燃气企业网络安全改进实例分析

2020-09-02上海燃气浦东销售有限公司董磊琼

上海煤气 2020年4期

上海燃气浦东销售有限公司董磊琼

随着燃气企业信息化建设的普及与发展，其所面临的风险和威胁也越来越大。尤其信息化系统中断造成的宕机，会给燃气企业带来经济与信誉等诸多方面的损失。在以往的燃气企业信息化建设过程中，由于管理的需要，IT资源往往走过一个从分散到集中的道路。当前燃气企业信息化系统通常是一个资源高度整合的系统。正是因为高度集中，一旦发生意外事故，势必造成燃气业务大面积瘫痪，无法持续正常运作。因此需要通过一个全方位多层级的安全体系来实现等保合规的安全服务，为保障燃气企业业务和数据的稳定运行提供一个安全的网络环境。

1 现状

上海燃气浦东销售有限公司的信息化经过多年的发展，对业务的支撑作用非常明显，业务的开展已经离不开信息系统的正常运转。随着信息化的深化，业务流程已经高度自动化，为公司内各部门提供了更高效的服务。但承载业务流程的信息系统的基础架构及管理手段却停滞不前，逐渐落后。在当前复杂多变的信息安全形势下，简单的网络架构、粗放型的安全管理手段都已变得越来越不够用，从而使得整个信息系统的安全岌岌可危，时刻面临巨大的风险。同时，勒索病毒爆发、信息泄露、法律法规监管等一系列不利因素，都在无形中让单位内部的信息安全管理压力越来越大。

2018年下半年，公司遭遇始料未及的勒索病毒侵袭，几乎一半的网络电脑终端受到感染，三分之二的服务器因受到波及而不得不丢弃原有操作系统及数据库文件进行服务器重装，更有分散在各部门的网络存储设备整个瘫痪，造成的损失无法估量且无法挽回。分析其原因，主要有以下两点：

1.1 网络结构

网络结构如图1所示。

从图1看出，该网络拓扑结构存在以下几大安全威胁隐患：

(1)下属分支机构访问集团数据、通往银联区域未经任何安全隔离，使得所有分部的终端电脑成为攻向集团核心网络区域及银联支付数据敞开的大门。一旦有1台计算机被感染了病毒或是木马程序，都将会使攻击者长驱直入，直接将整个网络置于危险之中。

(2)设备单点故障风险。在公司核心网络及各分部之间仅有1台防火墙，一旦该防火墙宕机，则公司总部与分部之间将造成失联，系统无法访问，业务无法正常得以开展。

1.2 网络边界防护与安全管理需求

(1)对外应用发布的外网通道与核心网络之间和核心网络与分支机构之间，都仅有1台老旧的防火墙，作为安全设备形同虚设，随时有宕机可能。在性能及流量方面完全成为数据流通的瓶颈，造成网络拥堵，反应迟缓。

图1 网络结构示意

(2)与集团、公司核心网络及服务器集群等重点区域的安全边界未设防御，无法抵御来自内网的横向攻击。一旦公司内网被外部攻破，此类重点区域将被暴露得一览无遗，对整个网络构成直接威胁。

(3)在安全管理方面，网络故障只能靠用户侧反馈，故障出现后，只能逐台排查，无法快速定位故障点及故障原因。

(4)安全硬件设备众多，管理界面及方式复杂。缺少统一接入的智能系统平台，如能统一纳管，汇总分析网络资源使用状况、历史故障告警等信息，就可以随时掌握情况，有的放矢，主动出击采取措施。

2 整改措施

针对以上两方面问题，必须做出相应的整改，并结合其他必要的措施以配合完善整个网络的安全体系。

2.1 现有网络的调整

由图1可以看出，在该网络结构中，不同区域间，即总部核心到分支，分支到集团，分支到银联，仅有第一项符合安全隔离规则，后两项完全没有任何防护措施。然而，如果既要维持这种网络拓扑不变，又要三者间相互安全隔离，需要在各区域间再各增加2台防火墙。这样不仅提高了硬件采购成本，也增加了对安全设备统一管理的时间成本。

因此对核心设备的结构性调整势在必行，即将由原先的以核心路由器为主的网络结构转换为以2台互为冗余的高性能下一代防火墙为主，如图2所示。这样既节省了硬件成本，又对安全设备采取了集中式的核心管理。

图2 网络结构调整后示意

网络结构调整后，在关键核心区域采用双重防火墙冗余配置，提高了核心系统的稳定性。由此，所有分支及集团区域均与核心防火墙连接，既起到了所有区域隔离的作用，又使得在设置安全规则、对各区域实行安全策略管理方面更加简便高效，消除了图1结构中的若干弱点。

2.2 增设必要的网络安全设施

对于网络边界防护及安全管理的整体需求，需从以下几个方面进行分析并增设必要的网络安全设施。

2.2.1 安全终端环境需求分析

(1)主机防杀毒软件：服务器等终端设备操作系统上需安装防病毒软件，避免存在发生恶意代码在系统内部网络传播的可能性。需要配置网络版主机防病毒系统，实现对全网主机的恶意代码防范。

(2)数据库审计：针对数据的审计设备，为了更好地满足主机安全审计的要求，需要部署专业的数据库审计设备。

(3)统一日志审计：需要部署日志审计系统，将交换机、路由器审计记录保存在设备上，提供审计记录的分析及审计报表生成功能，来实现相关网络及安全设备的日志审计功能。

2.2.2 安全区域边界需求分析

(1)边界入侵防范：在网络边界部署入侵防范措施，以解决不能及时发现网络攻击行为而造成系统信息泄漏或损坏的风险；

(2)边界恶意代码过滤：系统在网络边界部署恶意代码防护设备，则能在网络层面对恶意代码进行检测并清除；

(3)防Web攻击：实现应用层的安全防护，并设网页防篡改功能。

上述三点都可以在应用发布访问出口部署下一代防火墙(增强级)安全设备来实现。在部署时采用主备双机模式，提高网络稳定可靠性。出口若有多条外网线路可通过交换机进行分路，同时接入主备2台防火墙设备中。防火墙配置默认出口路由、回包路由、配置源/目的地址转换确保网络通畅；配置4层ACL策略，提供传统防火墙防护功能；配置 WAF、IPS、僵尸网络安全防护功能，提供应用层防护功能；配置网络防篡改功能。主备2台设备之间由心跳线连接，确保主设备因故停止工作后，备机可在极短的时间内透明接管。

2.2.3 安全管理中心需求分析

(1)堡垒机：由于无法实现对边界的访问控制和管理员对网络设备和服务器进行管理时的双因素认证，所以需要部署堡垒机来实现。

(2)安全态势感知平台：对于内网现状而言，既没有统一展示边界的安全威胁情况，亦没有完整的安全检测机制，所以需要部署统一监控安全的平台来实现。

态势感知平台有两大作用，其一是看清新增IT资产产生的安全洼地；其二是看清内部横向攻击及异常行为。态势感知平台通过其特有的端口流量探针，通过大数据特征分析，可判断出绝大多数网络异常举动。

3 网络安全设备的主要功能

在整个网络安全整改案例中，除了对网络结构进行调整并在相关必要节点添置安全设备之外，如何将这些设备有效且准确地发挥作用也是网络防护的关键因素之一。下面就该改进实例中两个关键节点的安全设备的主要功能作一些应用展示。

3.1 防火墙

作为应用发布出口及核心网络间的防火墙，其主要的两个功能：一是地址转换，端口映射及管理；二是内外网访问控制策略。

(1)地址转换和端口映射可以牢牢把控应用系统发布和获取外部数据的外网端口通路，从而杜绝一切非法利用端口漏洞渗透进内网进行攻击的各种行为。

可建立自内向外的访问规则，反之亦然。在状态栏可对规则生效进行开关转换。要判断某一规则是否真正在工作或是起到作用，可以看其匹配数，如果一直为零，那就说明该条规则没有真正被引用过，需要做适当调整或修改。

(2)内外网访问控制策略。在此建立内外网指定地址、指定终端有条件的互相访问机制，并且可根据实际情况做相应的条件更改。

3.2 安全态势感知平台

(1)安全态势感知平台利用分析由探针传输过来的流量数据，基于大数据、机器学习对数据进行汇总分析处理。

首先在该平台的“资产中心”对内部服务器及终端的IP范围进行分类定义，也可将一些IP地址定义为互联网IP。当存在分支情况时，分支使用的是内部IP地址，也可以通过互联单位自定义IP地址的归属地信息。定义了IP地址之后，态势感知平台即可在流量数据分析中准确判别哪一类哪一台出现异常，被病毒攻陷还是受木马攻击，精准定位问题所在。

在“综合安全感知”中可以看到“待处置服务器”及“待处置终端”的数量。“业务安全感知”及“终端安全感知”分别展示业务安全和终端安全的状态分布，已失陷、高危、中危等情况的数据统计，以及TOP5的风险服务器及电脑终端。

以上这些终端的定位均基于资产中心的资产定义，由此才能对内网各类设备所受威胁一目了然。

(2)态势感知平台的另一个主要功能是可以将其他安全设备连接进来，统一管理，联动响应。一旦发现风险主机后，“处置中心”可以第一时间联动已接入的下一代防火墙(NGAF)、终端检测响应(EDR)等设备，快速隔离，闪电处理，将危害降到最低。

在发生安全事件后，与下一代防火墙联动，可以将指定主机或者外网 IP作为源或者目的进行封锁，即禁止主机发生外联行为，及时阻断病毒木马持续不断的对内网进行攻击。

为了防止威胁进一步扩散，可以与终端检测响应(EDR)联动，直接对主机进行隔离并执行本地或远程扫描病毒。

通过以上“外防输入，内防传染”和由表及里的双效举措，既阻断了外部的入侵攻击，又对内部控制扩散，有的放矢查杀病毒，最终达到净化整个网络的目的，为企业提供一个安全稳定的网络工作环境。