李钰婷
当今世界,随着数据通信与计算机网络技术的迅速发展,全球信息化已成为人类发展的大趋势。因此国内外企业的生产经营管理方式也都随着网络技术的发展而朝着信息化、网络化方向发展。企业内部网络系统的建立,极大地提高了对外以及内部各部门之间的沟通效率。但近年来网络安全威胁日趋严重,不断演化的网络攻击对企业造成了极大地损失(如勒索病毒等)。另外,由于陕西省水务集团的业务涉及关键基础设施(如自来水厂等),并且在智慧水务建设过程中将采用越来越多的物联网设备,这使得企业在网络安全方面将面临更为严峻的挑战。
本文的研究内容正是基于此种大背景下提出来的,通过分析陕西省水务集团的网络安全需求,以企业网络架构的设计及安全部署为重点展开研究,并提出相应的网络安全设计方案[1]。
从陕西省水务集团的网络结构分析,企业网络层的安全主要涉及Internet连接安全、广域网连接安全和内网系统安全。
陕西省水务集团需通过门户网站向大众提供业务服务并对企业进行宣传,公司内部用户办公也需通过互联网与外界进行电子邮件往来。因此,企业的Internet出入口连接点,存在遭受来自外部恶意攻击、病毒传播的可能性,必须采取措施进行保护,如部署防火墙系统。
陕西省水务集团下属分公司及三级子公司位于省内各市县,需通过数字电路专线组成的广域网与集团总部进行连接。这种在物理上分布广泛的网络系统,每一个在地理上属异地的分支机构或部门,其网络应用和管理都有相对的独立性,因此在网络安全管理实施和执行上就很容易产生差异,从而出现网络安全漏洞。
陕西省水务集团内网中的信息系统中存放了大量的企业数据和信息,不同的信息系统开放的用户范围及权限是不同的,因此需要有比较好的手段对内部用户进行信息资源访问的控制。同时,企业网环境比较复杂,设备众多,网络管理人员查找和修补网络中的安全隐患有相当大的难度。因此,利用先进的技术、工具进行网络系统自身的脆弱性检查,先于入侵者发现漏洞并及时弥补,是十分必要的安全防护措施。
员工进入信息系统时需要输入用户名称和密码,而单一静态密码容易泄露,很容易被网络入侵者猜测或破解。因此在原有用户名密码登录验证的基础上,需增加更强大的认证手段[2-4]。
根据陕西省水务集团网络安全防护的实际需求,制定了相应方案解决水务网络安全问题。
根据企业业务需要,以及网络应用对安全性的不同级别的要求,可划分出以下不同的安全区域:
(1)DMZ区,包括门户网站服务器、邮箱服务器等需要对外提供服务的服务器群。
(2)广域网分区,异地的集团分公司、三级公司通过数字电路专线连接到集团总部网络,分公司、三级公司的业务系统数据将通过该分区进入总部数据中心。
(3)数据中心区,该区域由集团的智慧水务大数据平台、数据备份服务器等服务器集群构成,承载集团一切业务的核心数据,因此该区域对安全性要求最高,对业务稳定不间断运行要求也最高。
(4)内部办公区,该区域是集团总部内部员工办公计算机所在区域,该区域对网络运行稳定性要求较高。
采用防火墙解决Internet连接及广域网连接的安全隐患,隔离各安全区域。防火墙通常部署在内部网与外部网之间,用于控制通过的流量以及对外部网络攻击进行防护,是目前网络安全解决方案中应用最多的技术手段。防火墙能够对数据包进行过滤,阻断不符合策略的连接,还可以关闭不使用的端口以免被攻击者利用,并且具备非常强的抗攻击能力。
采用入侵检测设备,实现对攻击行为的识别,与防火墙进行配合,可加强对应用层的安全防护。入侵检测技术能够识别出对计算机和网络资源的恶意使用行为,并对恶意使用行为做出相应的处理。入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。收集到的信息将被送到检测引擎,进行模式匹配、统计分析、完整性分析。当检测到恶意使用行为时,将会产生告警,并根据策略可联动防火墙对攻击行为进行阻断。
病毒防护应采用预防为主,软件查杀为辅的防治策略。首先要加强网络的管理,制定严格的管理制度,对管理员和用户加强培训,提高防毒意识。同时给计算机安装杀毒软件,并定期进行病毒库升级。服务器可采用装载防病毒模块,或者安装防毒卡的防护方式。
可考虑采用RADIUS或TACACS+认证方法,两种认证方法都可实现用户在访问业务系统前,必须通过认证服务器的认证与授权。区别在于RADIUS采用UDP协议传输,只对客户端请求包中的密码加密,而TACACS+采用TCP协议传输,对除了头部外的整个分组加密。
为实现攻击行为及网络日常管理的事中跟踪,事后分析,可采用安全审计技术。根据GB/T 20945-2013国标定义,“安全审计”指对网络或信息系统的事件进行记录和分析,并针对特定事件采取相应比较的动作。安全审计分为监测审计和日志审计两种,前者是监测实时数据,后者是事后审计方式。安全审计的范围包括了所有与安全相关的设备和系统。
借助漏洞扫描技术提升内网系统安全性。漏洞扫描是一种主动的防范措施,通过对网络中的服务器、路由器、交换机、数据库等设备进行逐项规则检测,或模拟网络攻击,来判定网络系统中是否存在安全漏洞。网络管理员因此能及时发现安全漏洞,客观评估网络风险等级,根据扫描结果修补相关安全漏洞,做到防患于未然[5-7]。
结合陕西省水务集团的网络架构,划分安全域,在安全域边界部署防火墙对Internet连接和广域网连接进行管控,配合IDS进一步解决应用层的安全威胁,采用Radius认证、漏洞扫描、病毒防护等技术共同加强内网的安全防护。具体方案见图1。
图1 网络安全方案示意图
根据网络安全方案设计,将集团网络划分为数据中心区、内部办公区、DMZ区、广域网区共四个安全区域,部署两台防火墙对安全区域进行隔离。防火墙上关于安全区域的访问控制策略应配置为:
<1>内部办公区可以访问Internet,广域网区,DMZ区。
<2>Internet不能访问内部办公区、数据中心区,广域网区,可以访问DMZ区。
<3>DMZ区可以访问Internet,不能访问内部办公区,数据中心区,广域网区。
内部办公区网络,应按各部门划分VLAN,起到逻辑隔离作用,避免广播风暴。
内部办公区、数据中心区、DMZ区各部署一台IDS设备(配置与防火墙联动),对各安全区域的网络信息进行检测分析,发现攻击行为则联动防火墙,由防火墙阻断相关连接。防火墙、IDS均开启审计日志。
在防火墙上配置启用Radius认证服务器,用户访问各业务系统时,需先输入用户名、密码,Radius认证服务器认证通过后,则授权用户继续访问。
定期对内网进行安全性检测时,可将漏洞扫描设备以旁路方式接入各安全区域内的交换机上,依次对各网段开展漏洞扫描分析。
所有新采购的服务器要求必须安装防病毒模块、软件防火墙,已有的服务器由系统管理负责安装防病毒模块、软件防火墙。集团所有办公电脑统一安装企业版杀毒软件,由系统管理员负责病毒库更新等日常管理。
通过DMZ区划分、网络边界防火墙、入侵检测、漏洞扫描、网络审计、病毒防护等网络安全技术的设计、部署,将建立起全方位的企业网安全防护体系,有效阻挡来自外网以及内网的攻击。后续根据集团业务需求,还可建设VPN虚拟专用网络,为远程用户提供到集团内网的安全传输方式。
[1]wjessie.企业网络系统安全需求分析与设计方案.[OL].2017-03-19.https://max.book118.com/html/2017/0319/96078529.shtm
[2]江超.面向应用层的网络安全方案的设计与实施[D].北京邮电大学,2013.
[3]赵玉田.某信息技术企业计算机网络安全系统的设计与实现 [D].山东大学,2015.
[4]邓林.网络信息安全防护理论与方法的研究[D].合肥工业大学,2009.
[5]曹胜华.集团企业网络架构及安全部署的设计与实现[D].中南大学,2010.
[6]曹晶秀.企业网安全架构模型的研究与验证[D].吉林大学,2008.
[7]徐波涛.校园网网络安全方案设计与工程实践 [D].北京邮电大学,2012.