建筑企業網絡安全研究

當企業業務不斷擴展、數據處理量日益增大時，信息化就成為一個必然的趨勢。特別是近年來，各建筑企業以住房和城鄉建設部施工總承包特級資質企業信息化考核為契機，大力推進以工程項目綜合管理系統為核心的主營業務信息化建設，信息化對企業管理能力提升的貢獻越來越大。同時，網絡作為企業信息化建設的基礎設施，網絡的安全問題也日益成為企業信息化建設過程中愈發引起關注的焦點。

安全是動態的，理想的安全網絡應該是將各種安全技術、安全產品進行整合，相關產品“協同作戰”，防護、檢測、響應相結合，以實現對網絡的整體防護，最大限度地避免由于某個方面的疏漏導致安全的“木桶效應”被放大，同時又必須在安全性和易用性之間找到一個合理的平衡點。下面結合中國水電網絡安全系統的建設情況，分析建筑企業應該如何構建符合企業自身需求的網絡安全保護體系。

1、企業網絡安全威脅分析

從網絡分層模型來看，企業網絡的安全威脅主要包含以下方面：

物理安全：這是整個網絡系統安全的前提，主要包括地震、水災等環境事故造成系統毀滅；電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失；設備被盜、被毀造成數據丟失等。

鏈路傳輸安全：是指入侵者通過在傳輸線路上安裝竊聽裝置，竊取在網上傳輸的重要數據，再通過相應的技術讀出數據，造成泄密或者通過篡改來破壞數據的完整性。

網絡互聯安全：為了充分發揮網絡在信息交換中的作用，企業網絡必然要和Internet進行連接，要和相關協作單位的外部網絡進行互聯。網絡互聯的安全風險主要包括黑客攻擊、拒絕服務/分布式拒絕服務攻擊、意外的人為破壞和有意的人為破壞等。

系統安全：是指主機操作系統的安全問題，入侵者可以通過檢查操作系統的安全漏洞和穩定性等問題來攻擊系統，從而達到控制系統的目的。基于系統的攻擊主要包含口令攻擊、IP欺騙、端口掃描和緩沖區溢出等。

應用安全：是指主機上應用軟件的安全，包括Web服務安全風險、瀏覽器安全風險、病毒侵害、郵件系統安全風險等。

管理安全風險：再安全的網絡設備也離不開人的管理，再好的安全策略最終要靠人來實現，因此管理是整個網絡安全中最為重要的一環。

2、構建以邊界防護為主的立體防御體系

企業網絡面臨的安全威脅來自多個方面，以前單一的防護措施已經無法滿足需求，混合式攻擊越來越多，手段也越來越復雜和隱蔽。企業必須按照“管住兩端、突出重點、加強監管”的原則，構筑以邊界防護為主，其它防護措施為補充的立體防護體系，才能夠確保企業網絡的安全。

“管住兩端”主要是指：通過防病毒網關，將大量病毒攔截在內網以外；通過上網行為管理設備，控制用戶上網行為；建立網絡準入控制系統，保證只有合法的用戶可以使用網絡；綜合應用DHCP、MAC/IP綁定、廣播風暴抑制技術，規范內網IP地址的使用，杜絕ARP、SYN等攻擊；“突出重點”主要是指：通過防火墻，進行不同安全區域的邊界隔離；通過存儲和備份系統，確保數據的安全存儲和備份；通過郵件過濾網關，過濾垃圾郵件，清除郵件中的病毒；綜合應用IPS和網站防篡改系統，對重要的服務器進行特殊保護；“加強監管”主要是指：通過統一網管系統，對全網的網絡設備、服務器進行統一管理；通過配置管理軟件，建立統一的配置管理、分發系統，加強設備的變更管理；通過信息安全審計系統，對用戶操作、使用業務系統，尤其是數據庫的各種操作進行跟蹤審計。下面重點從邊界防護進行論述。

2.1、安全區域和邊界

根據安全框架IATF的理論，可以將企業的信息系統根據其安全需求劃分成不同的安全區域和邊界。安全區域是對信息進行處理的一組信息資產的集合，這些資產具有比較接近的安全特性。兩個不同安全區域之間即為邊界，主要是為安全區域提供不同程度的隔離和連接功能，邊界的隔離可以在物理層到應用層的各層上實現。對于建筑企業來說，其安全區域主要有以下幾個：

2.2、邊界防護

所謂邊界防護是指在安全邊界建立防護系統，通過對特定網段、特定服務建立的訪問控制體系，對出入各個安全域的信息進行檢查，將絕大多數攻擊和非法訪問行為阻止在邊界處。

2.2.1、防火墻

防火墻是企業應用最多，也最成熟的網絡安全設備，它是不同安全域之間信息的唯一出入口，能夠根據企業的安全策略嚴格控制出入網絡的信息流，并且本身具有較強的抗攻擊能力，它是提供信息安全服務、實現網絡安全的基礎設施。我們建議在所有的邊界上部署硬件防火墻，并按照“最小化服務”原則配置安全策略。

2.2.2、入侵防御系統

隨著網絡技術的發展，防火墻在使用過程中暴露出以下不足：入侵者可以偽裝數據繞過防火墻，防火墻不具備對應用層數據的過濾功能等。在此情況下，入侵檢測系統（IDS）便應運而生，它可以為網絡提供實時的監控，但IDS以被動的方式工作，只能檢測攻擊，不能實時阻斷攻擊。

入侵防御系統（IPS）是在應用層的內容檢測基礎上加上主動響應和過濾的功能。IPS的目的是對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失。IPS實現實時檢查和阻止入侵的原理在于IPS擁有數目眾多的過濾器，可以根據內置的signature識別并阻斷攻擊。當新的攻擊被發現之后，IPS就會創建一個新的過濾器，所有流經IPS的數據包都被分類，每種過濾器負責分析相應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。由于從Internet發起的網絡攻擊最多，因此我們建議在Internet邊界部署IPS。當企業組建了廣域網時，在廣域網接入邊界也應該部署IPS。

2.2.3、VPN網關

VPN是指以公共網絡(如Internet)作為傳輸媒體，通過加密和驗證網絡流量來保護在公共網絡上傳輸的私有信息不會被竊取和篡改，從而向用戶提供類似于私有網絡性能的技術。目前，VPN主要分為SSL VPN、IPSec VPN和MPLS VPN三種。其中，IPSec VPN 是適合企業建立VPN專網的主流技術，而SSL VPN是方便移動用戶通過Internet遠程接入企業網的最佳解決方案。

對于建筑企業來說，項目部往往眾多且分散，很多項目部位置偏遠，只有Internet的接入條件，而且多數項目具有施工周期短、流動性強的特點。因此，應當在Internet邊界部署IPSec VPN網關，通過site-to-site的方式組建企業的VPN網絡，方便項目部用戶安全地訪問企業內部信息資源。同時，通過在Internet邊界部署SSL VPN網關，方便移動辦公用戶安全地接入企業內網，實現所有基于Web的應用。

2.2.4、郵件過濾網關

伴隨著Internet的普及，Email作為現代通信手段逐漸占據了Internet主流應用的地位，企業郵件系統面臨著既要防范黑客攻擊，又要防范垃圾郵件和病毒郵件蔓延等安全問題。我們建議在Internet邊界部署郵件過濾網關來保護郵件系統。

郵件過濾網關在邏輯上必須部署在郵件服務器的前端，負責對進出郵件系統的Email進行過濾，一般采用以下兩種方式部署：第一種直接將過濾網關串接在郵件服務器的前端，網關以透明模式工作，保證所有收發的郵件都通過網關進行過濾，該方式對過濾網關的性能、可靠性的要求高，一旦網關發生故障勢必影響員工使用郵件系統；第二種方式是把過濾網關和郵件服務器并接，通過在DNS中為網關添加優先級較高的MX記錄，保證所有接收的郵件優先投遞到過濾網關，經過網關過濾后再投遞到郵件服務器，該方式能夠確保過濾網關出現問題時，Email可以直接投遞到郵件服務器，不會影響員工使用郵件系統。

2.2.5、防病毒網關

網絡是病毒傳播最好、最快的途徑之一，網絡中一旦有一臺主機受病毒感染，病毒完全有可能在極短的時間內迅速擴散。防病毒網關又叫防毒墻，它和防病毒軟件最主要的區別是，防毒墻是以串接的方式部署在邊界的硬件設備，它根據防毒策略對指定的數據包進行重組、分析、過濾、掃描，將病毒文件直接清除。也正因為防毒墻要對數據包進行重組、掃描等操作，因此防毒墻的性能要求很高，當網絡帶寬增加、網絡流量增大時，防毒墻的性能會成為網絡傳輸的瓶頸，一般都要通過負載均衡設備，采用多臺防毒墻以集群模式并發工作。我們建議在Internet邊界、廣域網邊界，甚至是外部網邊界部署防毒墻，將絕大多數病毒阻擋在企業內網之外。

2.2.6、上網行為管理

近年來，隨著各種基于BT技術的網絡下載、視頻點播、在線游戲的廣泛應用，網絡應用越來越豐富多彩，企業的Internet出口也被這些非法流量大量吞噬，嚴重影響正常的辦公業務，上網行為管理設備便應運而生。上網行為管理設備從嚴格的意義上來說并不算是網絡安全設備，而應該是網絡流量管理設備，其工作原理主要是通過內置的協議庫，對四層以上，尤其是應用層的數據流進行識別，然后按照預定義的策略對數據流進行阻斷、限流、正常通過等操作，確保關鍵應用的網絡帶寬，另一方面，上網行為管理設備一般都具備URL Filter和黑白名單過濾等功能，通過這些功能能夠過濾非法網站，能夠按照黑白名單阻斷相關的數據流。我們建議在Internet邊界部署上網行為管理設備，尤其是通過Internet建立VPN廣域網的企業一定要部署上網行為管理設備，以便限制無關流量，確保VPN和正常辦公應用的流量。

2.2.7、邊界防護的注意事項

邊界防護所采用的設備都是網關級的設備，所有的網絡流量都要通過防護設備，因此，邊界防護設備的性能將成為整個網絡傳輸的瓶頸。企業在選擇邊界防護設備的時候，一定要根據網絡帶寬、部署位置以及業務應用情況選擇合適的設備。比如，對于部署在Internet邊界的防火墻可以選用小包處理能力達到全線速的百兆防火墻，以便應對Dos/DDos攻擊；對于部署在數據中心和辦公網邊界的防火墻，必須選用千兆甚至萬兆防火墻。

另外，邊界防護設備的穩定性、可靠性和可用性直接影響到整個網絡的這些性能。企業在選擇邊界防護設備時，除了要選擇成熟、穩定、可靠的產品以外，有條件的企業還應該盡量避免防護設備可能出現的單點故障，其解決方法有三種：第一種是對于透明部署的設備，必須具備硬件Bypass功能，一旦防護設備出現故障，能夠高優先級地自動切換到Bypass鏈路，確保網絡不中斷；第二種方法是通過兩臺設備以雙機熱備的方式來解決單點故障；第三種方法是由多臺設備組成集群，通過專門的負載均衡設備將網絡流量分攤到這些設備上，該方案是解決防護設備單點故障和性能問題的最佳方案，但其投資也較大。

2.3、補充防護措施

再好的邊界防護設備也不可能阻斷全部攻擊，尤其是當攻擊是從網絡內部發起時，邊界防護設備便失去了作用。因此，還必須在安全區域的內部建立其它安全措施，和邊界防護設備構成立體的、縱深的防護體系，才能確保企業網絡的安全。

2.3.1、入侵檢測系統

入侵檢測系統(IDS)可以利用入侵者留下的痕跡來有效地發現來自外部或內部的非法入侵，IDS以探測技術為主，分為基于主機的IDS和基于網絡的IDS，它不停地監視受保護的主機或網段中的所有數據包，對每個數據包進行特征分析，如果數據包與IDS內置的某些規則吻合，IDS就會發出警報。我們建議在企業高風險和重點保護的安全域中部署基于網絡的IDS，在重要的服務器上部署基于主機的IDS。

2.3.2、漏洞掃描和補丁修復

漏洞掃描的原理是采用模擬攻擊的方式對目標可能存在的安全漏洞進行逐項檢查，然后根據掃描結果生成安全報告和相關修復建議，漏洞掃描檢查有利于保持全網安全策略的統一和穩定。發現漏洞后，必須對漏洞進行修復，我們建議在企業內網建立補丁服務器來自動修復系統漏洞，一方面可以減少訪問外部補丁服務器的網絡流量，另一方面對于不允許直接訪問Internet的服務器也能提供補丁修復。因此，我們建議在所有主機上安裝統一的系統漏洞掃描和自動補丁分發軟件，通過統一的、強制的策略定期掃描主機并自動安裝最近的補丁程序。同時，有條件的企業應部署獨立的漏洞掃描設備，定期對網絡設備、重要服務器等進行漏洞掃描，并根據掃描報告修復相關漏洞。

2.3.3、網絡準入控制

網絡準入控制是一個過程，通過強制執行作為網絡訪問前提條件的安全策略來減少網絡安全事件，增強對企業安全制度的遵從。其基本原理是：當主機需要接入企業網時，首先由準入控制系統對主機進行相應的安全檢查，不滿足條件的主機被系統隔離到修復區中，并提示用戶對主機進行相應的處理，只有符合條件的主機才能夠接入網絡。同時，已經接入網絡的主機一旦發生安全問題，也會被系統隔離，確保網絡上的主機都是可信的、安全的。我們建議在所有主機上統一安裝網絡準入控制系統。

2.3.4、網絡防病毒軟件

雖然通過防毒墻可以有效地將病毒阻擋在企業內網之外，但是防毒墻不可能查殺所有的病毒，尤其是當用戶使用帶病毒的光盤、U盤等拷貝文件時，病毒可以直接在企業網中傳播。防病毒軟件有單機版和網絡版之分，以前病毒的主要攻擊對象是個人資料，處理辦法就是安裝單機版殺毒軟件來阻擋病毒的侵襲。目前病毒攻擊的主要對象已經發展成為網絡資源，當主機感染了病毒以后，病毒的快速傳播和復制會導致網絡癱瘓，嚴重影響整個企業的正常工作。網絡版和單機版殺毒軟件相比，具有遠程殺毒、遠程報警、遠程操作、自動升級、集中式管理和分布式殺毒等網絡功能。因此，我們建議在所有主機上統一部署網絡版防病毒軟件。

3、小結

企業網絡的安全問題是一個復雜的系統工程，構筑網絡安全防護系統，有效保護網絡系統的安全是一個與病毒、黑客持續斗爭的過程，一個完整的網絡安全解決方案應該是實用的安全技術、周密的安全策略、良好的內部管理的充分結合。在安全業界流行著一條80/20法則，即80%的安全威脅來自于網絡內部。因此，要保證企業網的安全，必須始終堅持“三分技術、七分管理、十分意識”，在從技術上作好各種安全防護的同時，更要做好網絡的安全管理工作，同時，必須加強培訓，增強全員的安全意識。