控制策略�。
訪問控制列表的使用
如果有些非重要的網(wǎng)絡(luò)安全域邊界不具備部署防火墻的條件,那就需要在路由器或劃分Vlan的交換機上做好訪問控制列表����。
路由器是區(qū)域與區(qū)域之間的邊界設(shè)備,互通的報文都要經(jīng)過路由器�,對路由器進行合理的設(shè)置可以達到部分安全防范的目的,這樣路由器成為保護每個區(qū)域的“前沿陣地”。具體措施是通過設(shè)置訪問控制列表來實現(xiàn)��,訪問控制列表提供了一種機制用來控制通過路由器的信息流���。這種機制允許用戶使用訪問控制列表來管理信息流���,以制定網(wǎng)絡(luò)相關(guān)安全策略。下面舉一個例子���,說明在路由器上做好訪問控制列表的重要性����。
以沖擊波(Worm.Blaster)這個蠕蟲病毒為例�,該病毒利用Microsoft Windows DCOM RPC接口遠程緩沖區(qū)溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區(qū)溢出漏洞發(fā)起的攻擊,該蠕蟲通過發(fā)送大量ICMP數(shù)據(jù)包����,阻塞正常網(wǎng)絡(luò)通信,危害很大��。通過在路由器上加載合適訪問控制列表就能很好進行阻斷�,此后,該類蠕蟲病毒將無法通過網(wǎng)絡(luò)邊界進入網(wǎng)絡(luò)內(nèi)部�,從而將此威脅屏蔽在外����。
當然�,訪問控制策略必須是可行的和合理的?����?尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風險和提供用戶服務(wù)之間獲得平衡���。因此在做訪問控制列表前��,我們必須認真地分析掌握各類的協(xié)議端口和威脅相應(yīng)的特征,根據(jù)這些對訪問控制策略不斷積累�,使路由器物盡其用,達到訪問控制列表是防御網(wǎng)絡(luò)外來攻擊第一關(guān)的目的��。對于劃分Vlan的交換機上可以參考路由器進行ACL設(shè)置�。
利用防火墻做好訪問控制
在網(wǎng)絡(luò)邊界使用的如果是安全設(shè)備防火墻,對其的設(shè)置主要思路是只開放必要的服務(wù)而關(guān)閉不必要的服務(wù)�。但是,即使網(wǎng)絡(luò)邊界設(shè)備只開放必要的服務(wù)�,由于這些設(shè)備將不對開放服務(wù)的信息流進行內(nèi)容安全檢測,這樣威脅還可以通過開放的服務(wù)進入到網(wǎng)絡(luò)內(nèi)���,對網(wǎng)絡(luò)內(nèi)部造成威脅�����。因此在做好上述工作的基礎(chǔ)上���,還需要增加內(nèi)容過濾類功能的設(shè)備(如網(wǎng)絡(luò)防毒墻��、防垃圾郵件�����、入侵檢測等)�,對經(jīng)過開放服務(wù)端口的信息流進行內(nèi)容安全檢測����,防止威脅從此進入,從而彌補路由器或防火墻的不足�����。涉及內(nèi)容過濾類功能的主要有三種系統(tǒng)�。
部署網(wǎng)絡(luò)入侵檢測系統(tǒng) 目前,防火墻是靜態(tài)安全防御技術(shù)���,它對網(wǎng)絡(luò)攻擊缺乏主動的響應(yīng)能力����,而網(wǎng)絡(luò)入侵檢測系統(tǒng)能對網(wǎng)絡(luò)入侵事件和過程做出實時響應(yīng),與防火墻共同成為網(wǎng)絡(luò)安全的核心設(shè)備����。
網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)是動態(tài)安全技術(shù)中核心的技術(shù)之一,通過對系統(tǒng)或網(wǎng)絡(luò)日志分析����,對系統(tǒng)或網(wǎng)絡(luò)資源進行實時檢測,獲得系統(tǒng)或網(wǎng)絡(luò)目前的安全狀況����,及時發(fā)現(xiàn)可疑或非法的入侵者。在現(xiàn)有網(wǎng)絡(luò)的各個Vlan網(wǎng)段分別接入入侵檢測引擎�,構(gòu)成分布式入侵檢測架構(gòu)���,在檢測到可疑事件或入侵后��,立即向中心控制臺報告�。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)一般安裝在需要保護的網(wǎng)段中�,實時監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包���,并對這些數(shù)據(jù)包進行分析和檢測。如果發(fā)現(xiàn)入侵行為或可疑事件�����,入侵檢測系統(tǒng)就會發(fā)出警報甚至切斷網(wǎng)絡(luò)連接�?�;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)如同網(wǎng)絡(luò)中的攝像機�����,只要在一個網(wǎng)絡(luò)中安放一臺或多臺入侵檢測引擎��,就可以監(jiān)視整個網(wǎng)絡(luò)的運行情況�,在網(wǎng)絡(luò)受到攻擊并造成破壞之前,預(yù)先發(fā)出警報�?���;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)自成體系�,它的運行不會給原系統(tǒng)和網(wǎng)絡(luò)增加負擔。值得一提的是��,如今以千兆網(wǎng)絡(luò)為主干的高速網(wǎng)絡(luò)已經(jīng)得以應(yīng)用,傳統(tǒng)的基于模式匹配的網(wǎng)絡(luò)入侵檢測系統(tǒng)已經(jīng)不能勝任此項工作���。特別是目前各類攻擊技術(shù)的提高���、攻擊工具的發(fā)展對網(wǎng)絡(luò)的入侵檢測在降低錯報率和漏報率方面的要求也隨之提高。因此���,入侵檢測系統(tǒng)必須配合其他安全手段一起使用�。例如����,有一種工具軟件可以使檢測系統(tǒng)失效����。這種被稱為"Stick"的工具可發(fā)出多個有攻擊表現(xiàn)的信息包���,使被攻擊網(wǎng)絡(luò)的IDS頻繁發(fā)出警告,造成管理者無法分辨哪些警告是針對真正的攻擊發(fā)出的�,從而使IDS失去作用����。另外���,如果有攻擊表現(xiàn)的信息包數(shù)量超過IDS的處理能力的話,IDS會陷入DoS(拒絕服務(wù))狀態(tài)。
協(xié)議分析加命令解析技術(shù)是一種新的入侵檢測技術(shù),它結(jié)合高速數(shù)據(jù)包捕捉、協(xié)議分析和命令解析來進行入侵檢測,給入侵檢測戰(zhàn)場帶來了許多決定性的優(yōu)勢。
網(wǎng)絡(luò)入侵檢測的實際部署數(shù)量需要根據(jù)實際情況進行��,不代表每個的網(wǎng)絡(luò)邊界都需要部署一個網(wǎng)絡(luò)入侵檢測引擎。一般設(shè)置一個網(wǎng)絡(luò)入侵檢測引擎可以監(jiān)控多個網(wǎng)絡(luò)安全域及其邊界。
部署網(wǎng)絡(luò)防毒墻設(shè)備 除了上述安全措施,還可根據(jù)實際情況部署網(wǎng)絡(luò)防毒墻。因為網(wǎng)絡(luò)防毒墻能夠識別和清除藏匿于網(wǎng)絡(luò)傳輸封包(Packet)內(nèi)的蠕蟲���、病毒等惡意程序文件��,并啟用阻止策略抑制網(wǎng)絡(luò)病毒的發(fā)作和傳染,其最大特點是主動的預(yù)防�,而不是事后的被動的清殺�����;一般情況下�����,網(wǎng)絡(luò)防毒墻主要部署在Internet邊界,主要防范來自Internet網(wǎng)絡(luò)的惡意病毒攻擊����。
防垃圾郵件系統(tǒng) 和網(wǎng)絡(luò)防毒墻一樣,一般情況下,主要部署在Internet邊界進行防范垃圾郵件。
以上措施主要解決入侵威脅同時在網(wǎng)絡(luò)安全域邊界形成多層面的邊界防衛(wèi)��。技術(shù)措施上主要以防火墻為基礎(chǔ),以入侵檢測系統(tǒng)為主來實現(xiàn)的�。
安全域內(nèi)的計算機病毒防范
計算機病毒是煙草企業(yè)信息系統(tǒng)的主要威脅,防范病毒的泛濫也就成為IT部門的主要職責之一�。從病毒發(fā)展趨勢來看���,現(xiàn)在的病毒已經(jīng)由單一傳播�����、單種行為變成依賴互聯(lián)網(wǎng)傳播����;集電子郵件�、文件傳染等多種傳播方式,融黑客�����、木馬等多種攻擊手段為一身�����;擴散極快��,不再追求隱藏性,而更加注重欺騙性����;利用系統(tǒng)漏洞將成為病毒有力的傳播方式。因此�����,僅僅依靠防病毒系統(tǒng)已經(jīng)很難有效防范現(xiàn)在的病毒了�,需要借助防火墻��、系統(tǒng)安全補丁�,入侵檢測系統(tǒng)等共同防范���,所以我們也看到現(xiàn)在市場上的客戶端的防病毒軟件在防病毒的基礎(chǔ)上都集成了防火墻、入侵檢測/防御等功能���。
做好防病毒工作首先必須重視及時打系統(tǒng)安全補丁��。為了及時發(fā)現(xiàn)漏洞��、及時打系統(tǒng)安全補丁等,現(xiàn)在的通用做法是在系統(tǒng)內(nèi)部署終端安全管理類系統(tǒng)��,該系統(tǒng)通過補丁管理����、漏洞管理��、網(wǎng)絡(luò)接入管理等技術(shù)手段結(jié)合防病毒軟件應(yīng)對可能的風險���。
鑒于防病毒系統(tǒng)只能防范已知的病毒的事實����,那么對于未知病毒如何防范呢�?應(yīng)從幾個方面來綜合考慮:
1. 在及時更新防病毒代碼庫和掃描引擎程序的同時����,及時對保護對象打系統(tǒng)安全補丁以提高系統(tǒng)自身的健壯性�,防止新病毒利用已有的安全漏洞進行傳播或攻擊����。
2. 及時監(jiān)控網(wǎng)絡(luò)的異常行為���,這可以借助已有sniffer--基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),及時了解網(wǎng)絡(luò)發(fā)生的情況�����,查看是否有不良的現(xiàn)象出現(xiàn)����。一旦發(fā)現(xiàn)有可疑現(xiàn)象�����,應(yīng)采取措施對存在可疑的設(shè)備進行隔離等方式處理�。
3. 定期進行安全漏洞掃描和安全加固工作,增強重要系統(tǒng)的健壯性。
4. 讓企業(yè)內(nèi)部用戶養(yǎng)成好的操作習慣��,不要打開不明來源的郵件�、不運行未知的程序等良好習慣��,提高識別可疑的威脅的意識�����。
5. 對重要的文件�����、數(shù)據(jù)等信息要及時做好備份�,防止惡性新病毒的代來的巨大損失,畢竟新病毒不可能完全可以防范。
6. 切實做好劃分安全域后的邊界防護工作���,通過結(jié)合入侵檢測/防御系統(tǒng)���,通過及時的特征庫升級和策略調(diào)整,將新病毒威脅隔離在較小的范圍,避免波及全網(wǎng)���。
由此可見,劃分安全域的好處也在防范病毒的工作中體現(xiàn)出來���,劃分安全域?qū)Ψ婪度湎x類病毒等惡意攻擊行為可以起到很好的防止擴散、蔓延的巨大作用,將惡意攻擊的危害隔離在較小的范圍,避免波及全網(wǎng)。
在病毒防護工作���,終端的安全管理系統(tǒng)也非常關(guān)鍵。終端安全管理系統(tǒng)工作模式與網(wǎng)絡(luò)防病毒類似����,都是采用C/S模式��,在終端部署客戶端���,在服務(wù)器的統(tǒng)一策略下發(fā)現(xiàn)客戶端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁�、防范移動電腦和存儲設(shè)備隨意接入內(nèi)網(wǎng)�、對原有客戶端應(yīng)用軟件進行統(tǒng)一監(jiān)控����、管理��、快速有效的定位網(wǎng)絡(luò)中病毒��、蠕蟲�����、黑客的引入點��,及時����、準確的切斷安全事件發(fā)生點和網(wǎng)絡(luò)。
針對煙草企業(yè)的實際需要�����,以上只是建立了網(wǎng)絡(luò)安全域內(nèi)的基礎(chǔ)防衛(wèi)措施���,主要目的是解決最重要最緊迫的問題�。根據(jù)實際的業(yè)務(wù)需要還應(yīng)逐步建立安全審計���、漏洞掃描��、身份認證��、權(quán)限管理����、集中安全管理���、數(shù)據(jù)備份以及有效的應(yīng)急預(yù)防等措施以及相應(yīng)的安全管理措施���,在保障可用性的基礎(chǔ)上,逐步實現(xiàn)完整性���、保密性����、可管理性��、可審計��、抗抵賴等安全目標���。
