时间:2023-06-07 09:01:20
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全内网管理,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:无线网络;安全风险;安全防范
1概述
医院内部无线网络(Hospital Internal Wireless Networks),既包括允许用户在医院内部范围内建立远距离无线连接的网络。
2009 年,国家新医改政策出台,其中信息系统首次成为我国医疗卫生体系建设的重要支撑。医院信息系统经过多年的发展,已经由以财务为核心的阶段过渡到以临床信息系统为核心的阶段,因此越来越多的医院开始应用无线网络,实施以患者为核心的无线医疗信息系统。随着无线网络技术的日趋成熟,医院内部无线网络在全球范围内医疗行业中的应用已经成为了一种趋势,在今后的医院应用中将会越来越广泛。通过无线医疗信息系统的应用,既拉近了与患者之间的距离,提高了医疗服务的效率和质量,也加强了医院的综合管理。
2医院内部无线网络的安全风险
随着医院对无线医疗信息系统应用的不断深入,医院对于内部无线网络的依赖程度也越来越深。医院内部无线网络作为原有医院内部有线网络的补充,扩展了有线网络的应用范围,但是也将相对封闭的医院内部有线局域网络环境转变成了相对开放式的网络环境。其安全性不仅影响到医院内部无线医疗信息系统的使用,同样也影响到与其相连的有线网络环境中应用的其他医院信息系统。因此医院内部无线网络的安全将直接影响到医院整体信息系统的安全。医院内部无线网络一旦被破坏,将会造成医院信息系统的数据被窃取、网络瘫痪、医疗业务被中断等等一系列严重的后果。由于医院医疗数据的敏感性,以及无线网络通过无线信号传输的特性,使得医院内部无线网络面临的安全风险越来越突出。
根据相关运行情况分析, 医院内部无线网络主要存在以下安全问题:①非法AP的接入:无线网络易于访问和配置简单的特性,使医院内部网络管理员和信息安全管理员非常头痛。因为任何人都可以通过自己购买的AP利用现有有线网络,绕过授权而连入医院内部网络。用户通过非法的AP接入手段,可能会给医院整体内部网络带来很大的安全隐患。②非授权用户的接入:非授权用户往往利用各类无线网络的攻击工具搜索并入侵,从而造成很严重的后果。非授权用户的入侵会造成网络流量被占用,导致网络速度大大变慢,降低网络带宽利用率;某些非授权用户会进行非法篡改,导致医院内部无线网络内的合法用户无法正常登陆;更有部分非授权用户会进行网络窃听和数据盗窃,对病人以及医院整体造成相当大的损失。③服务和性能的影响:医院内部无线网络的传输带宽是有限的,由于物理层的开销,无线网络的实际最高有效吞吐量仅为标准的50%。医院内部无线网络的带宽可以被几种方式吞噬,造成服务和性能的影响:如果攻击者从以太网发送大量的Ping流量,就会轻易地吞噬AP的带宽;如果发送广播流量,就会同时阻塞多个AP;传输较大的数据文件或者运行复杂的系统都会产生很大的网络流量负载。④地址欺骗和会话拦截:由于医院内部使用无线网络环境,攻击者可以通过地址欺骗帧去重定向数据流和使ARP表变得混乱。通过一些技术手段,攻击者可以获得站点的地址,这些地址可以被用来恶意攻击时使用。攻击者还可以通过截获会话,通过监测AP,然后装扮成AP进入,攻击者可以进一步获取认证身份信息从而进入网络。⑤数据安全问题:由于无线网络的信号是以开放的方式在空间中传送的,非法用户、黑客、恶意攻击者等会通过破解用户的无线网络的安全设置,冒充合法识别的身份进入无线网络进行非法操作,进行窃听和截取,从而达到不法操作或破坏信息的目的,从而给医院带来相对应的损失。
3医院内部无线网络的安全防护目标
早期的无线网络标准安全性并不完善,技术上存在一些安全漏洞。随着使用的推广,更多的专家参与了无线标准的制定,使其安全技术迅速成熟起来。具体地讲,为了有效保障无线网络的安全性,就必须实现以下几个安全目标:①提供接入控制:通过验证用户,授权接入特定的资源,同时拒绝为未经授权的用户提供接入。②确保连接的保密与完好:利用强有力的加密和校验技术,防止未经授权的用户窃听、插入或修改通过无线网络传输的数据。③防止拒绝服务攻击:确保不会有用户占用某个接入点的所有可用带宽,从而影响其他用户的正常接入。
4医院内部无线网络的安全防护技术
无线网络的安全技术这几年得到了快速的发展和应用,下面是目前业界常见的无线网络安全技术:
4.1服务区标识符(SSID)匹配 SSID(Service Set Identifier)将一个无线网络分为几个不同的子网络,每一个子网络都有其对应的身份标识(SSID),只有无线终端设置了配对的SSID才接入相应的子网络。所以可以认为SSID是一个简单的口令,提供了口令认证机制,实现了一定的安全性。
4.2无线网卡物理地址(MAC)过滤 每个无线工作站网卡都由唯一的物理地址(MAC)标识,该物理地址编码方式类似于以太网物理地址。网络管理员可在无线网络访问点AP中维护一组(不)允许通过AP访问网络地址列表,以实现基于物理地址的访问过滤。
4.3无线接入点(AP)隔离 AP(Access Point)隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法多用于对酒店和机场等公共热点(Hot Spot)的架设,让接入的无线客户端保持隔离,提供安全的网络接入。
4.4有线等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy),IEEE80211.b标准规定的一种被称为有线等效保密的可选加密方案,其目的是为无线网络提供与有线网络相同级别的安全保护。WEP是采用静态的有线等同保密密钥的基本安全方式。WEP2,是根据WEP的特性,为了提供更高的无线网络安全性技术而产生。该技术相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量的长度由24位加长到128位。
4.5端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP) IEEE802.1x提出基于端口进行网络访问控制的安全性标准,利用物理层特性对连接到网络端口的设备进行身份认证。如果认证失败,则禁止该设备访问网络资源。
IEEE 802.1x引入了PPP协议定义的可扩展认证协议(EAP)。作为可扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
4.6无线网络访问保护(WPA、WPA2) WPA(Wifi Protected Access),率先使用802.11i中的加密技术-TKIP (Temporal Key Integrity Protocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。
WPA2是基于WPA的一种新的加密方式,向后兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。
4.7高级的无线网络安全标准(IEEE 802.11i) IEEE 802.11i安全标准是为了增强无线网络的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP、CCMP和WRAP三种加密机制,使得无线网络的安全程度大大提高。
5医院内部无线网络的安全实现
5.1合理放置无线设备 无线网络的信号是在空气中传播的,任一无线终端进入了设备信号的覆盖范围,都有可能连接到该无线网络。所以医院内部无线网络安全的第一步就是,合理规划AP的放置,掌控信号覆盖范围。在架设无线AP之前,必须选定一个合理的放置位置,以便能够限制信号在覆盖区以外的传输距离。最好放在需要覆盖的区域中心,尽量减少信号泄露到区域外。
5.2无线网络加密,建立用户认证 对于医院内部无线网络的进行加密,建立用户认证,设置相关登录用户名和密码,而且要定期进行变更,使非法用户不能登录到无线设备,修改相关参数。实际上对无线网络来说,加密更像是一种威慑。加密可细分为两种类型:数据保密业务和业务流保密业务。只有使用特定的无线网络加密方式,才会在降低方便性的情况下,提高安全性。
5.3 SSID设置 无线 AP 默认的设置会广播SSID,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWS自带扫描功能,可以将能联系到的所有无线网络的 SSID 罗列出来。因此,设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串,同时设置SSID隐藏起来,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出 SSID 全名也是无法接入到这个网络中去,以此保证医院内部无线网络的安全。
5.4 MAC地址过滤 MAC 地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的MAC 地址下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
5.5 SSL VPN 进行数据加密和访问控制 由于在实际医疗活动中,为了满足诊断、科研及教学需要,必须经常大量采集、、利用各种医疗数据。由于原有医院网络的相对封闭性,绝大多数的应用系统采用的都是未经加密的数据包进行数据交换,但是医院内部无线网络是相对开放性的网络,入侵者通过对无线信号中数据包的侦听与解析,使得医疗信息泄漏成为了医院不得不面对的问题。SSL VPN 即指采用SSL 协议来实现远程接入的一种VPN技术。SSL VPN 基于浏览器的认证方式,能兼容医院主流的无线终端设备操作系统,如Windows、Android、IOS,而VPN 的方式又能保证医院信息系统的正常运行。SSL VPN在解决医院无线网络数据加密的同时,最大限度地保障了医院信息系统的投资。
5.6核心网络隔离 一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击, 但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。所以必须将无线网络同易受攻击的核心网络进行一定的安全隔离保护,应将医院内部无线网络布置在核心网络防护外壳的外面, 如防火墙、网闸等安全设备的外面,接入访问核心网络采用SSL VPN等方式。
5.7入侵检测系统(IDS) IDS(Intrusion Detection Systems)入侵检测系统,不是只针对无线网络检测的系统,同样也适用于有线网络。入侵检测技术可以把无线网络的安全管理能力扩展到安全审计、安全检测、攻击识别和响应等范畴。这样不仅提高了网络的信息安全基础结构的完整性,而且帮助对付恶意用户对整体医院网络内其他用户的攻击。依照医院无线应用系统的安全策略,对网络及信息系统的运行状况进行监视,发现各种攻击企图、攻击行为及攻击结果,以保证网络系统资源的完整性、可用性和机密性。
5.8终端准入控制 终端准入控制主要为了在用户访问网络之前确保用户的身份信任关系。利用终端准入控制,医院能够减少对系统运作的部分干扰,因为它能够防止易损主机接入网络。在终端利用医院内部无线网络接入之前,首先要检查它是否符合制定的策略,可疑主机或有问题的主机将被隔离或限制接入。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头,保证只有在满足终端准入控制策略的无线终端设备才能接入医院网络。
6结论
随着无线网络越来越受到普及,本文浅析了医院内部无线网络存在的几种安全隐患,并探讨了对应的几种防范策略。总的来说,世界上不存在绝对安全的网络,任何单一的安全技术都不能满足无线网络持续性的安全需求,只有增强安全防范意识,综合应用多种安全技术,根据不同的医院自身应用的特点,选择相应的安全防范措施,通过技术管理和使用方法上的不断改进,才能实现医院无线网络的安全运行。
参考文献:
[1]Zerone无线安全团队.无线网络黑客攻防[J].中国铁道出版社,2011(10).
[2]中国密码学会,无线网络安全[J].电子工业出版社,2011(9).
关键词:内部网络;安全;Web Service
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系统安全模型
内网即Intranet,是相对于外网Extranet而言的。广义上人们认为所有的党政机关、企事业单位的内部网络都称为内网,而狭义上我们认为与互联网物理隔离的办公网、局域网、城域网或是广域网都可能是内网。在内网安全监管审计系统中,我们所定义的内网是指物理上直接连接或通过交换机、路由器等设备间接连接的企业内部信息网络,它可以是单一的局域网,也可以是跨越Internet的多个局域网的集合。如图1所示,是典型企业局域网网络拓扑图。
图1.企业局域网网络拓扑图
内部网络安全管理系统的目的就是通过系统部署,能在企业内网中,建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端行为进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理,借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。根据P2DR安全模型得出结论,要实现内网的安全,必须做到及时的检测、响应。因此,内部网络安全管理系统的安全模型是基于静态的安全防护策略,覆盖了P2DR安全模型中的防护、检测和响应三个阶段,由安全策略、策略执行、监控响应、审计和管理支持五个环节组成。
安全策略是整个内网安全监管审计系统的核心,它渗透到系统的策略执行、监控响应、审计、管理支持等各个环节,所有的监控响应、审计都是依据安全策略实施的。安全策略包括监控策略、审计策略、响应策略、系统管理策略。管理支持是指系统管理员操作的相关接口,即用户界面。它提供对系统运行相关参数的配置、各类策略的制定、系统的授权管理操作。策略执行是指通知制定的策略,并确保策略的成功实施。监控响应是根据制定的安全策略,对系统管理员和内网的计算机终端活动进行监测和响应,提供对安全事件的记录和上报。它是强制实施安全策略的有利工具,也是内网安全监管审计系统最为重要的一个环节,是系统功能的核心,主要通NDIS-HOOK数据包技术、Win Pcap网络管理技术等来实现。审计是指对安全事件的报警、日志的统计分析。安全事件是由“监控响应”环节生成的。根据安全事件的严重程度,按照报警策略,向系统管理员提供能够报警信息。
二、系统结构设计
(一)系统功能
系统的总体设计,旨在从系统应用的角度,明确系统的功能;从系统开发的角度,设计系统的逻辑结构模块,便于编程实现;从系统部署的角度,规划系统的物理结构分布以实施系统的运行。内网安全网络管理系统的目的是构建一个整体一致的内网安全体系,从网络协议方面看,内网安全监管审计系统适合于任何基于TCP/IP协议的网络,不管是Internet还是Intranet,都能充分发挥作用。从操作系统方面看,内网安全监管审计系统主要针对目前主流的Windows桌面操作系统,包括Windows2000,Windows XP,可随着操作系统的发展和用户的实际需求,开发相应的适用版本。
从用户群方面看,内网安全监管审计系统适用于几乎所有对内网安全管理有需求的单位,特别是党政军警机要部门、国家核心技术研究院所、高新科技企业、金融机构等部门。根据对内网安全产品的分析和内网安全的特点,内部网络安全管理系统的功能主要包括接入控制,行为监控,网络管理,补丁管理,实时监听,WEB管理平台六个方面,并且这六个方面是紧密结合、相互联动的。
(二)客户端模块设计
1.接入控制线程:包括终端接入控制,非法外联实时监测和策略管理模块,实现终端信息注册、用户登录、登录策略更新、客户端软件安装版本验证、客户端操作系统版本及补丁验证、客户端杀毒软件版本验证、安全策略版本验证、安全策略更新以及网络层防护策略,包括IP地址访问控制、TCP端口访问控制、UDP端口访问控制、IP地址+端口号的访问控制,终端流量的监控等功能。
2.客户端监控线程:包括终端软件安装管理,终端进程管理,终端杀毒软件管理模块,用于监控终端行为并根据策略对违规行为进行处理,同时加密发送事件报警信息并记录日志。具体做法是读取终端安全策略,根据安全策略进行进程运行监控、服务运行监控、软件安装监控、网络流量监控,并对违规事件进行事件告警和日志记录等功能。
3.终端实时控制监听线程:包括点对点实时监控管理模块,接收服务端实时查询消息,获取客户端运行时信息,包括系统CPU使用率,内存,硬盘使用情况,系统进程列表,系统服务列表、硬件清单、安装程序清单和网络流量,并把终端信息加密发送到服务器。
4.补丁管理线程:包括操作系统版本和补丁管理模块,扫描本机注册表中的Hot fix项,得到本机的补丁安装信息,对比指派给本机的补丁策略,得到需要下载安装的补丁列表,再从局域网服务器下载并安装相应补丁。
(三)服务器模块设计
1.内网终端安全主程序:负责启动或停止登录验证进程、运行状态监控进程、终端实时控制信息进程。维护进程之间的共享数据(终端会话列表),实时策略下发功能。
2.登录验证进程:包括终端注册管理、终端登录管理、TCP监听、加解密密钥协商、策略下发模块。实现监听终端请求,接收并解密客户端消息,处理终端注册请求,并记入数据库;处理终端的登录请求,验证终端的登录信息,验证通过后向客户端发送最新安全策略。
3.运行状态监控进程:包括探测消息,终端告警消息处理模块,实现探测消息接收,以确定客户端是否在线,并修改终端会话状态;接收终端告警消息,进行解密处理并将相关信息记入数据库,以便管理员查询。
4.终端实时控制信息进程:包括终端信息实时查询和策略下发模块。接收客户端程序发来的终端信息,为WEB服务提供终端信息实时查询的功能。另外在管理员通过WEB界面更改策略后,后实时向相关终端下发最新策略。
5.网络管理进程:基于Win Pcap实现防止局域网A印欺骗的功能。Win Pcap(windows packet capture)它具有访问网络底层的能力,提供了捕获原始数据包,按照一定规则过滤数据包,以及发送原始数据包功能。通过捕获并分析局域网的网络数据包,可以判断局域网是否发生欺骗,进而采取措施来防止欺骗。
6.补丁管理进程:基于CXF和WSS4J的安全的Web.Service实现,通过这种方式从远程TJHN服务器获取最近补丁列表,通过比对当前本机服务器获取远程补丁列表,从官方网站下载所需补丁。
(四)Web管理平台模块设计
用户管理模块:对可以登录Web的用户进行管理;提供用户登录。终端审批模块:对申请接入的终端请求进程审批。策略配置模块:对单个策略进行管理,主要包括进程,服务,安装软件的黑白名单策略,网络过滤策略,流量阂值设置;对策略分组进行管理。终端查询模块:向终端发送点对点消息,查询并展示实时的终端运行信息,包括CPU占用率,硬盘,内存使用情况,运行进程,服务,安装软件,实时流量信息。日志查询模块:查询终端运行告警日志,包括运行进程告警,服务告警,安装软件告警,流量异常告警,网络阻断告警。
参考文献:
[1]黄泽界.一种远程视频监控系统的实现[J].安防科技,2008,2
[2]胡爱闽.基于DM642的网络视频监控系统[J].安防科技,2008,9
[3]王文联,侯,周先存.基于NDIS中间驱动程序的防火墙的研究与实现[J].安徽建筑工业学院学报(自然科学版),2004,1
[4]胡珊,张冰.利用SPI控制计算机上网[J].鞍山科技大学学报,2004,5
总体管理要求
首先看一下数字出版的特点。
数字业务形态多样:目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、App应用程序等,丰富的业务形态要求网络提供多种接入方式、多种内容共享方式,同时要保证安全。
强调对数字化资源的管理:国外知名出版公司特别强调对数字化资源的管理,很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG,计划五年内完成;培生内部已经运行了WPS,与前台的Coursecompass结合以更加有效的建设模式为学校提供服务;麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。
整体安全性要求高:数据化资源对整体安全性要求较高,现在网上支付手段丰富,如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作,以保护机构和个人财产安全;要求建立完善的数字版权机制,保障作者、编辑单位的合法权益;网上交易和传播的数字内容越来越多。网络安全形势十分严峻,域名劫持、网页篡改等事件时有发生,给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明,仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。
笔者认为,网络的应用在出版机构一般经过三个发展阶段:第一为沟通交流阶段,在这个阶段,出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段,在这个阶段,工作人员通过网络协同办公,出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段,出版机构使用综合业务系统进行数字内容收集、组织或加工,形成数字资产,通过网络进行推广。
根据这三个阶段的应用特点,可以将管理要求归结为:第一个阶段应用比较简单,用户都可以使用网络,要求网速快、安全性要求不高;第二个阶段,并非所有用户都能进入内部网络,设定上网权限,同时能对带宽进行有效管理,防止员工滥用网络而挤占主要业务的网络带宽,防止堡垒在内部被攻破;第三个阶段有了较多的数字资产,要防止网窥和盗窃行为发生,主动防御来自互联网端的威胁,防止业务流数据和内容数据出现问题,保证数据安全,即能处理来自外部、内部的威胁,保存好数据,防范非法入侵。
管理及技术分析
根据数字出版的业务特点,笔者总结了消除网络安全隐患的策略。
在第一应用阶段,网络中有防火墙、核心路由等元素,要保障物理线路畅通,具备一定的安全性。篇幅所限,这里不详细描述了。
第二应用阶段要求建立终端准入机制和应用控制机制。
此阶段遇到的挑战:用户多导致内部安全问题,带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端,虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性,但由于网内终端数量较大、Windows系统的不稳定和多处漏洞,终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下:建立用户接入准入制度,防止截取地址信息随意接入,对合法用户接入访问权限进行细化,加强整网应用安全机制。
同时,应用也存在监管的问题,如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此,系统中要设应用控制网关,对带宽进行有效管理,提供足够带宽给ERP、财务处理等主要业务,满足吞吐量要求。网内用户上网行为复杂,网络中的异常流量、即时通信流量逐步增大,侵占了原本就不富余的出口带宽;爆发内网安全事件时也会出现相应的流量异常,因此网内要设有行之有效的流量控制和分析手段,以便对网络进行流量监管以及安全事件的快速定位。
在第三应用阶段,可通过入侵检测系统进行主动防御,对入网设备进行终端准入,建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品,旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,提供一个全新的入侵保护。
第三阶段是较高级应用阶段,因数字出版应用内容丰富、强调应用安全、响应速度,网络技术参数设定要对应用需求有足够响应。
安全网络应用实例
下面是一个出版公司在保障网络安全方面的具体方案,其他数字出版企业也可以从中借鉴。
一、使用一台IP存储解决专业存储问题。
信息或数据在IT系统中,必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。
该方案中,核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间,实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘,单台设备即可满足两种不同的应用需求,大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一,IX3000存储上为其提供独立的存储空间,并采用15000转的SAS硬盘。
二、以应用控制网关解决带宽利用和用户上网行为监管问题。
公司员工越来越依赖于互联网的同时,上网行为却不能得到有效控制和管理,不正当地使用互联网从事各种活动(如网上炒股、玩游戏等)会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映,在制作半年报期间网络时常不通,导致工作无法进行。经查是防火墙严重超负荷造成,负载时常超过90%,这些都是过度使用网络资源产生的后果。
该公司的解决方案如下:在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,可以进行精细化识别和控制,解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题,帮助公司规范网络的应用层流量,为公司创造一个良好的网络使用环境。
三、通过端点安全准入系统EAD解决终端安全问题。
为了弥补公司现有安全防御体系中存在的不足,公司部署了一套端点安全准入防御系统,旨在加强对员工电脑的集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御,变单点防御为全面防御,变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”客户端对网络安全的损害,避免“易感”客户端受病毒、蠕虫的攻击。
四、使用入侵检测系统阻止来自互联网的攻击行为。
在公司互联网出口部署1套千兆硬件入侵防御系统,专门针对公司服务器应用层进行防护,填补防火墙安全级别不够的问题,并与防火墙一起实现公司网络L2-L7层立体的、全面的安全防护。
千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范,防止网页被篡改的发生,并在每检测和阻断一个针对Web服务器的安全威胁之后,记录一条安全日志,为公司服务器的安全审计和安全优化提供全面的依据。
综合管理措施
笔者认为,要维护数字出版公司网络安全,在网络综合管理上要同时做好以下几点:
制定合理有效的计算机网络系统工作管理规定,明确责任,分工到人。
设置全集团(公司)网络管理员制度,各分(子)公司专人对网络和终端进行管理。
中心机房设置专人管理机房网络设备,定期检查并分析设备日志,定期升级软件和补丁,防止“破窗”出现,发现异常及时处理。
定期召开网络应用会议,通报网络安全情况,部署下一阶段工作重点。要打造一支能协同的团队,这比单纯有几台好设备要复杂,培训、协同和组织要付出更多心血。
[摘 要] 目的: 医院信息系统平台逐渐成为医院医疗业务的核心支撑平台,须加强医院信息系统安全;方法:通过网络安全的综合设计和实施,采用冗余设备、三层网络架构、统一网管中心控制、虚拟网络划分、核心防火墙及IPS、堡净统一管理设备、数据库和网络审计等多种技术,同时结合安全管理制度等;结果:构建较完备的医院网络安全体系,取得了良好的效果结果、结论 :信息系统安全是系统工程,要从各方面着手,防止短板。
[关键词] 网络系统安全;安全管理;管理制度;木桶原理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中图分类号] R197.3;TP309 [文献标识码] A [文章编号] 1673 - 0194(2017)05- 0164- 03
0 引 言
随着新医改的不断深入,作为其重要支柱之一的医院信息系统建设进入了高速发展的快车道,成为医院日常医疗工作和管理工作的基础平台。2013年,我院新建了医院信息系统项目,包括机房建设、网络建设、软件系统建设、硬件建设等部分。医院特点决定医院信息系统必须365*24小时不间断正常运行,网络、系统软硬件的损坏和故障,或者是数据信息泄露,都会医院带来不可估量的损失,影响患者正常就诊,甚至危及医院的生存和发展。因此,构建安全的医院网络系统,保障系统和信息系统安全,是各医院都很关心的问题。
医院网络安全系统是个系统工程,其符合“木桶原理”,系统的安全程度取决于最短的那块板,我院从硬件、网络、系统、审计监管、防病毒、安全制度等各个方面采取了多种措施,保障了信息系统安全、网络安全。
1 网络系统安全
1.1 链路安全
为避免核心网络系统单点故障,提高网络系统的健壮性、容错性和性能,我院在网络核心层采用了H3C的IRF2(Intelligent Resilient Framework,智能弹性架构)技术, IRF2将两台华三10508核心交换机通过IRF物理端口连接在一起,虚拟化成一台逻辑核心交换设备,集合了两台设备的硬件资源和软件处理能力,实现两台设备的统一简化管理和不间断维护,提高了网络对突发事故的自动容错能力,最大程序降低了网络的失效时间,提高了链路的利用率和转发效率。
在核心层10580交换机与会聚层5800交换机间采用万兆光纤交叉互联,线路间做链路聚合,增加链路带宽、实现链路传输弹性和冗余。同时,核心交换机与会聚层交换机全部配备双电源和双风扇组,双电源分别插两路不同PDU电源插痤,尽量避免单点故障。
1.2 网络层次分明,方便管理
数据中心服务器到所有的桌面终端计算机最多通过三层网络,即核心层、会聚层和接入层,三层网络交换机各师其职,层次分明。核心层是网络的高速交换主干,负责数据转发;汇聚层提供基于策略的连接,是网络接入层和核心层的“中介”,工作站接入核心层前须先做汇聚,实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能,减轻核心层设备的负荷;接入层提供工作站接入网络功能。同时,我院每栋业务楼都建设了网络设备间,安装了空调和不间断电源,统一管理该楼内所有的会聚层和接入层交换机,保证所有的设备都有良好的运行环境,同时便于管理和维护。
1.3 划分VLAN,提高性能和安全性
医院信息系统服务主要以访问数据库服务器为主,数据纵向访问多,横向少,同时,我院许多楼又都综合了门诊住院医疗系统、医技系统等,我们根据其特点,将网络按楼宇划分为10多个VLAN子网,并将有特殊需求的应用(如财务科账务专网等),单独划分VLAN。通过VLAN划分,控制广播范围,抑制广播风暴,提高了局域网的整体性能和安全性。
1.4 网络核心层安装防火墙板卡与IPS板卡,保证服务器区安全
医院服务器区是医院系统运行核心,一旦被侵入或感染病毒,将影响医院的正常医疗业务,影响病人就诊,我院每日门诊人次3 000多人,住院患者1 600多人,数据库出问题,将造成重大的社会影响和严重后果,故我们在核心层华三10 508交换机上安装了SecBlade FW Enhanced增强型防火墙业务处理板卡和PS插卡,设定了防入侵和攻击的规则,过滤非法数据,防范病毒确保服务器区安全。
1.5 智能网管中心
随着网络应用越来越复杂,网络安全控制、性能优化、运营管理等问题成为困扰用户的难题,并直接决定了医院核心业务能否顺利开展。我们采用了专门的网管系统,通过软件的灵活控制,与相应的硬件设备配合,建立了网络安全控制中心、性能优化中心和运营管理中心。通过网管系统,我们能实时监管网络的运行情况,监管网络的故障和报警,监管和分配网络流量,优化网络性能,使整个网络可管可控。我院网络管理员常用的网管功能有资源管理、拓扑管理和故障(告警/事件)管理等。
网管系统的资源管理可管理网络设备、接口,显示设备的详细信息和接口详细信息和实时性能状态; 拓扑管理可自动发现全网设备的拓扑视图,通过拓扑图能够清晰地看到医院网络的状态,包括运行是否正常、网络带宽、连通等。
故障(告警/事件)管理,是网管系统的核心功能之一,包括设备告警、网管站告警、网络性能监视告警、终端安全异常告警等,告警事件可通过手机短信或E-mail邮件的方式,及时通知管理员,实现远程网络的监控和管理。
1.6 医院内网、外网间隔离和访问通道
医院内部的网络分为医院办公外网(用于日常办公,可上互联网)和业务内网,为保证医院内部网络业务系统安全,防止非法入侵、病毒攻击等医院业务网与互联网必须物理隔离,同时,因医院内部众多软件厂商、服务器厂商、网络设备、安全厂商,需要远程维护内网设备,业务网和互联网之间须有个能访问的通道,我们采用了SSL VPN+网闸+堡垒机的方式实现了远程安全登录和物理隔离。
(1)在医院外网防火墙和医院内网防火墙之间安装了网神SecSIS 3600网闸,利用其“数据摆渡”的工作方式,开放须访问的端口,实现物理隔离。
(2)h程用户通过SSL VPN接入到医院外网。利用SSL 的私密性、确认性、可靠性、易用性特性,在远程用户和我院外网间建立起专用的VPN加密隧道。在SSL VPN中,将用户的登录设定为自动跳转到堡垒机,通过堡垒机再访问相关的设备和电脑,实现远程访问有监管有记录有审计,可管可控。
2 服务器和存储备份安全
系统服务器双机备份常用的是采用双机冷备份或通过心跳线热备份的方式实现。我院结合自身设备特点,采用了赛门特克Veritas Cluster Server技术,在IBM刀片机上建了一个N+1 VCS集群,即多台服务器对应一台备份机,当其中一台出现问题,都会自动切换到备机,实时快速,同时节约了备份机。两套IBM DS5020存储阵列(一台在主机房、一台在备份机房)通过光纤直连,采用remote mirror远程镜像备份技术,将主机房存储的实时数据复制到备份存储系统,提供于业务连续性和灾难恢复的复制功能。
3 保证操作系统安全
操作系统是软件系统基础,保证其安全是必须的。我们对服务器进行了主机加固,关闭了不必要的服务,安装了赛门铁克防火墙、赛门铁克网络版杀毒软件,莱恩塞克内网安全管理系统等来保证内网服务器和工作站操作系统安全。其中内网管理系统控制和监管了移动介质的使用,屏蔽了未经授权的移动介质接入网络,避免了医院数据的外泄及感染病毒,同时,还能对内网中每一个计算机进行远程的桌面管理、资产管理、配置管理和系统管理等。
4 核心设备配置修改和访问安全
服务器在注册表中关闭了远程访问功能, 网络交换机都关闭了TELNET功能,关闭命令: undo telnet server enable通过网络堡垒机可视化的web管理界面统一配置和管理所有服务器和交换机,利用堡垒机可控制、可审计、可记录、可追溯的特性,保证对服务器和交换机的安全管理,避免配置和修改服务器、交换机时不慎造成故障。
5 数据库和网络安全审计系统
为了保障网络和数据不受来自外部和内部用户的入侵和破坏,我院通过旁挂模式接入了数据库和网络安全审计系统,实时收集和监控网络、数据库中的系统状态、安全事件、活动,以便集中报警、记录、分析、处理,实现“事前评估―事中监控―事后审计”,对数据库和网络中的操作和更改进行追溯和还原。
6 健全安全管理制度,加强执行
建立了严格的规范的规章制度,规范网络管理、维护人员的各种行为,保障网络安全。如建立了“中心机房管理制度”“机房设备操作制度”“机房出入制度”“设备巡查制度”“工作站操作制度”等。
我们规定网管人员每天必须查看智能网管系统、堡垒机、数据库审计、网络审计、中心服务器、杀毒软件等的日志,做好记录。通过日志,及时发现网络和设备故障隐患,发现非法入侵和使用,不正确的配置和修改。
1.1 企业信息化建设现状
随着信息技术的飞速发展,特别是进入新世纪以来,我国信息化基础设施普及已达到较高水平,但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出,截至2014年12月,全国使用计算机办公的企业比例为90.4%,截至2014年12月,全国使用互联网办公的企业比例为78.7%。近些年,我国企业在办公中使用计算机的比例基本保持在90%左右的水平上,互联网的普及率也保持在80%左右,在使用互联网办公的企业中,固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成,但根据企业开展互联网应用的实际情况来看,仍存在很大的提升空间。
一方面,是采取提升内部运营效率措施的企业比例较低,原因之一在于企业的互联网应用意识不足,之二在于内部信息化改造与传统业务流程的契合度较低,难以实现真正互联网化,之三在于软硬件和人力成本较高,多数小微企业难以承受;另一方面,营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低,且在实际应用容易受限于传统的经营理念,照搬传统方法。
1.2 企业网络应用现状
根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示,企业开展的互联网应用种类较为丰富,基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用,普及率最高,达83.0%;互联网信息类应用也较为普遍,各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中,除网上银行、与政府机构互动、网络招聘的普及率较高以外,其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设,仍停留在基础应用水平上。
由于目前我国网民数量已经突破6亿,在人们的日常工作、学习中网络已经扮演了不可替代的角色,因此网络安全问题就凸显出来,2014年,总体网民中有46.3%的网民遭遇过网络安全问题,我国个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。
1.3 网络安全防护现状
当前企业网络中已部署的基本的网络安全设备如防火墙等,但网络使用安全意识不高且网络安全是一个动态维护的过程,企业面临的内外部安全威胁日益巨增,整体安全形势不容乐观。在网络安全威胁中,对于来着企业内网的安全威胁特别难以防范,传统的安全防护措施,只能面对外部威胁,对内不具备防护能力。
高校在校园网信息化过程中数字化校园就是一典型例子,数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下,往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此,在内网中维护网络安全,保护信息安全,就显得更加重要和紧迫了。
2 内网面临的网络威胁
笔者在高校内网信息化建设过程中,通过多年的研究调查发现,学生的攻击往往是盲目地,且由于部分高校内网管理较混乱,学生可以绕过一些身份认证等安全检测,进入校园核心网络。学生的这些行为,一般不存在恶意性质,也不会进行蓄意破坏,但这就向我们提出了警示,一旦有不法分子轻松突破防线,其带来的危害也是灾难性的。
笔者以本单位学生通过校园网络攻击校园网服务器的例子,说明其网络攻击有时往往非常容易,其造成的危害却非常之大。
2.1 突破内网,寻找突破口
学生通过学院内网IP地址管理漏洞,轻松接入校园内部办公网络,并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处,检测出共青团委员会 http://10.0.1.30:90/该网页存在漏洞。进一步利用路径检测工具进行扫描,获得了后台地址http://10.0.1.30:90/wtgy/login.php。
2.2 一击得手
学生在获得了正确的管理地址后,只是进行了简单的尝试就取得了战果,通过弱口令扫描发现系统存在弱口令,于是尝试了如admin admin admin admin888 admin 123456等,居然顺利进入后台。
然后利用后台的附件管理里面的功能,添加了php格式,从而实现了上传。得到了内网的webshell(如图1)。
2.3 再接再厉,权限提升
学生不断尝试,测试了asp和aspx 的支持情况,答案是支持asp,不支持aspx的。自然就上传了 asp webshell,可以实现跨目录访问。访问权限进一步提升,如图,目标主机D盘内容一览无余,其中不乏一些关键目录信息就展现在攻击者眼前(如图2):
2.4 获得系统管理员权限,完全掌控目标主机服务器
查看系统所支持的组件,获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用,从而上传cmd,以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行,但是权限问题,webshell上传均失败,所以转向ftp上传(同样存在弱口令),从而绕过了限制,上传了cmd.exe。
实验性的执行命令Systeminfo查看系统信息命令,结果可以正常运行,终极权限获得(如图3):
可以看出,学生攻击学院内网的手段并不高明,其用到的黑客攻击工具,网络上也都能随意下载到,但其通过自己的仔细琢磨,充分利用了内网管理的漏洞,获得了关键信息。好在这是实验性,未造成实质性破坏。内网管理员也及时发现了问题,并对目标服务器进行了安全加固工作。
但我们不难发现,其实网络安全的程度存在着“木桶原理”的问题,也就是网络最薄弱的环节,决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因,给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型
针对上述服务器网络攻击,最有效的方法就是对用户访问进行准入控制,隔离潜在威胁用户。例如,在内网中对所有用户进行身份认证,分配相应的网络访问权限。在内网安全架构中,访问控制是非常重要的一环,其承担着与后台策略决策系统交互,决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有:
3.1 802.1X 访问控制技术
802.1X 是一个二层协议,需要接入层交换机支持。在终端接入时,端口缺省只打开802.1X的认证通道,终端通过802.1X认证之后,交换机端口才打开网络通信通道。其优点是:在终端接入网络时就进行准入控制,控制力度强,已经定义善的协议标准。
其缺点是:对以网交换机技术要求高,必须支持802.1X认证,配置过程比较复杂,需要考虑多个设备之间的兼容性,交换机下可能串接HUB,交换机可能对一个端口上的多台PC 当成一个状态处理,存在访问控制漏洞。
3.2 ARP spoofing访问控制技术
在每个局域网上安装一个ARP spoofing,对终端发起ARP 请求代替路由网关回ARP spoofing,从而使其他终端的网络流量必须经过。在这个ARP spoofing上进行准入控制。其优点是:ARP适用于任何IP 网络,并且不需要改动网络和主机配置,易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。
3.3 DNS重定向访问控制技术
在DNS重定向机制中,将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARP spoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEB portal页面,可以通过DNS 重定向,将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARP spoofing,终端可以通过不使用DNS 协议来绕开准入控制限制(例如:使用静态HOSTS文件)。
以上是内网安全设备主流使用的准入控制方式,每种方式都具有其特定的优缺点,一般来说每个设备都会支持两种以上的准入控制方式。
但是,网络管控对于网络使用的便捷性是一对矛盾体,如果既要使用的便捷性,又要对网络进行有效管控,这对网络安全设备的性能提出了相当高的要求。然而,高性能的安全设备价格非常昂贵,这也是很多企业宁可暴露威胁,也不防范的原因之一。
3.4 网关准入控制——UTM(统一威胁管理)
UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案,其低廉的价格和强大的集成功能,在企业内网中扮演着重要的角色。UTM将安全网关、终端软件、终端策略服务器、认证控制点四位一体化部署,可以在内网中进行多点部署,从而构建出内网用户访问控制模型,实现全面覆盖用户内网每一个区域和角落。
(1)合理部署网关位置
UTM的位置本身即位于安全域边界,由于UTM的设备性能参数,一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点,在内网访问控制模型中,可以部署在网络拓扑中的汇聚节点。
从安全理论的角度讲,对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时,UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合,UTM一旦发现某用户行为违规,就可以通过内网管理系统直接断开该用户的所有连接。
(2)UTM优势分析
采用UTM网关配合内网管理系统实现访问控制,用户只需要购买少量UTM设备,采用透明方式部署至网络关键节点处,即可以实现全面的准入控制。与基于DHCP控制,ARP spoofing,DNS 劫持等准入控制相比,UTM 准入控制能力更强、更全面,终端用户在任何情况下均无法突破或绕过准入控制。
除此以外,UTM设备还可根据终端的安全情况自动配置合适的安全策略,如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。
网络安全,不应只关注网络出口安全,更应关注内网中的信息安全,信息的泄漏往往是从内部开始,因此,构建内网访问控制模型就非常重要,采取UTM帮助内网进行安全管控是一个非常便捷、高效的手段。
关键词:内网;安全;网络;管理;措施
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 内网安全的定义以及与外网安全的区别
既然要探讨内网安全,首先要理解内网安全的含义,网络安全主要包含两部分,一个就是传统网络安全考虑的是防范外网对内网的攻击,即可以说是外网安全;另一个就是内网安全,它是对应于外网而言的。主要是指在小范围内的计算机互联网络,这个“小范围”可以是一个家庭,一所学校,或者是一家公司。内网上的每一台电脑(或其他网络设备)内部分配得到的局域网IP地址在不同的局域网内是可以重复的,不会相互影响。
外网安全的威胁模型假设内部网络都是安全可信的,威胁都来自于外部网络,其途径主要通过内外网边界出口。所以,在外网安全的威胁模型假设下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。也就是说,网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范减小了黑客仅仅只需接入互联网、写程序就可访问企业网的几率。传统的防火墙、人侵检测系统和VPN都是基于这种思路设计和考虑的。
对众多大型企业而言,随着业务的发展,用户希望ERP、OA、Intranet、互联网在一张网上实现,能够同时使用有线、无线网络,在一个网络上实现Web、即时通信、协作、语音、视频的融合。外网在某种程度上已经成为了内网的一部分。而随着移动办公的兴起,安全的边界越发模糊,笔记本电脑、手机都成为了企业OA网络中的一部分,而这也增加了内网安全的管理难度。
内网安全的威胁模型与外网安全模型相比,更加全面和细致。它假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的,威胁既可能来自外网,也可能来自内网的任何―个节点上。 所以,在内网安全的威胁模型下,需要对内部网络中所有组成节点和参与者进行细致的管理,实现―个可管理、可控制和可信任的内网。
由此可见,相比于外网安全,内网安全具有以下特点:
1)要求建立一种更加全面、客观和严格的信任体系和安全体系。
2)要求建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理。
3)对信息进行生命周期的完善管理。
2 内网安全的威胁
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
在实际应用当中,内网安全的威胁主要来自以下几个方面:
1)移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;
2)内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;
3)违反规定将专网专用的计算机带出网络进入到其它网络;
4)网络出现病毒、蠕虫攻击等安全问题后,不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。安全事件发生后,网管一般通过交换机、路由器或防火墙进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作;
5)大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;
6)静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;
7)针对网络内部安全隐患,自动检测网络中主机的安全防范等级,进行补丁大面积分发,彻底解决网络中的不安全因素;
8)大型网络系统中区域结构复杂,不能明确划分管理责任范围;
9)网络中计算机设备硬件设备繁多,不能做到精确统计。
以上问题其实可以归到两个基本需求:安全与管理。安全方面,需要保证在终端方面可以提供正常工作的基础IT设施即计算机是可用的;而管理方面,则保证企业或都说组织的计算机是用来工作的,规范计算机在企业网络里边的行为。
3 加强内网安全管理的建议和措施
可管理的安全才是真正的安全。虽然管理对于信息安全的重要性已经逐渐达成共识,但如何将安全管理规章和技术手段有效的结合在一起,真正提高信息安全的有效性,依然是我们共同面临的挑战。安全关注的趋势由外而内,由边界到主机,由分散到集中,由系统到应用,由通用到专用,由分离到整合,由技术到管理。从实际工作出发和借鉴兄弟单位成功经验,我总结了加强内网安全的措施如下:
1)按照企业的管理框架,根据不同的业务部门或子公司划成了不同的虚拟网(Vlan)。通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率,同时,由于各虚拟网之间不能直接进行通讯,而必须通过路由器转,为高级的安全控制提供了可能,增强了网络的安全性,也给管理带来了极大的方便性。特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网,采用完全隔离或者相对隔离的措施,保证了核心业务和重要部门的安全性。
2)对企业网络的物理线路进行规范化管理。按照区域、楼层、配线间、房间、具置规范化管理编号的原则,把所有的网络线路编号,套上清晰的线标,配置可网管的交换机。同时对交换机、配线架、电脑等设备的物理配置、存放的具置以及电脑的软件系统和系统配置等基础数据进行详细的登记,同时还对IP地址进行统一管理,把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联,当网络或者电脑发生故障时,网管们能够通过基础数据管理系统实现快速定位、快速排查故障,极大地提高了网管们解决故障的工作效率。
3)部署桌面安全管理系统。企业部署一套桌面安全策略管理系统,是一个面向IT领域建设的专业安全解决方案。它采用集成化网络安全防卫体系,通过多种技术手段的融合帮助整个企业有效达成在物理访问、链路传输、操作系统、业务应用、数据保护、网间访问和人员管理等方面的安全策略制定、自动分发和自动实现,减小客户为保障安全需要付出的高额管理控制成本,在为每一个终端用户提供透明但高度个性化安全保证的前提下真正提高组织的动作效率和管理水平。终端安全管理是基础,它解决了终端计算机经常为病毒、木马困扰的问题,帮助管理员智能安装系统与应用补丁,提供一系列的终端维护工具与管理工具,使管理员做到对于终端的“中央集权管理与控制”。
4)部署防病毒系统。病毒、木马、流氓软件一直是困扰大家的一大难题,因此通过部署一套专业防病毒系统是最有效的解决办法。防毒系统内嵌病毒扫描和清除、个人防火墙、安全风险检测与删除,可以检测、隔离、删除和消除或修复间谍软件、广告软件、拨号程序、黑客工具、玩笑程序等多种安全风险造成的负面影响。通过防毒系统中心控制台可以集中管理客户端,统一部署防护策略、病毒码定义更新策略等,集中查看客户端病毒码更新情况、病毒分布情况、病毒种类及查杀情况,可以控制客户端集中或单独清除病毒。另外,还可以通过病毒隔离区控制台,追踪病毒传播情况,快速找到病毒源,在第一时间对中毒的电脑进行有效的杀毒和隔离。
5)部署网络管理系统。随着企业网络规模的扩大,交换机、服务器的数量也逐渐增多,如何管理监控重点设备、服务器的运行情况,不是一件容易的事。为此部署一套网络管理系统,可对网络、系统以及应用进行全面的监视。它可以提供完整的故障管理和性能管理功能,能自动发现网络主动监视网络、系统和服务器并将关键参数保存在数据库中。通过综合控制台可实现对路由器、交换机、服务器、URL、UPS无线设备以及打印机等性能的监视,不仅提供了网络设备的多种视图,而且将收集的信息以丰富的图、报表形式呈现给操作者。
6)部署安全管理系统(SOC)。为了让管理人员能够实时了解网络中动态和事件,满足不断变化的网络安全管理(网络设备、服务器、应用程序、应用服务、安全设备、操作系统、数据库、机房环境等发生的故障、超阀值行为、安全事件统称为网络安全问题)的要求,需要有一套专门的安全管理系统来完成。网络管理系统是从事件驱动的目的出发强调系统运维、系统故障处理和加强网络的性能三个方面的内容。与网络管理系统不同,安全管理系统最重要的是对威胁的管理,它的侧重点关注在三个层次上:资产层面,关注安全威胁对业务及资产的影响;威胁层面了解哪些威胁会影响业务及资产;防护措施层面怎样防护威胁,保护业务及资产。一句话概括,就是安全管理是从保护业务及资产的层面进行的风险管理。
7)部署垃圾邮件防火墙。随着电子邮件的普及,电子邮件的作用也越发重要,但是垃圾邮件却是件令人烦恼的事,严重干扰了邮件收发的正常工作。为了解决垃圾邮件问题,可以布署一套垃圾邮件防火墙。垃圾邮件防火墙能支持25000个活跃的电子邮件帐户每天处理两千五百万封电子邮件。
8)对重要资料进行备份。在内网系统中数据对用户的重要性越来越大,实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业内网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的,配合各种灾难恢复软件,可以较为全面地保护数据的安全。
9)密钥管理。在现实中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例,先用“finger远端主机名”找出主机上的用户账号,然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效,入侵者就会仔细地寻找目标的薄弱环节和漏洞,伺机夺取目标中存放口令的文件 shadow或者passwd。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理,如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。
4 结束语
当然为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题。七分管理,三分技术。管理是企业网络安全的核心,技术是安全管理的保证。只有制定完整的规章制度、行为准则并和安全技术手段合理结合,网络系统的安全才会有最大的保障。
参考文献:
其他安全防范措施内网的网络安全直接关系到医院业务能否正常进转,所以我院的内网计算机是不允许接外部设备的,比如易于感染病毒的U盘,网管人员会在BIOS里把除了键盘鼠标等正常使用的设备以外的U口封掉并设置密码,确保病毒不会从外界侵入。同时,内网设置了详细的分级权限,不同的用户看到的和使用的功能不同,不同的医师用药和开处方的权限也不同。程序的进入每个用户可以设置自己的密码,保证信息不泄露。随着程序的不断升级,以后可以应用电子签名。电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。每个医生一个电子签名卡,进入系统程序不仅需要密码而且要刷卡,开处方和写病历后自动写上医生的电子签名,确保数据不被篡改。
天津医院外网安全建设分析
1硬件防火墙外网是要链接到Internet上的,所以网络安全尤为重要,硬件防火墙是必不可少的。通过硬件防火墙的设置,可以进行包括过滤和状态检测,过滤掉一些IP地址和有威胁的程序不进入办公网络。硬件防火墙针对病毒入侵的原理,可以做出相应的策略,从源头上确保网络安全。
2网络管理软件网络管理软件提供网络系统的配置、故障、性能及网络用户分布方面的基本管理,也就是说,网络管理的各种功能最终会体现在网络管理软件的各种功能的实现上,软件是网络管理的“灵魂”,也是网络管理系统的核心。
通过网络管理软件网管人员可以控制流量,设置不同用户访问的网址和使用的应用程序,设置不同时间可以访问的网址,以及屏蔽掉一些游戏、股票等非工作需要的程序。可以实时监控客户端的网络行为,查看是否有非工作内容的操作。定期备份日志,保证办公网正常有序的工作。
管理制度
要制定严格的计算机管理制度,业务科室屏蔽光驱、USB接口等输入输出设备,行政后勤科室使用输入输出设备时必须先杀毒再使用。全院每台机器使用固定IP和MAC地址绑定,防止外人使用移动电脑连接内部网络。优化电脑性能,屏蔽一些重要的操作系统功能和系统文件,防止操作人员误操作致使系统崩溃,带来不必要的麻烦。所有服务器、客户端都必须更新最新的系统补丁,防止病毒、黑客、灰色软件的侵袭。
关键词:消防;通信;信息安全
中图分类号:TP393.08
全国消防计算机通信网络以公安信息网为依托,由消防信息网和指挥调度网构成,分别形成三级网络结构。消防信息网是各级消防部门的日常办公网络,作为消防业务传输网;指挥调度网主要用于部局、总队、支队、大队(中队)等单位的视频会议、远程视频监控、灭火救援指挥调度系统应用等业务,作为消防指挥调度专用传输网。随着网络规模的不断扩大,来自内部网络的威胁也日渐增多,必须利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全保障体系。
1 计算机网络安全防护措施
计算机网络安全防护措施主要有防火墙、入侵防护、病毒防护、攻击防护、入侵检测、网络审计和统一威胁管理系统等几项(如下图)。
1.1 防火墙。防火墙主要部署在网络边界,可以实现安全的访问控制与边界隔离,防范攻击行为。防火墙的规则库定义了源IP地址、目的IP地址、源端口和目的端口,一般攻击通常会有很多征兆,可以及时将这些征兆加入规则库中。目前网上部署的防火墙主要是网络层防火墙,可实时在各受信级网络间执行网络安全策略,且具备包过滤、网络地址转换、状态性协议检测、VPN等技术。
1.2 入侵防御系统(Intrusion Prevention System,IPS)。IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。防火墙降低了恶意流量进出网络的可能性,并能确保只有与协议一致的流量才能通过防火墙。如果恶意流量伪装成正常的流量,并且与协议的行为一致,这样的情况,IPS设备能够在关键点上对网络和主机进行监视并防御,以防止恶意行为。
1.3 防病毒网关。防病毒网关部署在病毒风险最高、最接近病毒发生源的安全边界处,如内网终端区和防火墙与路由器之间,可以对进站或进入安全区的数据进行病毒扫描,把病毒完全拦截在网络的外部,以减少病毒渗入内网后造成的危害。为使得达到最佳防毒效果,防病毒网关设备和桌面防病毒软件应为不同的厂家产品。网络版杀毒软件的病毒扫描和处理方式主要是通过客户端杀毒,通过企业版防毒软件统一对已经进入内部网络的病毒进行处理。
1.4 网络安全审计系统。网络安全审计系统作为一个完整安全框架中的一个必要环节,作为对防火墙系统和入侵防御系统的一个补充,其功能:首先它能够检测出某些特殊的IPS无法检测的入侵行为(比如时间跨度很大的长期攻击特征);其次它可以对入侵行为进行记录、报警和阻断等,并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的入侵行为模式等。网络安全审计系统与防火墙、入侵检测的区别主要是对网络的应用层内容进行审计与分析。
1.5 统一威胁管理系统(UTM)。UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。虽然UTM集成了多种功能,但却不一定会同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。UTM部署在安全域边界上,可以根据保护对象所需的安全防护措施,灵活的开启防火墙、IPS、防病毒、内容过滤等防护模块,实现按需防护、深度防护的建设目标。采用UTM设备来构成本方案的核心产品,可有效节约建设资金,又能达到更好的防护效果。
2 消防指挥网络安全设备部署
市级消防指挥网络是市支队与各区(县)大队或中队之间部署的专网,规模相对较小,主要用途为视频会议、远程视频监控、接处警终端和灭火救援指挥调度应用系统等业务,可按需选择部署防火墙、入侵防护系统、防病毒网关、统一威胁管理系统、入侵检测系统、网络安全审计七类设备。(如图)
2.1 计算机安全防护软件:在网内计算机终端统一安装防病毒软件、终端安全软件、一机两用监控软件。补丁分发管理系统和终端漏洞扫描系统统一由省级指挥中心部署,用来管理市级指挥调度网内计算机。这样,可以防止安全风险扩散,保障由终端、服务器及应用系统等构成的计算环境的安全。
2.2 指挥调度网安全边界:在市级指挥调度网与省级指挥调度网联网边界部署统一威胁管理系统(UTM),开启防火墙、入侵防护、网关防病毒、VPN等功能模块,在专网安全边界对各种风险统一防护。在核心交换机上部署网络审计系统对内网中的网络通信进行记录和分析,及时发现可能存在的网络事件。
2.3 内网终端区:内网终端区主要有计算机接处警终端、视频会议终端、视频监控终端等,操作应用人员比较复杂,随意使用移动存储设备的可能性大,在内网终端区安全边界区部署一台防病毒网关进行病毒过滤,防止病毒向其他区域扩散。
2.4 核心业务处理区:主要包括灭火救援指挥调度相关的业务系统、综合统计分析、综合报表管理等业务系统。部署一台防火墙对核心业务处理区进行访问控制,阻断对安全区内的业务服务的非法访问;再部署一台IPS,实时发现并阻断针对核心业务处理区的入侵和攻击行为。
2.5 指挥中心边界:部署一台防火墙对支队指挥中心与上级指挥中心之间的业务访问进行访问控制和攻击防御。
2.6 内网管理区:区中主要有各类管理服务器,用于集中进行安全策略的定制、下发、集中监控各类系统的运行状态。主要包括设备管理、终端管理、防病毒管理等。
如果市级指挥中心规模较小,可以将核心业务处理区、内网管理区和指挥中心区合并为同一个安全域,共同部署一台IPS和防火墙。
3 总结
总之,网络安全是一项综合性的课题,它涉及技术、管理、应用等许多方面,既包括信息系统本身的安全问题,又有网络防护的技术措施。我们必须综合考虑安全因素,在采用各种安全技术控制措施的同时,制定层次化的安全策略,完善安全管理组织机构和人员配备,才能有效地实现网络信息的相对安全。
参考文献:
[1]杨义先,任金强.信息安全新技术[M].北京:北京邮电大学出版社,2002.
[2]公安部.信息安全等级保护培训教材[M].2007.
购物车(0)
