第一篇:医疗行业内网安全整体解决方案
医疗行业
信息安全解决方案
北京亿百维信息科技有限公司
概述
在经济全球化、社会信息化的进程中,我国医院已进入了数字化和信息化时代。经历了20多年的发展,已初具规模并取得了长足的进步。大型的数字化医疗设备在医院中使用,各种医院管理信息系统和医疗临床信息系统正在普及。
作为医疗行业信息化的重要推动力,医院信息系统(HIS)经过近二十年的发展,已经初具规模。目前,我国大部分医院网络系统分为两个部分——用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医院业务网是医院业务开展的平台,为了保障安全,业务网与办公网之间进行了物理隔离。然而,随着业务网应用的深入,业务网内网存在的一些不安全因素成为影响其正常运行的重大隐患,例如人员的非法接入、因员工滥用移动存储导致的信息泄漏,违规使用BT等P2P软件造成的带宽滥用等。为了保障内网安全,深化医疗信息化的发展,医院迫切需要一套有效的信息安全管理系统。
挑战
外来人员非法接入给企业的信息安全带来了严重的隐患。
业务网与互联网物理隔离导致的操作系统补丁无法及时更新,安全漏洞无法及时解决。
员工滥用移动存储设备造成的信息泄露和病毒泛滥。
内部人员滥用P2P软件,工作时间在线观看流媒体视频造成网络带宽被占用,工作效率下降。
终端主机硬件信息统计困难,企业中IT资产不明确,传统的IT管理部门缺少高效可靠的IT管理方法。
由于信息安全设备日益增加,面对各种信息安问题时信息企业中的IT管理者缺少信息安全事件管理平台。
整体解决方案架构
医疗行业信息安全整体解决方案主要从以下几点解决问题:
1、网络安全:防火墙、VPN、入侵检测,AAA认证服务器
2、终端安全解决方案:防病毒、上网行为管理、桌面安全管理
3、数据安全:备份与恢复,数据防护,安全审计
4、综合管理:应用监控,安全监控与事件管理
医疗行业解决方案架构图
整体解决方案说明:
Symantec Endpoint Protection——端点防毒
概述:
企业目前面临着利用端点设备中的漏洞,更为隐蔽、目标性更强、旨在获取经济利益的威胁。多种上述复杂威胁会避开传统的安全解决方案,使企业容易成为数据窃取和操控的受害者、造成关键业务服务中断并导致公司品牌和声誉受损。为了提前应对这些隐蔽多变的新型安全威胁,企业必须升级他们的端点防护措施。
Symantec Endpoint Protection 让企业能够采用更为有效的整体方法,来保护笔记本电脑、台式机和服务器等端点。其中结合了五种基本安全技术,可针对各种已知威胁和未知威胁主动提供最高级别的防护,这些威胁包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、Rootkit 和零日攻击。该产品将业界领先的防病毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中,通过中央管理控制台进行管理。而且,管理员可以根据他们的具体需要,轻松禁用或启用上述任何技术。Symantec Endpoint Protection 实现无缝的多层端点防护,可提供:
• 高级威胁防御 — 超越基于特征的传统文件扫描方法,可针对企业内外的各种已知威胁和未知威胁提供全面的端点防护。Symantec Endpoint Protection 通过可自动分析应用程序行为和网络通信的最佳技术提供高级主动防护,同时包含其它多种工具,可限制高风险的设备和
应用程序行为。
• 简化的整体端点防护方法 — 通过将多种基本端点安全技术整合为一个代理,Symantec Endpoint Protection 非常便于安装、维护和更新,让企业能够在节省时间和成本的同时保护资产和业务。其自动安全更新可针对最新威胁提供无忧防护。另外,该产品提供统一的管理控制台,它具备图形报告、集中日志记录和阈值警报等功能,为管理员提供全面的端点可见性。
统一的防控制管理平台
主要功能:
无缝集成了一些基本技术,如防病毒、反间谍软件、防火墙、入侵防御、设备和应用程序控制。
只需要一个代理,通过一个管理控制台即可进行管理。 由终端安全领域的市场领导者提供无可匹敌的终端防护。
无需对每个终端额外部署软件即可立即进行 NAC 升级。
为所有 Symantec Endpoint Protection 技术和 Symantec Network Access Control 提供一个代理。为管理所有 Symantec Endpoint Protection 技术和 Symantec Network Access Control 提供一个集成的界面。
控制可以连接到计算机的外设以及这些外设的使用方式。它可以锁定一个终端,阻止其与拇指驱动器、CD 刻录机、打印机和其他 USB 设备相连。 防止敏感的机密信息从终端被提取或窃取(数据泄漏)。 防止终端被通过外设传播的病毒感染。
端点防毒与准入控制无缝结合
主要优势
阻截恶意软件,如病毒、蠕虫、特洛伊木马、间谍软件、恶意软件、bot、零日威胁和
rootkit。
防止安全违规事件的发生,从而降低管理开销。降低保障终端安全的总拥有成本。 最佳的客户端和服务器性能优化客户端启动时间和程序调用时间为不同大小和环境的客户提供全面保护和更佳的性能。
Symantec Network Access Control——网络准入控制 概述:
企业中的各个端点处于受控状态,这对 IT 基础架构及其相关业务操作的整体安全性和可用性具有重要影响。新一轮的复杂犯罪软件不仅以特定公司为目标,而且以台式机和笔记本电脑为目标,将其作为后门侵入点来攻击这些企业的业务运作和重要资源。企业要保护自身免遭这些有目标威胁的侵扰,必须采取相关措施,保证每个端点都始终遵从企业安全和配置管理策略。如果企业无法保证遵从端点策略,就会面临一系列威胁,包括恶意代码在整个企业内扩散、核心业务服务中断、增加 IT 恢复和管理成本、泄漏机密信息、公司品牌受损以及因不遵从相关法规而被罚款。
Symantec Network Access Control 使企业能够确保正确配置及设置用户端点的安全状态,其中包括现场员工、远程员工、访客、承包商以及临时工作者的端点,然后才允许他们访问企业网络中的资源。该解决方案能够发现并评估端点遵从状态,设置正确的网络访问权限并提供补救功能,确保符合端点安全策略和标准。Symantec Network Access Control 独立于网络操作系统,能够与任何网络基础架构轻松集成,所以与竞争对手的解决方案相比,其实施更加全面、速度更快且更加经济有效。
通过利用 Symantec Network Access Control 的端点遵从验证和实施功能,企业可以: • 减少恶意代码(如病毒、蠕虫、间谍软件和其它形式的犯罪软件)的传播 • 通过对访问企业网络的不受控端点和受控端点加强控制,降低风险 • 为最终用户提供更高的网络可用性,并减少服务中断的情况 • 通过近乎实时端点遵从数据获得可验证的企业遵从信息
• 企业级集中管理架构将总体拥有成本降至最低
• 验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当
Symantec Network Access Control 架构
主要功能:
阻止或隔离不遵从的设备,防止其访问公司网络和资源。
按照预定义的模板对主机完整性进行测试(如补丁级别、服务包、防病毒软件和个人防火墙状态),并且根据企业环境量身定制自定义检查。 对公司网络内外的受管理和未加管理的笔记本电脑、台式机和服务器提供全方位的终端防护。
与 Symantec Endpoint Protection 11.0 无缝集成。
网络准入控制流程
主要优势:
减少恶意代码(如病毒、蠕虫、特洛伊木马、间谍软件和其他形式的犯罪软件)的传播机会
为最终用户提供更高的网络可用性,并减少服务中断的情况。
通过近乎实时的终端遵从检查获得可验证的企业遵从信息
验证对防病毒软件和客户端防火墙这样的终端安全产品投资是否得到充分利用。
Veritas NetBackup平台——新一代数据保护
概述:
作为企业备份和恢复领域毋庸置疑的市场领先解决方案,Veritas NetBackup 能够为企业
备份和恢复环境提供无可匹敌的数据保护。通过实施能够对整个企业的台式机、远程办公室和数据中心提供保护的统一数据保护解决方案,将成本和复杂性降至最低。NetBackup 提供了简化的集中式实时管理,可以帮助企业管理备份和恢复的方方面面,包括基于磁盘和基于磁带的数据保护它可以充分发挥磁盘的功能,以进行比以往更快速、更可靠、更安全的备份和恢复。通过使用存储生命周期策略来创建存储层并在整个生命周期自动移动备份数据来实现服务水平协议(SLA)的承诺。此外,通过利用集成的 Bare Metal Restore™ 实现了高级的自动灾难恢复,从而在任何平台上,15 分钟之内即可进行全面的系统恢复,同时能够实现关键应用程序的全面恢复。为了在数据发往异地进行长期存储之前确保其安全,NetBackup 提供了各种授权和访问控制以及加密选件。
NetBackup 管理控制台提供了一个中心位置来进行 NetBackup 设置和管理。
主要功能:
提供单一平台,用于跨越存储层、位置和操作系统来管理、保护和恢复数据。 具有基于磁盘的高级数据保护功能,包括重复数据删除技术、全新的虚拟磁带库(VTL)控制、对第三方磁盘硬件设备的支持,以及更多快照功能。 为虚拟环境、关键应用程序、数据库和服务器提供集成的数据保护和恢复能力。
优于 VTL:伸缩性更强、成本更低、任意磁盘、全球重复数据删除技术、核心和远程办公室
主要优势:
通过实施能够对整个企业的台式机、远程办公室和数据中心提供保护的统一数据保护解决方案,将成本和复杂性降至最低。 凭借磁盘式快速备份满足备份时间要求、提高存储利用率,并且在多供应商存储环境中支持更多灵活的灾难恢复计划。
可以为 VMWare 环境以及 Microsoft Exchange Server 2007 等电子邮件应用程序和大型数据库提供高级防护,从而能够以更少的人力管理更多的数据。
LANDesk ——IT管理套件 概述:
在企业网络中,终端设备是最终用户感受最为直接的地方。对于IT管理人员来说,终端的管理通常最为繁琐,频繁的软件补丁和升级、终端系统重装和维护、管理经常变化的设备资产等,使得网络管理者很忙碌。
怎么才能简化繁琐的终端系统管理呢?国际人力资源服务公司Adecco利用蓝代斯克管理套件,对其荷兰170个办事处和比利时160个办事处的近2千台终端系统进行管理,仅需要20分钟,就完成了对所有终端设备的软件升级工作。
蓝代斯克管理套件是一个集成的IT管理解决方案,能够让企业用户集中管理整个企业的IT管理任务,包括系统管理、设备发现、库存/IT资产管理、操作系统镜像和迁移、软件分发和软件许可监控等——所有的任务只需在单一控制台上即可实现。®
IT专家针对整体基础架构更多的控制力及简单的管理
主要功能:
资产管理——对于诸如“我的企业有多少台电脑?都分别是什么操作系统?哪些系统应该升级了?” 这些一直困扰管理人员的问题,可以利用蓝代斯克管理套件中的IT资产管理功能解决。在它的帮助下,管理人员通过控制界面就可以对所有设备的相关信息一览无余,可以远程确定系统升级方案而无须到现场打开机箱后再做决定。
通过Internet安全地管理——蓝代斯克管理套件中采用的LANDesk管理网关,使IT管理人员能够通过互联网安全地管理系统——即使是在公司防火墙之外的系统,也能清晰掌握其系统状况。这种管理方式充分利用了原有互联网连接和基础设施,无需VPN也无需专门租用线路就可以进行终端的安全和配置管理。
支持英特尔AMT技术——LANDesk管理套件支持英特尔AMT技术,使IT管理人员能够发现带外设备并远程修复系统。即使远程计算机没有响应,也能够借助扩展的恢复和故障发现及修复工具,从单一的集中控制台上远程解决问题。
远程控制——相信大多数IT管理员都使用过PC Anywhere或者VNC这样的远程控制软件,蓝代斯克管理套件的远程控制模式之一就类似于上述软件,同时还提供了远程咨询的模式。
软件许可监控——蓝代斯克软件许可监控功能可以让管理员对企业内用户的应用了若指掌,并针对不同使用率的用户采取不同的管理策略,这一功能还能禁止违规软件(如游戏和聊天工具)的运行。
操作系统分发——只需对IT管理员的工作做简单统计,不难发现最让管理员头疼的工作就是反复安装操作系统。蓝代斯克管理套件中的操作系统分发功能可以解除这一痛苦,它可以在一个任务中实现批量的安装工作,从而几倍、十几倍地提升操作系统安装的效率。
轻松的发现企业中的计算机资产及变更
主要优势:
通过一个全面管理解决方案管理所有的系统以及复杂网络环境中的所有用户,为您节省时间,提高工作效率。 软件自带的工具能在任何网络环境中对用户进行支持,从而降低了对helpdesk的使用需求和相关成本。
随时保持补丁的最新状态以及系统更新的及时性,维护系统级别的安全策略,从而保障了用户的生产力,并减少了资源需求。 超高效率、容错设计的专利软件分发技术帮助您节省时间和网络带宽。 综合软件证书监控功能可帮助您降低软件证书成本并快速响应审计需求。 轻松简便地向新操作系统配置用户及用户设置,从而推进效率的提升。
Websense Web Security Suite——上网行为管理
概述:
Websense® Web Security Suite™ 为领先的网络安全解决方案,除了包含 Websense
Enterprise 的全部功能之外,Web Security Suite™ 还可协助企业防范新兴及现有的Web 威胁。它可以防范间谍软件、恶意行动代码(MMC)、网络诈骗攻击、傀儡网络、病毒及其它威胁。与其它一些解决方案不同,Websense 还可以封锁间谍软件和键盘侧录程序的反向信道通讯,进而避免企业遭受攻击的损失;网页信誉(Web reputation)可评定网站信用等级,针对可疑的网站内容进行封锁,以避免可疑内容造成的损失。
使用 100 多个专利程序与系统扫描分析新兴及复杂的安全威胁
主要功能:
提供业界领先的 Web 过滤功能——透过业界最完整的超过 3 千 5 百万条网页数据库及超过 90 种类别的弹性管理,控管使用者上网行为,避免不必要的网页浏览带来的威胁。
动态管理网络带宽使用——可控管高流量应用如在线流媒体、P2P软件等。
在已知威胁到达端点之前予以封锁——Websense Web Security Suite 可辨识恶意网站、协议、应用程序和(连接端口为80或非80端口的)HTTP流量等安全威胁,并在因特网网关上封锁其访问。
减少与威胁的接触时间——Websense ThreatSeeker 技术提供的实时安全更新,在发现新的高风险威胁后,5分钟内即会自动启动,无需人工介入。 管理即时 IM 和 IM 附件——Websense Web SecuritySuite 填补了 IM 通讯中既有的安全性和遵从性漏洞,从而避免了巨大的知识财产盗窃及恶意攻击风险。
深度挖掘调查报告
主要优势:
超过 10 类 Proxy Avoidance Protocol 与 Web Categories 能阻挡使用者穿透快取与防火墙的意图 超过 90 次Security Updates(RTSU)平均每天发布,频率可达数分钟一次 超过 8,500 次(2007 Q2)Real-Time Security Updates(RTSU)在 2007 Q2 间 超过 6 亿个每周根据恶意内容的风险与网页声誉扫描 URL 超过 50%2008 年市占率,根据 Gartner 2007 年 7 月公布的报告 超过 3,500 万个 网站存在于 Websense Master Database 中
超过 90 种 网站类别,每个类别都有不同的策略设定与处理方式
超过 50 国 支持多国语系的网站,包括中文、韩文、日文、马来文、越南文等 超过 100 种 可管理的通讯协议,并且会动态更新 超过 4,000 万台 使用的计算机数
第二篇:内网安全整体解决方案
内网安全整体解决方案
内网安全整体解决方案
二〇一八年五月
第 i 页 内网安全整体解决方案
目录
第一章 总体方案设计......................................................................................................................................3 1.1 依据政策标准...............................................................................................................................................3 1.1.1 国内政策和标准..................................................................................................................................3 1.1.2 国际标准及规范..................................................................................................................................5 1.2 设计原则.......................................................................................................................................................5 1.3 总体设计思想...............................................................................................................................................6 第二章 技术体系详细设计..............................................................................................................................8 2.1 技术体系总体防护框架...............................................................................................................................8 2.2 内网安全计算环境详细设计.......................................................................................................................8 2.2.1 传统内网安全计算环境总体防护设计..............................................................................................8 2.2.2 虚拟化内网安全计算环境总体防护设计........................................................................................16 2.3 内网安全数据分析.....................................................................................................................................25 2.3.1 内网安全风险态势感知....................................................................................................................25 2.3.2 内网全景流量分析............................................................................................................................25 2.3.3 内网多源威胁情报分析....................................................................................................................27 2.4 内网安全管控措施.....................................................................................................................................27 2.4.1 内网安全风险主动识别....................................................................................................................27 2.4.2 内网统一身份认证与权限管理........................................................................................................29 2.4.1 内网安全漏洞统一管理平台............................................................................................................32 第三章 内网安全防护设备清单.....................................................................................................................33
第 ii 页 内网安全整体解决方案
第一章 总体方案设计
1.1 依据政策标准
1.1.1 国内政策和标准
1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)4.《信息安全等级保护管理办法》(公通字〔2007〕43号)5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)
9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)
10. 国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)
11. 《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)
12. 国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13. 《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》
14. 《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求
第 3 页 内网安全整体解决方案
第2部分:云计算安全扩展要求(征求意见稿)》
15. 《GB/T 25070.2-XXXX 信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全要求(征求意见稿)》
16. 《GA/T 20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》
17. 《信息安全技术 信息系统安全等级保护基本要求》 18. 《信息安全技术 信息系统等级保护安全设计技术要求》 19. 《信息安全技术 信息系统安全等级保护定级指南》 20. 《信息安全技术 信息系统安全等级保护实施指南》 21. 《计算机信息系统 安全等级保护划分准则》 22. 《信息安全技术 信息系统安全等级保护测评要求》 23. 《信息安全技术 信息系统安全等级保护测评过程指南》 24. 《信息安全技术 信息系统等级保护安全设计技术要求》 25. 《信息安全技术 网络基础安全技术要求》
26. 《信息安全技术 信息系统安全通用技术要求(技术类)》 27. 《信息安全技术 信息系统物理安全技术要求(技术类)》 28. 《信息安全技术 公共基础设施 PKI系统安全等级保护技术要求》 29. 《信息安全技术 信息系统安全管理要求(管理类)》 30. 《信息安全技术 信息系统安全工程管理要求(管理类)》 31. 《信息安全技术 信息安全风险评估规范》 32. 《信息技术 安全技术 信息安全事件管理指南》 33. 《信息安全技术 信息安全事件分类分级指南》 34. 《信息安全技术 信息系统安全等级保护体系框架》 35. 《信息安全技术 信息系统安全等级保护基本模型》
第 4 页 内网安全整体解决方案
36. 《信息安全技术 信息系统安全等级保护基本配置》
37. 《信息安全技术 应用软件系统安全等级保护通用技术指南》 38. 《信息安全技术 应用软件系统安全等级保护通用测试指南》 39. 《信息安全技术 信息系统安全管理测评》
40. 《卫生行业信息安全等级保护工作的指导意见》
1.1.2 国际标准及规范
1.国际信息安全ISO27000系列 2.国际服务管理标准ISO20000 3.ITIL最佳实践 4.企业内控COBIT 1.2 设计原则
随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。
目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷
第 5 页 内网安全整体解决方案 等安全事件的发生
如上图所示,本项目的设计原则具体包括:
整体设计,重点突出原则 纵深防御原则
追求架构先进、技术成熟,扩展性强原则 统一规划,分布实施原则 持续安全原则 可视、可管、可控原则
1.3 总体设计思想
如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体内容:
第 6 页 内网安全整体解决方案
一个体系
以某单位内网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户内网实际场景的安全基线,通过构建纵深防御体系、内部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。
三道防线
结合纵深防御的思想,从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现内网核心系统和内网关键数据的风险可控。
四个安全能力
采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。
预测能力:通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题,甚至遇见可能侵袭的威胁,随之调整安全防护策略来应对。
防御能力:采用加固和隔离系统降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力,并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏混淆系统接口信息(如创建虚假系统、漏洞和信息),此外,通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动,防止黑客未授权而进入系统,并判断现有策略的合规性并进行相应的优化设置。
检测能力:通过对业务、数据和基础设施的全面检测,结合现有的安全策略提出整改建议,与网络运维系统联动实现安全整改和策略变更后,并进行持续监控,结合外部安全情况快速发现安全漏洞并进行响应。
响应能力:与网络运维系统进行对接,实现安全联动,出现安全漏洞时在短时间内,进行安全策略的快速调整,将被感染的系统和账户进行隔离,通过回顾分析事件完整过程,利用持续监控所获取的数据,解决相应安全问题。
第 7 页 内网安全整体解决方案
第二章 技术体系详细设计
2.1 技术体系总体防护框架
在进行内网安全防护技术体系详细设计时,充分考虑某单位内部网络面临的威胁风险和安全需求,并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》,通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》切实做到内部网络安全的风险可控。
三重防护主要包括:内网安全计算环境、内网安全数据分析、内网安全管控措施。
2.2 内网安全计算环境详细设计
2.2.1 传统内网安全计算环境总体防护设计
第 8 页 内网安全整体解决方案
如上图所示,在内网安全计算环境方面结合互联网与办公网的攻击,围绕网络、主机、应用和数据层实现安全防护,具体内容包括:
网络层安全防护设计
1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。
2、在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。
3、在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析,通过会话时间、协议类型等判断业务性能和交互响应时间。
主机层安全防护与设计
1、在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。
2、通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。 应用层安全防护与设计
1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护
第 9 页 内网安全整体解决方案
2、通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。 数据层安全防护与设计
1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制
2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。
3、在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密
2.2.1.1 内网边界安全
2.2.1.1.1 内网边界隔离
严格控制进出内网信息系统的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。2.2.1.1.1 内网恶意代码防范
病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从内网边界入手,切断传播途径,实现网关级的过滤控制。
建议在该区域部署防病毒网关,对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播 2.2.1.1.2 内网系统攻击防护
网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
第 10 页 内网安全整体解决方案
IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。2.2.1.1.3 内网信息隔离防护
建议在内网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。
2.2.1.1 内网主机安全
2.2.1.1.1 内网用户行为管控
上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。2.2.1.1.2 内网非授权用户准入
在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对内网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。
由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管
第 11 页 内网安全整体解决方案
理制度执行不到位的情况出现,就迫切需要通过技术手段规范员工的入网行为。
为加强网络信息安全管理以及内部PC的安全管理,提高内网办公效率,应建立一套终端准入管理系统,重点解决以下问题:
入网终端注册和认证化
采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。
违规终端不准入网 违规终端定义
外来终端:外部访客使用的终端,或者为非内部人员使用的、不属于内部办公用终端(员工私人终端等);
违规终端:未能通过身份合法性、安全设置合规性检查的终端。
入网终端安全修复合规化
终端入网时若不符合单位要求的安全规范,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规范后才能正常访问单位网络。
内网基于用户的访问控制
内网基于用户的访问控制:可以通过用户组(角色)的方式定义不同的访问权限,如内部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。2.2.1.1.3 内网终端安全防护
建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常
第 12 页 内网安全整体解决方案
适合于对数据中心运维终端的安全管理。
终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。2.2.1.1.4 内网服务器安全加固
建议在内网所有服务器部署安全加固组件,针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。2.2.1.1.5 内网服务器安全运维
由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:防火墙、带有访问控制功能的交换机)的配合下,成为进入内部网络的一个检查点,拦截对目标设备的非法访问、操作行为。
运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。
第 13 页 内网安全整体解决方案
建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。
2.2.1.1 内网应用安全
2.2.1.1.1 内网应用层攻击防护
建议内网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。
WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自内网的跳板型渗透攻击,当内部终端或服务器被黑客攻陷后,为防止通过跳板机对内网其他应用系统进行内网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护内部系统正常运行
2.2.1.2 内网数据安全
2.2.1.2.1 内网数据防泄密
建议在内网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业内部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果。
员工未经授权,不管以任何方式将数据带离公司的环境,都无法正常查看。如:加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外(公司外部或公司内没有安装绿盾终端的电脑),那么将无法正常打开
第 14 页 内网安全整体解决方案
使用,显示乱码,并且文件始终保持加密状态。只有经过公司审批后,用户才可在授予的权限范围内,访问该文件。
1)在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;
2)员工不管通过QQ、mail、U 盘等各种方式,将单位内部重要文件发送出去,数据均是加密状态;
3)存储着单位重要数据的U 盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;
4)员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本内任何数据; 2.2.1.2.2 内网数据库安全审计
建议在内部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括:
数据操作类(如select、insert、delete、update等)结构操作类(如create、drop、alter等)
事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等)
用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。
第 15 页 内网安全整体解决方案
2.2.2 虚拟化内网安全计算环境总体防护设计
2.2.2.1 划分虚拟安全域
图中提供安全组、连接策略两种方式。安全组类似白名单方式,而连接策略
第 16 页 内网安全整体解决方案
类似黑名单方式。通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。
在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。
在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。
以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。
这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。
南北向流量访问控制
第 17 页 内网安全整体解决方案
在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。
东西向流量访问控制
虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。
2.2.2.2 内网安全资源池
与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件 SDN 网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件内置虚拟机形态),可部署在通用架构(如 x86)的服务器中,连接到虚拟交换机上,由端点的 agent 统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极大地提高了系统的整体防护效率。
通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。
第 18 页 内网安全整体解决方案
如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。
由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩,可应用于云计算环境,也可应用于传统环境,以抵御日益频繁的内外部安全威胁。当然,在云环境中,安全资源池不仅可以解决云安全的落地,而且能发挥虚拟化和 SDN 等先进技术的优势,实现最大限度的软件定义安全。
2.2.2.3 安全域访问控制
为提升虚拟主机及网络的安全性,针对虚拟网络安全边界设定访问控制策略,对于纵向流量、横向流量进行基于IP与端口的访问路径限制。
对于虚拟网络边界进行区域请求控制 VPN接入边界访问控制 Vlan访问控制
2.2.2.4 iaas系统虚拟化安全规划
虚拟机的镜像文件本质上来说就是虚拟磁盘,虚拟机的操作系统与使用者的系统数据全部保存在镜像文件中,对镜像文件的加密手段是否有效,将直接关系
第 19 页 内网安全整体解决方案
虚拟主机的安全性。建议部署镜像文件加密系统,对iaas区域下的数据盘镜像文件进行加密,采用任何国家认可的第三方加密算法进行加密。同时解密密码与uKey绑定,即使数据中心硬件失窃,也无法被破解。加密行为包括:授权、加密、解密功能。
2.2.2.5 虚拟资产密码管理
为增强虚拟资产的密码防护功能,建议通过密钥管理与资产管理分离的技术方式,实现管理员仅维护信息资产,用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全
2.2.2.6 虚拟主机安全防护设计
虚拟主机安全防护设计主要实现如下目标: 资产清点
自动化的进行细粒度的风险分析 安全合规性基线检查
对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析
第 20 页 内网安全整体解决方案
如上图所示,通过收集主机上的操作系统、中间件、数据库等配置数据,准确分析应用系统在不同层面的配置信息,结合第三方病毒库进行漏洞和风险分析,并及时给出整改加固建议。
2.2.2.7 内网虚拟化安全运维平台
2.2.2.7.1 集中账号管理
在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号,统一维护云平台与服务器管理帐号,实现与各云平台、服务器等无缝连接。
第 21 页 内网安全整体解决方案 2.2.2.7.2 统一登录与管控
用户通过云堡垒机管理系统单点登录到相应的虚拟机,且所有操作将通过云堡垒机系统进行统一管控,只需要使用云堡垒机提供的访问IP、用户名、密码登录后,用户即可登录相应的云平台与服务器,而不需要反复填写对应云平台与服务器的地址、用户名、密码。
用户可通过vsphere client登录vmware vsphere云平台进行管理,输入云堡垒机为该云平台提供的访问IP与用户在云堡垒机中的用户名和密码即可完成登录。
第 22 页 内网安全整体解决方案
2.2.2.7.3 记录与审计
通过云堡垒机管理系统的访问历史记录回放功能,可随时查看每个用户对所属服务器、虚拟机的访问情况。
windows历史访问回放
第 23 页 内网安全整体解决方案
linux历史访问回放
在回放过程中,用户可以试用云堡垒机的“智能搜索”功能大大加快回放速度,快速定位到用户可疑操作位置。
Windows回放智能搜索
回放智能搜索
第 24 页 内网安全整体解决方案
云堡垒机系统还提供会话管理功能。可以通过云堡垒机系统快速查看用户会话,实时监控,以及中断会话。2.2.2.7.1 权限控制与动态授权
云堡垒机系统统一分配系统角色对应的云平台与服务器权限,当用户在真实使用场景下的角色权限与云堡垒机系统中预置的角色权限,不一致时,可通过云堡垒机的动态授权功能,对角色的云平台与服务器权限进行方便灵活变更。
2.3 内网安全数据分析
2.3.1 内网安全风险态势感知
建议部署态势感知系统,检测已知位置的终端恶意软件的远控通信行为,定位失陷主机,根据态势感知设备的告警信息,采集、取证、判定、处置内网终端主机上的恶意代码,针对未知恶意文件攻击,将流量还原得到的办公文档和可执行文件放入网络沙箱虚拟环境中执行,根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序,及植入攻击行为。检测各类植入攻击:邮件投递,挂马网站,文件下载,准确识别0day、Nday漏洞入侵的恶意代码
2.3.2 内网全景流量分析
建议部署内部网络流量分析系统,数据的传递介质是网络协议,网络流量作
第 25 页 内网安全整体解决方案
为网络协议中最有价值的安全分析维度,其本身就承载着重要的风险识别作用,针对内部网络的任何攻击行为都将在内部异常流量中呈现本质化特征,因此基于流量的内网安全数据分析是最能客观反映当前内网安全等级的参考指标。
2.3.2.1 基线建模异常流量分析
流量异常检测的核心问题是实现流量正常行为的描述,并且能够实时、快速地对异常进行处理。系统采用了一种基于统计的流量异常检测方法,首先确定正常的网络流量基线,然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等,这些基本特征比较详细地描述了网络流量的运行状态。
总体设计 网络流量异常检测模型的总体设计思路是:从网络的总出口采集数据,对每个数据包进行分类,将它的统计值传到相应的存储空间,然后对这些数据包进行流量分析
2.3.2.2 流量分析引擎
对采集到的数据进行分析处理。通过建立正常网络流量模型,按照一定的规则进行流量异常检测。同时根据滑动窗口的更新策略,能够自动学习最近的流量情况,从而调整检测的准确度。
建立正常网络流量模型 要进行流量异常检测,必须首先建立正常的网络流量模型,然后对比正常模型能够识别异常。本文使用基于统计的方法来实现异常检测,利用网络流量的历史行为检测当前的异常活动和网络性能的下降。因此正常流量模型的建立需要把反映网络流量的各项指标都体现出来,使其能够准确反映网络活动。
在系统运行时,统计当前流量行为可测度集,并同正常的网络基线相比较,如果当前流量行为与正常网络基线出现明显的偏离时,即认为出现了异常行为,并可进一步检测分析;如果两种行为没有明显偏差,则流量正常,更新正常网络流量模型。
通过该界面实现查看信息、设定检测规则、设定阈值、设定报警方式以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统
第 26 页 内网安全整体解决方案
计量、阈值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。
2.3.2.3 异常的互联关系分析
对于不符合白名单和灰名单的互连关系和流量,系统会自动生成未知数据流,并对未知数据流进行识别、匹配,从中提取可供判断的信息,如:单点对多点的快速连接,系统会识别为网络扫描,非正常时段的数据连接,系统会视为异常行为,多点对单点的大流量连接,系统会识别为非法应用等。用户对未知数据流识别、确认、处理后,可将未知数据流自动生产报警或提取到白名单。
2.3.3 内网多源威胁情报分析
建议在内网部署多源威胁情报分析,通过对不同源头威胁情报的统一汇总、分析、展示等功能,极大提高情报告警准确率,帮助评测内部信息系统遭受的风险以及安全隐患从而让安全团队进行有安全数据佐证的重点内部领域防护措施。内部安全团队多人对单条威胁情报存在疑虑时,可进行协同式研判,提升单挑威胁情报与情报源的命中率统计。内部安全管理员可以定期生成威胁情报月报,便于将一段时间内的系统漏洞、应用漏洞、数据库漏洞进行选择性摘要,使安全加固工作处于主动、积极、有效的工作场景之中。
2.4 内网安全管控措施
2.4.1 内网安全风险主动识别
2.4.1.1 基于漏洞检测的主动防御
云安全防护虚拟资源池内为用户提供了系统层漏扫、web层漏扫、数据库漏扫三种检测工具,可以为用户提供定期的安全风险检测,基于已知风险或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为。
第 27 页 内网安全整体解决方案
2.4.1.1.1 漏洞检测范围
操作系统:Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;
数据库:MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;
网络设备:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趋势科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。
应用系统:各种Web服务器应用系统(IIS、Apache Tomcat、IBM lotus……)、各种DNS服务器应用系统、各种FTP/TFTP服务器应用系统、虚拟化系统(Vmware、Virtual Box、KVM、OpenStack等等)、邮件服务器应用系统(MS Exchange、IMAP、Ipswitch Imail、Postfix……)2.4.1.1.2 识别漏洞类型 系统漏洞类型
Windows漏洞大于1946种、MacOS漏洞大于192种、UNIX漏洞大于959种、数据库服务器漏洞大于357种、CGI漏洞大于2301种、DNS漏洞大于76种、第 28 页 内网安全整体解决方案
FTP/TFTP漏洞大于278种、虚拟化漏洞大于613种、网络设备漏洞大于516种、Mail漏洞大于251种、杂项漏洞(含RPC、NFS、主机后门、NIS、SNMP、守护进程、PROXY、强力攻击……) web漏洞类型
微软IIS漏洞检测、Apache漏洞检测、IBM WebSphere漏洞检测、Apache Tomcat漏洞检测、SSL模块漏洞检测、Nginx漏洞检测、IBM Lotus漏洞检测、Resin漏洞检测、Weblogic漏洞检测、Squid漏洞检测、lighttpd漏洞检测、Netscape Enterprise漏洞检测、Sun iPlanet Web漏洞检测、Oracle HTTP Server漏洞检测、Zope漏洞检测、HP System Management Homepage漏洞检测、Cherokee漏洞检测、RaidenHTTPD漏洞检测、Zeus漏洞检测、Abyss Web Server漏洞检测、以及其他Web漏洞检测等Web服务器的扫描,尤其对于IIS具有最多的漏洞检测能力,IIS漏洞大于155种 数据库漏洞类型
MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以扫描数据库大于三百五十多种漏洞,包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议 2.4.1.1.3 内部主动防御
根据漏洞扫描结果,给予定制化安全加固方案,结合漏洞级别、漏洞类型、漏洞波及范围、修复风险、加固后复测等人工服务,配合用户第一时间完成修复工作,我们将从信息安全专业技术层面为您说明每一条漏洞可能导致的安全事件可能性,从用户安全运维、业务系统稳定运行的角度出发,给出可落地的安全加固方案。
2.4.2 内网统一身份认证与权限管理
建议构建统一身份认证与权限管理系统,建立统一身份库,业务操作人员、系统运维人员、IT基础架构运维人员、业务应用管理员、IT基础架构管理人员、第 29 页 内网安全整体解决方案
系统管理人员通过统一认证入口,进行统一的身份认证,并对不同人员设置不同的访问权限,并实现所有用户登录及访问行为分析和审计。
2.4.2.1 统一用户身份认证设计
建立的统一身份库,包括运营身份库和业务人员身份库,使用户在统一身份库中,只有唯一身份标识,用户向统一认证平台提交的证明是其本人的凭据,根据系统级别不同,采用的认证方式不同,每个应用系统都有自己的账户体系,这些账户被看做是访问一个信息资产的权限,管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。实现各应用系统不再处理身份认证,而是通过统一的身份认证入口进行认证,通过后期的行为分析提供对异常行为的检测及加强认证或阻断操作。用户分类具体如下图所示:
2.4.2.2 统一用户权限管理设计
一、外部用户
二、内部用户
1、运维人员的权限管理
第 30 页 内网安全整体解决方案
2、业务人员的权限管理
2.4.2.3 业务内容身份鉴别与访问控制设计
一、内部访问设计
内部访问设计主要面向内部用户,通过验证后会加入到统一用户身份认证与权限管理平台身份库,经过认证策略判定,录入认证策略库,最后通过堡垒机实现内部访问。
二、外部访问设计
身份合法验证,通过验证后会加入到外部用户统一用户身份认证与权限管理平台身份库,经过认证策略判定并录入认证策略库,经过多因素认证资源池(包
第 31 页 内网安全整体解决方案
括指纹、二维码、RSA令牌等)实现外部应用的系统资源访问。
2.4.1 内网安全漏洞统一管理平台
建议部署安全漏洞统一管理平台,按照组织架构或业务视图建立资产管理目录,快速感知不同资产层级的漏洞态势,解决内部漏洞无法与业务系统自动关联分析的问题,为监管方提供宏观分析视图。将不同来源、不同厂商、不同语言、不同类型的漏洞数据自动标准化成符合国家标准的全中文漏洞数据,并去重合。形成某单位自身的漏洞信息库,赋予漏洞数据空间、时间、状态和威胁属性,形成每个信息系统的漏洞信息库,并对其生命周期状态进行跟踪。顺应国家网络安全和行业发展的需要,解决了漏洞检测、漏洞验证、漏洞处置和响应等环节中存在的多种问题,实现漏洞管理流程化、自动化、平台化及可视化。
第 32 页 内网安全整体解决方案
第三章 内网安全防护设备清单
云防火墙 硬件防火墙 云waf 硬件waf IPS 防病毒网关 上网行为管理 隔离网闸 流量分析系统
多源威胁情报分析系统 安全漏洞统一管理平台 堡垒机 云堡垒机 数据库审计 态势感知平台 系统漏洞扫描器 Web漏洞扫描器 数据库漏洞扫描器 镜像文件加密 云堡垒机 云数据库审计 统一身份证书
虚拟终端加固及防护软件 虚拟主机加密机 数据防泄密 网络准入设备 服务器加固软件
第 33 页
第三篇:军队企业内网安全解决方案
军队企业内网安全解决方案
内网安全性分析
军队网络具有非常完善的系统及复杂的网络环境;由于军事信息需要高度保密,其局域网与Internet物理隔离,单位间信息共享都必须经过严格的过滤及加密传输,移动存储设备管理并没有成为关注的重点。目前军队广泛采用移动U盘和移动硬盘进行数据交换,缺乏对移动存储设备的管理;随着军队与外部联系日益密切,这将给军队网络管理带来严重威胁和麻烦,这些途径传播快、危害大,而且有很强的隐蔽性和欺骗性;部署一套针对终端主机管理的产品则成为当务之急!
针对目前对终端主机管理的空白,福建伊时代信息有限公司开发出了针对终端主机管理的产品-防信息泄漏系统,并针对军队给出了基于终端主机管理的解决方案。
UTM政府网络安全解决方案
一、政府网络所面临的安全问题
信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄漏、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。各级政府都将电子政务建设作为一项重要的工作,近几年我国的政务信息化得到很大发展,但是政府机构网络业面临着越来越多的安全挑战。
我国的安全产品大多为单一功能性产品,虽然能够解决一些局部性的安全问题,然而由于相互之间没有互操作性,缺乏统一调度、协同管理的途径,很难保证策略上的完整性和和行动上的一致性。各行其是、各管一方的局面不仅大大加重了管理人员的负担,最终也很难形成全面而有效的安全解决方案。
如何使信息网络系统不受黑客和工业间谍的入侵,如何阻止大规模的病毒爆发或者大流量的网络攻击,如何保障敏感信息以及数据交换的安全与机密,如何维持网络及对外服务窗口的持续稳定,已成为政府机构信息化健康发展所要考虑的重要事情之一。
部队跨涉密文档安全存储管理解决方案
一、部队涉密文档安全需求分析
根据《关于对军事综合信息网进行安全检测评估的请示》,涉密文档在不定期的安全保密检查过程中,突出有以下几个问题:
1.硬盘格式化带来的数据丢失;
2.巨大的工作,降低了IT安全部门的工作效率;
3.备份介质不安全,容易损坏、遗失,存在泄密隐患;
4.担心保密信息在网上泄露,将网络掐断,影响正常工作。
三、部队涉密文档安全存储系统解决方案
根据部队系统信息化建设具体需求,以网剑网络文件保险柜ETIM-NFCS构建部队网络数据集中安全保护系统,针对跨涉密文档进行保护。
1.个人文件数据的安全备份保护:在网络文件保险柜上设置相应的空间以及设置不同的权限,在个人办公电脑上,安装自动备份引擎,实现了数据的自动备份,防止个人数据因各种意外情况丢失。
2.涉密信息的集中存储保护:对集中存储的跨数据,身份认证,确保用户身份合法,杜绝黑客入侵;采用高强度数据传输加密技术,保证了会话不被窃听、窜改和伪造;对集中存储的数据进行加密处理,防止数据的非法破解;采用多级管理员制衡机制,屏蔽超级管理员权限。
3.部队系统数据信息的安全共享保护:提供了一种可控、安全、方便和快速的共享机制,确保数据只有指定的授权用户才能看到,并对共享数据的权限、时效控制。
4.涉密文件的在线编辑:对集中存储的涉密文档进行安全的在线编辑,在内存中开辟一段加密的空间,进行文档的编辑,终端将不会残留任何临时文件。
第四篇:22、政务内网安全解决方案
政务内网安全解决方案
政务内网安全解决方案
一、前言
随着经济全球化、社会信息化的不断发展,各行业各业都建设自己的网络信息化系统,而如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
二、政府内网安全需求分析
政府作为国家的重要部门,在进行信息网络建设的时候,对安全性做了成熟的考虑,但是主要是基于传统的网络安全,如边界防护设备、灾难备份、病毒防护等。随着分散在各个内网主机和服务器上的有价值的信息越来越多,内网终端的安全和保密成为信息中心不得不重视的问题,也已经成为国家各部委,政府机关等主要的关心和需要建设工作内容之一。
政府单位内网主要面临的安全威胁有如下几个方面:
1.如何防止未授权终端接入政务内网,窃取政府内部重要的文件?
2.内外网隔离,如何防止雇员通过3G设备、ADSL非法连接互联网?
3.如何限制雇员上班时间玩游戏、炒股、任意下载等,保证正常政务办公效率?
4.如何迅速修复系统漏洞,保证电脑系统的安全?
5.如何对移动存储介质进行管控?
6.如何在促进文档流通电子化的同时,保证政务网络内部众多的敏感文件安全?
7.如何快速统计政府内网中的IT资产,杜绝国有资产流失?
三、政务内网安全解决方案
政府部门通过网络防火墙、外部入侵控制、访问控制等来解决政务外网所带来的安全威胁,实现了政务外网的安全,但政务内网安全仍不完善。需要一套切实可行的内网安全管理系统来保证政府单位政务系统的正常运行和解决政务网中涉密数据安全问题。
网剑内网安全综合管理系统采用C/S与B/S相结合的模式,系统主要由终端安全子系统、移动存储介质管理子系统、网络准入子系统以及文档安全管理子系统4个模块组成,这几个-1-
模块既可以单独使用,也可以统一配备,从而全方位保证政府敏感信息安全,强力规范互联网与内网的使用,防止内外网混用和非法入侵,盘点IT资产,防止国有资产流失。
1.针对非法及不安全终端接入政务内网的问题,INSS可以通过接入用户的强身份认
证、安全状态检测、802.1x协议以及arp协议阻断等措施保证接入终端的合法性,确保内部网络的业务的正常运行;
2.针对员工非法接入互联网问题,INSS通过违规外联控制策略,实时检测终端用户
是否有连接互联网的行为,并对违规终端报警、阻断其联网;
3.针对员工上班时间浏览娱乐网站、聊QQ、看电影、玩游戏问题,inss通过上网行
为访问控制、进程限制、禁止安装非法软件等措施限制员工的行为;
4.对于无法及时发现系统漏洞,安装补丁的问题,INSS能够自动智能扫描检测漏洞、下载终端机器缺少的漏洞补丁信息,保证系统安全,降低内部信息泄密风险;
5.针对移动存储介质管理问题,INSS通过对移动存储设备生命周期(注册、授权、使用、挂失、解挂和注销)的管理,有效的控制了非法移动设备接入到内网;
6.针对政务内网中涉密文件安全以及笔记本用户外出办公问题,INSS通过先进的文
件过滤驱动级的透明加解密技术,防止因黑客入侵、员工非法窃取文件、电脑丢失等原因导致涉密信息的泄露,从而有效保护了数据的安全性;
7.针对IT资产管理,防止国有资产流失问题,INSS提供了固定的软硬件资产档案管
理功能,解决了资产实物清查的繁琐问题,并能够防止国有资产流失。
方案价值
1.通过部署网剑内网安全综合管理子系统,能全面提升政务内网安全防护能力和合规
管理水平,帮助用户构建起安全可信的合规内网。
2.通过对政务内网中各单位员工的上网行为管理,可以有效的提供员工日常的工作效
率,降低内部信息泄露的风险。
3.能够解决非法终端接入政务内网,防止涉密信息泄露。
4.解决可移动存储设备的监管困难问题。
5.解决员工同时连接内外网,导致终端不安全
6.实现了对内部重要数据的监管与保护。
联系人:小曾
联系手机:***
联系电话:0591-88026604
QQ: 615410995
第五篇:医疗行业信息化解决方案
EASTED解决方案之医疗行业
2011-07-18
一、前言
随着国家对医疗卫生行业监管力度的不断加大,信息化已经成为医疗卫生行业提高管理效率和市场响应能力的重要支撑,作为医疗卫生体系的基础单位,各级医院也一直致力于信息化建设工作,目前常用的有医院信息系统(HIS),通过利用计算机和通信网络,为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换,提升工作效率,为患者提供更好的服务。
1、HIS系统维护中的问题
HIS系统大多基于C/S机构,提供了优秀的用户界面,方便了用户的日常工作。
当前的HIS系统,由于客户端比较多,客户端系统部署、升级及管理维护成本太高,如何快速有效的部署、维护、管理业务系统成为管理员必须面对的难题。
随着HIS软件的升级,对客户端操作系统的硬件需求也越来越高,现有的客户端系统将面临硬件更新的问题,这也会增加客户端部署的成本。
2、PACS系统简介
近年来,随着数字成像技术、计算机及网络技术的进步,为了全面解决医疗图像的获取、显示、存储、传送和管理,医学影像存档与通讯系统(PACS,Picture Archiving and Communication Systems)逐渐得到广泛使用。如同计算机及互联网日益深入影响我们日常生活,PACS也在改变着影像科室的运作方式,一种高效率、无胶片化影像系统正在悄然兴起。通过PACS的实施,不仅可以更快的为患者做出正确的诊断,及时拯救患者的生命,也提升了医院的工作效率,降低了运营成本。
不同的PACS在组织结构上有很大的差别,但都必须能完成这三种类型的功能:连接不同的影像设备(CT、MR、XRAY、超声、核医学等);存储与管理图像;图像的调用与后处理。对于PACS的实施,不管是大型、中型或小型PACS,其建立不外乎有医院图像获取、大容量数据存储及数据库管理、图像显示和处理及用于数据传输影像的网络多个部分组成。
3、PACS系统实施的困难
* 网络要求比较高
由于PACS系统中处理的医疗用数据图像精度很高,所以影像图片占用磁盘空间较大,在每个读片终端存放所有图片成了很难实现的方案,一般PACS系统中都采用集中存放图片,采用网络的方式把图片传送至需要的客户端。这也使得PACS系统对网络的需求比较高,一般都需要医院的网络带宽达到千兆以上。
* 对客户端计算机要求比较高
由于在PACS系统中,一般采用把数据图像传送到客户端(医生用计算机),并且在客户端显示图像,而医用数据图像相对体积较大,这对客户端计算机的运算能力也有较高的需求,在实施PACS系统时,医院必须面对客户端硬件升级带来的成本增加。
客户端系统部署、更新升级等维护工作量大,总体运行成本高,这是目前医院信息化过程中的瓶颈问题;PACS系统的部署成本高昂更是下一步信息化必须面对的门槛,有没有一种方案,能够同时满足当前的信息化需求?易迅通EASTED V5.0云计算虚拟化平台,完美的解决了上述问题的存在。它是一种先进和优秀的应用接入平台,基于A/S(Application/Serving)架构的应用接入,在保护现有系统完整性的前提下,帮助用户建立高效、安全、稳定的信息系统链路,真正实现应用和信息的价值,并提升企业信息系统可控性、灵活性和降低企业信息化运营维护成本。
二、基于易迅通EASTED V5.0云计算虚拟化平台的医院集成方案
1、HIS系统的易迅通EASTED V5.0云计算虚拟化平台实现
在易迅通EASTED V5.0云计算虚拟化平台服务器上安装并实施虚拟化HIS系统的客户端,所有客户端计算执行均在易迅通EASTED V5.0云计算虚拟化平台上完成。
在让用户使用虚拟化的HIS系统之前,管理员需要设置用户的各种访问限制:如用户的访问时间、客户端限制、用户密码安全设置、用户打印机设置以及用户输入法设置等用户配置,来完善对用户的访问管理。
2、PACS系统的易迅通EASTED V5.0云计算虚拟化平台实现
在部署易迅通EASTED云计算虚拟化平台之后,医院将建立统一的应用程序部署及访问平台,在添加如PACS之类的应用时,同样无需把PACS系统的客户端部署到每一个客户端,只需要把PACS系统部署到EASTED V5.0云计算虚拟化平台服务器端,并对PACS客户端程序进行虚拟化设置,并设置用户的访问条件,就可以让用户访问PACS系统了。
3、基于易迅通EASTED V5.0云计算虚拟化平台集中医院业务系统的优势
* 数据集中
通过对易迅通EASTED V5.0云计算虚拟化平台服务器(集群)的管理,可以设定用户在访问服务器端的业务系统时,不能访问本地的资源设备,所有相关的文件数据均统一存放在服务器端,方便了管理员对数据的集中管理,如备份、还原等,也避免了医院内私有数据的外泄。
* 安全性高
易迅通EASTED V5.0云计算虚拟化平台本身提供了加密传输,另外和VPN等技术相结合,可以提供更高级别的安全技术保障。采用易迅通EASTED V5.0云计算虚拟化平台方案,只需在防火墙上开通2700和80端口即可,安全性较高。
* 高可靠性及高可扩展性
高端多用户应用中,可使用多台易迅通EASTED V5.0云计算虚拟化平台服务器构建服务器集群,通过网络负载平衡,综合服务器的CPU、内存、硬盘等资源的利用率实现负载均衡和动态故障转移,来实现高性能和高可靠性。
随着业务的发展,管理员只需要在EASTED V5.0云计算虚拟化平台服务器集群中增加服务器数量,就可以满足更多用户的访问需求。
* 连接稳定
易迅通EASTED V5.0云计算虚拟化平台的连接非常稳定,即使断开,也会设定保留断开点的信息,等待下次连接成功后直接回到断开点。
* 降低软硬件成本
由于客户端不再需要安装业务系统软件,只需安装易迅通EASTED V5.0云计算虚拟化平台客户端,降低了对客户端计算机硬件的需求,企业无需定期为用户升级硬件来满足新应用软件更高的配置需求。
随着业务系统的升级,对硬件平台的要求也会逐步提升,管理员只需要增加少量的EASTED V5.0云计算虚拟化平台服务器,即可满足新应用的运行需求。
* 缩减维护工作量
由于客户端不再安装业务系统软件,业务系统软件的升级、打补丁等维护都集中在易迅通EASTED V5.0云计算虚拟化平台服务器上完成,减小了工作量和维护量,缩短了维护周期。
* 实现远程管理
通过远程管理,对易迅通EASTED V5.0云计算虚拟化平台服务器,或进一步对其它内部服务器进行远程维护和管理,可以解决很多不需要到现场支持的问题,大大降低了服务成本,并大大缩短了响应时间。
北京易讯通(EASTED)科技有限公司(以下简称易讯通)位于中关村软件园,是国内专业从事基础IT系统集成及云计算&虚拟化解决方案探索和实施及专业服务的公司。作为国内领先的信息安全咨询专家和云计算解决方案及服务提供商,易讯通致力于为客户提供最适合其需求的EASTED云计算虚拟化平台全面整体解决方案。