化整为零保信息系统安全.docxVIP

PAGE 1 PAGE 1 化整为零保信息系统安全  近年来，许多烟草企业已然建成了一个规模浩大的信息系统，这样一个巨大、复杂的信息系统面临着各种安全威逼，如黑客、病毒、非法的合作伙伴等，如何确保信息系统的安全是烟草企业IT人员必需专心考虑的问题。  　　近年来，许多烟草企业已然建成了一个规模浩大的信息系统，这样一个巨大、复杂的信息系统面临着各种安全威逼，如黑客、病毒、非法的合作伙伴等，如何确保信息系统的安全是烟草企业IT人员必需专心考虑的问题。  为了对大型信息系统进行安全保护，笔者认为，可以针对系统内部的不同业务区域进行划分，然后依据需求采用切实的防护措施。基于这个思路，笔者提出“化整为零，化繁为简，形成多个网络安全区域”，目的是把一个大规模复杂系统的安全问题转化为多个小区域的安全保护问题，这是实现大规模复杂信息系统安全保护的有效方法。  划分网络安全域  网络安全域是指同一系统内有相同的安全保护需求、相互信任，并具有相同的安全访问掌握和边界掌握策略的网络，相同的网络安全域共享一样的安全策略。广义上可理解为具有相同业务要求和安全要求的IT系统要素的集合。  划分好网络安全域是做好企业信息系统安全防卫工作的基础。通过安全域划分可以明确网络边界，形成清楚、简洁、稳定的组网架构，实现系统之间严格的访问掌握的安全互联，解决复杂系统的安全问题，有效地实现网络之间和各支撑系统之间的有效隔离和访问掌握，达到化繁为简、尽在掌控的目的。安全域的划分还增加了网络的可控性，可以有效地防止渗透式等攻击。  安全域的划分有多种依据，比如可以依据组织的最明显特征进行划分，安全域还可以是分层次的，一般越大型、管理层次越多的网络，其安全域层次越多，而对于扁平化管理模式的机构，其层次应当少一些。另外，安全域的划分不能单纯从安全角度考虑，而是应当以业务角度为主、辅以安全角度，并充分参照现有网络结构和管理现状，唯其如此，才能以较小的代价完成安全域划分和网络梳理，同时又能保障其安全性。  在初步划分网络安全域后，还可以在网络安全域内划分更细、更小的安全域，如可以划分为核心处理域、访问域、内部用户域、外部用户域、接入域等。  完成网络安全域划分后的下一个工作是进行区域内安全防卫系统的建设。这里有一些基本原则需要把握:一个是对任何网络，肯定安全是难以达到的，也不一定必要，所以需要建立合理的实用安全性，以达到用户需求与成本之间的平衡;另一个是要统筹规划、分步实施，安全防护不可能一步到位，应在一个比较全面的安全规划下，依据网络的实际需要，优先保证基本的、必需的安全性。  有了这些措施并在划分好网络安全域的基础上，才能做好计算机病毒防范、防入侵这两个方面的工作。  　　各个安全域之间的边界保护  网络入侵主要是通过安全网络域的边界进入，因此针对安全网络域的入侵防卫关键是要做好各个安全域之间的边界保护。  每个网络安全域都是一个边界，也就是说安全策略和设置（诸如管理权利、安全策略和访问掌握列表）不应从一个域穿过进入另一个域，某特定域的管理员只有在该域中设置策略的权利。  通过将各个安全区域边界的安全最小化，并关闭一切不必要的服务，从而防备和反抗拒绝服务的攻击。如可采用“柏林墙”来过滤、屏蔽和解决因为TCP/IP协议、操作系统漏洞和软件本身的缺陷而入侵的“间谍”，使得各个区域之间“和平共处”。  网络边界层面的安全措施包括使用ACL（访问掌握列表）或防火墙等技术手段来进行安全层面的掌握。特殊值得一提的是，留意只开放必要的服务，而关闭其余不必要的服务，从网络边界对外部威逼进行安全隔离，保障网络内部安全。  目前，上海烟草（集团）公司的边界设备多数状况下使用的是路由器，一小部分使用的是安全设备防火墙，也达到了很好防范效果。事实上，不管采用何种设备，关键是要制定合理的访问掌握策略。  　　  　　访问掌握列表的使用  假如有些特别重要的网络安全域边界不具备部署防火墙的条件，那就需要在路由器或划分VLAN的交换机上做好访问掌握列表。路由器是区域与区域之间的边界设备，互通的报文都要经过路由器，对路由器进行合理的设置可以达到实现部分安全防范的目的，这时路由器成为保护每个区域的“前沿阵地”。详细措施是通过设置访问掌握列表来实现。  访问掌握列表供应了一种机制用来掌握通过路由器的信息流。这种机制允许用户使用访问掌握列表来管理信息流，以制定网络相关安全策略。下面以一个例子说明在路由器上做好访问掌握列表的重要性。  以冲击波（Worm.Blaster）这个蠕虫病毒为例，该病毒利用WindowsDCOMRPC接口远程缓