■江蘇省食品藥品監(jiān)督檢驗(yàn)研究院 錢鑫

隨著信息化建設(shè)不斷深入，業(yè)務(wù)對信息化更加依賴，網(wǎng)絡(luò)信息安全問題日益凸顯。提升網(wǎng)絡(luò)信息安全是每個企事業(yè)單位勢在必行的工作。

局域網(wǎng)絡(luò)中信息安全可以分為物理環(huán)境安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和管理安全5個層次。本文結(jié)合單位實(shí)際，針對各個層次所面臨的問題，采取必要的防護(hù)措施，提升內(nèi)網(wǎng)安全。

網(wǎng)絡(luò)層安全方面

1.劃分VLAN，配置ACL

按照科室和功能區(qū)不同劃分多個VLAN，分為辦公區(qū)和實(shí)驗(yàn)室區(qū)，每個區(qū)域再按照科室劃分VLAN，最終形成每個科室一個辦公VLAN和多個實(shí)驗(yàn)室VLAN。

圖1 辦公VLAN ACL3001

圖2 儀器VLAN ACL3007

圖3 采集機(jī)和客戶端VLAN ACL3008

各科室間的VLAN不可以訪問，允許所有VLAN訪問服務(wù)器（ACL3001）。實(shí)驗(yàn)室區(qū)VLAN劃分為儀器、采集機(jī)和客戶端3個VLAN。根據(jù)訪問需求配置ACL，儀器只與采集機(jī)通信（ACL3007），不與其他VLAN通信。采集機(jī)和客戶端只與對應(yīng)的服務(wù)器通信，拒絕業(yè)務(wù)無關(guān)的非法訪問（ACL3008）。

2.啟用端口安全，防止非法接入

內(nèi)網(wǎng)相對是一個封閉的空間，在防火墻、IPS、防毒墻、網(wǎng)閘等安全設(shè)備的防護(hù)下外網(wǎng)入侵幾乎無法到達(dá)內(nèi)網(wǎng)，防止來自內(nèi)部的安全威脅就更加重要。為防止內(nèi)網(wǎng)有計算機(jī)非法接入，在接入層交換機(jī)上配置的端口安全策略，僅允許登記的MAC地址接入內(nèi)網(wǎng)。

開啟端口安全功能，設(shè)置安全MAC地址最大數(shù)量為1個，綁定粘貼MAC地址和所屬VLAN，將通過端口的其他MAC幀設(shè)置為丟棄（如圖4所示）。通過MAC地址認(rèn)證，只允許登記備案的計算機(jī)接入內(nèi)網(wǎng)，有效避免了非法接入。

圖4 配置端口安全Sticky貼粘MAC地址

系統(tǒng)層安全方面

在內(nèi)網(wǎng)部署Windows Active Directory服務(wù)器，建立Windows域環(huán)境，對服務(wù)器、儀器采集機(jī)、工作站和辦公電腦等Windows終端進(jìn)行統(tǒng)一管理。

1.禁止使用可移動存儲設(shè)備

通過組策略管理，禁止可移動存儲設(shè)備接入內(nèi)網(wǎng)計算機(jī)，既有效避免了通過U盤傳播病毒，也減少了數(shù)據(jù)外泄的可能。

在域控服務(wù)器上，打開組策略管理，創(chuàng)建GPO，命名為禁用USB存儲，依次展開“計算機(jī)配置→策略→管理模板→系統(tǒng)→可移動存儲訪問”，將“可移動磁盤：拒絕執(zhí)行權(quán)限”“可移動磁盤：拒絕讀取權(quán)限”“可移動磁盤：拒絕寫入權(quán)限”和“所有可移動存儲類：拒絕所有權(quán)限權(quán)限”等4項(xiàng)狀態(tài)設(shè)置為“已啟用”，并將此GPO鏈接到所有終端計算機(jī)OU。實(shí)現(xiàn)全網(wǎng)域環(huán)境下的所有計算機(jī)禁止使用可移動存儲設(shè)備。

2.實(shí)現(xiàn)統(tǒng)一身份認(rèn)證

圖5 Microsoft Update地址

通過域用戶身份管理，各應(yīng)用系統(tǒng)與域LDAP集成，各業(yè)務(wù)系統(tǒng)的用戶管理、密碼策略統(tǒng)一由域控負(fù)責(zé)，只需在個業(yè)務(wù)系統(tǒng)中為用戶分配好相應(yīng)的權(quán)限，有效的為各數(shù)據(jù)資源分配權(quán)限，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證，達(dá)到用戶訪問集中管控的目的，避免了非法訪問。

（3）使用強(qiáng)密碼策略

通過密碼策略強(qiáng)制用戶使用強(qiáng)密碼規(guī)則，并定期修改密碼。

在域控服務(wù)器上，打開組策略管理，創(chuàng)建GPO，命名為“PASSWORD”，依次展開“計算機(jī)配置→策略→Windows設(shè)置→安全設(shè)備→賬號策略→密碼策略”，將策略“密碼必須符合復(fù)雜性要求”設(shè)置為“已啟用”，將策略“密碼長度最小值”設(shè)置為“8個字符”，將策略“密碼最長使用期限”設(shè)置為“90天”，將策略“強(qiáng)制密碼歷史”設(shè)置為“3個記住的密碼”。并將此GPO鏈接到全局OU，以滿足密碼復(fù)雜度的要求，確保舊密碼不被連續(xù)重新使用，增強(qiáng)系統(tǒng)的安全性。

4.搭建WSUS補(bǔ)丁更新服務(wù)器。

內(nèi)網(wǎng)搭建WSUS服務(wù)器，配置網(wǎng)閘、防火墻和上網(wǎng)行為管理以允許WSUS服務(wù)器使用的HTTP的80端口和HTTPS的443端口與Microsoft Update通信。Microsoft Update地址如圖5所示。

通過組策略統(tǒng)一為內(nèi)網(wǎng)計算機(jī)配置更新服務(wù)器和統(tǒng)計服務(wù)器地址。在域控服務(wù)器上，打開組策略管理，創(chuàng)建GPO，命名為“Update”，依次展開“計算機(jī)配置→策略→管理模板→Windows組件→Windows更新”，打開“指定Intranet Microsoft更新服務(wù)位置”，設(shè)置為“已啟用”，在“設(shè)置檢測更新的Intranet更新服務(wù)”和“設(shè)置Intranet統(tǒng)計服務(wù)器”的地址設(shè)置為WSUS服務(wù)器地址，并將此GPO鏈接到所有終端計算機(jī)OU，為域環(huán)境下的所有計算機(jī)統(tǒng)一進(jìn)行系統(tǒng)更新。

5.部署終端防病毒軟件

采用360天擎終端安全管理系統(tǒng)保護(hù)內(nèi)網(wǎng)辦公終端。在服務(wù)器區(qū)部署一臺360天擎服務(wù)端，通過對制定VLAN統(tǒng)一分發(fā)部署。在內(nèi)網(wǎng)環(huán)境下，360天擎控制中心無法訪問互聯(lián)網(wǎng)進(jìn)行更新，采用離線升級工具（360EntOffUpd.exe）更新病毒庫、系統(tǒng)漏銅補(bǔ)丁、天擎客戶端主程序和控制中心版本。通過360天擎定期對內(nèi)網(wǎng)辦公計算機(jī)終端進(jìn)行病毒查殺，為終端計算機(jī)建立起最后一道安全防線。

網(wǎng)絡(luò)管理層安全方面

隨著業(yè)務(wù)系統(tǒng)不斷增加，管理人員的角色也逐步細(xì)化，分工更為明確。需要加強(qiáng)對各類人員的管理。對網(wǎng)絡(luò)管理員、系統(tǒng)管理員、運(yùn)維技術(shù)人員等管理人員采用最小權(quán)限策略，通過堡壘機(jī)對管理人員進(jìn)行身份驗(yàn)證和操作審計。對于遠(yuǎn)程運(yùn)維人員，采用“VPN+堡壘機(jī)”模式，保證遠(yuǎn)程運(yùn)維安全。

在互聯(lián)網(wǎng)出口處部署VPN設(shè)備，遠(yuǎn)程運(yùn)維人員通過SSL VPN遠(yuǎn)程接入到局域網(wǎng)的外網(wǎng)環(huán)境，再通過網(wǎng)閘連接到內(nèi)網(wǎng)堡壘機(jī)，根據(jù)運(yùn)維對象的不同，分配不同的訪問權(quán)限，保證運(yùn)維人員的權(quán)限控制在最小范圍，同時對操作行為進(jìn)行審計和錄屏，以達(dá)到保證遠(yuǎn)程運(yùn)維安全的目的。

應(yīng)用層安全

應(yīng)用層安全主要是保障各類應(yīng)用系統(tǒng)和數(shù)據(jù)安全。在大數(shù)據(jù)時代下，數(shù)據(jù)作為一種無形的資產(chǎn)顯得尤其重要。在保障應(yīng)用和數(shù)據(jù)安全方面，主要采取了以下措施：

1.建立高可用的虛擬化資源池

利用VMware vsphere，采用“多虛多”模式，將多臺物理服務(wù)器組建為一個虛擬化集群，將CPU、內(nèi)存資源整合，為應(yīng)用系統(tǒng)提供高效、可靠的運(yùn)行環(huán)境。使用SSD+SAS分層存儲模式，其中SD磁盤作為高速緩存，SAS盤采用RAID5+局部熱備盤模式作為數(shù)據(jù)盤。

2.建全備份容災(zāi)系統(tǒng)

采用Actifio備份軟件，對各業(yè)務(wù)系統(tǒng)進(jìn)行周期性備份。結(jié)合虛擬化的特點(diǎn)，利用快照技術(shù)，可以對虛擬機(jī)進(jìn)行快速備份。使用Actifio備份軟件，對各業(yè)務(wù)系統(tǒng)服務(wù)器采用每天全備的模式。提高文件服務(wù)器備份的顆粒度，細(xì)化到每個文件，以達(dá)到還原單個文件的要求。對于關(guān)鍵業(yè)務(wù)的SQL數(shù)據(jù)庫，采用先執(zhí)行數(shù)據(jù)庫備份計劃，對數(shù)據(jù)庫和數(shù)據(jù)庫日志進(jìn)行每天全備，再利用備份軟件對備份BAK文件進(jìn)行災(zāi)備。定期做還原測試和恢復(fù)演練。

物理層安全方面

主要是針對機(jī)房安全方面，建立機(jī)房環(huán)境監(jiān)控系統(tǒng)，對機(jī)房的溫度、濕度、電源、消防、防水等進(jìn)行實(shí)時監(jiān)控。加強(qiáng)對機(jī)房進(jìn)出人員管理，建立嚴(yán)格的門禁系統(tǒng)，并定期檢查日志信息。

結(jié)語

信息安全的“木桶原則”強(qiáng)調(diào)對信息進(jìn)行均衡、全面的保護(hù)。木桶的最大容積取決于最短的一塊木板，系統(tǒng)安全性取決于最薄模塊的安全性。通過以上幾個層面的組合防護(hù)，單位進(jìn)一步提升了網(wǎng)絡(luò)安全的保障能力。