int(20) 解决方案详情
方案详情

Information

信息安全一体化解决方案

信息安全一体化解决方案

对于企业的信息安全平台建设,我公司充分考虑整体平台的安全、高可用、易管理和良好的用户体验。我们将整个网络根据接入方式、服务类型和信任等级划分为如下几个逻辑区域:

1.       外网交互区(Internet公网)

2.       互联网服务器区(发布区)

3.       内网服务器区

4.       数据存储区

5.       内网接入区

基于不同边界对应的用户访问特点、业务服务特征和潜在安全威胁,设计方案拓扑图如下:

  详细安全方案介绍

1.1 互联网边界

在运营商宽带骨干路由PE和内网间的最外层部署2台深信服下一代防火墙NGAF (双热冗余,保证网关的高可用)

NGAF采用多核并行处理技术,结合内置的DPI(深度包检测)DFI(深度流检测)实现对双向包的L2-7的内容检测、过滤和访问控制,且内置攻击特征库和病毒库(定期更新),使得对数据包进行解析的同时,一次完成攻击和病毒的清洗,避免像传统设备,如UTM的多次解析和联动处理。除此之外,可根据实际网络运营现状设定某些策略,如禁用Bypass、开启NAT、拒绝ICMP重定向和web发布服务的单向访问等。

当前,网络中有超过70%的安全威胁均来自应用层。但不可避讳地是,几乎所有传统防火墙厂家的优势都在于对网络层和传输层的处理,而在应用层的引擎识别和攻防经验,以及特征检测库、Web信誉库和产品成熟度等方面有所欠缺,这使得IPS在当前仍然是网络安全必不可少的一环。

因此,在NGAF之后,透明串接专业的IPS设备来进一步过滤和防御来自应用层的攻击。

另外,考虑到对办公人员的上网行为管理(流量管控和业务管控等)、同时保证内网终端的安全性(“沙盒”技术,恶意URL库过滤等),以及对所有上网行为进行详细审计,建议在出口交换机汇聚后透明部署上网行为管理AC.

1.2互联网服务器区及其边界

   对于WEB访问安全,部署专业的WEB安全防护工具是一种合理的选择。传统的安全设备,如防火墙、IPS,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对WEB应用攻击完善的防御能力。针对WEB应用攻击(如未知的无特征攻击、网页篡改、XSS脚本攻击和SQL注入等),必须采用专门的机制,对其进行有效检测、防护。

WEB应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为WEB应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在:

1)  HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力。

2)     提供应用层规则:WEB应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密流量中混杂的攻击。

3)     提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为WEB应用提供了一个外部的输入验证机制,安全性更为可靠。

4)     提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF 为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。

Web应用防护系统作为网关设备,防护对象为Web服务器,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。

Web应用防护系统部署在互联网服务器区边界(即出口交换机与互联网服务器区之间),采用双链路设备,使得1台物理设备能同时连接2台交换机,实现链路冗余。

同时,在Web服务器上部署主机版WAF(H-WAF)软件,通过Web服务器(IISApache)的框架接口嵌入过滤模块,用于对进出WEB服务器的所有HTTP请求和响应数据包进行合法性检查和修改,同时辅以增强型事件触发检测技术,实现网页防篡改、入侵检测、可视页面不被篡改、自定义响应页面等功能。

1.3      内网服务器区及其边界

在平台网络中,由于内网用户可随时连接公网(即使通过沙盒虚拟上网桌面也不能杜绝内部主机发起的攻击),因此,这些主机接入对于内网服务器区来说均是不安全的访问。建议引入1AF(双链路+Bypass)串接在内网服务器区链路上,用于做物理隔离、访问控制和流量清洗。

但另一方面,对于内网服务器来说,由于允许访问用户已经通过访问控制类设备(如路由器、防火墙等)或企业行为等手段已经做了部分限制(ACL、源IP地址限制、内部员工安全意识培训等),相对于互联网服务器区,其访问用户信任等级较高。另外,由于内部服务器提供的服务特点(服务资源、服务可持续、攻击无明显特征、服务更新快等),使得IPS&WAF这类的根据特征匹配过滤和防御攻击的方式不太适合。

因此,建议部署基于主机服务行为的服务器主机加固产品SCSP(主机防火墙&主机IDS&主机IPS&缓冲区溢出等)来加强服务器自身安全,通过实时在线更新策略和自定义策略强制保护服务器操作系统、应用程序和服务资源等,避免服务器遭受目标攻击和零日攻击。

同时,对于内网服务器区内的服务器Cluster集群,建议引入负载均衡AD提供服务器健康检查、会话保持、流量调度和SSL卸载(如有)等功能,提升服务资源的可用性和最终用户体验。

1.4      终端接入区及其边界

对于该部分安全,主要从终端主机、终端应用&网络准入控制,以及终端和网络间的数据交换3个层次来考虑。

对于内网所有主机,安装终端安全防护代理(尽可能全面、便捷和占用主机资源少),部署SPS赛门铁克端点安全防护套件。

同时,对于所有网络的终端,进行严格的身份认证和应用检测,如应用程序绑定、终端病毒库和补丁检测、IP地址和MAC绑定等,同时检测接入终端的外设设备和非法外联(如禁止终端通过3G无线doogle上网等),保证对接入内网终端的实时监控和资产审计等;

由于总部端点数较多,建议在交换设备上划分VLAN逻辑子网(尽可能关闭不用的VLAN端口,防止生成树攻击等),且开启BFD链路检测和802.1x端口访问控制功能。另外,可在核心交换机开启ACL,设定VLAN之间访问控制权限。

1.5      运维管理中心

运维管理中心,作为整个网络的可视化和管理窗口,负责整个网络的拓扑发现、链路和流量监控、性能管理、告警管理和策略管理等。如下是本方案的管理中心拓扑图:


运维管理BTNM

BTNMBefore Trouble Network Manager)是北塔软件股份有限公司完全自主开发的一套全中文网络资源管理系统,是一套“基于网络平台、面向客户应用”的网络设备资源与应用服务资源、全中文、通用的管理软件,具有先进性、实用性、易用性和安全性的特点。

漏洞扫描

通过部署漏洞管理系统(也称“漏洞扫描系统”)漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用,做到真正的“未雨绸缪”。相对于传统的漏洞扫描产品而言,漏洞管理产品能够为用户带来更多的价值。

漏洞管理产品从漏洞生命周期出发,提供一套有效的漏洞管理工作流程,实现了由漏洞扫描到漏洞管理的转变,实现了“治标”到“治本”的飞跃。

SCSP&SPS管理服务器

建议部署1SCSP&SPS管理服务器,对所有安装了SCSP客户端或SPS代理的主机进行集中策略控制和管理。针对不同主机类型,制定不同的主机防护和运行策略,并对主机行为进行记录生成报表。

IDS入侵检测

由于IPS设备一般是串接在网络流量汇聚链路上,1台设备无法同时控制多链路上的流量。同时,考虑到内网的接入安全等级,建议在内网核心交换机上旁挂IDS系统,用于同时监听多个内网段的流量(应用层攻击及SSL加密流量等),且攻击者无法感知旁路设备,并及时告警和生成日志。

1.6      内网安全管理和准入控制

IDC统计,一半以上的安全威胁来自于内部。企业内网所面临的安全威胁主要表现在如下几个方面:

补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大

由于网络内的各种平台的主机和设备存在安全漏洞但没有及时打上最新的安全补丁,或者主机和设备的软件配置存在隐患,杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新,给恶意的入侵者提供了可乘之机,使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪,业务无法正常进行。

2  非法外联难以控制、内部重要机密信息泄露频繁发生

员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得企业内网的IT资源暴露在外部攻击者面前,攻击者或病毒可以通过拨号线路进入企业内网;另一方面,内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去,给企业带来经济损失但又不易取证。

3  移动电脑设备随意接入、网络边界安全形同虚设

员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用,如果管理不善,很有可能携带有病毒或木马,一旦未经审查就接入企业内网,可能对内网安全构成巨大的威胁。

4  攻击方法日新月异,内部安全难以防范

已经被攻破的内网主机中可能被植入木马或者其它恶意的程序,成为攻击者手中所控制的所谓, “肉鸡,攻击者可能以此作为跳板进一步攻击内网其它机器,窃取商业机密,或者将其作为DDoS工具向外发送大量的攻击包,占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件,都可能给攻击者带来可乘之机。

5  软硬件设备滥用、资产安全无法保障

内网资产(CPU、内存、硬盘等)被随意更换,缺乏有效的技术跟踪手段;员工可以随时更改自己所使用的机器的IP地址等配置,不仅难于统一管理,而且一旦出现攻击行为或者安全事故,责任定位非常困难。

6  网络应用缺乏监控,工作效率无法提高

上网聊天、网络游戏等行为严重影响工作效率,利用QQMSNICQ 这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证。管理制度缺乏技术依据,安全策略无法有效落实

尽管安全管理制度早已制定,但只能依靠工作人员的工作责任心,无法有效地杜绝问题;通过原始方式:贴封条、定期检查等相对松散的管理机制,没有有效灵活实时的手段保障,无法使管理政策落实。

针对平台网络内部终端缺乏在如下方面:准入门限、非法外联、移动存储、用户行为和资产管理等的有效控制和管理,建议引入一款专门针对内网安全而研制的安全产品通软内网安全管理系统(包含网络准入控制系统(GNAC)、终端管理服务器引擎、控制台)

本系统整合最新的内网安全相关技术,以内网安全为中心出发点,从终端安全管理、内网行为监控、资产与补丁管理等多个角度构建一套完整的内网安全防护体系(如下图),防御各种内部非法行为和恶意攻击,通过技术手段全面贯彻落实各单位的安全管理策略。

如下是内网安全管理工作流程图:

1.7      数据存储中心

企业最为宝贵的财富就是数据,要保证企业业务持续的运做和成功,就要保护基于计算机的信息。人为的错误,硬盘的损毁、电脑病毒、自然灾难等等都有可能造成数据的丢失,给企业造成无可估量的损失。对于任何核心业务系统,业务数据丢失更是一场大灾难,会导致系统文件、客户资料、业务数据的丢失,业务将难以正常进行。这时,最关键的问题在于如何尽快恢复计算机系统,使其能正常运行。


 整体方案亮点

     贴合用户需求和联成经验的全面安全防护


在方案设计阶段,通过与客户的需求沟通,明确目标网络的架构和需求,结合联成科技丰富的项目经验,给出全方位的、多层次的端到端安全防护架构和方案。在本次项目中,涉及的安全防护主要包括:

物理链路安全;(专线链路备份、VLAN划分和隔离控制、MAC地址绑定、链路主备路由和双向检测BFD)

2  接入层安全;(基于802.1xGNAC的准入控制、基于L2-7关键字的访问控制、外设和移动存储控制、非法外联等)

3   传输层安全;(C/S架构安全设备的SSL加密传输、策略下发的加密传输、加速IPSec VPN链路备份等)

4   业务层安全;(IPS&IDS、内置防毒功能的AF、业务服务器访问控制等)

5   终端主机和服务器主机自身安全;(全面端点防护套件SPS、服务器主机全加固等)

6   数据安全;(桌面文档透明加密、OS和数据的备份/恢复等)

整体方案的高可用;(关键边界安全设备的物理冗余、服务负载均衡、设备组件的冗余和bypass功能等)

 2专业、领先和成熟的安全产品和服务体系

常州首创网络工程有限公司,作为知名的整体安全方案商和产品供应商,一直积极寻求与主流的专业安全厂家进行深度合作,致力于给客户提供全面的安全解决方案和咨询。目前,公司与众多国内外一流的信息安全厂商强强联手,

在本方案中,涉及的安全产品均来自深信服、绿盟、通软、赛门铁克等国内外知名安全厂家。产品经过成熟的市场验证,保证服务的高可用和持续性。

3可视化网络和良好的用户体验

本方案中,通过提供全面的安全解决方案,实现了整体网络的可视化运维,包括对终端主机应用程序、链路使用流量、内网服务访问和上网行为、数据包内容和类型,以及服务资源使用等的网络设备-链路-业务三位一体的深度监控和管理,帮助客户提升对网络的监管力度和维护水平。

此外,基于以人为本的理念,联成科技在加强管理者对网络监控的同时,保证了产品方案对于终端用户的易用性和良好体验。






0.0532s