某集团公司是一家集生产、销售于一体的国家大型集团上市公司,主要按照代理制的模式销售。因此下面还在北京、天津、上海、哈尔滨、武汉等城市设有分公司、办事处。同时目前公司的代理近百家,遍布全国各地,形成了一个有效而快速的销售网络。
由于销售模式与经营管理的需求,该集团公司对其财务实施了电算化,部署了一套大型的财务管理软件,实现了过程控制、远程审计查帐、资金监控、内部往来结算、报表汇总等功能,加强了管理,使物流、资金流、信息流高度统一,能充分适应现代市场竞争快速多变的特点,随时随地掌握企业信息,做到事前预测、事中控制、事后分析。
由于这套财务管理系统部署在集团公司以及其全国各地众多的分支机构或代理机构中,而各地之间主要通过公众Internet来连接到集团公司总部,因此互连网的开放性同时也给运行在其上的财务管理系统带来了极大的安全隐患。
需求分析
整个集团公司的财务管理系统构建如下:
集团公司的内部网络建有数据库服务器,远程增量复制服务器;以及使用数据库进行财务报表处理、进销存管理、工资管理、固定资产管理、财务分析等操作的桌面机;供领导查询的领导查询桌面机等
各地分公司或远程办事处、远程分支机构等可以通过PSTN、ISDN、INTERNET等方式与总部服务器连接,进行数据的复制、录入、查询等操作。由于某些远程分支机构和远程办事处自己拥有独立的数据库,因此这部分机构并不是时时连接到内部的服务器上,只在需要时才与内部服务器相连。进行增量复制时,使用三种方法有Mail、File和FTP。
整个集团公司的财务管理系统的网络拓扑结构如下:
尽管总部和大部分分支机构的网络中都配备了边界式网络防火墙,但是整个系统仍然面临以下风险:
1.财务软件的客户端计算机或数据库服务器、WEB服务器、远程增量服务器等通常没有专门的措施对其进行保护,而是直接连接到集团公司或分支机构的局域网当中。而在集团公司的内部网络中,由于员工众多,临时员工流动性大,发生过有人蓄意攻击财务处理操作的桌面机或财务数据库服务器,恶意窥探或偷取上面保存的各种重要的财务数据的事件。
2.由于分支机构众多,各地的网络配置不尽相同,安全的防护措施可能差别很大。例如,有部分远程办事处人员配置比较少,一般只有一台计算机,通常没有防火墙的保护。当计算机通过拨号上Internet与集团公司的网络连接时,很可能会遭受来自Internet的攻击。一类攻击是使计算机瘫痪,无法正常工作,或数据丢失,例如SYN FLOOD、UDP FLOOD、teardrop、碎片攻击等网络攻击。另一类攻击是计算机成为攻击者的跳板,利用远程办事处的身份侵入到集团公司总部的财务系统中,非法获取信息、篡改信息或破坏信息,从而对整个系统造成更大的危害。
3.即使有边界式防火墙的保护,但是仍然阻止不了“特洛伊木马”等黑客程序的攻击。木马程序可能随电子邮件的附件而来,或者从软盘或光盘中无意中被加载。当用户在不知情的情况下不小心打开这个附件,黑客程序就在后台悄悄运行了。这样远程网络上的黑客就可以完全控制计算机。所谓控制,不仅包括读取、修改您机器上的信息,还包括监视您的键盘鼠标等的操作,这样就可以分析并窃取到您输入的密码。有了密码,黑客就可以顺利的进入到财务系统的客户端,并进行各种非法操作,后果十分严重。
解决方案
面对这些安全威胁,企业网关防火墙,杀毒软件等安全措施都力所不能及。利用安软天地科技公司的EverLink? DFW软件,可以分别保护集团公司整个财务系统中各个信息点,真正做到网络安全一致,无漏网之鱼。
EverLink DFW是由驻留在网络主机(如服务器或PC机)并对主机系统提供安全防护的软件客户端和中央管理服务器两部分组成。
nEverLink DFW软件的客户端分散安装在所有需要保护的信息点上,包括财务系统的各个服务器、集团公司内网中财务人员的桌面机以及远程分公司、办事处、代理等机构中的财务终端等。无论信息点处于哪个位置,是内部网还是Internet上,都可以得到全天候的保护。
n每个EverLink DFW的客户端都具有三层过滤技术,立体防护每个信息点。
1.利用包过滤技术,可以阻止各类网络攻击,或定制严格细致的访问控制策略,以阻止未经授权人员的访问本机。包过滤技术可以直接处理IP数据包的发送与接收。通过分析数据包的包头信息,对照过滤规则进行过滤。对于不符合过滤规则的数据包,DFW的客户端将拒绝通过,同时进行记录或报警。
2.特洛伊木马过滤功能不仅对传统木马程序进行有效的阻止,还能够监视计算机网络体系并阻止新一代木马将自身夹插在合法的网络数据流里面,从而防止这种木马的攻击。尤其对于远程分支机构的计算机,它可以防止通过拨号等方式连接内部网络时黑客的网络攻击,即使不小心被植入了木马,也不会因此被控制用以窥探或者攻击内部网络。
3.脚本过滤功能对常见的各种脚本,如JavaScript脚本、Visual Basic脚本、ActiveX脚本等,都一一进行分析检查,判断它们是否会进行比较危险的操作;如果是,则提醒用户注意,并要求用户决定是否允许该脚本执行,从而有选择地让无害的脚本通过,而对恶意的脚本执行拦截。
n每个EverLink DFW的客户端内嵌一个入侵检测系统(IDS),可以发现常见的网络攻击方法,如端口扫描、拒绝服务攻击、源路由数据包攻击、连续多次连接等,自动屏蔽发起网络攻击的源地址,并将发现的攻击行为记录到日志中。这种基于主机的IDS相当准确,报警及时、准确,主动防护效果出众。这样,数据库等服务器不会因为受到网络攻击而出现拒绝服务的情况。
系统实施
下面介绍部署Everlink DFW的具体步骤:
1.在集团公司的总部财务数据中心安装EverLink DFW服务器
2.在EverLink DFW服务器上,根据用户的实际使用情况,建立五个用户组,分别是数据库服务器组、远程增量服务器组、财务处理组、普通用户组和远程机构组。在每个组中建立相应的用户帐号,例如,在财务处理组,为每一台进行财务处理的桌面机建立一个EverLinkDFW的用户帐号;在普通用户组为每一台不进行财务操作的计算机建立EverLink DFW使用的用户帐号。
3.由于数据库服务器、远程增量复制服务器、财务处理桌面机、普通用户和远程机构计算机所提供的服务的不同、访问控制策略的不同、所访问的资源的不同、要求达到的安全保护程度的不同,因此需要为不同的对象指定相应的安全策略。
n例如,只有财务处理的桌面机可以访问数据库服务器的特定端口,普通用户组所使用的计算机不可以访问数据库服务器等。
4.在每一台服务器和计算机上安装EverLink DFW客户端,分别使用对应的账号登录,下载各自的安全策略。
5.至此,整个财务网络的每一个重要节点计算机都处在了EverLink DFW进行保护下,整体网络结构如下:
管理与维护
安全策略
安全策略中具体定义了每个客户端的过滤规则,也就是说哪些操作或访问是被禁止的,哪些是可以通过的。安全策略可能需要根据最新的威胁安全的事件修改或更新。EverLink DFW的中央策略管理器是一个集成环境。它统一管理 DFW的所有客户端,负责给客户端分发安全策略、记录客户端状态、记录各类日志,并提供方便的工具生成、指派、扫描和检查所有的客户端安全策略。由于可能会出现定制的策略不恰当或者由于网络结构、网络服务的变化而需要进行策略的更新时,只要在服务器端对不同组使用的策略进行修改,EverLink DFW客户端会自动下载并更新策略,使新的策略及时生效,同时客户端无法更改从服务器下载的安全策略。因此这种集中的安全策略管理为整个集团公司的使用带来了极大的方便,因为每个分散的信息点无需自己设置、更新、修改安全策略。同时由系统管理员专人监管策略服务器,也提高了安全保障能力,另一方面也降低防火墙的使用成本。
日志
EverLink DFW服务器的管理员通过查看日志,可以发现异常的网络事件或者攻击情况时,并及时的调整策略。
小结
利用EverLink DFW构建一个全面防护的网络,覆盖了集团公司整个财务系统中分散的每个点,提高了每个点的防护能力,堵住了系统的安全漏洞,达到实现整体安全的目的。
TOP