摘 要:本文主要是通過(guò)講述從SEP(Symantec Endpoint Protect)防病毒系統(tǒng),集團(tuán)SOC(Security Operation Center)監(jiān)控系統(tǒng),內(nèi)網(wǎng)安全管控系統(tǒng)采集數(shù)據(jù),從辦公網(wǎng)OA流程系統(tǒng)以及管理界面等接受數(shù)據(jù),通過(guò)短信中心或通過(guò)對(duì)內(nèi)網(wǎng)IP地址管理,實(shí)現(xiàn)對(duì)安全及病毒信息安全的管理與控制。
關(guān)鍵詞:SEP;SOC;內(nèi)網(wǎng)信息安全
中圖分類號(hào):TP393.1
隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,企業(yè)辦公自動(dòng)化和信息化,提高了辦公效率,創(chuàng)造了更多經(jīng)濟(jì)效益,但隨之而來(lái)的是計(jì)算機(jī)信息安全問(wèn)題也越來(lái)越突出,現(xiàn)在公司有7000多臺(tái)設(shè)備使用內(nèi)部網(wǎng)絡(luò)IP地址,網(wǎng)絡(luò)設(shè)備眾多,訪問(wèn)方式多樣化,經(jīng)常出現(xiàn)終端主機(jī)遭受病毒入侵,內(nèi)部主機(jī)非法訪問(wèn)未經(jīng)過(guò)授權(quán)的集團(tuán)主機(jī),終端主機(jī)用戶使用撥號(hào)、快帶等方式非法外聯(lián),內(nèi)網(wǎng)用戶私自未經(jīng)允許在終端上接入移動(dòng)設(shè)備,誤用,濫用、惡用內(nèi)網(wǎng)資源等危害公司信息安全的事件。
1 數(shù)據(jù)處理及設(shè)計(jì)原則
企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏,導(dǎo)致企業(yè)安全政策不能真正得到很好的落實(shí),開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來(lái)巨大的威脅。為了實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)信息管控,通過(guò)采集SEP防病毒,集團(tuán)SOC系統(tǒng),內(nèi)網(wǎng)安全管控系統(tǒng)及辦公流程及管理界面的數(shù)據(jù)到集中管控系統(tǒng)數(shù)據(jù)庫(kù),通過(guò)后臺(tái)腳本進(jìn)行發(fā)送三層交換或手機(jī)短信告警處理實(shí)現(xiàn)內(nèi)網(wǎng)信息安全集中管控,通過(guò)對(duì)IP地址資料庫(kù)的管理,實(shí)現(xiàn)對(duì)信息安全威脅的信息處理功能。通過(guò)IP地址分配和回收的流程化,使內(nèi)網(wǎng)的IP地址管理效率和準(zhǔn)確性得到很大的提升。整個(gè)系統(tǒng)數(shù)據(jù)處理過(guò)程見圖1。
圖1
由于病毒和入侵的不確定性和隨時(shí)性,因此數(shù)據(jù)處理要能夠?qū)崿F(xiàn)全天候監(jiān)控集團(tuán)SOC、SEP防病毒系統(tǒng)和內(nèi)網(wǎng)管控平臺(tái),能夠及時(shí)接受處理流程接口及WEB管理輸入的數(shù)據(jù)。按照規(guī)則定義數(shù)據(jù)處理頻次,提取濟(jì)南公司管轄的出現(xiàn)病毒終端、入侵事件和不經(jīng)允許的安全事件,進(jìn)行預(yù)警短信發(fā)送和按照規(guī)則選擇性的對(duì)出現(xiàn)安全事件的主機(jī)進(jìn)行封堵。
2 結(jié)構(gòu)模塊功能
按照各數(shù)據(jù)處理流程,內(nèi)網(wǎng)信息安全集中管控系統(tǒng)采用根據(jù)數(shù)據(jù)來(lái)源及數(shù)據(jù)處理分為七個(gè)功能模塊,每個(gè)模塊處理不同的數(shù)據(jù),完成相應(yīng)的功能,通過(guò)后臺(tái)腳本按照自定義規(guī)則處理集中管控?cái)?shù)據(jù)庫(kù)相應(yīng)的數(shù)據(jù)。如圖2。
圖2
3 模塊功能
3.1 SEP防病毒采集模塊。通過(guò)SEP管理端統(tǒng)計(jì)病毒與風(fēng)險(xiǎn)摘要報(bào)告,按照一定頻率通過(guò)web抓取受感染和有風(fēng)險(xiǎn)的計(jì)算機(jī)的報(bào)告,包括已安裝SEP客戶端的主機(jī)信息,包括IP地址,sep狀態(tài),sep安裝,登錄時(shí)間等,收集周期內(nèi)防病毒軟件防止微機(jī)感染病毒次數(shù),病毒類型,并將這些信息分揀入集中管控?cái)?shù)據(jù)庫(kù)。
3.2 集團(tuán)SOC監(jiān)控系統(tǒng)采集模塊。通過(guò)集團(tuán)SOC平臺(tái),按照一定的頻率篩選并記錄濟(jì)南市所轄范圍內(nèi)IP的可疑網(wǎng)絡(luò)攻擊事件、利用漏洞類攻擊以及拒絕服務(wù)的DOS攻擊等入侵攻擊事件,并將這些信息分揀入集中管控?cái)?shù)據(jù)庫(kù)。
3.3 內(nèi)網(wǎng)安全管控采集模塊。通過(guò)內(nèi)網(wǎng)安全管控系統(tǒng)收集信息入集中管控?cái)?shù)據(jù)庫(kù),采集的信息包括終端用戶屬于哪個(gè)策略組,策略組的權(quán)限,以及實(shí)現(xiàn)的用戶終端外聯(lián)控制,遠(yuǎn)程維護(hù),外設(shè)控制(U盤,光驅(qū),軟驅(qū)等移動(dòng)設(shè)備),補(bǔ)丁管理,軟件控制等安全策略。
3.4 OA流程系統(tǒng)接口模塊。通過(guò)辦公網(wǎng)OA統(tǒng)一流程中的“濟(jì)南辦公網(wǎng)IP地址申請(qǐng)和變更”,員工可以進(jìn)行自助IP地址操作。可以申請(qǐng)新IP地址并回收舊IP地址。OA流程中提供的數(shù)據(jù)包括新辦公地點(diǎn)的網(wǎng)關(guān),公務(wù)手機(jī)號(hào),辦公位置,MAC等等信息,通過(guò)與辦公流程數(shù)據(jù)庫(kù)的接口導(dǎo)入集中管控系統(tǒng)數(shù)據(jù)庫(kù)中的IP地址資料信息表,實(shí)施對(duì)數(shù)據(jù)庫(kù)資料的更改。
3.5 WEB管理界面。采用IIS WEB服務(wù)對(duì)無(wú)法安裝殺毒軟件的終端以及出現(xiàn)病毒不能進(jìn)行封堵的服務(wù)器實(shí)施白名單等級(jí)管理,提供IP地址臨時(shí)使用管理、對(duì)該系統(tǒng)的用戶權(quán)限等管理、創(chuàng)建后臺(tái)腳本處理處理的各項(xiàng)規(guī)則、根據(jù)三層交換機(jī)loopback地址確定各區(qū)縣分公司三層交換機(jī)各自管理的IP地址段等WEB管理錄入界面。
3.6 WEB頁(yè)面查詢。WEB頁(yè)面提供根據(jù)各種條件的查詢功能以及自動(dòng)工單生成處理狀態(tài)的自助界面,使系統(tǒng)管理界面自助化。通過(guò)頁(yè)面查詢,可以查看哪些IP地址可以使用,系統(tǒng)對(duì)IP地址做了哪些處理,IP地址使用人,IP登錄情況,殺毒軟件安裝等等信息資料。
3.7 后臺(tái)腳本處理模塊。作為系統(tǒng)的核心模塊,對(duì)收集的病毒事件、入侵事件以及不符合要求的管控事件,按照已定義的規(guī)則及白名單原則進(jìn)行短信通知,嚴(yán)重的利用IP地址與MAC地址的綁定技術(shù),直接進(jìn)行交換機(jī)IP封堵。針對(duì)不同廠家,不同批次的三層交換機(jī)采用不同的工單生成模塊。對(duì)流程申請(qǐng)的,按流程要求進(jìn)行,成功的直接發(fā)短信通知用戶。對(duì)從交換機(jī)采集的IP/MAC地址信息表跟集中數(shù)據(jù)庫(kù)的IP地址資料信息表進(jìn)行比對(duì),以集中數(shù)據(jù)庫(kù)中資料記錄為準(zhǔn),防止出現(xiàn)直接通過(guò)更改交換機(jī)資料導(dǎo)致信息不準(zhǔn)的現(xiàn)象。對(duì)于出現(xiàn)異常情況,則通過(guò)查詢頁(yè)面轉(zhuǎn)人工處理。上述所有操作均有日志記錄動(dòng)作,并更新IP地址資料庫(kù)。系統(tǒng)可以統(tǒng)計(jì)全網(wǎng)設(shè)備上的IP地址網(wǎng)段和MAC地址信息并提供WEB頁(yè)面供管理員進(jìn)行查詢,統(tǒng)計(jì)等操作。
通過(guò)對(duì)WEB頁(yè)面的抓取提供了一種解決無(wú)接口外聯(lián)系統(tǒng)數(shù)據(jù)處理的思路,以模擬閱覽器操作的方式獲取外聯(lián)系統(tǒng)的數(shù)據(jù),并對(duì)其進(jìn)行分揀記錄與處理。通過(guò)對(duì)以上模塊的開發(fā)實(shí)現(xiàn)了終端設(shè)備的管理控制,全面的網(wǎng)絡(luò)準(zhǔn)入控制,以及定制各種策略的,實(shí)現(xiàn)多重的安全防護(hù)。以程序取代人工來(lái)操作網(wǎng)絡(luò)設(shè)備,進(jìn)行對(duì)IP地址的自動(dòng)化操作。通過(guò)與流程系統(tǒng)的集成,讓員工可以進(jìn)行自助IP地址申請(qǐng)。以程序取代人工自動(dòng)定期采集SEP防病毒系統(tǒng)、集團(tuán)SOC監(jiān)控系統(tǒng)和內(nèi)網(wǎng)管控系統(tǒng)的數(shù)據(jù),發(fā)現(xiàn)有問(wèn)題的主機(jī),及時(shí)通過(guò)短信通知使用人,嚴(yán)重的及時(shí)進(jìn)行封堵IP地址。為了防止避免封堵重要系統(tǒng)的服務(wù)器,影響業(yè)務(wù),采取白名單制,實(shí)現(xiàn)只提醒不封堵策略。
4 結(jié)束語(yǔ)
該系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)是從網(wǎng)絡(luò)維護(hù)實(shí)際問(wèn)題出發(fā),通過(guò)引入自動(dòng)化手段解決問(wèn)題,提高了內(nèi)網(wǎng)維護(hù)的效率和質(zhì)量,提高了企業(yè)信息化安全集中管控的管理水平。實(shí)現(xiàn)網(wǎng)絡(luò)進(jìn)行集中化、全方位的監(jiān)控響應(yīng)。由于系統(tǒng)全面實(shí)行程序自動(dòng)執(zhí)行,處理效率和質(zhì)量的提高,將員工從重復(fù)性勞動(dòng)中解脫出來(lái),使之有更多的精力進(jìn)行其他方面的工作。
參考文獻(xiàn):
[1]杜朦朦.基于網(wǎng)絡(luò)設(shè)備的企業(yè)內(nèi)網(wǎng)安全設(shè)計(jì)[D].安徽國(guó)際商務(wù)職業(yè)學(xué)院,2011.
[2]唐新亭,宋麗華.企業(yè)局域網(wǎng)防病毒體系的研究[D].煙臺(tái)師范學(xué)院,2006.
[3]王學(xué)華,張彬彬.內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊,2012.
[4]譚健夫.快速綁定IP-MAC地址[J].網(wǎng)管員世界,2007.
作者單位:聯(lián)通濟(jì)南分公司信息化服務(wù)中心,濟(jì)南 250002