网络安全建设之易管理才是真安全

　　6年前，当刘涛刚开始从事网络安全的工作时，他对网络安全还没有什么认识。当时，天津市烟草专卖局（以下简称天津烟草）的网络还没有建设起来，计算机除了用来打打字，基本上没有其他的用途，计算机安全也仅仅仅限于单机防病毒。刘涛说：“网络建设起来后，就明显感觉到了网络安全的重要性和紧迫性。”

　　天津烟草的网络安全建设分为3个阶段。第一阶段是保证市局和下属分公司的局域网安全；第二阶段是在各个分公司的出口处加装防火墙，统一市局和分公司的网络版防病毒产品；第三阶段的网络安全建设正在进行中，目标是建成天津烟草IT综合运维管理平台。

　　身为天津市烟草专卖局经济信息中心网络通讯科科长，刘涛是局里唯一的专职安全管理员。当刘涛忙不过来的时候，其他同事会做一些协助的工作。

　　解决两大威胁

　　为了保证网络安全，天津烟草采购了大量的网络安全设备，包括：防火墙、IDS、防病毒软件、VPN、IPS、漏洞扫描、终端安全管理产品等等，几乎市场上主流的安全产品都可以在天津烟草看到。刘涛说：“我们应用这些安全产品的目的，就是要在最短时间内把各种威胁所造成的损失降到最低。”

　　天津烟草的安全设备有一个特点，除了防病毒采用的是趋势科技的产品，其他产品几乎都是国产品牌。刘涛说：“国内比较新的安全产品天津烟草基本上都有。”在记者采访过的行业用户中，如此大规模采用国内安全产品的用户十分少见，而天津烟草不但用了，而且效果还很不错。可见国产产品已经具备了和国外产品面对面竞争的实力，而广大用户应该对国产安全产品有更多的信心。

　　据刘涛介绍，天津烟草面临的安全问题主要有两类。

　　第一类是病毒。比较典型的事例是，天津烟草曾经遭到“熊猫烧香”病毒的攻击。当时的解决方案是：先把其他设备从网络中断开，对核心设备和系统（包括与国家局通信的办公自动化系统、核心Windows服务器系统）进行手工杀毒。当时终端安全管理系统还没有部署，不能自动将出现病毒异常流量的设备从网络中断开，所以只能先保核心业务，然后对单台PC进行手工杀毒，共处理了一百多台PC。最终，核心业务系统还是通过杀毒软件的升级才彻底摆脱了病毒的困扰。

　　第二类是来自内部的安全威胁。来自内部的安全威胁是安全管理的核心问题。天津烟草网络中的客户机数量很多，由于每个计算机使用者的素质不同，经常有人不遵守安全管理规定，从而引发安全问题，给网络安全管理带来了很大的压力。刘涛说：“面对这种情况，我们决定引入终端安全管理产品。今年我们部署了终端安全管理产品和趋势科技的NVW防毒墙，效果很好。”像前两年发生的大规模病毒爆发事件，现在已经不会发生。有些PC如果染上病毒，即使是未知病毒，只要发出异常流量，终端安全管理产品直接就可以将该PC从网络中断开。

　　终端安全管理产品大大减轻了安全管理人员的工作量，同时大幅度提升了工作效率。现在，安全管理员再也不用每天忙于处理各个PC的安全问题。

　　终端安全管理产品和防病毒软件配合使用，能够取得更好的安全效果。比如，天津烟草有一条严格的安全策略是：在所有的终端中，如果没有安装趋势科技杀毒软件，都不允许进入网络。即使是外来的机器，也必须安装趋势科技的杀毒软件。

　　刘涛说：“买NVW的目的是在网络层防御病毒。”ARP病毒就曾经让刘涛烦恼过。ARP地址欺骗类病毒是一类特殊的病毒，其属于木马病毒，不具备主动传播的特性，不会自我复制。但是其发作的时候会向全网发送伪造的ARP数据包，通常会造成网络掉线，或者网络连接正常，但内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

　　刘涛表示，安装了NVW防毒墙之后，ARP病毒再也没有出现过。

　　NVW有很强的管理功能，比如和趋势科技杀毒软件的配合，没装趋势科技杀毒软件的PC就不能上网。刘涛认为，NVW在某些方面和终端安全管理产品的功能有些重叠，但不能因为有重叠了就忽略它，不使用它，天津烟草看重的是NVW所提供的终端安全管理产品不具备的功能，实现多层防御。从应用情况看，NVW对网络层面病毒的防范还是很有效果的。

　　刘涛说：“多种安全产品所组成的防御体系，可以让安全管理员迅速解决问题，而不是等病毒大面积爆发时才注意到这个问题。”

　　网络中的异常流量也是安全的大敌。天津烟草之所以考虑引入异常流量分析和IPS，就是因为网络中经常有人不遵守管理规定，比如使用BT下载电影，导致流量剧增，影响网络性能。对异常流量必须进行控制而且要迅速解决。使用异常流量分析系统只能对网络中的流量进行分析，实际解决还要靠NVW和IPS。IPS尤其适合限制BT流量。

　　刘涛认为，现在的安全问题比较多而且比较棘手，单靠某一方面的产品无法彻底解决问题，必须有几款产品相互配合，才能达到理想的处理效果。

　　化繁为简靠管理

　　随着安全产品的逐渐增多，天津烟草的网络安全防御体系变得越来越完善。然而，越来越多的安全产品也让刘涛感到了一丝困惑：每个安全产品的工作状态是什么样，它们协同工作的效果到底怎么样呢？

　　由于这些安全产品各自的管理界面不同，每台设备的日志分析让用户看得眼花缭乱，根本没有时间真正了解设备所发挥的作用。这样的管理现状必须进行改善，必须对众多的安全产品进行统一的管理。

　　刘涛想到了SOC（安全运营中心）。如果能把SOC做好，天津烟草的安全管理水平将大大提升，达到一个理想新的阶段。在对SOC项目招标时，天津烟草清楚地提出了自己的要求：必须能够对各厂商安全产品进行综合管理。通过激烈的竞争，东软最终在天津烟草的SOC项目中胜出。

　　东软针对天津烟草的需求专门开发了SOC平台。刘涛说：“这个SOC平台的名字叫做‘天津烟草IT综合运维管理平台’。现在是初步建设阶段，平台计划在今年9月份上线。从前期的功能演示看，平台的管理效果完全达到了我们的期望值。”

　　在SOC平台的主页面上显示了网络设备的运行状况，包括带宽的流量。SOC平台实现了对安全产品的管理和监控，包括：安全产品状态异常监控、安全流量监控、日志统一分析等等。SOC平台最核心的部分是安全产品的统计报表。各个安全产品的统计分析规则是不一样的，而SOC平台对其进行统一整合，展示给用户的是全面的安全分析报告。SOC平台根据日志分析，将风险报告提交给用户，并提示用户，用户则根据风险报告采取相应的动作。

　　SOC平台的核心是对安全产品的管理，对网络产品只是进行监控和简单的管理。天津烟草最初对SOC平台的设想仅仅是对安全产品的管理，后来在分析需求时，又加上了对网络设备、小型机和服务器的管理。

　　烟草行业内的信息中心之间一直有交流沟通。在准备上马SOC之前，天津烟草也对其他省市烟草公司的类似平台进行了考察。这些平台虽然也叫作安全运维管理平台，但是从严格意义上来说并不能称之为真正的SOC。有些平台针对内网管理做的好，但对安全产品和网络产品的智能分析和日志统计做的不好；有些平台在网络管理方面做的较好，但对安全产品的管理则做的一般。刘涛说：“天津烟草SOC平台的亮点是对安全产品和网络产品的管理兼顾，功能是比较全面的。”现在，已经有不少其他省市准备在天津烟草SOC平台建成之后前来参观交流。东软也将把为天津烟草专门开发的SOC平台作为东软在烟草行业的开发样本。

　　刘涛说：“天津烟草的安全建设走到今天，可以说是一个水到渠成的过程。这几年我感受最深的就是：用户真正关心的是，能坐在计算机前面轻松解决问题，而不是出现问题后要挨个排查。所以，不管安全产品有多少，最终还是会回归到管理上，安全产品必须可管理性和易管理。我希望安全厂商在产品在智能化方面能够做得更好更完善。”