我們公司信息系統(tǒng)是以數(shù)據(jù)大集中模式建立的，通過網(wǎng)上傳輸?shù)男畔⒑蛿?shù)據(jù)量都比較大。由于公司的財政預算以及領(lǐng)導的認識程度等問題，公司網(wǎng)絡安全漏洞存在已有一段時日了，卻一直沒有改善，信息數(shù)據(jù)安全時刻面臨著來自系統(tǒng)外部和內(nèi)部威脅。

防護簡單 漏洞凸顯

我還清晰地記得年前那次“災難”：公司所有電腦都上不了網(wǎng)，重要辦公及公文審批都無法受理，財務報表系統(tǒng)無法統(tǒng)計處理，所有業(yè)務中斷達5小時左右，導致公司較大的物質(zhì)以及信譽上的損失。

最終原因是我公司在互聯(lián)網(wǎng)出口只有簡單的一臺接入防火墻，公司網(wǎng)站和郵件服務器位于防火墻外部接口區(qū)域，用的都是公網(wǎng)IP地址。由于網(wǎng)站遭到攻擊被植入ARP欺騙木馬，從而導致所有辦公和業(yè)務PC網(wǎng)關(guān)被欺騙而指向網(wǎng)站服務器，而正確的網(wǎng)關(guān)應該是防火墻外網(wǎng)口地址，這造成所有客戶端不能訪問互聯(lián)網(wǎng)和業(yè)務服務器。在耗費大量時間確定故障后，拔掉網(wǎng)站服務器網(wǎng)線，聯(lián)系防火墻供應商更新版本并調(diào)整相關(guān)策略后才暫時使部分重要業(yè)務恢復。巨大的損失讓領(lǐng)導們深刻地認識到公司內(nèi)網(wǎng)安全建設(shè)的重要性，并下決心對企業(yè)內(nèi)網(wǎng)進行一次全面的加固以免類似事情再次發(fā)生。

我們公司辦公大樓根據(jù)業(yè)務和部門分類劃分了18個VLAN ，各系統(tǒng)、部門之間相互隔離。在辦公大樓互聯(lián)網(wǎng)入口部署防火墻，控制辦公網(wǎng)絡對互聯(lián)網(wǎng)的訪問，如圖1所示。全網(wǎng)采用網(wǎng)絡訪問控制技術(shù)，能夠控制公司所有人員對互聯(lián)網(wǎng)和業(yè)務系統(tǒng)的訪問。

圖1 辦公大樓網(wǎng)絡結(jié)構(gòu)圖

但是，公司網(wǎng)絡在安全防護方面只是部署了防火墻，而防火墻只能對數(shù)據(jù)包第四層進行檢查，無法在網(wǎng)絡應用層面進行管理，對網(wǎng)絡病毒防護、互聯(lián)網(wǎng)訪問內(nèi)容控制、用戶上網(wǎng)行為和PC機應用程序安裝等風險度較高的行為缺乏必要的技術(shù)手段進行管理和審計。對用戶桌面計算機沒有采取必要的控制和防護措施，防病毒軟件的防護效果參差不齊，且不能保證病毒庫的升級。另外，由于應用管理不當、使用人員水平參差不齊、隨意在PC機上安裝非法軟件以及系統(tǒng)不及時升級安全補丁程序，導致公司所有用戶PC機存在較大的風險漏洞，經(jīng)常受到網(wǎng)絡病毒、木馬等惡意攻擊。業(yè)務數(shù)據(jù)信息和個人信息都存在較大的風險，并給全公司網(wǎng)絡的穩(wěn)定運行帶來了隱患。

多方面協(xié)同鞏固

內(nèi)網(wǎng)安全管理是一個綜合的系統(tǒng)問題，涉及網(wǎng)絡管理、計算機硬件、計算機應用軟件、計算機操作者、計算機使用單位管理規(guī)范等諸多方面的因素，必須通過管理制度和技術(shù)手段等多管齊下，方能達到目的。為了達到此次網(wǎng)絡安全管理系統(tǒng)的建設(shè)目標，我們從互聯(lián)網(wǎng)接入改造、病毒防護、入侵防范、桌面管理等多個層面對網(wǎng)絡和桌面計算機部署安全設(shè)備和安全策略，進行多角度、多層次的安全防范。

互聯(lián)網(wǎng)入口邊界加固

在目前的網(wǎng)絡架構(gòu)基礎(chǔ)上，調(diào)整公司互聯(lián)網(wǎng)訪問策略，在互聯(lián)網(wǎng)出口部署兩層異構(gòu)防火墻以及IPS入侵防護設(shè)備，如圖2所示。通過防火墻與IPS的功能互補與協(xié)同，有效防范黑客攻擊，阻斷蠕蟲、DOS/DDoS、木馬等網(wǎng)絡病毒，控制P2P、網(wǎng)絡視頻等應用對網(wǎng)絡帶寬的侵占。

圖2 改造后的辦公大樓網(wǎng)絡結(jié)構(gòu)圖#p#

互聯(lián)網(wǎng)改造完成后，RG防火墻與Juniper防火墻組成背對背防火墻部署模式。RG防火墻部署為透明模式，允許內(nèi)網(wǎng)訪問穿透防火墻，拒絕一切來自外網(wǎng)的訪問，保護內(nèi)部網(wǎng)絡的安全。由于網(wǎng)絡內(nèi)部存著應用服務器，在部署時我們針對源地址進行過濾，允許DMZ(Demilitarized，隔離區(qū))ISA代理服務器訪問內(nèi)部應用服務器。將地址分為ISA代理服務器地址、SER內(nèi)網(wǎng)地址組和桌面PC機USER組，具體地址分配見表1。

表1 各組對應地址范圍

在安全策略上對ISA訪問內(nèi)部應用服務器進行訪問控制，分別定義了3條安全策略。

1.允許桌面USER(12.0.0.0/8)訪問ISA服務器，進行DNS解析和代理上網(wǎng)。

2.允許ISA代理服務器訪問SER(11.0.0.251～11.0.0.253/24)。

3.拒絕外網(wǎng)對桌面USER(12.0.0.0/8)的訪問。

互聯(lián)網(wǎng)改造

將公司W(wǎng)eb、Mail、DNS服務器調(diào)整到DMZ區(qū)，并部署代理緩存服務器和郵件安全網(wǎng)關(guān)設(shè)備。分區(qū)域、分用戶對上網(wǎng)行為和訪問內(nèi)容進行控制管理，對訪問內(nèi)容和傳輸信息進行審計，對訪問流量進行合理限制，從而建立一個安全、高效、統(tǒng)一的互聯(lián)網(wǎng)接入平臺，為公司相關(guān)業(yè)務的開展和內(nèi)部員工日常辦公提供對外訪問互聯(lián)網(wǎng)的服務。

防病毒系統(tǒng)

在全公司部署統(tǒng)一的網(wǎng)絡防病毒軟件，與互聯(lián)網(wǎng)入口部署的IPS和郵件安全網(wǎng)關(guān)相互補充。通過桌面管理系統(tǒng)的強制遵從策略和升級策略，對用戶桌面計算機和Windows服務器實施客戶端防病毒軟件管理和統(tǒng)一的病毒庫升級，建立全公司統(tǒng)一的防病毒系統(tǒng)，防范內(nèi)網(wǎng)之間和外網(wǎng)對內(nèi)網(wǎng)的病毒傳播。

用戶桌面計算機管理系統(tǒng)

對公司所有用戶計算機部署桌面安全管理系統(tǒng)，對桌面用戶強制執(zhí)行企業(yè)安全策略。通過對用戶計算機實施強制認證、應用軟件安裝控制、外接設(shè)備控制、非管理計算機接入控制和操作系統(tǒng)補丁升級管理等功能模塊和安全策略，加強對桌面電腦的軟件使用、安全策略的執(zhí)行、安全軟件的部署和系統(tǒng)漏洞的管理、監(jiān)控和審計。加強對移動辦公和移動存儲設(shè)備的安全管理，采用技術(shù)手段對違反安全策略的電腦拒絕網(wǎng)絡接入。及時分發(fā)操作系統(tǒng)補丁，提高Windows系統(tǒng)客戶端的病毒防范和防攻擊水平，提高對桌面計算機的安全管理能力，保證公司信息資產(chǎn)的安全和合理使用。

此次網(wǎng)絡安全管理系統(tǒng)的建設(shè)，有針對性地對我公司目前網(wǎng)絡中存在的薄弱環(huán)節(jié)進行了必要的安全加固。通過在互聯(lián)網(wǎng)接入邊界部署IPS、郵件安全網(wǎng)關(guān)和代理服務器等安全設(shè)備，在全網(wǎng)部署網(wǎng)絡防病毒軟件和用戶桌面管理軟件，實現(xiàn)了對全網(wǎng)計算機實施有效的病毒防護、應用管理和互聯(lián)網(wǎng)訪問控制。

特別是通過強化對用戶上網(wǎng)行為和計算機使用行為的管理，以及安全設(shè)備的部署和安全管理工具的實施，我們建立起一個能夠?qū)?nèi)部用戶實施認證管理、對外網(wǎng)入口實施有效控制、對病毒實施積極防范、對用戶使用的軟件和訪問外網(wǎng)進行有效管理和審計的安全管理體系，有力地保障了公司信息資產(chǎn)的安全。

【編輯推薦】

1. 加固網(wǎng)絡邊界確保企業(yè)網(wǎng)絡安全
2. 內(nèi)網(wǎng)安全淺談交換機的安全特性