大型企業集團信息系統的安全防護

◆游傳強

大型企業集團信息系統的安全防護

◆游傳強

（中國石油西南油氣田分公司資本運營部 四川 610051）

互聯網日新月異發展，資源共享進一步加強，信息安全問題越發突出。大型企業集團信息系統如何有效防止網絡黑客攻擊，保證合法用戶對資源及時有效地訪問，確保信息系統安全平穩運行，已成為企業信息系統安全防護的重要內容。本文結合大型企業網絡和信息系統現狀，從分析網絡病毒和網絡入侵著手，就如何部署企業整體防病毒方案，安裝入侵檢測軟件，構架網絡安全系統，維護企業信息系統安全，提出了有效的防范措施和策略。

企業；信息系統；防病毒；入侵檢測

0 前言

近年來，隨著網絡及網絡工具發展，信息傳播方式方法改變，計算機病毒種類更多，擴散速度更快。病毒已由單機間介質傳染向網絡系統轉化。現在很多病毒對計算機信息系統的攻擊方式帶有網絡黑客攻擊模式，因此防病毒也需要結合計算機網絡的入侵檢測系統來輔助完成。病毒和防病毒之間的斗爭已從“殺”到“防”，通過企業整體防病毒方案，將病毒拒之于企業網絡之外，才能保證企業信息系統的真正安全。

1 企業網絡現狀及安全防護要求

以筆者所在公司為列，公司自建了廣域網絡。其特點如下:⑴系統規模大:工作站1000臺以上，運行各種OA、ERP及財務信息系統；⑵網絡分布廣:廣域網節點上百個，線路有STM、SDH及DDN等，結構極為復雜；⑶系統與Internet接口多樣:有光纖寬帶、以太網、ADSL等；⑷系統內計算機系統操作系統多樣:有Windows、Linux、AIX、Solairs等；⑸系統牽涉數據庫繁多:有Oracle、Sybase、SQLServer及DB2等。

顯然，企業信息系統需要一個面向所有內部網絡用戶、從互聯網到業務系統和本地工作站全方位的防毒解決方案。由于計算機防毒產品的局限性，特別是無法針對大型企業提供全方位病毒防護解決方案，部署企業整體防病毒方案已成為企業信息系統規劃的重要內容。

2 網絡安全需求分析

網絡受到的安全威脅主要有:身份竊取（IndentityInterception），假冒（Masquerading），否認（Repudiation），數據竊取（Data Interception），非授權存取（Unauthorized Access），錯誤路由（Misrouting），數據流分析（Traffic Analysis），拒絕服務（Denial of Service）。

在網絡邊緣，防火墻采用IP過濾和應用代理方式，路由器采用IP過濾技術，安全性和效率相對較高。網絡數據通常在應用生成、存儲、傳輸，因此，現有數據安全控制措施主要部署在應用層。

網絡應用層安全需求主要有:數據保密、數據完整、身份認證、授權、審計記錄、防止抵賴與公證。

構架網絡安全系統，通過系統的安全檢測和監控，實時查出網絡安全漏洞或惡意攻擊，全方位實施動態的安全控制。

3 病毒防護方案

為使企業的信息財產免受損失，企業應盡快建立全面的主動病毒防護體系。在每臺單機服務器上要有常駐內存的反病毒軟件，并實行集中統一管理；在網關上要安裝基于網關的病毒防火墻，以防止病毒對企業內部網絡的感染；對郵件服務器安裝郵件系統的防病毒軟件，以阻止病毒通過附件等方式傳播擴散；安裝集中管理并實時更新的系統，隨時監控網絡病毒狀況。只有做到把病毒傳播、滋生的渠道完全堵死并不斷升級，才能保證信息系統的真正安全。

3.1 防毒產品選擇

采用的防毒產品要與企業計算機網絡系統實際需要相結合，并與現有信息系統具有良好的一致性和兼容性。在企業網絡通道或病毒攻擊點，安裝設置防病毒軟件，確保企業計算機網絡系統具有最佳病毒防護能力。

熊貓衛士防病毒軟件統一集中管理和監控企業的網絡系統，網絡系統使用人員和維護工程師的工作量可減到最小；每天病毒庫及時更新，售后服務及技術支持較好，其可擴充性充分考慮和保護了企業現有投入，適應企業信息系統的今后發展需要。

3.2 病毒防護方案設計

企業廣域網建成后，企業下屬單位局域網將不再單獨設立本地服務器，熊貓衛士客戶端模塊采用集中式管理進行分發。具體實施如下:

3.2.1 總部方案

總部方案如下:⑴在系統管理機上安裝熊貓管理員。⑵通過熊貓管理員，對所有本地服務器進行安裝服務器保護模塊，保護服務器本身；對Proxy服務器的Proxy模塊進行安裝，保護網關；對主域服務器進行安裝工作站模塊，以供下面工作站分發使用。⑶設置需要分發的用戶。⑷設置病毒庫的定時更新。

3.2.2 分部方案

分部方案如下:總部統一管理本地服務器和下屬單位各客戶端，通過一臺域控制器,對下屬單位客戶端分發，下屬單位客戶端從企業域控制器上自動讀取分發的腳本文件，進行分發和升級。

4 網絡入侵檢測

4.1 防火墻的局限性

企業廣域網用戶端成千上萬眾且不斷增加，防火墻通過IP層訪問控制用戶登錄情況，只能初步抵御網絡外部安全威脅，但對企業內部工作人員通過網絡對服務器系統（操作系統和應用系統）實施各種攻擊，或網絡黑客繞過防火墻侵入企業內部網絡系統，防火墻都無法有效監控和防御。無論多么嚴密的安全措施都不能完全阻止黑客進入關鍵部位或服務器。

4.2 構建實時入侵偵測系統及產品選擇

實時入侵偵測系統是建立高級別網絡安全重要環節，全方位實時監控訪問服務器資源的用戶行為。對可能出現的各種危害服務器的行為，盡快作出報警、阻斷等響應，系統自動提供了日志記錄和分析，方便系統管理員進一步采取相應保護措施。

中科網威“天眼”入侵檢測（Inbreak Detection System n）的網絡保護功能很強大，其內置主動防御功能可以防止破壞的發生。在該產品軟件包具有監視、警告、記錄、非法 URL 探測和阻塞、入侵和攻擊探測、實時響應等功能。

4.3 設計原則

入侵偵測系統（IDS）是通過辨認網絡或主機的方式來躲避攻擊，隨時隨地都在尋找“攻擊標志”。該系統使用原始網絡包作為數據源，讓網絡適配器實時動態監視并分析網絡中的通信業務。它的攻擊辨識模塊識別攻擊標志的技術有:頻率或穿越閥值、模式或表達式或字節匹配、統計學意義上的非常規現象檢測、低級事件的相關性。

如果檢測到攻擊行為，該系統響應模塊以通知或報警方式對攻擊作出反應，其反應包括:中斷連接，通知管理員、為法庭分析和證據收集的相關會話記錄。

4.4 配置方案

配置方案如圖1所示。

圖1 網絡入侵偵測系統示意圖

將“天眼”網絡入侵偵測系統控制臺分別安裝在核心內網、普通內網、外網交換機上，以完成偵聽。安全管理員通過報警信息和系統日志分析以及前面相應的安全設備日志，發現入侵的行為，同時進行跟蹤追查。

5 結束語

網絡病毒具有極大的隱蔽性和破壞性，一旦入侵企業信息系統，蔓延速度極快，給企業造成不可估量的損失。“道高一尺魔高一丈”，病毒隨時在更新變異，需要我們與制造病毒者作艱苦卓絕地斗爭，不斷研究新的對策，防患于未然，以確保企業網絡安全和信息系統的正常平穩運行。

[1]林國恩.信息系統安全.電子工業出版社，2010.

[2]kavehpahlavan，prashant Krishnamurthy.網絡構建基礎—廣域網、局域網和個域網通信.電子工業出版社，2011.

[3]劉功申，孟魁.惡意代碼與計算機病毒——原理、技術和實踐.清華大學出版社，2013.

[4]沈亮，陸臻，張艷，宋好好.網絡入侵檢測系統原理與應用.電子工業出版社，2013.