由于互联网可以联通到地球的每一个角落,使得无数的人员、企业通过网络形成了一个亦真亦幻的统一体,人们能够通过网络跨越物理世界的壁垒产生快速的、频繁的联系,从而赋予了互联网无限的活力和商机。与此同时,现实世界中的阴暗面也自然而然地反馈到网络世界中来。躲藏在某台终端后面的人可以比其在现实世界中更加肆无忌惮地宣泄不满,由他们制作或传播的病毒以及带有攻击性的恶意代码已经在互联网上如流感病毒一般地传播和泛滥,其破坏性远远大于一个传统意义上罪犯的所作所为。网络信息安全专家认为,当今网络信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节,如何使人们在享受网络带来的便捷和机遇的同时确保网络安全,已是急需解决的问题。 从宏观的数字统计来看,据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计,2005年CNCERT/CC 全年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件共64686件,同2004年全年收到1万3千多件报告的数量相比,2005年网络安全事件报告数量大大增加,这些数字比较直接地反映了网络世界中安全问题正在日益恶化。
某兵器集团作为我国最主要的国有大型企业之一,现有计算机网络于2002年10月建成,在集团的生产和管理中发挥着重要的作用。近年来随着集团公司的业务发展,网络应用的深入,应用领域从传统的、小型的业务系统逐渐向大型、关键业务系统扩展。大部分子系统已接入网络,行业系统数据、监测监控系统数据等都在该网络上传输,整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点的增多、内部网络中存在的安全隐患问题就更加突出,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对自身网络的安全性提出了更高的要求。
虽然该集团前期的网络建设有一定的安全措施,但因为网络复杂性的逐步提高,网络中存在隐患的可能性以及由此产生的危害性也大大提高,因此在网络系统的进一步建设过程中,及时查清网络隐患的必要性就体现了出来。
系统环境
该集团目前的应用主要集中在局域网内,包括科技部局域网.财务部局域网,办公室局域网,以及下面的4个分厂。 网络核心交换机为华为8512,以千兆下联各个分部以及工厂的华为6506交换机,上联NGFW4000-UF防火墙,并划分了多个VLAN,而且有服务器上联核心交换机,均为千兆。
解决方案
显然如此规模网络环境只靠一台防火墙保障安全性是远远不够的,该集团安全方案提供商北京榕基网安根据用户实际网络环境以及应用结合多年的网络安全保护经验,建议在网络中配置一台榕基网络隐患扫描RJ-iTop机架型产品和一台榕基千兆入侵检测系统RJ-IDS产品。任何的网络入侵都源于系统的脆弱性和各种潜在的网络隐患所以评估是第一步,榕基公司的RJ-iTop网络隐患扫描产品主要针对大型网络,其机架式扫描服务软硬件合为一体,具有高度的稳定性,适合部署于网络中心,通过高效且稳定的扫描防护整体网络。该产品支持的的分布式扫描功能,可以方便的在对DMZ区重点防护、扫描的同时对应用网络同样进行扫描,同时提供了Web方式的远程管理,网管不需要改变网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。网管人员可以快捷地进行整个网络的扫描,根据系统提供的扫描报告发现网络中存在的各种系统以及应用漏洞,以便及时修补加固整个网络的安全性。
漏洞扫描产品很好的解决了事前预防的问题,但要进一步控制风险实时监测是必不可少的,这样IDS类安全产品就被引入该安全体系。榕基千兆入侵检测系统RJ-IDS产品通过监听的方式,从网络系统中的关键点收集信息,并采用新一代的入侵检测技术,对收集的信息进行实时检测和分析,及时发现来自网络外部或内部违反安全策略的行为和攻击事件,并可对行为和事件实时记录日志和实时警报。将入侵检测系统部署在网络的入口处,以对可能对内部网络和DMZ发起的攻击和入侵进行实时的检测。
RJ-IDS的探测引擎有管理端口和监听端口,将监听端口接到交换机的镜像端口上,这样探测引擎就可以实时监控到被监听端口的数据流量了,再将探测引擎的管理端口接在交换机的普通端口上,使之能与管理控制台进行正常的通信。
将防火墙相连的交换机端口、重要服务器所连的交换机端口、重要网段的交换机所连的端口设为被镜像端口,这样可以实时监听流经防火墙、重要服务器、重要网段的数据。
将管理控制台接到交换机的普通端口即可,必须要保证管理控制台与探测引擎的管理端口正常的通信。
榕基网安入侵检测系统RJ-IDS在部署一段时间后,技术人员对记录的事件利用RJ -IDS的报表分析系统进行了分析,发现防火墙已经过滤了大部分的非法的网络流量,而对于混杂在合法网络流量中的攻击行为,则被榕基RJ-IDS检测出来并通过与防火墙的联动功能实施了动态阻断。对于个别经常出现攻击行为的IP地址,则将其加入RJ-IDS的黑名单中,拒绝该IP地址访问WEB服务器。榕基网安入侵检测系统RJ-IDS结合防火墙,取得了较好的防护效果,完全满足了网络安全需求,大大的降低了其网络的安全风险。
通过使用榕基网络隐患扫描设备,使得该集团的信息网络处于一个严密的安全防范系统保护之下,同时对于其数据网络的正常使用无任何影响。通过对信息中心和下属单位的网络管理员进行技术培训,对如何使用漏洞扫描设备,扫描出的结果如何处理,网络的各种设备上出现漏洞应该如何解决,网络管理员都已经有了很好的掌握,完全可以随时正确处理网络运行中出现的各种安全问题。通过此次合作,双方共同为大型复杂网络的安全防范树立了一个样板,对其他重要的网络具有借鉴和参考价值。
此次榕基的网络安全策略在该集团的实施,为企业中网络隐患扫描系统的建立和应用树立了一个典范,事实表明,只要经过仔细调查研究拟订恰当的方案,大型企业中复杂的网络系统同样可以实现对网络隐患的及时发现和清除。新系统运行后,通过管理人员和榕基企业技术人员的共同努力,通过日志分析、防火墙以及其他安全措施成功阻挡了多次攻击行为,成功避免了由于网上失密、泄密、窃密造成的各种损失。