朱志实  局总工办工程师

一、概述

武汉广电的办公系统还是一个采用传统方式，以开会研究、逐级下达、层层上报为主要工作方式。这种方式导致政令传递速度慢，决策与执行脱节，现实中的情况和问题需要较长时间才能反馈回来，造成应变能力差和效率低下。目前的计算机应用状况是：各个部门和科室都是单机上网，缺乏统一管理。各个部门科室成为一个一个信息孤岛，不能有效的共享各种数据及硬件资源，对于今后局信息化工作的开展将会造成极大的困难。

近年来，党中央、国务院大力倡导和推动我国政府机关的信息化建议，通过建立标准统一、功能完善、安全可靠的信息网络平台，增强管理手段的科学性和有效性，努力提升政府部门的办事效率和工作效能。武汉广播电视中心的信息化网络的目标正是要建立这样一个信息网络平台，实现机构各部门可以电子邮件交换、远程连线会议、联合网上办公，克服“文山会海”、“公文旅行”等现象，大大提高推行政令的时效性和机构的工作效率。

二、当前局域网面临的安全威胁

办公信息化面临的首要问题就是网络安全问题，具体表现为：办公计算机系统受病毒感染和文件被破坏、电脑黑客对敏感数据和信息的窥视、基础网络设备收到安全攻击、网络信息系统在收到冲击后恢复速度慢等诸多问题。上述这些办公信息化面临的安全问题在我国日益突出：

a)         据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。

b)        电脑黑客活动日趋频繁，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融、政府机关是黑客攻击的重点。

c)        信息基础设施在预测、反应、防范和恢复能力方面存在众多不足，据某市信息安全管理部门统计，2006年第1季度内，该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内，就遭到从外部100多个IP地址发起的恶意攻击。

三、构建端到端安全网络

在企业办公信息化建设过程中，日益突出的网络安全问题已经成为影响企业信息化建设和推广的瓶颈，如何才能即享受信息化办公带来的高效和便利，又能够保证切换到无纸化办公后工作的正常开展？

办公局域网需要的是一个全方位的整体安全架构：局部安全、全局安全、智能安全，局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁，全局安全利用安全策略完成全网安全产品间的分工协作，达到协同防御的目的，智能安全是建立统一的安全管理平台，将网络变为能感知安全威胁到处理安全响应的智能安全实体。通过这三个层面的共同努力，为用户提供一个多层次、全方位的立体防护网络体系，让网络成为一个健康、稳定、可靠的安全实体。(见图1)

图1  网络安全分层结构

网络安全最基础的防护方式是关键点安全，即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行2～7层的威胁防范，当前企业绝大部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况，可以应对企业的大部分基础网络安全问题。

然而局部安全的防护手段相对孤立，只有将产品的相互协作作为安全规划的必备因素，形成整网的安全保护才能抵御日趋严重的混合型安全威胁。因此需要把局部安全提升到全局安全的层面，通过技术和产品的协作，将网络中的多个网络设备、安全设备和各组件联动起来，并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案，它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。全局安全的一个重要控制部件就是安全管理平台，在统一的平台上进行安全事件的收集、整理、分析，并通过统一的安全策略，实现整网安全风险的提前预防与及时控制。

高效的安全解决方案不仅在于当安全事件发生时，我们能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上，构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。

四、局部安全之边界安全

对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区来确定。定义安全分区的原则就是首先根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则的安全分区模型，主要包括：内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等。如图2所示：

图2  网络安全分区示意图

参照以上的分区，考虑到当前网络上的主要威胁，必须以防火墙、防病毒模块、网络安全监控模块和入侵防御系统（IPS）为支撑来构建边界安全解决方案：

1)        防火墙：最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

2)        防病毒：通过部署防病毒模块（ASM）可以在网关处阻止病毒、木马等威胁的传播，保护网络内部用户免受侵害。采用防病毒模块（ASM），改变了原有被动等待病毒感染的防御模式，实现网络病毒的主动防御，切断病毒在网络边界传递的通道。

3)        网络安全监控：启用流量监控功能实时收集网络流量信息，分析网络应用情况，识别分析多种协议，包括P2P等应用层协议。

4)        入侵防御：传统的安全解决方案中，防火墙和入侵检测系统(IDS，Intrusion Detection System) 已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、IDS等基础网络安全产品，IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统(IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，IPS可以检测并直接阻断恶意流量。

五、全局安全之内网安全

统计表明，在所有的安全事件中，有超过70%是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点，但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因，一直以来也都是安全建设的难点。

一般说来，内网安全应该考虑以下问题：

1)        终端安全策略部署：终端安全是内网安全的核心问题，终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平，如何确保网络中的终端安全状态符合企业安全策略，却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端，是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。

2)        内网访问控制部署：传统上，在内网是通过划分VLAN，配合ACL进行访问控制，这虽然可以在一定程度上实现内网访问控制，却难以做到比较精细的安全控制，同时也可能会影响到VLAN间用户的访问，从而影响网络的使用效率。对于部分交换机，ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。

3)        网络自身安全保障：目前在内网安全事件中，出现从攻击主机转为攻击网络资源的趋势，而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。

四、智能安全之安全管理

除了在信息传输流程中实施安全解决方案之外，还需要进行全局安全管理，这种管理涉及到网络上的设备、使用者以及业务，只有对这3者实现闭环管理，才能对网络安全状况了如指掌。

对于网络系统来说，安全入侵经常将网络作为一个整体而不仅是针对某一个子系统。 一个安全攻击事件可能是独立的，也可能是一个较大规模协同攻击的一部分。对于所有的安全检测点，如果没有一个集中的分析视角，你可能低估某个安全攻击的真正威胁，相应采取的安全措施也可能无法解决真正的问题。因此，对系统所记录和存储的审计数据进行综合分析及处理至关重要。这些审计数据可能来自防火墙、路由器、入侵防御系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件，从而描绘出整个系统当前安全情况的更清晰和准确的图画。同时，通过集中管理，一个企业可以最大程度地减少重复工作从而提高安全事件管理的效率。

当前，安全管理中遇到的问题包括：

1)        对实时安全信息不了解，无法及时发出预警报告。

2)        各种安全设备是孤立的，无法相互关联，信息共享。

3)        安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。

4)        网络安全专家匮乏，没有足够的人员去监控、分析、解决问题。

在此背景下，将安全体系中各层次的安全产品、网络设备、用户终端等纳入一个紧密的“全局安全管理平台”中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高办公系统的整体安全防御能力。

1.         安全策略的集中部署

网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面，对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IPS等不同层次的防御部件。集中部署各部件的安全防护策略，可以简化对安全部件的管理，确保网络安全策略的统一，提高安全管理工作的效率。

2.         安全事件的深度感知

网络的不同层次、不同节点往往都部署了相应的安全部件，分别起到不同层面的安全防御作用。为了实时、全面地获取网络安全信息，必须解决网络安全管理中的事件透明性问题，让管理员可以监控到网络中每个设备的运行状态，为网络安全分析与决策提供支持。通过开放协议或安全代理的方式采集来自不同部件的安全事件数据，如病毒事件、异常登录事件、异常操作事件、漏洞检测事件、系统资源异常占用事件、流量异常事件等，帮助管理员及时掌握网络中设备和终端的安全状态，为进一步的深入分析和决策奠定准确的数据基础。

3.         安全事件的关联分析

网络中的各种安全部件产生的众多安全事件，往往使管理员淹没于信息的海洋中。各安全部件本身的局限性造成的误报和漏报，容易导致真正的攻击被忽视。在全面采集安全事件的基础上，通过各种基于统计和规则的关联分析算法，结合安全事件产生的网络环境、资产重要程度、系统漏洞级别，对安全事件进行深度分析，可以有效提高安全事件的信噪比，减少告警日志数量而不丢失重要信息，为安全事件审计和风险响应提供更准确的决策支持。

4.         安全威胁的协同响应

对安全事件进行全面采集和关联分析的目的是准确地阻断和防止攻击。H3C全局安全管理平台在全面了解网络资源部署的条件下，可以根据攻击源的不同，智能选择控制点以更有效的防止攻击，比如，对于外部攻击选择在防火墙的ACL阻断、对内部攻击选择用户接入交换机的端口关闭、对于内部蠕虫爆发选择隔离攻击源。也可以针对不同的被攻击对象，区分响应方式，以提高整个网络的自防御能力，比如，对于用户终端可以强制进行补丁修复和病毒库升级，对于服务器资源可以动态更新安全配置。

六、武汉广电办公局域网大楼的选择

通过以上对办公局域网安全方案的分析，此次武汉广播电视中心的办公信息化网络的设备采购指定了以下的原则：

1）设备品牌尽量统一

采用不同品牌的设备（特别是同类型设备）混合使用，首先是管理上很难做到统一，需要采购第三方网络管理软件才能实现网管，成本很高而且管理不细致。其次是对于维护人员工作会更大，网络中会存在比较多的种类需要去维护和掌握。最后选择不同的品牌很难做到互通，在实施中难度非常大。

采用同一品牌设备，原厂的管理平台操作简单、技术成熟、功能全，并且管理人员只需要掌握较单一的设备特性，有帮于管理做到更精深。备件方面只需要采购比较少的备件，总体技术路线上可提供完整的解决方案“统一部署分布实施”可扩展性强。

2）设备品牌支持国内著名厂家

在这次的项目调研中主要考察了CISCO、H3C和锐捷这三个品牌的交换机。

CISCO作为国际知名企业，不论国际还是国内市场占有率均位居前列。该品牌主要面对电信、银行等专业客户和一部分对网络使用比较敏感的高端客户。其产品具有性能稳定可靠的特点，但价格较高，并且作为境外企业，在后续的维保和配件更换上可能存在不及时和费用高的问题。

H3C前身为国际知名公司3COM和国内最大通讯厂家“华为”共同组建的华为3com公司，具有本土化的优势和国际化的研发支持，产品在国内市场占有率位居前列。其产品性价比较高，并且作为本土企业，在后续的维保和产品升级方面具有优势，但其价格比其他国内品牌的交换机略高一些。

锐捷主要面对的客户是教育、金融、政府、医疗等行业，近几年发展比较快。其产品具有价格优势，而且在后续的维保服务上能够反应及时，但该产品稳定性相对较差，并且其软硬件的配合不是很好。

正是基于上述的原则，武汉广播电视中心的办公局域网采用了H3C（华三通信）的产品在构建网络安全保障体系，下面简单介绍其中的一些重点安全保障方案：

1）入侵防御系统

入侵防御系统（IPS）是一套用于保护基础设施、应用和性能的解决方案。IPS位于防火墙和网络设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。主机应用和操作系统受到保护以免受到蠕虫、木马和病毒的侵害。路由器、防火墙和DNS服务器等基础设施受到IPS保护，免受攻击和其他的损害，保证重要任务的应用性能。

TippingPoint是IPS领域的领导者。其IPS产品（及其配套的管理和保障产品）凭借强大的攻击检测、实时防御能力、电信级的高可靠性和易部署、易管理等特性，成为唯一的NSS（全球最权威的安全产品评测机构）评测金奖获得者。

2）端点准入防御方案

为了解决现有安全防御体系中存在的不足，H3C推出了端点准入防御（Endpoint Admission Defense，EAD），旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施XX系统的安全策略，提高网络终端的主动抵抗能力。

EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

EAD通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括：

a)         检查——检查用户终端的安全状态，配合不同方式的身份验证技术（802.1x、VPN、Portal等），可以确保接入终端的合法与安全。

b)        隔离——隔离违规终端。不符合企业安全策略的终端，将被限制访问权限，只能访问“隔离区”内的病毒库/补丁服务器等用于

系统修复的网络资源。

c)        修复——与第三方服务器中的补丁服务器、病毒服务器等形成联动。强制终端安装系统补丁、升级防病毒软件，直到满足安全策略要求。

d)        管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。

七、总结

由于网络建设涉及面广、工程复杂、不确定因素较多、建设难度大，因此项目将分期分阶段逐步推进和拓展。现阶段项目组的主要任务是制订网络平台总体规划，购置必要的软、硬件设备，搭建一个基本的网络，保证安全的前提下使全局员工可以正常上网，并且实现基本的智能化办公。

在将来的规划中，逐步扩展该网络的用户数，增加网络的功能。例如采用无线网络，完善大楼信息接点的覆盖来连接移动办公用户，解决信息点密集区域的上网问题；进一步完善网络安全防护体系，完善IPS等入侵防御体系的建设，使网络对基于应用层的网络攻击有更强的防范能力等等。使该网络成为一个真正意义上的安全、可靠以及功能强大的信息化网络。