某移动公司OA系统ISS网络安全“动态威胁防护”解决方案

　　项目背景

　　随着信息化程度的不断提高，极大促进了电信事业的发展，但随之而来的却是日益突出的网络信息安全问题。由于网络结构、应用系统、网络应用人群的复杂性相应增加，如何保障网络安全成为不可避免的重大问题。在电信网中，无论是有意的攻击，还是无意的误操作，都将会给信息系统带来不可估量的损失。面对计算机网络中的种种安全威胁，必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。在电信网中，应防患于未然，如待出了安全事故，亡羊补牢，恐怕为时已晚。根据网络安全评估与入侵检测软件的实际测试情况显示，一个没有安全防护措施的大型网络，其安全漏洞可达1000个左右，面临的威胁攻击更是多达2000多种。目前的网络中虽然采用一些安全产品，有一套安全制度，但由于各种客观和主观的原因，仍然存在种种安全上的问题。同时，由于网络的安全状况随着时间变化而变化，因此在进行全网安全规划时，除合理的使用和配置各种网络信息安全软、硬件产品外，相配套的定期评估检测和后续的专业安全服务也越来越受到重视。

　　网络现状

　　XX省移动OA网络，根据信任域可以划分为三段：外部互联网区、服务器区和省公司内部局域网区，对XX移动电信系统的安全保护可分为：对移动网应用服务系统的保护、在网络边界实施保护，以及省局域网的安全防护。本安全方案针对的重点目标是应用服务系统，如Web、DNS、Mail服务器，省中心局域网的安全防护和漏洞评估系统的部署。

　　移动网OA系统应用服务系统是指省中心核心局域网的服务器群，该系统承担着XX省移动的重要服务系统，是安全工作的重点。对核心系统的保护主要应从以下几个方面入手。

　　在进行网络安全规划时，网络自身的安全考虑往往容易被忽视，为入侵者利用。实际上，很多攻击可以通过安全的网络设计和配置加以避免和消除。

　　XX移动内部应用服务系统局域网拓扑如上图所示，Web服务主机、SQLServer服务主机、SMTP以及域服务器是通过多层交换机进行业务隔离，而所有移动公司内网和外网利用防火墙的状态检测功能执行严格的逻辑访问控制策略，实现对数据核心层资源的严格访问控制。

　　省公司局域网与业务服务器之间没有真正的网络边界安全隔离措施，只是通过三层交换机的VLAN功能划分不同网络区域。

　　安全隐患

　　移动公司OA网络中存在以下一些方面的隐患：

　　隐患一：安全防护首先要考虑的就是边界安全问题。在OA系统的边界目前部署的是一台防火墙和路由器，除此之外，由于OA系统没有部署深层安全检测和防护产品，再加上用户在配置这些静态安全防护设备的时候容易出现一些安全漏洞，直接造成外网非法用户甚至黑客利用防火墙开放的公共服务或其他漏洞进入内网对内部主机服务器等系统或利用省中心OA系统内部路由到地市分公司OA系统网络造成威胁。

　　隐患二：网络结构没有考虑到来自内部的攻击风险。在该网络结构中，各种数据库服务器、应用服务器、网管工作站等重要的服务器和主机都是通过交换机直接与各部门的办公子网连接的，内部好奇的员工对这些服务器可以很容易实施攻击。虽然在交换机上可以通过配置提供一些安全保证，但其强度是不足的。现在的黑客攻击工具在网络上泛滥成灾，任何一个稍微具备计算机操作能力的人员都可利用这些工具进行探测攻击。同时，内部员工往往对内网中的一些敏感信息（如财务/邮件等）更感兴趣，更容易发生攻击行为，而且内部攻击成功概率远远高于来自于Internet的攻击，造成的后果也更为严重；省中心局域网与外部OA公共网之间，上面图中右面部分的服务器区与外部OA公共网之间均未部署安全防护产品（防病毒、防蠕虫、内容过滤、防垃圾邮件等功能的产品），很可能造成省中心局域网用户在接收Internet网邮件，上网访问等对外部访问时造成一些不必要的数据进入局域网内部，也无法限制一些员工利用工作时间对外部与业务无关的Web站点的访问；另外，OA内部的服务器区也有可能会被来自外网之外的其他区域如省中心局域网用户或地市分公司OA系统用户造成潜在的攻击。

　　隐患三：省中心局域网内网安全没有考虑，有可能造成来自内部用户对本局域网内其他的主机资源的窥探，系统破坏等。

　　隐患四：服务器区的服务器群本身没有考虑到主机级的防护，由于这些服务器本身要对外发布各种服务（Web,DNS,Mail,OA）等，因此，一旦网络级安全防护系统有一点疏漏，都可能导致主机系统会被攻克，遭到破坏。

　　隐患五：整个省移动OA系统目前还停留在通过人的经验和手工检测，来判断是否有网络和系统的各种配置漏洞的层面，这种情况容易造成各种网络、系统或应用级漏洞的漏报，而这些漏洞正是导致系统会被攻击的根本原因。

　　隐患六：整个OA办公系统目前用户端PC机只部署了桌面级防病毒软件，但针对当前网络安全威胁混合式攻击的特征（包括蠕虫病毒、木马等），仅仅是桌面级防病毒软件已经无力进行阻断、拦截这些攻击。

　　另外，移动公司网络安全方面还存在以下一些问题：

　　1. 缺乏动态威胁防护管理中心，不能实时检测网络受攻击情况和网络中存在的漏洞，并集中产生安全趋势报告；

　　2. 缺乏专职安全管理人员，如表现在网络设备、服务器、数据库等账号、口令策略要定期调整，以免系统被不法用户（来自内部或外部）侵占和破坏；

　　3. 安全管理策略与制度需要进一步完善，如存在内部人员私自拨号上网的可能，这样可能导致企业的内部信息外泄，实施旁路攻击等。

　　网络安全需求

　　根据对XX移动网络的全面安全风险分析，可以得出移动网存在如下安全需求：

　　基础网络平台安全需求

　　网络运行的安全需求：网络的整体结构和路由必须进行优化，对有实时性服务要求的网络设备、服务器必须采用UPS不间断稳压电源，且重要服务器和关键网络设备采用双机热备份，采用专用设备对网络线路状况不定期检测，保证整个网络平台的运行安全。

　　操作系统的安全需求：对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些关键文件(如UNIX下：/.rhost、etc/host、passwd、shadow、group等)使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。

　　安全管理体制的需求：安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高，行为的约束只能通过严格的管理体制，并利用法律手段来实现。因此必须在各级部门内根据自身的应用与安全需求，制定安全管理制度并严格执行，并通过安全知识及法律常识的培训，加强整体员工的自身安全意识及防范外部入侵的安全技术。

　　外部网安全需求

　　访问控制安全需求：将移动公司网络的主机、服务器与相关管理业务部门网络进行隔离控制，限制外网非法用户服务请求，使非法访问在到达主机前被拒绝；对外网合法用户对内部不同子网访问进行适当的限制；内部不同业务子网访问实行部分开放原则；记录各种进出访问行为。

　　通信保密需求：一些重要通信要通过公网进行信息传输，存在信息被窃取、篡改、伪造、删除的危险，必须加强传输中的信息加密，而且因领导、单位、部门相应的职权范围不同，因此要按密级要求建立相应的身份认证、密钥和密码的管理、密文信息传输系统，保障机密信息不被无关人员窃取。

　　入侵检测与防护的安全需求：仅在访问控制上做一些设置是远远不够，因为它是静态和被动的，而网络安全是动态的、整体的，黑客的攻击方法有无数，不可能完全防止这些有意或无意的攻击。必须配备入侵检测与防护系统，对外网的攻击进行检测并做相应动作（记录、报警、阻断）。

　　安全评估需求：网络系统存在安全漏洞（如安全配置不严密等）、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞，对扫描结果进行分析审计，并采取相应的措施填补系统漏洞，对网络设备等存在的不安全配置重新进行安全配置。

　　数据保护安全需求：移动公司网络的应用服务器系统多、应用复杂，对服务器的数据保护成为首要问题，防止病毒侵袭、服务器数据的篡改、机密信息的泄露成为数据安全的三大需求。

　　内部网的安全需求

　　关键服务器的安全保护需求：在移动公司网络内存在着各种应用的关键服务器，因此在关键服务器的保护是非常重要的，建议在关键服务器的保护上应具有严格的主机安全审计和服务器入侵保护。

　　公开服务器安全需求：移动公司网络中心有专用对内外发布相关业务信息的公开服务器，直接面向互联网提供咨询服务，尤其是对外应用较多的WEB\MAIL\DNS服务器，因而对服务器的保护是非常必要的。

　　数据库的安全：移动公司网络中心的数据库存放了各种信息业务的大量数据，对数据库系统的安全防范和数据的安全存放以及备份恢复是数据库安全需要重点考虑的问题。

　　内外网及子网访问控制:不同应用域应按照安全级别对相互间的访问实施授权控制,保证重点用户和子网对资源的合法访问请求,杜绝非法用户对资源的占用。

　　桌面级安全需求：对桌面级PC用户要通过个人防火墙和IPS来实现对混合式攻击的检测和阻断。

　　方案设计目标

　　加强信息系统安全是为了保证信息、网络及主机资源的完整性、可用性、安全保密性、可恢复性、高效性。

　　完整性：尽量不影响原网络拓扑结构、便于系统结构和功能的扩展；不降低网络信息系统原有的性能特点。

　　防护的前瞻性：尽可能地在攻击到来之前对网络进行防护。

　　可用性：保证系统合法用户在需要时可以取到所需数据，防止计算机资源和数据被非法独占。

　　安全保密性：保证本系统重要的数据不被篡改，保证本系统的重要信息及秘密不被窃取。

　　可恢复性：当系统意外毁坏后，数据可由灾难恢复系统及时恢复。

　　高效性：易于自动化管理，便于操作和维护，具有较好的性能价格比。

　　网络安全方案建议与产品部署

　　本方案采用美国ISS公司的前瞻“动态威胁防护”解决方案和产品。ISS是深受信赖的网络安全产品和安全智能供应商，拥有10年在该领域内的经验与积累。

　　在技术实力方面，ISS提供覆盖网络、服务器、桌面的企业级全面保护平台，并由业界顶尖的X-force研发组织提供实时更新。ISSX-force研发组织是世界网络信息安全领域中最大的R&D组织。1998至2003年，多达53％的高危险等级的安全建议由X-force研发组织发布的。ISS前瞻性地发现易受攻击点，并更新产品以防止任何未知的，利用漏洞发起的的攻击。这一防护过程在攻击开始前完成的，因此，这是一种预先防御，也称为前瞻性威胁防护,动态威胁防护。升级的组件被称为X-PressUpDate，核心防护能力以VirtualPatch 虚拟补丁得以体现。

　　大多数网络信息安全公司只能在攻击出现后才被动地更新其产品供给特征库和漏洞评估库，因为如果没有攻击出现，就没有能力发现任何攻击模型，从而无法更新其产品。但对客户而言，在攻击开始后才更新其安全产品，实在是太迟了。

　　在行业网络安全防护的实际应用中，目前全球10大电信公司都部署ISS的网络安全产品作为入侵防护和漏洞评估的工具，构建企业动态威胁防护体系。国内的绝大多数电信公司也都大面积部署ISS网络安全防护产品。

　　依据中软国际对该移动公司OA系统网络安全改造，并针对用户需求的分析和理解，并结合中软国际在国内外电信、IDC等高端领域的实际经验以及对ISS公司安全产品、技术和理念的深刻理解，我们为该移动OA系统提供了一整套网络安全“动态威胁防护”解决方案。该方案将为该移动公司OA系统提供一个完整的、可扩展的、先进的动态威胁防护架构，这一基础架构完全满足用户对电信级安全系统的需求。

　　请参考下图，中软国际公司建议的移动OA系统“ISS动态威胁防护系统”部署情况：

　　上图中的核心部分主要由ISS公司的网关边界防护系统(ISSProventiaM30)、网络入侵防护系统(ISSProventia G200)、网络入侵检测系统（Proventia A201）、主机入侵防护系统(ISS Server Sensor)以及漏洞评估类(Internet Scanner /System Scanner /Database Scanner)产品提供整体的动态威胁防护解决方案。

　　针对隐患一的威胁防护部署：ISS推出的入侵防护系统(IntrusionPreventionSystem,IPS)Proventia G系列，可自动阻挡已知或未知的攻击事件，包含DoS阻断服务攻击，木马程序，以及最近流行的MS Blast蠕虫等攻击。Proventia G在不影响网络效能之下，对于各种网络威胁使用先进的阻断技术，精准的判断网络封包是否安全，降低误判率阻绝具有威胁性的封包。尽可能避免没有必要的数据进入系统。大大降低了网络安全隐患。相较于其它IDP类产品只能侦测阻绝已知的攻击，Proventia G不论是已知或未知的攻击，皆能提供高效防护，保护用户的信息安全。建议在外网防火墙后部署一台G200入侵防护系统，能够直接将各种网络攻击（包括TCP/IP层和应用层攻击）、蠕虫、非法访问、畸形可疑数据包阻挡在移动OA系统网络之外。

　　针对隐患二的威胁防护部署：在服务器区与OA外部公共区域之间部署ISS公司的综合防护系统ProventiaM30，该产品能够通过将防火墙、虚拟专用网络（VPN）、反病毒网关、内容过滤、反垃圾邮件、漏洞检测技术集于一体，Proventia?MSeries能够取代多种单一功能的安全产品，为企业提供低成本的安全保护。通过基于威胁与攻击安全智能管理的X-Force? 研究及发展组织，M Series装置能够阻止病毒、蠕虫及黑客攻击，同时允许合法通信不受阻碍地通行。与SiteProtector?企业管理平台相同，Proventia? M Series同样内置X-Force安全智能，向企业提供无须安全管理专家参与的简单化的控制与管理能力。

　　针对隐患三的威胁防护部署：在省中心局域网内部署一台ISS公司的网络入侵检测设备ProventiaA201，A201入侵检测系统能够检测到200M全双工的网络流量，实现对网络边界的实时监控，自动检测可疑行为，分析、追踪的入侵信号。最多能够监测到超过2000种的已知网络和应用层的攻击行为以及各种未知类型的攻击。（具体部署实现方式为通过交换机上的端口映像网段数据包流量或tap方式）

　　针对隐患四的威胁防护部署：在重要服务器上，如WEB、MAIL、DNS等服务器上分别安装ServerSensor主机入侵防护系统。用于检测和阻断针对服务器的各种网络层和应用层的非法访问和攻击，同时也可以利用访问控制列表实现针对被保护服务器的访问控制以及基于主机系统的各种操作的安全审计。

　　针对隐患五的漏洞评估部署：采用ISS公司提供的网络/主机/数据库评估工具（IntenretScanner、SystemScanner、DatabaseScanner）对服务器区的各种要服务器定期进行基于网络层、系统层和应用层的漏洞评估，并生成详细的漏洞报告，按照报告中的漏洞修补建议结合实际应用环境进行漏洞修补和安全风险趋势分析。

　　针对隐患六的威胁防护部署：在局域网用户的PC桌面安装ISS公司的RealSecureDesktopProtector桌面安全防护产品，该产品能够有效地针对各种非法访问、蠕虫、后门等进行拦截，确保用户桌面级安全性。

　　另外，针对上述各种安全产品，ISS公司专门提供了多级构架的综合安全管理平台RealSecure SiteProtector，将上述所有产品均可集中管理，包括事件综合汇集、综合事件分析、产品集中分组策略分发、数据同步、安全规则升级等，真正意义地实现对ISS所有安全产品的综合集中管理，同时它还能够通过TPM第三方模块，管理主流的第三方安全产品如CheckPoint防火墙和CISCOPIX防火墙。因此建议，在移动OA的省网络安全管理局域网内，配置一套安全综合管理平台RealSecure SiteProtector,用于管理所有在本项目中部署的各类ISS网络安全产品，包括漏洞评估类产品和入侵检测防护类产品。

　　通过上述ProventiaA/G和ServerSensor的部署，用户可以对全部应用服务器的子网作完整监控，同时也可以实现服务器级的安全事件监控，一旦发现有非法访问、预探测攻击、网络攻击、蠕虫攻击、代码攻击等事件，均会被部署的这些产品发现，然后将事件实时传送到控制台上并显示，同时也可以通过SiteProtector控制台预先设置其它的IDS/IPS响应方式来通知用户，如发送邮件。ServerSensor 的访问控制列表功能和基于主机的阻断功能，能够有效地阻挡逃避了网络入侵检测系统的攻击，从而起到第三层网络安全防护的作用。

　　针对用户系统没有专门的安全管理人员的情况，应该对用户网络管理人员进行足够的安全系统知识培训，包括安全产品和技术方面的灌输，并建议用户指定专人负责网络安全系统的管理和维护工作。

　　针对用户内网安全管理松散的局面，中软国际可以提供完善的内网安全管理策略建议，以确保安全管理制度的贯彻执行。

　　方案特点

　　利用动态威胁防护体系和被动防御体系实现协同防护

　　通过入侵检测与防护系统和多层面的漏洞扫描评估系统（动态威胁防护体系），与多功能安全网关（被动防御体系）的互动，实现“动态威胁防护和被动防御”的结合。对在某XX移动集团内部发起的攻击和攻破了防火墙第一道关卡的黑客攻击，可以依靠入侵检测与防护系统阻断和发现攻击的行为，同时通过与多功能安全网关的互动，自动修改策略设置上的漏洞不足，阻挡攻击的继续进入。而且一旦外部网络防护系统不能发现遗漏的攻击，主机入侵防护系统作为最后一道防护系统也会针对对内网服务器的各种攻击、非法访问进行检测和拦截，这样大大增强了安全防护的前瞻性。

　　本方案在外网交换机上连入ISS的入侵检测系统Proventia?G200,并将其串接成inline模式，部署在外网防火墙后，用于检测和阻断非法攻击。并在统一安全管理平台Siteprotector的控制台上观察检测结果，并形成报表，打印。

　　“漏洞扫描评估系统”是一种网络维护人员使用的安全分析工具，能够主动发现网络系统中的漏洞，协同修改多功能安全网关和定制入侵检测与防护系统中策略设置，防患于未然。

　　ISS动态威胁防护体系

　　防护体系通过结合以下三个关键要素得以实现：

　　1、世界领先的ISS安全智能防护引擎：保证防护过程中的高速与精确度；

　　2、业界领先的防护技术：利用ISS统一防护引擎和统一安全管理平台，对覆盖网络、服务器、桌面和应用程序等多层面的攻击进行实时检测、拦截和响应；

　　3、简单易用的ISS防护过程：确保对已知攻击和未知攻击提供前瞻性的防护。

　　通过在企业网络中的整体规划和部署，在降低成本、时间，安全风险等多方面，动态威胁防护体系拥有巨大的可实践性。

　　被动防御体系

　　被动防御体系在利旧原有防火墙的基础上，部署ISS公司的多功能安全网关(Firewall+IDS+VPN)Proventia?M产品。

　　在服务器区、省中心局域网区与OA内公共网之间，部署多功能安全网关Proventia?M是必须的。主要起到对外防止黑客入侵，对内进行访问控制和解决授权员工从专网安全接入的问题，Proventia?MSERIES在这里主要发挥防火墙和入侵检测的双重作用。

　　1) 保障内部局域网不受来自外网与专网的黑客攻击，主要担当防火墙和入侵检测功能；

　　2) 能够根据需要，让内网为专网用户提供访问所需服务，如：Web，Mail，OA等服务；

　　3) 对专网用户访问内网应用系统提供灵活的访问控制功能。如：可以控制任何一个来自分公司的员工能否连内网，能访问哪些应用系统，能不能收发email、ftp等，能够在什么时间上网等等。简而言之，能够基于“六元组”【源地址、目的地址、源端口号（即：服务）、目的端口号（即：服务）、协议、时间】进行灵活的访问控制。

　　授权的内部员工当出差在外时，可以在外地拨内网的拨号服务器，然后使用“多功能安全网关客户端软件”，通过加密隧道从外部安全方便地接入中心的内网。

　　采用集中分布式式的安全管理构架

　　利用SiteProtector统一管理全网的安全策略（包括：安全网关、入侵检测、防护系统和漏洞扫描评估系统等），作到系统安全的最优化。SiteProtector不仅能够针对这些ISS公司的各种安全产品进行集中事件收集、策略下发、规则升级、数据同步等操作，还能够利用它自带的安全关联分析模块对各种收集到的数据进行关联性分析，以利于判断攻击事件的成功与否。同时，它还能够利用第三方模块来管理其他一些安全产品如CISCOPIX防火墙。

　　实现了前瞻性威胁防护

　　通过在各安全防护产品中部署“虚拟补丁”功能，企业不必在每一个安全补丁刚刚发布时仓促应战，被动地进行补丁管理，而是得到一个充足的缓冲时间，由ISS的动态防护体系从网关和服务器层面结合最新的XPU,实现实时的基于漏洞的入侵攻击阻断，使用户可以在对各类安全补丁进行充分应用系统测试之后，再进行稳妥地补丁加固。

　　由最近蠕虫病毒发作的时间进程，我们可以感受到ISS主动防御体系的强大作用：

　　采用多级安全威胁防护构架

　　在本方案中，从网关级到、网络级、主机级和桌面级安全防护产品均进行了部署，考虑到了网络安全各个环节可能出现的隐患和各个层面的安全需求和部署，真正意义上解决了移动公司OA系统整体的安全防护问题。

　　整体ISS网络安全“动态威胁防护”产品选型与配置

　　网络安全产品选型：

　　系统漏洞扫描评估系统：ISS系统漏洞扫描评估系统System Scanner；

　　网络漏洞扫描评估系统：ISS网络漏洞扫描评估系统Internet Scanner；

　　数据库漏洞扫描评估系统：ISS数据库漏洞扫描评估系统Database Scanner；

　　网络入侵防护系统：ISS Proventia G200；

　　网络入侵检测系统：ISS Proventia A201；

　　主机入侵防护系统：ISS RealSecure Server Sensor；

　　安全集中管理平台：ISS SiteProtector；

　　多功能安全网关系统：ISS M30；

　　桌面级安全防护产品：RealSecure Desktop Protector；

　　配置列表

　　类别产品型号数量

　　1、系统漏洞评估系统SystemScanner14

　　2、网络漏洞扫描评估系统InternetScanner14

　　3、数据库漏洞评估系统DatabaseScanner2

　　4、网络入侵检测系统ProventiaA2011

　　5、主机入侵防护系统RealSecure

　　ServerSensor14

　　6、安全集中管理平台SiteProtector2.0SP41

　　7、网络入侵防护系统ProventiaG2001

　　8、多功能安全网关ProventiaM302

　　9、桌面防护系统RealSecureDesktopProtectorN