XXX食品公司信息安全體系規劃方案(上)

2014-11-19 15:39:00
dxt001
原創
3351

    1.現狀

      1.1.公司概況

XXX食品產業有限公司(以下簡稱 XXX)成立于 20018月,是一家現代化管理運營的休閑食品企業,位居炒貨行業前三甲和豆制品行業前三強。

公司在不斷發展的過程中,也逐步將信息化引入到公司管理和內控,向世界先進管理水平看齊。

      1.2. 基礎網絡

XXX公司目前的網絡結構為,公司本部網絡以及通過互聯網連接到公司本部的四個分支結構。公司內部的網絡及終端設備通過 H3C防火墻訪問互聯網。

     1.3 .系統資源

       1.3.1 .硬件資源

主要硬件資源有計算機、服務器、防火墻、交換機以及其他相關網絡辦公設備。

其中計算機約有 100臺左右,集中在總部辦公大樓。

       1.3.2. 軟件資源


軟件資源主要有操作系統、 OA系統、郵件系統、視頻會議系統、 ERP系統以及和應用系統相關的其他軟件系統。

全部部署在 XXX公司總部信息中心機房內。

1.4 . 安全現狀

目前主要通過集團總部的 H3C防火墻來實現對惡意病毒防范及應用服務器的訪問控制,部分實現信息安全管理。


2. 安全建設方法

安全建設過程威脅是永遠存在的,它會對企業 /組織的業務施加影響,加之企業 /組織所處環境的合規要求,安全需求驅動了安全建設的過程。商業機密、重要資產對企業 /組織的重要性不言而喻,對它們的保護已經成為企業 /組織業務活動中重要的過程。安全保證的過程是復雜的,因此需要整體性的安全思路。風險管理是企業 /組織安全活動的基本過程,以資產為核心,考慮到內部員工、合作伙伴、供應商、客戶,內部區域、外部區域和公共網絡。人和空間的不同,已經讓安全變得復雜。安全建設的過程應涵蓋如下階段:評估、規劃、設計、實施、交付、運維、評價、改進,它基于 PDCA的思想。通過安全建設過程,我們協助用戶提高安全認知、獲得安全保證、滿足合規要求。用戶會了解到當前的現狀、與目標的距離、與要求的差距、科學的思維方式、良好的工作方法;也會得到信心、放心、省心的安全保證;用戶不再為日益嚴厲的合規要求所困惑。整體的安全思路,讓安全變得清晰和簡單。



安全體系框架安全體系為安全戰略服務,安全體系包含安全組織體系、安全管理體系、安全技術體系。

在安全組織體系中,要建立組織、明確職責、提高人員安全技能、重視雇用期間的安全、要與績效結合。

在安全管理體系中,以安全策略為主線,落實安全制度和流程,對記錄存檔。我們從最佳安全實踐出發,將安全管理體系中的過程動態化、持續化,包含風險評估程序、企業安全計劃、安全項目管理、運行維護監控、安全審計程序、持續改進計劃等,真正與企業的安全建設和安全保障過程結合起來。

在安全技術體系中,將多種安全技術相結合,包含準備、預防、檢測、保護、響應、監控、評價等。面對不斷出現的新興威脅,需要多種安全技術的協調與融合。我們深知安全體系的落實不易,多年的經驗告訴我們,安全體系的有效落實取決于多個關鍵成功因素,包含管理層批準、多部門參與、協調溝通、定期檢查、獨立審計、內部報告、外部報告等。這些工作都將有力的推動安全體系的落實與不斷完善。安全體系像是企業 /組織的免疫系統,體系的不斷完善、組織 /人員的盡職盡責、全員的風險預警意識,才能真正做到主動管理風險。

安全體系框架企業 /組織的業務不斷變化, IT架構與系統也變得更復雜,安全體系也應隨需而變。在多年不斷研究和實踐的基礎上,我們提出了全新的安全體系框架。






3. 安全需求分析


以聯動的技術理念,我們從安全管理、安全防護、安全檢測、安全審計、安全服務、以及整合安全策略、安全管理和安全技術進行有效聯動,我們按照聯動的安全體系架構分析 XXX食品的信息網絡進行了初步定性的安全分析。

本節將根據信息系統風險層次架構針對 XXX食品的 網絡安全具體情況,對各個層面進行安全分析企業 IT系統的安全風險。

3.1. 終端安全

3.1.1. 風險分析

目前系統內的終端沒有統一的安全管理措施,會出現網內計算機病毒泛濫、 IP地址濫用、終端硬件設備的變更、移動存儲設備的不規范使用以及其他和工作無關軟件的隨意安裝,給網絡管理員的日常維護帶來了諸多不必要的麻煩。


3.1.2. 需求建議

通過部署統一網絡殺毒軟件,做到對內網終端統一查殺毒(即使本次沒有開機的計算機,在下次啟動后也會自動進行查殺毒),保證全網統一,最大程度的減小了病毒傳播的可能。

使用內網安全管理軟件,將有效的解決 IP地址濫用、移動存儲設備不規范使用、任意安裝和工作無關軟件、終端硬件設備隨意變更等情況得到有效的解決。

3.2. 應用系統安全

3.2.1. 風險分析

網內應用系統是日常工作重要的支撐平臺,保證其正常運行意義重大。應用系統存在終端隨意登錄到應用系統影響 ERP系統的穩定性,操作系統本身不能及時的更新補丁文件,系統服務器病毒庫不能及時更新的弊端。

目前 XXX食品的應用系統都是基于 WEB的。

Web 業務的迅速發展也引起了黑客們的強烈關注,他們將注意力從以往對傳統網絡服務器的攻擊逐步轉移到了對 Web 業務的攻擊上。黑客利用網站操作系統的漏洞和 Web 程序的 SQL注入漏洞等得到 Web服務器的控制權限,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。

當前網絡上 75%的攻擊是針對 WEB應用的。這些攻擊可能導致網站遭受聲譽損失、經濟損失甚至政治影響。各類網站客戶已逐漸意識到 WEB安全問題的重要性,但傳統安全設備(防火墻 /IPS)解決 WEB 應用安全問題存在局限性,而整改網站代碼需要付出較高代價從而變得較難實現。

3.2.2. 需求建議

在交換機上劃分 VLAN,對各個安全域進行邏輯隔離;

在各個安全域之間部署防火墻,所有的安全域都通過防火墻接入到網絡中,各個安全域通過防火墻進行邏輯隔離,安全域之間不能直接訪問,在防火墻上通過訪問控制策略,對用戶進行文件和數據操作權限限制,防范用戶的非授權訪問。

通過 Web Application Firewall防止來自 WEB的黑客攻擊,保護重要數據和應用。

3.3. 遠程接入訪問

3.3.1. 風險分析

遠程接入功能保證分支機構能與公司內部進行正常的業務溝通。但是目前采用的接入方式數據運行于公網上,存在接入速度、數據傳輸的安全性、業務交互的流暢性等諸多其他安全風險。

3.3.2. 需求建議

通過 VPN設備構建的專用網絡,達到分支結構和內部網絡快速穩定安全的連接,最大的好處在于數據在公網傳輸都是在 VPN加密通道中,相對應的安全性較高。從而保證在專用網絡之間傳輸共享數據的安全性、可用性以及保密性。

根據目前 XXX的情況,我們建議在大型的分支機構與總部進行通信的時候采用 IPSEC VPN技術,簡化操作加強安全;針對出差人員或小型分支機構,則采用 SSL VPN技術。

3.4. 互聯網資源使用

3.4.1. 風險分析

互聯網資源在日常工作扮演重要的角色,目前在互聯網帶寬有限的情況下,存在著使用 BT、迅雷等其他下載工具惡意占用公司互聯網資源的情況;嚴重影響正常使用互聯網資源的行為,同時也將某些含有病毒、木馬的網絡資源帶入到公司內部網絡。員工在工作時間上網“沖浪”,還可能因此而面臨法律風險。例如淫穢郵件、即時訊息玩笑、什么都寫的博客、色情反動網站、下載一些侵犯版權的軟件,這些都有可能引發訴訟案件。

3.4.2. 需求建議

使用上網行為管理設備可以對用戶上網占用的帶寬進行管控,可以按網絡地址段、用戶組、個人或服務類型來制定策略對帶寬進行管理。可將帶寬劃分成若干個虛擬通道,設定每個通道的帶寬,上、下載速度的限制,優先級和管理策略等,保證關鍵應用或重要人員的上網帶寬,對有限的帶寬進行優化使用、合理分配,將網絡資源使用發揮到最大。

加強內部員工管理,避免員工在工作時間利用單位網絡做工作無關的事如網上聊天,在線視頻等。

同時上網行為管理系統提供了很好的內容屏蔽手段解決方法,它可以對這些不良網站及信息進行屏蔽管控,規避法律風險。

4. 安全體系詳細設計

4.1. 設計原則和方法

4.1.1. 聯動的安全理念

安全的靈魂與核心是先進的安全理念和可靠的安全模型。

4.1.1.1. 整體設計思路

目前,眾多廠商在安全方面提出有很多理念如, MPDRRPDRR、多層防護、縱深防御等等。這些安全理念大概可分為兩類,一類關注安全過程中各個環節,如 MPDRR等;另一類則更多關注安全過程中的某個環節的構架如多級防護等等。以上的安全理念都重點闡述安全過程分解后各環節的重要性以及相關的問題,卻忽略了各環節之間的相互聯系。我們認為:

網絡安全是整體的:我們可以通過選擇優秀的產品、優秀的服務構建一個解決方案,但如果各個優秀的產品、優秀的服務之間是孤立的,那么產品、服務環節的安全策略就是相對孤立的,無法形成整體的安全策略。這樣,孤立的環節之間就會形成漏洞,給入侵者可乘之機。

網絡安全是動態的:如果各個優秀的產品、優秀的服務等各環節之間是孤立的,則無法全面了解網絡的整體安全狀況,當然也無法根據網絡和應用情況動態調整安全策略。

因此,網絡安全需要統一、動態的安全策略,網絡安全需要聯動的安全產品,需要聯動的安全環節。也就是說,網絡系統需要一個聯動的整體的安全解決方案。

聯動是信息安全解決方案的重要思想,我們對聯動的詮釋是:

聯動的目標:提高客戶網絡的安全性,提高安全系統使用成效,更有效的保障客戶應用;降低企業的 IT經營風險,提高企業的投資回報率。

聯動的內容:我們將安全過程分為五個環節:管理、防護、監測、審計、服務,各個環節以及各環節對應的產品之間實現聯動。(五個環節的體現:管理體現在安全集中管理系統、制度管理等方面;防護體現在防火墻、 VPN、防病毒、桌面管理、行為管理等技術或者系統的防護方面;監測體現在技術或者系統的監測方面;審計體現在系統中各個產品自身的日志、審計和綜合安全審計技術或者系統上;服務體現在產品的維護和專業的評估、響應等服務方面。)

4.1.1.2. 參考標準

ISO27001 信息安全國際規范 2005

《計算機信息系統安全保護等級劃分準則》

《信息安全等級保護管理辦法》

《信息系統保密管理規定》

《關于信息安全等級保護工作的實施意見》(公通字 [2004]66號)

《中華人民共和國公共安全和保密標準》

《互聯網安全保護技術措施規定》(公安部第 82號令- 2006

塞班斯法案( 2005)-美國

4.2. 內網防病毒

4.2.1. 范圍和對象

主要針對桌面計算機防病毒和基線安全,實現全網病毒防護。

4.2.2. 方式與方法

4.2.2.1. 概述

傳統殺毒軟件需要反病毒專家在公司確認病毒,然后提取病毒特征碼,更新病毒庫才能殺毒。



用戶將可疑程序發送給反病毒公司,反病毒專家分析判斷可疑程序是否是病毒,如果確認可疑程序是病毒,提取病毒特征碼,然后通過升級,殺毒軟件才能查殺該病毒——即先中毒后殺毒,造成的損失無法挽回。

主動防御直接將反病毒專家分析判斷的過程通過軟件實現,讓計算機具有像反病毒專家一樣分析判斷病毒的能力。

東方微點主動防御軟件采用主動防御技術,用軟件自動實現了反病毒專家分析判斷病毒的過程。它實時監控計算機運行程序的行為,只要病毒程序試圖侵害電腦,微點主動防御軟件就能夠自主分析判定并攔截,保護電腦不受到病毒的侵害。

簡單來說,安裝微點,病毒就由微點主動防御軟件自動分析判斷了,就像您身邊伴隨著反病毒專家一樣。



4.2.2.2. 主動防御系統特點

1、創立動態仿真反病毒專家系統:對病毒行為規律分析、歸納、總結,并結合反病毒專家判定病毒的經驗,提煉成病毒識別規則知識庫。模擬專家發現新病毒的機理,通過對各種程序動作的自動監視,自動分析程序動作之間的邏輯關系,綜合應用病毒識別規則知識,實現自動判定新病毒,達到主動防御的目的。

2、自動準確判定新病毒:分布在操作系統的眾多探針,動態監視所運行程序調用各種應用編程接口( api)的動作,自動分析程序動作之間的邏輯關系,自動判定程序行為的合法性,實現自動診斷新病毒,明確報告診斷結論;有效克服當前安全技術大多依據單一動作,頻繁詢問是否允許修改注冊表或訪問網絡,給用戶帶來困惑以及用戶因難以自行判斷,導致誤判、造成危害產生或正常程序無法運行的缺陷。

3、程序行為監控并舉:在全面監視程序運行的同時,自主分析程序行為,發現新病毒后,自動阻止病毒行為并終止病毒程序運行,自動清除病毒,并自動修復注冊表。

4、自動提取特征值實現多重防護:在采用動態仿真技術的同時,有效克服特征值掃描技術滯后于病毒出現的缺陷,發現新病毒后自動提取病毒特征值,并自動更新本地未知特征庫,實現“捕獲、分析、升級”自動化,有利于對此后同一個病毒攻擊的快速檢測,使用戶系統得到安全高效的多重防護。

5、可視化顯示監控信息:對所監控程序行為的信息可視化顯示,用戶可隨時了解計算機正在運行哪些程序,其中哪些是系統程序,哪些是應用程序,還可進一步了解程序是何時安裝,什么時候運行,運行時是否修改了注冊表啟動項,是否生成新的程序文件,程序是否具有自啟動,程序由誰啟動執行,程序調用了哪些模塊,以及當前網絡使用狀況等等。用戶直觀掌握系統運行狀態,并依據其分析系統安全性。既可用作系統分析工具,又可作為用戶了解計算機系統的學習工具。

4.2.2.3. 主動防御系統功能

微點主動防御軟件通過智能化終端防護,分布式部署,中央集權與分級管理和監控,實現對企業網絡未知木馬和新病毒的實時主動防御,解決了傳統殺毒軟件網絡防病毒產品滯后于病毒的弊端,成功為企業構建主動防御網絡,使企業的網絡病毒防護更主動,管理更輕松。

面對現有殺毒軟件無法應對不斷出現的未知木馬和新病毒的威脅,根據企業網絡的結構特點及面臨的安全隱患,東方微點通過實施“構建安全主動防御網絡”策略,能夠達到下列目的:

?智能型安全防護終端,對未知木馬和新病毒,能夠自主識別、明確報出、自動清除;

?適應企業網絡復雜的網絡環境,多種安裝部署方式;

?強大的全網管理功能,完善的監控與報警事件處理;

?突發事件應急處理機制,有效防止病毒在網絡內傳播。

 

微點主動防御軟件網絡版是國際上率先采用“監控并舉、動態防護”的主動防御技術體系,并依據主動防御技術研制開發成功第三代反病毒軟件,同時為業界首款依據程序行為分析判斷為主特征碼為輔的全面的系統安全防護軟件,徹底顛覆了傳統殺毒軟件采用病毒特征碼識別病毒的反病毒理念,通過主動防御技術能夠自主分析判斷病毒,實現了對未知木馬和新病毒的自主識別、明確報出和自動清除,主動防殺未知木馬和新病毒 99%以上,解決了殺毒軟件無法防殺層出不窮的未知木馬和新病毒的弊端。

智能型安全防護終端,主動防殺各類未知木馬和新病毒

采用主動防御技術,依據程序行為能夠自主分析判斷未知木馬和新病毒,實現了對未知木馬和新病毒的主動防御,解決了殺毒軟件即使頻繁升級也無法防范不斷出現的未知木馬和新病毒的弊端,同時減輕了管理員的工作。

對未知木馬和新病毒實現自主識別、明確報出、自動清除

對未知木馬和新病毒能夠自主識別、明確報出、自動清除。無需用戶參與判斷。

病毒特征碼的自動提取,并全網自動分發

采用病毒特征碼自動提取技術,實現對未知木馬和新病毒特征碼的自動提取。當某一終端攔截未知木馬和新病毒后,將會自動提取該程序特征碼并更新本地特征庫,同時將提取的特征碼提交到中心服務器,管理中心服務器自動分發到全網終端,解決了傳統殺毒軟件樣本提交、特征分析、軟件升級的漫長過程,真正做到特征碼“零”響應。

主動防御黑客利用未修補的系統漏洞的攻擊入侵

即使在 windows系統漏洞未進行修復的情況下,依然能夠對黑客利用系統漏洞進行的溢出攻擊和入侵做到有效檢測、攔截,并同步準確記錄遠程計算機的 IP地址,協助用戶迅速準確鎖定攻擊源,并能夠提供攻擊計算機準確的地理位置,實現攻擊源的全球定位。結合終端實名制管理更能夠準確定位計算機的使用者和位置。

智能防火墻阻擊網絡入侵

全網終端部署智能防火墻,通過配置統一安全防護策略,實現全網防御網絡入侵,提高網絡安全防護能力。智能防火墻不同于其它的傳統防火墻,無需每個進程訪問網絡都要詢問用戶是否放行,可智能判定正常程序并自動采取相應的放行機制,有效解決了傳統防火墻技術對任何程序訪問網絡都必須報警詢問用戶是否放行,給用戶帶來巨大的困惑,不僅降低軟件的應用性,甚至由于誤判造成更大的網絡危害。

4.2.3. 選型要求

項目

功能

具體描述

操作系統

能夠支持以下操作系統:

Windows 工作站:

Windows Vista windows 7 Windows 2000 Professional

Windows XP Professional / Home Edition

Windows 服務器

Windows 2000 Server/Advanced Server Windows Server 2003 windows2008

安全防護

已知木馬、病毒防護

能夠防殺已知木馬、病毒。

未知木馬、病毒防護

能夠防殺未知木馬、病毒,對未知木馬、病毒要能夠實現自主識別(無需用戶參與判斷)、明確報出(明確報出是否是未知木馬、病毒,而不是含糊不清的危險提示)、自動清除。

未知特征碼自動提取與全網分發

能夠對判定的未知木馬自動提取特征碼,并能夠向全網終端自動分發該未知木馬的特征碼。

防利用漏洞的溢出攻擊

能夠在未修補 windows 系統漏洞的情況下,準確判斷并防御針對漏洞的溢出攻擊

終端具有防入侵和攻擊能力

終端具有防火墻功能,能夠統一配屬防火墻安全策略,抵御來自外部網絡及來自內部網絡的攻擊。

具備對可疑程序分析和診斷的能力

能夠提供程序的生成關系、啟動 / 退出、注冊表修改、網絡連接狀態、協議、端口等程序信息,便于分析和診斷可疑進程,支持遠程診斷。

具備漏洞掃描功能

能夠對全網或指定終端計算機漏洞掃描功能。

具備定位攻擊源功能

能夠記錄攻擊源或病毒傳播源的 IP 地址或計算機名稱或地理位置

支持斷網掃描功能

支持對全網或指定終端進行斷網掃描功能

支持斷網隔離功能

支持對全網或指定終端斷網隔離功能

全網管理

集中管理

支持全網終端的集中、多級管理,統一操作。

終端分組管理

支持終端分組管理模式。

多種管理方式

支持基于客戶機 / 服務器( C/S 模式)的管理架構,支持遠程管理

權限分級管理

支持管理員權限分級管理,

安全策略管理

支持網絡安全策略的管理、制定與分發,能夠根據需要預先設定多個安全策略,以便能夠在特殊情況下立即激活指定的策略;能夠對某些制定策略進行鎖定,防止下級或終端修改;能夠防止終端使用者擅自卸載終端防病毒產品。

計劃任務管理

支持計劃任務管理,并能夠制定多個計劃任務。

終端實名制管理

能夠將終端與使用者綁定,方便管理員的管理。

移動終端管理

支持對移動筆記本設備的管理,當筆記本離開網絡后,能夠進行升級

全網監控

終端病毒防護軟件狀態監控

通過管理控制臺,管理員能夠查看各終端安全防護功能的開啟 / 關閉狀態、終端在線狀態等

監控終端的系統自啟動程序信息

能夠遠程查看終端的系統自啟動項

安全事件報警

能夠記錄并遠程報警發現的病毒、網絡入侵、溢出攻擊、異常網絡訪問等。

安全事件統計

日志記錄

能夠詳細記錄終端安全事件處理、管理員操作日志

安全事件統計

能夠根據需要對安全日志中記錄的安全事件進行統計分析。

報表生成與導出

能以直觀,概要的圖形界面報告提供整個管理范圍的總體報告,管理員可定制相應的詳細報告。并支持報告導出為常見文檔格式。

4.2.4. 部署示意圖






4.3. 內網主機審計

據統計,對于所有的網絡安全隱患來說,超過 80%的安全威脅源自于部門內部。而邊界防護措施對部門內部用戶的防護作用有限。當前,關于網絡內部引發的安全問題卻常常因為沒有引起足夠的重視而疏于防范,市場上,基于內網安全的完整解決方案和產品比較缺乏。

中安源主機審計系統正是為解決這一難題而提出的,本系統能夠為國家黨政機關、企事業組織、各種涉密單位的信息保密管理提供完整的解決方案。

4.3.1. 范圍和對象

完善的網絡安全管理解決方案,能便捷、安全、有效地控制網絡資源的共享及傳遞,保護重要部門內部敏感數據的安全。

4.3.2. 方式和方法

4.3.2.1. 概述

信息化程度的提高和網絡的普及,也給單位的相關信息管理部門帶來不少管理上的要求。每個稱職的網絡管理員都會面臨著解決下面提及的一些問題。

資產管理:管理員需要掌握單位的硬件資產信息和軟件資產信息,隨著終端點數的不斷增長,如果完全依賴于人的統計,無疑是繁瑣且易出錯的任務。終端進程管理:為了有效提高單位員工的工作效率,以及保證終端系統的穩定性(經常有機器受到病毒攻擊),管理員需要規范終端的行為,對運行程序進行監視和控制。

補丁管理:很多病毒都是針對 Windows系統的漏洞進行攻擊和傳播,一臺機器中毒后可能影響到整個網絡的穩定運行,如何保證全網段的機器打上最新的系統補丁?管理員需要引入補丁管理的概念。

遠程維護:由于網絡的分布特性,遠程維護能力顯得尤為重要,它可以讓管理員在最短的時間內解決遠程用戶的問題。

接入安全管理:對于未經授權接入局域網的 PC,或者局域網內 PC擅自修改 IP的情況,需要進行阻斷或者重定向等手段進行管理。

4.3.2.2. 系統特點

中安源主機審計系統系列產品以密碼技術為支撐,以“數據安全”和“安全管理”為目標,以監控審計為輔助,從信息的源頭開始抓安全,對信息的交換通道全面保護,從而達到信息的全程安全,主要有以下幾方面的特點:

1、 對內網原網絡系統性能影響小:此產品體系完全基于 TCP/IP協議網絡,不需要改變現有網絡結構,支持遠程管理,對原系統的性能影響很小。

2、 所有外設、輸入 /輸出端口及操作都必須經過授權:僅授權的人能操作授權的計算機,僅授權的磁盤、磁盤分區、外設、移動存儲設備等能在授權的計算機上由授權的人使用,僅授權的輸入 /出端口能由授權的人使用。

3、 透明加密存儲,對終端用戶的正常使用無影響:根據用戶需求進行文件加密、文件夾加密、磁盤加密、移動存儲設備加密。

4、 可滿足文件安全傳輸的需要:對文件或者文件夾進行加密,選定接收文件的用戶或者用戶組,加密文件可以通過網絡或者存儲設備等進行交換傳輸,只有指定的用戶使用硬件 USB令牌才能打開和閱讀被加密的文件,文件傳輸安全強度高。

5、 可在內網中分設多個安全域:通過將現有網絡拓撲結構劃分為若干虛擬安全域的形式實現網絡通信的隔離。安全域之間的通信隔離體現在:高等級的安全域能夠正常訪問低等級的安全域,低等級的安全域與高等級或相同等級域之間的訪問被隔離。

6、 可建立安全服務器區:使用服務資源訪問控制系統,可以建立安全服務器區( OA服務器、文件服務器等),僅有經過管理員允許的計算機才能訪問此安全服務器區,其它任何計算機包括非法接入的計算機都不能訪問,從而保護服務器不被非法計算機訪問,防止非法接入和機密信息泄密。

7、能夠實時監視各終端用戶:實時監視計算機終端的各種操作。

8、可靠審計:記錄各種可能導致信息泄露的操作,以便在必要時進行追查。

總之,中安源可信網絡安全產品體系通過主動加密、事前控制、事中監視、事后審計四種手段相結合,可以達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果,有效防止機密敏感信息的泄漏,為企事業單位構建了一個可信可控的內網,確保“一切盡在掌控之中”。

4.3.2.3. 系統功能簡介

文件操作監控

文件安全管理功能提供共享文件訪問控制、文件訪問日志記錄等功能。

1)共享文件訪問控制。提供了兩種方式的共享文件訪問控制策略:控制其他主機訪問終端主機的共享文件和控制終端主機訪問其他主機的共享文件。在禁止訪問其他主機共享文件的策略下,終端主機將不能訪問任何主機的共享文件;在禁止其他主機訪問終端主機的策略下,任何主機都不能訪問該終端主機的共享文件。

2)文件訪問日志記錄。對訪問本地文件和訪問其他主機共享文件的操作進行日志記錄。記錄的操作日志包括文件的新建、打開、刪除、重命名以及修改等操作。

設備安全管理

通過終端用戶外設管理功能,系統能夠充分保護網絡中終端主機的安全性,保證數據不被惡意的盜竊,防止外接設備隨意連接到計算機,保證秘密信息不被竊取。外部設備管理主要從端口控制、存儲設備、打印設備和設備屬性等四個層次進行保護,如下:

外設管理層次

設備管理層次

防護對象

端口控制

串口并口、 1394 、紅外、藍牙、 PCMCIA SCSI 控制器、調制解調器

存儲設備

USB 存儲介質( U 盤、活動硬盤等)、光驅、軟驅、磁帶

打印設備

本地、遠程、虛擬打印機

設備屬性

設備管理屬性、網絡適配器屬性

1)端口控制。提供對串口并口、 1394、紅外、藍牙、 PCMCIASCSI控制器、調制解調器等端口的控制。控制策略分為兩種:允許使用和禁止使用。在允許使用的策略下,以上端口都能夠正常被使用;在禁止使用的策略下,上述端口將被禁用。

2)存儲設備。提供對 USB存儲設備、光驅、軟驅以及磁帶機的控制。

USB存儲設備

對所用的 USB接口的存儲設備進行控制,包括 U盤、活動硬盤等,不包括 USB鼠標、 USB鍵盤等非存儲設備。根據移 USB存儲設備使用策略,可以允許或者禁止移動存儲介質的使用。

l  光驅設備

根據光驅使用策略,可以允許或者禁止使用光驅設備。

l  軟驅設備

根據軟驅設備使用策略,可以允許或者禁止使用軟驅設備。

l  磁帶機設備

根據磁帶機設備使用策略,可以允許或者禁止使用磁帶機設備。除了對 USB存儲設備提供控制功能外,還對拷貝至存儲設備的文件進行詳細的日志記錄,如記錄“誰在什么時候拷貝了什么文件”。

3)打印設備。本系統控制的打印機設備包括本地打印機、網絡打印機和虛擬打印機。控制策略包括禁止使用打印操作和允許使用打印操作。在允許打印操作的情況下,對打印文件進行日志記錄,并對打印內容副本進行緩存。

4)設備屬性控制。對網絡適配器屬性和設備管理器進行控制。

l  網絡適配器屬性

通過網絡適配器屬性設置,終端用戶可以任意修改網絡配置。本系統提供了控制修改網絡適配器屬性的選項,在禁止修改的策略下,終端用戶無權打開網絡適配器屬性頁面。

l  設備管理器

通過 Windows設備管理器,終端用戶可以設置終端設備屬性。本系統提供了控制操作設備管理器的策略,在禁止使用的策略下,終端用戶無權打開設備管理器屬性頁面。

進程安全管理

中安源主機審計系統可通過設置進程的簽名白名單、簽名黑名單、名稱白名單以及名稱黑名單四種方式對進程行為進行控制。

1)進程簽名白名單控制。用戶只能運行管理員進行簽名認可的程序,其它程序全部禁止使用。這是最嚴格的用戶進程控制方式,也是最安全的進程控制方式,即使用戶更改了應用程序名也無法運行。在簽名白名單控制的策略,進程被分為兩種類型:微軟類程序和非微軟類程序。微軟類程序是指微軟公司發行的程序。

2)進程簽名黑名單控制。用戶不能運行黑名單中出現的程序,其它程序可以運行。同樣,在簽名黑名單控制的策略,進程被分為兩種類型:微軟類程序和非微軟類程序。

3)進程名稱白名單控制。通過程序的名稱進行認證,在名稱白名單列表中的程序予以運行,其余將被禁止運行。

4)進程名稱黑名單控制。通過程序的名稱進行認證,在名稱黑名單列表中的程序將被禁止運行,其余的程序予以運行。

5)進程分時段控制。為了控制方式更加靈活,本系統提供了對進程的分時段控制機制。如定義上述的控制策略只在上班時間(安全管理員可以自定義上班時間斷,如 8:00-12:00, 14:00-18:00,)生效,其余時間段的進程行為控制策略失效。

6)日志記錄。對終端用戶運行的程序進行日志記錄,包括操作者、運行時間、運行的進程名稱等信息。

桌面資源管理

遠程監控和桌面管理功能提供實時監視和控制終端計算機的運行狀況,包括:當前屏幕監視、當前運行進程監控、 CPU使用情況監視、內存使用情況監視、硬盤使用情況監視、桌面鎖定和解鎖、終端計算機注銷重啟關機、終端共享文件管理以及帳號管理等功能。

1)屏幕監控。實時監視終端用戶的計算機屏幕狀態,并提供了遠程控制開關選項,支持從中安源控制臺對終端用戶進行遠程協助。提供抓屏功能,為終端用戶的操作行為保留現場。

2)運行進程監視。實時監視終端用戶當前運行的進程的詳細信息,并且允許安全管理員可以從進程列表中選擇特定進程進行遠程終止。

3CPU狀態監視。實時監視終端用戶的 CPU使用狀態,包括具體 CPU占用值和占用比例。

4)內存狀態監視。實時監視終端用戶的內存使用狀態,包括具體內存占用值和占用比例。

5)硬盤狀態監視。實時監視終端用戶的硬盤使用狀態,包括不同磁盤驅動器的使用大小及其所占比例。

6)桌面鎖定和解鎖。從中安源控制臺可以對終端桌面進行鎖定,在鎖定狀態下,終端計算機不能進行任何操作,安全管理員發送解鎖指令后,終端才能恢復正常工作。

7)終端計算機注銷重啟關機。從中安源控制臺可以對終端計算機發送注銷、重啟和關機指令。

8)終端共享文件管理。能夠枚舉共享文檔屬性、類型和當前連接情況,能夠刪除共享文件夾,對文檔共享情況進行控制,解決了終端用戶隨意共享文件或忘記取消文件共享所帶來的文件泄密隱患。

9)終端帳號管理。能夠枚舉目標主機中所有的帳號和分組情況;能夠新增用戶、刪除用戶;能夠鎖定某個帳號,并對帳號進行解鎖;能夠修改帳號的密碼,能夠對帳號的權限進行管理(例如可以將管理員帳號的權限降低為普通用戶權限)。

終端資產管理

終端資產管理功能包括硬件資產管理和軟件資產管理兩部分,并且提供強大的統計功能。

1)硬件資產管理。

安裝硬件信息

本系統在用戶登入后,記錄下終端的所有硬件安裝信息,記錄的硬件類型包括:鍵盤、鼠標、主板、操作系統、 CPU、內存、硬盤、網卡、聲卡等。

變動硬件信息

檢測終端發生變動的硬件信息,并且提供對照信息,變動的硬件信息以不同的顏色進行標記,方便管理員進行瀏覽對比。

2)軟件資產管理

安裝軟件信息

本系統在用戶登入后,記錄下終端的所有軟件安裝信息并且進行日志記錄。

變動軟件信息

檢測終端發生變動的軟件信息,并且記錄日志。

3)資產統計

提供豐富的統計工具,管理員能夠方便地了解內網中的所有資產情況。

文件分發與補丁管理

對于一個中大規模的內部網絡,在安裝軟件或補丁時要求管理員逐臺主機進行安裝,那將會導致工作效率非常低。軟件(補丁)分發功能提供了有效的方式來分發和安裝軟件及補丁程序,大大提高了管理員的工作效率。該功能提供了三種軟件分發模式:文件傳輸、執行軟件和安裝軟件。

1)文件傳輸。如果設定文件傳輸模式,那么管理員選定的文件將被傳輸到終端主機的指定目錄。

2)執行軟件。如果設定軟件執行模式,那么管理員選定的軟件將被傳輸到終端主機的指定目錄,并且開始執行。

3)安裝軟件。如果設定安裝軟件模式,那么管理員選定的軟件將被傳輸到終端主機的指定目錄,并且開始進行安裝。如果終端用戶強行退出安裝,重新啟動后又將提示終端用戶進行安裝,直到終端用戶成功安裝了該軟件。本系統提供了對分發結果進行查詢統計;能夠即時終止、編輯軟件分發任務;能夠針對指定的操作系統進行軟件分發;能夠針對特定的計算機分組范圍進行軟件分發。

即時消息

即時消息功能為終端用戶和管理員提供了一個交流通道,方便他們及時進行溝通。這個交流通道是雙向的,由終端用戶即時消息和管理員公告兩個組件組成。

1)終端用戶即時消息。終端用戶可以利用該組件向管理員發送消息,該消息會顯示在管理控制臺的預警平臺上,管理員可以及時進行處理。同時,該消息也會保存到中安源服務器,方便管理員不在線的情況可以進行事后處理。

2)管理員公告。管理員可以針對某一個特定用戶、一個特定的組或者是整個網絡發送管理員公告。

ARP 防火墻

ARP防火墻能夠有效地杜絕 ARP病毒攻擊,一旦內部網絡中出現了 ARP攻擊,首先會對攻擊行為進行預警,然后將對 ARP攻擊所導致的 MAC地址混亂的現象進行清理,通過將其設置為靜態 MAC地址從而避免了 ARP攻擊所帶來的影響。


4.3.3 . 部署示意圖

4.4. 應用系統運行安全

4.4.1. 范圍和對象

主要針對應用服務器的安全防護。

4.4.2. 方式和方法

通過防火墻劃分安全域,將重要服務器置于安全區域保護下,同時劃分 VLAN隔離部門。

采用 WAF 保護 Web應用。下面詳細闡述:

4.4.2.1. 概述

根據 Gartner 的調查,信息安全攻擊有 75% 都是發生在 Web 應用層而非網絡層面上, 2/3 Web 站點都相當脆弱,易受攻擊。另外,在今年 4 月國家計算機網絡應急技術處理協調中心最新發布的報告中指出,“ 2007年度,網絡仿冒、網頁惡意代碼、網站篡改等增長速度接近 200%。”而隨著 Web2.0 應用的推廣,相關安全問題逐漸凸顯,針對該類網站的攻擊事件也在不斷增多。

1SQL注入

2.木馬上傳

3.遠程溢出

4XSS

5.本地、遠程包含漏洞利用

6.重要信息竊取

7.驗證、認證繞過

8CookieSession劫持

9.網站掛馬

10.應用層 DOS攻擊



4.4.2.2. 部署方式

“銥迅 Web 應用防火墻”支持多種靈活的部署方式,如透明網橋模式、單機模式、旁路反向代理模式。其中,“銥迅 Web應用防火墻”的透明網橋模式尤為出色,管理員在不需要修改原網絡拓撲結構的情況下,“銥迅 Web應用防火墻”相當于一根網線串入網絡中,對 Web攻擊進行防御。



在本方案中, WAF的部署方式如下圖:

4.4.2.3. 防護功能

“銥迅 Web應用防火墻”可以給您的 Web服務器提供應用層的全方位的保護,功能包括:

1.黑客攻擊防護

l SQL注入攻擊(包括URL、POST、Cookie等方式的注入)

l XSS攻擊

l Web 常規攻擊(包括遠程包含、數據截斷、遠程數據寫入等)

l 命令執行(執行Windows、Linux、Unix 關鍵系統命令)

l 緩沖區溢出攻擊

l 惡意代碼


2.違反策略防護

l 非法 HTTP協議

l URL-ACL匹配

l 盜鏈行為


(未完待續)
發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富