?

大數(shù)據(jù)運(yùn)營(yíng)公司??李向廷

?

摘 ?要 ?通過(guò)對(duì)鐵法能源公司網(wǎng)絡(luò)現(xiàn)狀及需求進(jìn)行了簡(jiǎn)單分析，針對(duì)鐵法能源公司網(wǎng)絡(luò)存在的各種安全風(fēng)險(xiǎn)提出了完整的解決方案。

關(guān)鍵詞?網(wǎng)絡(luò) ?安全防護(hù) ?解決方案

?????????????????????????

1?時(shí)代背景

?

隨著信息應(yīng)用的發(fā)展、網(wǎng)絡(luò)犯罪的增多、黑客的肆虐、色情信息的泛濫、信息間諜的滲透等問(wèn)題越來(lái)越不可避免。為了加強(qiáng)對(duì)互聯(lián)網(wǎng)的控制和管理及企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全管理法》及《網(wǎng)絡(luò)信息安全等級(jí)保護(hù)制度2.0》的要求，國(guó)家政府機(jī)關(guān)及國(guó)有重型企業(yè)必須安裝網(wǎng)絡(luò)安全防護(hù)設(shè)備，以保證網(wǎng)絡(luò)安全。

?

2 網(wǎng)絡(luò)現(xiàn)狀及需求分析

?

鐵法能源公司網(wǎng)絡(luò)雖已建設(shè)完成，但并沒(méi)有其他有效的網(wǎng)絡(luò)安全防護(hù)手段，整個(gè)網(wǎng)絡(luò)在安全防護(hù)上幾乎是裸奔。面對(duì)不斷進(jìn)化的病毒，以及多元化的攻擊手段等，想保證鐵法能源公司網(wǎng)絡(luò)安全幾乎是不可能的。

當(dāng)前網(wǎng)絡(luò)中充斥大量的P2P，占用本就不富裕的公網(wǎng)帶寬，使得如視頻會(huì)議、收發(fā)工作郵件、OA系統(tǒng)等業(yè)務(wù)需求無(wú)法滿足，造成業(yè)務(wù)效率低下。

網(wǎng)絡(luò)中也可能會(huì)出現(xiàn)：非法的終端接入、上網(wǎng)行為不規(guī)范、發(fā)布違法言論的帖子等違法行為，且無(wú)法定位涉事人員。

對(duì)于進(jìn)入公司網(wǎng)絡(luò)攻擊業(yè)務(wù)區(qū)服務(wù)器（數(shù)據(jù)庫(kù)、Web）等，更是沒(méi)有有效的防御手段。

無(wú)法實(shí)時(shí)監(jiān)測(cè)設(shè)備的運(yùn)行狀態(tài)，以及無(wú)法及時(shí)有效的發(fā)現(xiàn)發(fā)生在各個(gè)設(shè)備所產(chǎn)生的安全事件。

根據(jù)上面的分析，鐵法能源公司網(wǎng)絡(luò)存在的主要安全風(fēng)險(xiǎn)問(wèn)題如下：

一是無(wú)法保障業(yè)務(wù)需求帶寬，導(dǎo)致業(yè)務(wù)效率低效。

二是無(wú)法保障公司信息安全，導(dǎo)致機(jī)密信息、文件泄露。

三是無(wú)法避免網(wǎng)絡(luò)違法、不健康行為，導(dǎo)致公司面臨風(fēng)險(xiǎn)。

四是無(wú)法追溯定位違法、泄密的涉事人員。

五是無(wú)法規(guī)避PC、手機(jī)等終端帶來(lái)的木馬、病毒程序?qū)钟蚓W(wǎng)的侵害，導(dǎo)致業(yè)務(wù)中斷等問(wèn)題。

六是對(duì)突破防火墻的攻擊沒(méi)有防御手段。

七是重要的業(yè)務(wù)區(qū)域沒(méi)有安全防御手段。

八是無(wú)法及時(shí)的監(jiān)測(cè)設(shè)備狀態(tài)，產(chǎn)生的安全事件無(wú)法集中審計(jì)處理。

?

3 解決方案

?

鐵法能源公司網(wǎng)絡(luò)龐大且復(fù)雜，擁有上萬(wàn)用戶。面對(duì)如此復(fù)雜的網(wǎng)絡(luò)環(huán)境所引發(fā)的問(wèn)題都無(wú)法通過(guò)傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段實(shí)現(xiàn)，必須通過(guò)云安全服務(wù)、防火墻、入侵防御系統(tǒng)、Web應(yīng)用防火墻、上網(wǎng)行為管理系統(tǒng)、日志審計(jì)系統(tǒng)等安全防護(hù)產(chǎn)品來(lái)解決。簡(jiǎn)而言之，就是通過(guò)這些網(wǎng)絡(luò)安全防護(hù)產(chǎn)品的組合應(yīng)用對(duì)鐵法能源公司網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

????為保證鐵法能源公司網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，規(guī)范員工上網(wǎng)行為，打擊網(wǎng)絡(luò)非法犯罪，根據(jù)鐵法能源公司網(wǎng)絡(luò)實(shí)際情況，特設(shè)計(jì)解決方案對(duì)鐵法能源公司網(wǎng)絡(luò)進(jìn)行安全防護(hù)（附圖）。

附圖 ?鐵法能源公司網(wǎng)絡(luò)安全防護(hù)方案

?

在互聯(lián)網(wǎng)訪問(wèn)出口部署一臺(tái)防火墻，做為保證鐵法能源公司網(wǎng)絡(luò)安全的第一道屏障。在防火墻下聯(lián)部署IPS入侵防御系統(tǒng)，強(qiáng)有效的防御突破防火墻的安全威脅。針對(duì)公司的重要業(yè)務(wù)區(qū)（服務(wù)器區(qū)）在IPS入侵防御系統(tǒng)下聯(lián)部署Web應(yīng)用防火墻（WAF），對(duì)重要的業(yè)務(wù)區(qū)進(jìn)行強(qiáng)有效的安全保障。針對(duì)企業(yè)內(nèi)部產(chǎn)生的上網(wǎng)行為不規(guī)范的問(wèn)題，我們部署上網(wǎng)行為管理設(shè)備，通過(guò)串聯(lián)在核心交換機(jī)與Web應(yīng)用防火墻（WAF）之間，使全網(wǎng)流量路過(guò)上網(wǎng)行為管理設(shè)備，對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管控，列如：使其不可通過(guò)百度貼吧發(fā)布非法言論，或泄露公司機(jī)密，針對(duì)企業(yè)內(nèi)部的P2P協(xié)議族，占用大量公網(wǎng)帶寬的問(wèn)題，通過(guò)上網(wǎng)行為的流量管控加以限制。對(duì)于公網(wǎng)側(cè)訪問(wèn)內(nèi)網(wǎng)服務(wù)的流量，通過(guò)云安全服務(wù)來(lái)分析流量的安全性，通過(guò)云端廣闊的病毒庫(kù)、代碼特征庫(kù)等，來(lái)保障外網(wǎng)訪問(wèn)內(nèi)網(wǎng)服務(wù)的流量是安全的。對(duì)于內(nèi)網(wǎng)服務(wù)器所產(chǎn)生的安全事件，通過(guò)日志審計(jì)設(shè)備集中管理并且審計(jì)，及時(shí)的監(jiān)測(cè)業(yè)務(wù)的運(yùn)行情況，并對(duì)安全事件加以處理。通過(guò)這樣的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品組合，攻擊者無(wú)論從哪個(gè)方向訪問(wèn)鐵法能源公司網(wǎng)絡(luò)資源都能做到有跡可察，使其行為暴露無(wú)遺，為事后取證提供可靠依據(jù)，對(duì)網(wǎng)絡(luò)潛在威脅者予以威懾，有效保證鐵法能源公司網(wǎng)絡(luò)安全。

?

4 網(wǎng)絡(luò)安全防護(hù)產(chǎn)品功能簡(jiǎn)介????

?

4.1防火墻

4.1.1 防火墻的名詞解釋

????防火墻是指在不同的網(wǎng)絡(luò)（如可信的內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間設(shè)置的一組組件，其目的是保證“可信”網(wǎng)絡(luò)的安全，維護(hù)“可信”網(wǎng)絡(luò)與“不可信”網(wǎng)絡(luò)之間通信的便利性。防火墻是受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的屏障，用于防止不可預(yù)測(cè)和潛在破壞性的入侵。可以通過(guò)監(jiān)控來(lái)實(shí)現(xiàn)。為了實(shí)現(xiàn)網(wǎng)絡(luò)的安全，必須限制和改變穿越防火墻的數(shù)據(jù)流，并盡可能屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行保護(hù)。從邏輯上講，防火墻是一個(gè)分析器、分隔器，也是限制器，它有效地監(jiān)控Intranet和Internet之間的通信，保證內(nèi)部網(wǎng)絡(luò)安全。

4.1.2 防火墻的功能

防火墻通過(guò)過(guò)濾不安全服務(wù)，可以大大提高網(wǎng)絡(luò)安全性，降低子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，可以禁用防火墻NIS和NFS服務(wù)通過(guò)，防火墻可以拒絕源路由和ICMP重定向數(shù)據(jù)包。

防火墻具備對(duì)內(nèi)部系統(tǒng)的訪問(wèn)控制功能。可允許通過(guò)訪問(wèn)控制策略從外部網(wǎng)絡(luò)訪問(wèn)系統(tǒng)內(nèi)部主機(jī)，也可以通過(guò)訪問(wèn)控制策略禁止訪問(wèn)外部網(wǎng)絡(luò)。

防火墻實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的集中安全管理。防火墻中定義的安全規(guī)則可以在整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中運(yùn)行，而不必一一對(duì)每臺(tái)機(jī)器配置相同規(guī)則策略。

4.1.3 防火墻的配置策略

鐵法能源公司防火墻部署在互聯(lián)網(wǎng)總出口，采取的策略是：互聯(lián)網(wǎng)訪問(wèn)鐵法能源公司內(nèi)部網(wǎng)絡(luò)的端口全部封閉，只放開(kāi)需要對(duì)外發(fā)布的服務(wù)端口，并對(duì)互聯(lián)網(wǎng)上的一些危險(xiǎn)網(wǎng)站IP實(shí)施阻斷策略； 對(duì)于內(nèi)部網(wǎng)絡(luò)需要訪問(wèn)互聯(lián)網(wǎng)的用戶只開(kāi)放已知的需要使用的端口，未知端口全部封閉，這樣極大地保證鐵法能源公司內(nèi)部網(wǎng)絡(luò)安全。因?yàn)榛ヂ?lián)網(wǎng)上的攻擊都是通過(guò)放開(kāi)的端口進(jìn)入進(jìn)行攻擊的。

4.2 IPS入侵防御系統(tǒng)

IPS入侵防御系統(tǒng)是一種網(wǎng)絡(luò)安全設(shè)備，是對(duì)防毒軟件和防火墻的補(bǔ)充。網(wǎng)絡(luò)攻擊突破防火墻后，面對(duì)的就是IPS入侵防御系統(tǒng)。IPS入侵防御系統(tǒng)是一種能夠監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備。它可以立即中斷、調(diào)整或隔離一些異?；蛴泻Φ木W(wǎng)絡(luò)數(shù)據(jù)入侵行為。在網(wǎng)絡(luò)區(qū)域邊界，通過(guò)部署IPS入侵防御系統(tǒng)來(lái)監(jiān)控或阻斷網(wǎng)絡(luò)攻擊，并及時(shí)生成報(bào)警和詳細(xì)報(bào)告。?

在鐵法能源公司網(wǎng)絡(luò)部署IPS入侵防御系統(tǒng)，主要解決突破防火墻后的安全威脅。對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)全局的安全性進(jìn)行強(qiáng)有效的加強(qiáng)。

IPS入侵防御系統(tǒng)可以針對(duì)網(wǎng)絡(luò)安全提供多方位的防護(hù)措施，如訪問(wèn)控制可以在用戶管理中進(jìn)行配置，信息監(jiān)控和過(guò)濾可以在上網(wǎng)管理中配置。安全防護(hù)則提供了DDoS防護(hù)、ARP防護(hù)、防火墻策略、病毒查殺、惡意URL檢測(cè)、失陷主機(jī)檢測(cè)等功能，為網(wǎng)絡(luò)安全再添保障。 當(dāng)網(wǎng)絡(luò)中有異常流量產(chǎn)生時(shí)，如上傳包速率很高、遇到DDoS攻擊或者病毒帶來(lái)的ARP攻擊，系統(tǒng)會(huì)自動(dòng)偵測(cè)異常，發(fā)出告警并采取相應(yīng)控制措施，幫助管理員排除故障，保護(hù)網(wǎng)絡(luò)正常使用。

IPS入侵防御系統(tǒng)滿足對(duì)重要網(wǎng)絡(luò)邊界攻擊行為的監(jiān)控要求，滿足分級(jí)保護(hù)中對(duì)端口掃描、暴力破解和木馬攻擊的防護(hù)要求，滿足了對(duì)網(wǎng)關(guān)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊的監(jiān)控要求。

IPS入侵防御系統(tǒng)能夠有效地記錄攻擊行為：當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊類型、攻擊源IP和攻擊目標(biāo)，此外，它還可以在嚴(yán)重入侵時(shí)提供報(bào)警。

IPS入侵防御系統(tǒng)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中重要信息的保護(hù)功能，能夠按照分級(jí)保護(hù)的要求，記錄對(duì)重要業(yè)務(wù)服務(wù)的入侵行為、入侵源IP、攻擊目的、攻擊類型、攻擊時(shí)間。

4.3 Web應(yīng)用防火墻（WAF）與云安全服務(wù)

主要保障鐵法能源公司的各種業(yè)務(wù)服務(wù)器，并有效抵御各種應(yīng)用層的攻擊。

Web應(yīng)用防火墻（WAF）是一種通過(guò)實(shí)現(xiàn)一系列針對(duì)http/HTTPS的安全策略來(lái)為Web應(yīng)用程序提供特殊保護(hù)的產(chǎn)品。主要用于防御網(wǎng)絡(luò)應(yīng)用層攻擊，如跨站點(diǎn)腳本攻擊、SQL注入、參數(shù)修改、拒絕服務(wù)攻擊、應(yīng)用系統(tǒng)漏洞攻擊等。

Web應(yīng)用防火墻（WAF）可以智能地識(shí)別Web系統(tǒng)的服務(wù)狀態(tài)，在線優(yōu)化防御策略規(guī)則庫(kù)，分發(fā)虛擬補(bǔ)丁，提供技術(shù)支持。

Web應(yīng)用防火墻（WAF）可實(shí)時(shí)有效防御各種網(wǎng)絡(luò)蠕蟲(chóng)攻擊、DDoS攻擊、CC攻擊。即使在極端情況下，Web系統(tǒng)被入侵，甚至被完全破壞，Web應(yīng)用防火墻（WAF）也可以重構(gòu)安全內(nèi)容，保證系統(tǒng)的正常運(yùn)行。

云安全服務(wù)能夠保證通過(guò)互聯(lián)網(wǎng)訪問(wèn)鐵法能源公司內(nèi)網(wǎng)的信息是安全的。外部用戶訪問(wèn)鐵法能源公司網(wǎng)絡(luò)的所有信息必須經(jīng)過(guò)云安全服務(wù)來(lái)檢測(cè)，通過(guò)云端廣闊的病毒庫(kù)、代碼特征庫(kù)等清洗過(guò)濾掉有害信息，以保障鐵法能源公司網(wǎng)絡(luò)安全。

4.4?上網(wǎng)行為管理系統(tǒng) ??

上網(wǎng)行為管理系統(tǒng)規(guī)范內(nèi)部網(wǎng)絡(luò)用戶的上網(wǎng)行為，限制迅雷下載等P2P的帶寬占用問(wèn)題導(dǎo)致的業(yè)務(wù)的帶寬需求無(wú)法滿足，以及貼吧發(fā)帖泄密問(wèn)題，終端非法接入內(nèi)部網(wǎng)絡(luò)的安全性問(wèn)題，涉事人員追蹤定位問(wèn)題等等。

???上網(wǎng)行為管理系統(tǒng)部署在協(xié)同辦公平臺(tái)、郵件等服務(wù)器前端，審計(jì)鐵法能源公司網(wǎng)絡(luò)內(nèi)部用戶IP、MAC地址等信息。

???上網(wǎng)行為管理系統(tǒng)對(duì)鐵法能源公司網(wǎng)絡(luò)內(nèi)部用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控、對(duì)在互聯(lián)網(wǎng)傳輸?shù)膬?nèi)容進(jìn)行審計(jì)?(如用戶是否在工作時(shí)間內(nèi)上網(wǎng)聊天、玩游戲，是否訪問(wèn)非法網(wǎng)站，是否通過(guò)互聯(lián)網(wǎng)泄漏了企業(yè)的機(jī)密信息，是否通過(guò)互聯(lián)網(wǎng)發(fā)布傳播反動(dòng)言語(yǔ)等等)。上網(wǎng)行為管理系統(tǒng)可通過(guò)對(duì)用戶訪問(wèn)互聯(lián)網(wǎng)的行為進(jìn)行后期取證，以達(dá)到對(duì)互聯(lián)網(wǎng)潛在威脅者予以震懾。

????上網(wǎng)行為管理系統(tǒng)不僅可以對(duì)POP3、IMAP和SMTP協(xié)議的內(nèi)容進(jìn)行審計(jì)，還可以對(duì)通過(guò)web發(fā)送的郵件的內(nèi)容進(jìn)行審計(jì)，實(shí)現(xiàn)了對(duì)用戶電子郵件內(nèi)容的全面審計(jì)。同時(shí)，上網(wǎng)行為管理系統(tǒng)可以根據(jù)郵件的特點(diǎn)對(duì)郵件的傳出內(nèi)容進(jìn)行審計(jì)過(guò)濾，并可以匹配郵件的標(biāo)題、關(guān)鍵字、內(nèi)容等特點(diǎn)進(jìn)行郵件報(bào)警，從而從根本上杜絕含有敏感信息的電子郵件的傳出行為，以保證鐵法能源公司內(nèi)部網(wǎng)絡(luò)的信息安全。

4.5 日志審計(jì)系統(tǒng)

日志是 IT 系統(tǒng)產(chǎn)生的數(shù)據(jù)，它記錄著設(shè)備、操作系統(tǒng)和應(yīng)用軟件的運(yùn)行狀態(tài)，是 IT 運(yùn) 維管理人員和安全管理人員日常運(yùn)維排查故障的重要依據(jù)。

l日志審計(jì)系統(tǒng)由管理中心、日志采集器和分布式計(jì)算存儲(chǔ)節(jié)點(diǎn)三部分組成。管理中心是日志收集與分析系統(tǒng)主程序，承擔(dān)日志收集與分析系統(tǒng)的核心功能。日志采集器用于實(shí)現(xiàn)日志采集，并把事件轉(zhuǎn)發(fā)給管理中心或分布式計(jì)算存儲(chǔ)節(jié)點(diǎn)。收集方法包括主動(dòng)收集文件日志、數(shù)據(jù)庫(kù)日志、主機(jī)日志等，被動(dòng)接收SNMP trap、syslog等協(xié)議包。分布式計(jì)算存儲(chǔ)節(jié)點(diǎn)作用是，當(dāng)日志數(shù)據(jù)量非常龐大，單機(jī)日志收集與分析系統(tǒng)無(wú)法處理海量日志的情況下，分布式計(jì)算存儲(chǔ)節(jié)點(diǎn)可以實(shí)現(xiàn)日志分布式計(jì)算、存儲(chǔ)、查詢等功能，系統(tǒng)支持水平彈性擴(kuò)展。

日志審計(jì)系統(tǒng)滿足了用戶針對(duì)日志的集中收集、存儲(chǔ)、分析、審計(jì)、展示的需求，能夠?qū)崟r(shí)不間斷地將互聯(lián)網(wǎng)中來(lái)自不同廠商的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)管理中心，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)綜合日志進(jìn)行審計(jì)。

日志審計(jì)系統(tǒng)可以對(duì)收集到的各類日志信息進(jìn)行實(shí)時(shí)的規(guī)范化和分析，幫助網(wǎng)絡(luò)安全管理人員快速、準(zhǔn)確地從海量日志中識(shí)別出安全事件，大大降低了安全管理人員對(duì)日志分析和管理的技術(shù)能力要求，極大的提高了工作效率。

日志審計(jì)系統(tǒng)幫助網(wǎng)絡(luò)安全管理人員滿足安全審計(jì)的合規(guī)要求，可幫助網(wǎng)絡(luò)安全管理人員快速出具滿足國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)的多種合規(guī)報(bào)表和報(bào)告。

?

5?結(jié) ?語(yǔ)

?

綜上所述，網(wǎng)絡(luò)安全防護(hù)產(chǎn)品的組合是基于用戶IP資源、帶寬、應(yīng)用、時(shí)間等要素對(duì)鐵法能源公司網(wǎng)絡(luò)進(jìn)行全面靈活的策略配置，從而將鐵法能源公司內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)管理從“被動(dòng)響應(yīng)管理”轉(zhuǎn)變?yōu)椤爸鲃?dòng)預(yù)警管理”，從“預(yù)防管理”到“控制管理”，把鐵法能源公司內(nèi)部網(wǎng)絡(luò)的“通信安全”提升為“應(yīng)用安全”，從而強(qiáng)有力地保障鐵法能源公司網(wǎng)絡(luò)安全。

?

作者簡(jiǎn)介：李向廷（1968—），男，高級(jí)工程師。1991年畢業(yè)于阜新礦業(yè)學(xué)院管理信息系統(tǒng)專業(yè)，現(xiàn)任大數(shù)據(jù)運(yùn)營(yíng)公司副科長(zhǎng)。聯(lián)系電話：15241005665。

?

?

?

?