上海烟草公司胡庭川:化整为零保系统安全

　　近年来，很多烟草企业已然建成了一个规模庞大的信息系统，这样一个巨大、复杂的信息系统，面临着各种安全威胁，包括黑客、病毒、非法的合作伙伴等，如何确保信息系统的安全是烟草企业IT人员必须认真考虑的问题。

　　为了对大型信息系统进行安全保护，可以针对系统内部的不同业务区域进行划分，然后根据需求采用切实的防护措施。基于这个思路，笔者提出“化整为零，化繁为简，形成多个网络安全区域”，目的是把一个大规模复杂系统的安全问题化为多个小区域的安全保护问题，这是实现大规模复杂信息的系统安全保护的有效方法。

　　划分网络安全域

　　网络安全域是指同一系统内有相同的安全保护需求、相互信任并具有相同的安全访问控制和边界控制策略的网络，相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。

　　划分好网络安全域，是做好企业信息系统安全防卫基础的一步。因为通过进行安全域划分可以明确网络边界，形成清晰、简洁、稳定的组网架构，实现系统之间严格访问控制的安全互联，解决复杂系统的安全问题，有效地实现网络之间和各支撑系统之间的有效隔离和访问控制，达到化繁为简、尽在掌控的目的。安全域的划分增强了网络的可控性，可以有效地防止渗透式等攻击。

　　安全域的划分有多种依据，比如可以根据组织的最明显特征进行划分，安全域可以是分层次的，一般越大型、管理层次越多的网络，其安全域层次可以更多，而对于扁平化管理模式的机构，其层次应该少一些。另外，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。

　　在划分网络安全域后，还可以在网络安全域内划分更细、更小的安全域，如可以划分为核心处理域、访问域、内部用户域、外部用户域、接入域等。

　　完成网络安全域的划分后的下一个工作就是进行区域内安全防卫系统的建设。这里有一些基本原则需要把握：一个是对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系；另一个是要统筹规划、分步实施，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先保证基本的、必须的安全性。

　　有了这些措施并在划分好网络安全域的基础上，接下来的最主要工作是如何做好计算机病毒防范、防入侵这两个方面的基础工作。

　　各个安全域之间的边界保护

　　入侵的渠道主要是通过安全网络域的边界进入，因此针对安全网络域的入侵防卫关键是要做好各个安全域之间的边界保护。

　　每个网络安全域都是一个边界，就是说安全策略和设置（诸如管理权利、安全策略和访问控制列表）不应从一个域穿过进入另一个域，某特定域的管理员只有在该域中设置策略的权利。

　　通过将各个安全区域边界的安全最小化，并关闭一切不必要的服务，从而防御和抵抗拒绝服务的攻击，可采用“柏林墙”来过滤、屏蔽和解决因为TCP/IP协议、操作系统漏洞和软件本身的缺陷来侵入的“东德人”，使得各个区域之间是“和平共处”的。

　　网络边界层面的安全措施包括使用ACL（访问控制列表）或防火墙等技术手段来进行安全层面的控制。特别值得一提的是注意只开放必要的服务，关闭其余不必要的服务，从网络边界对外部威胁进行安全隔离，保障网络内部安全。

　　目前，上海烟草的边界设备多数情况下使用的是路由器，一小部分使用的是安全设备防火墙。不管采用何种设备，关键是要制定合理的访问控制策略。

　　访问控制列表的使用

　　如果有些非重要的网络安全域边界不具备部署防火墙的条件，那就需要在路由器或划分Vlan的交换机上做好访问控制列表。

　　路由器是区域与区域之间的边界设备，互通的报文都要经过路由器，对路由器进行合理的设置可以达到部分安全防范的目的，这样路由器成为保护每个区域的“前沿阵地”。具体措施是通过设置访问控制列表来实现，访问控制列表提供了一种机制用来控制通过路由器的信息流。这种机制允许用户使用访问控制列表来管理信息流，以制定网络相关安全策略。下面举一个例子，说明在路由器上做好访问控制列表的重要性。

　　以冲击波（Worm.Blaster）这个蠕虫病毒为例，该病毒利用Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞发起的攻击，该蠕虫通过发送大量ICMP数据包，阻塞正常网络通信，危害很大。通过在路由器上加载合适访问控制列表就能很好进行阻断，此后，该类蠕虫病毒将无法通过网络边界进入网络内部，从而将此威胁屏蔽在外。

　　当然，访问控制策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。因此在做访问控制列表前，我们必须认真地分析掌握各类的协议端口和威胁相应的特征，根据这些对访问控制策略不断积累，使路由器物尽其用，达到访问控制列表是防御网络外来攻击第一关的目的。对于划分Vlan的交换机上可以参考路由器进行ACL设置。

　　利用防火墙做好访问控制

　　在网络边界使用的如果是安全设备防火墙，对其的设置主要思路是只开放必要的服务而关闭不必要的服务。但是，即使网络边界设备只开放必要的服务，由于这些设备将不对开放服务的信息流进行内容安全检测，这样威胁还可以通过开放的服务进入到网络内，对网络内部造成威胁。因此在做好上述工作的基础上，还需要增加内容过滤类功能的设备（如网络防毒墙、防垃圾邮件、入侵检测等），对经过开放服务端口的信息流进行内容安全检测，防止威胁从此进入，从而弥补路由器或防火墙的不足。涉及内容过滤类功能的主要有三种系统。

　　部署网络入侵检测系统 目前，防火墙是静态安全防御技术，它对网络攻击缺乏主动的响应能力，而网络入侵检测系统能对网络入侵事件和过程做出实时响应，与防火墙共同成为网络安全的核心设备。

　　网络入侵检测系统（IDS）是动态安全技术中核心的技术之一，通过对系统或网络日志分析，对系统或网络资源进行实时检测，获得系统或网络目前的安全状况，及时发现可疑或非法的入侵者。在现有网络的各个Vlan网段分别接入入侵检测引擎，构成分布式入侵检测架构，在检测到可疑事件或入侵后，立即向中心控制台报告。

　　基于网络的入侵检测系统一般安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。基于网络的入侵检测系统如同网络中的摄像机，只要在一个网络中安放一台或多台入侵检测引擎，就可以监视整个网络的运行情况，在网络受到攻击并造成破坏之前，预先发出警报。基于网络的入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。值得一提的是，如今以千兆网络为主干的高速网络已经得以应用，传统的基于模式匹配的网络入侵检测系统已经不能胜任此项工作。特别是目前各类攻击技术的提高、攻击工具的发展对网络的入侵检测在降低错报率和漏报率方面的要求也随之提高。因此，入侵检测系统必须配合其他安全手段一起使用。例如，有一种工具软件可以使检测系统失效。这种被称为"Stick"的工具可发出多个有攻击表现的信息包，使被攻击网络的IDS频繁发出警告，造成管理者无法分辨哪些警告是针对真正的攻击发出的，从而使IDS失去作用。另外，如果有攻击表现的信息包数量超过IDS的处理能力的话，IDS会陷入DoS(拒绝服务)状态。

　　协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势。

　　网络入侵检测的实际部署数量需要根据实际情况进行，不代表每个的网络边界都需要部署一个网络入侵检测引擎。一般设置一个网络入侵检测引擎可以监控多个网络安全域及其边界。

　　部署网络防毒墙设备 除了上述安全措施，还可根据实际情况部署网络防毒墙。因为网络防毒墙能够识别和清除藏匿于网络传输封包（Packet）内的蠕虫、病毒等恶意程序文件，并启用阻止策略抑制网络病毒的发作和传染，其最大特点是主动的预防，而不是事后的被动的清杀；一般情况下，网络防毒墙主要部署在Internet边界，主要防范来自Internet网络的恶意病毒攻击。

　　防垃圾邮件系统 和网络防毒墙一样，一般情况下，主要部署在Internet边界进行防范垃圾邮件。

　　以上措施主要解决入侵威胁同时在网络安全域边界形成多层面的边界防卫。技术措施上主要以防火墙为基础，以入侵检测系统为主来实现的。

　　安全域内的计算机病毒防范

　　计算机病毒是烟草企业信息系统的主要威胁，防范病毒的泛滥也就成为IT部门的主要职责之一。从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为变成依赖互联网传播；集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身；扩散极快，不再追求隐藏性，而更加注重欺骗性；利用系统漏洞将成为病毒有力的传播方式。因此，仅仅依靠防病毒系统已经很难有效防范现在的病毒了，需要借助防火墙、系统安全补丁，入侵检测系统等共同防范，所以我们也看到现在市场上的客户端的防病毒软件在防病毒的基础上都集成了防火墙、入侵检测/防御等功能。

　　做好防病毒工作首先必须重视及时打系统安全补丁。为了及时发现漏洞、及时打系统安全补丁等，现在的通用做法是在系统内部署终端安全管理类系统，该系统通过补丁管理、漏洞管理、网络接入管理等技术手段结合防病毒软件应对可能的风险。

　　鉴于防病毒系统只能防范已知的病毒的事实，那么对于未知病毒如何防范呢？应从几个方面来综合考虑：

　　1. 在及时更新防病毒代码库和扫描引擎程序的同时，及时对保护对象打系统安全补丁以提高系统自身的健壮性，防止新病毒利用已有的安全漏洞进行传播或攻击。

　　2. 及时监控网络的异常行为，这可以借助已有sniffer--基于网络的入侵检测系统，及时了解网络发生的情况，查看是否有不良的现象出现。一旦发现有可疑现象，应采取措施对存在可疑的设备进行隔离等方式处理。

　　3. 定期进行安全漏洞扫描和安全加固工作，增强重要系统的健壮性。

　　4. 让企业内部用户养成好的操作习惯，不要打开不明来源的邮件、不运行未知的程序等良好习惯，提高识别可疑的威胁的意识。

　　5. 对重要的文件、数据等信息要及时做好备份，防止恶性新病毒的代来的巨大损失，毕竟新病毒不可能完全可以防范。

　　6. 切实做好划分安全域后的边界防护工作，通过结合入侵检测/防御系统，通过及时的特征库升级和策略调整，将新病毒威胁隔离在较小的范围，避免波及全网。

　　由此可见，划分安全域的好处也在防范病毒的工作中体现出来，划分安全域对防范蠕虫类病毒等恶意攻击行为可以起到很好的防止扩散、蔓延的巨大作用，将恶意攻击的危害隔离在较小的范围，避免波及全网。

　　在病毒防护工作，终端的安全管理系统也非常关键。终端安全管理系统工作模式与网络防病毒类似，都是采用C/S模式，在终端部署客户端，在服务器的统一策略下发现客户端设备的系统漏洞并自动分发补丁、防范移动电脑和存储设备随意接入内网、对原有客户端应用软件进行统一监控、管理、快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。

　　针对烟草企业的实际需要，以上只是建立了网络安全域内的基础防卫措施，主要目的是解决最重要最紧迫的问题。根据实际的业务需要还应逐步建立安全审计、漏洞扫描、身份认证、权限管理、集中安全管理、数据备份以及有效的应急预防等措施以及相应的安全管理措施，在保障可用性的基础上，逐步实现完整性、保密性、可管理性、可审计、抗抵赖等安全目标。