分布式的系统渐露弊端，“大集中”式的系统显露其优越之处，然而这种优越有个最大的前提和软肋，就是安全。如何让“大集中”系统的安全不再成为系统的瓶颈，是无数安全人的梦。这是一条充满挑战之路，它通向的将是——

　　曾几何时，“大集中”的网络系统，被人们嗤之以鼻，因为如果把所有的数据集中存放，所有的应用集中供给，不要说远程技术的实现难度较大，就是单单“安全”二字就会压死人。因为古人说过，“不要把鸡蛋放在一个篮子里”，就是这个意思，如果一旦威胁降临，损失的就是全部。毫无疑问，这样的状况，对其安全防御提出了巨大的挑战。

　　但是，“大集中”对于很多行业，例如税务行业来说，则是一种先进而前沿的管理方式，因为对于这些行业来说，数据实时的更新与动态管理，将是其工作效率与准确性提高的关键之一。在这样的市场需求下，尽管面临这样的难度与挑战，自然有勇敢者迎难而上，面对“大集中”系统的安全挑战，东软就是这样的勇敢者和成功者。在广东省地税局“大集中”系统的安全项目第一期工程中，东软安全人以其极具创新性的安全方案一举中标。那么，究竟“大集中”系统面临什么样的安全威胁？东软人又是如何精心编织安全美丽的神话？东软税务事业部总经理刘跃葵一言以蔽之，“优秀的安全方案没有捷径，只有靠多年的安全实力积累和对税务行业的熟稔，才能实时适宜对“大集中”系统提出恰当的安全解决方案。”

“大集中”系统面临安全威胁

　　对于“大集中”系统来说，最主要的安全威胁包括：黑客攻击（来自内部和外部的攻击，包括木马）、病毒破坏（包括网络蠕虫）、误操作（用户和管理人员操作错误）、系统故障（系统出错、崩溃等）、灾难（地震、水灾、火灾等）等。

　　信息安全威胁本身包括很多的内容，广东地税现阶段面临的信息安全威胁主要包括以下方面：

　　· 口令破解：攻击者可通过获取口令文件，然后运用口令破解工具获得口令，也可通过猜测或窃听等方式获取口令；

　　· 连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信；

　　· 拒绝服务攻击：攻击者可直接发动攻击，也可通过控制其它主机发起攻击使目标瘫痪，如发送大量的数据包阻塞目标网络系统；

　　· 网络窃听：由于网络的开放性，攻击者可通过直接或间接窃听获取所需信息；

　　· 数据篡改：攻击者可通过截获并修改数据或重放数据等方式破数据的完整性；

　　· 地址欺骗：攻击者通过伪装成被信任的IP地址来骗取目标的信任；

　　· 恶意扫描：攻击者可编制或使用现有的扫描工具，发现目标的漏洞，进而发起攻击；

　　· 基础设施破坏：攻击者可通过破坏域名服务器或路由表等基础设施，使目标网络陷于瘫痪；

　　· 数据驱动攻击：攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标；

　　· 社会工程：攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息，从而提高攻击成功率。

　　对于“大集中”系统，一般而言，都存在以下安全缺陷：

　　● 网间隔离不明确

　　“大集中”核心系统网络结构复杂，内部划分了多个重要的业务服务器区，里面是征管系统、业务数据的中心区。目前下属各地税网络都已通过专线和核心系统相连，另外，跟省国税等协作单位之间的专网也已连通。目前和这些互联网络之间没有采用任何隔离措施，这是非常危险的。

　　● 难以抵制针对系统自身缺陷的攻击

　　此类攻击手段包括隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出等，利用系统固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其它系统。

　　● 安全监控手段不多

　　目前“大集中”核心系统网络里没有采用任何网络安全监控手段，不利于在攻击的第一时间做出反应。

　　● 缺少病毒防范工具

　　在广州地税天河北省局和南海税务信息处理中心的办公用客户机和办公服务器大部分是Windows平台，是病毒感染的主要目标，业务服务器和数据库服务器存放着大量得办公数据和业务数据，虽然其病毒感染率低于Windows系统，但是一旦受损，后果会非常严重。

　　而在病毒防范上目前没有采用统一的病毒防范方案，主要是以单机防病毒为主。由于单机防病毒系统的固有缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一;无法集中更新病毒代码，对邮件/附件/JAVA等新病毒的防护无能为力。

为“大集中”筑“大安全”

　　“大集中”安全系统的建设将是一项长期的工作。因此，目前有条件在这些宏观框架内，结合“大集中”工程应用推广的需求，有步骤、有计划地分步实施安全体系框架中的内容，保障“大集中”系统的信息安全。“大集中”安全体系建设是以集中系统以及各相关系统的安全为总体目标，分步实施，根据“大集中”系统的运行及推广情况逐渐完善，确保系统各层次的安全。

　　一个安全系统是一个全局及覆盖面很广的系统，包括了从物理层、网络层、应用层、管理层等多个层次的安全体系建设，是一个长期建设和不断改进的过程。安全建设需要全局统筹、严谨的细节设计，还必须符合国家安全建设的统一规划。

　　由于时间等各个方面因素的压力，在本次的安全建设方案设计过程中，东软首先解决了“大集中”核心系统的网络安全问题，本项目主要是通过防火墙、入侵检测、漏洞扫描、网络安全审计及防病毒系统的部署，来加强对“大集中”核心系统的安全保护。

　　该项目刚刚启动一期工程，接下来，还会有后续项目，届时，根据客户新的安全需求，东软将向用户提供技术更优秀、功能更丰富、配置更合理的安全产品以及更专业的安全服务，帮助广州地税完满地实现“大集中”下的安全之城的目标。

　　在网络病毒大肆泛滥的今天，作为当地网络安全主管部门的杭州市公安局网监中心，成功应用东软NetEye IDS 产品，扩大了自身网络防御的纵深，构成了防火墙之后的第二道安全闸门。而年内他们还要建立起一套覆盖全市的、球面、立体化的安全防控体系，对重点单位进行7*24小时的不间断网络监控

　　冲击波、震荡波……在网络病毒一波接一波、大肆泛滥的如今，当人们发现自己的系统被病毒袭击击中时，最先想到的往往是象公安部门的网络监察中心进行报案，也正因此，公安局网监中心的担子也就格外难担。

　　按照相关政府部门规定，公安机关网络安全监察部门需要全面负责计算机病毒和其他有害数据的防治管理工作，查处计算机违法犯罪案件，处置重大计算机信息系统安全事故与事件，并对互联网上网服务营业场所进行安全审批、检查等工作。庞大的职责范围使得“警力有限以至力不从心”成为了各地公安局网监部门工作人员的共同感受。“一个病毒出来后，几百几千个求救电话同时打进来，而升级杀毒软件的频率平均也要2-3天，”杭州市公安局网络监察中心陈华冠监察表示，“而且，尽管现在还没有什么人敢对公安系统的网络进行攻击破坏，但事实上，作为网络安全的主管部门，正是黑客们更感兴趣、认为更能体现自身能力的重要目标，而一旦我们的系统也因遭受病毒攻击而瘫痪，社会后果不堪设想。”正是因此，杭州网监始终将“事先防范”的概念放在首位，并积极采取各种先进的安全防范措施与系统对自身网络进行保护。

　　防护自身安全系统

　　专业手段解决传统IDS弊端

　　整合全市重要单位

　　>>>查看全文

　　中国医科大学附属第二医院，依托中国医科大学，是一所集尖端理论科研、临床医疗实践于一体的综合型医院。不仅驰名于东北医疗领域，而且在全国范围内也是颇有影响力的。伴随着医大二院的飞速发展，医疗信息化也成为了近年二院关注的重点。

　　1998年，医大二院就完成了内网的建设。但是企业内网却面临着信息安全方面的威胁。医大二院计算机中心主任刘阳表示，当初他们在建立企业内网的初期由于缺少病毒入侵检测，所以时常会出现各种病毒侵袭，往往令他们措手不及，以至导致他们当时根本就不能把自己的内网同外网进行对接。幸好没有造成重大的信息损失，但是未雨绸缪，他们意识到必须选择一款在实际应用上能够合适的网安系统帮助企业解决信息安全方面的诸多问题，于是同年他们选择了国内的知名安全品牌东软NetEye一起“牵手”捍卫中国医科大学附属第二医院的信息安全。

　　>>>查看全文

　　我们不得不反思的是：如果在IDS刚刚报警时，就去解决安全问题，其安全损失就可以降低到非常小的范围内。所以管理员千万不要忽视IDS的作用，象维护其他服务器设备一样来维护它吧，登记其IP地址、管理员帐号、物理位置等，并将供应商出厂的默认配置帐号进行修改，充分地利用你的IDS设备，将会有效提升网络维护工作的效率。

　　>>>查看全文

　　十分感谢您阅读NetEye安全月刊，我们真诚的希望大家通过这个平台交流NetEye使用经验，提出您的宝贵意见，东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论：neteye@neusoft.com