某企業信息安全解決方案解析 楊小敏本文以某大型企業信息安全解決方案為例，闡述如何構建一個全面的企業網絡安全防護體系，以確保企業的信息網絡和數據安全，避免由于安全事故給企業造成不必要的損失。 某企業總部設在廣州，由三方股東共同投資組建，其中中方股東占51%股份，英國某公司和香港某公司分別占24.5%股份。該公司擁有中南地區廣州、桂林、長沙、武漢、鄭州等共十五個分公司的經營業務，2004年銷售收入逾40億元，在國內同行業中是最大的中外合資企業。 該企業信息化建設起步于2000年底，到目前已建成覆蓋整個企業的網絡平臺，網絡設備以Cisco為主。在數據通信方面，以廣州為中心與汕頭、湛江、桂林、北海、南寧、長沙、張家界、武漢、宜昌、鄭州共10個城市通過1M幀中繼專線實現點對點連接，其他城市和移動用戶使用ADSL、CDMA登錄互聯網后通過VPN連接到企業內網，或者通過PSTN撥號連接。在公司的網絡平臺上運行著辦公自動化系統、SAP的ERP系統、電子郵件系統、網絡視頻會議系統、VoIP語音系統、企業Web網站，以及工控SCADA系統接口、FHS自動加油系統接口、海關監管系統、互聯網接入、網上銀行等數字化應用，對企業的日常辦公和經營管理起到重要的支撐作用。 圖1 某企業的信息安全綜合防衛體系該企業網絡安全系統建設始于2002年，經過幾年的不斷投入和發展，企業的網絡安全體系已經相當完善。該企業信息安全防護方案和策略主要由以下各部分組成: Internet安全接入; 防火墻訪問控制; 用戶認證系統; 入侵檢測系統; 網絡防病毒系統; VPN加密系統; 網絡設備及服務器加固; 桌面電腦安全管理系統; SCADA系統防護方案; 數據備份系統; 網絡安全制度建設及人員安全意識教育。 該企業的安全網絡拓撲如附圖所示，下面具體闡述各安全子系統的功能和實現方法。 1.安全的互聯網接入 該企業內部網絡的每位員工要隨時登錄互聯網，因此Internet接入平臺的安全是該企業信息系統安全的關鍵部分。 如附圖所示，該企業采用PIX515作為外部邊緣防火墻，其內部用戶登錄互聯網時經過NetEye防火墻，再由PIX映射到互聯網。PIX與NetEye之間形成了DMZ區，需要提供互聯網服務的郵件服務器、Web 服務器等防止在該DMZ區內。該防火墻安全策略如下: （1） 從Internet上只能訪問到DMZ內Web服務器的80端口和郵件服務器的25端口; （2） 從Internet和DMZ區不能訪問內部網任何資源; （3） 從Internet訪問內部網資源只能通過VPN系統進行。 為了防止病毒從Internet進入內部網，該企業在DMZ區部署了網關防病毒系統。目前，該企業采用Symantec Web Security 3.0防病毒系統，對來自互聯網的網頁內容和附件等信息設定了合理的過濾規則，阻斷來自互聯網的各種病毒。 2、防火墻訪問控制 PIX防火墻提供PAT服務，配置IPSec加密協議實現VPN撥號連接以及端到端VPN連接，并通過擴展ACL對進出防火墻的流量進行嚴格的端口服務控制。 NetEye防火墻處于內部網絡與DMZ區之間，它允許內網所有主機能夠訪問DMZ區，但DMZ區進入內網的流量則進行嚴格的過濾。 3.用戶認證系統 用戶認證系統主要用于解決電話撥號和VPN接入的安全問題，它是從完善系統用戶認證、訪問控制和使用審計方面的功能來增強系統的安全性。 該企業采用思科的ACS用戶認證系統。在主域服務器上安裝Radius服務器，在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。撥號用戶和VPN用戶身份認證在Radius服務器上進行，用戶賬號集中在主域服務器上開設。系統中設置了嚴格的用戶訪問策略和口令策略，強制用戶定期更改口令。同時配置了一臺VPN日志服務器，記錄所有VPN用戶的訪問，而撥號用戶的訪問則記錄在Radius服務器中，作為系統審計的依據。系統管理員可以根據需要制定用戶身份認證策略，表1就是一個實例。 表1 用戶身份認證策略一例序號認證要求實現方式1撥號用戶接入認證用戶賬號和口令在Cisco ACS Server。2VPN用戶認證用戶賬號和口令在Cisco ACS Server。3內部用戶訪問Internet認證用戶賬號和口令在Symantec WebSecurity。4. 入侵檢測系統 在系統中關鍵的部位安裝基于網絡的入侵檢測系統，可以使得系統管理員能夠實時監控網絡中發生的安全事件，并能及時做出響應。 根據該企業網絡應用的實際情況，在互聯網流量匯聚的交換機處部署了一套CA eTrust Intrusion Detection，它可實時監控內部網中發生的安全事件，使得管理員及時做出反應，并可記錄內部用戶對Internet的訪問，管理者可審計Internet接入平臺是否被濫用。當沖擊波病毒爆發時，該系統能夠顯示出哪些主機感染了病毒而不停地向其他網絡主機發出廣播包。 企業的網絡管理員可以根據實際應用環境對IDS進行詳細配置，并在實踐中根據需要隨時調整配置參數。表2舉例說明如何配置IDS以及時發現黑客攻擊行為并提供審計日志。 表2 IDS的配置策略序號客戶端服務端行 為動 作備 注1AnyWeb服務器所有基于Web服務的攻擊報警并記錄日志監控Web服務器是否受到來自Internet的攻擊。2AnyMail服務器所有基于Web、SMTP服務器的攻擊報警并記錄日志監控Mail服務器是否受到來自Internet的攻擊。3AnyWeb服務器 Mail服務器所有http請求記錄日志記錄來自Internet的所有http請求，一旦服務器受到攻擊，可從該記錄內就行攻擊查找。4內部網用戶Any地址掃描端口掃描報警并記錄日志監控內部網用戶是否有對Internet的攻擊行為（包括主動攻擊和撥號用戶或蠕蟲的攻擊）。5VPN用戶和拔號用戶Any端口掃描所有漏洞掃描告警并記錄日志監控VPN用戶和撥號用戶用戶是否有對內部網的攻擊行為。該IDS系統曾為本企業及時發現蠕蟲病毒起到關鍵作用。當時是2003年底，企業網絡中出現一些異常情況，2個省外分支機構的員工通過長途網絡專線訪問廣州總部OA服務器時，訪問速度特別慢，而且經常掉線。該企業網絡管理員開始懷疑是專線傳輸問題，并向電信運營商報了故障。運營商對這些數據專線傳輸路徑的每一環節進行測試，未發現任何問題。幾經周折，網絡管理員在查看IDS實時監測記錄時，發現分支機構的一些主機正在不斷地向其他網段的主機發送大量的廣播包，網絡管理員立即意識到這些主機很可能感染了I-Worm/China沖擊波病毒。這一病毒正是利用微軟系統的多重漏洞，通過發送大量數據包使得網絡流量劇增，最后導致網絡不穩定甚至癱瘓。管理員根據IDS偵測出來的異常主機的IP地址，通知用戶拔去網線，這時網絡立即恢復正常訪問速度，遠程主機互“PING”響應時間均在15ms以內，剩下的工作就是為這些感染病毒的主機進行安全處理。 5. 網絡防病毒系統 該企業全面地布置了防病毒系統，包括客戶機、文件服務器、郵件服務器和OA服務器。 該企業采用McAfee TVD防病毒系統保護客戶機和文件服務器的安全，客戶機每天定時從McAfee服務器通過FTP方式下載并安裝最新的病毒代碼庫。 該企業電子郵件系統運行在Domino平臺上，采用了McAfee針對Domino數據庫的病毒過濾模塊，對發送和接手的郵件附件進行病毒掃描和隔離。 由于該企業OA服務器是運行在Sun Solaris上的，NAI McAfee TVD沒有運行于該平臺上的軟件，因此采用了賽門鐵克的SAVF for Domino系統來實現病毒防范。 6. VPN加密系統 該企業通過PIX防火墻建立了基于IPSec國際標準協議的虛擬專網VPN，采用3DEC加密算法實現了信息在互聯網上的安全傳輸。 VPN系統主要用于該企業移動辦公的員工提供互聯網訪問企業內網OA系統，同時為企業內網ERP用戶訪問大股東集團公司的SAP系統提供VPN加密連接。 需要注意的是，由于VPN機制需要執行加密和解密過程，其傳輸效率將因此降低3040，因此對于關鍵業務，如果有條件應該盡可能采用數據專線方式。 7. 網絡設備及服務器加固 該企業網絡管理員定期對各種網絡設備和主機進行安全性掃描和滲透測試，及時發現漏洞并采取補救措施。 安全性掃描主要是利用一些掃描工具，包括Retina、X-Scan、SuperScan、LanGuard等，模擬黑客的方法和手段，以匿名身份接入網絡，對網絡設備和主機進行掃描并進行分析，目的是發現系統存在的各種漏洞。 進行滲透測試時，網絡管理員預先假設攻擊者來自用戶內部網，該攻擊者在內部網以匿名身份接入網絡，起初不具備進入任何系統的權限。通過利用掃描階段發現的系統中的安全漏洞，以黑客使用的手段對系統進行模擬攻擊，最大限度地得到系統的控制權。例如，利用Unix系統的/bin/login ,無需任何身份驗證即可遠程非法登錄漏洞以及priocntl系統調用漏洞，通過緩沖溢出進入系統后進行權限提升，即可獲得Root權限。 根據安全掃描和滲透測試的結果，網絡管理員即可有針對性地進行系統加固，具體加固措施包括: （1） 關閉不必要的網絡端口; （2）視網絡應用情況禁用ICMP、SNMP等協議; （3） 安裝最新系統安全補丁; （4） 采用SSH而不是Telnet進行遠程登錄; （5） 調整本地安全策略，禁用不需要的系統缺省服務; （6） 啟用系統安全審計日志。 以上措施主要用于防范系統中的非法掃描、利用系統漏洞進行緩沖區溢出攻擊、拒絕服務攻擊、非法遠程登錄等黑客攻擊行為。 8. 桌面電腦安全管理系統 該企業的辦公人員幾乎每人配置了一臺筆記本或臺式計算機，幾百臺終端計算機的安全管理是該企業IT管理人員必須解決的問題。目前，該企業采用LANDesk安全管理套件系統來加強對桌面電腦的安全管理。該系統主要具有如下功能: 補丁管理 補丁管理是LAN-Desk系統的主要功能之一，主要用于修復桌面電腦系統漏洞，避免蠕蟲病毒、黑客攻擊和木馬程序等。 LANDesk補丁管理器能夠高效地實現安全補丁管理。補丁程序能夠從全球統一的補丁管理服務器自動下載，并自動分發到每臺桌面電腦，無需IT人員干預。補丁程序在分發安裝前，都經過本地服務器的測試，從而確保補丁自身的安全性，避免損壞用戶系統。 由于LANDesk采用全自動補丁分發方式，大大減輕了管理員的負荷，而更重要的是能夠及時發現操作系統的漏洞并第一時間自動進行修補，從而有效地保護OA用戶的電腦免受破壞。 間諜軟件檢測 基于LAN-Desk隨時更新的集中化安全管理核心數據庫，該系統能夠自動檢測和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。 安全威脅分析 LANDesk提供自動的威脅分析功能，它能夠自動檢測桌面電腦的配置風險，包括共享、口令、瀏覽器等安全問題，并自動進行修補或提出修改建議。 應用程序阻止 用戶隨意安裝的游戲等應用程序可能導致系統紊亂、沖突，影響正常辦公。LANDesk提供的應用程序管理功能可以通過遠程執行指令，阻止有關應用程序的運行。 設備訪問控制 LANDesk通過硬件級別的管理功能，可以對用戶電腦的硬件采用適當的訪問控制策略，限制對網絡、驅動器、通信端口、USB和無線頻道的訪問，防止關鍵數據丟失和未授權訪問。 IT資產管理 對該企業所有上網電腦進行在線管理。該系統能夠自動掃描在線電腦的配置信息，包括硬件配置、軟件配置的詳細信息，如生產廠家、型號、產品序列號、組件參數、IP地址、操作系統類型、應用程序安裝情況等等，并可進行分類、根據需要形成不同報表。 9. SCADA工控系統防護方案 由于中方大股東集團公司ERP系統需要在SCADA系統上采集各種實時數據，因此必須在SCADA系統與企業局域網之間建立一個安全的數據通道。 考慮到工控網絡和局域網都處于相對比較安全的企業內網，因此采用防火墻方式進行隔離，而沒有采用網閘方式物理隔離，這樣可以降低成本。 該企業采用了NetScreen防火墻，在工控網與局域網之間進行流量過濾，它禁止局域網中任何主機對工控網的訪問，僅允許特定流量從工控網傳輸到企業局域網的特定主機，以完成SCADA實時數據向ERP系統的傳送。 10. 數據備份系統 目前該企業采用HP 1/8磁帶自動裝載機對企業數據進行備份，該磁帶庫可以同時裝載9盒磁帶，能夠根據預先定義好的備份策略自動裝載磁帶，自動執行定義好的備份策略，壓縮后最大存儲容量為640GB。備份軟件采用Legato NetWorker網絡備份管理系統。該系統運行穩定，備份和恢復效果較好。 11. 網絡安全制度建設及人員安全意識教育 該企業主要開展以下工作: （1）開展計算機