?

大數(shù)據(jù)運(yùn)營公司??李向廷

?

摘 ?要 ?通過對鐵法能源公司網(wǎng)絡(luò)現(xiàn)狀及需求進(jìn)行了簡單分析，針對鐵法能源公司網(wǎng)絡(luò)存在的各種安全風(fēng)險(xiǎn)提出了完整的解決方案。

關(guān)鍵詞?網(wǎng)絡(luò) ?安全防護(hù) ?解決方案

?????????????????????????

1?時(shí)代背景

?

隨著信息應(yīng)用的發(fā)展、網(wǎng)絡(luò)犯罪的增多、黑客的肆虐、色情信息的泛濫、信息間諜的滲透等問題越來越不可避免。為了加強(qiáng)對互聯(lián)網(wǎng)的控制和管理及企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全管理法》及《網(wǎng)絡(luò)信息安全等級保護(hù)制度2.0》的要求，國家政府機(jī)關(guān)及國有重型企業(yè)必須安裝網(wǎng)絡(luò)安全防護(hù)設(shè)備，以保證網(wǎng)絡(luò)安全。

?

2 網(wǎng)絡(luò)現(xiàn)狀及需求分析

?

鐵法能源公司網(wǎng)絡(luò)雖已建設(shè)完成，但并沒有其他有效的網(wǎng)絡(luò)安全防護(hù)手段，整個(gè)網(wǎng)絡(luò)在安全防護(hù)上幾乎是裸奔。面對不斷進(jìn)化的病毒，以及多元化的攻擊手段等，想保證鐵法能源公司網(wǎng)絡(luò)安全幾乎是不可能的。

當(dāng)前網(wǎng)絡(luò)中充斥大量的P2P，占用本就不富裕的公網(wǎng)帶寬，使得如視頻會議、收發(fā)工作郵件、OA系統(tǒng)等業(yè)務(wù)需求無法滿足，造成業(yè)務(wù)效率低下。

網(wǎng)絡(luò)中也可能會出現(xiàn)：非法的終端接入、上網(wǎng)行為不規(guī)范、發(fā)布違法言論的帖子等違法行為，且無法定位涉事人員。

對于進(jìn)入公司網(wǎng)絡(luò)攻擊業(yè)務(wù)區(qū)服務(wù)器（數(shù)據(jù)庫、Web）等，更是沒有有效的防御手段。

無法實(shí)時(shí)監(jiān)測設(shè)備的運(yùn)行狀態(tài)，以及無法及時(shí)有效的發(fā)現(xiàn)發(fā)生在各個(gè)設(shè)備所產(chǎn)生的安全事件。

根據(jù)上面的分析，鐵法能源公司網(wǎng)絡(luò)存在的主要安全風(fēng)險(xiǎn)問題如下：

一是無法保障業(yè)務(wù)需求帶寬，導(dǎo)致業(yè)務(wù)效率低效。

二是無法保障公司信息安全，導(dǎo)致機(jī)密信息、文件泄露。

三是無法避免網(wǎng)絡(luò)違法、不健康行為，導(dǎo)致公司面臨風(fēng)險(xiǎn)。

四是無法追溯定位違法、泄密的涉事人員。

五是無法規(guī)避PC、手機(jī)等終端帶來的木馬、病毒程序?qū)钟蚓W(wǎng)的侵害，導(dǎo)致業(yè)務(wù)中斷等問題。

六是對突破防火墻的攻擊沒有防御手段。

七是重要的業(yè)務(wù)區(qū)域沒有安全防御手段。

八是無法及時(shí)的監(jiān)測設(shè)備狀態(tài)，產(chǎn)生的安全事件無法集中審計(jì)處理。

?

3 解決方案

?

鐵法能源公司網(wǎng)絡(luò)龐大且復(fù)雜，擁有上萬用戶。面對如此復(fù)雜的網(wǎng)絡(luò)環(huán)境所引發(fā)的問題都無法通過傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段實(shí)現(xiàn)，必須通過云安全服務(wù)、防火墻、入侵防御系統(tǒng)、Web應(yīng)用防火墻、上網(wǎng)行為管理系統(tǒng)、日志審計(jì)系統(tǒng)等安全防護(hù)產(chǎn)品來解決。簡而言之，就是通過這些網(wǎng)絡(luò)安全防護(hù)產(chǎn)品的組合應(yīng)用對鐵法能源公司網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

????為保證鐵法能源公司網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，規(guī)范員工上網(wǎng)行為，打擊網(wǎng)絡(luò)非法犯罪，根據(jù)鐵法能源公司網(wǎng)絡(luò)實(shí)際情況，特設(shè)計(jì)解決方案對鐵法能源公司網(wǎng)絡(luò)進(jìn)行安全防護(hù)（附圖）。

附圖 ?鐵法能源公司網(wǎng)絡(luò)安全防護(hù)方案

?

在互聯(lián)網(wǎng)訪問出口部署一臺防火墻，做為保證鐵法能源公司網(wǎng)絡(luò)安全的第一道屏障。在防火墻下聯(lián)部署IPS入侵防御系統(tǒng)，強(qiáng)有效的防御突破防火墻的安全威脅。針對公司的重要業(yè)務(wù)區(qū)（服務(wù)器區(qū)）在IPS入侵防御系統(tǒng)下聯(lián)部署Web應(yīng)用防火墻（WAF），對重要的業(yè)務(wù)區(qū)進(jìn)行強(qiáng)有效的安全保障。針對企業(yè)內(nèi)部產(chǎn)生的上網(wǎng)行為不規(guī)范的問題，我們部署上網(wǎng)行為管理設(shè)備，通過串聯(lián)在核心交換機(jī)與Web應(yīng)用防火墻（WAF）之間，使全網(wǎng)流量路過上網(wǎng)行為管理設(shè)備，對內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管控，列如：使其不可通過百度貼吧發(fā)布非法言論，或泄露公司機(jī)密，針對企業(yè)內(nèi)部的P2P協(xié)議族，占用大量公網(wǎng)帶寬的問題，通過上網(wǎng)行為的流量管控加以限制。對于公網(wǎng)側(cè)訪問內(nèi)網(wǎng)服務(wù)的流量，通過云安全服務(wù)來分析流量的安全性，通過云端廣闊的病毒庫、代碼特征庫等，來保障外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)的流量是安全的。對于內(nèi)網(wǎng)服務(wù)器所產(chǎn)生的安全事件，通過日志審計(jì)設(shè)備集中管理并且審計(jì)，及時(shí)的監(jiān)測業(yè)務(wù)的運(yùn)行情況，并對安全事件加以處理。通過這樣的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品組合，攻擊者無論從哪個(gè)方向訪問鐵法能源公司網(wǎng)絡(luò)資源都能做到有跡可察，使其行為暴露無遺，為事后取證提供可靠依據(jù)，對網(wǎng)絡(luò)潛在威脅者予以威懾，有效保證鐵法能源公司網(wǎng)絡(luò)安全。

?

4 網(wǎng)絡(luò)安全防護(hù)產(chǎn)品功能簡介????

?

4.1防火墻

4.1.1 防火墻的名詞解釋

????防火墻是指在不同的網(wǎng)絡(luò)（如可信的內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間設(shè)置的一組組件，其目的是保證“可信”網(wǎng)絡(luò)的安全，維護(hù)“可信”網(wǎng)絡(luò)與“不可信”網(wǎng)絡(luò)之間通信的便利性。防火墻是受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的屏障，用于防止不可預(yù)測和潛在破壞性的入侵。可以通過監(jiān)控來實(shí)現(xiàn)。為了實(shí)現(xiàn)網(wǎng)絡(luò)的安全，必須限制和改變穿越防火墻的數(shù)據(jù)流，并盡可能屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行保護(hù)。從邏輯上講，防火墻是一個(gè)分析器、分隔器，也是限制器，它有效地監(jiān)控Intranet和Internet之間的通信，保證內(nèi)部網(wǎng)絡(luò)安全。

4.1.2 防火墻的功能

防火墻通過過濾不安全服務(wù)，可以大大提高網(wǎng)絡(luò)安全性，降低子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，可以禁用防火墻NIS和NFS服務(wù)通過，防火墻可以拒絕源路由和ICMP重定向數(shù)據(jù)包。

防火墻具備對內(nèi)部系統(tǒng)的訪問控制功能?？稍试S通過訪問控制策略從外部網(wǎng)絡(luò)訪問系統(tǒng)內(nèi)部主機(jī)，也可以通過訪問控制策略禁止訪問外部網(wǎng)絡(luò)。

防火墻實(shí)現(xiàn)了對網(wǎng)絡(luò)的集中安全管理。防火墻中定義的安全規(guī)則可以在整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中運(yùn)行，而不必一一對每臺機(jī)器配置相同規(guī)則策略。

4.1.3 防火墻的配置策略

鐵法能源公司防火墻部署在互聯(lián)網(wǎng)總出口，采取的策略是：互聯(lián)網(wǎng)訪問鐵法能源公司內(nèi)部網(wǎng)絡(luò)的端口全部封閉，只放開需要對外發(fā)布的服務(wù)端口，并對互聯(lián)網(wǎng)上的一些危險(xiǎn)網(wǎng)站IP實(shí)施阻斷策略； 對于內(nèi)部網(wǎng)絡(luò)需要訪問互聯(lián)網(wǎng)的用戶只開放已知的需要使用的端口，未知端口全部封閉，這樣極大地保證鐵法能源公司內(nèi)部網(wǎng)絡(luò)安全。因?yàn)榛ヂ?lián)網(wǎng)上的攻擊都是通過放開的端口進(jìn)入進(jìn)行攻擊的。

4.2 IPS入侵防御系統(tǒng)

IPS入侵防御系統(tǒng)是一種網(wǎng)絡(luò)安全設(shè)備，是對防毒軟件和防火墻的補(bǔ)充。網(wǎng)絡(luò)攻擊突破防火墻后，面對的就是IPS入侵防御系統(tǒng)。IPS入侵防御系統(tǒng)是一種能夠監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備。它可以立即中斷、調(diào)整或隔離一些異?；蛴泻Φ木W(wǎng)絡(luò)數(shù)據(jù)入侵行為。在網(wǎng)絡(luò)區(qū)域邊界，通過部署IPS入侵防御系統(tǒng)來監(jiān)控或阻斷網(wǎng)絡(luò)攻擊，并及時(shí)生成報(bào)警和詳細(xì)報(bào)告。?

在鐵法能源公司網(wǎng)絡(luò)部署IPS入侵防御系統(tǒng)，主要解決突破防火墻后的安全威脅。對整個(gè)內(nèi)部網(wǎng)絡(luò)全局的安全性進(jìn)行強(qiáng)有效的加強(qiáng)。

IPS入侵防御系統(tǒng)可以針對網(wǎng)絡(luò)安全提供多方位的防護(hù)措施，如訪問控制可以在用戶管理中進(jìn)行配置，信息監(jiān)控和過濾可以在上網(wǎng)管理中配置。安全防護(hù)則提供了DDoS防護(hù)、ARP防護(hù)、防火墻策略、病毒查殺、惡意URL檢測、失陷主機(jī)檢測等功能，為網(wǎng)絡(luò)安全再添保障。 當(dāng)網(wǎng)絡(luò)中有異常流量產(chǎn)生時(shí)，如上傳包速率很高、遇到DDoS攻擊或者病毒帶來的ARP攻擊，系統(tǒng)會自動偵測異常，發(fā)出告警并采取相應(yīng)控制措施，幫助管理員排除故障，保護(hù)網(wǎng)絡(luò)正常使用。

IPS入侵防御系統(tǒng)滿足對重要網(wǎng)絡(luò)邊界攻擊行為的監(jiān)控要求，滿足分級保護(hù)中對端口掃描、暴力破解和木馬攻擊的防護(hù)要求，滿足了對網(wǎng)關(guān)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊的監(jiān)控要求。

IPS入侵防御系統(tǒng)能夠有效地記錄攻擊行為：當(dāng)檢測到攻擊行為時(shí)，記錄攻擊類型、攻擊源IP和攻擊目標(biāo)，此外，它還可以在嚴(yán)重入侵時(shí)提供報(bào)警。

IPS入侵防御系統(tǒng)實(shí)現(xiàn)了對網(wǎng)絡(luò)中重要信息的保護(hù)功能，能夠按照分級保護(hù)的要求，記錄對重要業(yè)務(wù)服務(wù)的入侵行為、入侵源IP、攻擊目的、攻擊類型、攻擊時(shí)間。

4.3 Web應(yīng)用防火墻（WAF）與云安全服務(wù)

主要保障鐵法能源公司的各種業(yè)務(wù)服務(wù)器，并有效抵御各種應(yīng)用層的攻擊。

Web應(yīng)用防火墻（WAF）是一種通過實(shí)現(xiàn)一系列針對http/HTTPS的安全策略來為Web應(yīng)用程序提供特殊保護(hù)的產(chǎn)品。主要用于防御網(wǎng)絡(luò)應(yīng)用層攻擊，如跨站點(diǎn)腳本攻擊、SQL注入、參數(shù)修改、拒絕服務(wù)攻擊、應(yīng)用系統(tǒng)漏洞攻擊等。

Web應(yīng)用防火墻（WAF）可以智能地識別Web系統(tǒng)的服務(wù)狀態(tài)，在線優(yōu)化防御策略規(guī)則庫，分發(fā)虛擬補(bǔ)丁，提供技術(shù)支持。

Web應(yīng)用防火墻（WAF）可實(shí)時(shí)有效防御各種網(wǎng)絡(luò)蠕蟲攻擊、DDoS攻擊、CC攻擊。即使在極端情況下，Web系統(tǒng)被入侵，甚至被完全破壞，Web應(yīng)用防火墻（WAF）也可以重構(gòu)安全內(nèi)容，保證系統(tǒng)的正常運(yùn)行。

云安全服務(wù)能夠保證通過互聯(lián)網(wǎng)訪問鐵法能源公司內(nèi)網(wǎng)的信息是安全的。外部用戶訪問鐵法能源公司網(wǎng)絡(luò)的所有信息必須經(jīng)過云安全服務(wù)來檢測，通過云端廣闊的病毒庫、代碼特征庫等清洗過濾掉有害信息，以保障鐵法能源公司網(wǎng)絡(luò)安全。

4.4?上網(wǎng)行為管理系統(tǒng) ??

上網(wǎng)行為管理系統(tǒng)規(guī)范內(nèi)部網(wǎng)絡(luò)用戶的上網(wǎng)行為，限制迅雷下載等P2P的帶寬占用問題導(dǎo)致的業(yè)務(wù)的帶寬需求無法滿足，以及貼吧發(fā)帖泄密問題，終端非法接入內(nèi)部網(wǎng)絡(luò)的安全性問題，涉事人員追蹤定位問題等等。

???上網(wǎng)行為管理系統(tǒng)部署在協(xié)同辦公平臺、郵件等服務(wù)器前端，審計(jì)鐵法能源公司網(wǎng)絡(luò)內(nèi)部用戶IP、MAC地址等信息。

???上網(wǎng)行為管理系統(tǒng)對鐵法能源公司網(wǎng)絡(luò)內(nèi)部用戶的網(wǎng)絡(luò)行為進(jìn)行監(jiān)控、對在互聯(lián)網(wǎng)傳輸?shù)膬?nèi)容進(jìn)行審計(jì)?(如用戶是否在工作時(shí)間內(nèi)上網(wǎng)聊天、玩游戲，是否訪問非法網(wǎng)站，是否通過互聯(lián)網(wǎng)泄漏了企業(yè)的機(jī)密信息，是否通過互聯(lián)網(wǎng)發(fā)布傳播反動言語等等)。上網(wǎng)行為管理系統(tǒng)可通過對用戶訪問互聯(lián)網(wǎng)的行為進(jìn)行后期取證，以達(dá)到對互聯(lián)網(wǎng)潛在威脅者予以震懾。

????上網(wǎng)行為管理系統(tǒng)不僅可以對POP3、IMAP和SMTP協(xié)議的內(nèi)容進(jìn)行審計(jì)，還可以對通過web發(fā)送的郵件的內(nèi)容進(jìn)行審計(jì)，實(shí)現(xiàn)了對用戶電子郵件內(nèi)容的全面審計(jì)。同時(shí)，上網(wǎng)行為管理系統(tǒng)可以根據(jù)郵件的特點(diǎn)對郵件的傳出內(nèi)容進(jìn)行審計(jì)過濾，并可以匹配郵件的標(biāo)題、關(guān)鍵字、內(nèi)容等特點(diǎn)進(jìn)行郵件報(bào)警，從而從根本上杜絕含有敏感信息的電子郵件的傳出行為，以保證鐵法能源公司內(nèi)部網(wǎng)絡(luò)的信息安全。

4.5 日志審計(jì)系統(tǒng)

日志是 IT 系統(tǒng)產(chǎn)生的數(shù)據(jù)，它記錄著設(shè)備、操作系統(tǒng)和應(yīng)用軟件的運(yùn)行狀態(tài)，是 IT 運(yùn) 維管理人員和安全管理人員日常運(yùn)維排查故障的重要依據(jù)。

l日志審計(jì)系統(tǒng)由管理中心、日志采集器和分布式計(jì)算存儲節(jié)點(diǎn)三部分組成。管理中心是日志收集與分析系統(tǒng)主程序，承擔(dān)日志收集與分析系統(tǒng)的核心功能。日志采集器用于實(shí)現(xiàn)日志采集，并把事件轉(zhuǎn)發(fā)給管理中心或分布式計(jì)算存儲節(jié)點(diǎn)。收集方法包括主動收集文件日志、數(shù)據(jù)庫日志、主機(jī)日志等，被動接收SNMP trap、syslog等協(xié)議包。分布式計(jì)算存儲節(jié)點(diǎn)作用是，當(dāng)日志數(shù)據(jù)量非常龐大，單機(jī)日志收集與分析系統(tǒng)無法處理海量日志的情況下，分布式計(jì)算存儲節(jié)點(diǎn)可以實(shí)現(xiàn)日志分布式計(jì)算、存儲、查詢等功能，系統(tǒng)支持水平彈性擴(kuò)展。

日志審計(jì)系統(tǒng)滿足了用戶針對日志的集中收集、存儲、分析、審計(jì)、展示的需求，能夠?qū)崟r(shí)不間斷地將互聯(lián)網(wǎng)中來自不同廠商的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)管理中心，實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)綜合日志進(jìn)行審計(jì)。

日志審計(jì)系統(tǒng)可以對收集到的各類日志信息進(jìn)行實(shí)時(shí)的規(guī)范化和分析，幫助網(wǎng)絡(luò)安全管理人員快速、準(zhǔn)確地從海量日志中識別出安全事件，大大降低了安全管理人員對日志分析和管理的技術(shù)能力要求，極大的提高了工作效率。

日志審計(jì)系統(tǒng)幫助網(wǎng)絡(luò)安全管理人員滿足安全審計(jì)的合規(guī)要求，可幫助網(wǎng)絡(luò)安全管理人員快速出具滿足國家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)的多種合規(guī)報(bào)表和報(bào)告。

?

5?結(jié) ?語

?

綜上所述，網(wǎng)絡(luò)安全防護(hù)產(chǎn)品的組合是基于用戶IP資源、帶寬、應(yīng)用、時(shí)間等要素對鐵法能源公司網(wǎng)絡(luò)進(jìn)行全面靈活的策略配置，從而將鐵法能源公司內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)管理從“被動響應(yīng)管理”轉(zhuǎn)變?yōu)椤爸鲃宇A(yù)警管理”，從“預(yù)防管理”到“控制管理”，把鐵法能源公司內(nèi)部網(wǎng)絡(luò)的“通信安全”提升為“應(yīng)用安全”，從而強(qiáng)有力地保障鐵法能源公司網(wǎng)絡(luò)安全。

?

作者簡介：李向廷（1968—），男，高級工程師。1991年畢業(yè)于阜新礦業(yè)學(xué)院管理信息系統(tǒng)專業(yè)，現(xiàn)任大數(shù)據(jù)運(yùn)營公司副科長。聯(lián)系電話：15241005665。

?

?

?

?