一種大型企業分支機構信息系統安全解決方案

◆馬琳 房瀟

一種大型企業分支機構信息系統安全解決方案

◆馬琳 房瀟

（91977部隊 北京 100036）

針對大型企業分支機構的信息安全防護需求，本文提出了一種一體化安全管理控制解決方案，以“預防為主、快速響應、迅速處理”為安全防護目標，實現對大型企業分支機構中的網絡、安全設備、服務器和主機以及應用系統等各種資源的集中監控，以及安全事件的有效管理，從而簡化安全管理工作，降低安全運營成本。

信息安全；集成；安全管理

隨著網絡和信息技術的不斷演進，企業對信息技術的依賴程度日益增加，云計算、互聯網、大數據、移動互聯網等新技術的快速發展和應用，不僅能夠幫助企業提升生產效率，降低運營成本，還能幫助企業改變生產方式和拓展業務能力。然而，隨著企業對信息技術的依賴程度不斷加深，所面臨的安全威脅也越來越嚴重，為了應對各種各樣的安全威脅，防火墻、入侵檢測系統、漏洞掃描系統、主機監控系統、網絡防病毒系統等安全設備在企業中得到了廣泛的應用。

對于很多大型企業的分支機構而言，他們往往部署在遠離企業總部所在的區域，網絡貿易、網上銀行、企業內部溝通等等網絡帶來的便利使他們的日常運營嚴重依賴于網絡，在安全威脅和網絡環境不斷發展變化的今天，也必然面臨著病毒、木馬、黑客攻擊等安全威脅，為了解決各種安全問題而部署大量的安全防護裝備所需要的金融成本和運營成本對這些企業而言是一筆巨大的支出，但如果不對這些分支機構進行安全性設計，往往會成為其所屬企業的安全隱患。為此，本文提出了一種大型企業分支機構的安全解決方案。

1 需求分析

結合分支機構面臨的安全風險，其安全需求主要包括從網絡、主機、應用和管理四個層面。

（1）網絡安全需求

由于企業總部及其分支機構所使用的信息系統依托的網絡系統運行的TCP/IP 協議并非專為安全通信而設計，所以網絡系統存在大量安全隱患和威脅。網絡入侵者一般采用預攻擊探測、竊聽等手段搜集信息，然后利用IP 欺騙、拒絕服務攻擊、分布式拒絕服務攻擊、篡改、堆棧溢出等手段對網絡實施攻擊。網絡安全需求主要包括數據加密傳輸、網絡資源的訪問控制、遠程接入的安全控制、網絡入侵檢測等。

（2）主機安全需求

主機安全是信息系統信息安全的重要保障，操作系統自身的脆弱性將直接影響到其上的所有的應用系統的安全性，但是由于現代操作系統的代碼龐大，各種系統在不同程度上都存在一些安全漏洞，此外由于系統管理員或使用人員對復雜的操作系統和其自身的安全機制了解不夠，配置不當也會造成主機安全隱患。主機安全需求包括用戶身份認證、外設訪問控制、病毒防護、用戶操作審計、文件的訪問控制等。

（3）應用安全需求

應用安全與應用系統直接相關，它既包括不同用戶的訪問權限設置和用戶認證、數據的加密與完整性確認，也包括對非法信息的過濾。應用層常見的攻擊手段包括SQL注入、跨站腳本攻擊、數據庫拒絕服務攻擊以及Cookie和Session欺騙等。應用安全需求主要涉及對用戶的識別、認證、安全審計以及數字簽名等方面，包括允許合法用戶以指定的方式訪問指定的信息，禁止合法用戶以任何方式訪問不允許其訪問的信息，禁止非法用戶訪問任何信息以及存儲用戶對信息的訪問記錄。

（4）安全管理需求

信息安全不僅有技術方面的因素，也有管理的因素，沒有嚴格的管理制度、負責的管理人員和到位的管理手段，就沒有真正的信息安全。安全管理需求包括管理制度的制定和執行以及安全管理手段的實施，管理制度包括安全制度、值班執勤制度等，安全管理手段的實施包括安全狀態監控以及安全事件分析處理等。

2 技術對策與措施

2.1 解決方案

為了解決分支機構的安全問題，一方面，需要企業根據其自身特點制定相應的安全制度，并配備相應的信息安全管理機構和人員，另一方面，需要一種功能完備、價格低廉、簡單實用的安全防護產品。目前，很多安全廠商對綜合安全防護技術進行了研究，推出了整合類安全產品，其中最典型的產品就是UTM（統一威脅管理，Unified Threat Management）。UTM設備一般具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能，這幾項功能可以根據實際需求來配置啟用。隨著產品和技術的發展UTM所包括的功能越來越多，除了上述的三項功能之外，還增加了反垃圾郵件、帶寬管理、日志管理等等。一般而言，市面上的UTM產品多數是以防火墻系統為核心，重點強調網絡邊界的訪問控制，但是對于企業內部的安全防控力度有限，對企業的整體安全狀態的把控能力不足。

為了滿足分支機構的各種安全防護需求，同時兼顧整體性、經濟型和便利性原則，本課題提出了一種綜合安全防護設備解決方案，如圖1所示，實現接入控制、邊界防護、病毒過濾、入侵防御、網絡防病毒、補丁管理、主機監控和安全管理等安全服務，并可依托企業總部的網絡防病毒系統、補丁管理系統、入侵檢測系統、漏洞掃描系統、防病毒過濾網關等提供病毒、補丁、事件庫的升級等安全服務和遠程技術支持，向總部報告本地的病毒爆發、補丁更新、安全事件等安全信息，從而有效地提升分支機構的安全防護水平，并降低安全管理的經濟與運營成本。

圖1 綜合安全防護設備解決方案

為了實現上述目標，綜合安全防護設備中集成的安全組件包括防火墻、入侵防御系統、防病毒過濾系統、網絡防病毒系統、主機監控系統、補丁管理系統等，用戶可以根據實際情況進行剪裁：

（1）防火墻：在被保護的內部網絡與不安全的非信任網絡之間設立唯一的通道，按照設定的規則和策略對經過其間的數據包進行檢查，從而達到保護內部網絡的信息不受外部非授權用戶訪問的目的；

（2）入侵防御系統：通過對網絡流量的深層次分析，及時準確的發現各類入侵攻擊行為，并執行實時精確阻斷，主動而高效地保護用戶網絡安全；

（3）網絡防病毒系統：針對網絡中所有可能的病毒攻擊設置對應的防護策略，通過制定各種安全策略實現自動病毒查殺、系統自動修復、全網絡病毒庫自動更新等功能，有效抵御病毒入侵，從而達到病毒防護的目的；

（4）防病毒過濾網關：能夠防范非法訪問和病毒、蠕蟲等安全事件擴散，利用靈活的過濾策略，過濾計算機病毒、蠕蟲、垃圾郵件等有害數據；

（5）主機監控系統：對服務器和終端的外設、端口以及重要信息等訪問控制、保護和日志記錄，有效防止內部網絡重要信息通過各種可能途徑被非法泄漏和破壞；

（6）補丁管理系統：搜索操作系統和應用程序中存在的安全漏洞，并為系統中存在的安全漏洞提供補丁管理功能，用以完善和加固終端，最大限度地降低網絡運行的風險；

（7）數據庫審計系統：監測和采集數據庫系統中的安全事件、用戶登錄行為、用戶操作行為以及數據庫的使用情況等信息，以統一的格式進行集中存儲和管理，并對數據庫系統的安全狀況進行審計；

（8）漏洞掃描系統：分析和發現有關網絡的安全漏洞及系統的薄弱環節，給出詳細的檢測報告，并能針對檢測到的網絡安全隱患給出相應的修補措施和安全建議；

（9）安全管理系統：統一管理綜合安全防護設備中的各種安全組件，通過對安全策略進行統一配置，對安全事件進行統一收集，實現對信息系統的安全狀態的實時監控和管理功能。

3.2 硬件設計

為了將所有安全組件有效整合，集成到同一硬件系統中，方便用戶進行統一的管理維護，同時兼顧系統自身的安全性、可靠性和穩定性，本文提出了雙主機集中管理解決方案。首先從硬件上將兩臺主機集成到一個設備中，兩個主機之間通過內部PCI-E總線直接連接，保證兩臺主機之間高速穩定的通訊，如圖2所示。其次，根據安全組件的特性，我們將其劃分為邊界安全防護模塊和內網安全防護模塊，其中邊界安全防護模塊由防火墻、入侵防御系統等安全組件構成，內網安全防護模塊由網絡防病毒系統、主機監控系統等組成，在兩臺主機上分別安裝邊界安全防護模塊和內網安全防護模塊。在防火墻上開辟專門的區域與內網安全防護模塊連接，使針對內網安全防護模塊的所有通訊都要經過防火墻的檢查和過濾，從而保證內網安全防護模塊的安全性。通過這種方式，可實現安全組件的集中管理，方便管理員日常工作，而且雙主機的硬件方案是網閘產品慣用的硬件結構，穩定可靠，供應商豐富，同時雙主機系統性能有保證，同時還可以降低單點故障造成的安全防護功能全盤癱瘓的風險。在此基礎上，通過融合現有的一些安全防護軟件或系統，并單獨開發統一的管理程序，可以實時的監控兩臺主機上運行的各種應用的狀態，并可以對各應用進行調用和監控管理。

3.3 軟件架構

綜合安全防護設備的軟件體系結構主要由安全組件層、數據采集層、監控管理層、用戶展示層和知識庫等部分組成，系統體系結構如圖3所示。

圖2 硬件設計

圖3 系統體系結構

（1）安全組件層

安全組件層由各種被管理的安全組件構成，包括防火墻、入侵防御系統、網絡防病毒系統、補丁管理系統、主機監控系統、防病毒過濾網關等。

（2）數據接口層

數據接口層根據安全組件的自身特點，通過SYSLOG、SNMP、ICMP、ARP、CDP、JDBC/ODBC、TELNET、SSH/HTTP以及其他自定義接口等與各種安全組件進行信息交互。

（3）數據采集層

數據采集層通過與數據接口與安全組件進行交互，完成安全事件、組件狀態等信息的采集與匯總功能。數據采集層是綜合安全防護設備的基礎，既要支持豐富的采集對象，又要采用開放的構架，盡可能做到即插即用。信息采集層主要實現數據采集和數據預處理兩大功能：數據采集是利用接口轉換工具，從各種安全組件自帶的Syslog、SNMP等標準接口以及定制接口，實現各種安全組件的狀態信息、事件信息、策略信息和管理信息等的采集；數據預處理是為了消除各類數據的異構性，將采集到的事件、狀態、策略等信息進行去冗余、轉換、歸并的操作，完成信息初步篩選，實現數據標準化、分類、合并和過濾，通過預定義的標準數據格式，將來自不同安全組件所捕捉的事件信息或報警信息進行統一類型規范處理，處理之后形成一種能夠被系統理解和處理的信息。

◆事件采集：基于SNMP協議、Syslog協議等實現儲存于各種安全組件中的安全事件信息的采集；

◆標準化：將通過數據采集機制獲得的不同途徑，非同源信息以統一規范的格式進行標準化處理，標準化內容包括數據格式標準化、字段名字標準化、事件名稱標準化，統一事件標識等；

◆事件儲存：儲存標準化后經過歸并與過濾處理后的安全事件數據；

◆狀態采集：采集安全組件的各種相關狀態信息；

◆漏洞采集：通過漏洞掃描與本地漏洞信息匹配的方式收集信息系統內終端、服務器以及應用的漏洞信息；

◆配置采集：基于SNMP協議，文本傳輸協議等采集安全組件的配置信息。

（4）監控管理層

監控管理層將數據采集層采集到的數據進行分析處理，實現對安全組件策略監控與配置、運行狀態監控，以及對病毒爆發、漏洞分布、入侵事件分布等狀態的監控，并在信息采集與監控的基礎上，通過登錄控制、設備管理、監控管理、告警管理等手段，實現對信息系統安全狀態的運維支持。

◆門戶管理：提供統一的管理平臺，實現對各種安全組件的統一的管理入口，并提供單點登錄的功能；

◆策略管理：實現對安全組件和綜合安全防護設備自身的安全策略的審閱、維護和修改等功能；

◆系統管理：實現對系統自身的用戶權限、安全配置、運行參數配置、安全策略、級聯策略等的管理功能；

◆事件管理：實現安全事件采集、分析、監控、告警等功能；

◆監控管理：通過監控網絡各安全組件的原始日志信息，以及關聯分析后的事件信息等，及時發現正在和已經發生的安全事件；

◆報表管理：為各種安全組件及系統自身的相關功能提供報表支持，利用所保存的數據進行各類統計分析，生成各類報表；

◆用戶管理：提供用戶的添加、刪除和修改等功能；

◆權限管理：提供對系統管理員、操作員以及審計員等多種不同角色的定義和分配等功能，并支持權限劃分；

◆審計管理：對各類安全審計信息進行統計分析。

（5）用戶展示層

用戶展示層為用戶提供監控視圖、統計視圖和運維視圖。

◆監控視圖：展示漏洞分布、病毒爆發分布、入侵事件分布等監控狀態；

◆審計視圖：展示系統自身的用戶操作、事件處理等信息以及各種安全組件的用戶操作、事件處理等信息；

◆運維視圖：展示系統自身及各種安全組件的運維管理等信息。

（6）知識庫

知識庫是綜合安全防護設備的數據中心，包括：

◆漏洞庫：提供安全漏洞的國際通用編號、利用途徑以及威脅程度；

◆資料庫：提供基礎信息安全知識和資料供安全管理人員查閱；

◆事件庫：提供系統自身及各種安全組件的安全事件信息庫及升級包；

◆策略庫：提供標準的安全策略模板，供系統用戶參照比對。

3.4 關鍵技術設計

綜合安全防護設備是部署在網絡邊界上的核心安全產品，本身提供了大量的安全功能，因此設備自身的安全性非常重要，一旦設備本身被攻破或搭載的安全組件被攻破將對用戶的業務系統及數據造成致命的影響，因此設備的自身安全性設計是綜合安全防護設備的關鍵技術。

邊界安全防護模塊為了確保網絡邊界安全，應部署在信息系統的邊界處，必然會暴露在外部網絡之前，但是內網安全防護模塊和綜合管理模塊則不必如此，由于網關設備的位置部署在網絡邊界，無形之中將內網安全防護模塊推到了網絡邊緣，使安全風險加大了很多。

為了提升綜合安全防護設備的自身安全性，將內網安全防護模塊劃分到一個安全域中，就像通常防火墻DMZ區一樣，對外通訊使用管理接口IP地址，通過綜合安全防護設備中提供的雙向地址轉換功能很好地隱藏起來，讓外界感知不到這些安全組件的存在，而內部網絡中的管理控制臺（客戶端）可以通過配置后連接統一的管理IP地址，對所有集成的安全組件分別進行管理，如圖4所示。綜合安全防護設備一般情況下只對外開放管理IP地址和端口，而且可以針對IP地址配置訪問控制列表，限制可訪問該管理IP地址的范圍，這樣就可以保證內網安全防護模塊和綜合管理模塊不會直接對外部網絡開放數據，因而外部網絡無法直接訪問這些系統資源，這樣就使得內網安全防護模塊始終處在邊界安全防護模塊的保護之下。同時，在防火墻系統中預制好相應的安全策略，對內網安全防護模塊中的安全組件所需的端口進行精確控制，僅對外開放必需的服務端口，其他通訊端口全部關閉，從而有效降低外部的惡意攻擊的風險，保障內網安全防護模塊的安全運行。

圖4 信息關系

此外，還應遵循最小特權的原則對綜合安全防護設備依托的底層操作系統進行安全的加固，提升操作系統的穩定性安全性。同時，對WEB管理界面和SSH管理界面等默認管理端口進行修改，并配置安全策略對管理主機的IP地址范圍進行限制，在一定程度上避免非授權的訪問和攻擊。

4 結論

通過將網絡邊界安全和內網安全進行有效整合設計的綜合安全防護設備將多種安全組件應用集成到同一設備中，集邊界訪問控制、入侵防御、網絡防病毒、主機監控等多種安全功能，重點解決了多種產品共同管理的問題、綜合分析協同處理的問題、人力資源不足的問題、解決遠程管理的問題以及安全體系的拓展問題，構建了從邊緣到內部、從網絡到主機的多層次立體化的網絡安全防護體系，使用戶能夠以最小的投入獲得完善的安全解決方案體驗。

[1]劉積芬.網絡入侵檢測關鍵技術研究[D].上海：東華大學，2013.

[2]劉鑫.網絡入侵檢測系統中模式匹配算法的應用研究[D].大連海事大學，2013.

[3]王友釗，黃冬.一種提高系統搜索效率的BM改進算法[J].計算機工程，2014．

[4]張宏莉，徐東亮，梁敏，劉宇峰.海量模式高效匹配方法研究[J].電子學報，2014.

[5]王正才，許道云，王曉峰.基于自動機并操作的多目標AC-BM算法[J].計算機科學，2013.