內(nèi)網(wǎng)信息安全集中管控系統(tǒng)的設(shè)計與實現(xiàn)

摘 要：本文主要是通過講述從SEP（Symantec Endpoint Protect）防病毒系統(tǒng)，集團SOC（Security Operation Center）監(jiān)控系統(tǒng)，內(nèi)網(wǎng)安全管控系統(tǒng)采集數(shù)據(jù)，從辦公網(wǎng)OA流程系統(tǒng)以及管理界面等接受數(shù)據(jù)，通過短信中心或通過對內(nèi)網(wǎng)IP地址管理，實現(xiàn)對安全及病毒信息安全的管理與控制。

關(guān)鍵詞：SEP；SOC；內(nèi)網(wǎng)信息安全

中圖分類號：TP393.1

隨著計算機技術(shù)的飛速發(fā)展，企業(yè)辦公自動化和信息化，提高了辦公效率，創(chuàng)造了更多經(jīng)濟效益，但隨之而來的是計算機信息安全問題也越來越突出，現(xiàn)在公司有7000多臺設(shè)備使用內(nèi)部網(wǎng)絡(luò)IP地址，網(wǎng)絡(luò)設(shè)備眾多，訪問方式多樣化，經(jīng)常出現(xiàn)終端主機遭受病毒入侵，內(nèi)部主機非法訪問未經(jīng)過授權(quán)的集團主機，終端主機用戶使用撥號、快帶等方式非法外聯(lián)，內(nèi)網(wǎng)用戶私自未經(jīng)允許在終端上接入移動設(shè)備，誤用，濫用、惡用內(nèi)網(wǎng)資源等危害公司信息安全的事件。

1 數(shù)據(jù)處理及設(shè)計原則

企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全政策不能真正得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。為了實現(xiàn)對內(nèi)網(wǎng)信息管控，通過采集SEP防病毒，集團SOC系統(tǒng)，內(nèi)網(wǎng)安全管控系統(tǒng)及辦公流程及管理界面的數(shù)據(jù)到集中管控系統(tǒng)數(shù)據(jù)庫，通過后臺腳本進行發(fā)送三層交換或手機短信告警處理實現(xiàn)內(nèi)網(wǎng)信息安全集中管控，通過對IP地址資料庫的管理，實現(xiàn)對信息安全威脅的信息處理功能。通過IP地址分配和回收的流程化，使內(nèi)網(wǎng)的IP地址管理效率和準(zhǔn)確性得到很大的提升。整個系統(tǒng)數(shù)據(jù)處理過程見圖1。

圖1

由于病毒和入侵的不確定性和隨時性，因此數(shù)據(jù)處理要能夠?qū)崿F(xiàn)全天候監(jiān)控集團SOC、SEP防病毒系統(tǒng)和內(nèi)網(wǎng)管控平臺，能夠及時接受處理流程接口及WEB管理輸入的數(shù)據(jù)。按照規(guī)則定義數(shù)據(jù)處理頻次，提取濟南公司管轄的出現(xiàn)病毒終端、入侵事件和不經(jīng)允許的安全事件，進行預(yù)警短信發(fā)送和按照規(guī)則選擇性的對出現(xiàn)安全事件的主機進行封堵。

2 結(jié)構(gòu)模塊功能

按照各數(shù)據(jù)處理流程，內(nèi)網(wǎng)信息安全集中管控系統(tǒng)采用根據(jù)數(shù)據(jù)來源及數(shù)據(jù)處理分為七個功能模塊，每個模塊處理不同的數(shù)據(jù)，完成相應(yīng)的功能，通過后臺腳本按照自定義規(guī)則處理集中管控數(shù)據(jù)庫相應(yīng)的數(shù)據(jù)。如圖2。

圖2

3 模塊功能

3.1 SEP防病毒采集模塊。通過SEP管理端統(tǒng)計病毒與風(fēng)險摘要報告，按照一定頻率通過web抓取受感染和有風(fēng)險的計算機的報告，包括已安裝SEP客戶端的主機信息，包括IP地址，sep狀態(tài)，sep安裝，登錄時間等，收集周期內(nèi)防病毒軟件防止微機感染病毒次數(shù)，病毒類型，并將這些信息分揀入集中管控數(shù)據(jù)庫。

3.2 集團SOC監(jiān)控系統(tǒng)采集模塊。通過集團SOC平臺，按照一定的頻率篩選并記錄濟南市所轄范圍內(nèi)IP的可疑網(wǎng)絡(luò)攻擊事件、利用漏洞類攻擊以及拒絕服務(wù)的DOS攻擊等入侵攻擊事件，并將這些信息分揀入集中管控數(shù)據(jù)庫。

3.3 內(nèi)網(wǎng)安全管控采集模塊。通過內(nèi)網(wǎng)安全管控系統(tǒng)收集信息入集中管控數(shù)據(jù)庫，采集的信息包括終端用戶屬于哪個策略組，策略組的權(quán)限，以及實現(xiàn)的用戶終端外聯(lián)控制，遠(yuǎn)程維護，外設(shè)控制（U盤，光驅(qū)，軟驅(qū)等移動設(shè)備），補丁管理，軟件控制等安全策略。

3.4 OA流程系統(tǒng)接口模塊。通過辦公網(wǎng)OA統(tǒng)一流程中的“濟南辦公網(wǎng)IP地址申請和變更”，員工可以進行自助IP地址操作?？梢陨暾埿翴P地址并回收舊IP地址。OA流程中提供的數(shù)據(jù)包括新辦公地點的網(wǎng)關(guān)，公務(wù)手機號，辦公位置，MAC等等信息，通過與辦公流程數(shù)據(jù)庫的接口導(dǎo)入集中管控系統(tǒng)數(shù)據(jù)庫中的IP地址資料信息表，實施對數(shù)據(jù)庫資料的更改。

3.5 WEB管理界面。采用IIS WEB服務(wù)對無法安裝殺毒軟件的終端以及出現(xiàn)病毒不能進行封堵的服務(wù)器實施白名單等級管理，提供IP地址臨時使用管理、對該系統(tǒng)的用戶權(quán)限等管理、創(chuàng)建后臺腳本處理處理的各項規(guī)則、根據(jù)三層交換機loopback地址確定各區(qū)縣分公司三層交換機各自管理的IP地址段等WEB管理錄入界面。

3.6 WEB頁面查詢。WEB頁面提供根據(jù)各種條件的查詢功能以及自動工單生成處理狀態(tài)的自助界面，使系統(tǒng)管理界面自助化。通過頁面查詢，可以查看哪些IP地址可以使用，系統(tǒng)對IP地址做了哪些處理，IP地址使用人，IP登錄情況，殺毒軟件安裝等等信息資料。

3.7 后臺腳本處理模塊。作為系統(tǒng)的核心模塊，對收集的病毒事件、入侵事件以及不符合要求的管控事件，按照已定義的規(guī)則及白名單原則進行短信通知，嚴(yán)重的利用IP地址與MAC地址的綁定技術(shù)，直接進行交換機IP封堵。針對不同廠家，不同批次的三層交換機采用不同的工單生成模塊。對流程申請的，按流程要求進行，成功的直接發(fā)短信通知用戶。對從交換機采集的IP/MAC地址信息表跟集中數(shù)據(jù)庫的IP地址資料信息表進行比對，以集中數(shù)據(jù)庫中資料記錄為準(zhǔn)，防止出現(xiàn)直接通過更改交換機資料導(dǎo)致信息不準(zhǔn)的現(xiàn)象。對于出現(xiàn)異常情況，則通過查詢頁面轉(zhuǎn)人工處理。上述所有操作均有日志記錄動作，并更新IP地址資料庫。系統(tǒng)可以統(tǒng)計全網(wǎng)設(shè)備上的IP地址網(wǎng)段和MAC地址信息并提供WEB頁面供管理員進行查詢，統(tǒng)計等操作。

通過對WEB頁面的抓取提供了一種解決無接口外聯(lián)系統(tǒng)數(shù)據(jù)處理的思路，以模擬閱覽器操作的方式獲取外聯(lián)系統(tǒng)的數(shù)據(jù)，并對其進行分揀記錄與處理。通過對以上模塊的開發(fā)實現(xiàn)了終端設(shè)備的管理控制，全面的網(wǎng)絡(luò)準(zhǔn)入控制，以及定制各種策略的，實現(xiàn)多重的安全防護。以程序取代人工來操作網(wǎng)絡(luò)設(shè)備，進行對IP地址的自動化操作。通過與流程系統(tǒng)的集成，讓員工可以進行自助IP地址申請。以程序取代人工自動定期采集SEP防病毒系統(tǒng)、集團SOC監(jiān)控系統(tǒng)和內(nèi)網(wǎng)管控系統(tǒng)的數(shù)據(jù)，發(fā)現(xiàn)有問題的主機，及時通過短信通知使用人，嚴(yán)重的及時進行封堵IP地址。為了防止避免封堵重要系統(tǒng)的服務(wù)器，影響業(yè)務(wù)，采取白名單制，實現(xiàn)只提醒不封堵策略。

4 結(jié)束語

該系統(tǒng)的設(shè)計和實現(xiàn)是從網(wǎng)絡(luò)維護實際問題出發(fā)，通過引入自動化手段解決問題，提高了內(nèi)網(wǎng)維護的效率和質(zhì)量，提高了企業(yè)信息化安全集中管控的管理水平。實現(xiàn)網(wǎng)絡(luò)進行集中化、全方位的監(jiān)控響應(yīng)。由于系統(tǒng)全面實行程序自動執(zhí)行，處理效率和質(zhì)量的提高，將員工從重復(fù)性勞動中解脫出來，使之有更多的精力進行其他方面的工作。

參考文獻：

[1]杜朦朦.基于網(wǎng)絡(luò)設(shè)備的企業(yè)內(nèi)網(wǎng)安全設(shè)計[D].安徽國際商務(wù)職業(yè)學(xué)院，2011.

[2]唐新亭，宋麗華.企業(yè)局域網(wǎng)防病毒體系的研究[D].煙臺師范學(xué)院，2006.

[3]王學(xué)華，張彬彬.內(nèi)網(wǎng)安全技術(shù)研究[J].軟件導(dǎo)刊，2012.

[4]譚健夫.快速綁定IP-MAC地址[J].網(wǎng)管員世界，2007.

作者單位：聯(lián)通濟南分公司信息化服務(wù)中心，濟南 250002