论文部分内容阅读
[摘要] 对山东黄金三山岛金矿网络安全综合监控平台的研究,旨在有效指导下一步完善三山岛网络安全。在前人工作的基础上,采用主动防御的方法,总结了三山岛金矿网络系统特征,分析了三山岛金矿网络安全的潜在问题,探讨了网络安全维护的解决方案,得出主动防御,边界防护及主动隔离的技术方案。
[关键词] 三山岛金矿; 网络安全; 技术方案
[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0085- 02
1 三山岛金矿网络情况背景
随着我矿数字化矿山的发展,我们已经建成了千兆办公网和千兆工业网,互联网客户端已超过700台,通过互联网,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对上网带来的数据安全的新挑战和新危险:即移动用户、异地员工和内部人员的安全访问。
2 原有网络系统状态
为了确保我矿的网络安全,我们部署了各种网络设备,包括思科asa5520防火墙、kaspersky杀毒软件。虽然部署了各种网络安全设备,但是我矿的网络仍然经常出现一些安全问题。这是因为目前网络安全风险已经从网络层上升到应用层,而我们所部署的网络安全设备基本上都只能针对网络层的安全威胁进行分析和阻断,对于内容安全防护还是比较薄弱。所以新的网络威胁需要更全面的解决方案。
3 目前存在的安全问题
3.1 来自HTTP的病毒和间谍软件让人防不胜防
客户端在通过HTTP访问网页时,会不经意感染内嵌在网页中的病毒、间谍软件。或者由于浏览器的漏洞或者由于浏览器的安全级别设置得太低,而使得病毒、间谍软件以ActiveX控件的形式自动非法安装到用户计算机中。造成用户系统运行不正常,机密数据丢失,甚至在不知情的情况下成为了犯罪分子的工具和跳板。
3.2 来自邮件的病毒和间谍软件让人难以防范
自从互联网上出现第一封病毒邮件以来,邮件就被当作病毒传播的主要途径之一。因为疏忽而打开陌生人发来的邮件而导致感染病毒的案例屡见不鲜。更有甚者,有些病毒和间谍软件利用邮件客户端的漏洞,即时客户不打开附件仅仅只是预览也有可能被感染。一旦感染了病毒和间谍软件,用户的计算机或者企业的网络就像犯罪分子敞开了大门,由此引发的一系列后果随之而来。
3.3 潜在威胁分析
外部——网络系统与互联网有直接通道,虽然中间有防火墙验证访问的合法性,但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。
内部——局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和学习带来极大的威胁。
4 解决方案
4.1 主动防御
部署安信华Anchiva-A500安全防病毒网关。
防病毒网关的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防病毒网关还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
通过在网关部署防毒产品,可以提高企业整体的防毒效能、减少资源占用。对染毒邮件、带有ActiveX、JavaScript病毒的网页以及通过FTP方式传输的文件进行“主动防御”,不让这些不受欢迎的东西进入企业的网络。
4.2 边界防护和网络隔离
部署深信服SSL7150、SSL3150 VPN设备。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全地访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
4.3 上网行为管理
部署新网程网络督察。
通过部署新网程网络督察,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
4.4 网络物理隔离
部署联想网御网闸。
三山岛金矿目前有办公网与工业网两大网络体系,从网络安全性方面考虑,工业网不得直接或间接地与互联网或其他公共信息网络相连,必须实行物理隔离。
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵3部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。整个系统具备以下技术特性:
多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。
被隔离网络之间任何时刻不产生物理连接。
内/外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就是OSI模型的7层协议全部断开。
数据交换方式完全私有,不具备可编程性。
统一安全引擎:对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本系统、协议格式等实施深度检测和过滤,并支持对特定应用协议标签的检测控制;
智能黑白名单:针对文件名、命令、域名等内用进行严格控制,创建黑名单和白名单任务策略,拦截各种非法数据报文,保证数据的安全性;
针对数据库和文件数据,通过访问用户身份识别,保证数据不被非法访问和传递;
针对不同用户操作,系统提供了分级别管理机制, 根据最小化用户权限的原则,使不同用户管理配置不同的任务,最大程度保障用户使用的安全。
5 结 语
目前三山岛金矿已有思科asa5520防火墙、安信华Anchiva-A500安全防病毒网关、新网程网络督察、kaspersky杀毒软件、深信服VPN与联想网御网闸。
通过现在的网络安全平台,可以防止员工接收恶意软件,也可以避免内部员工往外传播病毒,避免许多法律纠纷,可以提高网络安全水平,给员工提供纯净的网络办公环境,提供异地安全登陆信息内网提高工作效率,节约成本,使三山岛金矿的网络安全水平领先于同行业水平,提升了公司的整体形象,促进了三山岛金矿数字化矿山的建设。
主要参考文献
[1] 周学广,等. 信息安全学[M]. 北京:机械工业出版社,2003.
[2] 曹天杰,张永平,苏成. 计算机系统安全[M]. 北京:高等教育出版社,2003.
[3] 刘衍衍,等. 计算机安全技术[M]. 长春:吉林科学技术出版社,1997.
[关键词] 三山岛金矿; 网络安全; 技术方案
[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2013)04- 0085- 02
1 三山岛金矿网络情况背景
随着我矿数字化矿山的发展,我们已经建成了千兆办公网和千兆工业网,互联网客户端已超过700台,通过互联网,任何一个单位的数据资料的传输和存取都变得方便、快捷,但同时也面对上网带来的数据安全的新挑战和新危险:即移动用户、异地员工和内部人员的安全访问。
2 原有网络系统状态
为了确保我矿的网络安全,我们部署了各种网络设备,包括思科asa5520防火墙、kaspersky杀毒软件。虽然部署了各种网络安全设备,但是我矿的网络仍然经常出现一些安全问题。这是因为目前网络安全风险已经从网络层上升到应用层,而我们所部署的网络安全设备基本上都只能针对网络层的安全威胁进行分析和阻断,对于内容安全防护还是比较薄弱。所以新的网络威胁需要更全面的解决方案。
3 目前存在的安全问题
3.1 来自HTTP的病毒和间谍软件让人防不胜防
客户端在通过HTTP访问网页时,会不经意感染内嵌在网页中的病毒、间谍软件。或者由于浏览器的漏洞或者由于浏览器的安全级别设置得太低,而使得病毒、间谍软件以ActiveX控件的形式自动非法安装到用户计算机中。造成用户系统运行不正常,机密数据丢失,甚至在不知情的情况下成为了犯罪分子的工具和跳板。
3.2 来自邮件的病毒和间谍软件让人难以防范
自从互联网上出现第一封病毒邮件以来,邮件就被当作病毒传播的主要途径之一。因为疏忽而打开陌生人发来的邮件而导致感染病毒的案例屡见不鲜。更有甚者,有些病毒和间谍软件利用邮件客户端的漏洞,即时客户不打开附件仅仅只是预览也有可能被感染。一旦感染了病毒和间谍软件,用户的计算机或者企业的网络就像犯罪分子敞开了大门,由此引发的一系列后果随之而来。
3.3 潜在威胁分析
外部——网络系统与互联网有直接通道,虽然中间有防火墙验证访问的合法性,但仍会受到来自互联网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。
内部——局域网中的工作站及文件服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和学习带来极大的威胁。
4 解决方案
4.1 主动防御
部署安信华Anchiva-A500安全防病毒网关。
防病毒网关的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防病毒网关还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
通过在网关部署防毒产品,可以提高企业整体的防毒效能、减少资源占用。对染毒邮件、带有ActiveX、JavaScript病毒的网页以及通过FTP方式传输的文件进行“主动防御”,不让这些不受欢迎的东西进入企业的网络。
4.2 边界防护和网络隔离
部署深信服SSL7150、SSL3150 VPN设备。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全地访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
4.3 上网行为管理
部署新网程网络督察。
通过部署新网程网络督察,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
4.4 网络物理隔离
部署联想网御网闸。
三山岛金矿目前有办公网与工业网两大网络体系,从网络安全性方面考虑,工业网不得直接或间接地与互联网或其他公共信息网络相连,必须实行物理隔离。
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵3部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。整个系统具备以下技术特性:
多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。
被隔离网络之间任何时刻不产生物理连接。
内/外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就是OSI模型的7层协议全部断开。
数据交换方式完全私有,不具备可编程性。
统一安全引擎:对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本系统、协议格式等实施深度检测和过滤,并支持对特定应用协议标签的检测控制;
智能黑白名单:针对文件名、命令、域名等内用进行严格控制,创建黑名单和白名单任务策略,拦截各种非法数据报文,保证数据的安全性;
针对数据库和文件数据,通过访问用户身份识别,保证数据不被非法访问和传递;
针对不同用户操作,系统提供了分级别管理机制, 根据最小化用户权限的原则,使不同用户管理配置不同的任务,最大程度保障用户使用的安全。
5 结 语
目前三山岛金矿已有思科asa5520防火墙、安信华Anchiva-A500安全防病毒网关、新网程网络督察、kaspersky杀毒软件、深信服VPN与联想网御网闸。
通过现在的网络安全平台,可以防止员工接收恶意软件,也可以避免内部员工往外传播病毒,避免许多法律纠纷,可以提高网络安全水平,给员工提供纯净的网络办公环境,提供异地安全登陆信息内网提高工作效率,节约成本,使三山岛金矿的网络安全水平领先于同行业水平,提升了公司的整体形象,促进了三山岛金矿数字化矿山的建设。
主要参考文献
[1] 周学广,等. 信息安全学[M]. 北京:机械工业出版社,2003.
[2] 曹天杰,张永平,苏成. 计算机系统安全[M]. 北京:高等教育出版社,2003.
[3] 刘衍衍,等. 计算机安全技术[M]. 长春:吉林科学技术出版社,1997.