信息安全方案.docx

信息安全方案信息安全方案■杨小敏本文以某大型企业信息安全解决方案为例，阐述如 何构建一个全面的企业网络安全防护体系，以确保企 业的信息网络和数据安全，避免由于安全事故给企业 造成不必要的损失某企业总部设在广州，由三方股东共同投资组建， 其中中方股东占51%股份，英国某公司和香港某公司 分别占24.5%股份该公司拥有中南地区广州、桂林、 长沙、武汉、郑州等共十五个分公司的经营业务，2004 年销售收入逾40亿元，在国内同行业中是最大的中 外合资企业该企业信息化建设起步于2000年底，到目前已建 成覆盖整个企业的网络平台，网络设备以Cisco为主 在数据通信方面，以广州为中心与汕头、湛江、桂林、 北海、南宁、长沙、张家界、武汉、宜昌、郑州共10 个城市通过1M帧中继专线实现点对点连接，其他城 市和移动用户使用ADSL、CDMA登录互联网后通过VPN 连接到企业内网，或者通过PSTN拨号连接在公司的网络平台上运行着办公自动化系统、SAP的ERP系 统、电子邮件系统、网络视频会议系统、VoIP语音系 统、企业Web网站，以及工控SCADA系统接口、FHS 自动加油系统接口、海关监管系统、互联网接入、网 上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。

mi/ 園翊皿MA瞧鸵Teb ServerWaII ServerMcaFcfr Virust Sywnntoc 1^'b SecurityPro-taKst StfiTvor PToMy So tw&tCi rttS NMM汕孰"wii 畀 |r：4* izdi叩 OA Server 厝刚總裁黏丹阳 Suit«H. S Sci^tr 壘迩展St该企业网络安全系统建设始于2002年，经过几年 的不断投入和发展，企业的网络安全体系已经相当完善该企业信息安全防护方案和策略主要由以下各部 分组成：• Internet安全接入;•防火墙访问控制；•用户认证系统;•入侵检测系统;网络防病毒系统;• VPN加密系统;网络设备及服务器加固;•桌面电脑安全管理系统;• SCADA系统防护方案;•数据备份系统;•网络安全制度建设及人员安全意识教育该企业的安全网络拓扑如附图所示，下面具体阐述 各安全子系统的功能和实现方法1. 安全的互联网接入该企业内部网络的每位员工要随时登录互联网，因 此Internet接入平台的安全是该企业信息系统安全如附图所示，该企业采用PIX515作为外部边缘防 火墙，其内部用户登录互联网时经过NetEye防火墙, 再由PIX映射到互联网。

PIX与NetEye之间形成了 DMZ区，需要提供互联网服务的邮件服务器、Web服 务器等防止在该DMZ区内该防火墙安全策略如下：（1） 从Internet上只能访问到DMZ内Web服务 器的80端口和邮件服务器的25端口；（2） 从Internet和DMZ区不能访问内部网任何 资源；（3） 从Internet访问内部网资源只能通过VPN 系统进行为了防止病毒从Internet进入内部网，该企业在 DMZ区部署了网关防病毒系统目前，该企业采用 Symantec Web Security 3.0防病毒系统，对来自互 联网的网页内容和附件等信息设定了合理的过滤规则，阻断来自互联网的各种病毒2、防火墙访问控制PIX防火墙提供PAT服务，配置IPSec加密协议实 现VPN拨号连接以及端到端VPN连接，并通过扩展ACL 对进出防火墙的流量进行严格的端口服务控制NetEye防火墙处于内部网络与DMZ区之间，它允许 内网所有主机能够访问DMZ区，但DMZ区进入内网的 流量则进行严格的过滤3. 用户认证系统用户认证系统主要用于解决拨号和VPN接入的 安全问题，它是从完善系统用户认证、访问控制和使该企业采用思科的ACS用户认证系统。

在主域服务 器上安装Radius服务器，在Cisco拨号路由器和PIX 防火墙上配置了 Radius客户端拨号用户和VPN用 户身份认证在Radius服务器上进行，用户账号集中 在主域服务器上开设系统中设置了严格的用户访问 策略和口令策略，强制用户定期更改口令同时配置 了一台VPN日志服务器，记录所有VPN用户的访问，而拨号用户的访问则记录在Radius服务器中，作为 系统审计的依据系统管理员可以根据需要制定用户 身份认证策略，表1就是一个实例序号认证要求实现方式1拨号用户接入认证用户账号和口令在Cisco ACS Server2VPN用户认证用户账号和口令在Cisco ACS Server o3内部用户访问Internet认证用户账号和口令在Symantec WebSecurity4. 入侵检测系统在系统中关键的部位安装基于网络的入侵检测系 统，可以使得系统管理员能够实时监控网络中发生的 安全事件，并能及时做出响应根据该企业网络应用的实际情况，在互联网流量汇 聚的交换机处部署了一套CA eTrust Intrusion Detectio n,它可实时监控内部网中发生的安全事件, 使得管理员及时做出反应，并可记录内部用户对 Internet的访问，管理者可审计Internet接入平台 是否被滥用。

当冲击波病毒爆发时，该系统能够显示 出哪些主机感染了病毒而不停地向其他网络主机发 出广播包企业的网络管理员可以根据实际应用环境对IDS进行详细配置，并在实践中根据需要随时调整配置参数表2举例说明如何配置IDS以及时发现黑客攻击行为并提供审计日志序号客户端服务端行为动作备注1AnyWeb服务器所有基于Web服务 的攻击报警并 记录日 志监控Web服务器是否受到来自Internet的攻击2AnyMail服务器所有基于Web、SMTP 服务器的攻击报警并 记录日 志监控Mail服务器是否受到来自Internet的攻击3AnyWeb服务器Mail服务器所有http请求记录日 志记录来自Internet的所有http请求，一旦服务器 受到攻击，可从该记录内就行攻击查找4内部网用户Any地址扫描端口扫描报警并 记录日 志监控内部网用户是否有对Internet的攻击行为 （包括主动攻击和拨号用户或蠕虫的攻击）5VPN用户和 拔号用户Any端口扫描所有漏洞 扫描告警并 记录日 志监控VPN用户和拨号用户用户是否有对内部网的 攻击行为当时是2003年底，企业网络中出现一些异常 情况，2个省外分支机构的员工通过长途网络专线访 问广州总部0A服务器时，访问速度特别慢，而且经 常掉线。

该企业网络管理员开始怀疑是专线传输问题，并向电信运营商报了故障运营商对这些数据专 线传输路径的每一环节进行测试，未发现任何问题 几经周折，网络管理员在查看IDS实时监测记录时，主机发送大量的广播包，网络管理员立即意识到这些 主机很可能感染了 I-Worm/China冲击波病毒这一 病毒正是利用微软系统的多重漏洞，通过发送大量数 据包使得网络流量剧增，最后导致网络不稳定甚至瘫 痪管理员根据IDS侦测出来的异常主机的IP地址, 通知用户拔去网线，这时网络立即恢复正常访问速 度，远程主机互“PING”响应时间均在15ms以内， 剩下的工作就是为这些感染病毒的主机进行安全处 理5. 网络防病毒系统该企业全面地布置了防病毒系统，包括客户机、文 件服务器、邮件服务器和0A服务器该企业采用McAfee TVD防病毒系统保护客户机和 文件服务器的安全，客户机每天定时从McAfee服务 器通过FTP方式下载并安装最新的病毒代码库该企业电子邮件系统运行在Domino平台上，釆用 了 McAfee针对Domino数据库的病毒过滤模块，对发 送和接手的邮件附件进行病毒扫描和隔离由于该企业0A服务器是运行在Sun Solaris 上的,NAI McAfee TVD没有运行于该平台上的软件，因此采 用了赛门铁克的SAVF for Domino系统来实现病毒防 范。

6. VPN加密系统该企业通过PIX防火墙建立了基于IPSec国际标准 协议的虚拟专网VPN，采用3DEC加密算法实现了信息 在互联网上的安全传输VPN系统主要用于该企业移动办公的员工提供互联 网访问企业内网0A系统，同时为企业内网ERP用户 访问大股东集团公司的SAP系统提供VPN加密连接需要注意的是，由于VPN机制需要执行加密和解密 过程，其传输效率将因此降低30%〜40%,因此对于关键业务，如果有条件应该尽可能采用数据专线方 式7. 网络设备及服务器加固该企业网络管理员定期对各种网络设备和主机进行 安全性扫描和渗透测试，及时发现漏洞并采取补救措 施安全性扫描主要是利用一些扫描工具，包括Retina、X-Scan、SuperScan、LanGuard 等，模拟黑 客的方法和手段，以匿名身份接入网络，对网络设备 和主机进行扫描并进行分析，目的是发现系统存在的 各种漏洞进行渗透测试时，网络管理员预先假设攻击者来自 用户内部网，该攻击者在内部网以匿名身份接入网 络，起初不具备进入任何系统的权限通过利用扫描 阶段发现的系统中的安全漏洞，以黑客使用的手段对 系统进行模拟攻击，最大限度地得到系统的控制权。

例如，利用Unix系统的/bin/login ,无需任何身份 验证即可远程非法登录漏洞以及priocntl系统调用 漏洞，通过缓冲溢出进入系统后进行权限提升，即可 获得Root权限根据安全扫描和渗透测试的结果，网络管理员即可 有针对性地进行系统加固，具体加固措施包括：关闭不必要的网络端口;视网络应用情况禁用ICMP、SNMP等协议;(3)安装最新系统安全补丁;(4)采用SSH而不是Telnet进行远程登录;(5) 调整本地安全策略，禁用不需要的系统缺省 服务；(6) 启用系统安全审计日志以上措施主要用于防范系统中的非法扫描、利用系 统漏洞进行缓冲区溢出攻击、拒绝服务攻击、非法远 程登录等黑客攻击行为8. 桌面电脑安全管理系统 式计算机，几百台终端计算机的安全管理是该企业IT 管理人员必须解决的问题目前，该企业采用LANDesk 安全管理套件系统来加强对桌面电脑的安全管理该 系统主要具有如下功能：补丁管理 补丁管理是LAN-Desk系统的主要功能之 一,主要用于修复桌面电脑系统漏洞，避免蠕虫病毒、 黑客攻击和木马程序等LANDesk补丁管理器能够高效地实现安全补丁管 理补丁程序能够从全球统一的补丁管理服务器自动 下载，并自动分发到每台桌面电脑，无需IT人员干 预。

补丁程序在分发安装前，都经过本地服务器的测试，从而确保补丁自身的安全性，避免损坏用户系统由于LANDesk采用全自动补丁分发方式，大大减轻 了管理员的负荷，而更重要的是能够及时发现操作系 统的漏洞并第一时间自动进行修补，从而有效地保护 0A用户的电脑免受破坏间谍软件检测 基于LAN-Desk随时更新的集中化安 全管理核心数据库，该系统能够自动检测和清除来自 间谍软件、广告软件、键盘记录程序、特洛伊木马和 其他恶意程序的已知威胁安全威胁分析LANDesk提供自动的威胁分析功能， 它能够自动检测桌面电脑的配置风险，包括共享、口 令、浏览器等安全问题，并自动进行修补或提出修改 建议应用程序阻止用户随意安装的游戏等应用程序可 能导致系统紊乱、冲突，影响正常办公LANDesk提 供的应用程序管理功能可以通过远程执。