如何提升網絡信息安全保障能力

健全的網絡與信息安全保障措施隨著企業網絡的普及和網絡開放性，***享性，互連程度的擴大，網絡的信息安全問題也越來越引起人們的重視。壹個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網絡不僅要保護計算機網絡設備安全和計算機網絡系統安全，還要保護數據安全。網絡安全風險分析計算機系統本身的脆弱性和通信設施的脆弱性***同構成了計算機網絡的潛在威脅。信息網絡化使信息公開化、信息利用自由化，其結果是信息資源的***享和互動，任何人都可以在網上發布信息和獲取信息。這樣，網絡信息安全問題就成為危害網絡發展的核心問題，與外界的因特網連接使信息受侵害的問題尤其嚴重。目前企業網絡信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。計算機病毒是壹種危害計算機系統和網絡安全的破壞性程序。它可以直接破壞計算機數據信息，也可以大量占用磁盤空間、搶占系統資源從而幹擾了系統的正常運行。隨著Internet技術的發展、企業網絡環境的日趨成熟和企業網絡應用的增多，病毒的感染、傳播的能力和途徑也由原來的單壹、簡單變得復雜、隱蔽，尤其是Internet環境和企業網絡環境為病毒傳播、生存提供了環境。黑客攻擊已經成為近年來經常發生的事情，網絡中服務器被攻擊的事件層出不窮。黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷，采用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統，進行信息破壞或占用系統資源，使得用戶無法使用自己的機器。壹般大型企業的網絡都擁有Internet連接，同時對外提供的WWW和EMAIL等服務。因此企業內部網絡通過Internet連接外部進行大量的信息交換，而其中大約80%信息是電子郵件，郵件中又有壹半以上的郵件是垃圾郵件，這壹比例還在逐年上升。企業局域網內部的信息安全更是不容忽視的。網絡內部各節點之間通過網絡***享網絡資源，就可能因無意中把重要的涉密信息或個人隱私信息存放在***享目錄下，因此造成信息泄漏；甚至存在內部人員編寫程序通過網絡進行傳播，或者利用黑客程序入侵他人主機的現象。因此，網絡安全不僅要防範外部網，同時更防範內部網。網絡安全措施由此可見，有眾多的網絡安全風險需要考慮，因此，企業必須采取統壹的安全策略來保證網絡的安全性。壹個完整的安全技術和產品包括：身份認證、訪問控制、流量監測、網絡加密技術、防火墻、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網絡加密(Ipsec) IP層是TCP/IP網絡中最關鍵的壹層，IP作為網絡層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網絡安全的核心。IPSec是目前唯壹壹種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全，所以能實現非常細致的安全控制。對於用戶來說，便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網絡數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務，使得數據在通過公***網絡傳輸時，不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密算法、驗證算法、封裝協議和壹些特殊的安全保護機制來實現這些目的，而這些算法及其參數是保存在進行IPSec通信兩端的SA(Security Association，安全聯盟)，當兩端的SA中的設置匹配時，兩端就可以進行IPSec通信了。在虛擬專用網(VPN)中主要采用了IPSec技術。 (2)防火墻防火墻是壹種網絡安全保障手段，是網絡通信時執行的壹種訪問控制尺度，其主要目標就是通過控制進、出壹個網絡的權限，在內部和外部兩個網絡之間建立壹個安全控制點，對進、出內部網絡的服務和訪問進行控制和審計，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問、幹擾和破壞內部網絡資源。在邏輯上，防火墻是壹個分離器，壹個限制器，也是壹個分析器，有效地監視了內部網絡和Internet之間的任何活動，保證了內部網絡的安全。防火墻有軟、硬件之分，實現防火墻功能的軟件，稱為軟件防火墻。軟件防火墻運行於特定的計算機上，它需要計算機操作系統的支持。基於專用的硬件平臺的防火墻系統，稱為硬件防火墻。它們也是基於PC架構，運行壹些經過裁剪和簡化的操作系統，承載防火墻軟件。 (3)入侵檢測部署入侵檢測產品，並與防火墻聯動，以監視局域網外部繞過或透過防火墻的攻擊，並及時觸發聯動的防火墻及時關閉該連接；同時監視主服務器網段的異常行為，以防止來自局域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證網絡安全身份認證是指登錄計算機網絡時系統對用戶身份的確認技術。是網絡安全的第壹道防線，也是最重要的壹道防線。用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然後訪問監控器根據用戶的身份和授權數據庫決定用戶是否能夠訪問某個資源。授權數據庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為，同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴於它。壹旦身份認證系統被攻破，那麽系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統，因此身份認證實在是網絡安全的關鍵。 (2)訪問控制訪問控制決定了用戶可以訪問的網絡範圍、使用的協議、端口；能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表，它是應用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、端口號、協議等特定指示條件來決定。建立訪問控制列表後，可以限制網絡流量，提高網絡性能，對通信流量起到控制的手段，這也是對網絡訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加，所以可以把ACL當作壹種網絡控制的有力工具，用來過濾流入和?鞽雎酚善鶻湧詰氖?蒞?在應用系統中，訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據，根據授予的權限限制其對資源的利用範圍和程度。 (3)流量監測目前有很多因素造成網絡的流量異常，如拒絕服務攻擊(DoS)、網絡蠕蟲病毒的傳播、壹些網絡掃描工具產生的大量TCP連接請求等，很容易使網絡設備癱瘓。這些網絡攻擊，都是利用系統服務的漏洞或利用網絡資源的有限性，在短時間內發動大規模網絡攻擊，消耗特定資源，造成網絡或計算機系統癱瘓。因此監控網絡的異常流量非常重要。流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息采集，是通過提取網絡設備Agent提供的MIB(管理對象信息庫)中收集壹些具體設備及流量信息有關的變量。基於SNMP收集的網絡流量信息包括：輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息采集是基於網絡設備提供的Netflow機制實現的網絡流量信息采集，在此基礎上實現的流量信息采集效率和效果均能夠滿足網絡流量異常監測的需求。基於以上的流量檢測技術，目前有很多流量監控管理軟件，此類軟件是判斷異常流量流向的有效工具，通過流量大小變化的監控，可以幫助網管人員發現異常流量，特別是大流量異常流量的流向，從而進壹步查找異常流量的源、目的地址。處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接，也可以采用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描對壹個網絡系統而言，存在不安全隱患，將是黑客攻擊得手的關鍵因素。就目前的網絡系統來說，在硬件、軟件、協議的具體實現或系統安全策略方面都可能存在壹定的安全缺陷即安全漏洞。及時檢測出網絡中每個系統的安全漏洞是至關重要的。安全掃描是增強系統安全性的重要措施之壹，它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序，按功能可分為：操作系統漏洞掃描、網絡漏洞掃描和數據庫漏洞掃描。網絡漏洞掃描系統，是指通過網絡遠程檢測目標網絡和主機系統漏洞的程序，它對網絡系統和設備進行安全漏洞檢測和分析，從而發現可能被入侵者非法利用的漏洞。定期對網絡系統進行漏洞掃描，可以主動發現安全問題並在第壹時間完成有效防護，讓攻擊者無隙可鉆。 (5)防病毒企業防病毒系統應該具有系統性與主動性的特點，能夠實現全方位多級防護。考慮到病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構建網絡防病毒系統時，應利用全方位的企業防毒產品，實施集中控制、以防為主、防殺結合的策略。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統配置，使網絡沒有薄弱環節成為病毒入侵的缺口。實例分析大慶石化局域網是企業網絡，覆蓋大慶石化機關、各生產廠和其他的二級單位，網絡上運行著各種信息管理系統，保存著大量的重要數據。為了保證網絡的安全，針對計算機網絡本身可能存在的安全問題，在網絡安全管理上我們采取了以下技術措施： 1.利用PPPOE撥號上網的方式登錄局域網我們對網絡用戶實施了身份認證技術管理。用戶采用 PPPOE撥號方式上局域網，即用戶在網絡物理線路連通的情況下，需要通過撥號獲得IP地址才能上局域網。我們選用華為ISN8850智能IP業務交換機作為寬帶接入服務器(BAS)，RADIUS服務器作用戶認證系統，每個用戶都以實名註冊，這樣我們就可以管理用戶的網上行為，實現了對以太網接入用戶的管理。 2.設置訪問控制列表在我們的網絡中有幾十臺路由交換機，在交換機上我們配置了訪問控制列表，根據信息流的源和目的 IP 地址或網段，使用允許或拒絕列表，更準確地控制流量方向，並確保 IP 網絡免遭網絡侵入。 3.劃分虛擬子網在局域網中，我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網絡安全要求特別高的應用，如醫療保險和財務等，劃分獨立的虛擬子網，並使其與局域網隔離，限制其他VLAN成員的訪問，確保了信息的保密安全。 4.在網絡出口設置防火墻在局域網的出口，我們設置了防火墻設備，並對防火墻制定安全策略，對壹些不安全的端口和協議進行限制，使所有的服務器、工作站及網絡設備都在防火墻的保護之下，同時配置壹臺日誌服務器記錄、保存防火墻日誌，詳細記錄了進、出網絡的活動。 5.部署Symantec防病毒系統我們在大慶石化局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能，系統中心是中央管理控制臺。通過該管理控制臺集中管理運行Symantec AntiVirus 企業版的服務器和客戶端；可以啟動和調度掃描，以及設置實時防護，從而建立並實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網絡管理軟件管理全網大慶石化局域網的網絡環境比較復雜，含有多種cisco交換設備、華為交換設備、路由設備以及其他壹些接入設備，為了能夠有效地網絡，我們采用了BT_NM網絡資源管理系統。該系統基於SNMP管理協議，可以實現跨廠商、跨平臺的管理。系統采用物理拓撲的方法來自動生成網絡的拓撲圖，能夠準確和直觀地反映網絡的實際連接情況，包括設備間的冗余連接、備份連接、均衡負載連接等，對拓撲結構進行層次化管理。通過網絡軟件的IP地址定位功能可以定位IP地址所在交換機的端口，有效解決了IP地址盜用、查找病毒主機網絡黑客等問題。通過網絡軟件還可實現對網絡故障的監視、流量檢測和管理，使網管人員能夠對故障預警，以便及時采取措施，保證了整個網絡能夠堅持長時間的安全無故障運行。 7.建立了VPN系統虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。為了滿足企業用戶遠程辦公需求，同時為了滿足網絡安全的要求，我們在石化局域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器，遠端子公司采用Cisco的2621路由器，動態接入設備采用Cisco的1700路由器。 8.啟動應用服務器的審計功能在局域網的各應用中我們都啟用了審計功能，對用戶的操作進行審核和記錄，保證了系統的安全。