建筑企業(yè)網(wǎng)絡(luò)安全研究

當(dāng)企業(yè)業(yè)務(wù)不斷擴(kuò)展、數(shù)據(jù)處理量日益增大時，信息化就成為一個必然的趨勢。特別是近年來，各建筑企業(yè)以住房和城鄉(xiāng)建設(shè)部施工總承包特級資質(zhì)企業(yè)信息化考核為契機(jī)，大力推進(jìn)以工程項(xiàng)目綜合管理系統(tǒng)為核心的主營業(yè)務(wù)信息化建設(shè)，信息化對企業(yè)管理能力提升的貢獻(xiàn)越來越大。同時，網(wǎng)絡(luò)作為企業(yè)信息化建設(shè)的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的安全問題也日益成為企業(yè)信息化建設(shè)過程中愈發(fā)引起關(guān)注的焦點(diǎn)。

安全是動態(tài)的，理想的安全網(wǎng)絡(luò)應(yīng)該是將各種安全技術(shù)、安全產(chǎn)品進(jìn)行整合，相關(guān)產(chǎn)品“協(xié)同作戰(zhàn)”，防護(hù)、檢測、響應(yīng)相結(jié)合，以實(shí)現(xiàn)對網(wǎng)絡(luò)的整體防護(hù)，最大限度地避免由于某個方面的疏漏導(dǎo)致安全的“木桶效應(yīng)”被放大，同時又必須在安全性和易用性之間找到一個合理的平衡點(diǎn)。下面結(jié)合中國水電網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)情況，分析建筑企業(yè)應(yīng)該如何構(gòu)建符合企業(yè)自身需求的網(wǎng)絡(luò)安全保護(hù)體系。

1、企業(yè)網(wǎng)絡(luò)安全威脅分析

從網(wǎng)絡(luò)分層模型來看，企業(yè)網(wǎng)絡(luò)的安全威脅主要包含以下方面：

物理安全：這是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，主要包括地震、水災(zāi)等環(huán)境事故造成系統(tǒng)毀滅；電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失等。

鏈路傳輸安全：是指入侵者通過在傳輸線路上安裝竊聽裝置，竊取在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過相應(yīng)的技術(shù)讀出數(shù)據(jù)，造成泄密或者通過篡改來破壞數(shù)據(jù)的完整性。

網(wǎng)絡(luò)互聯(lián)安全：為了充分發(fā)揮網(wǎng)絡(luò)在信息交換中的作用，企業(yè)網(wǎng)絡(luò)必然要和Internet進(jìn)行連接，要和相關(guān)協(xié)作單位的外部網(wǎng)絡(luò)進(jìn)行互聯(lián)。網(wǎng)絡(luò)互聯(lián)的安全風(fēng)險主要包括黑客攻擊、拒絕服務(wù)/分布式拒絕服務(wù)攻擊、意外的人為破壞和有意的人為破壞等。

系統(tǒng)安全：是指主機(jī)操作系統(tǒng)的安全問題，入侵者可以通過檢查操作系統(tǒng)的安全漏洞和穩(wěn)定性等問題來攻擊系統(tǒng)，從而達(dá)到控制系統(tǒng)的目的?；谙到y(tǒng)的攻擊主要包含口令攻擊、IP欺騙、端口掃描和緩沖區(qū)溢出等。

應(yīng)用安全：是指主機(jī)上應(yīng)用軟件的安全，包括Web服務(wù)安全風(fēng)險、瀏覽器安全風(fēng)險、病毒侵害、郵件系統(tǒng)安全風(fēng)險等。

管理安全風(fēng)險：再安全的網(wǎng)絡(luò)設(shè)備也離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)。

2、構(gòu)建以邊界防護(hù)為主的立體防御體系

企業(yè)網(wǎng)絡(luò)面臨的安全威脅來自多個方面，以前單一的防護(hù)措施已經(jīng)無法滿足需求，混合式攻擊越來越多，手段也越來越復(fù)雜和隱蔽。企業(yè)必須按照“管住兩端、突出重點(diǎn)、加強(qiáng)監(jiān)管”的原則，構(gòu)筑以邊界防護(hù)為主，其它防護(hù)措施為補(bǔ)充的立體防護(hù)體系，才能夠確保企業(yè)網(wǎng)絡(luò)的安全。

“管住兩端”主要是指：通過防病毒網(wǎng)關(guān)，將大量病毒攔截在內(nèi)網(wǎng)以外；通過上網(wǎng)行為管理設(shè)備，控制用戶上網(wǎng)行為；建立網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，保證只有合法的用戶可以使用網(wǎng)絡(luò)；綜合應(yīng)用DHCP、MAC/IP綁定、廣播風(fēng)暴抑制技術(shù)，規(guī)范內(nèi)網(wǎng)IP地址的使用，杜絕ARP、SYN等攻擊；“突出重點(diǎn)”主要是指：通過防火墻，進(jìn)行不同安全區(qū)域的邊界隔離；通過存儲和備份系統(tǒng)，確保數(shù)據(jù)的安全存儲和備份；通過郵件過濾網(wǎng)關(guān)，過濾垃圾郵件，清除郵件中的病毒；綜合應(yīng)用IPS和網(wǎng)站防篡改系統(tǒng)，對重要的服務(wù)器進(jìn)行特殊保護(hù)；“加強(qiáng)監(jiān)管”主要是指：通過統(tǒng)一網(wǎng)管系統(tǒng)，對全網(wǎng)的網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行統(tǒng)一管理；通過配置管理軟件，建立統(tǒng)一的配置管理、分發(fā)系統(tǒng)，加強(qiáng)設(shè)備的變更管理；通過信息安全審計(jì)系統(tǒng)，對用戶操作、使用業(yè)務(wù)系統(tǒng)，尤其是數(shù)據(jù)庫的各種操作進(jìn)行跟蹤審計(jì)。下面重點(diǎn)從邊界防護(hù)進(jìn)行論述。

2.1、安全區(qū)域和邊界

根據(jù)安全框架IATF的理論，可以將企業(yè)的信息系統(tǒng)根據(jù)其安全需求劃分成不同的安全區(qū)域和邊界。安全區(qū)域是對信息進(jìn)行處理的一組信息資產(chǎn)的集合，這些資產(chǎn)具有比較接近的安全特性。兩個不同安全區(qū)域之間即為邊界，主要是為安全區(qū)域提供不同程度的隔離和連接功能，邊界的隔離可以在物理層到應(yīng)用層的各層上實(shí)現(xiàn)。對于建筑企業(yè)來說，其安全區(qū)域主要有以下幾個：

2.2、邊界防護(hù)

所謂邊界防護(hù)是指在安全邊界建立防護(hù)系統(tǒng)，通過對特定網(wǎng)段、特定服務(wù)建立的訪問控制體系，對出入各個安全域的信息進(jìn)行檢查，將絕大多數(shù)攻擊和非法訪問行為阻止在邊界處。

2.2.1、防火墻

防火墻是企業(yè)應(yīng)用最多，也最成熟的網(wǎng)絡(luò)安全設(shè)備，它是不同安全域之間信息的唯一出入口，能夠根據(jù)企業(yè)的安全策略嚴(yán)格控制出入網(wǎng)絡(luò)的信息流，并且本身具有較強(qiáng)的抗攻擊能力，它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施。我們建議在所有的邊界上部署硬件防火墻，并按照“最小化服務(wù)”原則配置安全策略。

2.2.2、入侵防御系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，防火墻在使用過程中暴露出以下不足：入侵者可以偽裝數(shù)據(jù)繞過防火墻，防火墻不具備對應(yīng)用層數(shù)據(jù)的過濾功能等。在此情況下，入侵檢測系統(tǒng)（IDS）便應(yīng)運(yùn)而生，它可以為網(wǎng)絡(luò)提供實(shí)時的監(jiān)控，但I(xiàn)DS以被動的方式工作，只能檢測攻擊，不能實(shí)時阻斷攻擊。

入侵防御系統(tǒng)（IPS）是在應(yīng)用層的內(nèi)容檢測基礎(chǔ)上加上主動響應(yīng)和過濾的功能。IPS的目的是對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失。IPS實(shí)現(xiàn)實(shí)時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器，可以根據(jù)內(nèi)置的signature識別并阻斷攻擊。當(dāng)新的攻擊被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器，所有流經(jīng)IPS的數(shù)據(jù)包都被分類，每種過濾器負(fù)責(zé)分析相應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。由于從Internet發(fā)起的網(wǎng)絡(luò)攻擊最多，因此我們建議在Internet邊界部署IPS。當(dāng)企業(yè)組建了廣域網(wǎng)時，在廣域網(wǎng)接入邊界也應(yīng)該部署IPS。

2.2.3、VPN網(wǎng)關(guān)

VPN是指以公共網(wǎng)絡(luò)(如Internet)作為傳輸媒體，通過加密和驗(yàn)證網(wǎng)絡(luò)流量來保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向用戶提供類似于私有網(wǎng)絡(luò)性能的技術(shù)。目前，VPN主要分為SSL VPN、IPSec VPN和MPLS VPN三種。其中，IPSec VPN 是適合企業(yè)建立VPN專網(wǎng)的主流技術(shù)，而SSL VPN是方便移動用戶通過Internet遠(yuǎn)程接入企業(yè)網(wǎng)的最佳解決方案。

對于建筑企業(yè)來說，項(xiàng)目部往往眾多且分散，很多項(xiàng)目部位置偏遠(yuǎn)，只有Internet的接入條件，而且多數(shù)項(xiàng)目具有施工周期短、流動性強(qiáng)的特點(diǎn)。因此，應(yīng)當(dāng)在Internet邊界部署IPSec VPN網(wǎng)關(guān)，通過site-to-site的方式組建企業(yè)的VPN網(wǎng)絡(luò)，方便項(xiàng)目部用戶安全地訪問企業(yè)內(nèi)部信息資源。同時，通過在Internet邊界部署SSL VPN網(wǎng)關(guān)，方便移動辦公用戶安全地接入企業(yè)內(nèi)網(wǎng)，實(shí)現(xiàn)所有基于Web的應(yīng)用。

2.2.4、郵件過濾網(wǎng)關(guān)

伴隨著Internet的普及，Email作為現(xiàn)代通信手段逐漸占據(jù)了Internet主流應(yīng)用的地位，企業(yè)郵件系統(tǒng)面臨著既要防范黑客攻擊，又要防范垃圾郵件和病毒郵件蔓延等安全問題。我們建議在Internet邊界部署郵件過濾網(wǎng)關(guān)來保護(hù)郵件系統(tǒng)。

郵件過濾網(wǎng)關(guān)在邏輯上必須部署在郵件服務(wù)器的前端，負(fù)責(zé)對進(jìn)出郵件系統(tǒng)的Email進(jìn)行過濾，一般采用以下兩種方式部署：第一種直接將過濾網(wǎng)關(guān)串接在郵件服務(wù)器的前端，網(wǎng)關(guān)以透明模式工作，保證所有收發(fā)的郵件都通過網(wǎng)關(guān)進(jìn)行過濾，該方式對過濾網(wǎng)關(guān)的性能、可靠性的要求高，一旦網(wǎng)關(guān)發(fā)生故障勢必影響員工使用郵件系統(tǒng)；第二種方式是把過濾網(wǎng)關(guān)和郵件服務(wù)器并接，通過在DNS中為網(wǎng)關(guān)添加優(yōu)先級較高的MX記錄，保證所有接收的郵件優(yōu)先投遞到過濾網(wǎng)關(guān)，經(jīng)過網(wǎng)關(guān)過濾后再投遞到郵件服務(wù)器，該方式能夠確保過濾網(wǎng)關(guān)出現(xiàn)問題時，Email可以直接投遞到郵件服務(wù)器，不會影響員工使用郵件系統(tǒng)。

2.2.5、防病毒網(wǎng)關(guān)

網(wǎng)絡(luò)是病毒傳播最好、最快的途徑之一，網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，病毒完全有可能在極短的時間內(nèi)迅速擴(kuò)散。防病毒網(wǎng)關(guān)又叫防毒墻，它和防病毒軟件最主要的區(qū)別是，防毒墻是以串接的方式部署在邊界的硬件設(shè)備，它根據(jù)防毒策略對指定的數(shù)據(jù)包進(jìn)行重組、分析、過濾、掃描，將病毒文件直接清除。也正因?yàn)榉蓝緣σ獙?shù)據(jù)包進(jìn)行重組、掃描等操作，因此防毒墻的性能要求很高，當(dāng)網(wǎng)絡(luò)帶寬增加、網(wǎng)絡(luò)流量增大時，防毒墻的性能會成為網(wǎng)絡(luò)傳輸?shù)钠款i，一般都要通過負(fù)載均衡設(shè)備，采用多臺防毒墻以集群模式并發(fā)工作。我們建議在Internet邊界、廣域網(wǎng)邊界，甚至是外部網(wǎng)邊界部署防毒墻，將絕大多數(shù)病毒阻擋在企業(yè)內(nèi)網(wǎng)之外。

2.2.6、上網(wǎng)行為管理

近年來，隨著各種基于BT技術(shù)的網(wǎng)絡(luò)下載、視頻點(diǎn)播、在線游戲的廣泛應(yīng)用，網(wǎng)絡(luò)應(yīng)用越來越豐富多彩，企業(yè)的Internet出口也被這些非法流量大量吞噬，嚴(yán)重影響正常的辦公業(yè)務(wù)，上網(wǎng)行為管理設(shè)備便應(yīng)運(yùn)而生。上網(wǎng)行為管理設(shè)備從嚴(yán)格的意義上來說并不算是網(wǎng)絡(luò)安全設(shè)備，而應(yīng)該是網(wǎng)絡(luò)流量管理設(shè)備，其工作原理主要是通過內(nèi)置的協(xié)議庫，對四層以上，尤其是應(yīng)用層的數(shù)據(jù)流進(jìn)行識別，然后按照預(yù)定義的策略對數(shù)據(jù)流進(jìn)行阻斷、限流、正常通過等操作，確保關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，另一方面，上網(wǎng)行為管理設(shè)備一般都具備URL Filter和黑白名單過濾等功能，通過這些功能能夠過濾非法網(wǎng)站，能夠按照黑白名單阻斷相關(guān)的數(shù)據(jù)流。我們建議在Internet邊界部署上網(wǎng)行為管理設(shè)備，尤其是通過Internet建立VPN廣域網(wǎng)的企業(yè)一定要部署上網(wǎng)行為管理設(shè)備，以便限制無關(guān)流量，確保VPN和正常辦公應(yīng)用的流量。

2.2.7、邊界防護(hù)的注意事項(xiàng)

邊界防護(hù)所采用的設(shè)備都是網(wǎng)關(guān)級的設(shè)備，所有的網(wǎng)絡(luò)流量都要通過防護(hù)設(shè)備，因此，邊界防護(hù)設(shè)備的性能將成為整個網(wǎng)絡(luò)傳輸?shù)钠款i。企業(yè)在選擇邊界防護(hù)設(shè)備的時候，一定要根據(jù)網(wǎng)絡(luò)帶寬、部署位置以及業(yè)務(wù)應(yīng)用情況選擇合適的設(shè)備。比如，對于部署在Internet邊界的防火墻可以選用小包處理能力達(dá)到全線速的百兆防火墻，以便應(yīng)對Dos/DDos攻擊；對于部署在數(shù)據(jù)中心和辦公網(wǎng)邊界的防火墻，必須選用千兆甚至萬兆防火墻。

另外，邊界防護(hù)設(shè)備的穩(wěn)定性、可靠性和可用性直接影響到整個網(wǎng)絡(luò)的這些性能。企業(yè)在選擇邊界防護(hù)設(shè)備時，除了要選擇成熟、穩(wěn)定、可靠的產(chǎn)品以外，有條件的企業(yè)還應(yīng)該盡量避免防護(hù)設(shè)備可能出現(xiàn)的單點(diǎn)故障，其解決方法有三種：第一種是對于透明部署的設(shè)備，必須具備硬件Bypass功能，一旦防護(hù)設(shè)備出現(xiàn)故障，能夠高優(yōu)先級地自動切換到Bypass鏈路，確保網(wǎng)絡(luò)不中斷；第二種方法是通過兩臺設(shè)備以雙機(jī)熱備的方式來解決單點(diǎn)故障；第三種方法是由多臺設(shè)備組成集群，通過專門的負(fù)載均衡設(shè)備將網(wǎng)絡(luò)流量分?jǐn)偟竭@些設(shè)備上，該方案是解決防護(hù)設(shè)備單點(diǎn)故障和性能問題的最佳方案，但其投資也較大。

2.3、補(bǔ)充防護(hù)措施

再好的邊界防護(hù)設(shè)備也不可能阻斷全部攻擊，尤其是當(dāng)攻擊是從網(wǎng)絡(luò)內(nèi)部發(fā)起時，邊界防護(hù)設(shè)備便失去了作用。因此，還必須在安全區(qū)域的內(nèi)部建立其它安全措施，和邊界防護(hù)設(shè)備構(gòu)成立體的、縱深的防護(hù)體系，才能確保企業(yè)網(wǎng)絡(luò)的安全。

2.3.1、入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IDS)可以利用入侵者留下的痕跡來有效地發(fā)現(xiàn)來自外部或內(nèi)部的非法入侵，IDS以探測技術(shù)為主，分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS，它不停地監(jiān)視受保護(hù)的主機(jī)或網(wǎng)段中的所有數(shù)據(jù)包，對每個數(shù)據(jù)包進(jìn)行特征分析，如果數(shù)據(jù)包與IDS內(nèi)置的某些規(guī)則吻合，IDS就會發(fā)出警報。我們建議在企業(yè)高風(fēng)險和重點(diǎn)保護(hù)的安全域中部署基于網(wǎng)絡(luò)的IDS，在重要的服務(wù)器上部署基于主機(jī)的IDS。

2.3.2、漏洞掃描和補(bǔ)丁修復(fù)

漏洞掃描的原理是采用模擬攻擊的方式對目標(biāo)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果生成安全報告和相關(guān)修復(fù)建議，漏洞掃描檢查有利于保持全網(wǎng)安全策略的統(tǒng)一和穩(wěn)定。發(fā)現(xiàn)漏洞后，必須對漏洞進(jìn)行修復(fù)，我們建議在企業(yè)內(nèi)網(wǎng)建立補(bǔ)丁服務(wù)器來自動修復(fù)系統(tǒng)漏洞，一方面可以減少訪問外部補(bǔ)丁服務(wù)器的網(wǎng)絡(luò)流量，另一方面對于不允許直接訪問Internet的服務(wù)器也能提供補(bǔ)丁修復(fù)。因此，我們建議在所有主機(jī)上安裝統(tǒng)一的系統(tǒng)漏洞掃描和自動補(bǔ)丁分發(fā)軟件，通過統(tǒng)一的、強(qiáng)制的策略定期掃描主機(jī)并自動安裝最近的補(bǔ)丁程序。同時，有條件的企業(yè)應(yīng)部署獨(dú)立的漏洞掃描設(shè)備，定期對網(wǎng)絡(luò)設(shè)備、重要服務(wù)器等進(jìn)行漏洞掃描，并根據(jù)掃描報告修復(fù)相關(guān)漏洞。

2.3.3、網(wǎng)絡(luò)準(zhǔn)入控制

網(wǎng)絡(luò)準(zhǔn)入控制是一個過程，通過強(qiáng)制執(zhí)行作為網(wǎng)絡(luò)訪問前提條件的安全策略來減少網(wǎng)絡(luò)安全事件，增強(qiáng)對企業(yè)安全制度的遵從。其基本原理是：當(dāng)主機(jī)需要接入企業(yè)網(wǎng)時，首先由準(zhǔn)入控制系統(tǒng)對主機(jī)進(jìn)行相應(yīng)的安全檢查，不滿足條件的主機(jī)被系統(tǒng)隔離到修復(fù)區(qū)中，并提示用戶對主機(jī)進(jìn)行相應(yīng)的處理，只有符合條件的主機(jī)才能夠接入網(wǎng)絡(luò)。同時，已經(jīng)接入網(wǎng)絡(luò)的主機(jī)一旦發(fā)生安全問題，也會被系統(tǒng)隔離，確保網(wǎng)絡(luò)上的主機(jī)都是可信的、安全的。我們建議在所有主機(jī)上統(tǒng)一安裝網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。

2.3.4、網(wǎng)絡(luò)防病毒軟件

雖然通過防毒墻可以有效地將病毒阻擋在企業(yè)內(nèi)網(wǎng)之外，但是防毒墻不可能查殺所有的病毒，尤其是當(dāng)用戶使用帶病毒的光盤、U盤等拷貝文件時，病毒可以直接在企業(yè)網(wǎng)中傳播。防病毒軟件有單機(jī)版和網(wǎng)絡(luò)版之分，以前病毒的主要攻擊對象是個人資料，處理辦法就是安裝單機(jī)版殺毒軟件來阻擋病毒的侵襲。目前病毒攻擊的主要對象已經(jīng)發(fā)展成為網(wǎng)絡(luò)資源，當(dāng)主機(jī)感染了病毒以后，病毒的快速傳播和復(fù)制會導(dǎo)致網(wǎng)絡(luò)癱瘓，嚴(yán)重影響整個企業(yè)的正常工作。網(wǎng)絡(luò)版和單機(jī)版殺毒軟件相比，具有遠(yuǎn)程殺毒、遠(yuǎn)程報警、遠(yuǎn)程操作、自動升級、集中式管理和分布式殺毒等網(wǎng)絡(luò)功能。因此，我們建議在所有主機(jī)上統(tǒng)一部署網(wǎng)絡(luò)版防病毒軟件。

3、小結(jié)

企業(yè)網(wǎng)絡(luò)的安全問題是一個復(fù)雜的系統(tǒng)工程，構(gòu)筑網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，有效保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全是一個與病毒、黑客持續(xù)斗爭的過程，一個完整的網(wǎng)絡(luò)安全解決方案應(yīng)該是實(shí)用的安全技術(shù)、周密的安全策略、良好的內(nèi)部管理的充分結(jié)合。在安全業(yè)界流行著一條80/20法則，即80%的安全威脅來自于網(wǎng)絡(luò)內(nèi)部。因此，要保證企業(yè)網(wǎng)的安全，必須始終堅(jiān)持“三分技術(shù)、七分管理、十分意識”，在從技術(shù)上作好各種安全防護(hù)的同時，更要做好網(wǎng)絡(luò)的安全管理工作，同時，必須加強(qiáng)培訓(xùn)，增強(qiáng)全員的安全意識。