北京天融信
2007年08月
1
概述... 3
1.1
项目设计背景... 3
1.2
项目设计目的... 3
1.3
项目建设内容... 3
2
XXXXXXX网系统现状分析... 4
2.1
系统总体结构分析... 4
2.2
网络结构分析... 4
2.3
应用系统分析... 4
2.4
网络结构优化... 5
3
XXXXXXX网安全风险分析... 6
3.1
威胁来源... 6
3.1.1
非人为的安全威胁... 7
3.1.2
人为的安全威胁... 7
3.2
安全风险分析... 9
3.2.1
物理安全风险... 10
3.2.2
终端安全风险... 10
3.6.1
边界安全风险... 11
3.6.2
网络安全风险... 11
3.6.3
系统安全风险... 12
3.6.4
管理安全风险... 12
4
XXXXXXX网安全需求分析... 13
4.1
物理层安全需求... 13
4.2
网络层安全需求... 13
4.3
终端安全需求... 15
4.4
应用层安全需求... 15
4.5
安全管理需求... 16
5
XXXXXXX网关键安全策略设计... 16
5.1
网络安全策略... 16
5.2
系统安全策略... 19
5.3
应用安全策略... 20
5.4
安全管理策略... 24
6
XXXXXXX网安全建设规划... 25
6.1
办公网络网络层安全规划... 25
6.2
办公网络防病毒系统安全规划... 26
6.3
办公网络防主机系统安全规划... 27
6.4
办公网安全管理系统安全规划... 28
6.5
办公网络整体规划... 29
1
概述
项目设计背景贵州省农行坚持“立足城乡、服务‘三农’、服务中小企业、服务市民百姓” 市场定位,规划并建设了覆盖全省20个地市级支行,400家县级支行、分理处及储蓄所的金融服务网络,规模非常庞大。贵州省农行从一开始就面临着与其他商业银行完全不同的发展条件和发展基础,这就要求其自身必须要提高核心竞争能力,通过引进先进的信息技术,进行银行业务、管理和服务上的创新,同时有效防范安全风险,提升客户对银行的信任度,才能在竞争激烈的国内金融市场上突出重围,走出一条具有自身特色的发展之路。
项目设计目的XXXXXXX网信息安全体系建设的的基本目标是:
通过建立完善的信息安全管理制度和部署合理的技术解决方案,构建一套管理手段与技术手段相结合的全方位、多层次、动态发展的信息安全防护体系,来实现银行办公网信息系统的保密性、完整性、可用性、可控性和不可否认性,为银行内部办公的发展提供一个坚实的信息系统基础。该体系应符合国家监管部门的相关要求。
项目建设内容本项目的主要工作内容有:
1、完成贵州省农行省、市、县三级办公网的安全域的划分,规划整体的安全等级保护技术框架。
2、设计并实施技术解决方案,根据用户实际需求,我们设计了一套由多种安全技术和多层防护措施构成的安全体系总体技术框架,包括网络边界和通讯安全、计算环境安全、应用和内容安全等各个方面,具体采用的安全机制包括防火墙系统、入侵防御系统、防病毒系统、终端安全管理系统。
2
XXXXXXX网系统现状分析
网络结构分析XXXXXXX网的网络结构分为纵向的三层,第一层为省总行,第二层为地市级支行,第三层为县级支行;分成两级广域网,一级广域网连接省总行与地市级支行,二级广域网连接地市级与县级支行。目前,没有采取数据集中的管理方式,仅为各地市存储所辖区县的数据。
省总行目前通过10M专线与互联网相连;各地市支行通过2M专线与省行相连,但同时具有单独的互联网出口;各县级支行与所属地市支行通过专线相连,也同时具有独立的互联网出口。
各级支行具有都具独立的互联网出口,因此使整体办公网存在为数众多的外网边界,面临着来自互联网的巨大安全威胁,在网络架构调整后,将禁止各级支行存在单独的互联网出口,由省总行统一提供唯一的互联网出口,这样便于对内外交换信息的安全控制。
应用系统分析在办公网中运行的主要应用系统为MIS系统、OA系统、邮件系统、WEB系统等。主要在XXXXXXX中起到以下作用。
MIS系统:行内现有大量的二线业务系统,主要由MIS系统进行集中的管理。二线业务是指与客户间接相关的业务,如:事后监督、信贷管理、客户信息管理等,此类业务有两个特点:一是与客户不直接相关,二是时间关联性不强。主要包括,客户信息管理系统、行长决策系统、非现场稽核系统等
OA系统:实现日常办公流转过程的实时监控、跟踪,解决多岗位、多部门之间的协同工作,实现高效率的协作,如公文的处理、收发文、各种审批、请示、汇报等,都是一些流程化的工作,通过实现工作流程的自动化,就可规范各项工作,提高单位协同工作的效率;实现文档管理的自动化,对公文管理系统的各种电子档案和电子信息资料进行分类管理、归档保存,完成档案的组卷、拆卷、移卷、封卷、注销、借阅、全文检索、统计等管理功能,为行内各级用户提供方便的检索和借阅功能,从而比传统方式大大减轻档案室/档案馆工作人员的工作量,同时更加快捷方便地进行档案的查询和借阅;其他包括,像会议管理、车辆管理、物品管理、图书管理等。
WEB系统:内部WEB系统为行内用户有效的信息发布和交流的场所,例如电子公告、电子论坛、电子刊物,使内部的规章制度、新闻简报、技术交流、公告事项等信息能够在行内部员工之间广泛的传播,使员工能够及时了解行内的发展动态;外部WEB系统作为银行为用户提供对外的服务平台。
邮件系统:邮件系统为行内工作人员提供对内、对外的邮件服务,实现日常办公的信息交换,成为办公自动化的良好补充。
网络结构优化根据国家有关监管部门对于银行信息系统安全管理的相关要求,以及管理控制需求,禁止各级分行的互联网出口,由总行提供统一的互联网出口;并对内网的业务区域进行划分。主要分为MIS区,主要包含二线生产业务服务器主机;办公服务器区,主要包含办公业务系统服务器主机;开发区域,主要包含应用系统的开发环境;办公网DMZ区,主要包含总行办公网对外提供开放访问服务的WEB、MAIL服务器等。具体网络结构优化逻辑图如下所示:
3
XXXXXXX网安全风险分析根据贵州省农行的系统现状,和规划中的应用系统,我们意识到,对于其信息网络目前存在着比较多的安全威胁,解决得不好将严重制约贵州省农行信息化的建设,因此必须谨慎对待其安全威胁。
威胁来源对于XXXXXXX网的主要威胁来源包括:
Ø
竞争对手:有组织有目的地进行商业秘密信息的收集,其办公网互联网连接,其中又存储着一定量的敏感信息,必然会成为竞争对手的关注焦点;
Ø
黑客、恐怖分子:今年来利用网络经济犯罪的比率不断升高,银行成为重点的攻击对象,国内外的各大银行都收到过各种攻击。
Ø
有怨言的员工:怀有危害局域网络或系统想法的气愤、不满的员工,或者是一些技术爱好者,希望尝试一些技术,这些员工由于掌握了XXXXXXX网的一些访问资源(比如访问帐号,访问某些业务系统的权限,IP地址等信息),所以攻击成功的可能性很高,并且对系统的破坏也很可观。
非人为的安全威胁非人为的安全威胁主要分为两类:一类是自然灾难,另一类为技术局限性。
典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可以对网络系统造成毁灭性的破坏,其特点是:发生概率小,但后果严重。
技术局限性:体现在网络技术本身的局限性、漏洞和缺陷,典型的漏洞包括:链路老化、电磁辐射、设备意外故障、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
对于XXXXXXX网来讲,技术局限性还表现在系统、硬件、软件的设计及技术实现上存在不足,配置上没有完全执行即定的安全策略等,这些都将威胁到系统运行的强壮性、可靠性和安全性。
人为的安全威胁主要指对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点,以便达到破坏、欺骗、窃取数据等目的,造成经济上不可估量的损失。一般来讲,这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。
被动攻击
被动攻击包括分析通信流,监视未被保护的通讯,解密弱加密通讯,获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下,将信息或文件泄露给攻击者。
对于XXXXXXX网来讲,被动攻击的行为可能有以下几种形式:
Ø
监听网络中传输的数据包;
Ø
对明文传递的数据、报文进行截取或篡改;
Ø
对管理不善的帐号和口令进行截取,从而在网络内获得更大的访问权限;
Ø
对网络中存在漏洞的操作系统进行探测;
Ø
对信息进行未授权的访问;
主动攻击
主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播,或导致拒绝服务以及数据的篡改。
对于XXXXXXX网来讲,主动攻击的行为可能有以下几种形式:
Ø
假冒:某个实体假装成另外一个实体,以便使一线的防卫者相信它是一个合法的实体,取得合法用户的权利和特权,这是侵入安全防线最为常用的方法;
Ø
截取:企图截取并修改在XXXXXXX网内传输的数据,特别是针对在互联网上传输的数据,很容易被截取和篡改,造成信息完整性被破坏;
Ø
欺骗:进行IP地址欺骗,在设备之间发布假路由,虚假ARP数据包,比如一个互联网上的攻击者将数据包的源地址更改为内网地址,就有可能越过贵州省农行外网边界部署的问控制设备;
Ø
重放:攻击者对截获的某次合法数据进行拷贝,以后出于非法目的而重新发送。
Ø
篡改:通信数据在传输过程中被改变、删除或替代。
Ø
业务拒绝:对通信设备的使用和管理被无条件地拒绝。
绝对防止主动攻击是十分困难的,因为需要随时随地对通信设备和通信线路进行物理保护,因此抗击主动攻击的主要途径是检测,以及对此攻击造成的破坏进行恢复。
物理临近攻击
是指一未被授权的个人,在物理意义上接近网络、系统或设备,试图改变、收集信息或拒绝他人对信息的访问。
对于XXXXXXX网来讲,物理临近攻击的行为可能有以下几种形式:
Ø
对骨干交换设备、边界路由器设备的毁坏、偷窃;
Ø
对关键网络设备(比如核心CISCO 6509交换机)配置数据的收集、修改;
Ø
对通信线路物理破坏或数据阻塞,影响XXXXXXX网的可用性;
Ø
利用电磁干扰,破坏线路的传输。
分发攻击
指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码,比如后门。对于XXXXXXX网来讲,物理临近攻击的行为可能有以下几种形式:
Ø
利用制造商在设备上进行软硬件配置修改;
Ø
在设备分发、安装时修改软、硬件配置。
内部人员攻击
内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。
对于XXXXXXX网来讲,内部人员攻击的行为可能有以下几种形式:
Ø
恶意修改设备的配置参数,比如修改XXXXXXX网中部署的防火墙访问控制策略,扩大自己的访问权限;
Ø
恶意进行设备、传输线路的物理损坏和破坏;
Ø
出于粗心、好奇或技术尝试进行无意的配置,这种行为往往对组织造成严重的后果,而且防范难度比较高。
安全风险分析对于XXXXXXX网的安全威胁,在一定条件下将有可能转换为实际的攻击行为,对信息网络造成很大的破坏,使信息系统运行停滞,或者数据被修改而破坏了信息的完整性,或者被恶意代码攻击,造成系统瘫痪等,这些后果我们称之为安全风险。
具体来讲,XXXXXXX网所面临的安全风险具体包括:
物理安全风险Ø
地震、水灾、火灾等环境事故造成整个系统毁灭;
Ø
重要的数据没有足够的备份措施,介质损坏后造成数据丢失,也无法挽回数据;
Ø
XXXXXXX网采取数据大集中模式后,使得办公网的风险也更加集中,因此在缺乏有效的本地或异地灾备措施时,系统当遭受非人为的自然灾害时,会存在极大的安全风险;
Ø
设备被盗、被毁造成数据丢失或信息泄漏;
Ø
电磁辐射可能造成数据信息被窃取或偷阅;
Ø
不严格的机房管理制度使系统遭受物理临近攻击;
终端安全风险终端设备的接入控制风险
可以通过管理的手段控制终端设备接入外网,但是管理为人为方式,不排除恶意行为和管理的疏忽,可能会导致外来的终端或者安全防范措施不当的终端接入内网,从而导致内网信息失窃,病毒传播等重大安全风险。
终端设备的自身安全风险
终端设备缺乏足够的安全防护能力,目前仅采取了防病毒的措施,对于主机自身健壮性、补丁管理方面还没有任何防护措施,使得终端设备很容易成为安全防护的短板。
终端的自身安全性,是决定了贵州省农行网络是否能够持续、稳定支撑上层业务应用的关键,而我们看到,贵州省农行网络终端的数量众多,管理起来难度很大,很容易造成安全管理的盲区,而一旦形成安全管理的盲区后,对整个系统都会造成不良的后果。
终端访问行为的安全性,也是贵州省农行网络整体安全性确保的关键因素,特别是终端在访问互联网时,是否访问了不安全的网站,造成恶意脚本的传播,或者终端使用者由于好奇心的驱使,在信息网络内尝试一些攻击工具,从而造成大面积的网络瘫痪或服务停滞等后果。终端行为的安全性,还体现在对外存设备的使用方面,即终端使用者是否利用外存,拷贝了一些敏感信息,造成信息外泄;是否安装了一些非法的软件,进入系统;
终端自身的强壮性:终端是否有足够的抗攻击能力,是否能够检测出针对终端攻击行为,并能够保护终端设备的可用性。
边界安全风险XXXXXXX网目前存在互联网接口,为目前最大的内外网边界出口,目前没有进行重点的安全防护。不能实现多层访问控制;不能对HTTP、邮件、FTP等数据包内的病毒信息进行过滤;对于那些欺骗类攻击、DOS/DDOS攻击、恶意脚本攻击、扫描攻击等威胁尚未有针对性的防护措施,也无法有效防范P2P的应用。
对于内部对于重要的应用系统,在访问终端与服务器之间也缺乏足够的访问控制措施,导致服务器面临很大的安全风险,内部员工的误操作和故意破坏行为,将使应用服务器的正常运行受到极大的妨碍。
网络安全风险Ø
非授权的访问和攻击行为,或者假冒身份、伪装类攻击行为,对XXXXXXX网形成渗透,获取关键信息;
Ø
DOS/DDOS攻击、DNS欺骗攻击,会造成服务器服务的中断,影响业务的正常运行;
Ø
内部用户通过Sniffer等嗅探程序在网络内部抓包,获得系统用户名和口令等关键信息或其他机密数据,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
Ø
内部用户通过扫描软件或取其他用户系统或服务器的各种信息,并利用这些信息对整个网络或其他系统进行破坏。
Ø
病毒,尤其是蠕虫病毒爆发,将使整个网络处于瘫痪状态;
Ø
目前,垃圾邮件已经成为网络安全的又一种重大威胁,垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗,邮件服务器系统资源消耗殆尽,不能够进行正常的邮件转发服务。
系统安全风险目前XXXXXXX网中所使用的操作系统主要将是WINDOWS和Linux系统,我们知道,WINDOWS系统和Linux系统中存在众多的安全隐患,这些安全隐患很容易被攻击者利用,对XXXXXXX网造成很大的破坏,严重地将导致系统的崩溃和瘫痪。
管理安全风险对于管理风险包括:
Ø
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
Ø
机房重地却被任何人都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
Ø
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏,如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
Ø
非法人员进入重要部门或机房,非法获得资料或对设备进行破坏;
Ø
员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
Ø
大量的人为因素的安全隐患,为破坏着进入系统造成了便利,例如:
1.
部分系统管理员密码强度不够,或没有设置密码;
2.
密码和帐号名相同或者采用帐号名翻转作为密码;
3.
采用电话号码作为密码;
4.
采用单一字符集作为密码,例如“qqqqqq”;
5.
密码的复杂程度不够;
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理技术来实现。
4
XXXXXXX网安全需求分析从自身安全防护的角度,我们认为XXXXXXX网络在建设过程中需要考虑物理、终端、边界、网络、系统和管理方面的安全风险,并由此产生了以下的安全需求。
物理层安全需求保证网络信息系统各种设备的物理安全是保证整个网络信息系统安全的基础。物理安全是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
;
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
介质安全:包括信息系统数据所依赖的存储介质和传输介质的安全,确保不会因为物理介质的故障导致信息数据受损;
网络层安全需求网络是信息系统赖以存在的实体,离开了网络平台,信息的传递、业务的开展将无从依托,因此如何保障网络的安全,是构建XXXXXXX网络系统安全架构的基础性工作,对于XXXXXXX网络来讲,网络安全主要解决运行环境的安全问题,对应网络层安全威胁,网络安全主要的技术手段包括访问控制技术、加密传输技术、检测与响应技术等,对照XXXXXXX网络的实际情况,我们看到其存在以下的安全需求:
访问控制需求
l
防范非法用户的非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。
l
防范合法用户的非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户(指来自外部网络的合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问权限进行严格控制。
l
防范假冒合法用户的非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而进行的非法访问。
入侵防御需求
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但是不能发现规则之外的入侵行为,所以确保网络更加安全必须配备入侵防御系统,对攻击进行检测并做相应反应(记录、报警、阻断)。
内容、行为审计需求
为防止内部人员的恶意泄密,对内网的用户行为进行监控,并能对常用协议的使用进行内容还原,便于日后的安全事件追踪和犯罪取证,并起到威慑作用。
终端安全需求
终端接入控制需求
通过技术手段控制外来设备在内网的接入,并拒绝内部安全措施不当终端设备入网。
终端自身安全需求
对终端进行安全加固和管理,能及时的下法安全系统补丁、病毒库,统一下发软件;对终端系统进行监控和扫描,进行资源管理;并能统一下发终端的安全策略;并对终端的行为进行监控避免信息泄露。
系统审计要求
XXXXXXX网内系统、设备众多,每天都会产生大量的安全日志信息,需要对这些信息进行统一的日志审计,便于管理员进行察看并从中发现安全事件。
应用层安全需求 防病毒需求
针对防病毒危害性极大并且传播极为迅速的特点,必须配备涵盖客户端、服务器、邮件系统、互联网网关的整套防病毒体系,实现全网的病毒安全防护,彻底切断病毒繁殖和传播的途径。
防垃圾邮件需求
必须采用有效的手段防范互联网垃圾邮件进入网络内部邮件服务器系统,干扰正常业务通信。
安全管理需求提高人的安全意识可以通过安全常识培训来实现。对人的行为的约束只能通过严格的管理体制,并利用法律手段来实现。网络系统中也可以通过部署相应的安全管理产品,采用一定的技术手段监控各种网络行为。
5
XXXXXXX网关键安全策略设计
网络安全策略网络安全主要采取的措施有访问控制、数据包深度检测、边界病毒防护以及数据的安全传输,在技术上则分别通过防火墙、病毒过滤网关来实现,具体的策略分别描述如下:
防火墙安全策略
防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测),控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力,以确保其自身的安全性。
针对XXXXXXX网络的具体情况,我们将制定以下的安全策略:
Ø
划分安全区域:由于网络安全的整体性要求,为了使网络系统达到一定的安全水平,必须保证对网络中各部分都采取了均衡的保护措施,但对XXXXXXX网络来讲,对网络的不同部分都采用相同的安全措施是不现实的。为了解决这个问题,一个常用的方法就是根据网络不同部分的重要性划分为不同的安全区域,并着重对其中重要的安全区域进行隔离和保护; Ø
访问控制策略:防火墙被部署在XXXXXXX网络,在部署防火墙系统后,将XXXXXXX网络从逻辑上划分为多个安全域,在安全域之间通过事先定义好的安全策略,实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,确保不同安全区域之间的授权、有序访问。 Ø
带宽控制策略:防火墙被部署在XXXXXXX网络不同的安全区域之间,在执行严格的访问控制策略的基础上,针对公务内网信息网络与互联网的出口处,进行严格的带宽控制措施,根据业务流的不同重要性,分配不同的带宽,确保那些重要的业务能够得到更多的带宽资源,确保业务的持续性;这里我们可针对首信互联网出口的20M链路带宽进行分配,对于内网用户访问互联网的行为建议分配10M的链路带宽,外部移动用户或授权用户可分配5的链路带宽,互联网访问用户对邮件服务器的访问分配5M的链路带宽,从而使互联网出口链路的带宽资源分配更加合理; Ø
地址转换策略:由于XXXXXXX网络内的访问终端均采用保留地址,因此在互联网出口处的防火墙将采用地址转换策略,将访问终端的保留地址转换为互联网有效地址,以便使访问终端能够访问互联网资源,采用地址转换策略后,还可有效隐藏访问终端,使互联网攻击者无法了解内网终端的真实地址,从而有效保护内网访问终端; Ø
地址映射策略:类似于地址转换策略,针对外网服务器区域,也可采取内网保留地址,并同时在防火墙上执行地址影射策略,将互联网地址配置在防火墙上,同时建立互联网地址与外网服务器真实地址之间的对应关系,利用地址影射策略,也可有效保护外网服务器,将互联网访问用户对外网服务器的直接访问转换为间接访问; 日志和审计策略:防火墙对重要关键资源的使用情况进行有效的监控,实现日志的分级管理、自动报表、自动报警功能,并且产生的日志能够以多种方式导出,有利于XXXXXXX网络内部署的安全集中管理平台进行统一的管理
入侵防护策略
随着新发现的漏洞数量的不断增加,利用这些漏洞进行攻击的速度越来越快,手段也越来越高明,使用户的信息网络面临着越来越高的风险,同时给用户的业务带来日益严峻的威胁。利用混合技术攻击网络基础架构的新型混合攻击在不断增加和演变,这意味着用户无论规模大小都必须坚持不懈地保护自己,以抵御这些不断变化的威胁。
单凭传统的、被动的安全技术已经不能确保网络的可用性、完整性和数据保密性。由于传统技术本身的能力所限,无法提供前瞻性的威胁检测和防护,对于手段高明且极具针对性的新出现的零时间(zero-day)攻击和拒绝服务(DoS)攻击,以及间谍软件、恶意软件和IP语音(VoIP)等威胁,用户的防线仍然十分脆弱。此外包括黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游)在内的安全隐患极大地困扰着用户,尤其是混合威胁的风险,给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题。用户需要部署先进的前瞻性防护,以抵御基于漏洞的威胁和攻击,从而保护其重要的网络基础架构。而且,各类企业都面临强大的管理和审核压力,它们要确保机密数据的安全并降低业务风险。
面对这些问题,传统的安全产品已经无法独立应对。传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码;无法发现内部网络中的攻击行为。入侵检测系统IDS旁路部署在网络上,当它检测出黑客入侵攻击时,攻击可能已到达目标造成损失,无法有效阻断各种攻击;入侵检测系统IDS侧重网络监控,注重安全审计,适合对网络安全状态的了解。但是对检测到的入侵行为无法提供及时有效的反应,因此需要更加有效的入侵防御系统。
入侵防御系统往往以串联的方式部署在网络中,提供主动的、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
系统安全策略
终端安全策略
由于终端设备分布的广泛性,使得对终端的安全防护成为难点,但是终端往往由于操作系统自身的漏洞,或者未安装有效的病毒防护系统,导致终端很容易成为省局信息网络中的安全短板,特别是由于终端设备的使用者缺乏足够的安全意识,在访问互联网并下载软件时,导致一些恶意代码,或者木马等程序被自动安装在终端设备上,从而使终端成为进一步攻击省局信息网络的跳板,因此必须采取有效的终端安全管理系统,实现对终端设备的统一安全管理。
终端安全管理系统通过对桌面安全监管、行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护终端的系统安全,执行以下的安全策略:
Ø
终端设备的接入控制:控制终端设备的随意接入,避免外部用户的随意接入内网。 Ø
桌面安全监管策略:通过统一策略配置的主机防火墙和主机IDS,实现对桌面系统的网络安全检测和防护,当IDS检测到报警后能够与主机防火墙进行联动,自动阻断外部攻击行为。 Ø
行为监管,对桌面系统打印行为、外存使用行为、文件操作行为的监控(文件操作只进行监视),确保数据的安全,避免泄密。 Ø
系统监管,使管理员能够轻松进行局域网的管理维护。通过系统监管模块管理员能够远程查看桌面系统的详细硬件配置信息和已经安装的软件;能够很容易的进行IP地址管理,避免IP地址混乱;还可以轻松完成网络内Windows系统的补丁检测、下发和安装。 Ø
安全状态检测策略:系统能够自动检测桌面系统的病毒防护工作是否正常,如果发觉终端未安装防病毒系统,或者安装的防病毒系统没有及时升级到最新版本,那么终端安全管理系统将自动通知终端用户,督促其尽快安装防病毒软件或者将病毒库进行升级。 Ø
补丁自动升级:帮助管理员对网内基于 Windows 2000/XP等机器快速部署最新的重要更新和安全更新。能够检测桌面系统已安全的补丁和需要安装的补丁,管理员能通过Console Portal对桌面系统下发安装未安装补丁的命令。只要终端接入到省局信息网络中,通过统一的终端安全管理平台,便可自动获得补丁,实现操作系统补丁的自动升级,从而确保操作系统的强壮性。 部署日志审计系统服务器,对网内的系统及设备产生的日志信息进行统一的审计,便于发现安全事件
应用安全策略应用安全主要涉及到应用系统信息资产的保密性和完整性保障,对应用安全的考虑主要集中两个方面,一是安全审计,审计是记录用户使用计算机网络系统所访问的所有资源和访问的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能够成功的还原系统的相关协议。二是对应用系统访问的源、目的的双向鉴别与授权。这里我们主要描述安全审计系统的策略:
安全审计策略
针对XXXXXXX网络,网络中各种安全设备(防火墙、病毒检测等)、操作系统(包括Windows和Unix)、应用服务(email,www,ftp,DNS)等都可产生大量的审计数据,并且在网络中有大量的活动,这些信息对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用。但由于目前网络攻击的手段越来越多样,攻击方法越来越隐蔽,单纯依靠这些彼此孤立的事件记录和简单的局部分析已经无法满足网络安全监测的目标。
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,为调查取证提供第一手的资料。
通常安全审计系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为,需要经过下列四个过程。
(1)数据采集:网络安全审计系统需要采集必要的数据用于审计分析。
(2)数据过滤/协议还原:根据预定义的设置,进行必要的数据过滤及缩略,从而提高检测、分析的效率。同时对数据进行协议还原,提取用户关心的内容数据。
(3)数据存储:将内容数据按一定的策略进行本地或远程存储。
(4)数据分析/审计/报警:根据定义的安全策略,进行审计/分析。一旦检测到违反安全策略的行为或者事件,进行报警。
针对XXXXXXX网络的具体情况,我们将制定以下的安全策略:
Ø
网络信息内容监测和取证策略:对XXXXXXX网络的各种应用,包括数据传输(FTP协议)、网页浏览(HTTP协议)、电子邮件收发(SMTP 、POP3、IMAP协议)、远程登陆(TELNET协议)、网上邻居(NETBIOS协议)、即时通讯(ICQ协议等)进行基于内容的审计,可根据XXXXXXX网络管理人员的需求进行审计策略的设置,例如仅对HTTP协议内容完全记录、解码、还原和归档,而不审计其它协议。产品通过对网络信息内容的完全监控和记录,为XXXXXXX网管理员或安全审计员提供对网络信息泄密事件进行有效的监控和取证;也可以完全掌握员工上网情况,比如是否在工作时间上网冲浪、网上聊天、是否访问内容不健康的网站等等。安全审计的对象还包括对敏感信息的审计、对资源滥用的审计、对特定行为的审计等。 Ø
FTP监控策略:记录、查询访问FTP服务器的用户名、口令字;记录和回放用户在服务器上的全部操作过程;对指定端口,指定IP或IP地址段进行监控;根据设定的关键词或关键字组合对传输的内容进行查询、分析、统计;对符合条件的相关内容形成证据文件,提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、协议、用户名、文件名等;并且最终根据用户指定条件,生成报表。 Ø
HTTP监控策略:截获、记录、回放、归档被监测网段中所有用户浏览WEB页的内容,包括各种文件,如HTML文件、图像文件、文本文件等。 Ø
网页内容过滤策略:对用户访问的某个特定网站进行监控;对指定端口,指定IP地址或IP段进行监控;根据设定的关键词或关键字组合自动对网页内容查询、分析、统计、检查。 Ø
电子邮件监控策略:完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件,内容包括:收件人和发件人各自的邮件地址、收件人和发件人各自的IP地址、电子邮件的主题、电子邮件的内容、电子邮件附件的完全还原,并可将附件导出、对压缩的附件进行最多十四层的解压。 Ø
远程登陆监控策略:记录、查询访问服务上TELNET用户名、口令字;记录和回放用户在服务器上的操作过程;对指定端口,指定IP或IP地址段进行监控;根据设定的关键词或关键字组合自动对传输的内容查询、分析、统计,对符合条件的相关内容形成证据文件,提供强有力的监控证据文件。设定的条件包括指定时间、指定IP地址或IP段、协议、用户名;最后按照用户指定的条件,生成报表。 Ø
网上邻居监控策略:对NETBIOS和SMB协议进行解码、分析和还原;记录和报告用户访问过的“网上邻居”上的其他主机IP和名称;记录、报告用户访问过的“网上邻居”中的各种资源,包括文件、目录、打印机等;对指定端口,指定IP或IP地址段进行监控;最后按照用户指定条件,生成报表。 Ø
即时通讯监控策略:检测内部员工在工作时间上网聊天等违反规章制度的行为,对多种即时网络聊天协议内容的截获、记录、回放、归档;支持ICQ、IRC等多种即时通协议;能完全还原用户聊天的全部内容;能对指定端口、指定IP地址或地址段进行审计,最后按照用户指定条件,生成报表。 病毒防护策略
通过部署防病毒网关,对进入网络中的数据进行病毒过滤,防止大规模病毒,及蠕虫在网内的爆发,并启动防垃圾邮件的过滤功能,将垃圾邮件和带有病毒的邮件拒之门外
在终端及服务器上部署防病毒软件,对设备进行本机保护,并与防病毒网关一起形成多层的病毒防护措施。
安全管理策略省局信息网络内存在众多的应用系统,并且访问终端分布广,没有规律,很难管理,造成管理上极大的安全风险,针对管理方面,除了要建设相应的管理队伍,设计严格的制度和规范,还需要在技术方面具备安全管理的能力,从安全事件的角度,能够有效监控、分析和管理省局信息网络的整体安全态势。并执行以下的安全策略:
对于XXXXXXX网络,在利用防火墙、入侵防御、安全审计等系统,组成基础防护平台地基础上,还需要进一步考虑整体安全管理的建设需求,通过该平台,一方面能够实现安全策略的统一配置与下发,确保安全防护的各个环节能够正确执行组织的安全策略;另一方面还能够实现对系统安全事件的集中收集与关联分析。
安全集中管理平台通过对网络中各种设备(包括路由设备、安全设备等)、安全机制、安全信息的综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图;通过制定安全策略指导或自动完成安全设施的重新部署或响应;从而全面提高网络整体的安全防护能力。
其中,安全事件管理、风险管理以及安全策略配置管理是网络安全管理系统实施安全机制整合的核心。
安全集中管理平台的设计目标是:从根本上改变不断增加的安全技术和安全产品所造成的信息孤立、管理困难的局面,在一个规范、统一的综合管理平台上有机整合各种安全技术、产品,同时使技术因素、策略因素以及人员因素能够更加紧密地结合在一起,突出人在企业安全管理中的中心地位,充分地发挥用户网络中各种安全资源的作用,提高用户的网络安全防御体系整体的综合效能,获得尽可能大的投入产出比。
具体来说,主要包括:
l
实时监控网络运行
l
实施统一的安全策略管理
l
有效收集、整合、分析海量的运行事件
l
快速判断、应对网络安全威胁
l
及时预测网络安全趋势
l
提高网管工作效率
6
XXXXXXX网安全建设规划安全建设不是一蹴而就的事情,是一个长期不断调整的过程,在本期将主要对生行中心、各地市、县进行基本的安全防护,主要防护内容如下所示。
n
在省行通过部署防火墙、IPS、防病毒网关、内容行为审计系统对省行中心进行全面的防护。
n
在地市、县级网络部署防火墙进行边界防护,并将在市级内网中部署防病毒网关将病毒控制在网络之外,防止在全网范围内的扩散。
n
在办公网内部署终端安全管理系统,服务器放置在省行中心,在各市区配置二级服务器在所有windouws终端设备上安装代理软件,对全网的终端进行安全加固、入网控制、身份认证。
n
在全网范围内部署安全管理系统,在各地市区域内部署信息代理进行地市内相关设备安全事件信息的收集,并进行预处理,将预处理后的信息发送到部署在省行中心的安全管理服务器,并对收集的日志信息进行审计,实现对全网安全态势的整体监控和管理,并对确定的安全事件进行应急处理。
办公网络网络层安全规划主要进行办公网络各安全边界防护,通过部署FW、IPS、内容行为审计系统来实现XXXXXXX网的网络系统安全防护具体部署如6.1图所示,在省行互联网出口部署IPS、FW进行互联网边界安全防护,在各地市、县的局域网边界部署防火墙设备,针对出入的数据进行访问控制策略控制;同时在省中心的核心交换机上部署内容、行为审计,监控内网用户的网络行为。
办公网络防病毒系统安全规划在省行中心的防火墙之后部署防病毒网关,在各地市支行与专网的出口的防火墙中加入防病毒模块,并在终端、服务器上强制安装杀毒软件,杀毒软件可实现分级管理。部署图如6.2图所示:
办公网络防主机系统安全规划在省行中心部署终端管理系统服务器,在办公网的省、市、县中心安装代理里软件,受服务器的统一管理和控制。对内网的安全接入进行控制,并部署日志审计系统进行统一的日志审计,具体部署如下图所示:
办公网安全管理系统安全规划在XXXXXXX网内部署安全管理系统,将省行中心部署安全管理平台服务器,负责对全网的安全态势进行监控,对安全事件进行关联分析,在各地市支行办公内网部署代理,负责本地市支行及下属县支行的信息收集,并进行预处理,将预处理的结果发送给省行的安全管理平台服务器,具体部署及数据流向如下图所示:
办公网络整体规划通过部署安全设备,对XXXXXXX网络从网络、系统、应用等方面进行安全防范,整体部署如下图所示:
|