摘 要:随着计算机网络的发展,网络安全问题日益突出,对网络安全进行风险分析就变得日益重要。信息安全不是一个孤立静止的概念,而是一个多层面、多因素、综合、动态的过程。信息安全建设是从体系建设过程、运行及改进过程、风险评估过程再到体系建设过程的一个循环往复的过程。面向单位内部网络的安全体系建设,是一个需要在不断考察单位自身发展环境和安全需求的基础上,通过对现有系统的风险评估,不断改进的过程。因此,引入安全风险评估的概念和方法相当重要,它为单位内部网络的自身评估提供了良好的手段,是单位内部网络安全体系不断发展的动力。目前已经建立的全区血液集中化检测计算机网络作为宁夏血液中心网络的一个子网,两者不能割裂开来进行分析,必须从中心计算机网络的特点出发,对计算机网络安全性存在的风险进行探讨与评估,并提出相应的改进和防护措施。
关键词:网络;安全;评估;对策;管理
1.前言
宁夏血液中心(以下简称中心)自2002年建成计算机网络以来,在网络更新、升级改造以及维护等方面投入了大量的人力、物力,并取得了显著的成效,网络的规模和处理能力得到了一定程度的改善,在采供血业务处理、献血者招募、提高临床输血安全等方面发挥了重要的作用。但由于受资金等方面的限制,网络安全防护体系还比较薄弱,网络系统硬件、数据安全等存在一些隐患,计算机系统受病毒感染的情况也时有发生。因此,网络安全问题变得日益突出。一旦发生安全故障,将严重影响网络的正常运行,系统中各种应用程序将不能发挥作用,甚至造成整个网络瘫痪。2010年6月在中心网络的基础上搭建了宁夏全区血液样本集中化检测网络(VPDN)平台,对全区各血站的血液样本进行统一检测和管理。因而,对网络的安全和抗风险能力提出了更高的要求。为此,亟需建设中心的网络安全防护体系是目前工作的重点内容。
2.网络系统现状分析
从中心网络目前现状可以看出,目前中心网络有两部分组成:中心采供血站内业务网(局域网)和中心办公上网(Internet)。其中,站内业务网是中心业务开展的重要平台,承载着核心业务内容,主要包括站内血液信息管理系统和全区血液集中化检测实验室端及客户端软件以及网络的配置。办公上网主要提供访问Internet服务以及中心网站信息的发布。中心机房布置了两条光纤接入,其中一条光纤接入用于站内办公上网、移动采血服务(采血车和采血屋)、短信服务、语音查询服务。由于在网络划分时,必须保证中心业务网(局域网)内的计算机和办公上网的计算机不能兼用,两者必须独立运行,这样可避免病毒感染和黑客入侵。另一条光纤接入专门用于中心与全区各地市级血站采用VPDN技术组建的网络进行血液集中化检测样本数据信息的上传与下载。
VPDN网络采用专用的网络安全和通信协议,可以在公网上建立相对安全的虚拟专网。宁夏各地市级血站可经过公网,通过VPDN虚拟的安全通道和中心网络进行连接,而公网上的其他用户则无法穿过虚拟通道访问中心网络的内部资源。
3.威胁来源与分析
为了全面的将中心网络系统安全威胁进行分析和归类,我们根据安全风险的来源,参照业界通用的分析方法和国家《信息安全风险评估指南》,将中心网络系统面临的安全风险分为:边界安全风险、内网安全风险、应用安全风险和管理安全风险四个层面。下面将针对每一层面分别具体分析。
3.1网络边界风险分析
网络边界是提供站内业务服务的对外网络接口,是安全防范的重点,对边界访问控制是网络与应用安全防范和保护的主要策略,它的主要任务是保证网络与应用资源不被非法使用和非正常访问。它也是维护网络与应用系统安全,保护网络与应用资源的重要手段。对访问控制可以说是保证网络与应用安全最重要的核心策略之一。对外接口具体包括电子商务、企业互联网、VPN(VPDN)、远程接入和广域网等。站内业务网络主要包括核心网络、分布层网络、接入层网络、服务器网络等几个部分。
中心网络的边界主要包括四类:第一类是中心局域网与其他地市级血站所建立的VPDN网络之间的边界;第二类是中心站内移动系统(街头采血车通过3G无线上网卡)和采血屋(通过宽带上网)建立VPN网络与中心站内服务器进行连接的边界;第三类是通过远程拨入中心维护计算机进行站内管理系统维护的边界;第四类是办公区与互联网之间的边界。
在第一类边界中,由于采用VPDN技术建立了血液集中化检测网络,血液样本信息的上传与检测结果的下载都是通过L2TP协议在两端建立安全隧道(Tunnel),通过虚拟专用通道来传输信息的。但是虚拟私有访问这些边界如果没有严格的访问控制措施,将会给中心网络信息系统带来安全风险。如:黑客攻击、病毒入侵、越权访问、线路故障等。
在第二类边界中,由于采用VPN技术建立与站内服务器连接进行数据传送,这类边界中也是通过VPN隧道技术,和第一类边界是一样的。但也和第一类边界一样存在安全风险隐患。
在第三类边界中,由于站内业务系统经常需要对系统软件进行维护、更新、升级或对中心站内服务器或对某台计算机进行配置等操作,这样软件开发商就需要通过远程连接到站内网络进行远程维护。这样也会存在安全风险,如:越权访问、操作不当、病毒侵入等。
在第四类边界中,由于站内业务网络与办公上网是独立的,互不干扰。因此,对站内业务网络不构成安全风险。但对本机会存在风险,如:黑客攻击、病毒侵入等。
3.2内网安全风险分析
在中心局域网中通过路由器按业务类别划分网段和配置IP地址,使各系统访问各自的业务内容。站内业务网(局域网)是网络中应用系统及承载应用系统的重要服务器(数据库服务器)和承载访问和数据交换网络设备和物理线路。因此,在内网安全风险中,首先是对这些信息资产正常安全工作形成威胁,其威胁来源主要包括以下几个方面:⑴ 通过承接对外服务(集中化检测样本信息的上传及样本检测结果的下载)而来自于病毒和恶意用户的攻击;⑵ 不同部门间人员的非法访问;⑶ 内部人员的越权访问;⑷ 设备运行故障;⑸ 重要数据泄密等。其次是中心局域网系统中服务器与各业务科室终端计算机可能存在潜在的风险。主要包括以下几个方面:⑴ 主机系统漏洞及服务器配置不当;⑵ 网络中关键设备缺乏必要的防护措施及硬件冗余;⑶ 网络
设备的配置参数及网段的划分;⑷ 网络入侵及病毒感染;⑸ 非法用户对网络的访问与利用;⑹数据不能实时备份;⑺ 不可抗力因素对网络的破坏;⑻ 桌面系统漏洞、内部用户误操作、合法用户的恶意行为等。
3.3应用系统风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用检测安全漏洞,采取相应的安全措施,降低应用的安全风险。对中心站内网络应用系统的风险主要有:应用系统的安全风险、病毒侵害的安全风险、数据信息的安全风险等。
应用系统的安全风险:主要是指中心业务网络(局域网)中各应用系统所面临的安全风险,包括站内业务应用系统(含数据库)、短信发送系统、语音查询系统、卡巴斯基防病毒服务器系统。这些系统和服务主要依赖软件开发商应用程序的健壮性、逻辑规则的合理性、数据的一致性、结构的安全性以及商用数据库、中间件的使用等,由于自身的安全漏洞和配置不当而造成的安全脆弱性将会导致整个系统的安全性下降。
病毒侵害的安全风险:主要是指由于没有对网络采取防病毒措施以及对计算机存储设备没有进行严格的管理而造成网络感染病毒等。
数据信息的安全风险:主要是指用户越权访问、操作不当、服务器宕机、磁盘阵列损坏、备份数据损坏或丢失等。
3.4管理安全风险分析
管理方面的安全风险主要是操作人员的登录账户权限设置以及账户口令设置简单等问题;其次是把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险;还有就是内部不满的员工,有的可能造成极大的安全风险。
由于中心站内业务全部用计算机进行流程化管理,网络覆盖面比较广,登录到系统的用户较多,所操作的模块各不相同,水平也参差不齐,对设备的安全使用与措施的管理也存在着一定的风险。例如,由于没有正确地配置安全设备参数,导致安全区域内的防护手段失效。同时,对于安全区域内突发的安全事件,现有的安全管理手段很难迅速准确的对这种风险进行快速响应,也无法快速定位威胁的来源在哪里,因此也无法及时调整安全策略来应对这样的安全事件。
4.建立有效的防范及应对措施
通过以上对安全风险的分析,中心网络信息系统在边界、内网、应用、管理四大方面均存在程度不同的安全方面的隐患,因此当前迫切需要通过必要的设备更新和技术手段及管理手段来加强信息系统的安全建设,构建网络安全体系。具体措施如下:
(1)网络边界区域风险防范及应对措施
网络边界区域是病毒入侵的关键区域,在该区域对病毒源进行控制,是遏制病毒感染、黑客侵入最有效的方法。在上述网络边界风险分析中,第三、四类边界中就存在一定的安全风险。
具体的防范措施是:在访问边界部署防火墙和入侵防范系统(IPS)的联动技术,其作用是防火墙完成访问控制防御功能,IPS完成入侵检测防御功能,并通知防火墙对恶意通信进行阻断。防火墙对网络数据流的合法性进行分析,但是它对从正常电脑上发送来的病毒数据流是无能为力的,无法对病毒进行控制和过滤,所以有必要在防火墙前端再部署防毒墙,防毒墙是硬件级的网络杀毒设备,作用是检测和过滤进入到内网的所有数据,对恶意病毒进行查杀和阻断后,再经过防火墙进入到内部网络。
(2)内网安全区域防范及应对措施
内网安全区域是由内部计算机、服务器和各类网络设备所组成,是病毒的寄宿区,该区域内某一台计算机感染病毒后,会传染到其他计算机上,传染的结果是发送大量的广播包,导致网络带宽严重不足,网络速度和性能严重下降,如果是多台计算机同时发作,网络技术人员很难定位病毒源在哪里。
具体的防范措施是:⑴ 在网络设备上部署入侵检测系统,实时分析进出网络的数据流,对网络违规事件进行跟踪、实时报警、阻断连接并做日志,用来对付来自内、外部网络病毒的攻击;对于入侵检测系统发现不了的问题,可以通过snifter软件监控辅助控制,这就需要在三层交换机上配置镜像端口,所有流入和流出的数据都会镜像到该端口,利用sniffer实时监控数据流量,一旦发现有大量的非法数据,就及时采取阻断措施,保证内网安全,同时也能快速定位出病毒源在哪里,及时排查出问题的原因。⑵ 重新布置站内网络结构,目前中心内网没有设置三层核心交换机,也没有按业务部门进行网段划分和设置楼层交换机,而是将所有的网线全部插在集线器上,如果某一个集线器发生故障,就会影响到所有部门的计算机。针对网络边界区域和内网安全区域的防范措施,需要对现有网络结构进行重新布置。具体结构如下图所示:
网络结构布局的合理与否也将影响着网络的安全性,对站内业务网、办公网以及与外单位互联的接口网络之间必须按各自的应用范围和安全保密程度进行合理分布,以免对局部安全性较低的网络系统造成威胁并传播到整个网络。所以必须从两个方面入手,一是加强访问控制:从上图可以看到,通过在中心三层核心交换机上划分后,就可以将整个网络分为几个不同的广播域(VLAN), 实现将内部一个网段与另一个网段的物理隔离, 阻止广播风暴以及防止因一个网段出现问题而影响到整个网络。通过将信任网段与不信任网段分别划分在不同的段内, 就可以限制局部网络安全问题对全局网络造成的影响。通过配备防火墙来实现内、外网之间的隔离与访问控制;二是作好安全检测工作,在网络上安装网管软件,就可以实时分析进出网络的数据流,对网络违规事件跟踪和实时报警,阻断连接并做日志。目前,在内网上安装了网络版的杀毒软件,并且配置了各种安全策略,保证网络内所有计算机及时更新病毒库,定时查杀病毒,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。同时还对所有内网上的计算机安装了禁用USB存储设备的软件,确保禁用外来U盘;三是做好数据备份工作,目前在服务器上每天设置2个备份时间点,然后通过手工将备份的数据拷贝到可移动硬盘上。由于没有建立异地灾难备份与恢复系统,因此一旦出现服务器或磁盘损坏,数据将出现丢失,因为不能进行实时的数据备份。因此最好的措施是在异地建立灾难备份恢复系统,这样既可以对数据进行实时、无缝连接的备份,又可以在服务器或磁盘柜发生故障时,利用灾难恢复系统进行快速恢复数据;四是对数据进行加密传输,保护数据在传
输过程中不被泄露,保证数据的机密性。数据加密的方法有从链路层加密、网络层加密以及应用层加密。目前中心血液样本集中化检测网络采用VPDN技术进行网络传输,移动采血系统采用VPN技术进行传输,为了保证数据的完整性,就必须采用信息鉴别技术,VPN、VPDN技术便能实现这样的功能;数据源身份认证也是信息鉴别的一种手段,它可以确认信息来源的可靠性,结合传输加密技术,便可以实现保护数据的机密性、完整性、真实性、可靠性。
(3)管理安全防范及应对措施
安全防范体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律的手段来实现。因此必须根据自身的应用与安全需求,制定安全管理制度并严格执行,通过安全知识及法律常识的培训,加强职工自身安全意识以及防范外部入侵的安全意识。计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且还要看它所采取的管理措施和执行计算机安全保护法律法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。因此采取的措施是:⑴ 建立相应的计算机网络安全管理机构,不断完善和加强计算机安全管理功能。计算机网络的安全管理包括对计算机用户的安全教育、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。因此就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则。中心已制定了有关这些方面的措施,包括定期在中心举办计算机安全管理方面的全员知识讲座并进行考试,同时每年中心都安排计算机管理人员外出参加专业组织机构举办的计算机安全方面的培训课程,另外还邀请计算机公司的技术人员到中心就计算机安全和站内业务流程方面的问题进行专题讲座和培训。⑵ 建立健全计算机网络安全管理制度,目前中心业务系统安全保护等级被确定为第三级,已经建立了《计算机安全管理制度》、《计算机业务流程管理制度》、《计算机信息系统数据备份和恢复程序》、《计算机信息系统应急预案及恢复程序》、《全区血液集中化检测网络线路应急预案》等体系文件,同时还包括计算机人员操作管理制度、运维管理制度、计算机信息处理管理制度、机房保卫管理制度以及各种资料管理制度等,中心各业务科室还对其科室计算机的使用制定了SOP文件。
5.建立有效的网络安全评估体系
通过对中心网络的风险进行评估分析并制定应对措施后,今后应该建立一整套的网络安全评估体系,也即在外部专家或评估公司的帮助下,建立中心安全风险评估体系,并定期对网络系统进行安全评估。评估内容包括:⑴ 对中心信息资产进行分类。包括无形的、有形的、硬件、软件、文档、代码、服务等信息资产类别;⑵ 建立信息资产数据库。主要内容包括资产属性(如保密性、完整性、可用性)、设备描述、设备配置、安全弱点、威胁、风险、安全故障及历史记录。⑶ 定期对信息资产进行评估。包括建立风险评估模型和规范;识别资产面临的威胁;识别威胁可能利用的脆弱性;识别与分析控制措施,做好评估记录,对不符合安全级别要求的系统,制定解决措施(或方案),以增强安全。
作为日常工作,可以在网络上安装网络安全性扫描分析系统(Internet Scanner)定期进行扫描,经过扫描得到分析汇总报告,通过汇总报告,分析网络系统存在的弱点和漏洞,提出补救措施和建立安全策略。同时根据扫描结果配置或修改网络系统,达到增强网络安全性的目的并逐渐建立起有效的网络安全评估体系,提高整个网络的安全级别。
6.结论
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,根据单位资金情况,按照轻重缓急,分步实施的原则,逐步建设一套完整的、协调一致的具有抗风险能力的网络安全防护体系。同时我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强对计算机用户管理的力度,建立备份和恢复机制,同时制定相应的安全标准,提高网络整体安全运行能力,真正实现网络化推动信息化,以信息化带动单位各项事业的发展。
参考文献:
[1] 陈庄,巫茜. 计算机网络安全工程师宝典. –重庆:重庆出版社,2010.10
[2] 王春海,宋涛. VPN网络组建案例实录. –北京:科学出版社,2011.6
