对内网薄弱环节的一次加固
来源:中计在线 更新时间:2008-08-26
作者: 周春
 
  作为信息系统的基础设施,网络系统的安全稳定直接影响着公司经营生产和业务管理的正常运行。为了应对来自系统内部和外部的不断增加的信息安全风险,必须不断地进行系统的安全加固,不断地提升网络系统的安全防范能力,以保障公司信息资产的安全。

  我们公司信息系统是以数据大集中模式建立的,通过网上传输的信息和数据量都比较大。由于公司的财政预算以及领导的认识程度等问题,公司网络安全漏洞存在已有一段时日了,却一直没有改善,信息数据安全时刻面临着来自系统外部和内部威胁。

  防护简单 漏洞凸显

  我还清晰地记得年前那次“灾难”:公司所有电脑都上不了网,重要办公及公文审批都无法受理,财务报表系统无法统计处理,所有业务中断达5小时左右,导致公司较大的物质以及信誉上的损失。

  最终原因是我公司在互联网出口只有简单的一台接入防火墙,公司网站和邮件服务器位于防火墙外部接口区,用的都是公网IP地址。由于网站遭到攻击被植入ARP欺骗木马,从而导致所有办公和业务PC网关被欺骗而指向网站服务器,而正确的网关应该是防火墙外网口地址,这造成所有客户端不能访问互联网和业务服务器。在耗费大量时间确定故障后,拔掉网站服务器网线,联系防火墙供应商更新版本并调整相关策略后才暂时使部分重要业务恢复。巨大的损失让领导们深刻地认识到公司内网安全建设的重要性,并下决心对企业内网进行一次全面的加固以免类似事情再次发生。

  我们公司办公大楼根据业务和部门分类划分了18个VLAN ,各系统、部门之间相互隔离。在办公大楼互联网入口部署防火墙,控制办公网络对互联网的访问,如图1所示。全网采用网络访问控制技术,能够控制公司所有人员对互联网和业务系统的访问。

  

  图1 办公大楼网络结构图

  但是,公司网络在安全防护方面只是部署了防火墙,而防火墙只能对数据包第四层进行检查,无法在网络应用层面进行管理,对网络病毒防护、互联网访问内容控制、用户上网行为和PC机应用程序安装等风险度较高的行为缺乏必要的技术手段进行管理和审计。对用户桌面计算机没有采取必要的控制和防护措施,防病毒软件的防护效果参差不齐,且不能保证病毒库的升级。另外,由于应用管理不当、使用人员水平参差不齐、随意在PC机上安装非法软件以及系统不及时升级安全补丁程序,导致公司所有用户PC机存在较大的风险漏洞,经常受到网络病毒、木马等恶意攻击。业务数据信息和个人信息都存在较大的风险,并给全公司网络的稳定运行带来了隐患。

  多方面协同巩固

  内网安全管理是一个综合的系统问题,涉及网络管理、计算机硬件、计算机应用软件、计算机操作者、计算机使用单位管理规范等诸多方面的因素,必须通过管理制度和技术手段等多管齐下,方能达到目的。为了达到此次网络安全管理系统的建设目标,我们从互联网接入改造、病毒防护、入侵防范、桌面管理等多个层面对网络和桌面计算机部署安全设备和安全策略,进行多角度、多层次的安全防范。

  互联网入口边界加固

  在目前的网络架构基础上,调整公司互联网访问策略,在互联网出口部署两层异构防火墙以及IPS入侵防护设备,如图2所示。通过防火墙与IPS的功能互补与协同,有效防范黑客攻击,阻断蠕虫、DOS/DDoS、木马等网络病毒,控制P2P、网络视频等应用对网络带宽的侵占。

  

  图2 改造后的办公大楼网络结构图

互联网改造完成后,RG防火墙与Juniper防火墙组成背对背防火墙部署模式。RG防火墙部署为透明模式,允许内网访问穿透防火墙,拒绝一切来自外网的访问,保护内部网络的安全。由于网络内部存着应用服务器,在部署时我们针对源地址进行过滤,允许DMZ(Demilitarized,隔离区)ISA代理服务器访问内部应用服务器。将地址分为ISA代理服务器地址、SER内网地址组和桌面PC机USER组,具体地址分配见表1。

  

  表1 各组对应地址范围

  在安全策略上对ISA访问内部应用服务器进行访问控制,分别定义了3条安全策略。

  1.允许桌面USER(12.0.0.0/8)访问ISA服务器,进行DNS解析和代理上网。

  2.允许ISA代理服务器访问SER(11.0.0.251~11.0.0.253/24)。

  3.拒绝外网对桌面USER(12.0.0.0/8)的访问。

  互联网改造

  将公司Web、Mail、DNS服务器调整到DMZ区,并部署代理缓存服务器和邮件安全网关设备。分区、分用户对上网行为和访问内容进行控制管理,对访问内容和传输信息进行审计,对访问流量进行合理限制,从而建立一个安全、高效、统一的互联网接入平台,为公司相关业务的开展和内部员工日常办公提供对外访问互联网的服务。

  防病毒系统

  在全公司部署统一的网络防病毒软件,与互联网入口部署的IPS和邮件安全网关相互补充。通过桌面管理系统的强制遵从策略和升级策略,对用户桌面计算机和Windows服务器实施客户端防病毒软件管理和统一的病毒库升级,建立全公司统一的防病毒系统,防范内网之间和外网对内网的病毒传播。

  用户桌面计算机管理系统

  对公司所有用户计算机部署桌面安全管理系统,对桌面用户强制执行企业安全策略。通过对用户计算机实施强制认证、应用软件安装控制、外接设备控制、非管理计算机接入控制和操作系统补丁升级管理等功能模块和安全策略,加强对桌面电脑的软件使用、安全策略的执行、安全软件的部署和系统漏洞的管理、监控和审计。加强对移动办公和移动存储设备的安全管理,采用技术手段对违反安全策略的电脑拒绝网络接入。及时分发操作系统补丁,提高Windows系统客户端的病毒防范和防攻击水平,提高对桌面计算机的安全管理能力,保证公司信息资产的安全和合理使用。

  此次网络安全管理系统的建设,有针对性地对我公司目前网络中存在的薄弱环节进行了必要的安全加固。通过在互联网接入边界部署IPS、邮件安全网关和代理服务器等安全设备,在全网部署网络防病毒软件和用户桌面管理软件,实现了对全网计算机实施有效的病毒防护、应用管理和互联网访问控制。

  特别是通过强化对用户上网行为和计算机使用行为的管理,以及安全设备的部署和安全管理工具的实施,我们建立起一个能够对内部用户实施认证管理、对外网入口实施有效控制、对病毒实施积极防范、对用户使用的软件和访问外网进行有效管理和审计的安全管理体系,有力地保障了公司信息资产的安全。