上海长宁妇幼保健医院无线网络应用案例
来源:赛迪网 更新时间:2012-04-15
锁定关键资源
青海省IP网络系统是以数据通信为基础的计算机综合信息网,实现了信息通信和资源共享,面向社会提供网络服务和信息服务。但是,随着企业电子商务和个人网络应用的发展,作为一个公共网络平台,青海IP网面临着如何保护企业和用户秘密,维护企业和用户一系列合法权益等一系列重要而棘手的问题。而正在出现或即将出现的一些全新的形势,又使这一任务显得更加迫切而艰难,例如,在当前复杂的网络应用环境下,安装单一的防病毒产品已经远远不足以保障用户网络系统、信息资源的安全,企业、单位网络系统的安全隐患已经不仅仅来自于病毒,黑客攻击、恶意入侵等已经成为主要的安全威胁,它们不但可以造成网络阻塞、传输中断,甚至会系统瘫痪的后果,更为严重的是,远程控制、内部泄密等行为可以轻易地破坏关键数据、盗窃机密信息,从而给企业、单位带来不可估量的损失;又例如,对于昨天的快速以太网连接性能来说已足够的解决方案,对于今天千兆位以太网的连接速度来讲,已经力不从心。针对青海IP网络的这些特殊需求,冠群金辰充分利用其广泛的行业经验和技术实力,提供了一个包括防火墙、防病毒、入侵检测、主机防护、VPN等一揽子产品的整体解决方案,实现了主动防护与被动监控、全面防护与重点防护的完美结合。
一 青海省IP网络系统安全问题分析
1 青海IP网络系统安全现状与需求分析
在青海IP网络业务系统中,大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX操作系统。众所周知,TCP/IP和UNIX都是以开放性著称的,系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面,虽然对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑,但只实现了基本安全控制功能,还存在一些这样那样的漏洞。
青海现有的IP网络系统建设中虽然对安全问题也做了一定的考虑,设计了防火墙系统,但是鉴于当前IT系统安全性的严重状况,这些考虑还是比较朴素和初步的,并没有形成一套完整的防护体系;这主要是由于防火墙只是保护青海IP网络系统的第一道防线,它主要侧重在对通讯的源、目的地址和端口进行限制,在实际应用中,该系统业务要求许多地址都可以访问关键服务器上的应用,所以即使有了防火墙,黑客还是可以从许多地方访问关键服务器,数据包中很可能包含入侵攻击代码。
此外,黑客的入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退等几个步骤。因此,针对每一个黑客攻击的步骤,我们都需要制定相应的防范措施;而且其中具有技术部分的内容,更加重要的是管理方面的,也就是安全策略的制定和实行。
这些方面的安全需求总结起来,主要包括技术、业务、物理环境和管理体系等四个部分。技术部分的安全问题主要包括网络系统、主机系统、数据库系统;业务安全主要是针对应用层部分,而应用软件的设计管理是与其运营模式分不开的,同时也是建立在网络、主机和数据库系统基础之上的,因此业务部分的软件分发、用户管理、权限管理需要充分利用底层系统的安全技术和良好的安全管理机制。物理环境安全主要指的是机房环境安全;管理体系安全主要指一套完整的业务系统的安全解决方案必须配备相应的管理制度,因为完美的安全系统是建立在用户特定的管理运行模式中的,没有严格的管理规范和管理制度,再完美的设计和昂贵的设备都没有可信的安全度。
2 网络关键资源定位
由于系统本身的复杂性以及应用中安全的相对性,一个有效的安全解决方案应该首先满足对关键的资源实现重点保护的需要,而在此之前,就必须对关键资源进行定位。青海IP网络中需要提供安全保护的关键资源有:网络资源,包括网络系统的非法进入和传输数据的非法窃取和盗用;数据资源,指业务系统的数据结构、业务原始数据、主机与网络系统的配置维护数据需要保护;文件系统,指主机系统文件、网络系统配置文件和业务系统软件;合法用户,指在整个系统中具有合法身份的用户的权限不能被盗用,或者合法的权限被任意的放大或缩小甚至删除。
二 网络层解决方案
1 发散性的技术方案设计思路
网络安全是一个循序渐进的过程,不可能一蹴而就。所以,在冠群金辰提供的解决方案中首先对关键资源进行了定位,然后以关键资源为基点,按照发散性的思路进行了安全分析和保护,并将方案的目的确定为为青海IP网络系统建立一个统一规范的安全系统,并体现青海IP网络系统本身所具备的具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
该方案首先利用冠群金辰的主机保护技术保障关键服务器的安全性,然后采用网络隔离和网络安全检测技术对整个周边网络进行安全防范;不但包括各种安全方案,还给出了拓展的方案和整合方式,这样就保证了青海IP网络随着业务发展可以随时进行扩展。
2 网络层解决方案
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。针对网络层安全的考虑主要是基于以下几点:1 控制不同的访问者对网络和设备的访问;2 划分并隔离不同安全域;3 防止内部访问者对无权访问区域的访问和误操作。
按照网络区域安全级别的不同,冠群金辰将青海IP网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离,在关键服务器区域内部,也同样需要按照安全级别的不同进行安全隔离。
与此同时,冠群金辰的方案还结合网络系统的安全防护与监控需要与实际应用环境,工作业务流程以及机构组织形式与机构进行了密切结合,从而在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御、系统访问控制、网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强了系统的总体可控性。
3 网络层方案配置
在青海IP网络系统核心网段利用一台专用的安全工作站安装冠群金辰公司的eID(eTrust Intrusion Detection)产品,将工作站直接联接到主干交换机的监控端口(SPAN Port),用以监控局域网内各网段间的数据包。
eID系统的配置
由于eID产品支持在一台工作站上通过安装多块网卡的方式获取多个网段的数据,所以可在关键网段内配置含多个网卡并分别联接到多个子网的入侵检测(eTrust Intrusion Detection)工作站进行相应的监测。eID还具有安全事件取证系统,能够对网络中发生的所有事件进行忠实地记录和取证,即使黑客在主机上抹去了入侵的纪录,eID也可以提供详细的入侵过程纪录。
三 主机、操作系统、数据库安全方案
本部分主要解决对主机/操作系统/数据库访问时的身份认证和访问控制,以及对各种系统安全漏洞的检测和病毒的防护。
1 主机、操作系、数据库安全问题分析及配置方案
青海IP网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。其面临的攻击主要是针对网络设备和服务器发起的攻击。因此采用严格有效的访问控制机制实现对人员的授权访问,对防止非授权或越权的操作和访问,防止发生不可预测的、潜在破坏性的侵入能够起到立竿见影的作用。为此,冠群金辰在青海IP网络中的每一个需要保护的关键服务器上都部署eTrust Access Control产品进行防范,在中央安全管理平台上部署中央管理控制台,对全部的eTrust Access Control进行中央管理。
具体来说,eTrust Access Control可以通过如下的途径实现更细粒度的权限管理和访问控制:一是对核心的应用主机、数据库服务器实施安全保护。eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层;通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。二是可以在不改变系统执行文件,不修改内核的情况下变成操作系统的有效的一部分,可以在不重写Unix和透明的情况下实现安全控制功能,这主要利用专利型技术DSX(Dynamic Security Extensions,动态安全扩展)实现该功能。三是跨平台的支持。目前青海IP网大部分采用Solaris平台,但是eTrust Access Control是一个跨平台的访问控制软件,它支持AIX、HP-UX、Solaris、NCR MPRAS、Siemens SINIX、SGI IRIX、Digital UNIX、SCO Unixware、Olivetti Unix、Sequent以及RedHat Linux,同时支持Windows NT。所以,eTrust Access Control完全支持青海IP网的未来的业务扩展。
实际上,eTrust Access Control将超级用户作一般用户看待,即超级用户无法透过eTrust Access Control的安全屏障去访问未经授权的文件。这样既可以防止一个单位的敏感数据(如财务、人事等),也可以防止由于超级用户误操作而给系统带来的损失。
2 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对青海IP网这样的大型网络而言,具有重要的意义。冠群金辰在方案中充分利用已有的扫描工具完成这方面的工作,免去了专门购买其他的系统/数据库漏洞扫描工具。另外,冠群金辰还向青海IP提出了采用服务商专门的安全审计服务的建议,因为他们认为这样将会达到更加理想的效果。之所以这样,主要是基于这样的考虑,一是用户需要对系统漏洞有充分的了解后,才能使这些扫描工具真正发挥作用;二是即使扫描出漏洞,用户自己也很难提出对应的解决方案;三是缺乏专业的技术支持将会降低这些工具的利用率。
3 防病毒
对于青海IP网络来说,一个完整的立体的病毒防护机制是十分必要的,公司网络中病毒的安全防护,是要建立企业整体防病毒体系,对从INTERNET/EXTRANET入口到网络内的服务器和所有计算机设备采取全面病毒防护,并且需要在网络中心设置病毒防护管理中心,可以使反病毒工作按照不同部门或地域的实际情况,分组设置反病毒管理工作。冠群金辰提供了Kill系列网络防病毒软件,通过KILL防病毒管理中心将局域网内所有服务器/工作站创建在同一防病毒管理域内,选定一台已安装了KILL的服务器作为KILL防病毒管理域的主服务器,对整个KILL域进行防病毒管理。通过KILL域管理器,制定统一的防毒策略,设定域扫描作业,安排系统自动查、杀病毒。
另外,冠群金辰还为青海IP设置了网络自动下载、更新和分发功能,这样,在局域网中选定一台装有KILL并能连接Internet的NT服务器作为自动下载服务器,定时自动从KILL的FTP站点下载最新的KILL的病毒特征文件和搜索引擎,然后自动分发到网络中其它服务器和联网客户机上,保证防毒软件定期得到最新反病毒文件。
四 网络安全系统拓展和业务系统的整合
当业务发展到一定规模,需要在骨干网络对网络活动进行入侵检测和网络监控,这就要求使系统具有拓展性。为此,冠群金辰提供了具有业界先进的千兆网络入侵检测和负载均衡解决方案,该方案得益于冠群金辰与其战略合作伙伴Top Layer 网络公司在IDS领域的通力合作。Top Layer 网络公司是目前全球为数不多的专门致力于提供高速网络解决方案的供应商之一,这样,集成后的冠群金辰入侵检测系统性能得到极大的提高,可实现在高带宽、高负载网络环境下的实时入侵检测。
与此同时,冠群金辰提供的所有安全系统都能够整合在统一的网络管理平台或者专用的网络安全管理平台进行管理。另外,我们的各种关键产品都能够提供相应的API以与业务系统进行整合。例如eTrust Access Control提供了认证和授权API、EXITS API、管理API等等,用户能够在自己的应用程序中调用Access Control的认证和授权机制,并且在用户自己的管理平台中直接对eTrust Access Control进行管理,从而达到业务系统和安全系统的整合。eTrust Intrusion Detection能够同路由器和防火墙系统进行联动,形成一个整体的动态安全系统,并且能够提供丰富的自定义报表和报警功能,充分和原有的业务体系进行整合。
由于冠群金辰的方案充分考虑了青海IP网络现有的环境和未来的业务发展,并且对关键资源采取了重点的保护策略,充分满足了IP应用这样的特殊环境,因此在众多竞标厂商中脱颖而出,成为最终的赢家。据悉,迄今冠群金辰已经通过对用户的需求采取类似的个性化安全设计而得到了行业用户的广泛认可,这些行业包括政府机构、电信、银行、证券、税务、电力、石油、公安、军队等各个领域,从中也可看出用户在安全解决方案方案的新需求。