時間:2023-06-07 09:01:20
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇網絡安全內網管理,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞:無線網絡;安全風險;安全防范
1概述
醫院內部無線網絡(Hospital Internal Wireless Networks),既包括允許用戶在醫院內部范圍內建立遠距離無線連接的網絡。
2009 年,國家新醫改政策出臺,其中信息系統首次成為我國醫療衛生體系建設的重要支撐。醫院信息系統經過多年的發展,已經由以財務為核心的階段過渡到以臨床信息系統為核心的階段,因此越來越多的醫院開始應用無線網絡,實施以患者為核心的無線醫療信息系統。隨著無線網絡技術的日趨成熟,醫院內部無線網絡在全球范圍內醫療行業中的應用已經成為了一種趨勢,在今后的醫院應用中將會越來越廣泛。通過無線醫療信息系統的應用,既拉近了與患者之間的距離,提高了醫療服務的效率和質量,也加強了醫院的綜合管理。
2醫院內部無線網絡的安全風險
隨著醫院對無線醫療信息系統應用的不斷深入,醫院對于內部無線網絡的依賴程度也越來越深。醫院內部無線網絡作為原有醫院內部有線網絡的補充,擴展了有線網絡的應用范圍,但是也將相對封閉的醫院內部有線局域網絡環境轉變成了相對開放式的網絡環境。其安全性不僅影響到醫院內部無線醫療信息系統的使用,同樣也影響到與其相連的有線網絡環境中應用的其他醫院信息系統。因此醫院內部無線網絡的安全將直接影響到醫院整體信息系統的安全。醫院內部無線網絡一旦被破壞,將會造成醫院信息系統的數據被竊取、網絡癱瘓、醫療業務被中斷等等一系列嚴重的后果。由于醫院醫療數據的敏感性,以及無線網絡通過無線信號傳輸的特性,使得醫院內部無線網絡面臨的安全風險越來越突出。
根據相關運行情況分析, 醫院內部無線網絡主要存在以下安全問題:①非法AP的接入:無線網絡易于訪問和配置簡單的特性,使醫院內部網絡管理員和信息安全管理員非常頭痛。因為任何人都可以通過自己購買的AP利用現有有線網絡,繞過授權而連入醫院內部網絡。用戶通過非法的AP接入手段,可能會給醫院整體內部網絡帶來很大的安全隱患。②非授權用戶的接入:非授權用戶往往利用各類無線網絡的攻擊工具搜索并入侵,從而造成很嚴重的后果。非授權用戶的入侵會造成網絡流量被占用,導致網絡速度大大變慢,降低網絡帶寬利用率;某些非授權用戶會進行非法篡改,導致醫院內部無線網絡內的合法用戶無法正常登陸;更有部分非授權用戶會進行網絡竊聽和數據盜竊,對病人以及醫院整體造成相當大的損失。③服務和性能的影響:醫院內部無線網絡的傳輸帶寬是有限的,由于物理層的開銷,無線網絡的實際最高有效吞吐量僅為標準的50%。醫院內部無線網絡的帶寬可以被幾種方式吞噬,造成服務和性能的影響:如果攻擊者從以太網發送大量的Ping流量,就會輕易地吞噬AP的帶寬;如果發送廣播流量,就會同時阻塞多個AP;傳輸較大的數據文件或者運行復雜的系統都會產生很大的網絡流量負載。④地址欺騙和會話攔截:由于醫院內部使用無線網絡環境,攻擊者可以通過地址欺騙幀去重定向數據流和使ARP表變得混亂。通過一些技術手段,攻擊者可以獲得站點的地址,這些地址可以被用來惡意攻擊時使用。攻擊者還可以通過截獲會話,通過監測AP,然后裝扮成AP進入,攻擊者可以進一步獲取認證身份信息從而進入網絡。⑤數據安全問題:由于無線網絡的信號是以開放的方式在空間中傳送的,非法用戶、黑客、惡意攻擊者等會通過破解用戶的無線網絡的安全設置,冒充合法識別的身份進入無線網絡進行非法操作,進行竊聽和截取,從而達到不法操作或破壞信息的目的,從而給醫院帶來相對應的損失。
3醫院內部無線網絡的安全防護目標
早期的無線網絡標準安全性并不完善,技術上存在一些安全漏洞。隨著使用的推廣,更多的專家參與了無線標準的制定,使其安全技術迅速成熟起來。具體地講,為了有效保障無線網絡的安全性,就必須實現以下幾個安全目標:①提供接入控制:通過驗證用戶,授權接入特定的資源,同時拒絕為未經授權的用戶提供接入。②確保連接的保密與完好:利用強有力的加密和校驗技術,防止未經授權的用戶竊聽、插入或修改通過無線網絡傳輸的數據。③防止拒絕服務攻擊:確保不會有用戶占用某個接入點的所有可用帶寬,從而影響其他用戶的正常接入。
4醫院內部無線網絡的安全防護技術
無線網絡的安全技術這幾年得到了快速的發展和應用,下面是目前業界常見的無線網絡安全技術:
4.1服務區標識符(SSID)匹配 SSID(Service Set Identifier)將一個無線網絡分為幾個不同的子網絡,每一個子網絡都有其對應的身份標識(SSID),只有無線終端設置了配對的SSID才接入相應的子網絡。所以可以認為SSID是一個簡單的口令,提供了口令認證機制,實現了一定的安全性。
4.2無線網卡物理地址(MAC)過濾 每個無線工作站網卡都由唯一的物理地址(MAC)標識,該物理地址編碼方式類似于以太網物理地址。網絡管理員可在無線網絡訪問點AP中維護一組(不)允許通過AP訪問網絡地址列表,以實現基于物理地址的訪問過濾。
4.3無線接入點(AP)隔離 AP(Access Point)隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法多用于對酒店和機場等公共熱點(Hot Spot)的架設,讓接入的無線客戶端保持隔離,提供安全的網絡接入。
4.4有線等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b標準規定的一種被稱為有線等效保密的可選加密方案,其目的是為無線網絡提供與有線網絡相同級別的安全保護。WEP是采用靜態的有線等同保密密鑰的基本安全方式。WEP2,是根據WEP的特性,為了提供更高的無線網絡安全性技術而產生。該技術相比WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量的長度由24位加長到128位。
4.5端口訪問控制技術(IEEE802.1x)和可擴展認證協議(EAP) IEEE802.1x提出基于端口進行網絡訪問控制的安全性標準,利用物理層特性對連接到網絡端口的設備進行身份認證。如果認證失敗,則禁止該設備訪問網絡資源。
IEEE 802.1x引入了PPP協議定義的可擴展認證協議(EAP)。作為可擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
4.6無線網絡訪問保護(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技術-TKIP (Temporal Key Integrity Protocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。
WPA2是基于WPA的一種新的加密方式,向后兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。
4.7高級的無線網絡安全標準(IEEE 802.11i) IEEE 802.11i安全標準是為了增強無線網絡的數據加密和認證性能,定義了RSN(Robust Security Network)的概念,并且針對WEP加密機制的各種缺陷做了多方面的改進。IEEE 802.11i規定使用802.1x認證和密鑰管理方式,在數據加密方面,定義了TKIP、CCMP和WRAP三種加密機制,使得無線網絡的安全程度大大提高。
5醫院內部無線網絡的安全實現
5.1合理放置無線設備 無線網絡的信號是在空氣中傳播的,任一無線終端進入了設備信號的覆蓋范圍,都有可能連接到該無線網絡。所以醫院內部無線網絡安全的第一步就是,合理規劃AP的放置,掌控信號覆蓋范圍。在架設無線AP之前,必須選定一個合理的放置位置,以便能夠限制信號在覆蓋區以外的傳輸距離。最好放在需要覆蓋的區域中心,盡量減少信號泄露到區域外。
5.2無線網絡加密,建立用戶認證 對于醫院內部無線網絡的進行加密,建立用戶認證,設置相關登錄用戶名和密碼,而且要定期進行變更,使非法用戶不能登錄到無線設備,修改相關參數。實際上對無線網絡來說,加密更像是一種威懾。加密可細分為兩種類型:數據保密業務和業務流保密業務。只有使用特定的無線網絡加密方式,才會在降低方便性的情況下,提高安全性。
5.3 SSID設置 無線 AP 默認的設置會廣播SSID,接入終端可以通過掃描獲知附近存在哪些可用的無線網絡,例如WINDOWS自帶掃描功能,可以將能聯系到的所有無線網絡的 SSID 羅列出來。因此,設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串,同時設置SSID隱藏起來,接入端就不能通過系統自帶的功能掃描到這個實際存在的無線網絡,即便他知道有一個無線網絡存在,但猜不出 SSID 全名也是無法接入到這個網絡中去,以此保證醫院內部無線網絡的安全。
5.4 MAC地址過濾 MAC 地址過濾在有線網絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網絡中操作交換機的方式一致。通過無線控制器將指定的無線網卡的MAC 地址下發到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
5.5 SSL VPN 進行數據加密和訪問控制 由于在實際醫療活動中,為了滿足診斷、科研及教學需要,必須經常大量采集、、利用各種醫療數據。由于原有醫院網絡的相對封閉性,絕大多數的應用系統采用的都是未經加密的數據包進行數據交換,但是醫院內部無線網絡是相對開放性的網絡,入侵者通過對無線信號中數據包的偵聽與解析,使得醫療信息泄漏成為了醫院不得不面對的問題。SSL VPN 即指采用SSL 協議來實現遠程接入的一種VPN技術。SSL VPN 基于瀏覽器的認證方式,能兼容醫院主流的無線終端設備操作系統,如Windows、Android、IOS,而VPN 的方式又能保證醫院信息系統的正常運行。SSL VPN在解決醫院無線網絡數據加密的同時,最大限度地保障了醫院信息系統的投資。
5.6核心網絡隔離 一旦攻擊者進入無線網絡,它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼,以防止非法攻擊, 但是在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干,但這樣會使網絡暴露在攻擊者面前。所以必須將無線網絡同易受攻擊的核心網絡進行一定的安全隔離保護,應將醫院內部無線網絡布置在核心網絡防護外殼的外面, 如防火墻、網閘等安全設備的外面,接入訪問核心網絡采用SSL VPN等方式。
5.7入侵檢測系統(IDS) IDS(Intrusion Detection Systems)入侵檢測系統,不是只針對無線網絡檢測的系統,同樣也適用于有線網絡。入侵檢測技術可以把無線網絡的安全管理能力擴展到安全審計、安全檢測、攻擊識別和響應等范疇。這樣不僅提高了網絡的信息安全基礎結構的完整性,而且幫助對付惡意用戶對整體醫院網絡內其他用戶的攻擊。依照醫院無線應用系統的安全策略,對網絡及信息系統的運行狀況進行監視,發現各種攻擊企圖、攻擊行為及攻擊結果,以保證網絡系統資源的完整性、可用性和機密性。
5.8終端準入控制 終端準入控制主要為了在用戶訪問網絡之前確保用戶的身份信任關系。利用終端準入控制,醫院能夠減少對系統運作的部分干擾,因為它能夠防止易損主機接入網絡。在終端利用醫院內部無線網絡接入之前,首先要檢查它是否符合制定的策略,可疑主機或有問題的主機將被隔離或限制接入。這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭,保證只有在滿足終端準入控制策略的無線終端設備才能接入醫院網絡。
6結論
隨著無線網絡越來越受到普及,本文淺析了醫院內部無線網絡存在的幾種安全隱患,并探討了對應的幾種防范策略。總的來說,世界上不存在絕對安全的網絡,任何單一的安全技術都不能滿足無線網絡持續性的安全需求,只有增強安全防范意識,綜合應用多種安全技術,根據不同的醫院自身應用的特點,選擇相應的安全防范措施,通過技術管理和使用方法上的不斷改進,才能實現醫院無線網絡的安全運行。
參考文獻:
[1]Zerone無線安全團隊.無線網絡黑客攻防[J].中國鐵道出版社,2011(10).
[2]中國密碼學會,無線網絡安全[J].電子工業出版社,2011(9).
關鍵詞:內部網絡;安全;Web Service
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系統安全模型
內網即Intranet,是相對于外網Extranet而言的。廣義上人們認為所有的黨政機關、企事業單位的內部網絡都稱為內網,而狹義上我們認為與互聯網物理隔離的辦公網、局域網、城域網或是廣域網都可能是內網。在內網安全監管審計系統中,我們所定義的內網是指物理上直接連接或通過交換機、路由器等設備間接連接的企業內部信息網絡,它可以是單一的局域網,也可以是跨越Internet的多個局域網的集合。如圖1所示,是典型企業局域網網絡拓撲圖。
圖1.企業局域網網絡拓撲圖
內部網絡安全管理系統的目的就是通過系統部署,能在企業內網中,建立一種更加全面、客觀和嚴格的信任體系和安全體系,通過更加細粒度的安全控制措施,對內網的計算機終端行為進行更加具有針對性的管理和審計,對信息進行生命周期的完善管理,借助這個整體一致的內網安全管理平臺,為內網構建一個立體的防泄密體系,使內網達到可信任、可控制和可管理的目的。根據P2DR安全模型得出結論,要實現內網的安全,必須做到及時的檢測、響應。因此,內部網絡安全管理系統的安全模型是基于靜態的安全防護策略,覆蓋了P2DR安全模型中的防護、檢測和響應三個階段,由安全策略、策略執行、監控響應、審計和管理支持五個環節組成。
安全策略是整個內網安全監管審計系統的核心,它滲透到系統的策略執行、監控響應、審計、管理支持等各個環節,所有的監控響應、審計都是依據安全策略實施的。安全策略包括監控策略、審計策略、響應策略、系統管理策略。管理支持是指系統管理員操作的相關接口,即用戶界面。它提供對系統運行相關參數的配置、各類策略的制定、系統的授權管理操作。策略執行是指通知制定的策略,并確保策略的成功實施。監控響應是根據制定的安全策略,對系統管理員和內網的計算機終端活動進行監測和響應,提供對安全事件的記錄和上報。它是強制實施安全策略的有利工具,也是內網安全監管審計系統最為重要的一個環節,是系統功能的核心,主要通NDIS-HOOK數據包技術、Win Pcap網絡管理技術等來實現。審計是指對安全事件的報警、日志的統計分析。安全事件是由“監控響應”環節生成的。根據安全事件的嚴重程度,按照報警策略,向系統管理員提供能夠報警信息。
二、系統結構設計
(一)系統功能
系統的總體設計,旨在從系統應用的角度,明確系統的功能;從系統開發的角度,設計系統的邏輯結構模塊,便于編程實現;從系統部署的角度,規劃系統的物理結構分布以實施系統的運行。內網安全網絡管理系統的目的是構建一個整體一致的內網安全體系,從網絡協議方面看,內網安全監管審計系統適合于任何基于TCP/IP協議的網絡,不管是Internet還是Intranet,都能充分發揮作用。從操作系統方面看,內網安全監管審計系統主要針對目前主流的Windows桌面操作系統,包括Windows2000,Windows XP,可隨著操作系統的發展和用戶的實際需求,開發相應的適用版本。
從用戶群方面看,內網安全監管審計系統適用于幾乎所有對內網安全管理有需求的單位,特別是黨政軍警機要部門、國家核心技術研究院所、高新科技企業、金融機構等部門。根據對內網安全產品的分析和內網安全的特點,內部網絡安全管理系統的功能主要包括接入控制,行為監控,網絡管理,補丁管理,實時監聽,WEB管理平臺六個方面,并且這六個方面是緊密結合、相互聯動的。
(二)客戶端模塊設計
1.接入控制線程:包括終端接入控制,非法外聯實時監測和策略管理模塊,實現終端信息注冊、用戶登錄、登錄策略更新、客戶端軟件安裝版本驗證、客戶端操作系統版本及補丁驗證、客戶端殺毒軟件版本驗證、安全策略版本驗證、安全策略更新以及網絡層防護策略,包括IP地址訪問控制、TCP端口訪問控制、UDP端口訪問控制、IP地址+端口號的訪問控制,終端流量的監控等功能。
2.客戶端監控線程:包括終端軟件安裝管理,終端進程管理,終端殺毒軟件管理模塊,用于監控終端行為并根據策略對違規行為進行處理,同時加密發送事件報警信息并記錄日志。具體做法是讀取終端安全策略,根據安全策略進行進程運行監控、服務運行監控、軟件安裝監控、網絡流量監控,并對違規事件進行事件告警和日志記錄等功能。
3.終端實時控制監聽線程:包括點對點實時監控管理模塊,接收服務端實時查詢消息,獲取客戶端運行時信息,包括系統CPU使用率,內存,硬盤使用情況,系統進程列表,系統服務列表、硬件清單、安裝程序清單和網絡流量,并把終端信息加密發送到服務器。
4.補丁管理線程:包括操作系統版本和補丁管理模塊,掃描本機注冊表中的Hot fix項,得到本機的補丁安裝信息,對比指派給本機的補丁策略,得到需要下載安裝的補丁列表,再從局域網服務器下載并安裝相應補丁。
(三)服務器模塊設計
1.內網終端安全主程序:負責啟動或停止登錄驗證進程、運行狀態監控進程、終端實時控制信息進程。維護進程之間的共享數據(終端會話列表),實時策略下發功能。
2.登錄驗證進程:包括終端注冊管理、終端登錄管理、TCP監聽、加解密密鑰協商、策略下發模塊。實現監聽終端請求,接收并解密客戶端消息,處理終端注冊請求,并記入數據庫;處理終端的登錄請求,驗證終端的登錄信息,驗證通過后向客戶端發送最新安全策略。
3.運行狀態監控進程:包括探測消息,終端告警消息處理模塊,實現探測消息接收,以確定客戶端是否在線,并修改終端會話狀態;接收終端告警消息,進行解密處理并將相關信息記入數據庫,以便管理員查詢。
4.終端實時控制信息進程:包括終端信息實時查詢和策略下發模塊。接收客戶端程序發來的終端信息,為WEB服務提供終端信息實時查詢的功能。另外在管理員通過WEB界面更改策略后,后實時向相關終端下發最新策略。
5.網絡管理進程:基于Win Pcap實現防止局域網A印欺騙的功能。Win Pcap(windows packet capture)它具有訪問網絡底層的能力,提供了捕獲原始數據包,按照一定規則過濾數據包,以及發送原始數據包功能。通過捕獲并分析局域網的網絡數據包,可以判斷局域網是否發生欺騙,進而采取措施來防止欺騙。
6.補丁管理進程:基于CXF和WSS4J的安全的Web.Service實現,通過這種方式從遠程TJHN服務器獲取最近補丁列表,通過比對當前本機服務器獲取遠程補丁列表,從官方網站下載所需補丁。
(四)Web管理平臺模塊設計
用戶管理模塊:對可以登錄Web的用戶進行管理;提供用戶登錄。終端審批模塊:對申請接入的終端請求進程審批。策略配置模塊:對單個策略進行管理,主要包括進程,服務,安裝軟件的黑白名單策略,網絡過濾策略,流量閡值設置;對策略分組進行管理。終端查詢模塊:向終端發送點對點消息,查詢并展示實時的終端運行信息,包括CPU占用率,硬盤,內存使用情況,運行進程,服務,安裝軟件,實時流量信息。日志查詢模塊:查詢終端運行告警日志,包括運行進程告警,服務告警,安裝軟件告警,流量異常告警,網絡阻斷告警。
參考文獻:
[1]黃澤界.一種遠程視頻監控系統的實現[J].安防科技,2008,2
[2]胡愛閩.基于DM642的網絡視頻監控系統[J].安防科技,2008,9
[3]王文聯,侯,周先存.基于NDIS中間驅動程序的防火墻的研究與實現[J].安徽建筑工業學院學報(自然科學版),2004,1
[4]胡珊,張冰.利用SPI控制計算機上網[J].鞍山科技大學學報,2004,5
總體管理要求
首先看一下數字出版的特點。
數字業務形態多樣:目前數字出版產品形態主要包括電子圖書、數字報紙、數字期刊、網絡原創文學、網絡教育出版物、網絡地圖、數字音樂、網絡動漫、網絡游戲、數據庫出版物、手機出版、App應用程序等,豐富的業務形態要求網絡提供多種接入方式、多種內容共享方式,同時要保證安全。
強調對數字化資源的管理:國外知名出版公司特別強調對數字化資源的管理,很多公司通過建設自己的內容管理平臺來更有效地建設、管理和重用數字化資源。湯姆森公司委托其下屬的Course Technology、Delmar、Promotric和NETg開發內容管理平臺LLG,計劃五年內完成;培生內部已經運行了WPS,與前臺的Coursecompass結合以更加有效的建設模式為學校提供服務;麥格勞-希爾出版公司已經成功地將內容管理平臺運用在百科全書的出版上。
整體安全性要求高:數據化資源對整體安全性要求較高,現在網上支付手段豐富,如快錢、Paypal、支付寶等都需要在純凈的網絡環境進行操作,以保護機構和個人財產安全;要求建立完善的數字版權機制,保障作者、編輯單位的合法權益;網上交易和傳播的數字內容越來越多。網絡安全形勢十分嚴峻,域名劫持、網頁篡改等事件時有發生,給網民和機構造成了嚴重影響和重大損失。工業和信息化部2010年的數據表明,僅中國網民每年需要為網絡攻擊支付的費用就達到153億元之多。
筆者認為,網絡的應用在出版機構一般經過三個發展階段:第一為溝通交流階段,在這個階段,出版機構的工作人員上互聯網、了解外界知識、通過即時通信工具溝通信息等。第二階段為管理應用階段,在這個階段,工作人員通過網絡協同辦公,出版機構采用ERP、財務管控系統等內部業務管理系統。第三階段為創造、創新階段,出版機構使用綜合業務系統進行數字內容收集、組織或加工,形成數字資產,通過網絡進行推廣。
根據這三個階段的應用特點,可以將管理要求歸結為:第一個階段應用比較簡單,用戶都可以使用網絡,要求網速快、安全性要求不高;第二個階段,并非所有用戶都能進入內部網絡,設定上網權限,同時能對帶寬進行有效管理,防止員工濫用網絡而擠占主要業務的網絡帶寬,防止堡壘在內部被攻破;第三個階段有了較多的數字資產,要防止網窺和盜竊行為發生,主動防御來自互聯網端的威脅,防止業務流數據和內容數據出現問題,保證數據安全,即能處理來自外部、內部的威脅,保存好數據,防范非法入侵。
管理及技術分析
根據數字出版的業務特點,筆者總結了消除網絡安全隱患的策略。
在第一應用階段,網絡中有防火墻、核心路由等元素,要保障物理線路暢通,具備一定的安全性。篇幅所限,這里不詳細描述了。
第二應用階段要求建立終端準入機制和應用控制機制。
此階段遇到的挑戰:用戶多導致內部安全問題,帶寬濫用情況嚴重。內網的安全事件約有70%來源于內網的接入終端,雖然網絡中使用了一些安全措施如應用防火墻、網絡設備訪問控制規則等改進了網絡的安全性,但由于網內終端數量較大、Windows系統的不穩定和多處漏洞,終端用戶的應用水平參差不齊等造成內網安全事件頻發。對內網終端的安全隱患管理和處理方法概括如下:建立用戶接入準入制度,防止截取地址信息隨意接入,對合法用戶接入訪問權限進行細化,加強整網應用安全機制。
同時,應用也存在監管的問題,如員工在日常工作時間進行P2P下載、看影視等從而擠占正常業務的網絡帶寬。因此,系統中要設應用控制網關,對帶寬進行有效管理,提供足夠帶寬給ERP、財務處理等主要業務,滿足吞吐量要求。網內用戶上網行為復雜,網絡中的異常流量、即時通信流量逐步增大,侵占了原本就不富余的出口帶寬;爆發內網安全事件時也會出現相應的流量異常,因此網內要設有行之有效的流量控制和分析手段,以便對網絡進行流量監管以及安全事件的快速定位。
在第三應用階段,可通過入侵檢測系統進行主動防御,對入網設備進行終端準入,建立獨立存儲甚至遠程異地災備系統。網絡入侵防御系統是一種在線部署產品,旨在準確監測網絡異常流量,自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷,而不是在監測到惡意流量的同時或之后才發出告警。這類產品彌補了防火墻、入侵檢測等產品的不足,提供動態的、深度的、主動的安全防御,提供一個全新的入侵保護。
第三階段是較高級應用階段,因數字出版應用內容豐富、強調應用安全、響應速度,網絡技術參數設定要對應用需求有足夠響應。
安全網絡應用實例
下面是一個出版公司在保障網絡安全方面的具體方案,其他數字出版企業也可以從中借鑒。
一、使用一臺IP存儲解決專業存儲問題。
信息或數據在IT系統中,必然處于計算、存儲、傳輸三個狀態之一。這三個方面也正好對應于整個IT架構的三個基礎架構單元――計算、存儲和網絡。該方案選用一套高端SAN存儲作為整個信息系統的核心在線存儲。
該方案中,核心存儲設備通過IP SAN交換機與局域網多臺服務器建立連接。服務器通過普通千兆網卡或iSCSI HBA卡接入IP SAN。核心存儲設備提供海量存儲空間,實現高穩定性、高可靠性的數據集中和存儲資源統一管理。核心存儲設備可以混插高性能的SAS磁盤和大容量的SATA II磁盤,單臺設備即可滿足兩種不同的應用需求,大大提高設備性價比。核心存儲也可以滿足包括數據庫、Web、OA、文件等多個應用的集中訪問需求。ERP應用作為關鍵應用之一,IX3000存儲上為其提供獨立的存儲空間,并采用15000轉的SAS硬盤。
二、以應用控制網關解決帶寬利用和用戶上網行為監管問題。
公司員工越來越依賴于互聯網的同時,上網行為卻不能得到有效控制和管理,不正當地使用互聯網從事各種活動(如網上炒股、玩游戲等)會造成公司外網運行效率下降、帶寬資源浪費、商業信息泄密等問題。該公司的財務部曾反映,在制作半年報期間網絡時常不通,導致工作無法進行。經查是防火墻嚴重超負荷造成,負載時常超過90%,這些都是過度使用網絡資源產生的后果。
該公司的解決方案如下:在公司出口防火墻與核心交換機之間部署一臺應用控制網關。該網關可以很好地完成公司信息中心對員工行為監管的需求,針對P2P/IM、網絡游戲、炒股、非法網站訪問等行為,可以進行精細化識別和控制,解決帶寬濫用影響正常業務、員工工作效率低下、訪問非法網站感染病毒蠕蟲的問題,幫助公司規范網絡的應用層流量,為公司創造一個良好的網絡使用環境。
三、通過端點安全準入系統EAD解決終端安全問題。
為了彌補公司現有安全防御體系中存在的不足,公司部署了一套端點安全準入防御系統,旨在加強對員工電腦的集中管理,統一實施安全策略,提高網絡終端的主動抵抗能力。終端安全準入防御將防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系,通過對網絡接入終端的檢查、隔離、修復、管理和監控,使整個網絡變被動防御為主動防御,變單點防御為全面防御,變分散管理為集中策略管理,提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。
終端安全準入防御通過安全客戶端、安全策略服務器、接入設備以及病毒庫服務器、補丁服務器的相互配合,可以將不符合安全要求的終端限制在“隔離區” 內,防止“危險”客戶端對網絡安全的損害,避免“易感”客戶端受病毒、蠕蟲的攻擊。
四、使用入侵檢測系統阻止來自互聯網的攻擊行為。
在公司互聯網出口部署1套千兆硬件入侵防御系統,專門針對公司服務器應用層進行防護,填補防火墻安全級別不夠的問題,并與防火墻一起實現公司網絡L2-L7層立體的、全面的安全防護。
千兆高性能IPS入侵檢測系統可以針對公司Web服務器三層架構中的底層操作系統、中間層數據庫服務、上層網頁程序的每一層提供安全防護。為公司Web服務器提供包括漏洞利用、SQL注入、蠕蟲、病毒、木馬、協議異常等在內的應用層安全威脅的防范,防止網頁被篡改的發生,并在每檢測和阻斷一個針對Web服務器的安全威脅之后,記錄一條安全日志,為公司服務器的安全審計和安全優化提供全面的依據。
綜合管理措施
筆者認為,要維護數字出版公司網絡安全,在網絡綜合管理上要同時做好以下幾點:
制定合理有效的計算機網絡系統工作管理規定,明確責任,分工到人。
設置全集團(公司)網絡管理員制度,各分(子)公司專人對網絡和終端進行管理。
中心機房設置專人管理機房網絡設備,定期檢查并分析設備日志,定期升級軟件和補丁,防止“破窗”出現,發現異常及時處理。
定期召開網絡應用會議,通報網絡安全情況,部署下一階段工作重點。要打造一支能協同的團隊,這比單純有幾臺好設備要復雜,培訓、協同和組織要付出更多心血。
[摘 要] 目的: 醫院信息系統平臺逐漸成為醫院醫療業務的核心支撐平臺,須加強醫院信息系統安全;方法:通過網絡安全的綜合設計和實施,采用冗余設備、三層網絡架構、統一網管中心控制、虛擬網絡劃分、核心防火墻及IPS、堡凈統一管理設備、數據庫和網絡審計等多種技術,同時結合安全管理制度等;結果:構建較完備的醫院網絡安全體系,取得了良好的效果結果、結論 :信息系統安全是系統工程,要從各方面著手,防止短板。
[關鍵詞] 網絡系統安全;安全管理;管理制度;木桶原理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號] R197.3;TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫改的不斷深入,作為其重要支柱之一的醫院信息系統建設進入了高速發展的快車道,成為醫院日常醫療工作和管理工作的基礎平臺。2013年,我院新建了醫院信息系統項目,包括機房建設、網絡建設、軟件系統建設、硬件建設等部分。醫院特點決定醫院信息系統必須365*24小時不間斷正常運行,網絡、系統軟硬件的損壞和故障,或者是數據信息泄露,都會醫院帶來不可估量的損失,影響患者正常就診,甚至危及醫院的生存和發展。因此,構建安全的醫院網絡系統,保障系統和信息系統安全,是各醫院都很關心的問題。
醫院網絡安全系統是個系統工程,其符合“木桶原理”,系統的安全程度取決于最短的那塊板,我院從硬件、網絡、系統、審計監管、防病毒、安全制度等各個方面采取了多種措施,保障了信息系統安全、網絡安全。
1 網絡系統安全
1.1 鏈路安全
為避免核心網絡系統單點故障,提高網絡系統的健壯性、容錯性和性能,我院在網絡核心層采用了H3C的IRF2(Intelligent Resilient Framework,智能彈性架構)技術, IRF2將兩臺華三10508核心交換機通過IRF物理端口連接在一起,虛擬化成一臺邏輯核心交換設備,集合了兩臺設備的硬件資源和軟件處理能力,實現兩臺設備的統一簡化管理和不間斷維護,提高了網絡對突發事故的自動容錯能力,最大程序降低了網絡的失效時間,提高了鏈路的利用率和轉發效率。
在核心層10580交換機與會聚層5800交換機間采用萬兆光纖交叉互聯,線路間做鏈路聚合,增加鏈路帶寬、實現鏈路傳輸彈性和冗余。同時,核心交換機與會聚層交換機全部配備雙電源和雙風扇組,雙電源分別插兩路不同PDU電源插痤,盡量避免單點故障。
1.2 網絡層次分明,方便管理
數據中心服務器到所有的桌面終端計算機最多通過三層網絡,即核心層、會聚層和接入層,三層網絡交換機各師其職,層次分明。核心層是網絡的高速交換主干,負責數據轉發;匯聚層提供基于策略的連接,是網絡接入層和核心層的“中介”,工作站接入核心層前須先做匯聚,實施策略、安全、工作組接入、虛擬局域網(VLAN)之間的路由、源地址或目的地址過濾等多種功能,減輕核心層設備的負荷;接入層提供工作站接入網絡功能。同時,我院每棟業務樓都建設了網絡設備間,安裝了空調和不間斷電源,統一管理該樓內所有的會聚層和接入層交換機,保證所有的設備都有良好的運行環境,同時便于管理和維護。
1.3 劃分VLAN,提高性能和安全性
醫院信息系統服務主要以訪問數據庫服務器為主,數據縱向訪問多,橫向少,同時,我院許多樓又都綜合了門診住院醫療系統、醫技系統等,我們根據其特點,將網絡按樓宇劃分為10多個VLAN子網,并將有特殊需求的應用(如財務科賬務專網等),單獨劃分VLAN。通過VLAN劃分,控制廣播范圍,抑制廣播風暴,提高了局域網的整體性能和安全性。
1.4 網絡核心層安裝防火墻板卡與IPS板卡,保證服務器區安全
醫院服務器區是醫院系統運行核心,一旦被侵入或感染病毒,將影響醫院的正常醫療業務,影響病人就診,我院每日門診人次3 000多人,住院患者1 600多人,數據庫出問題,將造成重大的社會影響和嚴重后果,故我們在核心層華三10 508交換機上安裝了SecBlade FW Enhanced增強型防火墻業務處理板卡和PS插卡,設定了防入侵和攻擊的規則,過濾非法數據,防范病毒確保服務器區安全。
1.5 智能網管中心
隨著網絡應用越來越復雜,網絡安全控制、性能優化、運營管理等問題成為困擾用戶的難題,并直接決定了醫院核心業務能否順利開展。我們采用了專門的網管系統,通過軟件的靈活控制,與相應的硬件設備配合,建立了網絡安全控制中心、性能優化中心和運營管理中心。通過網管系統,我們能實時監管網絡的運行情況,監管網絡的故障和報警,監管和分配網絡流量,優化網絡性能,使整個網絡可管可控。我院網絡管理員常用的網管功能有資源管理、拓撲管理和故障(告警/事件)管理等。
網管系統的資源管理可管理網絡設備、接口,顯示設備的詳細信息和接口詳細信息和實時性能狀態; 拓撲管理可自動發現全網設備的拓撲視圖,通過拓撲圖能夠清晰地看到醫院網絡的狀態,包括運行是否正常、網絡帶寬、連通等。
故障(告警/事件)管理,是網管系統的核心功能之一,包括設備告警、網管站告警、網絡性能監視告警、終端安全異常告警等,告警事件可通過手機短信或E-mail郵件的方式,及時通知管理員,實現遠程網絡的監控和管理。
1.6 醫院內網、外網間隔離和訪問通道
醫院內部的網絡分為醫院辦公外網(用于日常辦公,可上互聯網)和業務內網,為保證醫院內部網絡業務系統安全,防止非法入侵、病毒攻擊等醫院業務網與互聯網必須物理隔離,同時,因醫院內部眾多軟件廠商、服務器廠商、網絡設備、安全廠商,需要遠程維護內網設備,業務網和互聯網之間須有個能訪問的通道,我們采用了SSL VPN+網閘+堡壘機的方式實現了遠程安全登錄和物理隔離。
(1)在醫院外網防火墻和醫院內網防火墻之間安裝了網神SecSIS 3600網閘,利用其“數據擺渡”的工作方式,開放須訪問的端口,實現物理隔離。
(2)h程用戶通過SSL VPN接入到醫院外網。利用SSL 的私密性、確認性、可靠性、易用性特性,在遠程用戶和我院外網間建立起專用的VPN加密隧道。在SSL VPN中,將用戶的登錄設定為自動跳轉到堡壘機,通過堡壘機再訪問相關的設備和電腦,實現遠程訪問有監管有記錄有審計,可管可控。
2 服務器和存儲備份安全
系統服務器雙機備份常用的是采用雙機冷備份或通過心跳線熱備份的方式實現。我院結合自身設備特點,采用了賽門特克Veritas Cluster Server技術,在IBM刀片機上建了一個N+1 VCS集群,即多臺服務器對應一臺備份機,當其中一臺出現問題,都會自動切換到備機,實時快速,同時節約了備份機。兩套IBM DS5020存儲陣列(一臺在主機房、一臺在備份機房)通過光纖直連,采用remote mirror遠程鏡像備份技術,將主機房存儲的實時數據復制到備份存儲系統,提供于業務連續性和災難恢復的復制功能。
3 保證操作系統安全
操作系統是軟件系統基礎,保證其安全是必須的。我們對服務器進行了主機加固,關閉了不必要的服務,安裝了賽門鐵克防火墻、賽門鐵克網絡版殺毒軟件,萊恩塞克內網安全管理系統等來保證內網服務器和工作站操作系統安全。其中內網管理系統控制和監管了移動介質的使用,屏蔽了未經授權的移動介質接入網絡,避免了醫院數據的外泄及感染病毒,同時,還能對內網中每一個計算機進行遠程的桌面管理、資產管理、配置管理和系統管理等。
4 核心設備配置修改和訪問安全
服務器在注冊表中關閉了遠程訪問功能, 網絡交換機都關閉了TELNET功能,關閉命令: undo telnet server enable通過網絡堡壘機可視化的web管理界面統一配置和管理所有服務器和交換機,利用堡壘機可控制、可審計、可記錄、可追溯的特性,保證對服務器和交換機的安全管理,避免配置和修改服務器、交換機時不慎造成故障。
5 數據庫和網絡安全審計系統
為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,我院通過旁掛模式接入了數據庫和網絡安全審計系統,實時收集和監控網絡、數據庫中的系統狀態、安全事件、活動,以便集中報警、記錄、分析、處理,實現“事前評估―事中監控―事后審計”,對數據庫和網絡中的操作和更改進行追溯和還原。
6 健全安全管理制度,加強執行
建立了嚴格的規范的規章制度,規范網絡管理、維護人員的各種行為,保障網絡安全。如建立了“中心機房管理制度”“機房設備操作制度”“機房出入制度”“設備巡查制度”“工作站操作制度”等。
我們規定網管人員每天必須查看智能網管系統、堡壘機、數據庫審計、網絡審計、中心服務器、殺毒軟件等的日志,做好記錄。通過日志,及時發現網絡和設備故障隱患,發現非法入侵和使用,不正確的配置和修改。
1.1 企業信息化建設現狀
隨著信息技術的飛速發展,特別是進入新世紀以來,我國信息化基礎設施普及已達到較高水平,但應用深度有待進一步建設。從《第35次中國互聯網絡發展狀況統計報告》的一組數據顯示出,截至2014年12月,全國使用計算機辦公的企業比例為90.4%,截至2014年12月,全國使用互聯網辦公的企業比例為78.7%。近些年,我國企業在辦公中使用計算機的比例基本保持在90%左右的水平上,互聯網的普及率也保持在80%左右,在使用互聯網辦公的企業中,固定寬帶的接入率也連續多年超過95% 。基礎設施普及工作已基本完成,但根據企業開展互聯網應用的實際情況來看,仍存在很大的提升空間。
一方面,是采取提升內部運營效率措施的企業比例較低,原因之一在于企業的互聯網應用意識不足,之二在于內部信息化改造與傳統業務流程的契合度較低,難以實現真正互聯網化,之三在于軟硬件和人力成本較高,多數小微企業難以承受;另一方面,營銷推廣、電子商務等外部運營方面開展互聯網活動的企業比例較低,且在實際應用容易受限于傳統的經營理念,照搬傳統方法。
1.2 企業網絡應用現狀
根據最新的《第35次中國互聯網絡發展狀況統計報告》中的數據顯示,企業開展的互聯網應用種類較為豐富,基本涵蓋了企業經營的各個環節。電子郵件作為最基本的互聯網溝通類應用,普及率最高,達83.0%;互聯網信息類應用也較為普遍,各項應用的普及率的都超過50%;而在商務服務類和內部支撐類應用中,除網上銀行、與政府機構互動、網絡招聘的普及率較高以外,其他應用均不及50%。我國大部分企業尚未開展全面深入的互聯網建設,仍停留在基礎應用水平上。
由于目前我國網民數量已經突破6億,在人們的日常工作、學習中網絡已經扮演了不可替代的角色,因此網絡安全問題就凸顯出來,2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,我國個人互聯網使用的安全狀況不容樂觀。在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。
1.3 網絡安全防護現狀
當前企業網絡中已部署的基本的網絡安全設備如防火墻等,但網絡使用安全意識不高且網絡安全是一個動態維護的過程,企業面臨的內外部安全威脅日益巨增,整體安全形勢不容樂觀。在網絡安全威脅中,對于來著企業內網的安全威脅特別難以防范,傳統的安全防護措施,只能面對外部威脅,對內不具備防護能力。
高校在校園網信息化過程中數字化校園就是一典型例子,數字化校園網可以方便學生使用各類網絡學習資源。但也有部分學生在好奇心的驅使下,往往會在網絡中進行試探性的病毒傳播、網絡攻擊等等。也有部分學生以獲得學院某臺服務器或者網站的控制權來顯示其在黑客技術水平。因此,在內網中維護網絡安全,保護信息安全,就顯得更加重要和緊迫了。
2 內網面臨的網絡威脅
筆者在高校內網信息化建設過程中,通過多年的研究調查發現,學生的攻擊往往是盲目地,且由于部分高校內網管理較混亂,學生可以繞過一些身份認證等安全檢測,進入校園核心網絡。學生的這些行為,一般不存在惡意性質,也不會進行蓄意破壞,但這就向我們提出了警示,一旦有不法分子輕松突破防線,其帶來的危害也是災難性的。
筆者以本單位學生通過校園網絡攻擊校園網服務器的例子,說明其網絡攻擊有時往往非常容易,其造成的危害卻非常之大。
2.1 突破內網,尋找突破口
學生通過學院內網IP地址管理漏洞,輕松接入校園內部辦公網絡,并獲得內網地址網段劃分情況。通過流行黑客軟件掃描學院內網獲得內網安全薄弱處,檢測出共青團委員會 http://10.0.1.30:90/該網頁存在漏洞。進一步利用路徑檢測工具進行掃描,獲得了后臺地址http://10.0.1.30:90/wtgy/login.php。
2.2 一擊得手
學生在獲得了正確的管理地址后,只是進行了簡單的嘗試就取得了戰果,通過弱口令掃描發現系統存在弱口令,于是嘗試了如admin admin admin admin888 admin 123456等,居然順利進入后臺。
然后利用后臺的附件管理里面的功能,添加了php格式,從而實現了上傳。得到了內網的webshell(如圖1)。
2.3 再接再厲,權限提升
學生不斷嘗試,測試了asp和aspx 的支持情況,答案是支持asp,不支持aspx的。自然就上傳了 asp webshell,可以實現跨目錄訪問。訪問權限進一步提升,如圖,目標主機D盤內容一覽無余,其中不乏一些關鍵目錄信息就展現在攻擊者眼前(如圖2):
2.4 獲得系統管理員權限,完全掌控目標主機服務器
查看系統所支持的組件,獲取目標服務器系統關鍵信息。可以看到ws這個組件沒有被禁用,從而上傳cmd,以獲得終極權限系統管理員權限。首先想到的是利用webshell中的上傳進行,但是權限問題,webshell上傳均失敗,所以轉向ftp上傳(同樣存在弱口令),從而繞過了限制,上傳了cmd.exe。
實驗性的執行命令Systeminfo查看系統信息命令,結果可以正常運行,終極權限獲得(如圖3):
可以看出,學生攻擊學院內網的手段并不高明,其用到的黑客攻擊工具,網絡上也都能隨意下載到,但其通過自己的仔細琢磨,充分利用了內網管理的漏洞,獲得了關鍵信息。好在這是實驗性,未造成實質性破壞。內網管理員也及時發現了問題,并對目標服務器進行了安全加固工作。
但我們不難發現,其實網絡安全的程度存在著“木桶原理”的問題,也就是網絡最薄弱的環節,決定著內網的安全程度。在現實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因,給網絡中潛在的攻擊者留下致命的后門。3 建立信息防泄露的內網訪問控制模型
針對上述服務器網絡攻擊,最有效的方法就是對用戶訪問進行準入控制,隔離潛在威脅用戶。例如,在內網中對所有用戶進行身份認證,分配相應的網絡訪問權限。在內網安全架構中,訪問控制是非常重要的一環,其承擔著與后臺策略決策系統交互,決定終端對網絡訪問權限發分配。目前主要使用的訪問控制技術主要有:
3.1 802.1X 訪問控制技術
802.1X 是一個二層協議,需要接入層交換機支持。在終端接入時,端口缺省只打開802.1X的認證通道,終端通過802.1X認證之后,交換機端口才打開網絡通信通道。其優點是:在終端接入網絡時就進行準入控制,控制力度強,已經定義善的協議標準。
其缺點是:對以網交換機技術要求高,必須支持802.1X認證,配置過程比較復雜,需要考慮多個設備之間的兼容性,交換機下可能串接HUB,交換機可能對一個端口上的多臺PC 當成一個狀態處理,存在訪問控制漏洞。
3.2 ARP spoofing訪問控制技術
在每個局域網上安裝一個ARP spoofing,對終端發起ARP 請求代替路由網關回ARP spoofing,從而使其他終端的網絡流量必須經過。在這個ARP spoofing上進行準入控制。其優點是:ARP適用于任何IP 網絡,并且不需要改動網絡和主機配置,易于安裝和配置。其缺點是:類似DHCP控制,終端可以通過配置靜態ARP表,來繞過準入控制體系。此外,終端安全軟件和網絡設備可能會將ARP spoofing當成惡意軟件處理。
3.3 DNS重定向訪問控制技術
在DNS重定向機制中,將終端的所有DNS解析請求全部指定到一個固定的服務器IP地址。其優點是:類似DHCP管理和ARP spoofing,適用于任何適用DNS協議的網絡,易于安裝和部署,支持WEB portal頁面,可以通過DNS 重定向,將終端的HTML 請求重定向到WEB認證和安全檢查頁面。其缺點是:類似DHCP控制和ARP spoofing,終端可以通過不使用DNS 協議來繞開準入控制限制(例如:使用靜態HOSTS文件)。
以上是內網安全設備主流使用的準入控制方式,每種方式都具有其特定的優缺點,一般來說每個設備都會支持兩種以上的準入控制方式。
但是,網絡管控對于網絡使用的便捷性是一對矛盾體,如果既要使用的便捷性,又要對網絡進行有效管控,這對網絡安全設備的性能提出了相當高的要求。然而,高性能的安全設備價格非常昂貴,這也是很多企業寧可暴露威脅,也不防范的原因之一。
3.4 網關準入控制——UTM(統一威脅管理)
UTM產品的設計初衷是為了中小型企業提供網絡安全防護解決方案,其低廉的價格和強大的集成功能,在企業內網中扮演著重要的角色。UTM將安全網關、終端軟件、終端策略服務器、認證控制點四位一體化部署,可以在內網中進行多點部署,從而構建出內網用戶訪問控制模型,實現全面覆蓋用戶內網每一個區域和角落。
(1)合理部署網關位置
UTM的位置本身即位于安全域邊界,由于UTM的設備性能參數,一般不建議部署在互聯網出口、服務器出口及辦公網出口等網絡核心節點,在內網訪問控制模型中,可以部署在網絡拓撲中的匯聚節點。
從安全理論的角度講,對某一區域網絡中的所有用戶進行控制(包括訪問控制、準入控制、業務控制等);同時,UTM設備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合,UTM一旦發現某用戶行為違規,就可以通過內網管理系統直接斷開該用戶的所有連接。
(2)UTM優勢分析
采用UTM網關配合內網管理系統實現訪問控制,用戶只需要購買少量UTM設備,采用透明方式部署至網絡關鍵節點處,即可以實現全面的準入控制。與基于DHCP控制,ARP spoofing,DNS 劫持等準入控制相比,UTM 準入控制能力更強、更全面,終端用戶在任何情況下均無法突破或繞過準入控制。
除此以外,UTM設備還可根據終端的安全情況自動配置合適的安全策略,如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權限。
網絡安全,不應只關注網絡出口安全,更應關注內網中的信息安全,信息的泄漏往往是從內部開始,因此,構建內網訪問控制模型就非常重要,采取UTM幫助內網進行安全管控是一個非常便捷、高效的手段。
關鍵詞:內網;安全;網絡;管理;措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內網安全的定義以及與外網安全的區別
既然要探討內網安全,首先要理解內網安全的含義,網絡安全主要包含兩部分,一個就是傳統網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全;另一個就是內網安全,它是對應于外網而言的。主要是指在小范圍內的計算機互聯網絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司。內網上的每一臺電腦(或其他網絡設備)內部分配得到的局域網IP地址在不同的局域網內是可以重復的,不會相互影響。
外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。也就是說,網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范減小了黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。傳統的防火墻、人侵檢測系統和VPN都是基于這種思路設計和考慮的。
對眾多大型企業而言,隨著業務的發展,用戶希望ERP、OA、Intranet、互聯網在一張網上實現,能夠同時使用有線、無線網絡,在一個網絡上實現Web、即時通信、協作、語音、視頻的融合。外網在某種程度上已經成為了內網的一部分。而隨著移動辦公的興起,安全的邊界越發模糊,筆記本電腦、手機都成為了企業OA網絡中的一部分,而這也增加了內網安全的管理難度。
內網安全的威脅模型與外網安全模型相比,更加全面和細致。它假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何―個節點上。 所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節點和參與者進行細致的管理,實現―個可管理、可控制和可信任的內網。
由此可見,相比于外網安全,內網安全具有以下特點:
1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系。
2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理。
3)對信息進行生命周期的完善管理。
2 內網安全的威脅
在所有的安全事件中,有超過70%的安全事件是發生在內網上的,并且隨著網絡的龐大化和復雜化,這一比例仍有增長的趨勢。因此內網安全一直是網絡安全建設關注的重點,但是由于內網以純二層交換環境為主、節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點。
在實際應用當中,內網安全的威脅主要來自以下幾個方面:
1)移動設備(筆記本電腦等)和新增設備未經過安全過濾和檢查違規接入內部網絡。未經允許擅自接入電腦設備會給網絡帶來病毒傳播、黑客入侵等不安全因素;
2)內部網絡用戶通過調制解調器、雙網卡、無線網卡等網絡設備進行在線違規撥號上網、違規離線上網等行為;
3)違反規定將專網專用的計算機帶出網絡進入到其它網絡;
4)網絡出現病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發生后,網管一般通過交換機、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;
5)大規模病毒(安全)事件發生后,網管無法確定病毒黑客事件源頭、無法找到網絡中的薄弱環節,無法做到事后分析、加強安全預警;
6)靜態IP地址的網絡由于用戶原因造成使用管理混亂、網管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網絡中IP分配情況;
7)針對網絡內部安全隱患,自動檢測網絡中主機的安全防范等級,進行補丁大面積分發,徹底解決網絡中的不安全因素;
8)大型網絡系統中區域結構復雜,不能明確劃分管理責任范圍;
9)網絡中計算機設備硬件設備繁多,不能做到精確統計。
以上問題其實可以歸到兩個基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎IT設施即計算機是可用的;而管理方面,則保證企業或都說組織的計算機是用來工作的,規范計算機在企業網絡里邊的行為。
3 加強內網安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經逐漸達成共識,但如何將安全管理規章和技術手段有效的結合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰。安全關注的趨勢由外而內,由邊界到主機,由分散到集中,由系統到應用,由通用到專用,由分離到整合,由技術到管理。從實際工作出發和借鑒兄弟單位成功經驗,我總結了加強內網安全的措施如下:
1)按照企業的管理框架,根據不同的業務部門或子公司劃成了不同的虛擬網(Vlan)。通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網絡范圍內廣播包的傳輸,提高了網絡的傳輸效率,同時,由于各虛擬網之間不能直接進行通訊,而必須通過路由器轉,為高級的安全控制提供了可能,增強了網絡的安全性,也給管理帶來了極大的方便性。特別是核心業務和重要部門根據安全的需要劃成了不同的虛擬網,采用完全隔離或者相對隔離的措施,保證了核心業務和重要部門的安全性。
2)對企業網絡的物理線路進行規范化管理。按照區域、樓層、配線間、房間、具置規范化管理編號的原則,把所有的網絡線路編號,套上清晰的線標,配置可網管的交換機。同時對交換機、配線架、電腦等設備的物理配置、存放的具置以及電腦的軟件系統和系統配置等基礎數據進行詳細的登記,同時還對IP地址進行統一管理,把電腦的IP地址、MAC地址、使用人和各種基礎數據進行關聯,當網絡或者電腦發生故障時,網管們能夠通過基礎數據管理系統實現快速定位、快速排查故障,極大地提高了網管們解決故障的工作效率。
3)部署桌面安全管理系統。企業部署一套桌面安全策略管理系統,是一個面向IT領域建設的專業安全解決方案。它采用集成化網絡安全防衛體系,通過多種技術手段的融合幫助整個企業有效達成在物理訪問、鏈路傳輸、操作系統、業務應用、數據保護、網間訪問和人員管理等方面的安全策略制定、自動分發和自動實現,減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。終端安全管理是基礎,它解決了終端計算機經常為病毒、木馬困擾的問題,幫助管理員智能安裝系統與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權管理與控制”。
4)部署防病毒系統。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業防病毒系統是最有效的解決辦法。防毒系統內嵌病毒掃描和清除、個人防火墻、安全風險檢測與刪除,可以檢測、隔離、刪除和消除或修復間諜軟件、廣告軟件、撥號程序、黑客工具、玩笑程序等多種安全風險造成的負面影響。通過防毒系統中心控制臺可以集中管理客戶端,統一部署防護策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。另外,還可以通過病毒隔離區控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離。
5)部署網絡管理系統。隨著企業網絡規模的擴大,交換機、服務器的數量也逐漸增多,如何管理監控重點設備、服務器的運行情況,不是一件容易的事。為此部署一套網絡管理系統,可對網絡、系統以及應用進行全面的監視。它可以提供完整的故障管理和性能管理功能,能自動發現網絡主動監視網絡、系統和服務器并將關鍵參數保存在數據庫中。通過綜合控制臺可實現對路由器、交換機、服務器、URL、UPS無線設備以及打印機等性能的監視,不僅提供了網絡設備的多種視圖,而且將收集的信息以豐富的圖、報表形式呈現給操作者。
6)部署安全管理系統(SOC)。為了讓管理人員能夠實時了解網絡中動態和事件,滿足不斷變化的網絡安全管理(網絡設備、服務器、應用程序、應用服務、安全設備、操作系統、數據庫、機房環境等發生的故障、超閥值行為、安全事件統稱為網絡安全問題)的要求,需要有一套專門的安全管理系統來完成。網絡管理系統是從事件驅動的目的出發強調系統運維、系統故障處理和加強網絡的性能三個方面的內容。與網絡管理系統不同,安全管理系統最重要的是對威脅的管理,它的側重點關注在三個層次上:資產層面,關注安全威脅對業務及資產的影響;威脅層面了解哪些威脅會影響業務及資產;防護措施層面怎樣防護威脅,保護業務及資產。一句話概括,就是安全管理是從保護業務及資產的層面進行的風險管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進行備份。在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
9)密鑰管理。在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。
4 結束語
當然為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。七分管理,三分技術。管理是企業網絡安全的核心,技術是安全管理的保證。只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。
參考文獻:
其他安全防范措施內網的網絡安全直接關系到醫院業務能否正常進轉,所以我院的內網計算機是不允許接外部設備的,比如易于感染病毒的U盤,網管人員會在BIOS里把除了鍵盤鼠標等正常使用的設備以外的U口封掉并設置密碼,確保病毒不會從外界侵入。同時,內網設置了詳細的分級權限,不同的用戶看到的和使用的功能不同,不同的醫師用藥和開處方的權限也不同。程序的進入每個用戶可以設置自己的密碼,保證信息不泄露。隨著程序的不斷升級,以后可以應用電子簽名。電子簽名就是通過密碼技術對電子文檔的電子形式的簽名,并非是書面簽名的數字圖像化,它類似于手寫簽名或印章,也可以說它就是電子印章。每個醫生一個電子簽名卡,進入系統程序不僅需要密碼而且要刷卡,開處方和寫病歷后自動寫上醫生的電子簽名,確保數據不被篡改。
天津醫院外網安全建設分析
1硬件防火墻外網是要鏈接到Internet上的,所以網絡安全尤為重要,硬件防火墻是必不可少的。通過硬件防火墻的設置,可以進行包括過濾和狀態檢測,過濾掉一些IP地址和有威脅的程序不進入辦公網絡。硬件防火墻針對病毒入侵的原理,可以做出相應的策略,從源頭上確保網絡安全。
2網絡管理軟件網絡管理軟件提供網絡系統的配置、故障、性能及網絡用戶分布方面的基本管理,也就是說,網絡管理的各種功能最終會體現在網絡管理軟件的各種功能的實現上,軟件是網絡管理的“靈魂”,也是網絡管理系統的核心。
通過網絡管理軟件網管人員可以控制流量,設置不同用戶訪問的網址和使用的應用程序,設置不同時間可以訪問的網址,以及屏蔽掉一些游戲、股票等非工作需要的程序。可以實時監控客戶端的網絡行為,查看是否有非工作內容的操作。定期備份日志,保證辦公網正常有序的工作。
管理制度
要制定嚴格的計算機管理制度,業務科室屏蔽光驅、USB接口等輸入輸出設備,行政后勤科室使用輸入輸出設備時必須先殺毒再使用。全院每臺機器使用固定IP和MAC地址綁定,防止外人使用移動電腦連接內部網絡。優化電腦性能,屏蔽一些重要的操作系統功能和系統文件,防止操作人員誤操作致使系統崩潰,帶來不必要的麻煩。所有服務器、客戶端都必須更新最新的系統補丁,防止病毒、黑客、灰色軟件的侵襲。
關鍵詞:消防;通信;信息安全
中圖分類號:TP393.08
全國消防計算機通信網絡以公安信息網為依托,由消防信息網和指揮調度網構成,分別形成三級網絡結構。消防信息網是各級消防部門的日常辦公網絡,作為消防業務傳輸網;指揮調度網主要用于部局、總隊、支隊、大隊(中隊)等單位的視頻會議、遠程視頻監控、滅火救援指揮調度系統應用等業務,作為消防指揮調度專用傳輸網。隨著網絡規模的不斷擴大,來自內部網絡的威脅也日漸增多,必須利用信息安全基礎設施和信息系統防護手段,構建與基礎網絡相適應的信息安全保障體系。
1 計算機網絡安全防護措施
計算機網絡安全防護措施主要有防火墻、入侵防護、病毒防護、攻擊防護、入侵檢測、網絡審計和統一威脅管理系統等幾項(如下圖)。
1.1 防火墻。防火墻主要部署在網絡邊界,可以實現安全的訪問控制與邊界隔離,防范攻擊行為。防火墻的規則庫定義了源IP地址、目的IP地址、源端口和目的端口,一般攻擊通常會有很多征兆,可以及時將這些征兆加入規則庫中。目前網上部署的防火墻主要是網絡層防火墻,可實時在各受信級網絡間執行網絡安全策略,且具備包過濾、網絡地址轉換、狀態性協議檢測、VPN等技術。
1.2 入侵防御系統(Intrusion Prevention System,IPS)。IPS串接在防火墻后面,在防火墻進行訪問控制,保證了訪問的合法性之后,IPS動態的進行入侵行為的保護,對訪問狀態進行檢測、對通信協議和應用協議進行檢測、對內容進行深度的檢測。阻斷來自內部的數據攻擊以及垃圾數據流的泛濫。防火墻降低了惡意流量進出網絡的可能性,并能確保只有與協議一致的流量才能通過防火墻。如果惡意流量偽裝成正常的流量,并且與協議的行為一致,這樣的情況,IPS設備能夠在關鍵點上對網絡和主機進行監視并防御,以防止惡意行為。
1.3 防病毒網關。防病毒網關部署在病毒風險最高、最接近病毒發生源的安全邊界處,如內網終端區和防火墻與路由器之間,可以對進站或進入安全區的數據進行病毒掃描,把病毒完全攔截在網絡的外部,以減少病毒滲入內網后造成的危害。為使得達到最佳防毒效果,防病毒網關設備和桌面防病毒軟件應為不同的廠家產品。網絡版殺毒軟件的病毒掃描和處理方式主要是通過客戶端殺毒,通過企業版防毒軟件統一對已經進入內部網絡的病毒進行處理。
1.4 網絡安全審計系統。網絡安全審計系統作為一個完整安全框架中的一個必要環節,作為對防火墻系統和入侵防御系統的一個補充,其功能:首先它能夠檢測出某些特殊的IPS無法檢測的入侵行為(比如時間跨度很大的長期攻擊特征);其次它可以對入侵行為進行記錄、報警和阻斷等,并可以在任何時間對其進行再現以達到取證的目的;最后它可以用來提取一些未知的或者未被發現的入侵行為模式等。網絡安全審計系統與防火墻、入侵檢測的區別主要是對網絡的應用層內容進行審計與分析。
1.5 統一威脅管理系統(UTM)。UTM常定義為由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,同時將多種安全特性集成于一個硬件設備里,形成標準的統一威脅管理平臺。UTM設備具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。雖然UTM集成了多種功能,但卻不一定會同時開啟。根據不同用戶的不同需求以及不同的網絡規模,UTM產品分為不同的級別。UTM部署在安全域邊界上,可以根據保護對象所需的安全防護措施,靈活的開啟防火墻、IPS、防病毒、內容過濾等防護模塊,實現按需防護、深度防護的建設目標。采用UTM設備來構成本方案的核心產品,可有效節約建設資金,又能達到更好的防護效果。
2 消防指揮網絡安全設備部署
市級消防指揮網絡是市支隊與各區(縣)大隊或中隊之間部署的專網,規模相對較小,主要用途為視頻會議、遠程視頻監控、接處警終端和滅火救援指揮調度應用系統等業務,可按需選擇部署防火墻、入侵防護系統、防病毒網關、統一威脅管理系統、入侵檢測系統、網絡安全審計七類設備。(如圖)
2.1 計算機安全防護軟件:在網內計算機終端統一安裝防病毒軟件、終端安全軟件、一機兩用監控軟件。補丁分發管理系統和終端漏洞掃描系統統一由省級指揮中心部署,用來管理市級指揮調度網內計算機。這樣,可以防止安全風險擴散,保障由終端、服務器及應用系統等構成的計算環境的安全。
2.2 指揮調度網安全邊界:在市級指揮調度網與省級指揮調度網聯網邊界部署統一威脅管理系統(UTM),開啟防火墻、入侵防護、網關防病毒、VPN等功能模塊,在專網安全邊界對各種風險統一防護。在核心交換機上部署網絡審計系統對內網中的網絡通信進行記錄和分析,及時發現可能存在的網絡事件。
2.3 內網終端區:內網終端區主要有計算機接處警終端、視頻會議終端、視頻監控終端等,操作應用人員比較復雜,隨意使用移動存儲設備的可能性大,在內網終端區安全邊界區部署一臺防病毒網關進行病毒過濾,防止病毒向其他區域擴散。
2.4 核心業務處理區:主要包括滅火救援指揮調度相關的業務系統、綜合統計分析、綜合報表管理等業務系統。部署一臺防火墻對核心業務處理區進行訪問控制,阻斷對安全區內的業務服務的非法訪問;再部署一臺IPS,實時發現并阻斷針對核心業務處理區的入侵和攻擊行為。
2.5 指揮中心邊界:部署一臺防火墻對支隊指揮中心與上級指揮中心之間的業務訪問進行訪問控制和攻擊防御。
2.6 內網管理區:區中主要有各類管理服務器,用于集中進行安全策略的定制、下發、集中監控各類系統的運行狀態。主要包括設備管理、終端管理、防病毒管理等。
如果市級指揮中心規模較小,可以將核心業務處理區、內網管理區和指揮中心區合并為同一個安全域,共同部署一臺IPS和防火墻。
3 總結
總之,網絡安全是一項綜合性的課題,它涉及技術、管理、應用等許多方面,既包括信息系統本身的安全問題,又有網絡防護的技術措施。我們必須綜合考慮安全因素,在采用各種安全技術控制措施的同時,制定層次化的安全策略,完善安全管理組織機構和人員配備,才能有效地實現網絡信息的相對安全。
參考文獻:
[1]楊義先,任金強.信息安全新技術[M].北京:北京郵電大學出版社,2002.
[2]公安部.信息安全等級保護培訓教材[M].2007.
