多措并举 提升内网安全

■江苏省食品药品监督检验研究院 钱鑫

随着信息化建设不断深入，业务对信息化更加依赖，网络信息安全问题日益凸显。提升网络信息安全是每个企事业单位势在必行的工作。

局域网络中信息安全可以分为物理环境安全、操作系统安全、网络安全、应用安全和管理安全5个层次。本文结合单位实际，针对各个层次所面临的问题，采取必要的防护措施，提升内网安全。

网络层安全方面

1.划分VLAN，配置ACL

按照科室和功能区不同划分多个VLAN，分为办公区和实验室区，每个区域再按照科室划分VLAN，最终形成每个科室一个办公VLAN和多个实验室VLAN。

图1 办公VLAN ACL3001

图2 仪器VLAN ACL3007

图3 采集机和客户端VLAN ACL3008

各科室间的VLAN不可以访问，允许所有VLAN访问服务器（ACL3001）。实验室区VLAN划分为仪器、采集机和客户端3个VLAN。根据访问需求配置ACL，仪器只与采集机通信（ACL3007），不与其他VLAN通信。采集机和客户端只与对应的服务器通信，拒绝业务无关的非法访问（ACL3008）。

2.启用端口安全，防止非法接入

内网相对是一个封闭的空间，在防火墙、IPS、防毒墙、网闸等安全设备的防护下外网入侵几乎无法到达内网，防止来自内部的安全威胁就更加重要。为防止内网有计算机非法接入，在接入层交换机上配置的端口安全策略，仅允许登记的MAC地址接入内网。

开启端口安全功能，设置安全MAC地址最大数量为1个，绑定粘贴MAC地址和所属VLAN，将通过端口的其他MAC帧设置为丢弃（如图4所示）。通过MAC地址认证，只允许登记备案的计算机接入内网，有效避免了非法接入。

图4 配置端口安全Sticky贴粘MAC地址

系统层安全方面

在内网部署Windows Active Directory服务器，建立Windows域环境，对服务器、仪器采集机、工作站和办公电脑等Windows终端进行统一管理。

1.禁止使用可移动存储设备

通过组策略管理，禁止可移动存储设备接入内网计算机，既有效避免了通过U盘传播病毒，也减少了数据外泄的可能。

在域控服务器上，打开组策略管理，创建GPO，命名为禁用USB存储，依次展开“计算机配置→策略→管理模板→系统→可移动存储访问”，将“可移动磁盘：拒绝执行权限”“可移动磁盘：拒绝读取权限”“可移动磁盘：拒绝写入权限”和“所有可移动存储类：拒绝所有权限权限”等4项状态设置为“已启用”，并将此GPO链接到所有终端计算机OU。实现全网域环境下的所有计算机禁止使用可移动存储设备。

2.实现统一身份认证

图5 Microsoft Update地址

通过域用户身份管理，各应用系统与域LDAP集成，各业务系统的用户管理、密码策略统一由域控负责，只需在个业务系统中为用户分配好相应的权限，有效的为各数据资源分配权限，实现统一身份认证，达到用户访问集中管控的目的，避免了非法访问。

（3）使用强密码策略

通过密码策略强制用户使用强密码规则，并定期修改密码。

在域控服务器上，打开组策略管理，创建GPO，命名为“PASSWORD”，依次展开“计算机配置→策略→Windows设置→安全设备→账号策略→密码策略”，将策略“密码必须符合复杂性要求”设置为“已启用”，将策略“密码长度最小值”设置为“8个字符”，将策略“密码最长使用期限”设置为“90天”，将策略“强制密码历史”设置为“3个记住的密码”。并将此GPO链接到全局OU，以满足密码复杂度的要求，确保旧密码不被连续重新使用，增强系统的安全性。

4.搭建WSUS补丁更新服务器。

内网搭建WSUS服务器，配置网闸、防火墙和上网行为管理以允许WSUS服务器使用的HTTP的80端口和HTTPS的443端口与Microsoft Update通信。Microsoft Update地址如图5所示。

通过组策略统一为内网计算机配置更新服务器和统计服务器地址。在域控服务器上，打开组策略管理，创建GPO，命名为“Update”，依次展开“计算机配置→策略→管理模板→Windows组件→Windows更新”，打开“指定Intranet Microsoft更新服务位置”，设置为“已启用”，在“设置检测更新的Intranet更新服务”和“设置Intranet统计服务器”的地址设置为WSUS服务器地址，并将此GPO链接到所有终端计算机OU，为域环境下的所有计算机统一进行系统更新。

5.部署终端防病毒软件

采用360天擎终端安全管理系统保护内网办公终端。在服务器区部署一台360天擎服务端，通过对制定VLAN统一分发部署。在内网环境下，360天擎控制中心无法访问互联网进行更新，采用离线升级工具（360EntOffUpd.exe）更新病毒库、系统漏铜补丁、天擎客户端主程序和控制中心版本。通过360天擎定期对内网办公计算机终端进行病毒查杀，为终端计算机建立起最后一道安全防线。

网络管理层安全方面

随着业务系统不断增加，管理人员的角色也逐步细化，分工更为明确。需要加强对各类人员的管理。对网络管理员、系统管理员、运维技术人员等管理人员采用最小权限策略，通过堡垒机对管理人员进行身份验证和操作审计。对于远程运维人员，采用“VPN+堡垒机”模式，保证远程运维安全。

在互联网出口处部署VPN设备，远程运维人员通过SSL VPN远程接入到局域网的外网环境，再通过网闸连接到内网堡垒机，根据运维对象的不同，分配不同的访问权限，保证运维人员的权限控制在最小范围，同时对操作行为进行审计和录屏，以达到保证远程运维安全的目的。

应用层安全

应用层安全主要是保障各类应用系统和数据安全。在大数据时代下，数据作为一种无形的资产显得尤其重要。在保障应用和数据安全方面，主要采取了以下措施：

1.建立高可用的虚拟化资源池

利用VMware vsphere，采用“多虚多”模式，将多台物理服务器组建为一个虚拟化集群，将CPU、内存资源整合，为应用系统提供高效、可靠的运行环境。使用SSD+SAS分层存储模式，其中SD磁盘作为高速缓存，SAS盘采用RAID5+局部热备盘模式作为数据盘。

2.建全备份容灾系统

采用Actifio备份软件，对各业务系统进行周期性备份。结合虚拟化的特点，利用快照技术，可以对虚拟机进行快速备份。使用Actifio备份软件，对各业务系统服务器采用每天全备的模式。提高文件服务器备份的颗粒度，细化到每个文件，以达到还原单个文件的要求。对于关键业务的SQL数据库，采用先执行数据库备份计划，对数据库和数据库日志进行每天全备，再利用备份软件对备份BAK文件进行灾备。定期做还原测试和恢复演练。

物理层安全方面

主要是针对机房安全方面，建立机房环境监控系统，对机房的温度、湿度、电源、消防、防水等进行实时监控。加强对机房进出人员管理，建立严格的门禁系统，并定期检查日志信息。

结语

信息安全的“木桶原则”强调对信息进行均衡、全面的保护。木桶的最大容积取决于最短的一块木板，系统安全性取决于最薄模块的安全性。通过以上几个层面的组合防护，单位进一步提升了网络安全的保障能力。