時(shí)間:2023-06-07 09:01:20
緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
關(guān)鍵詞:無線網(wǎng)絡(luò);安全風(fēng)險(xiǎn);安全防范
1概述
醫(yī)院內(nèi)部無線網(wǎng)絡(luò)(Hospital Internal Wireless Networks),既包括允許用戶在醫(yī)院內(nèi)部范圍內(nèi)建立遠(yuǎn)距離無線連接的網(wǎng)絡(luò)。
2009 年,國家新醫(yī)改政策出臺(tái),其中信息系統(tǒng)首次成為我國醫(yī)療衛(wèi)生體系建設(shè)的重要支撐。醫(yī)院信息系統(tǒng)經(jīng)過多年的發(fā)展,已經(jīng)由以財(cái)務(wù)為核心的階段過渡到以臨床信息系統(tǒng)為核心的階段,因此越來越多的醫(yī)院開始應(yīng)用無線網(wǎng)絡(luò),實(shí)施以患者為核心的無線醫(yī)療信息系統(tǒng)。隨著無線網(wǎng)絡(luò)技術(shù)的日趨成熟,醫(yī)院內(nèi)部無線網(wǎng)絡(luò)在全球范圍內(nèi)醫(yī)療行業(yè)中的應(yīng)用已經(jīng)成為了一種趨勢,在今后的醫(yī)院應(yīng)用中將會(huì)越來越廣泛。通過無線醫(yī)療信息系統(tǒng)的應(yīng)用,既拉近了與患者之間的距離,提高了醫(yī)療服務(wù)的效率和質(zhì)量,也加強(qiáng)了醫(yī)院的綜合管理。
2醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)
隨著醫(yī)院對無線醫(yī)療信息系統(tǒng)應(yīng)用的不斷深入,醫(yī)院對于內(nèi)部無線網(wǎng)絡(luò)的依賴程度也越來越深。醫(yī)院內(nèi)部無線網(wǎng)絡(luò)作為原有醫(yī)院內(nèi)部有線網(wǎng)絡(luò)的補(bǔ)充,擴(kuò)展了有線網(wǎng)絡(luò)的應(yīng)用范圍,但是也將相對封閉的醫(yī)院內(nèi)部有線局域網(wǎng)絡(luò)環(huán)境轉(zhuǎn)變成了相對開放式的網(wǎng)絡(luò)環(huán)境。其安全性不僅影響到醫(yī)院內(nèi)部無線醫(yī)療信息系統(tǒng)的使用,同樣也影響到與其相連的有線網(wǎng)絡(luò)環(huán)境中應(yīng)用的其他醫(yī)院信息系統(tǒng)。因此醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全將直接影響到醫(yī)院整體信息系統(tǒng)的安全。醫(yī)院內(nèi)部無線網(wǎng)絡(luò)一旦被破壞,將會(huì)造成醫(yī)院信息系統(tǒng)的數(shù)據(jù)被竊取、網(wǎng)絡(luò)癱瘓、醫(yī)療業(yè)務(wù)被中斷等等一系列嚴(yán)重的后果。由于醫(yī)院醫(yī)療數(shù)據(jù)的敏感性,以及無線網(wǎng)絡(luò)通過無線信號傳輸?shù)奶匦裕沟冕t(yī)院內(nèi)部無線網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)越來越突出。
根據(jù)相關(guān)運(yùn)行情況分析, 醫(yī)院內(nèi)部無線網(wǎng)絡(luò)主要存在以下安全問題:①非法AP的接入:無線網(wǎng)絡(luò)易于訪問和配置簡單的特性,使醫(yī)院內(nèi)部網(wǎng)絡(luò)管理員和信息安全管理員非常頭痛。因?yàn)槿魏稳硕伎梢酝ㄟ^自己購買的AP利用現(xiàn)有有線網(wǎng)絡(luò),繞過授權(quán)而連入醫(yī)院內(nèi)部網(wǎng)絡(luò)。用戶通過非法的AP接入手段,可能會(huì)給醫(yī)院整體內(nèi)部網(wǎng)絡(luò)帶來很大的安全隱患。②非授權(quán)用戶的接入:非授權(quán)用戶往往利用各類無線網(wǎng)絡(luò)的攻擊工具搜索并入侵,從而造成很嚴(yán)重的后果。非授權(quán)用戶的入侵會(huì)造成網(wǎng)絡(luò)流量被占用,導(dǎo)致網(wǎng)絡(luò)速度大大變慢,降低網(wǎng)絡(luò)帶寬利用率;某些非授權(quán)用戶會(huì)進(jìn)行非法篡改,導(dǎo)致醫(yī)院內(nèi)部無線網(wǎng)絡(luò)內(nèi)的合法用戶無法正常登陸;更有部分非授權(quán)用戶會(huì)進(jìn)行網(wǎng)絡(luò)竊聽和數(shù)據(jù)盜竊,對病人以及醫(yī)院整體造成相當(dāng)大的損失。③服務(wù)和性能的影響:醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的傳輸帶寬是有限的,由于物理層的開銷,無線網(wǎng)絡(luò)的實(shí)際最高有效吞吐量僅為標(biāo)準(zhǔn)的50%。醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的帶寬可以被幾種方式吞噬,造成服務(wù)和性能的影響:如果攻擊者從以太網(wǎng)發(fā)送大量的Ping流量,就會(huì)輕易地吞噬AP的帶寬;如果發(fā)送廣播流量,就會(huì)同時(shí)阻塞多個(gè)AP;傳輸較大的數(shù)據(jù)文件或者運(yùn)行復(fù)雜的系統(tǒng)都會(huì)產(chǎn)生很大的網(wǎng)絡(luò)流量負(fù)載。④地址欺騙和會(huì)話攔截:由于醫(yī)院內(nèi)部使用無線網(wǎng)絡(luò)環(huán)境,攻擊者可以通過地址欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂。通過一些技術(shù)手段,攻擊者可以獲得站點(diǎn)的地址,這些地址可以被用來惡意攻擊時(shí)使用。攻擊者還可以通過截獲會(huì)話,通過監(jiān)測AP,然后裝扮成AP進(jìn)入,攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。⑤數(shù)據(jù)安全問題:由于無線網(wǎng)絡(luò)的信號是以開放的方式在空間中傳送的,非法用戶、黑客、惡意攻擊者等會(huì)通過破解用戶的無線網(wǎng)絡(luò)的安全設(shè)置,冒充合法識別的身份進(jìn)入無線網(wǎng)絡(luò)進(jìn)行非法操作,進(jìn)行竊聽和截取,從而達(dá)到不法操作或破壞信息的目的,從而給醫(yī)院帶來相對應(yīng)的損失。
3醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全防護(hù)目標(biāo)
早期的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善,技術(shù)上存在一些安全漏洞。隨著使用的推廣,更多的專家參與了無線標(biāo)準(zhǔn)的制定,使其安全技術(shù)迅速成熟起來。具體地講,為了有效保障無線網(wǎng)絡(luò)的安全性,就必須實(shí)現(xiàn)以下幾個(gè)安全目標(biāo):①提供接入控制:通過驗(yàn)證用戶,授權(quán)接入特定的資源,同時(shí)拒絕為未經(jīng)授權(quán)的用戶提供接入。②確保連接的保密與完好:利用強(qiáng)有力的加密和校驗(yàn)技術(shù),防止未經(jīng)授權(quán)的用戶竊聽、插入或修改通過無線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。③防止拒絕服務(wù)攻擊:確保不會(huì)有用戶占用某個(gè)接入點(diǎn)的所有可用帶寬,從而影響其他用戶的正常接入。
4醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全防護(hù)技術(shù)
無線網(wǎng)絡(luò)的安全技術(shù)這幾年得到了快速的發(fā)展和應(yīng)用,下面是目前業(yè)界常見的無線網(wǎng)絡(luò)安全技術(shù):
4.1服務(wù)區(qū)標(biāo)識符(SSID)匹配 SSID(Service Set Identifier)將一個(gè)無線網(wǎng)絡(luò)分為幾個(gè)不同的子網(wǎng)絡(luò),每一個(gè)子網(wǎng)絡(luò)都有其對應(yīng)的身份標(biāo)識(SSID),只有無線終端設(shè)置了配對的SSID才接入相應(yīng)的子網(wǎng)絡(luò)。所以可以認(rèn)為SSID是一個(gè)簡單的口令,提供了口令認(rèn)證機(jī)制,實(shí)現(xiàn)了一定的安全性。
4.2無線網(wǎng)卡物理地址(MAC)過濾 每個(gè)無線工作站網(wǎng)卡都由唯一的物理地址(MAC)標(biāo)識,該物理地址編碼方式類似于以太網(wǎng)物理地址。網(wǎng)絡(luò)管理員可在無線網(wǎng)絡(luò)訪問點(diǎn)AP中維護(hù)一組(不)允許通過AP訪問網(wǎng)絡(luò)地址列表,以實(shí)現(xiàn)基于物理地址的訪問過濾。
4.3無線接入點(diǎn)(AP)隔離 AP(Access Point)隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法多用于對酒店和機(jī)場等公共熱點(diǎn)(Hot Spot)的架設(shè),讓接入的無線客戶端保持隔離,提供安全的網(wǎng)絡(luò)接入。
4.4有線等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b標(biāo)準(zhǔn)規(guī)定的一種被稱為有線等效保密的可選加密方案,其目的是為無線網(wǎng)絡(luò)提供與有線網(wǎng)絡(luò)相同級別的安全保護(hù)。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。WEP2,是根據(jù)WEP的特性,為了提供更高的無線網(wǎng)絡(luò)安全性技術(shù)而產(chǎn)生。該技術(shù)相比WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量的長度由24位加長到128位。
4.5端口訪問控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP) IEEE802.1x提出基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn),利用物理層特性對連接到網(wǎng)絡(luò)端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗,則禁止該設(shè)備訪問網(wǎng)絡(luò)資源。
IEEE 802.1x引入了PPP協(xié)議定義的可擴(kuò)展認(rèn)證協(xié)議(EAP)。作為可擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級別的安全。
4.6無線網(wǎng)絡(luò)訪問保護(hù)(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技術(shù)-TKIP (Temporal Key Integrity Protocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。
WPA2是基于WPA的一種新的加密方式,向后兼容,支持更高級的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。
4.7高級的無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(IEEE 802.11i) IEEE 802.11i安全標(biāo)準(zhǔn)是為了增強(qiáng)無線網(wǎng)絡(luò)的數(shù)據(jù)加密和認(rèn)證性能,定義了RSN(Robust Security Network)的概念,并且針對WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式,在數(shù)據(jù)加密方面,定義了TKIP、CCMP和WRAP三種加密機(jī)制,使得無線網(wǎng)絡(luò)的安全程度大大提高。
5醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全實(shí)現(xiàn)
5.1合理放置無線設(shè)備 無線網(wǎng)絡(luò)的信號是在空氣中傳播的,任一無線終端進(jìn)入了設(shè)備信號的覆蓋范圍,都有可能連接到該無線網(wǎng)絡(luò)。所以醫(yī)院內(nèi)部無線網(wǎng)絡(luò)安全的第一步就是,合理規(guī)劃AP的放置,掌控信號覆蓋范圍。在架設(shè)無線AP之前,必須選定一個(gè)合理的放置位置,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。最好放在需要覆蓋的區(qū)域中心,盡量減少信號泄露到區(qū)域外。
5.2無線網(wǎng)絡(luò)加密,建立用戶認(rèn)證 對于醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的進(jìn)行加密,建立用戶認(rèn)證,設(shè)置相關(guān)登錄用戶名和密碼,而且要定期進(jìn)行變更,使非法用戶不能登錄到無線設(shè)備,修改相關(guān)參數(shù)。實(shí)際上對無線網(wǎng)絡(luò)來說,加密更像是一種威懾。加密可細(xì)分為兩種類型:數(shù)據(jù)保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。只有使用特定的無線網(wǎng)絡(luò)加密方式,才會(huì)在降低方便性的情況下,提高安全性。
5.3 SSID設(shè)置 無線 AP 默認(rèn)的設(shè)置會(huì)廣播SSID,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWS自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的 SSID 羅列出來。因此,設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個(gè)不容易猜解的長字符串,同時(shí)設(shè)置SSID隱藏起來,接入端就不能通過系統(tǒng)自帶的功能掃描到這個(gè)實(shí)際存在的無線網(wǎng)絡(luò),即便他知道有一個(gè)無線網(wǎng)絡(luò)存在,但猜不出 SSID 全名也是無法接入到這個(gè)網(wǎng)絡(luò)中去,以此保證醫(yī)院內(nèi)部無線網(wǎng)絡(luò)的安全。
5.4 MAC地址過濾 MAC 地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機(jī)的方式一致。通過無線控制器將指定的無線網(wǎng)卡的MAC 地址下發(fā)到各個(gè)AP中,或者直接存儲(chǔ)在無線控制器中,或者在AP交換機(jī)端進(jìn)行設(shè)置。
5.5 SSL VPN 進(jìn)行數(shù)據(jù)加密和訪問控制 由于在實(shí)際醫(yī)療活動(dòng)中,為了滿足診斷、科研及教學(xué)需要,必須經(jīng)常大量采集、、利用各種醫(yī)療數(shù)據(jù)。由于原有醫(yī)院網(wǎng)絡(luò)的相對封閉性,絕大多數(shù)的應(yīng)用系統(tǒng)采用的都是未經(jīng)加密的數(shù)據(jù)包進(jìn)行數(shù)據(jù)交換,但是醫(yī)院內(nèi)部無線網(wǎng)絡(luò)是相對開放性的網(wǎng)絡(luò),入侵者通過對無線信號中數(shù)據(jù)包的偵聽與解析,使得醫(yī)療信息泄漏成為了醫(yī)院不得不面對的問題。SSL VPN 即指采用SSL 協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。SSL VPN 基于瀏覽器的認(rèn)證方式,能兼容醫(yī)院主流的無線終端設(shè)備操作系統(tǒng),如Windows、Android、IOS,而VPN 的方式又能保證醫(yī)院信息系統(tǒng)的正常運(yùn)行。SSL VPN在解決醫(yī)院無線網(wǎng)絡(luò)數(shù)據(jù)加密的同時(shí),最大限度地保障了醫(yī)院信息系統(tǒng)的投資。
5.6核心網(wǎng)絡(luò)隔離 一旦攻擊者進(jìn)入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。很多網(wǎng)絡(luò)都有一套經(jīng)過精心設(shè)置的安全設(shè)備作為網(wǎng)絡(luò)的外殼,以防止非法攻擊, 但是在外殼保護(hù)的網(wǎng)絡(luò)內(nèi)部確是非常的脆弱容易受到攻擊的。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干,但這樣會(huì)使網(wǎng)絡(luò)暴露在攻擊者面前。所以必須將無線網(wǎng)絡(luò)同易受攻擊的核心網(wǎng)絡(luò)進(jìn)行一定的安全隔離保護(hù),應(yīng)將醫(yī)院內(nèi)部無線網(wǎng)絡(luò)布置在核心網(wǎng)絡(luò)防護(hù)外殼的外面, 如防火墻、網(wǎng)閘等安全設(shè)備的外面,接入訪問核心網(wǎng)絡(luò)采用SSL VPN等方式。
5.7入侵檢測系統(tǒng)(IDS) IDS(Intrusion Detection Systems)入侵檢測系統(tǒng),不是只針對無線網(wǎng)絡(luò)檢測的系統(tǒng),同樣也適用于有線網(wǎng)絡(luò)。入侵檢測技術(shù)可以把無線網(wǎng)絡(luò)的安全管理能力擴(kuò)展到安全審計(jì)、安全檢測、攻擊識別和響應(yīng)等范疇。這樣不僅提高了網(wǎng)絡(luò)的信息安全基礎(chǔ)結(jié)構(gòu)的完整性,而且?guī)椭鷮Ω稅阂庥脩魧φw醫(yī)院網(wǎng)絡(luò)內(nèi)其他用戶的攻擊。依照醫(yī)院無線應(yīng)用系統(tǒng)的安全策略,對網(wǎng)絡(luò)及信息系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為及攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的完整性、可用性和機(jī)密性。
5.8終端準(zhǔn)入控制 終端準(zhǔn)入控制主要為了在用戶訪問網(wǎng)絡(luò)之前確保用戶的身份信任關(guān)系。利用終端準(zhǔn)入控制,醫(yī)院能夠減少對系統(tǒng)運(yùn)作的部分干擾,因?yàn)樗軌蚍乐挂讚p主機(jī)接入網(wǎng)絡(luò)。在終端利用醫(yī)院內(nèi)部無線網(wǎng)絡(luò)接入之前,首先要檢查它是否符合制定的策略,可疑主機(jī)或有問題的主機(jī)將被隔離或限制接入。這樣不但可以防止這些主機(jī)成為蠕蟲和病毒攻擊的目標(biāo),還可以防止這些主機(jī)成為傳播病毒的源頭,保證只有在滿足終端準(zhǔn)入控制策略的無線終端設(shè)備才能接入醫(yī)院網(wǎng)絡(luò)。
6結(jié)論
隨著無線網(wǎng)絡(luò)越來越受到普及,本文淺析了醫(yī)院內(nèi)部無線網(wǎng)絡(luò)存在的幾種安全隱患,并探討了對應(yīng)的幾種防范策略。總的來說,世界上不存在絕對安全的網(wǎng)絡(luò),任何單一的安全技術(shù)都不能滿足無線網(wǎng)絡(luò)持續(xù)性的安全需求,只有增強(qiáng)安全防范意識,綜合應(yīng)用多種安全技術(shù),根據(jù)不同的醫(yī)院自身應(yīng)用的特點(diǎn),選擇相應(yīng)的安全防范措施,通過技術(shù)管理和使用方法上的不斷改進(jìn),才能實(shí)現(xiàn)醫(yī)院無線網(wǎng)絡(luò)的安全運(yùn)行。
參考文獻(xiàn):
[1]Zerone無線安全團(tuán)隊(duì).無線網(wǎng)絡(luò)黑客攻防[J].中國鐵道出版社,2011(10).
[2]中國密碼學(xué)會(huì),無線網(wǎng)絡(luò)安全[J].電子工業(yè)出版社,2011(9).
關(guān)鍵詞:內(nèi)部網(wǎng)絡(luò);安全;Web Service
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系統(tǒng)安全模型
內(nèi)網(wǎng)即Intranet,是相對于外網(wǎng)Extranet而言的。廣義上人們認(rèn)為所有的黨政機(jī)關(guān)、企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)都稱為內(nèi)網(wǎng),而狹義上我們認(rèn)為與互聯(lián)網(wǎng)物理隔離的辦公網(wǎng)、局域網(wǎng)、城域網(wǎng)或是廣域網(wǎng)都可能是內(nèi)網(wǎng)。在內(nèi)網(wǎng)安全監(jiān)管審計(jì)系統(tǒng)中,我們所定義的內(nèi)網(wǎng)是指物理上直接連接或通過交換機(jī)、路由器等設(shè)備間接連接的企業(yè)內(nèi)部信息網(wǎng)絡(luò),它可以是單一的局域網(wǎng),也可以是跨越Internet的多個(gè)局域網(wǎng)的集合。如圖1所示,是典型企業(yè)局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D。
圖1.企業(yè)局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D
內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的目的就是通過系統(tǒng)部署,能在企業(yè)內(nèi)網(wǎng)中,建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系,通過更加細(xì)粒度的安全控制措施,對內(nèi)網(wǎng)的計(jì)算機(jī)終端行為進(jìn)行更加具有針對性的管理和審計(jì),對信息進(jìn)行生命周期的完善管理,借助這個(gè)整體一致的內(nèi)網(wǎng)安全管理平臺(tái),為內(nèi)網(wǎng)構(gòu)建一個(gè)立體的防泄密體系,使內(nèi)網(wǎng)達(dá)到可信任、可控制和可管理的目的。根據(jù)P2DR安全模型得出結(jié)論,要實(shí)現(xiàn)內(nèi)網(wǎng)的安全,必須做到及時(shí)的檢測、響應(yīng)。因此,內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的安全模型是基于靜態(tài)的安全防護(hù)策略,覆蓋了P2DR安全模型中的防護(hù)、檢測和響應(yīng)三個(gè)階段,由安全策略、策略執(zhí)行、監(jiān)控響應(yīng)、審計(jì)和管理支持五個(gè)環(huán)節(jié)組成。
安全策略是整個(gè)內(nèi)網(wǎng)安全監(jiān)管審計(jì)系統(tǒng)的核心,它滲透到系統(tǒng)的策略執(zhí)行、監(jiān)控響應(yīng)、審計(jì)、管理支持等各個(gè)環(huán)節(jié),所有的監(jiān)控響應(yīng)、審計(jì)都是依據(jù)安全策略實(shí)施的。安全策略包括監(jiān)控策略、審計(jì)策略、響應(yīng)策略、系統(tǒng)管理策略。管理支持是指系統(tǒng)管理員操作的相關(guān)接口,即用戶界面。它提供對系統(tǒng)運(yùn)行相關(guān)參數(shù)的配置、各類策略的制定、系統(tǒng)的授權(quán)管理操作。策略執(zhí)行是指通知制定的策略,并確保策略的成功實(shí)施。監(jiān)控響應(yīng)是根據(jù)制定的安全策略,對系統(tǒng)管理員和內(nèi)網(wǎng)的計(jì)算機(jī)終端活動(dòng)進(jìn)行監(jiān)測和響應(yīng),提供對安全事件的記錄和上報(bào)。它是強(qiáng)制實(shí)施安全策略的有利工具,也是內(nèi)網(wǎng)安全監(jiān)管審計(jì)系統(tǒng)最為重要的一個(gè)環(huán)節(jié),是系統(tǒng)功能的核心,主要通NDIS-HOOK數(shù)據(jù)包技術(shù)、Win Pcap網(wǎng)絡(luò)管理技術(shù)等來實(shí)現(xiàn)。審計(jì)是指對安全事件的報(bào)警、日志的統(tǒng)計(jì)分析。安全事件是由“監(jiān)控響應(yīng)”環(huán)節(jié)生成的。根據(jù)安全事件的嚴(yán)重程度,按照報(bào)警策略,向系統(tǒng)管理員提供能夠報(bào)警信息。
二、系統(tǒng)結(jié)構(gòu)設(shè)計(jì)
(一)系統(tǒng)功能
系統(tǒng)的總體設(shè)計(jì),旨在從系統(tǒng)應(yīng)用的角度,明確系統(tǒng)的功能;從系統(tǒng)開發(fā)的角度,設(shè)計(jì)系統(tǒng)的邏輯結(jié)構(gòu)模塊,便于編程實(shí)現(xiàn);從系統(tǒng)部署的角度,規(guī)劃系統(tǒng)的物理結(jié)構(gòu)分布以實(shí)施系統(tǒng)的運(yùn)行。內(nèi)網(wǎng)安全網(wǎng)絡(luò)管理系統(tǒng)的目的是構(gòu)建一個(gè)整體一致的內(nèi)網(wǎng)安全體系,從網(wǎng)絡(luò)協(xié)議方面看,內(nèi)網(wǎng)安全監(jiān)管審計(jì)系統(tǒng)適合于任何基于TCP/IP協(xié)議的網(wǎng)絡(luò),不管是Internet還是Intranet,都能充分發(fā)揮作用。從操作系統(tǒng)方面看,內(nèi)網(wǎng)安全監(jiān)管審計(jì)系統(tǒng)主要針對目前主流的Windows桌面操作系統(tǒng),包括Windows2000,Windows XP,可隨著操作系統(tǒng)的發(fā)展和用戶的實(shí)際需求,開發(fā)相應(yīng)的適用版本。
從用戶群方面看,內(nèi)網(wǎng)安全監(jiān)管審計(jì)系統(tǒng)適用于幾乎所有對內(nèi)網(wǎng)安全管理有需求的單位,特別是黨政軍警機(jī)要部門、國家核心技術(shù)研究院所、高新科技企業(yè)、金融機(jī)構(gòu)等部門。根據(jù)對內(nèi)網(wǎng)安全產(chǎn)品的分析和內(nèi)網(wǎng)安全的特點(diǎn),內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的功能主要包括接入控制,行為監(jiān)控,網(wǎng)絡(luò)管理,補(bǔ)丁管理,實(shí)時(shí)監(jiān)聽,WEB管理平臺(tái)六個(gè)方面,并且這六個(gè)方面是緊密結(jié)合、相互聯(lián)動(dòng)的。
(二)客戶端模塊設(shè)計(jì)
1.接入控制線程:包括終端接入控制,非法外聯(lián)實(shí)時(shí)監(jiān)測和策略管理模塊,實(shí)現(xiàn)終端信息注冊、用戶登錄、登錄策略更新、客戶端軟件安裝版本驗(yàn)證、客戶端操作系統(tǒng)版本及補(bǔ)丁驗(yàn)證、客戶端殺毒軟件版本驗(yàn)證、安全策略版本驗(yàn)證、安全策略更新以及網(wǎng)絡(luò)層防護(hù)策略,包括IP地址訪問控制、TCP端口訪問控制、UDP端口訪問控制、IP地址+端口號的訪問控制,終端流量的監(jiān)控等功能。
2.客戶端監(jiān)控線程:包括終端軟件安裝管理,終端進(jìn)程管理,終端殺毒軟件管理模塊,用于監(jiān)控終端行為并根據(jù)策略對違規(guī)行為進(jìn)行處理,同時(shí)加密發(fā)送事件報(bào)警信息并記錄日志。具體做法是讀取終端安全策略,根據(jù)安全策略進(jìn)行進(jìn)程運(yùn)行監(jiān)控、服務(wù)運(yùn)行監(jiān)控、軟件安裝監(jiān)控、網(wǎng)絡(luò)流量監(jiān)控,并對違規(guī)事件進(jìn)行事件告警和日志記錄等功能。
3.終端實(shí)時(shí)控制監(jiān)聽線程:包括點(diǎn)對點(diǎn)實(shí)時(shí)監(jiān)控管理模塊,接收服務(wù)端實(shí)時(shí)查詢消息,獲取客戶端運(yùn)行時(shí)信息,包括系統(tǒng)CPU使用率,內(nèi)存,硬盤使用情況,系統(tǒng)進(jìn)程列表,系統(tǒng)服務(wù)列表、硬件清單、安裝程序清單和網(wǎng)絡(luò)流量,并把終端信息加密發(fā)送到服務(wù)器。
4.補(bǔ)丁管理線程:包括操作系統(tǒng)版本和補(bǔ)丁管理模塊,掃描本機(jī)注冊表中的Hot fix項(xiàng),得到本機(jī)的補(bǔ)丁安裝信息,對比指派給本機(jī)的補(bǔ)丁策略,得到需要下載安裝的補(bǔ)丁列表,再從局域網(wǎng)服務(wù)器下載并安裝相應(yīng)補(bǔ)丁。
(三)服務(wù)器模塊設(shè)計(jì)
1.內(nèi)網(wǎng)終端安全主程序:負(fù)責(zé)啟動(dòng)或停止登錄驗(yàn)證進(jìn)程、運(yùn)行狀態(tài)監(jiān)控進(jìn)程、終端實(shí)時(shí)控制信息進(jìn)程。維護(hù)進(jìn)程之間的共享數(shù)據(jù)(終端會(huì)話列表),實(shí)時(shí)策略下發(fā)功能。
2.登錄驗(yàn)證進(jìn)程:包括終端注冊管理、終端登錄管理、TCP監(jiān)聽、加解密密鑰協(xié)商、策略下發(fā)模塊。實(shí)現(xiàn)監(jiān)聽終端請求,接收并解密客戶端消息,處理終端注冊請求,并記入數(shù)據(jù)庫;處理終端的登錄請求,驗(yàn)證終端的登錄信息,驗(yàn)證通過后向客戶端發(fā)送最新安全策略。
3.運(yùn)行狀態(tài)監(jiān)控進(jìn)程:包括探測消息,終端告警消息處理模塊,實(shí)現(xiàn)探測消息接收,以確定客戶端是否在線,并修改終端會(huì)話狀態(tài);接收終端告警消息,進(jìn)行解密處理并將相關(guān)信息記入數(shù)據(jù)庫,以便管理員查詢。
4.終端實(shí)時(shí)控制信息進(jìn)程:包括終端信息實(shí)時(shí)查詢和策略下發(fā)模塊。接收客戶端程序發(fā)來的終端信息,為WEB服務(wù)提供終端信息實(shí)時(shí)查詢的功能。另外在管理員通過WEB界面更改策略后,后實(shí)時(shí)向相關(guān)終端下發(fā)最新策略。
5.網(wǎng)絡(luò)管理進(jìn)程:基于Win Pcap實(shí)現(xiàn)防止局域網(wǎng)A印欺騙的功能。Win Pcap(windows packet capture)它具有訪問網(wǎng)絡(luò)底層的能力,提供了捕獲原始數(shù)據(jù)包,按照一定規(guī)則過濾數(shù)據(jù)包,以及發(fā)送原始數(shù)據(jù)包功能。通過捕獲并分析局域網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包,可以判斷局域網(wǎng)是否發(fā)生欺騙,進(jìn)而采取措施來防止欺騙。
6.補(bǔ)丁管理進(jìn)程:基于CXF和WSS4J的安全的Web.Service實(shí)現(xiàn),通過這種方式從遠(yuǎn)程TJHN服務(wù)器獲取最近補(bǔ)丁列表,通過比對當(dāng)前本機(jī)服務(wù)器獲取遠(yuǎn)程補(bǔ)丁列表,從官方網(wǎng)站下載所需補(bǔ)丁。
(四)Web管理平臺(tái)模塊設(shè)計(jì)
用戶管理模塊:對可以登錄Web的用戶進(jìn)行管理;提供用戶登錄。終端審批模塊:對申請接入的終端請求進(jìn)程審批。策略配置模塊:對單個(gè)策略進(jìn)行管理,主要包括進(jìn)程,服務(wù),安裝軟件的黑白名單策略,網(wǎng)絡(luò)過濾策略,流量閡值設(shè)置;對策略分組進(jìn)行管理。終端查詢模塊:向終端發(fā)送點(diǎn)對點(diǎn)消息,查詢并展示實(shí)時(shí)的終端運(yùn)行信息,包括CPU占用率,硬盤,內(nèi)存使用情況,運(yùn)行進(jìn)程,服務(wù),安裝軟件,實(shí)時(shí)流量信息。日志查詢模塊:查詢終端運(yùn)行告警日志,包括運(yùn)行進(jìn)程告警,服務(wù)告警,安裝軟件告警,流量異常告警,網(wǎng)絡(luò)阻斷告警。
參考文獻(xiàn):
[1]黃澤界.一種遠(yuǎn)程視頻監(jiān)控系統(tǒng)的實(shí)現(xiàn)[J].安防科技,2008,2
[2]胡愛閩.基于DM642的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)[J].安防科技,2008,9
[3]王文聯(lián),侯,周先存.基于NDIS中間驅(qū)動(dòng)程序的防火墻的研究與實(shí)現(xiàn)[J].安徽建筑工業(yè)學(xué)院學(xué)報(bào)(自然科學(xué)版),2004,1
[4]胡珊,張冰.利用SPI控制計(jì)算機(jī)上網(wǎng)[J].鞍山科技大學(xué)學(xué)報(bào),2004,5
總體管理要求
首先看一下數(shù)字出版的特點(diǎn)。
數(shù)字業(yè)務(wù)形態(tài)多樣:目前數(shù)字出版產(chǎn)品形態(tài)主要包括電子圖書、數(shù)字報(bào)紙、數(shù)字期刊、網(wǎng)絡(luò)原創(chuàng)文學(xué)、網(wǎng)絡(luò)教育出版物、網(wǎng)絡(luò)地圖、數(shù)字音樂、網(wǎng)絡(luò)動(dòng)漫、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫出版物、手機(jī)出版、App應(yīng)用程序等,豐富的業(yè)務(wù)形態(tài)要求網(wǎng)絡(luò)提供多種接入方式、多種內(nèi)容共享方式,同時(shí)要保證安全。
強(qiáng)調(diào)對數(shù)字化資源的管理:國外知名出版公司特別強(qiáng)調(diào)對數(shù)字化資源的管理,很多公司通過建設(shè)自己的內(nèi)容管理平臺(tái)來更有效地建設(shè)、管理和重用數(shù)字化資源。湯姆森公司委托其下屬的Course Technology、Delmar、Promotric和NETg開發(fā)內(nèi)容管理平臺(tái)LLG,計(jì)劃五年內(nèi)完成;培生內(nèi)部已經(jīng)運(yùn)行了WPS,與前臺(tái)的Coursecompass結(jié)合以更加有效的建設(shè)模式為學(xué)校提供服務(wù);麥格勞-希爾出版公司已經(jīng)成功地將內(nèi)容管理平臺(tái)運(yùn)用在百科全書的出版上。
整體安全性要求高:數(shù)據(jù)化資源對整體安全性要求較高,現(xiàn)在網(wǎng)上支付手段豐富,如快錢、Paypal、支付寶等都需要在純凈的網(wǎng)絡(luò)環(huán)境進(jìn)行操作,以保護(hù)機(jī)構(gòu)和個(gè)人財(cái)產(chǎn)安全;要求建立完善的數(shù)字版權(quán)機(jī)制,保障作者、編輯單位的合法權(quán)益;網(wǎng)上交易和傳播的數(shù)字內(nèi)容越來越多。網(wǎng)絡(luò)安全形勢十分嚴(yán)峻,域名劫持、網(wǎng)頁篡改等事件時(shí)有發(fā)生,給網(wǎng)民和機(jī)構(gòu)造成了嚴(yán)重影響和重大損失。工業(yè)和信息化部2010年的數(shù)據(jù)表明,僅中國網(wǎng)民每年需要為網(wǎng)絡(luò)攻擊支付的費(fèi)用就達(dá)到153億元之多。
筆者認(rèn)為,網(wǎng)絡(luò)的應(yīng)用在出版機(jī)構(gòu)一般經(jīng)過三個(gè)發(fā)展階段:第一為溝通交流階段,在這個(gè)階段,出版機(jī)構(gòu)的工作人員上互聯(lián)網(wǎng)、了解外界知識、通過即時(shí)通信工具溝通信息等。第二階段為管理應(yīng)用階段,在這個(gè)階段,工作人員通過網(wǎng)絡(luò)協(xié)同辦公,出版機(jī)構(gòu)采用ERP、財(cái)務(wù)管控系統(tǒng)等內(nèi)部業(yè)務(wù)管理系統(tǒng)。第三階段為創(chuàng)造、創(chuàng)新階段,出版機(jī)構(gòu)使用綜合業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)字內(nèi)容收集、組織或加工,形成數(shù)字資產(chǎn),通過網(wǎng)絡(luò)進(jìn)行推廣。
根據(jù)這三個(gè)階段的應(yīng)用特點(diǎn),可以將管理要求歸結(jié)為:第一個(gè)階段應(yīng)用比較簡單,用戶都可以使用網(wǎng)絡(luò),要求網(wǎng)速快、安全性要求不高;第二個(gè)階段,并非所有用戶都能進(jìn)入內(nèi)部網(wǎng)絡(luò),設(shè)定上網(wǎng)權(quán)限,同時(shí)能對帶寬進(jìn)行有效管理,防止員工濫用網(wǎng)絡(luò)而擠占主要業(yè)務(wù)的網(wǎng)絡(luò)帶寬,防止堡壘在內(nèi)部被攻破;第三個(gè)階段有了較多的數(shù)字資產(chǎn),要防止網(wǎng)窺和盜竊行為發(fā)生,主動(dòng)防御來自互聯(lián)網(wǎng)端的威脅,防止業(yè)務(wù)流數(shù)據(jù)和內(nèi)容數(shù)據(jù)出現(xiàn)問題,保證數(shù)據(jù)安全,即能處理來自外部、內(nèi)部的威脅,保存好數(shù)據(jù),防范非法入侵。
管理及技術(shù)分析
根據(jù)數(shù)字出版的業(yè)務(wù)特點(diǎn),筆者總結(jié)了消除網(wǎng)絡(luò)安全隱患的策略。
在第一應(yīng)用階段,網(wǎng)絡(luò)中有防火墻、核心路由等元素,要保障物理線路暢通,具備一定的安全性。篇幅所限,這里不詳細(xì)描述了。
第二應(yīng)用階段要求建立終端準(zhǔn)入機(jī)制和應(yīng)用控制機(jī)制。
此階段遇到的挑戰(zhàn):用戶多導(dǎo)致內(nèi)部安全問題,帶寬濫用情況嚴(yán)重。內(nèi)網(wǎng)的安全事件約有70%來源于內(nèi)網(wǎng)的接入終端,雖然網(wǎng)絡(luò)中使用了一些安全措施如應(yīng)用防火墻、網(wǎng)絡(luò)設(shè)備訪問控制規(guī)則等改進(jìn)了網(wǎng)絡(luò)的安全性,但由于網(wǎng)內(nèi)終端數(shù)量較大、Windows系統(tǒng)的不穩(wěn)定和多處漏洞,終端用戶的應(yīng)用水平參差不齊等造成內(nèi)網(wǎng)安全事件頻發(fā)。對內(nèi)網(wǎng)終端的安全隱患管理和處理方法概括如下:建立用戶接入準(zhǔn)入制度,防止截取地址信息隨意接入,對合法用戶接入訪問權(quán)限進(jìn)行細(xì)化,加強(qiáng)整網(wǎng)應(yīng)用安全機(jī)制。
同時(shí),應(yīng)用也存在監(jiān)管的問題,如員工在日常工作時(shí)間進(jìn)行P2P下載、看影視等從而擠占正常業(yè)務(wù)的網(wǎng)絡(luò)帶寬。因此,系統(tǒng)中要設(shè)應(yīng)用控制網(wǎng)關(guān),對帶寬進(jìn)行有效管理,提供足夠帶寬給ERP、財(cái)務(wù)處理等主要業(yè)務(wù),滿足吞吐量要求。網(wǎng)內(nèi)用戶上網(wǎng)行為復(fù)雜,網(wǎng)絡(luò)中的異常流量、即時(shí)通信流量逐步增大,侵占了原本就不富余的出口帶寬;爆發(fā)內(nèi)網(wǎng)安全事件時(shí)也會(huì)出現(xiàn)相應(yīng)的流量異常,因此網(wǎng)內(nèi)要設(shè)有行之有效的流量控制和分析手段,以便對網(wǎng)絡(luò)進(jìn)行流量監(jiān)管以及安全事件的快速定位。
在第三應(yīng)用階段,可通過入侵檢測系統(tǒng)進(jìn)行主動(dòng)防御,對入網(wǎng)設(shè)備進(jìn)行終端準(zhǔn)入,建立獨(dú)立存儲(chǔ)甚至遠(yuǎn)程異地災(zāi)備系統(tǒng)。網(wǎng)絡(luò)入侵防御系統(tǒng)是一種在線部署產(chǎn)品,旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量,自動(dòng)對各類攻擊性的流量,尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷,而不是在監(jiān)測到惡意流量的同時(shí)或之后才發(fā)出告警。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測等產(chǎn)品的不足,提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御,提供一個(gè)全新的入侵保護(hù)。
第三階段是較高級應(yīng)用階段,因數(shù)字出版應(yīng)用內(nèi)容豐富、強(qiáng)調(diào)應(yīng)用安全、響應(yīng)速度,網(wǎng)絡(luò)技術(shù)參數(shù)設(shè)定要對應(yīng)用需求有足夠響應(yīng)。
安全網(wǎng)絡(luò)應(yīng)用實(shí)例
下面是一個(gè)出版公司在保障網(wǎng)絡(luò)安全方面的具體方案,其他數(shù)字出版企業(yè)也可以從中借鑒。
一、使用一臺(tái)IP存儲(chǔ)解決專業(yè)存儲(chǔ)問題。
信息或數(shù)據(jù)在IT系統(tǒng)中,必然處于計(jì)算、存儲(chǔ)、傳輸三個(gè)狀態(tài)之一。這三個(gè)方面也正好對應(yīng)于整個(gè)IT架構(gòu)的三個(gè)基礎(chǔ)架構(gòu)單元――計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)。該方案選用一套高端SAN存儲(chǔ)作為整個(gè)信息系統(tǒng)的核心在線存儲(chǔ)。
該方案中,核心存儲(chǔ)設(shè)備通過IP SAN交換機(jī)與局域網(wǎng)多臺(tái)服務(wù)器建立連接。服務(wù)器通過普通千兆網(wǎng)卡或iSCSI HBA卡接入IP SAN。核心存儲(chǔ)設(shè)備提供海量存儲(chǔ)空間,實(shí)現(xiàn)高穩(wěn)定性、高可靠性的數(shù)據(jù)集中和存儲(chǔ)資源統(tǒng)一管理。核心存儲(chǔ)設(shè)備可以混插高性能的SAS磁盤和大容量的SATA II磁盤,單臺(tái)設(shè)備即可滿足兩種不同的應(yīng)用需求,大大提高設(shè)備性價(jià)比。核心存儲(chǔ)也可以滿足包括數(shù)據(jù)庫、Web、OA、文件等多個(gè)應(yīng)用的集中訪問需求。ERP應(yīng)用作為關(guān)鍵應(yīng)用之一,IX3000存儲(chǔ)上為其提供獨(dú)立的存儲(chǔ)空間,并采用15000轉(zhuǎn)的SAS硬盤。
二、以應(yīng)用控制網(wǎng)關(guān)解決帶寬利用和用戶上網(wǎng)行為監(jiān)管問題。
公司員工越來越依賴于互聯(lián)網(wǎng)的同時(shí),上網(wǎng)行為卻不能得到有效控制和管理,不正當(dāng)?shù)厥褂没ヂ?lián)網(wǎng)從事各種活動(dòng)(如網(wǎng)上炒股、玩游戲等)會(huì)造成公司外網(wǎng)運(yùn)行效率下降、帶寬資源浪費(fèi)、商業(yè)信息泄密等問題。該公司的財(cái)務(wù)部曾反映,在制作半年報(bào)期間網(wǎng)絡(luò)時(shí)常不通,導(dǎo)致工作無法進(jìn)行。經(jīng)查是防火墻嚴(yán)重超負(fù)荷造成,負(fù)載時(shí)常超過90%,這些都是過度使用網(wǎng)絡(luò)資源產(chǎn)生的后果。
該公司的解決方案如下:在公司出口防火墻與核心交換機(jī)之間部署一臺(tái)應(yīng)用控制網(wǎng)關(guān)。該網(wǎng)關(guān)可以很好地完成公司信息中心對員工行為監(jiān)管的需求,針對P2P/IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為,可以進(jìn)行精細(xì)化識別和控制,解決帶寬濫用影響正常業(yè)務(wù)、員工工作效率低下、訪問非法網(wǎng)站感染病毒蠕蟲的問題,幫助公司規(guī)范網(wǎng)絡(luò)的應(yīng)用層流量,為公司創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)使用環(huán)境。
三、通過端點(diǎn)安全準(zhǔn)入系統(tǒng)EAD解決終端安全問題。
為了彌補(bǔ)公司現(xiàn)有安全防御體系中存在的不足,公司部署了一套端點(diǎn)安全準(zhǔn)入防御系統(tǒng),旨在加強(qiáng)對員工電腦的集中管理,統(tǒng)一實(shí)施安全策略,提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。終端安全準(zhǔn)入防御將防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系,通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控,使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御,變單點(diǎn)防御為全面防御,變分散管理為集中策略管理,提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。
終端安全準(zhǔn)入防御通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及病毒庫服務(wù)器、補(bǔ)丁服務(wù)器的相互配合,可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”客戶端對網(wǎng)絡(luò)安全的損害,避免“易感”客戶端受病毒、蠕蟲的攻擊。
四、使用入侵檢測系統(tǒng)阻止來自互聯(lián)網(wǎng)的攻擊行為。
在公司互聯(lián)網(wǎng)出口部署1套千兆硬件入侵防御系統(tǒng),專門針對公司服務(wù)器應(yīng)用層進(jìn)行防護(hù),填補(bǔ)防火墻安全級別不夠的問題,并與防火墻一起實(shí)現(xiàn)公司網(wǎng)絡(luò)L2-L7層立體的、全面的安全防護(hù)。
千兆高性能IPS入侵檢測系統(tǒng)可以針對公司W(wǎng)eb服務(wù)器三層架構(gòu)中的底層操作系統(tǒng)、中間層數(shù)據(jù)庫服務(wù)、上層網(wǎng)頁程序的每一層提供安全防護(hù)。為公司W(wǎng)eb服務(wù)器提供包括漏洞利用、SQL注入、蠕蟲、病毒、木馬、協(xié)議異常等在內(nèi)的應(yīng)用層安全威脅的防范,防止網(wǎng)頁被篡改的發(fā)生,并在每檢測和阻斷一個(gè)針對Web服務(wù)器的安全威脅之后,記錄一條安全日志,為公司服務(wù)器的安全審計(jì)和安全優(yōu)化提供全面的依據(jù)。
綜合管理措施
筆者認(rèn)為,要維護(hù)數(shù)字出版公司網(wǎng)絡(luò)安全,在網(wǎng)絡(luò)綜合管理上要同時(shí)做好以下幾點(diǎn):
制定合理有效的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作管理規(guī)定,明確責(zé)任,分工到人。
設(shè)置全集團(tuán)(公司)網(wǎng)絡(luò)管理員制度,各分(子)公司專人對網(wǎng)絡(luò)和終端進(jìn)行管理。
中心機(jī)房設(shè)置專人管理機(jī)房網(wǎng)絡(luò)設(shè)備,定期檢查并分析設(shè)備日志,定期升級軟件和補(bǔ)丁,防止“破窗”出現(xiàn),發(fā)現(xiàn)異常及時(shí)處理。
定期召開網(wǎng)絡(luò)應(yīng)用會(huì)議,通報(bào)網(wǎng)絡(luò)安全情況,部署下一階段工作重點(diǎn)。要打造一支能協(xié)同的團(tuán)隊(duì),這比單純有幾臺(tái)好設(shè)備要復(fù)雜,培訓(xùn)、協(xié)同和組織要付出更多心血。
[摘 要] 目的: 醫(yī)院信息系統(tǒng)平臺(tái)逐漸成為醫(yī)院醫(yī)療業(yè)務(wù)的核心支撐平臺(tái),須加強(qiáng)醫(yī)院信息系統(tǒng)安全;方法:通過網(wǎng)絡(luò)安全的綜合設(shè)計(jì)和實(shí)施,采用冗余設(shè)備、三層網(wǎng)絡(luò)架構(gòu)、統(tǒng)一網(wǎng)管中心控制、虛擬網(wǎng)絡(luò)劃分、核心防火墻及IPS、堡凈統(tǒng)一管理設(shè)備、數(shù)據(jù)庫和網(wǎng)絡(luò)審計(jì)等多種技術(shù),同時(shí)結(jié)合安全管理制度等;結(jié)果:構(gòu)建較完備的醫(yī)院網(wǎng)絡(luò)安全體系,取得了良好的效果結(jié)果、結(jié)論 :信息系統(tǒng)安全是系統(tǒng)工程,要從各方面著手,防止短板。
[關(guān)鍵詞] 網(wǎng)絡(luò)系統(tǒng)安全;安全管理;管理制度;木桶原理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號] R197.3;TP309 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫(yī)改的不斷深入,作為其重要支柱之一的醫(yī)院信息系統(tǒng)建設(shè)進(jìn)入了高速發(fā)展的快車道,成為醫(yī)院日常醫(yī)療工作和管理工作的基礎(chǔ)平臺(tái)。2013年,我院新建了醫(yī)院信息系統(tǒng)項(xiàng)目,包括機(jī)房建設(shè)、網(wǎng)絡(luò)建設(shè)、軟件系統(tǒng)建設(shè)、硬件建設(shè)等部分。醫(yī)院特點(diǎn)決定醫(yī)院信息系統(tǒng)必須365*24小時(shí)不間斷正常運(yùn)行,網(wǎng)絡(luò)、系統(tǒng)軟硬件的損壞和故障,或者是數(shù)據(jù)信息泄露,都會(huì)醫(yī)院帶來不可估量的損失,影響患者正常就診,甚至危及醫(yī)院的生存和發(fā)展。因此,構(gòu)建安全的醫(yī)院網(wǎng)絡(luò)系統(tǒng),保障系統(tǒng)和信息系統(tǒng)安全,是各醫(yī)院都很關(guān)心的問題。
醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)是個(gè)系統(tǒng)工程,其符合“木桶原理”,系統(tǒng)的安全程度取決于最短的那塊板,我院從硬件、網(wǎng)絡(luò)、系統(tǒng)、審計(jì)監(jiān)管、防病毒、安全制度等各個(gè)方面采取了多種措施,保障了信息系統(tǒng)安全、網(wǎng)絡(luò)安全。
1 網(wǎng)絡(luò)系統(tǒng)安全
1.1 鏈路安全
為避免核心網(wǎng)絡(luò)系統(tǒng)單點(diǎn)故障,提高網(wǎng)絡(luò)系統(tǒng)的健壯性、容錯(cuò)性和性能,我院在網(wǎng)絡(luò)核心層采用了H3C的IRF2(Intelligent Resilient Framework,智能彈性架構(gòu))技術(shù), IRF2將兩臺(tái)華三10508核心交換機(jī)通過IRF物理端口連接在一起,虛擬化成一臺(tái)邏輯核心交換設(shè)備,集合了兩臺(tái)設(shè)備的硬件資源和軟件處理能力,實(shí)現(xiàn)兩臺(tái)設(shè)備的統(tǒng)一簡化管理和不間斷維護(hù),提高了網(wǎng)絡(luò)對突發(fā)事故的自動(dòng)容錯(cuò)能力,最大程序降低了網(wǎng)絡(luò)的失效時(shí)間,提高了鏈路的利用率和轉(zhuǎn)發(fā)效率。
在核心層10580交換機(jī)與會(huì)聚層5800交換機(jī)間采用萬兆光纖交叉互聯(lián),線路間做鏈路聚合,增加鏈路帶寬、實(shí)現(xiàn)鏈路傳輸彈性和冗余。同時(shí),核心交換機(jī)與會(huì)聚層交換機(jī)全部配備雙電源和雙風(fēng)扇組,雙電源分別插兩路不同PDU電源插痤,盡量避免單點(diǎn)故障。
1.2 網(wǎng)絡(luò)層次分明,方便管理
數(shù)據(jù)中心服務(wù)器到所有的桌面終端計(jì)算機(jī)最多通過三層網(wǎng)絡(luò),即核心層、會(huì)聚層和接入層,三層網(wǎng)絡(luò)交換機(jī)各師其職,層次分明。核心層是網(wǎng)絡(luò)的高速交換主干,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā);匯聚層提供基于策略的連接,是網(wǎng)絡(luò)接入層和核心層的“中介”,工作站接入核心層前須先做匯聚,實(shí)施策略、安全、工作組接入、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過濾等多種功能,減輕核心層設(shè)備的負(fù)荷;接入層提供工作站接入網(wǎng)絡(luò)功能。同時(shí),我院每棟業(yè)務(wù)樓都建設(shè)了網(wǎng)絡(luò)設(shè)備間,安裝了空調(diào)和不間斷電源,統(tǒng)一管理該樓內(nèi)所有的會(huì)聚層和接入層交換機(jī),保證所有的設(shè)備都有良好的運(yùn)行環(huán)境,同時(shí)便于管理和維護(hù)。
1.3 劃分VLAN,提高性能和安全性
醫(yī)院信息系統(tǒng)服務(wù)主要以訪問數(shù)據(jù)庫服務(wù)器為主,數(shù)據(jù)縱向訪問多,橫向少,同時(shí),我院許多樓又都綜合了門診住院醫(yī)療系統(tǒng)、醫(yī)技系統(tǒng)等,我們根據(jù)其特點(diǎn),將網(wǎng)絡(luò)按樓宇劃分為10多個(gè)VLAN子網(wǎng),并將有特殊需求的應(yīng)用(如財(cái)務(wù)科賬務(wù)專網(wǎng)等),單獨(dú)劃分VLAN。通過VLAN劃分,控制廣播范圍,抑制廣播風(fēng)暴,提高了局域網(wǎng)的整體性能和安全性。
1.4 網(wǎng)絡(luò)核心層安裝防火墻板卡與IPS板卡,保證服務(wù)器區(qū)安全
醫(yī)院服務(wù)器區(qū)是醫(yī)院系統(tǒng)運(yùn)行核心,一旦被侵入或感染病毒,將影響醫(yī)院的正常醫(yī)療業(yè)務(wù),影響病人就診,我院每日門診人次3 000多人,住院患者1 600多人,數(shù)據(jù)庫出問題,將造成重大的社會(huì)影響和嚴(yán)重后果,故我們在核心層華三10 508交換機(jī)上安裝了SecBlade FW Enhanced增強(qiáng)型防火墻業(yè)務(wù)處理板卡和PS插卡,設(shè)定了防入侵和攻擊的規(guī)則,過濾非法數(shù)據(jù),防范病毒確保服務(wù)器區(qū)安全。
1.5 智能網(wǎng)管中心
隨著網(wǎng)絡(luò)應(yīng)用越來越復(fù)雜,網(wǎng)絡(luò)安全控制、性能優(yōu)化、運(yùn)營管理等問題成為困擾用戶的難題,并直接決定了醫(yī)院核心業(yè)務(wù)能否順利開展。我們采用了專門的網(wǎng)管系統(tǒng),通過軟件的靈活控制,與相應(yīng)的硬件設(shè)備配合,建立了網(wǎng)絡(luò)安全控制中心、性能優(yōu)化中心和運(yùn)營管理中心。通過網(wǎng)管系統(tǒng),我們能實(shí)時(shí)監(jiān)管網(wǎng)絡(luò)的運(yùn)行情況,監(jiān)管網(wǎng)絡(luò)的故障和報(bào)警,監(jiān)管和分配網(wǎng)絡(luò)流量,優(yōu)化網(wǎng)絡(luò)性能,使整個(gè)網(wǎng)絡(luò)可管可控。我院網(wǎng)絡(luò)管理員常用的網(wǎng)管功能有資源管理、拓?fù)涔芾砗凸收希ǜ婢?事件)管理等。
網(wǎng)管系統(tǒng)的資源管理可管理網(wǎng)絡(luò)設(shè)備、接口,顯示設(shè)備的詳細(xì)信息和接口詳細(xì)信息和實(shí)時(shí)性能狀態(tài); 拓?fù)涔芾砜勺詣?dòng)發(fā)現(xiàn)全網(wǎng)設(shè)備的拓?fù)湟晥D,通過拓?fù)鋱D能夠清晰地看到醫(yī)院網(wǎng)絡(luò)的狀態(tài),包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、連通等。
故障(告警/事件)管理,是網(wǎng)管系統(tǒng)的核心功能之一,包括設(shè)備告警、網(wǎng)管站告警、網(wǎng)絡(luò)性能監(jiān)視告警、終端安全異常告警等,告警事件可通過手機(jī)短信或E-mail郵件的方式,及時(shí)通知管理員,實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的監(jiān)控和管理。
1.6 醫(yī)院內(nèi)網(wǎng)、外網(wǎng)間隔離和訪問通道
醫(yī)院內(nèi)部的網(wǎng)絡(luò)分為醫(yī)院辦公外網(wǎng)(用于日常辦公,可上互聯(lián)網(wǎng))和業(yè)務(wù)內(nèi)網(wǎng),為保證醫(yī)院內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)安全,防止非法入侵、病毒攻擊等醫(yī)院業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)必須物理隔離,同時(shí),因醫(yī)院內(nèi)部眾多軟件廠商、服務(wù)器廠商、網(wǎng)絡(luò)設(shè)備、安全廠商,需要遠(yuǎn)程維護(hù)內(nèi)網(wǎng)設(shè)備,業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)之間須有個(gè)能訪問的通道,我們采用了SSL VPN+網(wǎng)閘+堡壘機(jī)的方式實(shí)現(xiàn)了遠(yuǎn)程安全登錄和物理隔離。
(1)在醫(yī)院外網(wǎng)防火墻和醫(yī)院內(nèi)網(wǎng)防火墻之間安裝了網(wǎng)神SecSIS 3600網(wǎng)閘,利用其“數(shù)據(jù)擺渡”的工作方式,開放須訪問的端口,實(shí)現(xiàn)物理隔離。
(2)h程用戶通過SSL VPN接入到醫(yī)院外網(wǎng)。利用SSL 的私密性、確認(rèn)性、可靠性、易用性特性,在遠(yuǎn)程用戶和我院外網(wǎng)間建立起專用的VPN加密隧道。在SSL VPN中,將用戶的登錄設(shè)定為自動(dòng)跳轉(zhuǎn)到堡壘機(jī),通過堡壘機(jī)再訪問相關(guān)的設(shè)備和電腦,實(shí)現(xiàn)遠(yuǎn)程訪問有監(jiān)管有記錄有審計(jì),可管可控。
2 服務(wù)器和存儲(chǔ)備份安全
系統(tǒng)服務(wù)器雙機(jī)備份常用的是采用雙機(jī)冷備份或通過心跳線熱備份的方式實(shí)現(xiàn)。我院結(jié)合自身設(shè)備特點(diǎn),采用了賽門特克Veritas Cluster Server技術(shù),在IBM刀片機(jī)上建了一個(gè)N+1 VCS集群,即多臺(tái)服務(wù)器對應(yīng)一臺(tái)備份機(jī),當(dāng)其中一臺(tái)出現(xiàn)問題,都會(huì)自動(dòng)切換到備機(jī),實(shí)時(shí)快速,同時(shí)節(jié)約了備份機(jī)。兩套IBM DS5020存儲(chǔ)陣列(一臺(tái)在主機(jī)房、一臺(tái)在備份機(jī)房)通過光纖直連,采用remote mirror遠(yuǎn)程鏡像備份技術(shù),將主機(jī)房存儲(chǔ)的實(shí)時(shí)數(shù)據(jù)復(fù)制到備份存儲(chǔ)系統(tǒng),提供于業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的復(fù)制功能。
3 保證操作系統(tǒng)安全
操作系統(tǒng)是軟件系統(tǒng)基礎(chǔ),保證其安全是必須的。我們對服務(wù)器進(jìn)行了主機(jī)加固,關(guān)閉了不必要的服務(wù),安裝了賽門鐵克防火墻、賽門鐵克網(wǎng)絡(luò)版殺毒軟件,萊恩塞克內(nèi)網(wǎng)安全管理系統(tǒng)等來保證內(nèi)網(wǎng)服務(wù)器和工作站操作系統(tǒng)安全。其中內(nèi)網(wǎng)管理系統(tǒng)控制和監(jiān)管了移動(dòng)介質(zhì)的使用,屏蔽了未經(jīng)授權(quán)的移動(dòng)介質(zhì)接入網(wǎng)絡(luò),避免了醫(yī)院數(shù)據(jù)的外泄及感染病毒,同時(shí),還能對內(nèi)網(wǎng)中每一個(gè)計(jì)算機(jī)進(jìn)行遠(yuǎn)程的桌面管理、資產(chǎn)管理、配置管理和系統(tǒng)管理等。
4 核心設(shè)備配置修改和訪問安全
服務(wù)器在注冊表中關(guān)閉了遠(yuǎn)程訪問功能, 網(wǎng)絡(luò)交換機(jī)都關(guān)閉了TELNET功能,關(guān)閉命令: undo telnet server enable通過網(wǎng)絡(luò)堡壘機(jī)可視化的web管理界面統(tǒng)一配置和管理所有服務(wù)器和交換機(jī),利用堡壘機(jī)可控制、可審計(jì)、可記錄、可追溯的特性,保證對服務(wù)器和交換機(jī)的安全管理,避免配置和修改服務(wù)器、交換機(jī)時(shí)不慎造成故障。
5 數(shù)據(jù)庫和網(wǎng)絡(luò)安全審計(jì)系統(tǒng)
為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞,我院通過旁掛模式接入了數(shù)據(jù)庫和網(wǎng)絡(luò)安全審計(jì)系統(tǒng),實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)、數(shù)據(jù)庫中的系統(tǒng)狀態(tài)、安全事件、活動(dòng),以便集中報(bào)警、記錄、分析、處理,實(shí)現(xiàn)“事前評估―事中監(jiān)控―事后審計(jì)”,對數(shù)據(jù)庫和網(wǎng)絡(luò)中的操作和更改進(jìn)行追溯和還原。
6 健全安全管理制度,加強(qiáng)執(zhí)行
建立了嚴(yán)格的規(guī)范的規(guī)章制度,規(guī)范網(wǎng)絡(luò)管理、維護(hù)人員的各種行為,保障網(wǎng)絡(luò)安全。如建立了“中心機(jī)房管理制度”“機(jī)房設(shè)備操作制度”“機(jī)房出入制度”“設(shè)備巡查制度”“工作站操作制度”等。
我們規(guī)定網(wǎng)管人員每天必須查看智能網(wǎng)管系統(tǒng)、堡壘機(jī)、數(shù)據(jù)庫審計(jì)、網(wǎng)絡(luò)審計(jì)、中心服務(wù)器、殺毒軟件等的日志,做好記錄。通過日志,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)和設(shè)備故障隱患,發(fā)現(xiàn)非法入侵和使用,不正確的配置和修改。
1.1 企業(yè)信息化建設(shè)現(xiàn)狀
隨著信息技術(shù)的飛速發(fā)展,特別是進(jìn)入新世紀(jì)以來,我國信息化基礎(chǔ)設(shè)施普及已達(dá)到較高水平,但應(yīng)用深度有待進(jìn)一步建設(shè)。從《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》的一組數(shù)據(jù)顯示出,截至2014年12月,全國使用計(jì)算機(jī)辦公的企業(yè)比例為90.4%,截至2014年12月,全國使用互聯(lián)網(wǎng)辦公的企業(yè)比例為78.7%。近些年,我國企業(yè)在辦公中使用計(jì)算機(jī)的比例基本保持在90%左右的水平上,互聯(lián)網(wǎng)的普及率也保持在80%左右,在使用互聯(lián)網(wǎng)辦公的企業(yè)中,固定寬帶的接入率也連續(xù)多年超過95% 。基礎(chǔ)設(shè)施普及工作已基本完成,但根據(jù)企業(yè)開展互聯(lián)網(wǎng)應(yīng)用的實(shí)際情況來看,仍存在很大的提升空間。
一方面,是采取提升內(nèi)部運(yùn)營效率措施的企業(yè)比例較低,原因之一在于企業(yè)的互聯(lián)網(wǎng)應(yīng)用意識不足,之二在于內(nèi)部信息化改造與傳統(tǒng)業(yè)務(wù)流程的契合度較低,難以實(shí)現(xiàn)真正互聯(lián)網(wǎng)化,之三在于軟硬件和人力成本較高,多數(shù)小微企業(yè)難以承受;另一方面,營銷推廣、電子商務(wù)等外部運(yùn)營方面開展互聯(lián)網(wǎng)活動(dòng)的企業(yè)比例較低,且在實(shí)際應(yīng)用容易受限于傳統(tǒng)的經(jīng)營理念,照搬傳統(tǒng)方法。
1.2 企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀
根據(jù)最新的《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中的數(shù)據(jù)顯示,企業(yè)開展的互聯(lián)網(wǎng)應(yīng)用種類較為豐富,基本涵蓋了企業(yè)經(jīng)營的各個(gè)環(huán)節(jié)。電子郵件作為最基本的互聯(lián)網(wǎng)溝通類應(yīng)用,普及率最高,達(dá)83.0%;互聯(lián)網(wǎng)信息類應(yīng)用也較為普遍,各項(xiàng)應(yīng)用的普及率的都超過50%;而在商務(wù)服務(wù)類和內(nèi)部支撐類應(yīng)用中,除網(wǎng)上銀行、與政府機(jī)構(gòu)互動(dòng)、網(wǎng)絡(luò)招聘的普及率較高以外,其他應(yīng)用均不及50%。我國大部分企業(yè)尚未開展全面深入的互聯(lián)網(wǎng)建設(shè),仍停留在基礎(chǔ)應(yīng)用水平上。
由于目前我國網(wǎng)民數(shù)量已經(jīng)突破6億,在人們的日常工作、學(xué)習(xí)中網(wǎng)絡(luò)已經(jīng)扮演了不可替代的角色,因此網(wǎng)絡(luò)安全問題就凸顯出來,2014年,總體網(wǎng)民中有46.3%的網(wǎng)民遭遇過網(wǎng)絡(luò)安全問題,我國個(gè)人互聯(lián)網(wǎng)使用的安全狀況不容樂觀。在安全事件中,電腦或手機(jī)中病毒或木馬、賬號或密碼被盜情況最為嚴(yán)重,分別達(dá)到26.7%和25.9%,在網(wǎng)上遭遇到消費(fèi)欺詐比例為12.6%。
1.3 網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀
當(dāng)前企業(yè)網(wǎng)絡(luò)中已部署的基本的網(wǎng)絡(luò)安全設(shè)備如防火墻等,但網(wǎng)絡(luò)使用安全意識不高且網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)維護(hù)的過程,企業(yè)面臨的內(nèi)外部安全威脅日益巨增,整體安全形勢不容樂觀。在網(wǎng)絡(luò)安全威脅中,對于來著企業(yè)內(nèi)網(wǎng)的安全威脅特別難以防范,傳統(tǒng)的安全防護(hù)措施,只能面對外部威脅,對內(nèi)不具備防護(hù)能力。
高校在校園網(wǎng)信息化過程中數(shù)字化校園就是一典型例子,數(shù)字化校園網(wǎng)可以方便學(xué)生使用各類網(wǎng)絡(luò)學(xué)習(xí)資源。但也有部分學(xué)生在好奇心的驅(qū)使下,往往會(huì)在網(wǎng)絡(luò)中進(jìn)行試探性的病毒傳播、網(wǎng)絡(luò)攻擊等等。也有部分學(xué)生以獲得學(xué)院某臺(tái)服務(wù)器或者網(wǎng)站的控制權(quán)來顯示其在黑客技術(shù)水平。因此,在內(nèi)網(wǎng)中維護(hù)網(wǎng)絡(luò)安全,保護(hù)信息安全,就顯得更加重要和緊迫了。
2 內(nèi)網(wǎng)面臨的網(wǎng)絡(luò)威脅
筆者在高校內(nèi)網(wǎng)信息化建設(shè)過程中,通過多年的研究調(diào)查發(fā)現(xiàn),學(xué)生的攻擊往往是盲目地,且由于部分高校內(nèi)網(wǎng)管理較混亂,學(xué)生可以繞過一些身份認(rèn)證等安全檢測,進(jìn)入校園核心網(wǎng)絡(luò)。學(xué)生的這些行為,一般不存在惡意性質(zhì),也不會(huì)進(jìn)行蓄意破壞,但這就向我們提出了警示,一旦有不法分子輕松突破防線,其帶來的危害也是災(zāi)難性的。
筆者以本單位學(xué)生通過校園網(wǎng)絡(luò)攻擊校園網(wǎng)服務(wù)器的例子,說明其網(wǎng)絡(luò)攻擊有時(shí)往往非常容易,其造成的危害卻非常之大。
2.1 突破內(nèi)網(wǎng),尋找突破口
學(xué)生通過學(xué)院內(nèi)網(wǎng)IP地址管理漏洞,輕松接入校園內(nèi)部辦公網(wǎng)絡(luò),并獲得內(nèi)網(wǎng)地址網(wǎng)段劃分情況。通過流行黑客軟件掃描學(xué)院內(nèi)網(wǎng)獲得內(nèi)網(wǎng)安全薄弱處,檢測出共青團(tuán)委員會(huì) http://10.0.1.30:90/該網(wǎng)頁存在漏洞。進(jìn)一步利用路徑檢測工具進(jìn)行掃描,獲得了后臺(tái)地址http://10.0.1.30:90/wtgy/login.php。
2.2 一擊得手
學(xué)生在獲得了正確的管理地址后,只是進(jìn)行了簡單的嘗試就取得了戰(zhàn)果,通過弱口令掃描發(fā)現(xiàn)系統(tǒng)存在弱口令,于是嘗試了如admin admin admin admin888 admin 123456等,居然順利進(jìn)入后臺(tái)。
然后利用后臺(tái)的附件管理里面的功能,添加了php格式,從而實(shí)現(xiàn)了上傳。得到了內(nèi)網(wǎng)的webshell(如圖1)。
2.3 再接再厲,權(quán)限提升
學(xué)生不斷嘗試,測試了asp和aspx 的支持情況,答案是支持asp,不支持aspx的。自然就上傳了 asp webshell,可以實(shí)現(xiàn)跨目錄訪問。訪問權(quán)限進(jìn)一步提升,如圖,目標(biāo)主機(jī)D盤內(nèi)容一覽無余,其中不乏一些關(guān)鍵目錄信息就展現(xiàn)在攻擊者眼前(如圖2):
2.4 獲得系統(tǒng)管理員權(quán)限,完全掌控目標(biāo)主機(jī)服務(wù)器
查看系統(tǒng)所支持的組件,獲取目標(biāo)服務(wù)器系統(tǒng)關(guān)鍵信息。可以看到ws這個(gè)組件沒有被禁用,從而上傳cmd,以獲得終極權(quán)限系統(tǒng)管理員權(quán)限。首先想到的是利用webshell中的上傳進(jìn)行,但是權(quán)限問題,webshell上傳均失敗,所以轉(zhuǎn)向ftp上傳(同樣存在弱口令),從而繞過了限制,上傳了cmd.exe。
實(shí)驗(yàn)性的執(zhí)行命令Systeminfo查看系統(tǒng)信息命令,結(jié)果可以正常運(yùn)行,終極權(quán)限獲得(如圖3):
可以看出,學(xué)生攻擊學(xué)院內(nèi)網(wǎng)的手段并不高明,其用到的黑客攻擊工具,網(wǎng)絡(luò)上也都能隨意下載到,但其通過自己的仔細(xì)琢磨,充分利用了內(nèi)網(wǎng)管理的漏洞,獲得了關(guān)鍵信息。好在這是實(shí)驗(yàn)性,未造成實(shí)質(zhì)性破壞。內(nèi)網(wǎng)管理員也及時(shí)發(fā)現(xiàn)了問題,并對目標(biāo)服務(wù)器進(jìn)行了安全加固工作。
但我們不難發(fā)現(xiàn),其實(shí)網(wǎng)絡(luò)安全的程度存在著“木桶原理”的問題,也就是網(wǎng)絡(luò)最薄弱的環(huán)節(jié),決定著內(nèi)網(wǎng)的安全程度。在現(xiàn)實(shí)中往往由于管理者的疏忽或者使用者貪圖一時(shí)方便的原因,給網(wǎng)絡(luò)中潛在的攻擊者留下致命的后門。3 建立信息防泄露的內(nèi)網(wǎng)訪問控制模型
針對上述服務(wù)器網(wǎng)絡(luò)攻擊,最有效的方法就是對用戶訪問進(jìn)行準(zhǔn)入控制,隔離潛在威脅用戶。例如,在內(nèi)網(wǎng)中對所有用戶進(jìn)行身份認(rèn)證,分配相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限。在內(nèi)網(wǎng)安全架構(gòu)中,訪問控制是非常重要的一環(huán),其承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互,決定終端對網(wǎng)絡(luò)訪問權(quán)限發(fā)分配。目前主要使用的訪問控制技術(shù)主要有:
3.1 802.1X 訪問控制技術(shù)
802.1X 是一個(gè)二層協(xié)議,需要接入層交換機(jī)支持。在終端接入時(shí),端口缺省只打開802.1X的認(rèn)證通道,終端通過802.1X認(rèn)證之后,交換機(jī)端口才打開網(wǎng)絡(luò)通信通道。其優(yōu)點(diǎn)是:在終端接入網(wǎng)絡(luò)時(shí)就進(jìn)行準(zhǔn)入控制,控制力度強(qiáng),已經(jīng)定義善的協(xié)議標(biāo)準(zhǔn)。
其缺點(diǎn)是:對以網(wǎng)交換機(jī)技術(shù)要求高,必須支持802.1X認(rèn)證,配置過程比較復(fù)雜,需要考慮多個(gè)設(shè)備之間的兼容性,交換機(jī)下可能串接HUB,交換機(jī)可能對一個(gè)端口上的多臺(tái)PC 當(dāng)成一個(gè)狀態(tài)處理,存在訪問控制漏洞。
3.2 ARP spoofing訪問控制技術(shù)
在每個(gè)局域網(wǎng)上安裝一個(gè)ARP spoofing,對終端發(fā)起ARP 請求代替路由網(wǎng)關(guān)回ARP spoofing,從而使其他終端的網(wǎng)絡(luò)流量必須經(jīng)過。在這個(gè)ARP spoofing上進(jìn)行準(zhǔn)入控制。其優(yōu)點(diǎn)是:ARP適用于任何IP 網(wǎng)絡(luò),并且不需要改動(dòng)網(wǎng)絡(luò)和主機(jī)配置,易于安裝和配置。其缺點(diǎn)是:類似DHCP控制,終端可以通過配置靜態(tài)ARP表,來繞過準(zhǔn)入控制體系。此外,終端安全軟件和網(wǎng)絡(luò)設(shè)備可能會(huì)將ARP spoofing當(dāng)成惡意軟件處理。
3.3 DNS重定向訪問控制技術(shù)
在DNS重定向機(jī)制中,將終端的所有DNS解析請求全部指定到一個(gè)固定的服務(wù)器IP地址。其優(yōu)點(diǎn)是:類似DHCP管理和ARP spoofing,適用于任何適用DNS協(xié)議的網(wǎng)絡(luò),易于安裝和部署,支持WEB portal頁面,可以通過DNS 重定向,將終端的HTML 請求重定向到WEB認(rèn)證和安全檢查頁面。其缺點(diǎn)是:類似DHCP控制和ARP spoofing,終端可以通過不使用DNS 協(xié)議來繞開準(zhǔn)入控制限制(例如:使用靜態(tài)HOSTS文件)。
以上是內(nèi)網(wǎng)安全設(shè)備主流使用的準(zhǔn)入控制方式,每種方式都具有其特定的優(yōu)缺點(diǎn),一般來說每個(gè)設(shè)備都會(huì)支持兩種以上的準(zhǔn)入控制方式。
但是,網(wǎng)絡(luò)管控對于網(wǎng)絡(luò)使用的便捷性是一對矛盾體,如果既要使用的便捷性,又要對網(wǎng)絡(luò)進(jìn)行有效管控,這對網(wǎng)絡(luò)安全設(shè)備的性能提出了相當(dāng)高的要求。然而,高性能的安全設(shè)備價(jià)格非常昂貴,這也是很多企業(yè)寧可暴露威脅,也不防范的原因之一。
3.4 網(wǎng)關(guān)準(zhǔn)入控制——UTM(統(tǒng)一威脅管理)
UTM產(chǎn)品的設(shè)計(jì)初衷是為了中小型企業(yè)提供網(wǎng)絡(luò)安全防護(hù)解決方案,其低廉的價(jià)格和強(qiáng)大的集成功能,在企業(yè)內(nèi)網(wǎng)中扮演著重要的角色。UTM將安全網(wǎng)關(guān)、終端軟件、終端策略服務(wù)器、認(rèn)證控制點(diǎn)四位一體化部署,可以在內(nèi)網(wǎng)中進(jìn)行多點(diǎn)部署,從而構(gòu)建出內(nèi)網(wǎng)用戶訪問控制模型,實(shí)現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個(gè)區(qū)域和角落。
(1)合理部署網(wǎng)關(guān)位置
UTM的位置本身即位于安全域邊界,由于UTM的設(shè)備性能參數(shù),一般不建議部署在互聯(lián)網(wǎng)出口、服務(wù)器出口及辦公網(wǎng)出口等網(wǎng)絡(luò)核心節(jié)點(diǎn),在內(nèi)網(wǎng)訪問控制模型中,可以部署在網(wǎng)絡(luò)拓?fù)渲械膮R聚節(jié)點(diǎn)。
從安全理論的角度講,對某一區(qū)域網(wǎng)絡(luò)中的所有用戶進(jìn)行控制(包括訪問控制、準(zhǔn)入控制、業(yè)務(wù)控制等);同時(shí),UTM設(shè)備的入侵防御、防病毒、外連控制等模塊可以與準(zhǔn)入控制功能相互配合,UTM一旦發(fā)現(xiàn)某用戶行為違規(guī),就可以通過內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接。
(2)UTM優(yōu)勢分析
采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實(shí)現(xiàn)訪問控制,用戶只需要購買少量UTM設(shè)備,采用透明方式部署至網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處,即可以實(shí)現(xiàn)全面的準(zhǔn)入控制。與基于DHCP控制,ARP spoofing,DNS 劫持等準(zhǔn)入控制相比,UTM 準(zhǔn)入控制能力更強(qiáng)、更全面,終端用戶在任何情況下均無法突破或繞過準(zhǔn)入控制。
除此以外,UTM設(shè)備還可根據(jù)終端的安全情況自動(dòng)配置合適的安全策略,如在終端未滿足某些安全要求的情況下開放其訪問修復(fù)服務(wù)器的權(quán)限。
網(wǎng)絡(luò)安全,不應(yīng)只關(guān)注網(wǎng)絡(luò)出口安全,更應(yīng)關(guān)注內(nèi)網(wǎng)中的信息安全,信息的泄漏往往是從內(nèi)部開始,因此,構(gòu)建內(nèi)網(wǎng)訪問控制模型就非常重要,采取UTM幫助內(nèi)網(wǎng)進(jìn)行安全管控是一個(gè)非常便捷、高效的手段。
關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡(luò);管理;措施
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別
既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡(luò)安全主要包含兩部分,一個(gè)就是傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全;另一個(gè)就是內(nèi)網(wǎng)安全,它是對應(yīng)于外網(wǎng)而言的。主要是指在小范圍內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò),這個(gè)“小范圍”可以是一個(gè)家庭,一所學(xué)校,或者是一家公司。內(nèi)網(wǎng)上的每一臺(tái)電腦(或其他網(wǎng)絡(luò)設(shè)備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復(fù)的,不會(huì)相互影響。
外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)外網(wǎng)邊界出口。所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全。也就是說,網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。傳統(tǒng)的防火墻、人侵檢測系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。
對眾多大型企業(yè)而言,隨著業(yè)務(wù)的發(fā)展,用戶希望ERP、OA、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實(shí)現(xiàn),能夠同時(shí)使用有線、無線網(wǎng)絡(luò),在一個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)Web、即時(shí)通信、協(xié)作、語音、視頻的融合。外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分。而隨著移動(dòng)辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦、手機(jī)都成為了企業(yè)OA網(wǎng)絡(luò)中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度。
內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細(xì)致。它假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何―個(gè)節(jié)點(diǎn)上。 所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理,實(shí)現(xiàn)―個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。
由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系。
2)要求建立更加細(xì)粒度的安全控制措施,對計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對性的管理。
3)對信息進(jìn)行生命周期的完善管理。
2 內(nèi)網(wǎng)安全的威脅
在所有的安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長的趨勢。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來也都是安全建設(shè)的難點(diǎn)。
在實(shí)際應(yīng)用當(dāng)中,內(nèi)網(wǎng)安全的威脅主要來自以下幾個(gè)方面:
1)移動(dòng)設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)。未經(jīng)允許擅自接入電腦設(shè)備會(huì)給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素;
2)內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為;
3)違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其它網(wǎng)絡(luò);
4)網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實(shí)時(shí)、快速、精確定位、遠(yuǎn)程阻斷隔離操作。安全事件發(fā)生后,網(wǎng)管一般通過交換機(jī)、路由器或防火墻進(jìn)行封堵,但設(shè)置復(fù)雜,操作風(fēng)險(xiǎn)大,而且絕大多數(shù)普通交換機(jī)并沒有被設(shè)置成SNMP可管理模式,因此不能夠方便地進(jìn)行隔離操作;
5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié),無法做到事后分析、加強(qiáng)安全預(yù)警;
6)靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況;
7)針對網(wǎng)絡(luò)內(nèi)部安全隱患,自動(dòng)檢測網(wǎng)絡(luò)中主機(jī)的安全防范等級,進(jìn)行補(bǔ)丁大面積分發(fā),徹底解決網(wǎng)絡(luò)中的不安全因素;
8)大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜,不能明確劃分管理責(zé)任范圍;
9)網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多,不能做到精確統(tǒng)計(jì)。
以上問題其實(shí)可以歸到兩個(gè)基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎(chǔ)IT設(shè)施即計(jì)算機(jī)是可用的;而管理方面,則保證企業(yè)或都說組織的計(jì)算機(jī)是用來工作的,規(guī)范計(jì)算機(jī)在企業(yè)網(wǎng)絡(luò)里邊的行為。
3 加強(qiáng)內(nèi)網(wǎng)安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經(jīng)逐漸達(dá)成共識,但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)。安全關(guān)注的趨勢由外而內(nèi),由邊界到主機(jī),由分散到集中,由系統(tǒng)到應(yīng)用,由通用到專用,由分離到整合,由技術(shù)到管理。從實(shí)際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗(yàn),我總結(jié)了加強(qiáng)內(nèi)網(wǎng)安全的措施如下:
1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務(wù)部門或子公司劃成了不同的虛擬網(wǎng)(Vlan)。通過劃分虛擬網(wǎng),可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi),從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡(luò)的傳輸效率,同時(shí),由于各虛擬網(wǎng)之間不能直接進(jìn)行通訊,而必須通過路由器轉(zhuǎn),為高級的安全控制提供了可能,增強(qiáng)了網(wǎng)絡(luò)的安全性,也給管理帶來了極大的方便性。特別是核心業(yè)務(wù)和重要部門根據(jù)安全的需要?jiǎng)澇闪瞬煌奶摂M網(wǎng),采用完全隔離或者相對隔離的措施,保證了核心業(yè)務(wù)和重要部門的安全性。
2)對企業(yè)網(wǎng)絡(luò)的物理線路進(jìn)行規(guī)范化管理。按照區(qū)域、樓層、配線間、房間、具置規(guī)范化管理編號的原則,把所有的網(wǎng)絡(luò)線路編號,套上清晰的線標(biāo),配置可網(wǎng)管的交換機(jī)。同時(shí)對交換機(jī)、配線架、電腦等設(shè)備的物理配置、存放的具置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎(chǔ)數(shù)據(jù)進(jìn)行詳細(xì)的登記,同時(shí)還對IP地址進(jìn)行統(tǒng)一管理,把電腦的IP地址、MAC地址、使用人和各種基礎(chǔ)數(shù)據(jù)進(jìn)行關(guān)聯(lián),當(dāng)網(wǎng)絡(luò)或者電腦發(fā)生故障時(shí),網(wǎng)管們能夠通過基礎(chǔ)數(shù)據(jù)管理系統(tǒng)實(shí)現(xiàn)快速定位、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率。
3)部署桌面安全管理系統(tǒng)。企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個(gè)面向IT領(lǐng)域建設(shè)的專業(yè)安全解決方案。它采用集成化網(wǎng)絡(luò)安全防衛(wèi)體系,通過多種技術(shù)手段的融合幫助整個(gè)企業(yè)有效達(dá)成在物理訪問、鏈路傳輸、操作系統(tǒng)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)保護(hù)、網(wǎng)間訪問和人員管理等方面的安全策略制定、自動(dòng)分發(fā)和自動(dòng)實(shí)現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個(gè)終端用戶提供透明但高度個(gè)性化安全保證的前提下真正提高組織的動(dòng)作效率和管理水平。終端安全管理是基礎(chǔ),它解決了終端計(jì)算機(jī)經(jīng)常為病毒、木馬困擾的問題,幫助管理員智能安裝系統(tǒng)與應(yīng)用補(bǔ)丁,提供一系列的終端維護(hù)工具與管理工具,使管理員做到對于終端的“中央集權(quán)管理與控制”。
4)部署防病毒系統(tǒng)。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業(yè)防病毒系統(tǒng)是最有效的解決辦法。防毒系統(tǒng)內(nèi)嵌病毒掃描和清除、個(gè)人防火墻、安全風(fēng)險(xiǎn)檢測與刪除,可以檢測、隔離、刪除和消除或修復(fù)間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風(fēng)險(xiǎn)造成的負(fù)面影響。通過防毒系統(tǒng)中心控制臺(tái)可以集中管理客戶端,統(tǒng)一部署防護(hù)策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨(dú)清除病毒。另外,還可以通過病毒隔離區(qū)控制臺(tái),追蹤病毒傳播情況,快速找到病毒源,在第一時(shí)間對中毒的電腦進(jìn)行有效的殺毒和隔離。
5)部署網(wǎng)絡(luò)管理系統(tǒng)。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大,交換機(jī)、服務(wù)器的數(shù)量也逐漸增多,如何管理監(jiān)控重點(diǎn)設(shè)備、服務(wù)器的運(yùn)行情況,不是一件容易的事。為此部署一套網(wǎng)絡(luò)管理系統(tǒng),可對網(wǎng)絡(luò)、系統(tǒng)以及應(yīng)用進(jìn)行全面的監(jiān)視。它可以提供完整的故障管理和性能管理功能,能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)主動(dòng)監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和服務(wù)器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫中。通過綜合控制臺(tái)可實(shí)現(xiàn)對路由器、交換機(jī)、服務(wù)器、URL、UPS無線設(shè)備以及打印機(jī)等性能的監(jiān)視,不僅提供了網(wǎng)絡(luò)設(shè)備的多種視圖,而且將收集的信息以豐富的圖、報(bào)表形式呈現(xiàn)給操作者。
6)部署安全管理系統(tǒng)(SOC)。為了讓管理人員能夠?qū)崟r(shí)了解網(wǎng)絡(luò)中動(dòng)態(tài)和事件,滿足不斷變化的網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用程序、應(yīng)用服務(wù)、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、機(jī)房環(huán)境等發(fā)生的故障、超閥值行為、安全事件統(tǒng)稱為網(wǎng)絡(luò)安全問題)的要求,需要有一套專門的安全管理系統(tǒng)來完成。網(wǎng)絡(luò)管理系統(tǒng)是從事件驅(qū)動(dòng)的目的出發(fā)強(qiáng)調(diào)系統(tǒng)運(yùn)維、系統(tǒng)故障處理和加強(qiáng)網(wǎng)絡(luò)的性能三個(gè)方面的內(nèi)容。與網(wǎng)絡(luò)管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對威脅的管理,它的側(cè)重點(diǎn)關(guān)注在三個(gè)層次上:資產(chǎn)層面,關(guān)注安全威脅對業(yè)務(wù)及資產(chǎn)的影響;威脅層面了解哪些威脅會(huì)影響業(yè)務(wù)及資產(chǎn);防護(hù)措施層面怎樣防護(hù)威脅,保護(hù)業(yè)務(wù)及資產(chǎn)。一句話概括,就是安全管理是從保護(hù)業(yè)務(wù)及資產(chǎn)的層面進(jìn)行的風(fēng)險(xiǎn)管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴(yán)重干擾了郵件收發(fā)的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個(gè)活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進(jìn)行備份。在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大,實(shí)際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊,用戶的一次錯(cuò)誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對性的災(zāi)難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全,必須對重要資料進(jìn)行備份,以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失。對數(shù)據(jù)的保護(hù)來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件,可以較為全面地保護(hù)數(shù)據(jù)的安全。
9)密鑰管理。在現(xiàn)實(shí)中,入侵者攻擊Intranet目標(biāo)的時(shí)候,90%會(huì)把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠(yuǎn)端主機(jī)名”找出主機(jī)上的用戶賬號,然后用字典窮舉法進(jìn)行攻擊。這個(gè)破譯過程是由程序來完成的。大概十幾個(gè)小時(shí)就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會(huì)仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞,伺機(jī)奪取目標(biāo)中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時(shí)應(yīng)在無人的情況下進(jìn)行;口令中最好要有大小寫字母、字符、數(shù)字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性。
4 結(jié)束語
當(dāng)然為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。七分管理,三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會(huì)有最大的保障。
參考文獻(xiàn):
其他安全防范措施內(nèi)網(wǎng)的網(wǎng)絡(luò)安全直接關(guān)系到醫(yī)院業(yè)務(wù)能否正常進(jìn)轉(zhuǎn),所以我院的內(nèi)網(wǎng)計(jì)算機(jī)是不允許接外部設(shè)備的,比如易于感染病毒的U盤,網(wǎng)管人員會(huì)在BIOS里把除了鍵盤鼠標(biāo)等正常使用的設(shè)備以外的U口封掉并設(shè)置密碼,確保病毒不會(huì)從外界侵入。同時(shí),內(nèi)網(wǎng)設(shè)置了詳細(xì)的分級權(quán)限,不同的用戶看到的和使用的功能不同,不同的醫(yī)師用藥和開處方的權(quán)限也不同。程序的進(jìn)入每個(gè)用戶可以設(shè)置自己的密碼,保證信息不泄露。隨著程序的不斷升級,以后可以應(yīng)用電子簽名。電子簽名就是通過密碼技術(shù)對電子文檔的電子形式的簽名,并非是書面簽名的數(shù)字圖像化,它類似于手寫簽名或印章,也可以說它就是電子印章。每個(gè)醫(yī)生一個(gè)電子簽名卡,進(jìn)入系統(tǒng)程序不僅需要密碼而且要刷卡,開處方和寫病歷后自動(dòng)寫上醫(yī)生的電子簽名,確保數(shù)據(jù)不被篡改。
天津醫(yī)院外網(wǎng)安全建設(shè)分析
1硬件防火墻外網(wǎng)是要鏈接到Internet上的,所以網(wǎng)絡(luò)安全尤為重要,硬件防火墻是必不可少的。通過硬件防火墻的設(shè)置,可以進(jìn)行包括過濾和狀態(tài)檢測,過濾掉一些IP地址和有威脅的程序不進(jìn)入辦公網(wǎng)絡(luò)。硬件防火墻針對病毒入侵的原理,可以做出相應(yīng)的策略,從源頭上確保網(wǎng)絡(luò)安全。
2網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)管理軟件提供網(wǎng)絡(luò)系統(tǒng)的配置、故障、性能及網(wǎng)絡(luò)用戶分布方面的基本管理,也就是說,網(wǎng)絡(luò)管理的各種功能最終會(huì)體現(xiàn)在網(wǎng)絡(luò)管理軟件的各種功能的實(shí)現(xiàn)上,軟件是網(wǎng)絡(luò)管理的“靈魂”,也是網(wǎng)絡(luò)管理系統(tǒng)的核心。
通過網(wǎng)絡(luò)管理軟件網(wǎng)管人員可以控制流量,設(shè)置不同用戶訪問的網(wǎng)址和使用的應(yīng)用程序,設(shè)置不同時(shí)間可以訪問的網(wǎng)址,以及屏蔽掉一些游戲、股票等非工作需要的程序。可以實(shí)時(shí)監(jiān)控客戶端的網(wǎng)絡(luò)行為,查看是否有非工作內(nèi)容的操作。定期備份日志,保證辦公網(wǎng)正常有序的工作。
管理制度
要制定嚴(yán)格的計(jì)算機(jī)管理制度,業(yè)務(wù)科室屏蔽光驅(qū)、USB接口等輸入輸出設(shè)備,行政后勤科室使用輸入輸出設(shè)備時(shí)必須先殺毒再使用。全院每臺(tái)機(jī)器使用固定IP和MAC地址綁定,防止外人使用移動(dòng)電腦連接內(nèi)部網(wǎng)絡(luò)。優(yōu)化電腦性能,屏蔽一些重要的操作系統(tǒng)功能和系統(tǒng)文件,防止操作人員誤操作致使系統(tǒng)崩潰,帶來不必要的麻煩。所有服務(wù)器、客戶端都必須更新最新的系統(tǒng)補(bǔ)丁,防止病毒、黑客、灰色軟件的侵襲。
關(guān)鍵詞:消防;通信;信息安全
中圖分類號:TP393.08
全國消防計(jì)算機(jī)通信網(wǎng)絡(luò)以公安信息網(wǎng)為依托,由消防信息網(wǎng)和指揮調(diào)度網(wǎng)構(gòu)成,分別形成三級網(wǎng)絡(luò)結(jié)構(gòu)。消防信息網(wǎng)是各級消防部門的日常辦公網(wǎng)絡(luò),作為消防業(yè)務(wù)傳輸網(wǎng);指揮調(diào)度網(wǎng)主要用于部局、總隊(duì)、支隊(duì)、大隊(duì)(中隊(duì))等單位的視頻會(huì)議、遠(yuǎn)程視頻監(jiān)控、滅火救援指揮調(diào)度系統(tǒng)應(yīng)用等業(yè)務(wù),作為消防指揮調(diào)度專用傳輸網(wǎng)。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,來自內(nèi)部網(wǎng)絡(luò)的威脅也日漸增多,必須利用信息安全基礎(chǔ)設(shè)施和信息系統(tǒng)防護(hù)手段,構(gòu)建與基礎(chǔ)網(wǎng)絡(luò)相適應(yīng)的信息安全保障體系。
1 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施
計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施主要有防火墻、入侵防護(hù)、病毒防護(hù)、攻擊防護(hù)、入侵檢測、網(wǎng)絡(luò)審計(jì)和統(tǒng)一威脅管理系統(tǒng)等幾項(xiàng)(如下圖)。
1.1 防火墻。防火墻主要部署在網(wǎng)絡(luò)邊界,可以實(shí)現(xiàn)安全的訪問控制與邊界隔離,防范攻擊行為。防火墻的規(guī)則庫定義了源IP地址、目的IP地址、源端口和目的端口,一般攻擊通常會(huì)有很多征兆,可以及時(shí)將這些征兆加入規(guī)則庫中。目前網(wǎng)上部署的防火墻主要是網(wǎng)絡(luò)層防火墻,可實(shí)時(shí)在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略,且具備包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)性協(xié)議檢測、VPN等技術(shù)。
1.2 入侵防御系統(tǒng)(Intrusion Prevention System,IPS)。IPS串接在防火墻后面,在防火墻進(jìn)行訪問控制,保證了訪問的合法性之后,IPS動(dòng)態(tài)的進(jìn)行入侵行為的保護(hù),對訪問狀態(tài)進(jìn)行檢測、對通信協(xié)議和應(yīng)用協(xié)議進(jìn)行檢測、對內(nèi)容進(jìn)行深度的檢測。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。防火墻降低了惡意流量進(jìn)出網(wǎng)絡(luò)的可能性,并能確保只有與協(xié)議一致的流量才能通過防火墻。如果惡意流量偽裝成正常的流量,并且與協(xié)議的行為一致,這樣的情況,IPS設(shè)備能夠在關(guān)鍵點(diǎn)上對網(wǎng)絡(luò)和主機(jī)進(jìn)行監(jiān)視并防御,以防止惡意行為。
1.3 防病毒網(wǎng)關(guān)。防病毒網(wǎng)關(guān)部署在病毒風(fēng)險(xiǎn)最高、最接近病毒發(fā)生源的安全邊界處,如內(nèi)網(wǎng)終端區(qū)和防火墻與路由器之間,可以對進(jìn)站或進(jìn)入安全區(qū)的數(shù)據(jù)進(jìn)行病毒掃描,把病毒完全攔截在網(wǎng)絡(luò)的外部,以減少病毒滲入內(nèi)網(wǎng)后造成的危害。為使得達(dá)到最佳防毒效果,防病毒網(wǎng)關(guān)設(shè)備和桌面防病毒軟件應(yīng)為不同的廠家產(chǎn)品。網(wǎng)絡(luò)版殺毒軟件的病毒掃描和處理方式主要是通過客戶端殺毒,通過企業(yè)版防毒軟件統(tǒng)一對已經(jīng)進(jìn)入內(nèi)部網(wǎng)絡(luò)的病毒進(jìn)行處理。
1.4 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)作為一個(gè)完整安全框架中的一個(gè)必要環(huán)節(jié),作為對防火墻系統(tǒng)和入侵防御系統(tǒng)的一個(gè)補(bǔ)充,其功能:首先它能夠檢測出某些特殊的IPS無法檢測的入侵行為(比如時(shí)間跨度很大的長期攻擊特征);其次它可以對入侵行為進(jìn)行記錄、報(bào)警和阻斷等,并可以在任何時(shí)間對其進(jìn)行再現(xiàn)以達(dá)到取證的目的;最后它可以用來提取一些未知的或者未被發(fā)現(xiàn)的入侵行為模式等。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)與防火墻、入侵檢測的區(qū)別主要是對網(wǎng)絡(luò)的應(yīng)用層內(nèi)容進(jìn)行審計(jì)與分析。
1.5 統(tǒng)一威脅管理系統(tǒng)(UTM)。UTM常定義為由硬件、軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,它主要提供一項(xiàng)或多項(xiàng)安全功能,同時(shí)將多種安全特性集成于一個(gè)硬件設(shè)備里,形成標(biāo)準(zhǔn)的統(tǒng)一威脅管理平臺(tái)。UTM設(shè)備具備的基本功能包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測/防御和網(wǎng)關(guān)防病毒功能。雖然UTM集成了多種功能,但卻不一定會(huì)同時(shí)開啟。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡(luò)規(guī)模,UTM產(chǎn)品分為不同的級別。UTM部署在安全域邊界上,可以根據(jù)保護(hù)對象所需的安全防護(hù)措施,靈活的開啟防火墻、IPS、防病毒、內(nèi)容過濾等防護(hù)模塊,實(shí)現(xiàn)按需防護(hù)、深度防護(hù)的建設(shè)目標(biāo)。采用UTM設(shè)備來構(gòu)成本方案的核心產(chǎn)品,可有效節(jié)約建設(shè)資金,又能達(dá)到更好的防護(hù)效果。
2 消防指揮網(wǎng)絡(luò)安全設(shè)備部署
市級消防指揮網(wǎng)絡(luò)是市支隊(duì)與各區(qū)(縣)大隊(duì)或中隊(duì)之間部署的專網(wǎng),規(guī)模相對較小,主要用途為視頻會(huì)議、遠(yuǎn)程視頻監(jiān)控、接處警終端和滅火救援指揮調(diào)度應(yīng)用系統(tǒng)等業(yè)務(wù),可按需選擇部署防火墻、入侵防護(hù)系統(tǒng)、防病毒網(wǎng)關(guān)、統(tǒng)一威脅管理系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)七類設(shè)備。(如圖)
2.1 計(jì)算機(jī)安全防護(hù)軟件:在網(wǎng)內(nèi)計(jì)算機(jī)終端統(tǒng)一安裝防病毒軟件、終端安全軟件、一機(jī)兩用監(jiān)控軟件。補(bǔ)丁分發(fā)管理系統(tǒng)和終端漏洞掃描系統(tǒng)統(tǒng)一由省級指揮中心部署,用來管理市級指揮調(diào)度網(wǎng)內(nèi)計(jì)算機(jī)。這樣,可以防止安全風(fēng)險(xiǎn)擴(kuò)散,保障由終端、服務(wù)器及應(yīng)用系統(tǒng)等構(gòu)成的計(jì)算環(huán)境的安全。
2.2 指揮調(diào)度網(wǎng)安全邊界:在市級指揮調(diào)度網(wǎng)與省級指揮調(diào)度網(wǎng)聯(lián)網(wǎng)邊界部署統(tǒng)一威脅管理系統(tǒng)(UTM),開啟防火墻、入侵防護(hù)、網(wǎng)關(guān)防病毒、VPN等功能模塊,在專網(wǎng)安全邊界對各種風(fēng)險(xiǎn)統(tǒng)一防護(hù)。在核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)對內(nèi)網(wǎng)中的網(wǎng)絡(luò)通信進(jìn)行記錄和分析,及時(shí)發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)事件。
2.3 內(nèi)網(wǎng)終端區(qū):內(nèi)網(wǎng)終端區(qū)主要有計(jì)算機(jī)接處警終端、視頻會(huì)議終端、視頻監(jiān)控終端等,操作應(yīng)用人員比較復(fù)雜,隨意使用移動(dòng)存儲(chǔ)設(shè)備的可能性大,在內(nèi)網(wǎng)終端區(qū)安全邊界區(qū)部署一臺(tái)防病毒網(wǎng)關(guān)進(jìn)行病毒過濾,防止病毒向其他區(qū)域擴(kuò)散。
2.4 核心業(yè)務(wù)處理區(qū):主要包括滅火救援指揮調(diào)度相關(guān)的業(yè)務(wù)系統(tǒng)、綜合統(tǒng)計(jì)分析、綜合報(bào)表管理等業(yè)務(wù)系統(tǒng)。部署一臺(tái)防火墻對核心業(yè)務(wù)處理區(qū)進(jìn)行訪問控制,阻斷對安全區(qū)內(nèi)的業(yè)務(wù)服務(wù)的非法訪問;再部署一臺(tái)IPS,實(shí)時(shí)發(fā)現(xiàn)并阻斷針對核心業(yè)務(wù)處理區(qū)的入侵和攻擊行為。
2.5 指揮中心邊界:部署一臺(tái)防火墻對支隊(duì)指揮中心與上級指揮中心之間的業(yè)務(wù)訪問進(jìn)行訪問控制和攻擊防御。
2.6 內(nèi)網(wǎng)管理區(qū):區(qū)中主要有各類管理服務(wù)器,用于集中進(jìn)行安全策略的定制、下發(fā)、集中監(jiān)控各類系統(tǒng)的運(yùn)行狀態(tài)。主要包括設(shè)備管理、終端管理、防病毒管理等。
如果市級指揮中心規(guī)模較小,可以將核心業(yè)務(wù)處理區(qū)、內(nèi)網(wǎng)管理區(qū)和指揮中心區(qū)合并為同一個(gè)安全域,共同部署一臺(tái)IPS和防火墻。
3 總結(jié)
總之,網(wǎng)絡(luò)安全是一項(xiàng)綜合性的課題,它涉及技術(shù)、管理、應(yīng)用等許多方面,既包括信息系統(tǒng)本身的安全問題,又有網(wǎng)絡(luò)防護(hù)的技術(shù)措施。我們必須綜合考慮安全因素,在采用各種安全技術(shù)控制措施的同時(shí),制定層次化的安全策略,完善安全管理組織機(jī)構(gòu)和人員配備,才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息的相對安全。
參考文獻(xiàn):
[1]楊義先,任金強(qiáng).信息安全新技術(shù)[M].北京:北京郵電大學(xué)出版社,2002.
[2]公安部.信息安全等級保護(hù)培訓(xùn)教材[M].2007.
