化整为零保信息系统安全

基于“化整为零，化繁为简，形成多个网络安全区域”的思想，将一个大规模、复杂系统的安全问题化解为小区域的安全保护问题，可以更清晰地认识威胁来源，明晰网络安全区域内防卫重点，在建设上也可以更加有的放矢。

近年来，很多烟草企业已然建成了一个规模庞大的信息系统，这样一个巨大、复杂的信息系统面临着各种安全威胁，如黑客、病毒、非法的合作伙伴等，如何确保信息系统的安全是烟草企业IT人员必须认真考虑的问题。

为了对大型信息系统进行安全保护，笔者认为，可以针对系统内部的不同业务区域进行划分，然后根据需求采用切实的防护措施。基于这个思路，笔者提出“化整为零，化繁为简，形成多个网络安全区域”，目的是把一个大规模复杂系统的安全问题转化为多个小区域的安全保护问题，这是实现大规模复杂信息系统安全保护的有效方法。

01

划分网络安全域

网络安全域是指同一系统内有相同的安全保护需求、相互信任，并具有相同的安全访问控制和边界控制策略的网络，相同的网络安全域共享一样的安全策略。广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。

划分好网络安全域是做好企业信息系统安全防卫工作的基础。通过安全域划分可以明确网络边界，形成清晰、简洁、稳定的组网架构，实现系统之间严格的访问控制的安全互联，解决复杂系统的安全问题，有效地实现网络之间和各支撑系统之间的有效隔离和访问控制，达到化繁为简、尽在掌控的目的。安全域的划分还增强了网络的可控性，可以有效地防止渗透式等攻击。

安全域的划分有多种依据，比如可以根据组织的最明显特征进行划分，安全域还可以是分层次的，一般越大型、管理层次越多的网络，其安全域层次越多，而对于扁平化管理模式的机构，其层次应该少一些。另外，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主、辅以安全角度，并充分参照现有网络结构和管理现状，唯其如此，才能以较小的代价完成安全域划分和网络梳理，同时又能保障其安全性。

在初步划分网络安全域后，还可以在网络安全域内划分更细、更小的安全域，如可以划分为核心处理域、访问域、内部用户域、外部用户域、接入域等。

完成网络安全域划分后的下一个工作是进行区域内安全防卫系统的建设。这里有一些基本原则需要把握: 一个是对任何网络，绝对安全是难以达到的，也不一定必要，所以需要建立合理的实用安全性，以达到用户需求与成本之间的平衡; 另一个是要统筹规划、分步实施，安全防护不可能一步到位，应在一个比较全面的安全规划下，根据网络的实际需要，优先保证基本的、必须的安全性。

有了这些措施并在划分好网络安全域的基础上，才能做好计算机病毒防范、防入侵这两个方面的工作。

02

各个安全域之间的边界保护

网络入侵主要是通过安全网络域的边界进入，因此针对安全网络域的入侵防卫关键是要做好各个安全域之间的边界保护。

每个网络安全域都是一个边界，也就是说安全策略和设置（诸如管理权利、安全策略和访问控制列表）不应从一个域穿过进入另一个域，某特定域的管理员只有在该域中设置策略的权利。

通过将各个安全区域边界的安全最小化，并关闭一切不必要的服务，从而防御和抵抗拒绝服务的攻击。如可采用“柏林墙”来过滤、屏蔽和解决因为TCP/IP协议、操作系统漏洞和软件本身的缺陷而入侵的“间谍”，使得各个区域之间“和平共处”。

网络边界层面的安全措施包括使用ACL（访问控制列表）或防火墙等技术手段来进行安全层面的控制。特别值得一提的是，注意只开放必要的服务，而关闭其余不必要的服务，从网络边界对外部威胁进行安全隔离，保障网络内部安全。

目前，上海烟草（集团）公司的边界设备多数情况下使用的是路由器，一小部分使用的是安全设备防火墙，也达到了很好防范效果。事实上，不管采用何种设备，关键是要制定合理的访问控制策略。

访问控制列表的使用

如果有些非常重要的网络安全域边界不具备部署防火墙的条件，那就需要在路由器或划分VLAN的交换机上做好访问控制列表。路由器是区域与区域之间的边界设备，互通的报文都要经过路由器，对路由器进行合理的设置可以达到实现部分安全防范的目的，这时路由器成为保护每个区域的“前沿阵地”。具体措施是通过设置访问控制列表来实现。

访问控制列表提供了一种机制用来控制通过路由器的信息流。这种机制允许用户使用访问控制列表来管理信息流，以制定网络相关安全策略。下面以一个例子说明在路由器上做好访问控制列表的重要性。

以冲击波（Worm.Blaster）这个蠕虫病毒为例，该病毒利用Windows DCOM RPC接口远程缓冲区溢出漏洞和Windows 2000 WebDAV远程缓冲区溢出漏洞发起攻击，该蠕虫通过发送大量ICMP数据包，阻塞正常网络通信。危害很大，但防范并不难。通过在路由器上加载合适的访问控制列表就能很好地进行阻断，此后，该类蠕虫病毒将无法通过网络边界进入网络内部，从而将此威胁屏蔽在外。

当然，访问控制策略必须是可行的和合理的。可行的策略意味着必须在阻止已知的网络风险和提供用户服务之间获得平衡。因此在配置访问控制列表前，我们必须认真地分析和掌握各类协议端口和威胁相应的特征，根据这些对访问控制策略不断调整，使路由器物尽其用，充分发挥访问控制列表是防御网络外来攻击第一道屏障的作用。对于划分VLAN的交换机可以参考路由器进行ACL设置。

利用防火墙

进行访问控制

在网络边界使用的安全设备如果是防火墙，对其设置的主要思路是只开放必要的服务而关闭不必要的服务。但是，即使网络边界设备只开放必要的服务，由于这些设备不对开放服务的信息流进行内容安全检测，威胁仍然可以通过开放的服务进入到网络内，对网络内部造成威胁。因此在做好上述工作的基础上，还需要增加具有内容过滤功能的设备（如网络防毒墙、防垃圾邮件、入侵检测等），它们可以对经过开放服务端口的信息流进行内容安全检测，防止威胁从此进入，从而弥补路由器或防火墙的不足。涉及内容过滤类功能的主要有以下三种系统。

1. 网络入侵检测系统。防火墙是静态安全防御技术，它对网络攻击缺乏主动的响应能力，而网络入侵检测系统能对网络入侵做出实时响应，与防火墙共同成为网络安全的核心设备。

网络入侵检测系统（IDS）是动态安全技术中的核心技术之一，它通过对系统或网络日志分析，对系统或网络资源进行实时检测，获知系统或网络目前的安全状况，及时发现可疑或非法的入侵者。在现有网络的各个VLAN网段分别接入入侵检测引擎，从而构成分布式入侵检测架构，在检测到可疑事件或入侵后，立即向中心控制台报告。基于网络的入侵检测系统一般安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统会发出警报甚至切断网络连接。

基于网络的入侵检测系统如同网络中的摄像机，只要在一个网络中安放一台或多台入侵检测引擎，就可以监视整个网络的运行情况，在网络受到攻击并造成破坏之前，预先发出警报。基于网络的入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。

值得一提的是，如今以千兆网络为主干的高速网络已经得到应用，传统的基于模式匹配的网络入侵检测系统已经不能胜任此项工作。特别是目前各类攻击技术的提高、攻击工具的发展对网络的入侵检测系统在降低错报率和漏报率方面的要求也随之提高。因此，入侵检测系统必须配合其他安全手段一起使用。例如，有一种工具软件可以使检测系统失效。这种被称为Stick的工具可发出多个有攻击表现的信息包，使被攻击网络的IDS频繁发出警告，使得管理者无法分辨哪些警告是针对真正的攻击发出的，从而使IDS失去作用。另外，如果有攻击表现的信息包数量超过IDS的处理能力的话，IDS就会陷入DoS(拒绝服务)状态。

协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势。

网络入侵检测的实际部署数量需要根据实际情况进行，不一定每个网络边界都部署一个网络入侵检测引擎。一般一个网络入侵检测引擎可以监控多个网络安全域及其边界。

2. 网络防毒墙设备。除了上述安全措施，还可根据实际情况部署网络防毒墙。因为网络防毒墙能够识别和清除藏匿于网络传输包（Packet）内的蠕虫、病毒等恶意程序文件，并启用阻止策略抑制网络病毒的发作和传染。其最大特点是主动预防，而不是事后被动地清杀。一般情况下，网络防毒墙主要部署在Internet边界，主要防范来自Internet网络的恶意病毒攻击。

3. 防垃圾邮件系统。和网络防毒墙一样，一般情况下，该系统主要部署在Internet边界进行防范垃圾邮件。

以上措施主要解决入侵威胁，同时在网络安全域边界形成多层面的边界防卫。在这些技术措施中防火墙是基础，入侵检测系统是主要工具。

安全域内的计算机病毒防范

计算机病毒是烟草企业信息系统的主要威胁，防范病毒的泛滥也就成为IT部门的主要职责之一。从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为变成依赖互联网传播; 集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身; 扩散极快，不再追求隐藏性，而更加注重欺骗性; 利用系统漏洞将成为病毒有力的传播方式。因此，仅仅依靠防病毒系统已经很难有效防范现在的病毒了，还需要借助防火墙、系统安全补丁、入侵检测系统等来共同防范，所以我们看到市场上的客户端防病毒软件在防病毒的基础上都集成了防火墙、入侵检测/防御等功能。

做好防病毒工作首先必须重视及时打系统安全补丁。为了及时发现漏洞、及时打系统安全补丁等，现在的通用做法是在系统内部署终端安全管理类系统，该系统通过补丁管理、漏洞管理、网络接入管理等技术手段结合防病毒软件应对可能的风险。

鉴于防病毒系统只能防范已知的病毒这一事实，我们还要考虑防范未知病毒，主要从几个方面来综合考虑。

1. 在及时更新防病毒代码库和扫描引擎程序的同时，及时对保护对象打系统安全补丁，以提高系统自身的健壮性，防止新病毒利用已有的安全漏洞进行传播或攻击。

2. 及时监控网络的异常行为，这可以借助sniffer——基于网络的入侵检测系统，及时了解网络发生的情况，查看是否有可疑的现象出现。一旦发现有可疑现象，应采取措施对可疑的设备进行隔离处理。

3. 定期进行安全漏洞扫描和安全加固工作，增强重要系统的健壮性。

4. 让企业内部用户养成好的操作习惯，不要打开不明来源的邮件、不运行未知的程序等良好习惯，提高识别可疑威胁的意识。

5. 对重要的文件、数据等信息要及时做好备份，防止恶性新病毒泛滥造成巨大损失，毕竟新病毒不可能完全防范。

6. 切实做好划分安全域后的边界防护工作，通过结合入侵检测/防御系统，及时的特征库升级和策略调整，将新病毒威胁隔离在较小的范围，避免波及全网。

划分安全域的好处也在防范病毒的工作中体现出来，划分安全域可以很好地防止病毒的扩散、蔓延，将恶意攻击的危害隔离在较小的范围。

在病毒防护工作中，终端的安全管理也非常关键。终端安全管理工作模式与网络防病毒类似，都是采用C/S模式，在终端部署客户端，然后在服务器的统一策略下发现客户端设备的系统漏洞，并自动分发补丁、防范移动电脑和存储设备随意接入内网，对原有客户端应用软件进行统一监控、管理、快速有效地定位网络中的病毒、蠕虫、黑客的入侵点，及时、准确地切断安全事件发生点和网络。

至此初步建立了网络安全域内的基础防卫措施，主要解决了最重要最紧迫的问题。根据实际的业务需要还应逐步建立安全审计、漏洞扫描、身份认证、权限管理、集中安全管理、数据备份以及有效的应急预防等措施和相应的安全管理措施，在保障可用性的基础上，逐步实现完整性、保密性、可管理性、可审计、抗抵赖等安全目标。

推荐访问:化整为零 信息系统安全