高先睿

摘要：構(gòu)建先進(jìn)科學(xué)的企業(yè)級信息安全防護(hù)體系需要深入分析影響信息系統(tǒng)的潛在風(fēng)險(xiǎn)，需要設(shè)計(jì)全面可靠的整體解決方案，建立科學(xué)規(guī)范的體系架構(gòu)。通過在某企業(yè)建設(shè)桌面安全、身份管理與認(rèn)證、網(wǎng)絡(luò)安全域等系統(tǒng)，實(shí)現(xiàn)應(yīng)用系統(tǒng)授權(quán)訪問、桌面計(jì)算機(jī)安全控制、網(wǎng)絡(luò)流量的異常監(jiān)控、病毒與木馬清除等功能。該體系在實(shí)際環(huán)境中運(yùn)行良好，并取得了較好的應(yīng)用效果。

關(guān)鍵詞：信息安全；體系架構(gòu)；授權(quán)訪問；安全控制；異常監(jiān)控

1概述

隨著信息化建設(shè)的快速發(fā)展，信息技術(shù)創(chuàng)新影響著人們的工作方式和生活習(xí)慣，網(wǎng)絡(luò)已成為信息傳播和知識共享的載體，提高了工作效率，促進(jìn)了社會的發(fā)展和進(jìn)步，但由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了信息安全威脅的客觀存在。近年來，國內(nèi)國外信息安全的事件層出不窮，計(jì)算機(jī)病毒和木馬仍然是最大的安全威脅，假冒用戶和主機(jī)身份進(jìn)行不法活動或?qū)嵤┕舻默F(xiàn)象逐漸增多，SQL注入、數(shù)據(jù)監(jiān)聽、緩沖區(qū)溢出攻擊依然盛行，網(wǎng)絡(luò)釣魚和網(wǎng)絡(luò)欺詐日益嚴(yán)重，敏感數(shù)據(jù)外泄和盜取事件頻頻發(fā)生，信息安全形勢日趨嚴(yán)峻。因此，如何建立多層次的信息安全防護(hù)體系，如何保證企業(yè)信息安全，已成為各企業(yè)必須面對的重要問題。

2體系架構(gòu)總體設(shè)計(jì)

針對企業(yè)中桌面計(jì)算機(jī)數(shù)量龐大、應(yīng)用系統(tǒng)平臺多樣化、互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用急劇增長，不合規(guī)計(jì)算機(jī)接入內(nèi)網(wǎng)、互聯(lián)網(wǎng)違規(guī)訪問、系統(tǒng)賬戶盜用等行為無法管控，網(wǎng)絡(luò)黑客人侵、病毒木馬感染、信息數(shù)據(jù)竊取等問題，通過大量的分析調(diào)研，確定企業(yè)級的信息安全防護(hù)體系應(yīng)采用C/S和B/S相結(jié)合的多層架構(gòu)設(shè)計(jì)，同時(shí)選擇成熟主流的安全產(chǎn)品，統(tǒng)一規(guī)劃設(shè)計(jì)桌面安全管理、身份管理與認(rèn)證、網(wǎng)絡(luò)安全域戈0分等功能系統(tǒng)，規(guī)范信息系統(tǒng)安全防護(hù)和審計(jì)標(biāo)準(zhǔn)，最大程度保證信息資源的可用性和安全性。

2.1桌面安全管理系統(tǒng)設(shè)計(jì)

桌面計(jì)算機(jī)是產(chǎn)生和存放重要信息的源頭，但桌面計(jì)算機(jī)往往是信息安全事件中最薄弱的環(huán)節(jié)，因此，為切實(shí)保證企業(yè)信息業(yè)務(wù)正常開展，保障個(gè)人信息數(shù)據(jù)安全，建立先進(jìn)實(shí)用的桌面安全管理系統(tǒng)十分必要。該系統(tǒng)主要包括安全防范和后臺安全管理兩個(gè)模塊。

2.1.1安全防范功能模塊

安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略，查殺策略應(yīng)定義為“隔離”；對于惡意商業(yè)應(yīng)用程序，由于這類軟件只是一些廣告類的惡意重新，終止進(jìn)程就可以解決問題的，安全風(fēng)險(xiǎn)程度不是很高，所以將查殺策略定義為“終止”。該模塊提供入侵防護(hù)功能、啟用拒絕服務(wù)檢測功能、啟用端口掃描檢測功能，以及自動禁止攻擊者的IP時(shí)間限定為600秒，避免出現(xiàn)由于大量攻擊行為而消耗計(jì)算機(jī)性能和網(wǎng)絡(luò)帶寬的情況發(fā)生，提高桌面計(jì)算機(jī)抵御惡意攻擊的能力。

2.1.2后臺管理模塊

區(qū)域管理器是后臺管理功能模塊重要組件，通過配置計(jì)算機(jī)IP范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù)，可對安裝代理探頭程序的桌面計(jì)算機(jī)進(jìn)行管理。實(shí)現(xiàn)桌面計(jì)算機(jī)配置管理、安全審計(jì)及報(bào)警管理、電子文檔保護(hù)等功能。

2.2身份管理與認(rèn)證系統(tǒng)設(shè)計(jì)

當(dāng)前應(yīng)用系統(tǒng)已成為企業(yè)開展各項(xiàng)日常業(yè)務(wù)的重要平臺，但由于這些應(yīng)用系統(tǒng)登錄方式不統(tǒng)一、安全認(rèn)證模式多樣、部分系統(tǒng)密碼強(qiáng)度不足等情況，嚴(yán)重影響企業(yè)信息數(shù)據(jù)的安全性和保密性，因此建立身份管理與認(rèn)證系統(tǒng)，可以從根本上實(shí)現(xiàn)用戶身份認(rèn)證，保證系統(tǒng)訪問的安全性。身份管理與認(rèn)證系統(tǒng)由集中身份管理、統(tǒng)一認(rèn)證和公共密鑰基礎(chǔ)設(shè)施三個(gè)模塊組成。

2.2.1集中身份管理模塊

集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式，對應(yīng)用系統(tǒng)中的用戶身份信息進(jìn)行匯總與清理，建立統(tǒng)一的用戶身份視圖，實(shí)現(xiàn)用戶實(shí)體與用戶身份信息的唯一對應(yīng)。集中身份管理模塊固化對用戶身份的集中管理流程，包括與用戶身份管理相關(guān)的審批與操作流程。在對集中身份管理模塊的功能細(xì)化并進(jìn)行歸類，從而設(shè)計(jì)出集中身份管理的功能模型，如圖1所示。

2.2.2統(tǒng)一認(rèn)證模塊

統(tǒng)一認(rèn)證模塊支持用戶身份的強(qiáng)認(rèn)證，可對獲取權(quán)威的身份鑒別信息進(jìn)行身份認(rèn)證，包括用戶口令、用戶數(shù)字證書、數(shù)字證書撤銷列表等。通過對信息系統(tǒng)一般的身份認(rèn)證流程進(jìn)行分析，可以得到統(tǒng)一認(rèn)證采用的身份信息和鑒別信息都來自于信息系統(tǒng)本身（或分散的目錄服務(wù)）。

2.2.3公共密鑰基礎(chǔ)設(shè)施模塊

公共密鑰基礎(chǔ)設(shè)施系統(tǒng)（PKI）由認(rèn)證中心（CA）、密鑰管理中心（KMC）和證書注冊中心（RA）等三部分組成。認(rèn)證中心采用商密SRQ-14數(shù)字證書認(rèn)證產(chǎn)品和商密SJY-63密鑰管理產(chǎn)品，并可提供可信的第三方擔(dān)保功能，認(rèn)證中心支持頒發(fā)證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息，利用PMI技術(shù)保證密鑰信息數(shù)據(jù)的安全。證書注冊中心可為用戶提供數(shù)字證書申請的注冊受理，用戶身份信息的審核，用戶數(shù)字證書的申請與下載，用戶數(shù)字證書的撤銷與更新等服務(wù)。

2.3網(wǎng)絡(luò)安全域系統(tǒng)設(shè)計(jì)

當(dāng)前大部分企業(yè)的內(nèi)部網(wǎng)絡(luò)中均包含有非業(yè)務(wù)性質(zhì)網(wǎng)絡(luò)，且網(wǎng)絡(luò)行為不受限，對內(nèi)部應(yīng)用系統(tǒng)的安全構(gòu)成嚴(yán)重威脅。為構(gòu)建安全可靠網(wǎng)絡(luò)架構(gòu)，通過劃分網(wǎng)絡(luò)安全域，提高整體網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全域設(shè)計(jì)應(yīng)包括互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間、企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)之間、關(guān)鍵應(yīng)用系統(tǒng)與普通應(yīng)用系統(tǒng)之間等三個(gè)層次的安全防護(hù)。本著“先邊界安全加固，后深入內(nèi)部防護(hù)”的指導(dǎo)思想，本文僅對互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的安全域進(jìn)行研究和探索，如圖2所示。

2.3.1安全防護(hù)模塊

安全防護(hù)設(shè)備包括邊界防火墻、核心防火墻和入侵檢測設(shè)備，主要是通過檢測過濾網(wǎng)絡(luò)上的數(shù)據(jù)包，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以位于兩個(gè)或者多個(gè)網(wǎng)絡(luò)之間，是實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件的集合，通過制定安全策略后防火墻能夠限制被保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的信息訪問與交換。入侵檢測設(shè)備是防火墻的合理補(bǔ)充，一般該設(shè)備部署在內(nèi)部網(wǎng)絡(luò)邊界。

2.3.2行為審計(jì)模塊

行為審計(jì)模塊可以提供網(wǎng)頁過濾技術(shù)、應(yīng)用控制技術(shù)、外發(fā)信息審計(jì)技術(shù)等，可有效防止機(jī)密信息的外泄，避免不良信息的擴(kuò)散，提高員工的工作效率，保障網(wǎng)絡(luò)資源合理使用，提高網(wǎng)絡(luò)可管理性。

2.3.3日志分析模塊

日志分析模塊基于Syslog標(biāo)準(zhǔn)協(xié)議，可以對不同設(shè)備、主機(jī)、應(yīng)用系統(tǒng)進(jìn)行日志綜合分析和集中展現(xiàn)；實(shí)現(xiàn)對報(bào)警信息的靈活配置和管理，同時(shí)提供靈活的報(bào)警規(guī)則配置、實(shí)時(shí)報(bào)警和歷史報(bào)警信息的綜合管理；基于設(shè)備、報(bào)警類別、日期等因素進(jìn)行組合統(tǒng)計(jì)和報(bào)表，為管理人員提供直觀的統(tǒng)計(jì)信息和報(bào)表信息。

3關(guān)鍵技術(shù)

3.1準(zhǔn)入控制技術(shù)

建立具有結(jié)構(gòu)化、層次化的準(zhǔn)入控制體系，針對計(jì)算機(jī)違規(guī)行為下發(fā)阻斷策略，確保接入內(nèi)網(wǎng)的計(jì)算機(jī)符合企業(yè)信息安全方面的規(guī)定。主要方法共有兩種，一種是在互聯(lián)網(wǎng)出口處部署端點(diǎn)準(zhǔn)人設(shè)備，強(qiáng)制所有接人互聯(lián)網(wǎng)桌面計(jì)算機(jī)安裝桌面安全軟件，另一種是使用虛擬隔離技術(shù)，制定訪問控制策略，針對不合規(guī)的桌面計(jì)算機(jī)下發(fā)阻斷策略，保證內(nèi)部網(wǎng)絡(luò)安全。

3.2主動安全防范技術(shù)

主動安全防范技術(shù)包括病毒木馬探測和數(shù)字證書認(rèn)證等，病毒木馬探測技術(shù)能夠強(qiáng)化桌面計(jì)算機(jī)實(shí)時(shí)防護(hù)功能，主動攔截病毒木馬，防范日常攻擊和未知安全威脅；數(shù)字證書認(rèn)證技術(shù)能夠?qū)崿F(xiàn)USBkey證書和Pin口令的雙因素認(rèn)證方式，可以解決賬號權(quán)限安全管理問題。

4應(yīng)用效果

在某企業(yè)部署的信息安全防御體系應(yīng)用效果良好。累計(jì)查殺新型網(wǎng)絡(luò)病毒木馬560多萬個(gè)；強(qiáng)認(rèn)證登錄100多萬次；抵御外部攻擊600多萬次，阻止訪問木馬釣魚網(wǎng)站5萬余次。

5結(jié)束語

信息化的快速發(fā)展已為企業(yè)的生產(chǎn)經(jīng)營活動帶來了極大的便捷，但同時(shí)各類安全性問題同樣值得引起我們的擔(dān)憂和注意，企業(yè)的信息化要想在以后得到長足的發(fā)展空間，就要及時(shí)地去解決當(dāng)今出現(xiàn)的這些問題，并對其做出防治手段。本文從多角度對企業(yè)級信息安全防御體系構(gòu)建進(jìn)行了研究探索，并在企業(yè)級內(nèi)部網(wǎng)絡(luò)環(huán)境下進(jìn)行了實(shí)踐，但由于條件所限，未在移動無線網(wǎng)絡(luò)環(huán)境下進(jìn)行深入研究，下一步將加大力量，加強(qiáng)這方面的探索實(shí)踐，希望可以對相關(guān)企業(yè)信息安全防御體系建設(shè)工作提供幫助。