大数据运营公司  李向廷

摘  要  通过对铁法能源公司网络现状及需求进行了简单分析，针对铁法能源公司网络存在的各种安全风险提出了完整的解决方案。

关键词 网络  安全防护  解决方案

1 时代背景

随着信息应用的发展、网络犯罪的增多、黑客的肆虐、色情信息的泛滥、信息间谍的渗透等问题越来越不可避免。为了加强对互联网的控制和管理及企业内部网络的安全，根据《中华人民共和国网络安全管理法》及《网络信息安全等级保护制度2.0》的要求，国家政府机关及国有重型企业必须安装网络安全防护设备，以保证网络安全。

2 网络现状及需求分析

铁法能源公司网络虽已建设完成，但并没有其他有效的网络安全防护手段，整个网络在安全防护上几乎是裸奔。面对不断进化的病毒，以及多元化的攻击手段等，想保证铁法能源公司网络安全几乎是不可能的。

当前网络中充斥大量的P2P，占用本就不富裕的公网带宽，使得如视频会议、收发工作邮件、OA系统等业务需求无法满足，造成业务效率低下。

网络中也可能会出现：非法的终端接入、上网行为不规范、发布违法言论的帖子等违法行为，且无法定位涉事人员。

对于进入公司网络攻击业务区服务器（数据库、Web）等，更是没有有效的防御手段。

无法实时监测设备的运行状态，以及无法及时有效的发现发生在各个设备所产生的安全事件。

根据上面的分析，铁法能源公司网络存在的主要安全风险问题如下：

一是无法保障业务需求带宽，导致业务效率低效。

二是无法保障公司信息安全，导致机密信息、文件泄露。

三是无法避免网络违法、不健康行为，导致公司面临风险。

四是无法追溯定位违法、泄密的涉事人员。

五是无法规避PC、手机等终端带来的木马、病毒程序对局域网的侵害，导致业务中断等问题。

六是对突破防火墙的攻击没有防御手段。

七是重要的业务区域没有安全防御手段。

八是无法及时的监测设备状态，产生的安全事件无法集中审计处理。

3 解决方案

铁法能源公司网络庞大且复杂，拥有上万用户。面对如此复杂的网络环境所引发的问题都无法通过传统的网络安全防护手段实现，必须通过云安全服务、防火墙、入侵防御系统、Web应用防火墙、上网行为管理系统、日志审计系统等安全防护产品来解决。简而言之，就是通过这些网络安全防护产品的组合应用对铁法能源公司网络进行安全防护。

    为保证铁法能源公司网络安全稳定运行，规范员工上网行为，打击网络非法犯罪，根据铁法能源公司网络实际情况，特设计解决方案对铁法能源公司网络进行安全防护（附图）。

附图  铁法能源公司网络安全防护方案

在互联网访问出口部署一台防火墙，做为保证铁法能源公司网络安全的第一道屏障。在防火墙下联部署IPS入侵防御系统，强有效的防御突破防火墙的安全威胁。针对公司的重要业务区（服务器区）在IPS入侵防御系统下联部署Web应用防火墙（WAF），对重要的业务区进行强有效的安全保障。针对企业内部产生的上网行为不规范的问题，我们部署上网行为管理设备，通过串联在核心交换机与Web应用防火墙（WAF）之间，使全网流量路过上网行为管理设备，对内网用户的上网行为进行管控，列如：使其不可通过百度贴吧发布非法言论，或泄露公司机密，针对企业内部的P2P协议族，占用大量公网带宽的问题，通过上网行为的流量管控加以限制。对于公网侧访问内网服务的流量，通过云安全服务来分析流量的安全性，通过云端广阔的病毒库、代码特征库等，来保障外网访问内网服务的流量是安全的。对于内网服务器所产生的安全事件，通过日志审计设备集中管理并且审计，及时的监测业务的运行情况，并对安全事件加以处理。通过这样的网络安全防护产品组合，攻击者无论从哪个方向访问铁法能源公司网络资源都能做到有迹可察，使其行为暴露无遗，为事后取证提供可靠依据，对网络潜在威胁者予以威慑，有效保证铁法能源公司网络安全。

4 网络安全防护产品功能简介    

4.1防火墙

4.1.1 防火墙的名词解释

    防火墙是指在不同的网络（如可信的内部网和不可信的公共网）或网络安全域之间设置的一组组件，其目的是保证“可信”网络的安全，维护“可信”网络与“不可信”网络之间通信的便利性。防火墙是受保护网络和外部网络之间的屏障，用于防止不可预测和潜在破坏性的入侵。可以通过监控来实现。为了实现网络的安全，必须限制和改变穿越防火墙的数据流，并尽可能屏蔽网络内部的信息、结构和运行保护。从逻辑上讲，防火墙是一个分析器、分隔器，也是限制器，它有效地监控Intranet和Internet之间的通信，保证内部网络安全。

4.1.2 防火墙的功能

防火墙通过过滤不安全服务，可以大大提高网络安全性，降低子网中主机的风险。例如，可以禁用防火墙NIS和NFS服务通过，防火墙可以拒绝源路由和ICMP重定向数据包。

防火墙具备对内部系统的访问控制功能。可允许通过访问控制策略从外部网络访问系统内部主机，也可以通过访问控制策略禁止访问外部网络。

防火墙实现了对网络的集中安全管理。防火墙中定义的安全规则可以在整个内部网络系统中运行，而不必一一对每台机器配置相同规则策略。

4.1.3 防火墙的配置策略

铁法能源公司防火墙部署在互联网总出口，采取的策略是：互联网访问铁法能源公司内部网络的端口全部封闭，只放开需要对外发布的服务端口，并对互联网上的一些危险网站IP实施阻断策略； 对于内部网络需要访问互联网的用户只开放已知的需要使用的端口，未知端口全部封闭，这样极大地保证铁法能源公司内部网络安全。因为互联网上的攻击都是通过放开的端口进入进行攻击的。

4.2 IPS入侵防御系统

IPS入侵防御系统是一种网络安全设备，是对防毒软件和防火墙的补充。网络攻击突破防火墙后，面对的就是IPS入侵防御系统。IPS入侵防御系统是一种能够监视网络运行状态的计算机网络安全设备。它可以立即中断、调整或隔离一些异常或有害的网络数据入侵行为。在网络区域边界，通过部署IPS入侵防御系统来监控或阻断网络攻击，并及时生成报警和详细报告。 

在铁法能源公司网络部署IPS入侵防御系统，主要解决突破防火墙后的安全威胁。对整个内部网络全局的安全性进行强有效的加强。

IPS入侵防御系统可以针对网络安全提供多方位的防护措施，如访问控制可以在用户管理中进行配置，信息监控和过滤可以在上网管理中配置。安全防护则提供了DDoS防护、ARP防护、防火墙策略、病毒查杀、恶意URL检测、失陷主机检测等功能，为网络安全再添保障。 当网络中有异常流量产生时，如上传包速率很高、遇到DDoS攻击或者病毒带来的ARP攻击，系统会自动侦测异常，发出告警并采取相应控制措施，帮助管理员排除故障，保护网络正常使用。

IPS入侵防御系统满足对重要网络边界攻击行为的监控要求，满足分级保护中对端口扫描、暴力破解和木马攻击的防护要求，满足了对网关攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击的监控要求。

IPS入侵防御系统能够有效地记录攻击行为：当检测到攻击行为时，记录攻击类型、攻击源IP和攻击目标，此外，它还可以在严重入侵时提供报警。

IPS入侵防御系统实现了对网络中重要信息的保护功能，能够按照分级保护的要求，记录对重要业务服务的入侵行为、入侵源IP、攻击目的、攻击类型、攻击时间。

4.3 Web应用防火墙（WAF）与云安全服务

主要保障铁法能源公司的各种业务服务器，并有效抵御各种应用层的攻击。

Web应用防火墙（WAF）是一种通过实现一系列针对http/HTTPS的安全策略来为Web应用程序提供特殊保护的产品。主要用于防御网络应用层攻击，如跨站点脚本攻击、SQL注入、参数修改、拒绝服务攻击、应用系统漏洞攻击等。

Web应用防火墙（WAF）可以智能地识别Web系统的服务状态，在线优化防御策略规则库，分发虚拟补丁，提供技术支持。

Web应用防火墙（WAF）可实时有效防御各种网络蠕虫攻击、DDoS攻击、CC攻击。即使在极端情况下，Web系统被入侵，甚至被完全破坏，Web应用防火墙（WAF）也可以重构安全内容，保证系统的正常运行。

云安全服务能够保证通过互联网访问铁法能源公司内网的信息是安全的。外部用户访问铁法能源公司网络的所有信息必须经过云安全服务来检测，通过云端广阔的病毒库、代码特征库等清洗过滤掉有害信息，以保障铁法能源公司网络安全。

4.4 上网行为管理系统   

上网行为管理系统规范内部网络用户的上网行为，限制迅雷下载等P2P的带宽占用问题导致的业务的带宽需求无法满足，以及贴吧发帖泄密问题，终端非法接入内部网络的安全性问题，涉事人员追踪定位问题等等。

   上网行为管理系统部署在协同办公平台、邮件等服务器前端，审计铁法能源公司网络内部用户IP、MAC地址等信息。

   上网行为管理系统对铁法能源公司网络内部用户的网络行为进行监控、对在互联网传输的内容进行审计 (如用户是否在工作时间内上网聊天、玩游戏，是否访问非法网站，是否通过互联网泄漏了企业的机密信息，是否通过互联网发布传播反动言语等等)。上网行为管理系统可通过对用户访问互联网的行为进行后期取证，以达到对互联网潜在威胁者予以震慑。

    上网行为管理系统不仅可以对POP3、IMAP和SMTP协议的内容进行审计，还可以对通过web发送的邮件的内容进行审计，实现了对用户电子邮件内容的全面审计。同时，上网行为管理系统可以根据邮件的特点对邮件的传出内容进行审计过滤，并可以匹配邮件的标题、关键字、内容等特点进行邮件报警，从而从根本上杜绝含有敏感信息的电子邮件的传出行为，以保证铁法能源公司内部网络的信息安全。

4.5 日志审计系统

日志是 IT 系统产生的数据，它记录着设备、操作系统和应用软件的运行状态，是 IT 运 维管理人员和安全管理人员日常运维排查故障的重要依据。

l日志审计系统由管理中心、日志采集器和分布式计算存储节点三部分组成。管理中心是日志收集与分析系统主程序，承担日志收集与分析系统的核心功能。日志采集器用于实现日志采集，并把事件转发给管理中心或分布式计算存储节点。收集方法包括主动收集文件日志、数据库日志、主机日志等，被动接收SNMP trap、syslog等协议包。分布式计算存储节点作用是，当日志数据量非常庞大，单机日志收集与分析系统无法处理海量日志的情况下，分布式计算存储节点可以实现日志分布式计算、存储、查询等功能，系统支持水平弹性扩展。

日志审计系统满足了用户针对日志的集中收集、存储、分析、审计、展示的需求，能够实时不间断地将互联网中来自不同厂商的网络设备、安全设备、数据库系统、操作系统、用户业务系统的日志、警报等信息汇集到审计管理中心，实现对整个网络综合日志进行审计。

日志审计系统可以对收集到的各类日志信息进行实时的规范化和分析，帮助网络安全管理人员快速、准确地从海量日志中识别出安全事件，大大降低了安全管理人员对日志分析和管理的技术能力要求，极大的提高了工作效率。

日志审计系统帮助网络安全管理人员满足安全审计的合规要求，可帮助网络安全管理人员快速出具满足国家法律法规、行业标准的多种合规报表和报告。

5 结  语

综上所述，网络安全防护产品的组合是基于用户IP资源、带宽、应用、时间等要素对铁法能源公司网络进行全面灵活的策略配置，从而将铁法能源公司内部网络风险管理从“被动响应管理”转变为“主动预警管理”，从“预防管理”到“控制管理”，把铁法能源公司内部网络的“通信安全”提升为“应用安全”，从而强有力地保障铁法能源公司网络安全。

作者简介：李向廷（1968—），男，高级工程师。1991年毕业于阜新矿业学院管理信息系统专业，现任大数据运营公司副科长。联系电话：15241005665。