摘 要：本文主要是通過(guò)講述從SEP（Symantec Endpoint Protect）防病毒系統(tǒng)，集團(tuán)SOC（Security Operation Center）監(jiān)控系統(tǒng)，內(nèi)網(wǎng)安全管控系統(tǒng)采集數(shù)據(jù)，從辦公網(wǎng)OA流程系統(tǒng)以及管理界面等接受數(shù)據(jù)，通過(guò)短信中心或通過(guò)對(duì)內(nèi)網(wǎng)IP地址管理，實(shí)現(xiàn)對(duì)安全及病毒信息安全的管理與控制。

關(guān)鍵詞：SEP；SOC；內(nèi)網(wǎng)信息安全

中圖分類號(hào)：TP393.1

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，企業(yè)辦公自動(dòng)化和信息化，提高了辦公效率，創(chuàng)造了更多經(jīng)濟(jì)效益，但隨之而來(lái)的是計(jì)算機(jī)信息安全問(wèn)題也越來(lái)越突出，現(xiàn)在公司有7000多臺(tái)設(shè)備使用內(nèi)部網(wǎng)絡(luò)IP地址，網(wǎng)絡(luò)設(shè)備眾多，訪問(wèn)方式多樣化，經(jīng)常出現(xiàn)終端主機(jī)遭受病毒入侵，內(nèi)部主機(jī)非法訪問(wèn)未經(jīng)過(guò)授權(quán)的集團(tuán)主機(jī)，終端主機(jī)用戶使用撥號(hào)、快帶等方式非法外聯(lián)，內(nèi)網(wǎng)用戶私自未經(jīng)允許在終端上接入移動(dòng)設(shè)備，誤用，濫用、惡用內(nèi)網(wǎng)資源等危害公司信息安全的事件。

1 數(shù)據(jù)處理及設(shè)計(jì)原則

企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏，導(dǎo)致企業(yè)安全政策不能真正得到很好的落實(shí)，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來(lái)巨大的威脅。為了實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)信息管控，通過(guò)采集SEP防病毒，集團(tuán)SOC系統(tǒng)，內(nèi)網(wǎng)安全管控系統(tǒng)及辦公流程及管理界面的數(shù)據(jù)到集中管控系統(tǒng)數(shù)據(jù)庫(kù)，通過(guò)后臺(tái)腳本進(jìn)行發(fā)送三層交換或手機(jī)短信告警處理實(shí)現(xiàn)內(nèi)網(wǎng)信息安全集中管控，通過(guò)對(duì)IP地址資料庫(kù)的管理，實(shí)現(xiàn)對(duì)信息安全威脅的信息處理功能。通過(guò)IP地址分配和回收的流程化，使內(nèi)網(wǎng)的IP地址管理效率和準(zhǔn)確性得到很大的提升。整個(gè)系統(tǒng)數(shù)據(jù)處理過(guò)程見圖1。

圖1

由于病毒和入侵的不確定性和隨時(shí)性，因此數(shù)據(jù)處理要能夠?qū)崿F(xiàn)全天候監(jiān)控集團(tuán)SOC、SEP防病毒系統(tǒng)和內(nèi)網(wǎng)管控平臺(tái)，能夠及時(shí)接受處理流程接口及WEB管理輸入的數(shù)據(jù)。按照規(guī)則定義數(shù)據(jù)處理頻次，提取濟(jì)南公司管轄的出現(xiàn)病毒終端、入侵事件和不經(jīng)允許的安全事件，進(jìn)行預(yù)警短信發(fā)送和按照規(guī)則選擇性的對(duì)出現(xiàn)安全事件的主機(jī)進(jìn)行封堵。

2 結(jié)構(gòu)模塊功能

按照各數(shù)據(jù)處理流程，內(nèi)網(wǎng)信息安全集中管控系統(tǒng)采用根據(jù)數(shù)據(jù)來(lái)源及數(shù)據(jù)處理分為七個(gè)功能模塊，每個(gè)模塊處理不同的數(shù)據(jù)，完成相應(yīng)的功能，通過(guò)后臺(tái)腳本按照自定義規(guī)則處理集中管控?cái)?shù)據(jù)庫(kù)相應(yīng)的數(shù)據(jù)。如圖2。

圖2

3 模塊功能

3.1 SEP防病毒采集模塊。通過(guò)SEP管理端統(tǒng)計(jì)病毒與風(fēng)險(xiǎn)摘要報(bào)告，按照一定頻率通過(guò)web抓取受感染和有風(fēng)險(xiǎn)的計(jì)算機(jī)的報(bào)告，包括已安裝SEP客戶端的主機(jī)信息，包括IP地址，sep狀態(tài)，sep安裝，登錄時(shí)間等，收集周期內(nèi)防病毒軟件防止微機(jī)感染病毒次數(shù)，病毒類型，并將這些信息分揀入集中管控?cái)?shù)據(jù)庫(kù)。

3.2 集團(tuán)SOC監(jiān)控系統(tǒng)采集模塊。通過(guò)集團(tuán)SOC平臺(tái)，按照一定的頻率篩選并記錄濟(jì)南市所轄范圍內(nèi)IP的可疑網(wǎng)絡(luò)攻擊事件、利用漏洞類攻擊以及拒絕服務(wù)的DOS攻擊等入侵攻擊事件，并將這些信息分揀入集中管控?cái)?shù)據(jù)庫(kù)。

3.3 內(nèi)網(wǎng)安全管控采集模塊。通過(guò)內(nèi)網(wǎng)安全管控系統(tǒng)收集信息入集中管控?cái)?shù)據(jù)庫(kù)，采集的信息包括終端用戶屬于哪個(gè)策略組，策略組的權(quán)限，以及實(shí)現(xiàn)的用戶終端外聯(lián)控制，遠(yuǎn)程維護(hù)，外設(shè)控制（U盤，光驅(qū)，軟驅(qū)等移動(dòng)設(shè)備），補(bǔ)丁管理，軟件控制等安全策略。

3.4 OA流程系統(tǒng)接口模塊。通過(guò)辦公網(wǎng)OA統(tǒng)一流程中的“濟(jì)南辦公網(wǎng)IP地址申請(qǐng)和變更”，員工可以進(jìn)行自助IP地址操作。可以申請(qǐng)新IP地址并回收舊IP地址。OA流程中提供的數(shù)據(jù)包括新辦公地點(diǎn)的網(wǎng)關(guān)，公務(wù)手機(jī)號(hào)，辦公位置，MAC等等信息，通過(guò)與辦公流程數(shù)據(jù)庫(kù)的接口導(dǎo)入集中管控系統(tǒng)數(shù)據(jù)庫(kù)中的IP地址資料信息表，實(shí)施對(duì)數(shù)據(jù)庫(kù)資料的更改。

3.5 WEB管理界面。采用IIS WEB服務(wù)對(duì)無(wú)法安裝殺毒軟件的終端以及出現(xiàn)病毒不能進(jìn)行封堵的服務(wù)器實(shí)施白名單等級(jí)管理，提供IP地址臨時(shí)使用管理、對(duì)該系統(tǒng)的用戶權(quán)限等管理、創(chuàng)建后臺(tái)腳本處理處理的各項(xiàng)規(guī)則、根據(jù)三層交換機(jī)loopback地址確定各區(qū)縣分公司三層交換機(jī)各自管理的IP地址段等WEB管理錄入界面。

3.6 WEB頁(yè)面查詢。WEB頁(yè)面提供根據(jù)各種條件的查詢功能以及自動(dòng)工單生成處理狀態(tài)的自助界面，使系統(tǒng)管理界面自助化。通過(guò)頁(yè)面查詢，可以查看哪些IP地址可以使用，系統(tǒng)對(duì)IP地址做了哪些處理，IP地址使用人，IP登錄情況，殺毒軟件安裝等等信息資料。

3.7 后臺(tái)腳本處理模塊。作為系統(tǒng)的核心模塊，對(duì)收集的病毒事件、入侵事件以及不符合要求的管控事件，按照已定義的規(guī)則及白名單原則進(jìn)行短信通知，嚴(yán)重的利用IP地址與MAC地址的綁定技術(shù)，直接進(jìn)行交換機(jī)IP封堵。針對(duì)不同廠家，不同批次的三層交換機(jī)采用不同的工單生成模塊。對(duì)流程申請(qǐng)的，按流程要求進(jìn)行，成功的直接發(fā)短信通知用戶。對(duì)從交換機(jī)采集的IP/MAC地址信息表跟集中數(shù)據(jù)庫(kù)的IP地址資料信息表進(jìn)行比對(duì)，以集中數(shù)據(jù)庫(kù)中資料記錄為準(zhǔn)，防止出現(xiàn)直接通過(guò)更改交換機(jī)資料導(dǎo)致信息不準(zhǔn)的現(xiàn)象。對(duì)于出現(xiàn)異常情況，則通過(guò)查詢頁(yè)面轉(zhuǎn)人工處理。上述所有操作均有日志記錄動(dòng)作，并更新IP地址資料庫(kù)。系統(tǒng)可以統(tǒng)計(jì)全網(wǎng)設(shè)備上的IP地址網(wǎng)段和MAC地址信息并提供WEB頁(yè)面供管理員進(jìn)行查詢，統(tǒng)計(jì)等操作。

通過(guò)對(duì)WEB頁(yè)面的抓取提供了一種解決無(wú)接口外聯(lián)系統(tǒng)數(shù)據(jù)處理的思路，以模擬閱覽器操作的方式獲取外聯(lián)系統(tǒng)的數(shù)據(jù)，并對(duì)其進(jìn)行分揀記錄與處理。通過(guò)對(duì)以上模塊的開發(fā)實(shí)現(xiàn)了終端設(shè)備的管理控制，全面的網(wǎng)絡(luò)準(zhǔn)入控制，以及定制各種策略的，實(shí)現(xiàn)多重的安全防護(hù)。以程序取代人工來(lái)操作網(wǎng)絡(luò)設(shè)備，進(jìn)行對(duì)IP地址的自動(dòng)化操作。通過(guò)與流程系統(tǒng)的集成，讓員工可以進(jìn)行自助IP地址申請(qǐng)。以程序取代人工自動(dòng)定期采集SEP防病毒系統(tǒng)、集團(tuán)SOC監(jiān)控系統(tǒng)和內(nèi)網(wǎng)管控系統(tǒng)的數(shù)據(jù)，發(fā)現(xiàn)有問(wèn)題的主機(jī)，及時(shí)通過(guò)短信通知使用人，嚴(yán)重的及時(shí)進(jìn)行封堵IP地址。為了防止避免封堵重要系統(tǒng)的服務(wù)器，影響業(yè)務(wù)，采取白名單制，實(shí)現(xiàn)只提醒不封堵策略。

4 結(jié)束語(yǔ)

該系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)是從網(wǎng)絡(luò)維護(hù)實(shí)際問(wèn)題出發(fā)，通過(guò)引入自動(dòng)化手段解決問(wèn)題，提高了內(nèi)網(wǎng)維護(hù)的效率和質(zhì)量，提高了企業(yè)信息化安全集中管控的管理水平。實(shí)現(xiàn)網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控響應(yīng)。由于系統(tǒng)全面實(shí)行程序自動(dòng)執(zhí)行，處理效率和質(zhì)量的提高，將員工從重復(fù)性勞動(dòng)中解脫出來(lái)，使之有更多的精力進(jìn)行其他方面的工作。

參考文獻(xiàn)：

[1]杜朦朦.基于網(wǎng)絡(luò)設(shè)備的企業(yè)內(nèi)網(wǎng)安全設(shè)計(jì)[D].安徽國(guó)際商務(wù)職業(yè)學(xué)院，2011.

[2]唐新亭，宋麗華.企業(yè)局域網(wǎng)防病毒體系的研究[D].煙臺(tái)師范學(xué)院，2006.

[3]王學(xué)華，張彬彬.內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2012.

[4]譚健夫.快速綁定IP-MAC地址[J].網(wǎng)管員世界，2007.

作者單位：聯(lián)通濟(jì)南分公司信息化服務(wù)中心，濟(jì)南 250002