大型企业集团信息系统的安全防护

◆游传强

大型企业集团信息系统的安全防护

◆游传强

（中国石油西南油气田分公司资本运营部 四川 610051）

互联网日新月异发展，资源共享进一步加强，信息安全问题越发突出。大型企业集团信息系统如何有效防止网络黑客攻击，保证合法用户对资源及时有效地访问，确保信息系统安全平稳运行，已成为企业信息系统安全防护的重要内容。本文结合大型企业网络和信息系统现状，从分析网络病毒和网络入侵着手，就如何部署企业整体防病毒方案，安装入侵检测软件，构架网络安全系统，维护企业信息系统安全，提出了有效的防范措施和策略。

企业；信息系统；防病毒；入侵检测

0 前言

近年来，随着网络及网络工具发展，信息传播方式方法改变，计算机病毒种类更多，扩散速度更快。病毒已由单机间介质传染向网络系统转化。现在很多病毒对计算机信息系统的攻击方式带有网络黑客攻击模式，因此防病毒也需要结合计算机网络的入侵检测系统来辅助完成。病毒和防病毒之间的斗争已从“杀”到“防”，通过企业整体防病毒方案，将病毒拒之于企业网络之外，才能保证企业信息系统的真正安全。

1 企业网络现状及安全防护要求

以笔者所在公司为列，公司自建了广域网络。其特点如下:⑴系统规模大:工作站1000台以上，运行各种OA、ERP及财务信息系统；⑵网络分布广:广域网节点上百个，线路有STM、SDH及DDN等，结构极为复杂；⑶系统与Internet接口多样:有光纤宽带、以太网、ADSL等；⑷系统内计算机系统操作系统多样:有Windows、Linux、AIX、Solairs等；⑸系统牵涉数据库繁多:有Oracle、Sybase、SQLServer及DB2等。

显然，企业信息系统需要一个面向所有内部网络用户、从互联网到业务系统和本地工作站全方位的防毒解决方案。由于计算机防毒产品的局限性，特别是无法针对大型企业提供全方位病毒防护解决方案，部署企业整体防病毒方案已成为企业信息系统规划的重要内容。

2 网络安全需求分析

网络受到的安全威胁主要有:身份窃取（IndentityInterception），假冒（Masquerading），否认（Repudiation），数据窃取（Data Interception），非授权存取（Unauthorized Access），错误路由（Misrouting），数据流分析（Traffic Analysis），拒绝服务（Denial of Service）。

在网络边缘，防火墙采用IP过滤和应用代理方式，路由器采用IP过滤技术，安全性和效率相对较高。网络数据通常在应用生成、存储、传输，因此，现有数据安全控制措施主要部署在应用层。

网络应用层安全需求主要有:数据保密、数据完整、身份认证、授权、审计记录、防止抵赖与公证。

构架网络安全系统，通过系统的安全检测和监控，实时查出网络安全漏洞或恶意攻击，全方位实施动态的安全控制。

3 病毒防护方案

为使企业的信息财产免受损失，企业应尽快建立全面的主动病毒防护体系。在每台单机服务器上要有常驻内存的反病毒软件，并实行集中统一管理；在网关上要安装基于网关的病毒防火墙，以防止病毒对企业内部网络的感染；对邮件服务器安装邮件系统的防病毒软件，以阻止病毒通过附件等方式传播扩散；安装集中管理并实时更新的系统，随时监控网络病毒状况。只有做到把病毒传播、滋生的渠道完全堵死并不断升级，才能保证信息系统的真正安全。

3.1 防毒产品选择

采用的防毒产品要与企业计算机网络系统实际需要相结合，并与现有信息系统具有良好的一致性和兼容性。在企业网络通道或病毒攻击点，安装设置防病毒软件，确保企业计算机网络系统具有最佳病毒防护能力。

熊猫卫士防病毒软件统一集中管理和监控企业的网络系统，网络系统使用人员和维护工程师的工作量可减到最小；每天病毒库及时更新，售后服务及技术支持较好，其可扩充性充分考虑和保护了企业现有投入，适应企业信息系统的今后发展需要。

3.2 病毒防护方案设计

企业广域网建成后，企业下属单位局域网将不再单独设立本地服务器，熊猫卫士客户端模块采用集中式管理进行分发。具体实施如下:

3.2.1 总部方案

总部方案如下:⑴在系统管理机上安装熊猫管理员。⑵通过熊猫管理员，对所有本地服务器进行安装服务器保护模块，保护服务器本身；对Proxy服务器的Proxy模块进行安装，保护网关；对主域服务器进行安装工作站模块，以供下面工作站分发使用。⑶设置需要分发的用户。⑷设置病毒库的定时更新。

3.2.2 分部方案

分部方案如下:总部统一管理本地服务器和下属单位各客户端，通过一台域控制器,对下属单位客户端分发，下属单位客户端从企业域控制器上自动读取分发的脚本文件，进行分发和升级。

4 网络入侵检测

4.1 防火墙的局限性

企业广域网用户端成千上万众且不断增加，防火墙通过IP层访问控制用户登录情况，只能初步抵御网络外部安全威胁，但对企业内部工作人员通过网络对服务器系统（操作系统和应用系统）实施各种攻击，或网络黑客绕过防火墙侵入企业内部网络系统，防火墙都无法有效监控和防御。无论多么严密的安全措施都不能完全阻止黑客进入关键部位或服务器。

4.2 构建实时入侵侦测系统及产品选择

实时入侵侦测系统是建立高级别网络安全重要环节，全方位实时监控访问服务器资源的用户行为。对可能出现的各种危害服务器的行为，尽快作出报警、阻断等响应，系统自动提供了日志记录和分析，方便系统管理员进一步采取相应保护措施。

中科网威“天眼”入侵检测（Inbreak Detection System n）的网络保护功能很强大，其内置主动防御功能可以防止破坏的发生。在该产品软件包具有监视、警告、记录、非法 URL 探测和阻塞、入侵和攻击探测、实时响应等功能。

4.3 设计原则

入侵侦测系统（IDS）是通过辨认网络或主机的方式来躲避攻击，随时随地都在寻找“攻击标志”。该系统使用原始网络包作为数据源，让网络适配器实时动态监视并分析网络中的通信业务。它的攻击辨识模块识别攻击标志的技术有:频率或穿越阀值、模式或表达式或字节匹配、统计学意义上的非常规现象检测、低级事件的相关性。

如果检测到攻击行为，该系统响应模块以通知或报警方式对攻击作出反应，其反应包括:中断连接，通知管理员、为法庭分析和证据收集的相关会话记录。

4.4 配置方案

配置方案如图1所示。

图1 网络入侵侦测系统示意图

将“天眼”网络入侵侦测系统控制台分别安装在核心内网、普通内网、外网交换机上，以完成侦听。安全管理员通过报警信息和系统日志分析以及前面相应的安全设备日志，发现入侵的行为，同时进行跟踪追查。

5 结束语

网络病毒具有极大的隐蔽性和破坏性，一旦入侵企业信息系统，蔓延速度极快，给企业造成不可估量的损失。“道高一尺魔高一丈”，病毒随时在更新变异，需要我们与制造病毒者作艰苦卓绝地斗争，不断研究新的对策，防患于未然，以确保企业网络安全和信息系统的正常平稳运行。

[1]林国恩.信息系统安全.电子工业出版社，2010.

[2]kavehpahlavan，prashant Krishnamurthy.网络构建基础—广域网、局域网和个域网通信.电子工业出版社，2011.

[3]刘功申，孟魁.恶意代码与计算机病毒——原理、技术和实践.清华大学出版社，2013.

[4]沈亮，陆臻，张艳，宋好好.网络入侵检测系统原理与应用.电子工业出版社，2013.