《中国计算机报》:福建电力网信息防病毒系统案例
福建省电力有限公司(以下简称福建电力)是2000年6月26日正式组建的国家电力公司全资子公司,是国有特大型电力企业。福建电力除了包括本身的17个部门,正式员工339人以外,还包括直属单位33个、二级单位8个、视同直属的合资联营单位18个,正式员工约2.3万人;有多种经营企业238个;与全省61个趸售县(市、区)的供电企业签订代管协议,实现代管60个。
福建电力的机构庞大,网络拓扑结构复杂。总公司与各个电业局之间的网络通过微波设备进行资料传输。中心路由器作为各个电业局路由器组群的中心路由设备进行每个网段的管理与控制。
总公司拥有Web服务器、Mail服务器、DNS服务器、数据库服务器等多种专业服务器,其中DNS服务器在Internet注册,用于解析福建电力网络系统对外公开的域名。各个电业局也拥有单独的多种服务器,并拥有合法的域名和MX记录。
总公司内部网络包含三个大的子网系统,使用DHCP协议动态分配IP地址,利用路由设备管理内部各个网段。各个电业局都属于10.x.x.x网段,而在此网段下,又有10~20个子网,同样使用DHCP协议动态分配IP地址。
总公司内部是采用局域网技术进行网络互联,在总公司与各下属单位、合作单位采用外联网(Extranet)技术进行分级管理控制与信息的有限共享,而公司对外接入互联网,在互联网上进行窗口宣传。由以上可以看出,福建电力的网络层次繁多,子网与主机数量庞大,必须经过非常严密的分析才可能提供安全的解决方案。
安全需求分析
电力行业是国家的重点单位,关系到国计民生,因此,有很强的信息保密与安全需求;另一方面,公司又必须同下属各单位进行有效的联系,以保证能及时地开展工作。
在信息保密方面,公司内部机构众多,而且各个下属公司与总公司是耦合的,平时独立经营,必要时又要接受总公司的战略指示。另外,电力公司的合作单位也非常多,公司与合作单位之间也会不同程度地网络访问,这就要求必须建立起一个权限非常完善的合理网络,每一层网络都要保证不同权限的正常访问。
在网络安全方面,由于不可避免地要与外网相联,就必须时刻防备来自外部的黑客、病毒的安全威胁。在进行外网防范的同时,还要警惕内网安全,因为内部人员熟悉网络的拓扑结构,更容易攻击成功。所以就必须有一套完整的产品来支撑从内网到外网、从病毒到黑客的整体安全防护需求。
方案整体需求分析
瑞星公司针对福建电力复杂的网络特性与很高的网络安全需求,经过详细地分析,认为福建电力的整体方案必须兼顾以上两方面需求,并还要保证整体系统的高效性与实时性。具体的需求有如下几方面:
一、由于电力系统网络大多已经建立完整,网络拓扑结构也已经确定,所以安全、经济的整体解决方案的实施应以尽量不修改原网络拓扑结构为前提。
二、福建电力内部网络是局域网体系,部门之间主要以传递资料、报表、文件为主,所以要想做到在信息安全基础上更合理地利用资源,内部局域网应该以内存、文件病毒防护为主。
三、在总公司与各下属单位、合作单位之间的外联网(Extranet)环节,由于主要是业务往来,这些下属单位及合作单位,只有有限的权限可以访问总公司的内部资源,这时主要应该防止一些非法用户利用一些黑客手段进行越权访问,危害公司安全,所以,在这环节应该以防黑(黑客)反漏(漏洞)为主。
四、总公司外联网与互联网接驳这一环节,因为此段网络完全暴露于互联网之中,受到攻击的可能性非常大,所以对于此段网络,应该以防止网络攻击为主兼顾黑客、木马、蠕虫等网络病毒的侵害。
五、对于整体的安全而言,由于福建电力的网络庞大,网段众多,在主要报务器上设置一层安全屏障无法成功完成安全防护,所以针对这种情况,应该在各个网段之间设置网络防火墙与入侵检测系统,以保障各个子网的安全。
六、由于公司对外有很多业务往来,而时常主要以电子邮件为主,针对如今邮件病毒日益猖狂的情况,应该在公司的所有邮件服务器上安装邮件病毒反病毒模块,以便更好地防止邮件病毒的侵袭。
由于福建电力网络的复杂性与多样性,对网络安全有多方面的需求,而如果采用多种类安全产品混合安装,又会有以下几个问题:
由于品牌不同,产品之间存在冲突的可能性比较大,很可能会产生系统崩溃、资料丢失等严重后果;各个产品之间完全独立,无法实现产品之间的联动,使防护效率无法进一步提高;各个产品单独运行会大量占用内存,造成资源效率低下;多种产品组合势必会使产品采购价格上升,而且一旦产品出现问题,无法立刻确定是哪个产品出现问题,使得维护效率低下。
而瑞星公司可以提供全面的信息安全产品,在反病毒、防黑的结合,多产品之间的兼容和连动,服务的方便性上有着无法替代的优势。
方案实施
在比较了多种方案之后,福建电力最终选择了瑞星的整体安全解决方案。
一、具体方案实施:
1. 在总公司与Internet之间,总公司与各个电业局之间全部安装瑞星杀毒软件网络版,以防止病毒的入侵。
2. 在各个主要的网关,配置瑞星应用级防火墙,以进行全面的节点防护。因为瑞星的防火墙可以提供从协议层到应用层的双向过滤,这样就有效地节省了网络的带宽,大幅度地提高了网络效率。
3. 由于Web服务器最容易受到网页病毒,在此服务器上采用了瑞星公司专门针对此网络进行了网页监控优化的防毒模块,使之防毒效率更高。
4. 在电业局与供电局,电业局与下属电厂之间属于内联网,这层网络即是中间层也是联结层,它的安全与效率将直接影响内网的安全与效率,所以选用性能稳定的内置安全模块(包括瑞星杀毒软件,防火墙,入侵检测系统模块),嵌于网络内部,进行无缝防毒。
5. 邮件服务是企业中最重要的环节,对于邮件服务器,瑞星采取了重点防护策略,采用瑞星成熟的EXCHANG邮件服务器防毒模块,从协议层上进行邮件病毒的双向过滤,既有效地进行了防毒,又不损失运行效率。
6. 在内部网段,由于最可能受到的是来自内部人员的攻击和内植木马病毒的攻击,所以在网间采用了瑞星入侵检测系统,随时检测内部的网络威胁,在主机之间采用了瑞星最新的多中心、多层次的反病毒软件网络版,以进行木马病毒、内存病毒等病毒的高层防护。
整个方案充分利用了瑞星安全防护体系的特点,利用杀毒软件网络版、瑞星防火墙、瑞星入侵检测系统各自在安全与管理上的强大功能与它们之间的联动优势,建立了一个集防毒、反黑、监测于一体的全方位网络安全防护体系。
二、方案解析:
1.防病毒
病毒是信息安全的最大隐患。福建电力系统网络环境复杂,一个小环节出了问题,整个网络的安全就岌岌可危。如何有效地管理这个巨大的网络并达到它所要求的扩充性、灵活性等是个难题。
对此,我们采用了瑞星网络版杀毒软件的多级系统中心方式:各个分支机构都设置一个系统中心,安装瑞星杀毒软件客户端,管理本机构网络计算机的防病毒工作。在同一系统中心内,按需建立多级管理员,减轻中心管理员的工作量,提高管理效率。整个网络中所有计算机的瑞星杀毒软件的升级由瑞星系统中心负责管理,客户端无须进行任何设置。同时,根据特殊需求,加载多级系统中心控制模块软件,实现行业全网络的远程控制和病毒日志审计。
2.反黑
黑客是对网络信息安全的另一大威胁,作为国家的重点行业,我们要维护系统的信息安全,必须考虑反黑的紧迫性与必要性。
我们采用以三大层次为主的重点防毒策略:在总公司与外部网之间,我们使用了瑞星应用级防火墙,用于保护总公司内部子网和福建电力对外提供的WWW服务器、Mail服务器和DNS域名服务器的安全。在总公司与各电业局之间,我们使用了带状态检测的网桥透明式防火墙,对使用本地电信提供的DDN专线上Internet网络的各个电业局,只提供内部向Internet网络的代理访问(一般是软件代理),不提供Internet网络向内部的访问。在各个电业局与下属发电电厂之间,我们使用了瑞星防火墙普通网桥透明工作模式,这样可以在不更改网络原有结构的前提下实现安全隔离。
3.监测
尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问,但对网络内部发起的攻击无能为力。为此,我们采用了瑞星基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源。
后 记
瑞星除了针对需求提供定制研发方案之外,在方案实施过程中,从安装调试到技术支持,都提供了详细、周到的服务,在方案实施之后,瑞星的售后服务体系在系统的稳定运行与完善实施方面又做了细致的工作。由于瑞星的所有软件产品都具有完全自主的知识产权,而且产品用模块化进行开发,不但保证了系统本身的安全,而且可扩充性也非常好。
专家点评
点评人:杨玉奇 瑞星研发部项目经理。长期从事网络安全产品研发工作,对于软件开发具有多年经验,熟悉网络产品、服务器产品体系结构设计。作为资深项目经理,参与了瑞星公司多个产品的前期产品规划及其项目管理。
福建省电力有限公司是国有特大型电力企业,在网络结构上,相对于一些特大型的网络倒不是很大,但是其本身网络环境非常复杂,网络设备繁多,网络通讯方式也很多,并且由于历史原因,各个子公司的网络各有特色。要在这样一个网络上全面铺设网络安全产品是很费时费力的;这就要求所应用的网络安全产品有高度的适应能力,可以在多种环境下保障应用正常的集成。
网络安全方面的需求可以概括为两个方面,一是防毒,二是防黑。在防毒方面,为他们架设了瑞星杀毒软件网络版。由于部门和联营单位比较多,所以为他们安装了企业版多中心系统,该系统可以进行符合多级层次和多级行政隶属结构的部署,可以管理大型网络、无限结点,同时其合理的机构划分使管理更清晰并更易于用户使用;它还可以按每个小行政体系分派管理员及其权限,使管理权进行分布。
福建电力网本身内置有多个防火墙,用以隔离各个部门的网络,提高各个子网的安全性;这就需要杀毒软件本身具有穿越防火墙的能力,瑞星杀毒软件在默认的情况下是自由分配端口的,这样可以方便一般用户,因为他们不需要关心这些情况。同时,软件还提供在本地和远端固定各个组件端口的功能,这样对于有特殊需求的高级用户,可以满足穿越防火墙等需要。
对于邮件服务器,为他们配置了瑞星邮件监控系统,再加上客户端已有的邮件监控,全面保障了往来邮件与内部各种邮件的安全。目前,瑞星邮件监控系统完全支持EXCHANGE和DOMINO系列服务器,对基于UNIX和LINUX的邮件服务器还提供嵌入式的杀毒引擎。
在防黑方面,为他们在网络的总出入口处架设了瑞星应用级防火墙,按防火墙配置隔离了内外网和DMZ区,并阻止由内向外的攻击。做到内部网络不被入侵、对外的服务器不被破坏,又不影响公网用户对服务器的使用,而且还可以防止内部黑客发起的攻击。
为了达到较高的防御体系级别,在内网入口还架设了瑞星入侵检测系统RIDS-100。入侵检测系统可以和防火墙获取相同的网络数据,当入侵检测系统发现异常攻击时,立即通知防火墙,防火墙迅速做出反应阻止当前攻击事件的继续,从而使得攻击失败,这样的防御体系能够对攻击作出实时的防御,达到安全处理应急事件的需求。
通过全面的部署瑞星网络安全系列产品,保护了企业网络中设备的正常运行与主要业务系统的安全。