引言
隨著信息技術的飛速發展和信息化建設的不斷推進,網絡在各行業部門中的應用日益普及。在為用戶帶來高效與便利的同時,網絡的信息安全也面臨著日益嚴重的威脅。特別是在政府、軍隊和金融等一些涉密部門的內部網絡中,通常運行和存儲著大量的涉密信息。如果安全防護措施不當,極易造成敏感信息的泄露,甚至發生嚴重的泄密事件,造成不可挽回的損失。為防止此類事件的發生,很多涉密內部網絡通常與外網進行物理隔離,雖然此舉能夠最大限度地阻止來自于網絡外部的直接攻擊,但并不能有效解決信息泄露問題。因此,在涉密內網中確保網上信息資源的安全,防止網上泄密事件的發生,已成為一個非常重要的研究課題。
1 涉密內網中面臨的主要威脅及原因
涉密內網在與外網進行物理隔離后,其威脅主要來自以下幾個方面。
1.1違規接入
有些涉密內網對入網計算機未進行身份認證,繼而無法進行用戶身份合法性驗證。計算機只要設置了正確的網絡地址,在內網中任何一處網絡接入點即可接入內網。另外,內網中的服務器如果對外提供撥號接入服務,也有可能被非法用戶使用,使得外部計算機接入內部網絡。這些外部計算機一旦非法接入內網,即可正常訪問內網資源,對其中的涉密信息造成極大的威脅。
1.2非法外聯
非法外聯是指將涉密計算機非法接入外部網絡。通常,涉密網絡系統禁止與互聯網連接,但是有些用戶為圖便利,在斷開內網的情況下違規將涉密計算機接入互聯網,甚至直接將接入涉密網的計算機同時又通過撥號、寬帶和無線等方式接入互聯網,破壞了內網的物理隔離。另外,該條接入外網的鏈路通常防護能力較弱,容易被入侵并作為跳板,滲透到內部網絡,給涉密網帶來非常嚴重的危害和后果。
1.3網絡病毒
計算機病毒有著巨大的破壞性,尤其是網絡病毒,無論是在傳播速度與破壞性,還是在傳播范圍等方面都遠遠超過了單機病毒。如當今流行的蠕蟲病毒,往往通過電子郵件、網絡共享或主動掃描等方式在網絡中蔓延,而內部局域網的帶寬較高,往往又給病毒的快速傳播提供了有利條件。病毒的肆虐往往造成網絡擁塞、主機效率低下,甚至造成服務器或整個網絡的癱瘓,嚴重影響了網絡運行的穩定性和可靠性。
1.4系統漏洞
計算機操作系統是一個復雜而龐大的軟件,有時因為程序開發人員的疏忽或設計失誤,可能會留下一些漏洞,從而成為入侵者進入主機或網絡的一個“后門”。而內網用戶的計算機應用水平和安全防范意識參差不齊,有些用戶不知道如何對這些漏洞進行修補。另外,由于與互聯網物理隔離,內網用戶不便于進行系統補丁升級,導致這些漏洞無法得到及時修補,極易被黑客或網絡病毒所利用。
1.5黑客攻擊
在一些部門的內部網絡中(如院校),用戶數量多、類型復雜。由于某些用戶(如學生)的求知欲望和好奇心較強,善于學習計算機的新技術、新知識,個別用戶為了學習和實踐網絡安全技術,將內部網絡作為學習和實驗的基地,而內部網通常較廣域網帶寬大,網速高,更利于黑客實現攻擊和入侵行為,對網絡的安全性和穩定性構成威脅。
1.6涉密載體交叉混用
如果內網沒有對入網計算機的外部接口進行有效管控,也容易造成失泄密事故。有些用戶為了使用方便,將入網計算機與其他外網計算機的外部設備(如打印機等)和移動存儲設備(如優盤、移動硬盤、軟盤與刻錄機等)交叉混用,導致內網計算機或移動存儲設備中被植入木馬和病毒,從而發生“擺渡”泄密現象。
1.7管理漏洞
管理機構的不健全、管理制度的不完善、管理人員素質不高和管理技術的落后等管理因素也是產生內網安全隱患的重要原因之一。例如有些網絡管理員責任心不強,安全意識淡薄,疏于對服務器或其他網絡設備的安全管理,如服務器操作系統的賬號和密碼設置過于簡單、系統補丁更新不及時、某些應用系統使用默認密碼,以及文件或目錄權限設置不當等,使得網絡服務器容易被黑客入侵。
2 內網信息安全防護建設實踐
基于上述分析,按照有關規定和要求,并結合實際應用需求,近期對某單位的內部網絡進行了升級改造,有針對性地在網絡信息安全防護方面進行了重點整治。
2.1入網身份認證系統
該單位內部網絡改造前雖然用戶在申請接入內網時需經過注冊審批,但由于缺乏相關設備,未進行IP地址與MAC地址的綁定,只能通過劃分vLAN的方式將用戶的IP地址限制在較小范圍內,由此帶來兩方面的問題:一是同一個VLAN內無法杜絕IP地址盜用和IP地址沖突的現象;二是無法防止非法接入內網,任意一臺計算機足耍設置了此vLAN內的IP地址,即可接入到內網,使網上信息資源受到嚴重威脅。另外,沒有對入網用戶進行身份認證,無法實現實名上網。為徹底解決這一問題,此次升級改造時,在內網部署了一套安全網絡管理平臺,在該平臺的管控下,入網用戶必須實名、實地址上網,且對用戶名、密碼、IP地址、MAC地址及交換機端口等多個元素進行了綁定。用戶在接入網絡時,首先需要運行入網認證客戶端程序,使用IEEE802.1x協議進行合法性認證。只要上述元素中的任何一個發生變化,均會導致認證失敗,從而被拒絕接入網絡,徹底杜絕了IP地址盜用和非法接入的現象,大大提高了入網的規范性和安全性。
2.2網絡版病毒防火墻
計算機病毒一直是威脅內網穩定可靠運行的重要原因。改造前由于網絡內未能統一部署網絡版病毒防殺系統,所以無法對內網的病毒防范工作進行統一部署,入網用戶只能各自為戰,根據自己的使用習慣安裝各種不同的病毒防殺產品。由于內部網絡與互聯網物理隔離,多數用戶都存在病毒庫更新不及時的現象,使得病毒防殺效果大打折扣,導致內網中時常會發生病毒肆虐的現象,嚴重影響內網的穩定性。為解決這一問題,此次升級改造在該網絡內部署了一套網絡版殺毒軟件,入網計算機必須安裝該軟件,并自動靜默升級病毒庫。用戶運行入網認證客戶端進行認證時,會對用戶計算機的端點防護狀態進行檢測,如發現未安裝指定版本的防火墻或者病毒庫未升級,將拒絕該計算機接入網絡,實現了殺毒軟件與入網認證的聯動,有效地解決了病毒防范問題,網絡的穩定性得到了極大提高。
2.3軟件補丁升級服務
為了解決內網計算機的操作系統等軟件不便于進行在線補丁升級的問題,在內網中部署了一套軟件補丁升級系統,由網絡管理員定期從互聯網上下載相關補丁,并遷移至內網服務器。在進行入網認證時,通過端點防護檢測,自動對入網計算機系統進行補丁升級,無需用戶進行任何操作,確保所有接入內網的計算機的系統漏洞能夠及時得到修補,降低了主機被入侵或被病毒感染的概率。
2.4入侵檢測和行為審計系統
針對在內網中時有發生的網絡攻擊行為,部署了一套入侵檢測系統,能夠實時分析內網中數據通信情況,分辨入侵企圖。并與安全網絡管理平臺進行聯動。當入侵檢測系統檢測到某臺入網計算機對其所監控的內網服務器有攻擊行為或企圖時,自動阻斷該計算機的網絡連接,并以多種方式發出報警信息提示管理人員。能夠有效避免攻擊行為的持續進行,最大限度地保護網絡的安全。另外,為了能夠對內網的非法入侵、傳播不當言論及敏感信息資源失控等事件進行追查與取證,以規范用戶的上網行為,還部署了網絡行為審計系統,可對用戶的上網行為進行記錄和審計,一旦出現某些違規行為(如網絡攻擊和論壇不當言論等),可根據該系統追查違規行為責任人,從而對網絡安全與用戶的非法行為進行有效的監控和震懾。
2.5計算機信息安全管理系統
為了能夠對入網計算機的外部接口進行有效管理,防止移動載體的交叉混用,所有的入網計算機均要求安裝計算機信息安全管理系統。該系統能夠按照入網計算機不同的涉密級別,對其外部接口、外部設備等進行不同程度的管控。另外,對涉密移動載體進行了加密處理,經過加密的移動設備無法在未安裝該系統的計算機七使用。經過這樣的部署,可以有效防止這些設備的交叉混用,杜絕了通過移動載體泄密的安全隱患。
2.6漏洞掃描系統
在升級改造過程中,網絡內不僅安裝了防火墻和入侵檢側系統等被動性防御設備,還部署了漏洞掃描系統來主動探測網絡中的薄弱環節。通過網絡安全性掃描,系統管理員能夠及時發現網絡內主機與服務器等網絡設備的各種漏洞和隱患,如端口和服務、系統漏洞、弱口令及共享文件等,并給出修正建議。管理人員可根據掃描結果對這些漏洞和隱患進行及時修補。
2.7對原有設施進行重新規劃部署
除上述新增加的網絡安全設備外,對原有的防火墻、路由器等相關設備。進行了重新調整和配置,使之與新增設備之間實現功能互補和聯動,從而進一步增強了網絡的安全性。升級改造完成后。該單位的內網系統在入網用戶資格審查登記的前提下,實現了入網身份認證和終端安全防護檢查等安全措施,認證客戶端、安全策略服務器、網絡硬件交換設備以及安全管理理平臺之間互相聯動,對接入網絡的用戶終端強制實施安全策略,嚴格控制終端用戶的網絡行為,從而可以確保終端安全接入,實現了典有全局、立體、韌能和聯動特點的整體安全防護體系,如圖1所示,極大地提離了內網的安全防護能力。
圖1 升級憲成后的整體安全防護體系
3 結語
網絡安全防護的建設不是各種安全產品的簡單疊加,需要結合實際應用和不同網絡的自身特點,對各種安全設備的功能進行有機融合,形成一套經濟、有效、全面的整體防御體系。而且網絡安全防護建設是一個長期、循序漸進的過程,隨著網絡技術的不斷發展,必然會出現各種新的威脅。因此,涉密內網的信息安全防護建設也應隨之不斷完善和調整,才能構建一道保護網上信息安全的銅墻鐵壁。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:涉密內網安全防護體系的研究與實踐