[面向数字内容的网络安全管理策略] 网络安全知识教育

　　数据出版业市场空间巨大，中南大学中国文化产业品牌研究中心近日发布的《2011：中国文化品牌报告》显示，去年中国数字出版总产出突破1000亿元，比2009年增长约25%。报告显示，从2000年数字出版总产出15.9亿元到2010年突破1000亿元，中国用10年的时间实现了“收入增长45倍”，2009年首次超过传统出版业的收入，实现了数字出版业的跨越式发展。出版机构是内容的集散地，是版权的聚居区，在出版机构如何构建和管理面向数字出版的安全网络体系成为当务之急。安全网络体系应该是技术与管理的结合，本文就此问题简要谈谈思路。
　　总体管理要求
　　首先看一下数字出版的特点。
　　数字业务形态多样：目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、Ａpp应用程序等，丰富的业务形态要求网络提供多种接入方式、多种内容共享方式，同时要保证安全。
　　强调对数字化资源的管理：国外知名出版公司特别强调对数字化资源的管理，很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG，计划五年内完成；培生内部已经运行了WPS，与前台的Coursecompass结合以更加有效的建设模式为学校提供服务；麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。
　　整体安全性要求高：数据化资源对整体安全性要求较高，现在网上支付手段丰富，如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作，以保护机构和个人财产安全；要求建立完善的数字版权机制，保障作者、编辑单位的合法权益；网上交易和传播的数字内容越来越多。网络安全形势十分严峻，域名劫持、网页篡改等事件时有发生，给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明，仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。
　　笔者认为，网络的应用在出版机构一般经过三个发展阶段：第一为沟通交流阶段，在这个阶段，出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段，在这个阶段，工作人员通过网络协同办公，出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段，出版机构使用综合业务系统进行数字内容收集、组织或加工，形成数字资产，通过网络进行推广。
　　根据这三个阶段的应用特点，可以将管理要求归结为：第一个阶段应用比较简单，用户都可以使用网络，要求网速快、安全性要求不高；第二个阶段，并非所有用户都能进入内部网络，设定上网权限，同时能对带宽进行有效管理，防止员工滥用网络而挤占主要业务的网络带宽，防止堡垒在内部被攻破；第三个阶段有了较多的数字资产，要防止网窥和盗窃行为发生，主动防御来自互联网端的威胁，防止业务流数据和内容数据出现问题，保证数据安全，即能处理来自外部、内部的威胁，保存好数据，防范非法入侵。
　　管理及技术分析
　　根据数字出版的业务特点，笔者总结了消除网络安全隐患的策略。
　　在第一应用阶段，网络中有防火墙、核心路由等元素，要保障物理线路畅通，具备一定的安全性。篇幅所限，这里不详细描述了。
　　第二应用阶段要求建立终端准入机制和应用控制机制。
　　此阶段遇到的挑战：用户多导致内部安全问题，带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端，虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性，但由于网内终端数量较大、Windows系统的不稳定和多处漏洞，终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下：建立用户接入准入制度，防止截取地址信息随意接入，对合法用户接入访问权限进行细化，加强整网应用安全机制。
　　同时，应用也存在监管的问题，如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此，系统中要设应用控制网关，对带宽进行有效管理，提供足够带宽给ERP、财务处理等主要业务，满足吞吐量要求。网内用户上网行为复杂，网络中的异常流量、即时通信流量逐步增大，侵占了原本就不富余的出口带宽；爆发内网安全事件时也会出现相应的流量异常，因此网内要设有行之有效的流量控制和分析手段，以便对网络进行流量监管以及安全事件的快速定位。
　　在第三应用阶段，可通过入侵检测系统进行主动防御，对入网设备进行终端准入，建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品，旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，提供一个全新的入侵保护。
　　第三阶段是较高级应用阶段，因数字出版应用内容丰富、强调应用安全、响应速度，网络技术参数设定要对应用需求有足够响应。
　　安全网络应用实例
　　下面是一个出版公司在保障网络安全方面的具体方案，其他数字出版企业也可以从中借鉴。
　　一、使用一台IP存储解决专业存储问题。
　　信息或数据在IT系统中，必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。
　　该方案中，核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间，实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘，单台设备即可满足两种不同的应用需求，大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一，IX3000存储上为其提供独立的存储空间，并采用15000转的SAS硬盘。
　　二、以应用控制网关解决带宽利用和用户上网行为监管问题。
　　公司员工越来越依赖于互联网的同时，上网行为却不能得到有效控制和管理，不正当地使用互联网从事各种活动（如网上炒股、玩游戏等）会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映，在制作半年报期间网络时常不通，导致工作无法进行。经查是防火墙严重超负荷造成，负载时常超过90%，这些都是过度使用网络资源产生的后果。
　　该公司的解决方案如下：在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求，针对P2P/IM、网络游戏、炒股、非法网站访问等行为，可以进行精细化识别和控制，解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题，帮助公司规范网络的应用层流量，为公司创造一个良好的网络使用环境。
　　三、通过端点安全准入系统EAD解决终端安全问题。
　　为了弥补公司现有安全防御体系中存在的不足，公司部署了一套端点安全准入防御系统，旨在加强对员工电脑的集中管理，统一实施安全策略，提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御，变单点防御为全面防御，变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
　　终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”客户端对网络安全的损害，避免“易感”客户端受病毒、蠕虫的攻击。
　　四、使用入侵检测系统阻止来自互联网的攻击行为。
　　在公司互联网出口部署1套千兆硬件入侵防御系统，专门针对公司服务器应用层进行防护，填补防火墙安全级别不够的问题，并与防火墙一起实现公司网络L2－L7层立体的、全面的安全防护。
　　千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范，防止网页被篡改的发生，并在每检测和阻断一个针对Web服务器的安全威胁之后，记录一条安全日志，为公司服务器的安全审计和安全优化提供全面的依据。
　　综合管理措施
　　笔者认为，要维护数字出版公司网络安全，在网络综合管理上要同时做好以下几点：
　　制定合理有效的计算机网络系统工作管理规定，明确责任，分工到人。
　　设置全集团（公司）网络管理员制度，各分（子）公司专人对网络和终端进行管理。
　　中心机房设置专人管理机房网络设备，定期检查并分析设备日志，定期升级软件和补丁，防止“破窗”出现，发现异常及时处理。
　　定期召开网络应用会议，通报网络安全情况，部署下一阶段工作重点。要打造一支能协同的团队，这比单纯有几台好设备要复杂，培训、协同和组织要付出更多心血。
　　在以上案例中，采用了用户终端准入机制，无法通过接入认证的用户则不能使用网络资源。这有效解决了网络用户的身份问题，对存在于认证列表中的用户，管理员通过授权登录对其软硬件情况、运行状况进行评估，从而最大程度上了解网内计算机安全情况，并解决存在的问题，这大大方便了管理员管理此类资产。有了应用网关，管理员可以有效进行带宽管理、用户行为审计；可定期分类查看各种应用程序的带宽占用情况，根据带宽占用排行，适当调整流量分布，为主要网络业务提供足够带宽，保证主要业务顺利进行。建立了独立存储机制，使用独立于服务器的存储设备对数据进行备份，这就不再需要原来原始的定期刻盘存档，未来还可以考虑异地备份，当有灾难发生时，可以第一时间恢复数据，确保应用系统的正常运行。
　　应该说，通过以上管控措施，可以极大地满足数字出版公司在管理阶段和创新阶段对网络的要求。科技是不断进步的，摩尔定律告诉我们，未来的技术更强大更廉价，我们期待更安全、更低价、更高效的网络设备出现，为数字内容的保护提供更好的网络环境。