浅析省局网络安全存在的问题及应对措施(信息计算中心王骁男)
发布时间:2017-10-11

    依据《国家安全监管总局办公厅关于印发全国安全生产“一张图”地方建设指导意见书的通知》(安监总厅规划〔2017〕69号)及《关于征求〈全国安全生产信息化顶层设计方案(征求意见稿)〉意见的函》(信息办函〔2016〕11号),按照全国安全生产信息化“一盘棋”、“一张网”、“一张图”、“一张表”的总体目标要求,山东煤矿安全监察局对现有信息网络进行了持续的升级改造,开展了全省煤矿联网工作。随着省局信息网络建设规模的逐步扩大,网络安全问题也逐渐显现。本文将在应用服务器系统、网络系统和终端系统等三个方面浅析省局局信息网络所面临的问题和应对措施。
    一、应用服务器系统
     省局网络中现运行十多款业务应用,由于应用承建方技术水平参差不齐,这些应用的安全性也不同,主要存在以下问题:
     应用弱密码,如后台管理密码为“123456”、“admin”等、用户登录密码为“123456”,“password”等、数据库认证密码为“dba”、“admin”等;
    信息与数据传输未加密,如基于Web的应用采用http协议,并且用户认证未实现加密认证、煤矿企业上传安全生产信息监控系统数据时,依旧采用FTP明文方式进行传输,并且其数据载荷未做加密。
    部分应用及VPN设备暴露在互联网上,且缺少必要的安全防护软件。
    数据库版本繁多切老旧,有部分应用的数据库仍采用如SQL Server 2005等厂商不在提供技术支持的产品。
    以上隐患造成省局网络安全还有待加强。目前采用的防火墙设备封闭网络只能起到治标不治本的效果,因为互联网和内部网络是连通的,加之VPN弱密码等原因,攻击者能够进入内网的可能性依然非常高。要解决这些问题,应当从源头和今后的工作方式出发。具体措施:
    加强已经部署应用的安全性,应及时联系商业软件承建方加密数据传输,加密信息存储,强制强密码,更新数据库等;
    开发中和将要开发的应用,应在软件设计之初就考虑增强安全性,信息传输采用支持加密的传输方式,如SSL,采用最新版的数据库等;
    加强单点登录的应用,并加密用户认证,避免用户信息泄露
    开启系统防火墙(Windows)、iptables服务(Linux),仅开放必要的应用端口,安装部署经公安部认证批准的商业安全软件;
    为关键应用(如OA系统,行政审批系统,执法系统等)部署双、多机热备份和(或)远程容灾备份;
    整体网络内应随着数据机房扩容及安全项目增加必要的安全防护设备,包括但不限于:IDS、IPS、WAF、虚拟化平台必要的东西向安全设备。
    二、网络系统
    鉴于网络技术的发展,网络拓扑结构向着大二层、虚拟化、可堆叠方向发展,因此相对于传统网络繁杂的IP网络来说,逻辑网络结构大大简化。因此,省局信息网络升级改造采用了核心堆叠,接入大二层的方式进行构建并增加以虚拟化为基础的数据中心网络。升级改造完成后带来以下优势:
    动态路由选择协议、VRRP和生成树失效的风险减少;
    可靠性增强,骨干链路均具备冗余;
    办公网络和数据中心网络逻辑隔离,互不影响并互为备份;
    但同时出现了下列问题:
    广播域终端数增加,终端攻击风险增加;
    物理网络结构更加复杂,当拓扑发生变更时收敛速度更慢;
    基于更强可靠性来说,导致网络收敛的抖动出现的可能性较小,同时在接入层应考虑适时部署端口安全和广播风暴抑制基本可满足办公需求。
    三、终端系统
    省局接入网络的终端设备繁杂,由于最终用户使用习惯不同导致每台终端面对的安全问题也不同,但统一来说,存在以下共性问题:
    开放的管理员权限;
    存在大量微软已经停止技术支持和结束生命周期的操作系统,以Windows XP系列居多;
    存在垃圾软件、流氓软件(Malware),如各种助手,安装捆绑等;
    缺乏有效的安全防护软件。网络中绝大部分终端使用诸如360安全卫士,金山毒霸,QQ管家等软件。其中部分或全部已被世界三家权威安全评测机构AV-Test、AV-Comparatives和Virus Bulletin除名。
    解决终端设备安全问题的方法可采用部署活动目录方式进行管理,活动目录能够解决的问题包括但不限于:
    用户以低级别权限登录网络;
    统一的安全策略;
    统一的软件环境部署;
    可选的桌面漫游。
    通过活动目录可以解决大量终端设备所面的管理难、部部署难、操作难的问题。

 

主办单位:山东煤矿安全监察局  承办单位:山东煤炭工业信息计算中心
网站联系电话:0531-85697890 E-mail:xxzx@sdcoal.gov.cn
地址:山东省济南市堤口路141号 邮编:250031
ICP备:鲁B-20041094建议分辨率1024*768 IE6.0以上浏览器 DPI设置正常尺寸96