引言
随着信息技术的飞速发展和信息化建设的不断推进,网络在各行业部门中的应用日益普及。在为用户带来高效与便利的同时,网络的信息安全也面临着日益严重的威胁。特别是在政府、军队和金融等一些涉密部门的内部网络中,通常运行和存储着大量的涉密信息。如果安全防护措施不当,极易造成敏感信息的泄露,甚至发生严重的泄密事件,造成不可挽回的损失。为防止此类事件的发生,很多涉密内部网络通常与外网进行物理隔离,虽然此举能够最大限度地阻止来自于网络外部的直接攻击,但并不能有效解决信息泄露问题。因此,在涉密内网中确保网上信息资源的安全,防止网上泄密事件的发生,已成为一个非常重要的研究课题。
1 涉密内网中面临的主要威胁及原因
涉密内网在与外网进行物理隔离后,其威胁主要来自以下几个方面。
1.1违规接入
有些涉密内网对入网计算机未进行身份认证,继而无法进行用户身份合法性验证。计算机只要设置了正确的网络地址,在内网中任何一处网络接入点即可接入内网。另外,内网中的服务器如果对外提供拨号接入服务,也有可能被非法用户使用,使得外部计算机接入内部网络。这些外部计算机一旦非法接入内网,即可正常访问内网资源,对其中的涉密信息造成极大的威胁。
1.2非法外联
非法外联是指将涉密计算机非法接入外部网络。通常,涉密网络系统禁止与互联网连接,但是有些用户为图便利,在断开内网的情况下违规将涉密计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内网的物理隔离。另外,该条接入外网的链路通常防护能力较弱,容易被入侵并作为跳板,渗透到内部网络,给涉密网带来非常严重的危害和后果。
1.3网络病毒
计算机病毒有着巨大的破坏性,尤其是网络病毒,无论是在传播速度与破坏性,还是在传播范围等方面都远远超过了单机病毒。如当今流行的蠕虫病毒,往往通过电子邮件、网络共享或主动扫描等方式在网络中蔓延,而内部局域网的带宽较高,往往又给病毒的快速传播提供了有利条件。病毒的肆虐往往造成网络拥塞、主机效率低下,甚至造成服务器或整个网络的瘫痪,严重影响了网络运行的稳定性和可靠性。
1.4系统漏洞
计算机操作系统是一个复杂而庞大的软件,有时因为程序开发人员的疏忽或设计失误,可能会留下一些漏洞,从而成为入侵者进入主机或网络的一个“后门”。而内网用户的计算机应用水平和安全防范意识参差不齐,有些用户不知道如何对这些漏洞进行修补。另外,由于与互联网物理隔离,内网用户不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客或网络病毒所利用。
1.5黑客攻击
在一些部门的内部网络中(如院校),用户数量多、类型复杂。由于某些用户(如学生)的求知欲望和好奇心较强,善于学习计算机的新技术、新知识,个别用户为了学习和实践网络安全技术,将内部网络作为学习和实验的基地,而内部网通常较广域网带宽大,网速高,更利于黑客实现攻击和入侵行为,对网络的安全性和稳定性构成威胁。
1.6涉密载体交叉混用
如果内网没有对入网计算机的外部接口进行有效管控,也容易造成失泄密事故。有些用户为了使用方便,将入网计算机与其他外网计算机的外部设备(如打印机等)和移动存储设备(如优盘、移动硬盘、软盘与刻录机等)交叉混用,导致内网计算机或移动存储设备中被植入木马和病毒,从而发生“摆渡”泄密现象。
1.7管理漏洞
管理机构的不健全、管理制度的不完善、管理人员素质不高和管理技术的落后等管理因素也是产生内网安全隐患的重要原因之一。例如有些网络管理员责任心不强,安全意识淡薄,疏于对服务器或其他网络设备的安全管理,如服务器操作系统的账号和密码设置过于简单、系统补丁更新不及时、某些应用系统使用默认密码,以及文件或目录权限设置不当等,使得网络服务器容易被黑客入侵。
2 内网信息安全防护建设实践
基于上述分析,按照有关规定和要求,并结合实际应用需求,近期对某单位的内部网络进行了升级改造,有针对性地在网络信息安全防护方面进行了重点整治。
2.1入网身份认证系统
该单位内部网络改造前虽然用户在申请接入内网时需经过注册审批,但由于缺乏相关设备,未进行IP地址与MAC地址的绑定,只能通过划分vLAN的方式将用户的IP地址限制在较小范围内,由此带来两方面的问题:一是同一个VLAN内无法杜绝IP地址盗用和IP地址冲突的现象;二是无法防止非法接入内网,任意一台计算机足耍设置了此vLAN内的IP地址,即可接入到内网,使网上信息资源受到严重威胁。另外,没有对入网用户进行身份认证,无法实现实名上网。为彻底解决这一问题,此次升级改造时,在内网部署了一套安全网络管理平台,在该平台的管控下,入网用户必须实名、实地址上网,且对用户名、密码、IP地址、MAC地址及交换机端口等多个元素进行了绑定。用户在接入网络时,首先需要运行入网认证客户端程序,使用IEEE802.1x协议进行合法性认证。只要上述元素中的任何一个发生变化,均会导致认证失败,从而被拒绝接入网络,彻底杜绝了IP地址盗用和非法接入的现象,大大提高了入网的规范性和安全性。
2.2网络版病毒防火墙
计算机病毒一直是威胁内网稳定可靠运行的重要原因。改造前由于网络内未能统一部署网络版病毒防杀系统,所以无法对内网的病毒防范工作进行统一部署,入网用户只能各自为战,根据自己的使用习惯安装各种不同的病毒防杀产品。由于内部网络与互联网物理隔离,多数用户都存在病毒库更新不及时的现象,使得病毒防杀效果大打折扣,导致内网中时常会发生病毒肆虐的现象,严重影响内网的稳定性。为解决这一问题,此次升级改造在该网络内部署了一套网络版杀毒软件,入网计算机必须安装该软件,并自动静默升级病毒库。用户运行入网认证客户端进行认证时,会对用户计算机的端点防护状态进行检测,如发现未安装指定版本的防火墙或者病毒库未升级,将拒绝该计算机接入网络,实现了杀毒软件与入网认证的联动,有效地解决了病毒防范问题,网络的稳定性得到了极大提高。
2.3软件补丁升级服务
为了解决内网计算机的操作系统等软件不便于进行在线补丁升级的问题,在内网中部署了一套软件补丁升级系统,由网络管理员定期从互联网上下载相关补丁,并迁移至内网服务器。在进行入网认证时,通过端点防护检测,自动对入网计算机系统进行补丁升级,无需用户进行任何操作,确保所有接入内网的计算机的系统漏洞能够及时得到修补,降低了主机被入侵或被病毒感染的概率。
2.4入侵检测和行为审计系统
针对在内网中时有发生的网络攻击行为,部署了一套入侵检测系统,能够实时分析内网中数据通信情况,分辨入侵企图。并与安全网络管理平台进行联动。当入侵检测系统检测到某台入网计算机对其所监控的内网服务器有攻击行为或企图时,自动阻断该计算机的网络连接,并以多种方式发出报警信息提示管理人员。能够有效避免攻击行为的持续进行,最大限度地保护网络的安全。另外,为了能够对内网的非法入侵、传播不当言论及敏感信息资源失控等事件进行追查与取证,以规范用户的上网行为,还部署了网络行为审计系统,可对用户的上网行为进行记录和审计,一旦出现某些违规行为(如网络攻击和论坛不当言论等),可根据该系统追查违规行为责任人,从而对网络安全与用户的非法行为进行有效的监控和震慑。
2.5计算机信息安全管理系统
为了能够对入网计算机的外部接口进行有效管理,防止移动载体的交叉混用,所有的入网计算机均要求安装计算机信息安全管理系统。该系统能够按照入网计算机不同的涉密级别,对其外部接口、外部设备等进行不同程度的管控。另外,对涉密移动载体进行了加密处理,经过加密的移动设备无法在未安装该系统的计算机七使用。经过这样的部署,可以有效防止这些设备的交叉混用,杜绝了通过移动载体泄密的安全隐患。
2.6漏洞扫描系统
在升级改造过程中,网络内不仅安装了防火墙和入侵检侧系统等被动性防御设备,还部署了漏洞扫描系统来主动探测网络中的薄弱环节。通过网络安全性扫描,系统管理员能够及时发现网络内主机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。管理人员可根据扫描结果对这些漏洞和隐患进行及时修补。
2.7对原有设施进行重新规划部署
除上述新增加的网络安全设备外,对原有的防火墙、路由器等相关设备。进行了重新调整和配置,使之与新增设备之间实现功能互补和联动,从而进一步增强了网络的安全性。升级改造完成后。该单位的内网系统在入网用户资格审查登记的前提下,实现了入网身份认证和终端安全防护检查等安全措施,认证客户端、安全策略服务器、网络硬件交换设备以及安全管理理平台之间互相联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络行为,从而可以确保终端安全接入,实现了典有全局、立体、韧能和联动特点的整体安全防护体系,如图1所示,极大地提离了内网的安全防护能力。
图1 升级宪成后的整体安全防护体系
3 结语
网络安全防护的建设不是各种安全产品的简单叠加,需要结合实际应用和不同网络的自身特点,对各种安全设备的功能进行有机融合,形成一套经济、有效、全面的整体防御体系。而且网络安全防护建设是一个长期、循序渐进的过程,随着网络技术的不断发展,必然会出现各种新的威胁。因此,涉密内网的信息安全防护建设也应随之不断完善和调整,才能构建一道保护网上信息安全的铜墙铁壁。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:涉密内网安全防护体系的研究与实践