◆马琳 房潇
一种大型企业分支机构信息系统安全解决方案
◆马琳 房潇
(91977部队 北京 100036)
针对大型企业分支机构的信息安全防护需求,本文提出了一种一体化安全管理控制解决方案,以“预防为主、快速响应、迅速处理”为安全防护目标,实现对大型企业分支机构中的网络、安全设备、服务器和主机以及应用系统等各种资源的集中监控,以及安全事件的有效管理,从而简化安全管理工作,降低安全运营成本。
信息安全;集成;安全管理
随着网络和信息技术的不断演进,企业对信息技术的依赖程度日益增加,云计算、互联网、大数据、移动互联网等新技术的快速发展和应用,不仅能够帮助企业提升生产效率,降低运营成本,还能帮助企业改变生产方式和拓展业务能力。然而,随着企业对信息技术的依赖程度不断加深,所面临的安全威胁也越来越严重,为了应对各种各样的安全威胁,防火墙、入侵检测系统、漏洞扫描系统、主机监控系统、网络防病毒系统等安全设备在企业中得到了广泛的应用。
对于很多大型企业的分支机构而言,他们往往部署在远离企业总部所在的区域,网络贸易、网上银行、企业内部沟通等等网络带来的便利使他们的日常运营严重依赖于网络,在安全威胁和网络环境不断发展变化的今天,也必然面临着病毒、木马、黑客攻击等安全威胁,为了解决各种安全问题而部署大量的安全防护装备所需要的金融成本和运营成本对这些企业而言是一笔巨大的支出,但如果不对这些分支机构进行安全性设计,往往会成为其所属企业的安全隐患。为此,本文提出了一种大型企业分支机构的安全解决方案。
结合分支机构面临的安全风险,其安全需求主要包括从网络、主机、应用和管理四个层面。
(1)网络安全需求
由于企业总部及其分支机构所使用的信息系统依托的网络系统运行的TCP/IP 协议并非专为安全通信而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等手段搜集信息,然后利用IP 欺骗、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等手段对网络实施攻击。网络安全需求主要包括数据加密传输、网络资源的访问控制、远程接入的安全控制、网络入侵检测等。
(2)主机安全需求
主机安全是信息系统信息安全的重要保障,操作系统自身的脆弱性将直接影响到其上的所有的应用系统的安全性,但是由于现代操作系统的代码庞大,各种系统在不同程度上都存在一些安全漏洞,此外由于系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成主机安全隐患。主机安全需求包括用户身份认证、外设访问控制、病毒防护、用户操作审计、文件的访问控制等。
(3)应用安全需求
应用安全与应用系统直接相关,它既包括不同用户的访问权限设置和用户认证、数据的加密与完整性确认,也包括对非法信息的过滤。应用层常见的攻击手段包括SQL注入、跨站脚本攻击、数据库拒绝服务攻击以及Cookie和Session欺骗等。应用安全需求主要涉及对用户的识别、认证、安全审计以及数字签名等方面,包括允许合法用户以指定的方式访问指定的信息,禁止合法用户以任何方式访问不允许其访问的信息,禁止非法用户访问任何信息以及存储用户对信息的访问记录。
(4)安全管理需求
信息安全不仅有技术方面的因素,也有管理的因素,没有严格的管理制度、负责的管理人员和到位的管理手段,就没有真正的信息安全。安全管理需求包括管理制度的制定和执行以及安全管理手段的实施,管理制度包括安全制度、值班执勤制度等,安全管理手段的实施包括安全状态监控以及安全事件分析处理等。
为了解决分支机构的安全问题,一方面,需要企业根据其自身特点制定相应的安全制度,并配备相应的信息安全管理机构和人员,另一方面,需要一种功能完备、价格低廉、简单实用的安全防护产品。目前,很多安全厂商对综合安全防护技术进行了研究,推出了整合类安全产品,其中最典型的产品就是UTM(统一威胁管理,Unified Threat Management)。UTM设备一般具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能,这几项功能可以根据实际需求来配置启用。随着产品和技术的发展UTM所包括的功能越来越多,除了上述的三项功能之外,还增加了反垃圾邮件、带宽管理、日志管理等等。一般而言,市面上的UTM产品多数是以防火墙系统为核心,重点强调网络边界的访问控制,但是对于企业内部的安全防控力度有限,对企业的整体安全状态的把控能力不足。
为了满足分支机构的各种安全防护需求,同时兼顾整体性、经济型和便利性原则,本课题提出了一种综合安全防护设备解决方案,如图1所示,实现接入控制、边界防护、病毒过滤、入侵防御、网络防病毒、补丁管理、主机监控和安全管理等安全服务,并可依托企业总部的网络防病毒系统、补丁管理系统、入侵检测系统、漏洞扫描系统、防病毒过滤网关等提供病毒、补丁、事件库的升级等安全服务和远程技术支持,向总部报告本地的病毒爆发、补丁更新、安全事件等安全信息,从而有效地提升分支机构的安全防护水平,并降低安全管理的经济与运营成本。
图1 综合安全防护设备解决方案
为了实现上述目标,综合安全防护设备中集成的安全组件包括防火墙、入侵防御系统、防病毒过滤系统、网络防病毒系统、主机监控系统、补丁管理系统等,用户可以根据实际情况进行剪裁:
(1)防火墙:在被保护的内部网络与不安全的非信任网络之间设立唯一的通道,按照设定的规则和策略对经过其间的数据包进行检查,从而达到保护内部网络的信息不受外部非授权用户访问的目的;
(2)入侵防御系统:通过对网络流量的深层次分析,及时准确的发现各类入侵攻击行为,并执行实时精确阻断,主动而高效地保护用户网络安全;
(3)网络防病毒系统:针对网络中所有可能的病毒攻击设置对应的防护策略,通过制定各种安全策略实现自动病毒查杀、系统自动修复、全网络病毒库自动更新等功能,有效抵御病毒入侵,从而达到病毒防护的目的;
(4)防病毒过滤网关:能够防范非法访问和病毒、蠕虫等安全事件扩散,利用灵活的过滤策略,过滤计算机病毒、蠕虫、垃圾邮件等有害数据;
(5)主机监控系统:对服务器和终端的外设、端口以及重要信息等访问控制、保护和日志记录,有效防止内部网络重要信息通过各种可能途径被非法泄漏和破坏;
(6)补丁管理系统:搜索操作系统和应用程序中存在的安全漏洞,并为系统中存在的安全漏洞提供补丁管理功能,用以完善和加固终端,最大限度地降低网络运行的风险;
(7)数据库审计系统:监测和采集数据库系统中的安全事件、用户登录行为、用户操作行为以及数据库的使用情况等信息,以统一的格式进行集中存储和管理,并对数据库系统的安全状况进行审计;
(8)漏洞扫描系统:分析和发现有关网络的安全漏洞及系统的薄弱环节,给出详细的检测报告,并能针对检测到的网络安全隐患给出相应的修补措施和安全建议;
(9)安全管理系统:统一管理综合安全防护设备中的各种安全组件,通过对安全策略进行统一配置,对安全事件进行统一收集,实现对信息系统的安全状态的实时监控和管理功能。
为了将所有安全组件有效整合,集成到同一硬件系统中,方便用户进行统一的管理维护,同时兼顾系统自身的安全性、可靠性和稳定性,本文提出了双主机集中管理解决方案。首先从硬件上将两台主机集成到一个设备中,两个主机之间通过内部PCI-E总线直接连接,保证两台主机之间高速稳定的通讯,如图2所示。其次,根据安全组件的特性,我们将其划分为边界安全防护模块和内网安全防护模块,其中边界安全防护模块由防火墙、入侵防御系统等安全组件构成,内网安全防护模块由网络防病毒系统、主机监控系统等组成,在两台主机上分别安装边界安全防护模块和内网安全防护模块。在防火墙上开辟专门的区域与内网安全防护模块连接,使针对内网安全防护模块的所有通讯都要经过防火墙的检查和过滤,从而保证内网安全防护模块的安全性。通过这种方式,可实现安全组件的集中管理,方便管理员日常工作,而且双主机的硬件方案是网闸产品惯用的硬件结构,稳定可靠,供应商丰富,同时双主机系统性能有保证,同时还可以降低单点故障造成的安全防护功能全盘瘫痪的风险。在此基础上,通过融合现有的一些安全防护软件或系统,并单独开发统一的管理程序,可以实时的监控两台主机上运行的各种应用的状态,并可以对各应用进行调用和监控管理。
综合安全防护设备的软件体系结构主要由安全组件层、数据采集层、监控管理层、用户展示层和知识库等部分组成,系统体系结构如图3所示。
图2 硬件设计
图3 系统体系结构
(1)安全组件层
安全组件层由各种被管理的安全组件构成,包括防火墙、入侵防御系统、网络防病毒系统、补丁管理系统、主机监控系统、防病毒过滤网关等。
(2)数据接口层
数据接口层根据安全组件的自身特点,通过SYSLOG、SNMP、ICMP、ARP、CDP、JDBC/ODBC、TELNET、SSH/HTTP以及其他自定义接口等与各种安全组件进行信息交互。
(3)数据采集层
数据采集层通过与数据接口与安全组件进行交互,完成安全事件、组件状态等信息的采集与汇总功能。数据采集层是综合安全防护设备的基础,既要支持丰富的采集对象,又要采用开放的构架,尽可能做到即插即用。信息采集层主要实现数据采集和数据预处理两大功能:数据采集是利用接口转换工具,从各种安全组件自带的Syslog、SNMP等标准接口以及定制接口,实现各种安全组件的状态信息、事件信息、策略信息和管理信息等的采集;数据预处理是为了消除各类数据的异构性,将采集到的事件、状态、策略等信息进行去冗余、转换、归并的操作,完成信息初步筛选,实现数据标准化、分类、合并和过滤,通过预定义的标准数据格式,将来自不同安全组件所捕捉的事件信息或报警信息进行统一类型规范处理,处理之后形成一种能够被系统理解和处理的信息。
◆事件采集:基于SNMP协议、Syslog协议等实现储存于各种安全组件中的安全事件信息的采集;
◆标准化:将通过数据采集机制获得的不同途径,非同源信息以统一规范的格式进行标准化处理,标准化内容包括数据格式标准化、字段名字标准化、事件名称标准化,统一事件标识等;
◆事件储存:储存标准化后经过归并与过滤处理后的安全事件数据;
◆状态采集:采集安全组件的各种相关状态信息;
◆漏洞采集:通过漏洞扫描与本地漏洞信息匹配的方式收集信息系统内终端、服务器以及应用的漏洞信息;
◆配置采集:基于SNMP协议,文本传输协议等采集安全组件的配置信息。
(4)监控管理层
监控管理层将数据采集层采集到的数据进行分析处理,实现对安全组件策略监控与配置、运行状态监控,以及对病毒爆发、漏洞分布、入侵事件分布等状态的监控,并在信息采集与监控的基础上,通过登录控制、设备管理、监控管理、告警管理等手段,实现对信息系统安全状态的运维支持。
◆门户管理:提供统一的管理平台,实现对各种安全组件的统一的管理入口,并提供单点登录的功能;
◆策略管理:实现对安全组件和综合安全防护设备自身的安全策略的审阅、维护和修改等功能;
◆系统管理:实现对系统自身的用户权限、安全配置、运行参数配置、安全策略、级联策略等的管理功能;
◆事件管理:实现安全事件采集、分析、监控、告警等功能;
◆监控管理:通过监控网络各安全组件的原始日志信息,以及关联分析后的事件信息等,及时发现正在和已经发生的安全事件;
◆报表管理:为各种安全组件及系统自身的相关功能提供报表支持,利用所保存的数据进行各类统计分析,生成各类报表;
◆用户管理:提供用户的添加、删除和修改等功能;
◆权限管理:提供对系统管理员、操作员以及审计员等多种不同角色的定义和分配等功能,并支持权限划分;
◆审计管理:对各类安全审计信息进行统计分析。
(5)用户展示层
用户展示层为用户提供监控视图、统计视图和运维视图。
◆监控视图:展示漏洞分布、病毒爆发分布、入侵事件分布等监控状态;
◆审计视图:展示系统自身的用户操作、事件处理等信息以及各种安全组件的用户操作、事件处理等信息;
◆运维视图:展示系统自身及各种安全组件的运维管理等信息。
(6)知识库
知识库是综合安全防护设备的数据中心,包括:
◆漏洞库:提供安全漏洞的国际通用编号、利用途径以及威胁程度;
◆资料库:提供基础信息安全知识和资料供安全管理人员查阅;
◆事件库:提供系统自身及各种安全组件的安全事件信息库及升级包;
◆策略库:提供标准的安全策略模板,供系统用户参照比对。
综合安全防护设备是部署在网络边界上的核心安全产品,本身提供了大量的安全功能,因此设备自身的安全性非常重要,一旦设备本身被攻破或搭载的安全组件被攻破将对用户的业务系统及数据造成致命的影响,因此设备的自身安全性设计是综合安全防护设备的关键技术。
边界安全防护模块为了确保网络边界安全,应部署在信息系统的边界处,必然会暴露在外部网络之前,但是内网安全防护模块和综合管理模块则不必如此,由于网关设备的位置部署在网络边界,无形之中将内网安全防护模块推到了网络边缘,使安全风险加大了很多。
为了提升综合安全防护设备的自身安全性,将内网安全防护模块划分到一个安全域中,就像通常防火墙DMZ区一样,对外通讯使用管理接口IP地址,通过综合安全防护设备中提供的双向地址转换功能很好地隐藏起来,让外界感知不到这些安全组件的存在,而内部网络中的管理控制台(客户端)可以通过配置后连接统一的管理IP地址,对所有集成的安全组件分别进行管理,如图4所示。综合安全防护设备一般情况下只对外开放管理IP地址和端口,而且可以针对IP地址配置访问控制列表,限制可访问该管理IP地址的范围,这样就可以保证内网安全防护模块和综合管理模块不会直接对外部网络开放数据,因而外部网络无法直接访问这些系统资源,这样就使得内网安全防护模块始终处在边界安全防护模块的保护之下。同时,在防火墙系统中预制好相应的安全策略,对内网安全防护模块中的安全组件所需的端口进行精确控制,仅对外开放必需的服务端口,其他通讯端口全部关闭,从而有效降低外部的恶意攻击的风险,保障内网安全防护模块的安全运行。
图4 信息关系
此外,还应遵循最小特权的原则对综合安全防护设备依托的底层操作系统进行安全的加固,提升操作系统的稳定性安全性。同时,对WEB管理界面和SSH管理界面等默认管理端口进行修改,并配置安全策略对管理主机的IP地址范围进行限制,在一定程度上避免非授权的访问和攻击。
通过将网络边界安全和内网安全进行有效整合设计的综合安全防护设备将多种安全组件应用集成到同一设备中,集边界访问控制、入侵防御、网络防病毒、主机监控等多种安全功能,重点解决了多种产品共同管理的问题、综合分析协同处理的问题、人力资源不足的问题、解决远程管理的问题以及安全体系的拓展问题,构建了从边缘到内部、从网络到主机的多层次立体化的网络安全防护体系,使用户能够以最小的投入获得完善的安全解决方案体验。
[1]刘积芬.网络入侵检测关键技术研究[D].上海:东华大学,2013.
[2]刘鑫.网络入侵检测系统中模式匹配算法的应用研究[D].大连海事大学,2013.
[3]王友钊,黄冬.一种提高系统搜索效率的BM改进算法[J].计算机工程,2014.
[4]张宏莉,徐东亮,梁敏,刘宇峰.海量模式高效匹配方法研究[J].电子学报,2014.
[5]王正才,许道云,王晓峰.基于自动机并操作的多目标AC-BM算法[J].计算机科学,2013.