上海燃氣浦東銷售有限公司 董磊瓊

隨著燃氣企業(yè)信息化建設的普及與發(fā)展，其所面臨的風險和威脅也越來越大。尤其信息化系統(tǒng)中斷造成的宕機，會給燃氣企業(yè)帶來經(jīng)濟與信譽等諸多方面的損失。在以往的燃氣企業(yè)信息化建設過程中，由于管理的需要，IT資源往往走過一個從分散到集中的道路。當前燃氣企業(yè)信息化系統(tǒng)通常是一個資源高度整合的系統(tǒng)。正是因為高度集中，一旦發(fā)生意外事故，勢必造成燃氣業(yè)務大面積癱瘓，無法持續(xù)正常運作。因此需要通過一個全方位多層級的安全體系來實現(xiàn)等保合規(guī)的安全服務，為保障燃氣企業(yè)業(yè)務和數(shù)據(jù)的穩(wěn)定運行提供一個安全的網(wǎng)絡環(huán)境。

1 現(xiàn)狀

上海燃氣浦東銷售有限公司的信息化經(jīng)過多年的發(fā)展，對業(yè)務的支撐作用非常明顯，業(yè)務的開展已經(jīng)離不開信息系統(tǒng)的正常運轉(zhuǎn)。隨著信息化的深化，業(yè)務流程已經(jīng)高度自動化，為公司內(nèi)各部門提供了更高效的服務。但承載業(yè)務流程的信息系統(tǒng)的基礎架構(gòu)及管理手段卻停滯不前，逐漸落后。在當前復雜多變的信息安全形勢下，簡單的網(wǎng)絡架構(gòu)、粗放型的安全管理手段都已變得越來越不夠用，從而使得整個信息系統(tǒng)的安全岌岌可危，時刻面臨巨大的風險。同時，勒索病毒爆發(fā)、信息泄露、法律法規(guī)監(jiān)管等一系列不利因素，都在無形中讓單位內(nèi)部的信息安全管理壓力越來越大。

2018年下半年，公司遭遇始料未及的勒索病毒侵襲，幾乎一半的網(wǎng)絡電腦終端受到感染，三分之二的服務器因受到波及而不得不丟棄原有操作系統(tǒng)及數(shù)據(jù)庫文件進行服務器重裝，更有分散在各部門的網(wǎng)絡存儲設備整個癱瘓，造成的損失無法估量且無法挽回。分析其原因，主要有以下兩點：

1.1 網(wǎng)絡結(jié)構(gòu)

網(wǎng)絡結(jié)構(gòu)如圖1所示。

從圖1看出，該網(wǎng)絡拓撲結(jié)構(gòu)存在以下幾大安全威脅隱患：

(1)下屬分支機構(gòu)訪問集團數(shù)據(jù)、通往銀聯(lián)區(qū)域未經(jīng)任何安全隔離，使得所有分部的終端電腦成為攻向集團核心網(wǎng)絡區(qū)域及銀聯(lián)支付數(shù)據(jù)敞開的大門。一旦有1臺計算機被感染了病毒或是木馬程序，都將會使攻擊者長驅(qū)直入，直接將整個網(wǎng)絡置于危險之中。

(2)設備單點故障風險。在公司核心網(wǎng)絡及各分部之間僅有1臺防火墻，一旦該防火墻宕機，則公司總部與分部之間將造成失聯(lián)，系統(tǒng)無法訪問，業(yè)務無法正常得以開展。

1.2 網(wǎng)絡邊界防護與安全管理需求

(1)對外應用發(fā)布的外網(wǎng)通道與核心網(wǎng)絡之間和核心網(wǎng)絡與分支機構(gòu)之間，都僅有1臺老舊的防火墻，作為安全設備形同虛設，隨時有宕機可能。在性能及流量方面完全成為數(shù)據(jù)流通的瓶頸，造成網(wǎng)絡擁堵，反應遲緩。

圖1 網(wǎng)絡結(jié)構(gòu)示意

(2)與集團、公司核心網(wǎng)絡及服務器集群等重點區(qū)域的安全邊界未設防御，無法抵御來自內(nèi)網(wǎng)的橫向攻擊。一旦公司內(nèi)網(wǎng)被外部攻破，此類重點區(qū)域?qū)⒈槐┞兜靡挥[無遺，對整個網(wǎng)絡構(gòu)成直接威脅。

(3)在安全管理方面，網(wǎng)絡故障只能靠用戶側(cè)反饋，故障出現(xiàn)后，只能逐臺排查，無法快速定位故障點及故障原因。

(4)安全硬件設備眾多，管理界面及方式復雜。缺少統(tǒng)一接入的智能系統(tǒng)平臺，如能統(tǒng)一納管，匯總分析網(wǎng)絡資源使用狀況、歷史故障告警等信息，就可以隨時掌握情況，有的放矢，主動出擊采取措施。

2 整改措施

針對以上兩方面問題，必須做出相應的整改，并結(jié)合其他必要的措施以配合完善整個網(wǎng)絡的安全體系。

2.1 現(xiàn)有網(wǎng)絡的調(diào)整

由圖1可以看出，在該網(wǎng)絡結(jié)構(gòu)中，不同區(qū)域間，即總部核心到分支，分支到集團，分支到銀聯(lián)，僅有第一項符合安全隔離規(guī)則，后兩項完全沒有任何防護措施。然而，如果既要維持這種網(wǎng)絡拓撲不變，又要三者間相互安全隔離，需要在各區(qū)域間再各增加2臺防火墻。這樣不僅提高了硬件采購成本，也增加了對安全設備統(tǒng)一管理的時間成本。

因此對核心設備的結(jié)構(gòu)性調(diào)整勢在必行，即將由原先的以核心路由器為主的網(wǎng)絡結(jié)構(gòu)轉(zhuǎn)換為以2臺互為冗余的高性能下一代防火墻為主，如圖2所示。這樣既節(jié)省了硬件成本，又對安全設備采取了集中式的核心管理。

圖2 網(wǎng)絡結(jié)構(gòu)調(diào)整后示意

網(wǎng)絡結(jié)構(gòu)調(diào)整后，在關(guān)鍵核心區(qū)域采用雙重防火墻冗余配置，提高了核心系統(tǒng)的穩(wěn)定性。由此，所有分支及集團區(qū)域均與核心防火墻連接，既起到了所有區(qū)域隔離的作用，又使得在設置安全規(guī)則、對各區(qū)域?qū)嵭邪踩呗怨芾矸矫娓雍啽愀咝В藞D1結(jié)構(gòu)中的若干弱點。

2.2 增設必要的網(wǎng)絡安全設施

對于網(wǎng)絡邊界防護及安全管理的整體需求，需從以下幾個方面進行分析并增設必要的網(wǎng)絡安全設施。

2.2.1 安全終端環(huán)境需求分析

(1)主機防殺毒軟件：服務器等終端設備操作系統(tǒng)上需安裝防病毒軟件，避免存在發(fā)生惡意代碼在系統(tǒng)內(nèi)部網(wǎng)絡傳播的可能性。需要配置網(wǎng)絡版主機防病毒系統(tǒng)，實現(xiàn)對全網(wǎng)主機的惡意代碼防范。

(2)數(shù)據(jù)庫審計：針對數(shù)據(jù)的審計設備，為了更好地滿足主機安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計設備。

(3)統(tǒng)一日志審計：需要部署日志審計系統(tǒng)，將交換機、路由器審計記錄保存在設備上，提供審計記錄的分析及審計報表生成功能，來實現(xiàn)相關(guān)網(wǎng)絡及安全設備的日志審計功能。

2.2.2 安全區(qū)域邊界需求分析

(1)邊界入侵防范：在網(wǎng)絡邊界部署入侵防范措施，以解決不能及時發(fā)現(xiàn)網(wǎng)絡攻擊行為而造成系統(tǒng)信息泄漏或損壞的風險；

(2)邊界惡意代碼過濾：系統(tǒng)在網(wǎng)絡邊界部署惡意代碼防護設備，則能在網(wǎng)絡層面對惡意代碼進行檢測并清除；

(3)防Web攻擊：實現(xiàn)應用層的安全防護，并設網(wǎng)頁防篡改功能。

上述三點都可以在應用發(fā)布訪問出口部署下一代防火墻(增強級)安全設備來實現(xiàn)。在部署時采用主備雙機模式，提高網(wǎng)絡穩(wěn)定可靠性。出口若有多條外網(wǎng)線路可通過交換機進行分路，同時接入主備2臺防火墻設備中。防火墻配置默認出口路由、回包路由、配置源/目的地址轉(zhuǎn)換確保網(wǎng)絡通暢；配置4層ACL策略，提供傳統(tǒng)防火墻防護功能；配置 WAF、IPS、僵尸網(wǎng)絡安全防護功能，提供應用層防護功能；配置網(wǎng)絡防篡改功能。主備2臺設備之間由心跳線連接，確保主設備因故停止工作后，備機可在極短的時間內(nèi)透明接管。

2.2.3 安全管理中心需求分析

(1)堡壘機：由于無法實現(xiàn)對邊界的訪問控制和管理員對網(wǎng)絡設備和服務器進行管理時的雙因素認證，所以需要部署堡壘機來實現(xiàn)。

(2)安全態(tài)勢感知平臺：對于內(nèi)網(wǎng)現(xiàn)狀而言，既沒有統(tǒng)一展示邊界的安全威脅情況，亦沒有完整的安全檢測機制，所以需要部署統(tǒng)一監(jiān)控安全的平臺來實現(xiàn)。

態(tài)勢感知平臺有兩大作用，其一是看清新增IT資產(chǎn)產(chǎn)生的安全洼地；其二是看清內(nèi)部橫向攻擊及異常行為。態(tài)勢感知平臺通過其特有的端口流量探針，通過大數(shù)據(jù)特征分析，可判斷出絕大多數(shù)網(wǎng)絡異常舉動。

3 網(wǎng)絡安全設備的主要功能

在整個網(wǎng)絡安全整改案例中，除了對網(wǎng)絡結(jié)構(gòu)進行調(diào)整并在相關(guān)必要節(jié)點添置安全設備之外，如何將這些設備有效且準確地發(fā)揮作用也是網(wǎng)絡防護的關(guān)鍵因素之一。下面就該改進實例中兩個關(guān)鍵節(jié)點的安全設備的主要功能作一些應用展示。

3.1 防火墻

作為應用發(fā)布出口及核心網(wǎng)絡間的防火墻，其主要的兩個功能：一是地址轉(zhuǎn)換，端口映射及管理；二是內(nèi)外網(wǎng)訪問控制策略。

(1)地址轉(zhuǎn)換和端口映射可以牢牢把控應用系統(tǒng)發(fā)布和獲取外部數(shù)據(jù)的外網(wǎng)端口通路，從而杜絕一切非法利用端口漏洞滲透進內(nèi)網(wǎng)進行攻擊的各種行為。

可建立自內(nèi)向外的訪問規(guī)則，反之亦然。在狀態(tài)欄可對規(guī)則生效進行開關(guān)轉(zhuǎn)換。要判斷某一規(guī)則是否真正在工作或是起到作用，可以看其匹配數(shù)，如果一直為零，那就說明該條規(guī)則沒有真正被引用過，需要做適當調(diào)整或修改。

(2)內(nèi)外網(wǎng)訪問控制策略。在此建立內(nèi)外網(wǎng)指定地址、指定終端有條件的互相訪問機制，并且可根據(jù)實際情況做相應的條件更改。

3.2 安全態(tài)勢感知平臺

(1)安全態(tài)勢感知平臺利用分析由探針傳輸過來的流量數(shù)據(jù)，基于大數(shù)據(jù)、機器學習對數(shù)據(jù)進行匯總分析處理。

首先在該平臺的“資產(chǎn)中心”對內(nèi)部服務器及終端的IP范圍進行分類定義，也可將一些IP地址定義為互聯(lián)網(wǎng)IP。當存在分支情況時，分支使用的是內(nèi)部IP地址，也可以通過互聯(lián)單位自定義IP地址的歸屬地信息。定義了IP地址之后，態(tài)勢感知平臺即可在流量數(shù)據(jù)分析中準確判別哪一類哪一臺出現(xiàn)異常，被病毒攻陷還是受木馬攻擊，精準定位問題所在。

在“綜合安全感知”中可以看到“待處置服務器”及“待處置終端”的數(shù)量?！皹I(yè)務安全感知”及“終端安全感知”分別展示業(yè)務安全和終端安全的狀態(tài)分布，已失陷、高危、中危等情況的數(shù)據(jù)統(tǒng)計，以及TOP5的風險服務器及電腦終端。

以上這些終端的定位均基于資產(chǎn)中心的資產(chǎn)定義，由此才能對內(nèi)網(wǎng)各類設備所受威脅一目了然。

(2)態(tài)勢感知平臺的另一個主要功能是可以將其他安全設備連接進來，統(tǒng)一管理，聯(lián)動響應。一旦發(fā)現(xiàn)風險主機后，“處置中心”可以第一時間聯(lián)動已接入的下一代防火墻(NGAF)、終端檢測響應(EDR)等設備，快速隔離，閃電處理，將危害降到最低。

在發(fā)生安全事件后，與下一代防火墻聯(lián)動，可以將指定主機或者外網(wǎng) IP作為源或者目的進行封鎖，即禁止主機發(fā)生外聯(lián)行為，及時阻斷病毒木馬持續(xù)不斷的對內(nèi)網(wǎng)進行攻擊。

為了防止威脅進一步擴散，可以與終端檢測響應(EDR)聯(lián)動，直接對主機進行隔離并執(zhí)行本地或遠程掃描病毒。

通過以上“外防輸入，內(nèi)防傳染”和由表及里的雙效舉措，既阻斷了外部的入侵攻擊，又對內(nèi)部控制擴散，有的放矢查殺病毒，最終達到凈化整個網(wǎng)絡的目的，為企業(yè)提供一個安全穩(wěn)定的網(wǎng)絡工作環(huán)境。

4 結(jié)語

除了以上兩項主要部分的安全整改之外，其他的舉措也要相應跟進，形成相對完整的一個安全體系，不讓攻擊者有機可乘，有漏洞可鉆。

(1)企業(yè)所有終端均需安裝防殺毒軟件，并安裝操作系統(tǒng)安全補丁，理清終端配置信息臺賬，進一步完善終端安全管理機制。

(2)健全信息系統(tǒng)安全管理制度。根據(jù)信息安全等級保護的要求，完善各項信息系統(tǒng)安全管理制度，對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程和執(zhí)行記錄文檔。

(3)安全培訓。為公司員工提供信息安全相關(guān)技術(shù)知識培訓，在意識形態(tài)上加深對網(wǎng)絡安全重要性的認識。

(4)應急預案制定及演練。制定公司相應業(yè)務系統(tǒng)不中斷的應急預案，按可能出現(xiàn)問題的不同情形制定相應的應急措施，并定期根據(jù)應急預案步驟進行應急演練。