實(shí)例:加固內(nèi)網(wǎng)薄弱環(huán)節(jié) 保障網(wǎng)絡(luò)通暢
我們公司信息系統(tǒng)是以數(shù)據(jù)大集中模式建立的,通過網(wǎng)上傳輸?shù)男畔⒑蛿?shù)據(jù)量都比較大。由于公司的財(cái)政預(yù)算以及領(lǐng)導(dǎo)的認(rèn)識(shí)程度等問題,公司網(wǎng)絡(luò)安全漏洞存在已有一段時(shí)日了,卻一直沒有改善,信息數(shù)據(jù)安全時(shí)刻面臨著來自系統(tǒng)外部和內(nèi)部威脅。
防護(hù)簡(jiǎn)單 漏洞凸顯
我還清晰地記得年前那次“災(zāi)難”:公司所有電腦都上不了網(wǎng),重要辦公及公文審批都無法受理,財(cái)務(wù)報(bào)表系統(tǒng)無法統(tǒng)計(jì)處理,所有業(yè)務(wù)中斷達(dá)5小時(shí)左右,導(dǎo)致公司較大的物質(zhì)以及信譽(yù)上的損失。
最終原因是我公司在互聯(lián)網(wǎng)出口只有簡(jiǎn)單的一臺(tái)接入防火墻,公司網(wǎng)站和郵件服務(wù)器位于防火墻外部接口區(qū)域,用的都是公網(wǎng)IP地址。由于網(wǎng)站遭到攻擊被植入ARP欺騙木馬,從而導(dǎo)致所有辦公和業(yè)務(wù)PC網(wǎng)關(guān)被欺騙而指向網(wǎng)站服務(wù)器,而正確的網(wǎng)關(guān)應(yīng)該是防火墻外網(wǎng)口地址,這造成所有客戶端不能訪問互聯(lián)網(wǎng)和業(yè)務(wù)服務(wù)器。在耗費(fèi)大量時(shí)間確定故障后,拔掉網(wǎng)站服務(wù)器網(wǎng)線,聯(lián)系防火墻供應(yīng)商更新版本并調(diào)整相關(guān)策略后才暫時(shí)使部分重要業(yè)務(wù)恢復(fù)。巨大的損失讓領(lǐng)導(dǎo)們深刻地認(rèn)識(shí)到公司內(nèi)網(wǎng)安全建設(shè)的重要性,并下決心對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行一次全面的加固以免類似事情再次發(fā)生。
我們公司辦公大樓根據(jù)業(yè)務(wù)和部門分類劃分了18個(gè)VLAN ,各系統(tǒng)、部門之間相互隔離。在辦公大樓互聯(lián)網(wǎng)入口部署防火墻,控制辦公網(wǎng)絡(luò)對(duì)互聯(lián)網(wǎng)的訪問,如圖1所示。全網(wǎng)采用網(wǎng)絡(luò)訪問控制技術(shù),能夠控制公司所有人員對(duì)互聯(lián)網(wǎng)和業(yè)務(wù)系統(tǒng)的訪問。
圖1 辦公大樓網(wǎng)絡(luò)結(jié)構(gòu)圖
但是,公司網(wǎng)絡(luò)在安全防護(hù)方面只是部署了防火墻,而防火墻只能對(duì)數(shù)據(jù)包第四層進(jìn)行檢查,無法在網(wǎng)絡(luò)應(yīng)用層面進(jìn)行管理,對(duì)網(wǎng)絡(luò)病毒防護(hù)、互聯(lián)網(wǎng)訪問內(nèi)容控制、用戶上網(wǎng)行為和PC機(jī)應(yīng)用程序安裝等風(fēng)險(xiǎn)度較高的行為缺乏必要的技術(shù)手段進(jìn)行管理和審計(jì)。對(duì)用戶桌面計(jì)算機(jī)沒有采取必要的控制和防護(hù)措施,防病毒軟件的防護(hù)效果參差不齊,且不能保證病毒庫的升級(jí)。另外,由于應(yīng)用管理不當(dāng)、使用人員水平參差不齊、隨意在PC機(jī)上安裝非法軟件以及系統(tǒng)不及時(shí)升級(jí)安全補(bǔ)丁程序,導(dǎo)致公司所有用戶PC機(jī)存在較大的風(fēng)險(xiǎn)漏洞,經(jīng)常受到網(wǎng)絡(luò)病毒、木馬等惡意攻擊。業(yè)務(wù)數(shù)據(jù)信息和個(gè)人信息都存在較大的風(fēng)險(xiǎn),并給全公司網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來了隱患。
多方面協(xié)同鞏固
內(nèi)網(wǎng)安全管理是一個(gè)綜合的系統(tǒng)問題,涉及網(wǎng)絡(luò)管理、計(jì)算機(jī)硬件、計(jì)算機(jī)應(yīng)用軟件、計(jì)算機(jī)操作者、計(jì)算機(jī)使用單位管理規(guī)范等諸多方面的因素,必須通過管理制度和技術(shù)手段等多管齊下,方能達(dá)到目的。為了達(dá)到此次網(wǎng)絡(luò)安全管理系統(tǒng)的建設(shè)目標(biāo),我們從互聯(lián)網(wǎng)接入改造、病毒防護(hù)、入侵防范、桌面管理等多個(gè)層面對(duì)網(wǎng)絡(luò)和桌面計(jì)算機(jī)部署安全設(shè)備和安全策略,進(jìn)行多角度、多層次的安全防范。
互聯(lián)網(wǎng)入口邊界加固
在目前的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上,調(diào)整公司互聯(lián)網(wǎng)訪問策略,在互聯(lián)網(wǎng)出口部署兩層異構(gòu)防火墻以及IPS入侵防護(hù)設(shè)備,如圖2所示。通過防火墻與IPS的功能互補(bǔ)與協(xié)同,有效防范黑客攻擊,阻斷蠕蟲、DOS/DDoS、木馬等網(wǎng)絡(luò)病毒,控制P2P、網(wǎng)絡(luò)視頻等應(yīng)用對(duì)網(wǎng)絡(luò)帶寬的侵占。
圖2 改造后的辦公大樓網(wǎng)絡(luò)結(jié)構(gòu)圖#p#
互聯(lián)網(wǎng)改造完成后,RG防火墻與Juniper防火墻組成背對(duì)背防火墻部署模式。RG防火墻部署為透明模式,允許內(nèi)網(wǎng)訪問穿透防火墻,拒絕一切來自外網(wǎng)的訪問,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。由于網(wǎng)絡(luò)內(nèi)部存著應(yīng)用服務(wù)器,在部署時(shí)我們針對(duì)源地址進(jìn)行過濾,允許DMZ(Demilitarized,隔離區(qū))ISA代理服務(wù)器訪問內(nèi)部應(yīng)用服務(wù)器。將地址分為ISA代理服務(wù)器地址、SER內(nèi)網(wǎng)地址組和桌面PC機(jī)USER組,具體地址分配見表1。
表1 各組對(duì)應(yīng)地址范圍
在安全策略上對(duì)ISA訪問內(nèi)部應(yīng)用服務(wù)器進(jìn)行訪問控制,分別定義了3條安全策略。
1.允許桌面USER(12.0.0.0/8)訪問ISA服務(wù)器,進(jìn)行DNS解析和代理上網(wǎng)。
2.允許ISA代理服務(wù)器訪問SER(11.0.0.251~11.0.0.253/24)。
3.拒絕外網(wǎng)對(duì)桌面USER(12.0.0.0/8)的訪問。
互聯(lián)網(wǎng)改造
將公司W(wǎng)eb、Mail、DNS服務(wù)器調(diào)整到DMZ區(qū),并部署代理緩存服務(wù)器和郵件安全網(wǎng)關(guān)設(shè)備。分區(qū)域、分用戶對(duì)上網(wǎng)行為和訪問內(nèi)容進(jìn)行控制管理,對(duì)訪問內(nèi)容和傳輸信息進(jìn)行審計(jì),對(duì)訪問流量進(jìn)行合理限制,從而建立一個(gè)安全、高效、統(tǒng)一的互聯(lián)網(wǎng)接入平臺(tái),為公司相關(guān)業(yè)務(wù)的開展和內(nèi)部員工日常辦公提供對(duì)外訪問互聯(lián)網(wǎng)的服務(wù)。
防病毒系統(tǒng)
在全公司部署統(tǒng)一的網(wǎng)絡(luò)防病毒軟件,與互聯(lián)網(wǎng)入口部署的IPS和郵件安全網(wǎng)關(guān)相互補(bǔ)充。通過桌面管理系統(tǒng)的強(qiáng)制遵從策略和升級(jí)策略,對(duì)用戶桌面計(jì)算機(jī)和Windows服務(wù)器實(shí)施客戶端防病毒軟件管理和統(tǒng)一的病毒庫升級(jí),建立全公司統(tǒng)一的防病毒系統(tǒng),防范內(nèi)網(wǎng)之間和外網(wǎng)對(duì)內(nèi)網(wǎng)的病毒傳播。
用戶桌面計(jì)算機(jī)管理系統(tǒng)
對(duì)公司所有用戶計(jì)算機(jī)部署桌面安全管理系統(tǒng),對(duì)桌面用戶強(qiáng)制執(zhí)行企業(yè)安全策略。通過對(duì)用戶計(jì)算機(jī)實(shí)施強(qiáng)制認(rèn)證、應(yīng)用軟件安裝控制、外接設(shè)備控制、非管理計(jì)算機(jī)接入控制和操作系統(tǒng)補(bǔ)丁升級(jí)管理等功能模塊和安全策略,加強(qiáng)對(duì)桌面電腦的軟件使用、安全策略的執(zhí)行、安全軟件的部署和系統(tǒng)漏洞的管理、監(jiān)控和審計(jì)。加強(qiáng)對(duì)移動(dòng)辦公和移動(dòng)存儲(chǔ)設(shè)備的安全管理,采用技術(shù)手段對(duì)違反安全策略的電腦拒絕網(wǎng)絡(luò)接入。及時(shí)分發(fā)操作系統(tǒng)補(bǔ)丁,提高Windows系統(tǒng)客戶端的病毒防范和防攻擊水平,提高對(duì)桌面計(jì)算機(jī)的安全管理能力,保證公司信息資產(chǎn)的安全和合理使用。
此次網(wǎng)絡(luò)安全管理系統(tǒng)的建設(shè),有針對(duì)性地對(duì)我公司目前網(wǎng)絡(luò)中存在的薄弱環(huán)節(jié)進(jìn)行了必要的安全加固。通過在互聯(lián)網(wǎng)接入邊界部署IPS、郵件安全網(wǎng)關(guān)和代理服務(wù)器等安全設(shè)備,在全網(wǎng)部署網(wǎng)絡(luò)防病毒軟件和用戶桌面管理軟件,實(shí)現(xiàn)了對(duì)全網(wǎng)計(jì)算機(jī)實(shí)施有效的病毒防護(hù)、應(yīng)用管理和互聯(lián)網(wǎng)訪問控制。
特別是通過強(qiáng)化對(duì)用戶上網(wǎng)行為和計(jì)算機(jī)使用行為的管理,以及安全設(shè)備的部署和安全管理工具的實(shí)施,我們建立起一個(gè)能夠?qū)?nèi)部用戶實(shí)施認(rèn)證管理、對(duì)外網(wǎng)入口實(shí)施有效控制、對(duì)病毒實(shí)施積極防范、對(duì)用戶使用的軟件和訪問外網(wǎng)進(jìn)行有效管理和審計(jì)的安全管理體系,有力地保障了公司信息資產(chǎn)的安全。
【編輯推薦】
