實例:加固內網薄弱環節 保障網絡通暢
我們公司信息系統是以數據大集中模式建立的,通過網上傳輸的信息和數據量都比較大。由于公司的財政預算以及領導的認識程度等問題,公司網絡安全漏洞存在已有一段時日了,卻一直沒有改善,信息數據安全時刻面臨著來自系統外部和內部威脅。
防護簡單 漏洞凸顯
我還清晰地記得年前那次“災難”:公司所有電腦都上不了網,重要辦公及公文審批都無法受理,財務報表系統無法統計處理,所有業務中斷達5小時左右,導致公司較大的物質以及信譽上的損失。
最終原因是我公司在互聯網出口只有簡單的一臺接入防火墻,公司網站和郵件服務器位于防火墻外部接口區域,用的都是公網IP地址。由于網站遭到攻擊被植入ARP欺騙木馬,從而導致所有辦公和業務PC網關被欺騙而指向網站服務器,而正確的網關應該是防火墻外網口地址,這造成所有客戶端不能訪問互聯網和業務服務器。在耗費大量時間確定故障后,拔掉網站服務器網線,聯系防火墻供應商更新版本并調整相關策略后才暫時使部分重要業務恢復。巨大的損失讓領導們深刻地認識到公司內網安全建設的重要性,并下決心對企業內網進行一次全面的加固以免類似事情再次發生。
我們公司辦公大樓根據業務和部門分類劃分了18個VLAN ,各系統、部門之間相互隔離。在辦公大樓互聯網入口部署防火墻,控制辦公網絡對互聯網的訪問,如圖1所示。全網采用網絡訪問控制技術,能夠控制公司所有人員對互聯網和業務系統的訪問。
圖1 辦公大樓網絡結構圖
但是,公司網絡在安全防護方面只是部署了防火墻,而防火墻只能對數據包第四層進行檢查,無法在網絡應用層面進行管理,對網絡病毒防護、互聯網訪問內容控制、用戶上網行為和PC機應用程序安裝等風險度較高的行為缺乏必要的技術手段進行管理和審計。對用戶桌面計算機沒有采取必要的控制和防護措施,防病毒軟件的防護效果參差不齊,且不能保證病毒庫的升級。另外,由于應用管理不當、使用人員水平參差不齊、隨意在PC機上安裝非法軟件以及系統不及時升級安全補丁程序,導致公司所有用戶PC機存在較大的風險漏洞,經常受到網絡病毒、木馬等惡意攻擊。業務數據信息和個人信息都存在較大的風險,并給全公司網絡的穩定運行帶來了隱患。
多方面協同鞏固
內網安全管理是一個綜合的系統問題,涉及網絡管理、計算機硬件、計算機應用軟件、計算機操作者、計算機使用單位管理規范等諸多方面的因素,必須通過管理制度和技術手段等多管齊下,方能達到目的。為了達到此次網絡安全管理系統的建設目標,我們從互聯網接入改造、病毒防護、入侵防范、桌面管理等多個層面對網絡和桌面計算機部署安全設備和安全策略,進行多角度、多層次的安全防范。
互聯網入口邊界加固
在目前的網絡架構基礎上,調整公司互聯網訪問策略,在互聯網出口部署兩層異構防火墻以及IPS入侵防護設備,如圖2所示。通過防火墻與IPS的功能互補與協同,有效防范黑客攻擊,阻斷蠕蟲、DOS/DDoS、木馬等網絡病毒,控制P2P、網絡視頻等應用對網絡帶寬的侵占。
圖2 改造后的辦公大樓網絡結構圖#p#
互聯網改造完成后,RG防火墻與Juniper防火墻組成背對背防火墻部署模式。RG防火墻部署為透明模式,允許內網訪問穿透防火墻,拒絕一切來自外網的訪問,保護內部網絡的安全。由于網絡內部存著應用服務器,在部署時我們針對源地址進行過濾,允許DMZ(Demilitarized,隔離區)ISA代理服務器訪問內部應用服務器。將地址分為ISA代理服務器地址、SER內網地址組和桌面PC機USER組,具體地址分配見表1。
表1 各組對應地址范圍
在安全策略上對ISA訪問內部應用服務器進行訪問控制,分別定義了3條安全策略。
1.允許桌面USER(12.0.0.0/8)訪問ISA服務器,進行DNS解析和代理上網。
2.允許ISA代理服務器訪問SER(11.0.0.251~11.0.0.253/24)。
3.拒絕外網對桌面USER(12.0.0.0/8)的訪問。
互聯網改造
將公司Web、Mail、DNS服務器調整到DMZ區,并部署代理緩存服務器和郵件安全網關設備。分區域、分用戶對上網行為和訪問內容進行控制管理,對訪問內容和傳輸信息進行審計,對訪問流量進行合理限制,從而建立一個安全、高效、統一的互聯網接入平臺,為公司相關業務的開展和內部員工日常辦公提供對外訪問互聯網的服務。
防病毒系統
在全公司部署統一的網絡防病毒軟件,與互聯網入口部署的IPS和郵件安全網關相互補充。通過桌面管理系統的強制遵從策略和升級策略,對用戶桌面計算機和Windows服務器實施客戶端防病毒軟件管理和統一的病毒庫升級,建立全公司統一的防病毒系統,防范內網之間和外網對內網的病毒傳播。
用戶桌面計算機管理系統
對公司所有用戶計算機部署桌面安全管理系統,對桌面用戶強制執行企業安全策略。通過對用戶計算機實施強制認證、應用軟件安裝控制、外接設備控制、非管理計算機接入控制和操作系統補丁升級管理等功能模塊和安全策略,加強對桌面電腦的軟件使用、安全策略的執行、安全軟件的部署和系統漏洞的管理、監控和審計。加強對移動辦公和移動存儲設備的安全管理,采用技術手段對違反安全策略的電腦拒絕網絡接入。及時分發操作系統補丁,提高Windows系統客戶端的病毒防范和防攻擊水平,提高對桌面計算機的安全管理能力,保證公司信息資產的安全和合理使用。
此次網絡安全管理系統的建設,有針對性地對我公司目前網絡中存在的薄弱環節進行了必要的安全加固。通過在互聯網接入邊界部署IPS、郵件安全網關和代理服務器等安全設備,在全網部署網絡防病毒軟件和用戶桌面管理軟件,實現了對全網計算機實施有效的病毒防護、應用管理和互聯網訪問控制。
特別是通過強化對用戶上網行為和計算機使用行為的管理,以及安全設備的部署和安全管理工具的實施,我們建立起一個能夠對內部用戶實施認證管理、對外網入口實施有效控制、對病毒實施積極防范、對用戶使用的軟件和訪問外網進行有效管理和審計的安全管理體系,有力地保障了公司信息資產的安全。
【編輯推薦】
