2008-08-13 16:06 文章来源：网界网

[周报全文]易管理才是真安全

作者：网界网边歆

天津市烟草专卖局开始网络建设的时间不算早，然而，凭借着后发优势，现在天津烟草数据中心的网络安全水平却走在了行业前列。

【CNW.com.cn 专稿】6年前，当刘涛刚开始从事网络安全方面的工作时，他对网络安全还没有什么认识。当时，天津市烟草专卖局（以下简称天津烟草）的网络还没有建设起来，计算机除了用来打字，基本上没有其他的用途，计算机安全也仅仅局限于单机防病毒。刘涛说：“网络建设起来后，就明显感觉到了网络安全的重要性和紧迫性。”

天津烟草SOC平台的亮点是对安全产品和网络产品的管理兼顾，功能是比较全面的。SOC平台实现了对安全产品的管理和监控，包括：安全产品状态异常监控、安全流量监控、日志统一分析等等。

—天津市烟草专卖局经济信息中心网络通讯科科长刘涛

天津烟草的网络安全建设分为3个阶段。第一阶段是保证市局和下属分公司的局域网安全；第二阶段是在各个分公司的出口处加装防火墙，统一市局和分公司的网络版防病毒产品；第三阶段的网络安全建设正在进行中，目标是建成天津烟草IT综合运维管理平台。

身为天津市烟草专卖局经济信息中心网络通讯科科长，刘涛是局里唯一的专职安全管理员。当刘涛忙不过来的时候，其他同事会做一些协助的工作。

解决两大威胁

为了保证数据中心网络安全，天津烟草采购了大量的网络安全设备，包括：防火墙、IDS、防病毒软件、VPN、IPS、漏洞扫描、终端安全管理产品等等。几乎市场上主流的安全产品都可以在天津烟草看到。刘涛说：“我们应用这些安全产品的目的，就是要在最短时间内把各种威胁所造成的损失降到最低。”

天津烟草的安全设备有一个特点，除了防病毒采用的是趋势科技的产品，其他产品几乎都是国产品牌。刘涛说：“国内比较新的安全产品天津烟草基本上都有。”在记者采访过的行业用户中，如此大规模地采用国内安全产品的用户还十分少见，而天津烟草不但用了，而且效果还很不错。可见国产产品已经具备了和国外产品面对面竞争的实力，而广大用户应该对国产安全产品有更多的信心。

据刘涛介绍，天津烟草面临的安全问题主要有两类。

第一类是病毒。比较典型的事例是，天津烟草曾经遭到“熊猫烧香”病毒的攻击。当时的解决方案是：先把其他设备从网络中断开，对核心设备和系统（包括与国家局通信的办公自动化系统、核心Windows服务器系统）进行手工杀毒。当时终端安全管理系统还没有部署，不能自动将出现病毒异常流量的设备从网络中断开，所以只能先保核心业务，然后对单台PC进行手工杀毒，共检查了一百多台PC。最终，还是通过杀毒软件的升级才使网络彻底摆脱了病毒的困扰。

第二类是来自内部的安全威胁。来自内部的安全威胁是安全管理的核心问题。天津烟草网络中的客户机数量很多，由于每个计算机使用者的素质不同，经常有人不遵守安全管理规定，从而引发安全问题，给网络安全管理带来了很大的压力。刘涛说：“面对这种情况，我们决定引入终端安全管理产品。今年我们部署了终端安全管理产品和趋势科技的NVW防毒墙，效果很好。”像前两年发生的大规模病毒爆发事件，现在已经不会发生。有些PC如果染上病毒，即使是未知病毒，只要发出异常流量，终端安全管理产品可以直接将该PC从网络中断开。

终端安全管理产品大大减轻了安全管理人员的工作量，同时大幅度提升了工作效率。现在，安全管理员再也不用每天忙于处理各种PC的安全问题了。

终端安全管理产品和防病毒软件配合使用，能够取得更好的安全效果。比如，天津烟草有一条严格的安全策略是：在所有的终端中，如果没有安装趋势科技杀毒软件，都不允许进入网络。即使是外来的机器，也必须安装趋势科技的杀毒软件。

刘涛说：“买NVW的目的就是在网络层防御病毒。”ARP病毒就曾经让刘涛烦恼过。ARP地址欺骗类病毒是一类特殊的病毒，其属于木马病毒，不具备主动传播的特性，不会自我复制。但是其发作的时候会向全网发送伪造的ARP数据包，通常会造成网络掉线，或者网络连接正常，但内网的部分电脑不能上网等现象，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

刘涛表示，安装了NVW防毒墙之后，ARP病毒再也没有出现过。

NVW有很强的管理功能，比如和趋势科技杀毒软件的配合，没装趋势科技杀毒软件的PC就不能上网。刘涛认为，NVW在某些方面和终端安全管理产品的功能有些重叠，但不能因为有重叠了就忽略它，不使用它，天津烟草看重的是NVW所提供的终端安全管理产品不具备的功能，实现多层防御。从应用情况看，NVW对网络层面病毒的防范还是很有效果的。

刘涛说：“多种安全产品所组成的防御体系，可以让安全管理员迅速解决问题，而不是等病毒大面积爆发时才注意到这个问题。”

网络中的异常流量也是安全的大敌。天津烟草之所以考虑引入异常流量分析和IPS，就是因为网络中经常有人不遵守管理规定。比如使用BT下载电影，导致流量剧增，影响网络性能。对异常流量必须进行控制，而且要迅速解决。使用异常流量分析系统只能对网络中的流量进行分析，实际解决还要靠NVW和IPS。IPS尤其适合限制BT流量。

刘涛认为，现在的安全问题比较多，而且比较棘手，单靠某一方面的产品无法彻底解决问题，必须有几款产品相互配合，才能达到理想的处理效果。

化繁为简靠管理

随着安全产品的逐渐增多，天津烟草数据中心的网络安全防御体系变得越来越完善。然而，越来越多的安全产品也让刘涛感到了一丝困惑：每个安全产品的工作状态是什么样？它们协同工作的效果如何？

由于这些安全产品各自的管理界面不同，每台设备的日志分析让用户看得眼花缭乱，根本没有时间去真正了解设备所能发挥的作用。这样的管理现状必须进行改善，必须对众多的安全产品进行统一的管理。

刘涛想到了SOC（安全运营中心）。如果能把SOC做好，天津烟草的安全管理水平将大大提升，达到一个理想的新阶段。在对SOC项目招标时，天津烟草就很清楚地提出了自己的要求：必须能够对各厂商安全产品进行综合管理。通过激烈的竞争，东软最终在天津烟草的SOC项目中胜出。

东软针对天津烟草的需求专门开发了SOC平台。刘涛说：“这个SOC平台的名字叫做‘天津烟草IT综合运维管理平台’。现在是初步建设阶段，平台计划在今年9月份上线。从前期的功能演示看，平台的管理效果完全达到了我们的期望值。”

在SOC平台的主页面上显示了网络设备的运行状况，包括带宽的流量。SOC平台实现了对安全产品的管理和监控，包括：安全产品状态异常监控、安全流量监控、日志统一分析等等。SOC平台最核心的部分是安全产品的统计报表。各个安全产品的统计分析规则是不一样的，而SOC平台对其进行统一整合，展示给用户的是全面的安全分析报告。SOC平台根据日志分析，将风险报告提交给用户并提示用户，用户则根据风险报告采取相应的动作。

SOC平台的核心是对安全产品的管理，而对网络产品只是进行监控和简单的管理。天津烟草最初对SOC平台的设想仅仅是对安全产品的管理，后来在分析需求时，又加上了对网络设备、小型机和服务器的管理。

烟草行业内的信息中心之间一直有交流沟通。在准备上马SOC之前，天津烟草也对其他省市烟草公司的类似平台进行了考察。这些平台虽然也叫作安全运维管理平台，但是从严格意义上来说并不能称之为真正的SOC。有些平台针对内网管理做的好，但对安全产品和网络产品的智能分析和日志统计做的不好；有些平台在网络管理方面做的较好，但对安全产品的管理则做的一般。刘涛说：“天津烟草SOC平台的亮点是对安全产品和网络产品的管理兼顾，功能是比较全面的。”现在，已经有不少其他省市准备在天津烟草SOC平台建成之后前来参观交流。东软也将把为天津烟草专门开发的SOC平台作为东软在烟草行业的开发样本。

刘涛说：“天津烟草的安全建设走到今天，可以说是一个水到渠成的过程。这几年我感受最深的就是：用户真正关心的是，能坐在计算机前轻松解决问题，而不是出现问题后要挨个排查。所以，不管安全产品有多少，最终还是会回归到管理上，安全产品必须可管理性和易管理。我希望安全厂商在产品在智能化方面能够做得更好、更完善。”