在第2章里,我们分别从网络、应用、终端及管理四个方面对公司的信息系统安全建设进行了风险及需求的分析。同时根据第3章的安全方案设计原则,我们将公司网络安全建设分为以下几个方面进行了详细的方案设计:
边界安全解决方案; 内网安全解决方案; 应用安全解决方案; 安全管理解决方案; 安全服务解决方案。
下面我们分别针对这5个安全解决方案进行详细的描述。
1.1 边界安全解决方案
在第2章的网络安全风险及需求分析中,我们主要从外部网络连接及内部网络运行之间进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。
网络是用户业务和数据通信的纽带、桥梁,网络的主要功能就是为用户业务和数据通信提供可靠的、满足传输服务质量的传输通道。
就公司网络系统来讲,网络边界安全负责保护和检测进出网络流量;另一方面,对网络中一些重要的子系统,其边界安全考虑的是进出系统网络流量的保护和控制。
针对公司网络系统,来自外部互联网的非安全行为和因素包括: 未经授权的网络访问 身份(网络地址)欺骗 黑客攻击 病毒感染
针对以上的风险分析及需求的总结,我们建议在网络边界处设置防火墙系统、安全网关及远程访问系统等来完善公司的边界网络安全保护。
1.1.1 防火墙系统
为在公司网络与外界网络连接处保障安全,我们建议配置防火墙系统。将防火墙放置在网络联结处,这样可以通过以下方式保护网络:
为防火墙配置适当的网络访问规则,可以防止来自外部网络对内网的未经授权访问; 防止源地址欺骗,使得外部黑客不可能将自身伪装成系统内部人员,而对网络发起
攻击;
通过对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性
和可靠性;
可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实
需要;
提供用户认证机制,使网络访问规则和用户直接联系起来,安全更为有效和针对性; 对网络攻击进行检测,与防火墙内置的IDS功能共同组建一个多级网络检测体系。 目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显着的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统安全性能的诊断功能。其内置的入侵检测系统,可以自动识别黑客的入侵,并对其采取确切的响应措施,有效保护网络的安全,同时使防火墙系统具备无可匹敌的安全稳定性。
我们可以根据业务模式及具体网络结构方式,不仅仅在内部网络与外部网络之间,同时在内部网络与内部网络之间和各子业务系统之间,考虑采用防火墙设备进行逻辑隔离,控制来自内外网络的用户对重要业务系统的访问。
1.1.1.1 防火墙技术部署说明
(根据具体的网络情况描述)
1.1.1.2 产品选型及功能介绍
(根据具体产品描述)
1.1.2 安全网关
由于考虑到公司与互联网(Internet)进行连接,所以我们建议在系统网络与Internet接入处配置“安全网关”,部署位置灵活,可放置在接入路由器与防火墙之间,也可部署在防火墙与内部网络之间。
随着互联网的飞速发展和应用,计算机病毒已将互联网作为其一种主要的传播途径。其中利用电子邮件传播病毒是最直接的方式,统计显示邮件传播方式占全部病毒传播的90%以上。在过去一段时间内所发生的几起影响较大的计算机病毒事件中,以Internet为主要传播途径的病毒占大多数,如Nimda、Code Red等,以及近几年爆发的、Swen、冲击波、振荡波等等。
同时,由于病毒的泛滥,垃圾邮件也越来越成为大家头痛的问题。根据国际领导的市场调查机构Radicati Group统计,目前所有的邮件中,超过50%是垃圾邮件,也就是说每天在国际上有超过150亿封垃圾邮件被发送出去,使各类企业每年遭受到200亿美元以上由于劳动生产率下降及技术支出带来的损失,到2007年垃圾邮件数量将上升到惊人的2万亿封一年。
经过上述风险及需求的分析,在Internet接入处对病毒、垃圾邮件及恶意代码进行控制,是实现接入安全的最佳方案。通过配置“安全网关”,我们可以实现:
保证所有主要的Internet协议的安全,包括HTTP、FTP、SMTP、POP3等信息在进
入内部网络前由安全网关进行查杀毒; 过滤所有来自互联网的垃圾邮件;
通过SMTP认证保证邮件服务器不会被黑客当作攻击别人的跳板等。
1.1.2.1 产品选型及功能描述
安全网关的目标是在网络边界或Internet网关处提供全面的病毒防护,而该病毒防护设备是即插即用的,不需要改变任何Internet设置,并对所有应用及服务透明。通过全面阻截已知及未知病毒和防垃圾邮件功能和内容过滤功能达到针对企业网络环境的全面防护。安全网关是一款高度可配置及提供负载均衡的产品,为从中型到大型企业提供全面解决方案,并对网络流量透明。 ❖ 主要模块
防病毒模块
能够扫描最常用的6种协议,阻止未知病毒和计算机蠕虫进入公司网络 防垃圾模块
安全网关通过其反垃圾邮件模块检查进入公司的所有邮件。信息被扫描并且被划分
成垃圾或非垃圾,在未被请求的邮件到达用户信箱之前进行阻断或修改这些信息的主题
内容过滤模块
网页过滤模块允许管理员限制因特网访问。可以定义不受欢迎内容目录,授权和非
授权网页。允许管理员控制公司网络资源,并且阻断非法,黄色或暴力网站内容,或只是不受欢迎内容进入公司。可以建立VIP用户列表,这些用户不需应用上述限制
❖ 主要特点:
易于使用:安全网关是目前世面上最易于安装及使用的硬件网关产品,作为网络信
息传递的桥梁而非需要重新路由网络流量。
安全:安全网关扫描6种网络协议,而其他硬件网关产品仅能够扫描2到4种网络
协议。在安全网关安装在企业边界上时,它实时扫描所有收入及发出邮件及其他的网络传输信息,并且具有防垃圾邮件功能和内容过滤功能
表现性能:安全网关的最大性能是可以取得完全扫描及病毒防护。安全网关的硬件
及软件性能经过特殊优化处理,能够同时扫描6种网络协议,并且完全对企业网络透明。
扩展性:安全网关专门针对自动负载均衡设计,使增加扫描的速度及增加网络防护
可以随时达到。并可支持到百兆。
❖ 功能及优势:
性能高度优化的病毒防护 整合最新硬件及软件技术,提供超乎寻常的优异性能,
能够在一个小时内扫描上万封邮件,完全对企业网络透明。
性能高度优化的垃圾邮件防护 整合最新硬件及软件技术,提供超乎寻常的优异
性能,能够在一个小时内扫描上万封邮件,完全对企业网络透明。
拓展性及负载均衡 由于安全网关的高度可拓展性,安全网关适合中到大型企业,
能够根据网络通讯流量调节扫描能力。负载均衡是完全自动的,允许工作负载量能够自动在不同工作单元间进行均衡,良好地保障了产品的可拓展性及对企业边界的
全面防护。
易于安装及配置 按照即插即用的设计思路,能够非常简便地安装在企业网络中,
不需要重新配置或重新路由Internet流量。一旦安装完成,就开始不知疲倦地扫描所有网络流量,保障网络的100%安全。
保护所有广泛使用的网络协议 保护所有可能的Internet相关威胁,完全扫描所
有常用Internet协议,包括: HTTP, FTP, SMTP, POP3, IMAP, NNTP.
内容过滤 内容过滤防止未知病毒及蠕虫进入企业网络,大幅减少整体网络资源
占用及带宽,防止可能的恶意代码进入到企业网络。
远程管理 可以通过一个简洁、启发式的WEB管理控制台远程管理,让企业网络管
理员通过企业内部任何一台电脑管理该产品。
每日自动病毒更新 可以每日自动病毒更新,意味着安全网关始终可以防护所有最
新病毒。
详细报告及可客户化的报警安全网关提供完整的扫描报告,并可以客户化在企业内
部网络的病毒报警机制。
实时系统监控 安全网关提供网络管理员对网络病毒行为及网络流量的实时监控。
1.1.3 远程访问安全
根据前面的风险及需求分析可知,公司在通过Internet互连及远程访问方面,主要存在着以下两种类型:
公司总部与分支机构之间的远程访问及互连; 公司与合作伙伴之间的远程访问及互连。
在总部与分支之间的互连,一般要求将分支机构的网络接入到总部网络。而与合作伙伴的互连一般情况下合作伙伴访问企业固定的某些应用系统。同时,远程应用中还存在着一种情况,即用户出差或移动状态中需要
在远程访问安全方面,我们分别针对这两类应用类型设计了相应的VPN远程访问系统。
1.1.3.1 分支与总部的连接
目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN
建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。
如在企业分部与企业总部之间,及企业员工与企业核心数据之间,都可建立起端到端的逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户所窃取,只有在隧道的始末两端才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要。
现在大多数远程安全访问解决方案是采用IPSec VPN方式,应用最广泛的组网结构是在站点到站点的VPN组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接。并且,每个传输必然对应到VPN网关之后的相关服务器上。在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。IPSec VPN的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。
1.1.3.2 应用系统的远程访问
信息技术发展到现在,Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN将是Web应用热潮的直接受益者,它被认为是实现远程安全访问Web应用的最佳手段。很多情况下,如采用SSL VPN的能够就是降低成本。虽然购买软件或硬件的费用不一定便宜,但部署SSL VPN很便宜。安装了这类软件或硬件,使用者基本上就不需要IT部门的支持了,只要从其PC机上的浏览器向公司网注册即可。SSL连接也更稳定,据Infonetics最近发表的报告表明, SSL将不断获得吸引力。到2006年,74%的移动员工将依赖VPN(比2004年增加15%),预计增长率主要来自SSL,这种IPSec以外的方案避开了部署及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足用户对移动连接的需求。用户通过与因特网连接的任何设备实现连接,并借助于SSL隧道获得安全访问。虽然这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。
SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。
SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,
这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题,IPSec VPN实际上只适用于易于管理的或者位置固定的设备。
SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。IPSec VPN和SSL VPN 将在网络组网中发挥各自的优势。
在公司的远程访问安全中,由于分别存在着这两种情况,因此我们建议在方案中采用IPSec 和SSL VPN相结合的部署方式:
总部与分支机构之间的需要通过现有的Internet进行互连,提供分支机构对总部网
络的访问。因此,采用基于IPSec的站点到站点的VPN接入是比较理想的接入方式。 出差用户及远程移动用户访问公司内部应用、及合作伙伴访问某些特定的业务应用
系统,采用SSL VPN方式更能有效的满足应用的需求。
1.1.3.3 产品选型及功能说明
(根据具体的产品功能描述)
1.1.4 入侵检测系统
根据之前的安全风险与安全需求分析,在公司网络中,由于直接接入Internet及内部网络用户众多,可能面临的风险及威胁有:
拒绝服务攻击(DoS):通过消耗网络带宽资源或网络设备处理能力资源,使正常
的服务和数据通信对网络的传输质量要求得不到满足。尼姆达(Nimda)病毒冲击波(Blaster, Nachi)病毒就是非常典型例子。 信息窃听
资源滥用:内部人员访问不当站点、玩网络游戏,浪费网络资源,使正常的服务和
数据通信得不到保障。
管理失控:通过窃取网络设备的管理权而使网络失去安全性
因此,我们在方案中建议在网络中部署入侵检测系统来入侵及滥用行为进行检测及审计。通过在网络中部署入侵检测系统,可以在安全保障上做到:
检测和发现针对系统中的网络攻击行为,如DoS攻击。对这些攻击行为可以采取
记录、报警、主动阻断等动作,以便事后分析和行为追踪。 通过定义禁止访问网站,限制内部人员对不良站点的访问。
对一些恶意网络访问行为可以先记录,后回放,通过这种真实地再现方式更精确的
了解攻击意图和模式,为未来更有效地的防范类似攻击提供经验
“入侵检测系统” 可以提供强大的网络行为审计能力,让网络安全管理员跟踪用
户(包括黑客)、应用程序等对网络的使用情况,帮助他们改进网络规划。 对“入侵检测系统”的使用和使用人员的管理一定要有专门的制度。
IDS最主要的功能是对网络入侵行为的检测,它包括普通入侵探测和服务拒绝型攻击探测引擎,可以自动识别各种入侵模式,在对网络数据进行分析时与这些模式进行匹配,一旦发现某些入侵的企图,就会进行报警。IDS也支持基于网络异常状况的检测方式。IDS具有强大的碎片重组功能,能够抵御各种高级的入侵方式。为了跟踪最新的入侵方式和网络漏洞,IDS提供大容量的入侵特征库以及方便的升级方式,每一个漏洞都提供了详细的说明和解决方法,并且给出了相关的Bugtraq、CVE以及CAI等国际标准的编号。
IDS能够基于时间、地点、用户账户以及协议类型、攻击类型等等制定安全策略。通过对安全策略的调整,用户能够很方便地将IDS自定义成为符合自己组织需要的入侵检测系统。而且,通过IDS提供的正则表达式,用户能够方便地对入侵特征库进行扩充,添加需要的入侵特征,并且能够对入侵的响应过程进行自定义。比如用户需要在发现某种特定类型的攻击方式的时候启动一段自己编写的程序以完成某项功能的时候,就可以利用IDS提供的接口灵活而方便地进行配置完成。
在抵御拒绝服务攻击的功能上,IDS不仅仅能够进行攻击的报警,而且能够主动切断攻击。由此产生的大量日志能够通过IDS具备的强大的工作区切换功能进行存储和转发,大大提高了网络入侵检测系统本身的抗攻击能力。为了进一步提高IDS的抗攻击能力,IDS还支持Stealth模式的配置,就是无IP设置。这样攻击者就无法访问运行IDS安全工作站,也就无法对IDS进行直接攻击。
1.1.4.1 产品部署说明
(根据具体的网络情况描述)
1.1.4.2 产品选型及功能描述
(根据具体的产品描述)
1.2 内网安全解决方案
面对网络信息安全的各种风险,我们在边界及网关处的安全解决方案解决了许多安全问题。例如:在网络边界,通过防火墙对网络连接和访问的合法性进行控制,通过网关过滤设备对数据流非法内容进行控制;在网络传输上,通过入侵检测监视黑客攻击和非法网络活动等。但针对于内部网络我们仍然面临着诸多的安全问题。传统上,我们通过漏洞扫描发现系统缺陷;在主机设备,通过主机加固加强主机防护能力,通过防病毒、反间谍软件预防恶意代码等。
然而随着网络的发展,病毒及恶意代码本身的技术越来越先进,其防护也越来越复杂。而且随着计算机技术及应用的普及,桌面用户的行为也越来越超出网管员的管理能力范畴。因此,在考虑内部网络安全时,如果有效的管理网络及终端将是我们考虑的主要问题。
在此我们通过以下三种手段来完成基于终端的安全管理:
通过部署网络防病毒系统来完善企业整体防病毒及恶意威胁的能力;
通过漏洞扫描或风险评估工具来发展漏洞、脆弱性及威胁,并通过补丁分发系统对
漏洞及脆弱性进行及时的矫正及补充;
通过终端安全管理系统对桌面设备及用户进行安全管理及规范,有效保证终端的安
全。
1.2.1 企业防病毒系统
目前公司网络系统中并没有一套完整的防病毒策略和技术方案,工作站安装的防病毒软件各种各样,甚至有些服务器与工作站没有安装防病毒软件,部分工作上使用的防病毒软件病毒特征代码没有及时更新,没有对防病毒软件进行统一的管理。鉴于防病毒的重要性和资源服务器系统网络的当前状况,需要建立一套完整的防病毒系统,把病毒对网络的威胁降到最低。
目前企业整体防病毒解决方案均已比较成熟。在此我们针对传统企业防病毒系统部署强调以下几点:
全面性:实施网络防毒系统时,应当对网络内所有可能作为病毒寄居、传播及受感
染的计算机进行有效防护。避免有“遗忘的角落”造成病毒传播的源泉; 功能及易用性:一方面需要对各种病毒进行有效杀、防;另一方面,也要强调网络
防毒在实施、操作,维护和管理中的简洁、方便和高效,最大限度地减轻使用人员
和维护人员的工作量;
资源占用:防毒系统和企业现行计算机系统的兼容性、防毒软件的运行效率及占用
资源等是企业防病毒系统必须考虑的问题。部署时考虑到企业现有的计算环境及应用平台,是否与需求资源相匹配;
管理体系:为了保证防病毒系统的一致性、完整性和自升级能力,还必须要有一个
完善的病毒防护管理体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。 防病毒策略:这个是企业防病毒系统最容易被忽略的地方。系统必须明确地规定保
护的级别和所需采取的对策,并制定系统的防病毒策略和部署多层防御战略,服务器防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理,不要让网络系统中存在“木桶效应”。
一个良好的防病毒解决方案需要做到“层层防护,处处设防”,全方位多层次部署防病毒体系。我们为公司网络中提供一个稳定高效、技术一流、方便管理、服务周全的病毒防护解决方案,满足网络系统对病毒防护系统设计的业务需求,确保网络系统能有效抵御各种病毒和恶意程序的攻击。
在公司网络中建立病毒防护管理服务器,所有的防毒对象(工作站和服务器)均采用安装代理的方式来实现集中控管。防毒服务器全面控制防毒代理的运行、升级和删除等权限。可以通过防毒服务器自动分发防毒策略和防病毒升级特征库,而整个防毒体系只需要网管与网络安全管理中心的防毒服务器去Internet自动获取病毒库升级就可以自动完成全网的升级工作。极大地提高了防毒工作的效率。并且这种二层架构的网络防毒体系具有很好的扩展性。
1.2.1.1 产品选型及功能描述
NOD32企业级防病毒安全套装是一个高性能和稳定的防病毒解决方案,它方便了对网络中所有计算机的保护配置和更新,这些计算机包括:工作站,文件服务器,Exchange和Domino邮件服务器,SMTP网关和边界服务器。它不仅抵御病毒,蠕虫和特洛依木马,还防护新的英特网攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险。
入侵防护采用了新一代的防护技术,它比传统的检测系统更加智能化,能在第一时间发现新的威胁,并阻断企图越过传统防病毒软件的未知病毒的攻击,不管该未知病毒是以下列何种方式传播:外围设备、局域网共享资源、电子邮件E-mail、互联网。入侵防护是市场上唯一一款集已知和未知威胁防护于一身的入侵防护软件,能最大程度地抵御病毒、木马、蠕虫等网络威胁。
入侵防护企业版主要特性包括:
发现并清除未知病毒:结合了多种恶意代码程序的检测及阻断技术,能有效发现并
清除未知病毒。
缓冲区溢出防护:不仅能抵御已知的安全漏洞攻击,而且能防护未知的攻击。能在
第一时间保护系统内的缓冲区溢出漏洞不会被恶意代码利用作为攻击的手段,即使还没有任何针对该漏洞的资料和补丁程序。
防护性的阻断感染:可以在网络层防止病毒和蠕虫在企业网络中传播。
安全政策定义:通过建立安全政策来控制计算机上运行的程序可执行的操作,使网
管人员能对企业网络内所有的计算机进行整体控制管理、定义并干预正当的及被禁止的操作。
新一代的防护技术,能抵御所有类型的互联网威胁:包括病毒、木马、蠕虫等。 无可比拟的集中式部署:能不受地域限制,对企业组织中所有的工作站进行客户端
分发和集中管理。
占用资源最小化:是在低带宽环境下保护笔记本电脑的理想方案。 基于通用标准的技术:优化网络内的防病毒更新速度。 友好直观的用户界面:避免混淆和误操作。
1.2.2 终端安全管理
在第2章里我们针对终端的安全进行了详细风险及需求的分析。终端安全是我们整体解决方案里不可或缺的部分,因为终端安全是我们日常安全工作是最重要也是需要关注最多的部分。因此相应的终端安全的解决方案必须做到:
❖ 统一、灵活的安全策略
所有的安全管理都是通过策略集的定制和分发来完成的,支持集中的安全管理,便于整个系统的统一管理。安全策略分为用户策略和全局策略两类。一般情况下,用户终端工作在网络环境下,接受在线环境下用户策略的控制;对于移动办公的笔记本电脑等移动终端,接受脱机情况下全局策略的保护。
管理员可根据组织机构划分管理权限,不同的管理者具有不同的权限和管辖范围,支持系统清晰的职权划分。安全策略可以分组分类,不同的策略组所起的控制作用和使用范围也
不同。为了简化策略的管理,我们将用户按照角色来管理;对不同的角色实施不同的安全策略。
策略涉及多个层次:物理和环境、链路和操作、网络、设备、系统、应用、数据、人员等各个层面的安全策略制定、部署和实施,帮助客户有效实现网络安全建设。策略层次如下图所示:
❖ 多层面、全方位保护
系统的保护覆盖了“系统内核 - 系统设备 - 应用程序”三个层面,提供了全方位的保护。
在系统内核层面,可自动、透明地帮助用户加固操作系统、降低IT资源风险。终端用户勿需具备专业安全知识便可将自己的计算机终端加固到专家级程度,从而将精力关注于核心业务。
在系统设备层面,严格限定用户对硬件设备(例如:磁盘驱动器、CD-ROM、USB设备、打印机、网卡等)的使用权限和网络传输控制,保证该主机遭受攻击或发起对外攻击的可能性都极大降低,同时也防止数据信息泄露。
在应用程序层面,严格限定用户在指定电脑上的合法行为和禁止行为,保证了用户只能在合法范围内正常使用电脑,避免了用户对资源的滥用,也避免了由此造成的维护成本升高。
❖ 智能化分析和异常检测机制
系统通过特有的环境因子和用户因子生成报警因子,并结合策略因子和历史数据,共同输入到决策引擎中;该引擎采用专有的安全算法,综合分析判断得出对某个事件是否报警。这样就避免了大量误报给管理员带来的工作量。
❖ 安全和管理相结合
计算机终端的生命周期管理过程中,既涉及到安全保护,也涵盖终端管理,这两项工作内容都服务于业务目标,目的是保证IT业务和办公的正常运行和健康发展。安全和管理的完善结合,正是终端管理系统设计的重要思想。
1.2.2.1 产品选型与功能介绍
IP-GUARD终端安全管理系统是为了应对目前终端面临的众多安全威胁而设计的一种安全管理产品,也是实现ELM策略的重要技术手段。提供了对终端生命周期管理(ELM)策略的全面技术支撑,涵盖了资产管理、终端保护、应用监管、审计分析等功能模块。
以计算机终端为核心,通过完整、灵活、适应用户需求的措施,提供终端安全解决方案。KSMS面向企业级用户,它部署在网络中每一台计算机终端,实现对终端的全面保护,并且强调对网络终端的统一控制管理。象一个时刻守卫在用户身边的安全管理员,提供有效的安全保护,确保计算机安全使用和企业级的统一管理。
1.2.2.1.1 系统体系和结构
由三个部分组成:策略服务器(KPS)、管理控制台(KMC)、安全客户端(KSA)。
❖ 分布式的体系结构
系统采用分布式体系结构,部署在网络内所有需要保护的计算机终端,通过集中的管理中心进行控制管理。KSMS提供灵活的部署能力,具有良好的扩展性。KSMS体系结构如下图所示:
在上图中,安全管理中心包括策略服务器、管理控制台、日志和审计数据库。其中,日志和审计数据库可采用独立服务器,也可安装部署在管理控制台。需要保护管理的计算机终端包括企业网络环境中工作的各种PC、笔记本电脑、PC服务器等。
接受保护和管理的终端节点会产生各种安全审计信息,可集中传输并存放到日志审计数据库,管理控制台可以访问和管理审计信息并进行统计分析。
❖ 系统组成 ▪ 策略服务器
策略服务器保存并分发安全策略。KPS负责系统的认证授权、策略管理的后台支持,负责整个系统策略的发布和保存。支持分布式部署,能够适用于大规模网络环境的应用。
▪ 管理控制台
KSMS管理控制台实现系统的集中管理控制。负责用户终端管理、策略定义和应用、系统设置、日志查询和报表分析,为系统的管理提供统一的平台,并支持用户分权管理。
▪ 安全客户端
安全客户端接受控制台的管理,执行安全策略。KSA部署在需要保护的用户PC和服务器上,保护计算机终端安全使用、约束用户操作行为,系统将各种安全信息和日志传递到控制台供管理员统一分析处理。
1.2.2.1.2 主要功能
❖ 资产管理
企业级的资产管理功能,帮助管理员和信息主管充分掌握企业范围内IT信息资产情况,为加强IT管理提供依据。
▪ 设备管理
管理员可充分掌握分散的计算机终端硬件配置及其变更情况(例如主板、CPU、内存、硬盘等),统筹管理,避免资产流失。
▪ 软件管理
管理员可及时掌握客户端安装软件及变化情况(例如操作系统、版本、补丁、所安装的应用软件等),便于监督管理。
▪ 用户管理
员工用户是企业资产的重要组成部分。提供基于按组织划分的用户角色的管理,管理员可在线查询用户终端操作系统、进程、设备情况、性能状态等多种信息。
▪ 资产识别
对非法终端、设备资产的真实性识别可通过绑定IP、MAC、用户的方式实现。
❖ 终端保护
KSMS企业级的强制安全策略,提供基础架构保护和资产保护功能,通过多种手段全方位保护计算机终端安全使用。基础架构保护主要包括:终端网络访问控制、恶意程序综合防范;资产保护主要包括:设备使用限制、数据文件保护。
▪ 终端网络访问控制
通过IP地址、IP/TCP/UDP/ICMP/IGMP协议、服务端口等控制,防止遭受外来黑客攻击,并且防止内部终端对外(或内部网络其它终端)发起攻击。
▪ 恶意程序综合防范
采取多种方式综合防范恶意程序破坏。通过端口控制,可阻止特定蠕虫攻击;通过限制程序执行,控制未知病毒发作;通过注册表保护,防止恶意代码篡改;通过补丁管理,可及时通知补丁信息,弥补漏洞;通过与KILL及各种主流防病毒软件联动,集成实现防病毒管
理。
▪ 设备使用限制
通过限制串口/并口、软驱/光驱、USB磁盘、各种形式打印机、PCMCIA卡、红外、1394接口、多网卡/无线网卡、Modem/ADSL等设备使用,有效防止设备滥用、一机多网使用、信息通过设备泄露现象的发生,同时为加强IT制度管理提供技术保障。
▪ 数据文件保护
通过数据访问权限控制等方式,保护数据、防止破坏和信息泄露。
❖ 应用监管
通过多种方式对计算机终端应用状况和用户行为进行监控管理。
▪ 非法外联控制
通过网络设备限制、网络程序/连接控制等手段,限制终端非法外联,对员工随意访问外部网络的行为进行管理,同时避免从不安全网络引入安全风险。此外,还可通过联动方式,控制终端必须经过统一认证才能经过滤网关连接到外部网络。
▪ 网络准入控制
可通过检测发现并防止非法终端(非KSMS客户端)接入网络,以此保护企业网络资源;此外,还可与交换机联动,通过协议方式将非法终端隔离在网络之外。
▪ 程序限制
可限制网络程序,对QQ、MSN、网络冲浪等行为进行管理;对游戏及业务无关行为进行技术限制;保证工作效率。
▪ 网页过滤
预置上百万条分类的URL网站(暴力、色情、赌博、邪教等)黑名单,可完全禁止访问;另外可通过自定义黑白名单、关键字方式过滤非法网站和网页,限制对禁止网页的访问。
▪ 远程维护
当终端计算机用户需要现场技术支持时,管理员可通过的远程协助功能帮助用户解决技术问题,在特权许可情况下对客户端进行远程维护和屏幕监控,大幅提高工作效率。
❖ 审计分析
提供系统日志、认证日志、报警日志等等多种水晶报表格式的统计分析报告,为管理员提供安全分析依据。日志划分为7个级别(紧急、警报、严重、错误、警告、通知、提示),可选择多种告警方式(声音、邮件、Windows消息等)。
1.3 应用安全解决方案
在第2章里,我们对应用安全的风险及需求进行了详细的分析与定义。在我们整体解决方案中从以下的两个方面来完善应用安全解决方案。
1.3.1 身份认证
1.4 安全管理解决方案
在第2章的安全管理的风险及需求分析中,我们主要从技术层面和行政层面两个方面来进行了阐述。实际上,安全管理是一个复杂而渐进的过程,因为作为管理能力,是需要通过不断的改进和提高。在公司的安全管理解决方案中,我们先从技术和行政这两个层面对的安全管理进行一个基本设计,先建立一个基础的安全管理平台,然而我们会进一步如何建立有效的安全管理体系(SOC),实现可管理的安全进行初步的论述。
1.4.1 安全管理平台的建立
1.4.1.1 技术层面
作为信息安全管理平台所要求的高效和安全应用,是离不开尖端的计算机技术作为基础,当然也离不开企业的行政管理手段,因为没有系统的管理措施,那么再新的技术也无法在系统中得到更好的应用。
在技术方面通过专业的网络综合管理系统来建立一个基本安全管理中心的技术平台。通过专业的网络综合管理系统来实现对网络设备、主机设备、安全设备和应用系统的安全管理。
由于公司的信息系统建设是分步进行的,网络设备、应用系统以及安全设备、用户平台等具有多样性,因此对管理平台或系统的要求也比较高,必须采用专业的网络综合管理系统,对网络中的所有设备以及系统平台都能够统一集中管理,获取所有设备的工作状态和网络负载状态,同时可以看到网络活动的日志信息,用它来对网络状态进行分析,提供更有效的安全策略,同时网管系统能够监测客户端系统状态,能够接管客户端系统,当网络中的么一用户系统出现问题而自己却无法诊断,这时可以通过网管系统进行远程接管,来协助用户解决
问题。
1.4.1.2 行政层面
在行政层面公司必须成立信息安全管理小组,通过小组会议确立信息安全政策总则、信息安全管理政策、信息安全审计考核及信息安全政策。 ❖ 信息安全政策总则
主要是确定公司信息安全总体原则,明确今后的安全目标,有组织、有计划的为信息安全建设给出总体方向,是其它政策和标准的依据。 ❖ 信息安全管理政策
主要是制定信息安全政策和标准流程、管理规范、推广实施、定期维护;设置安全组织管理体系的结构;规定领导层对信息安全的责任、考核。 ❖ 信息安全策略
主要是明确公司内部所有用户、所有应用的明确的安全细则,它是作为公司领导对所有用户考核的依据。
其具体信息安全政策应包括以下内容: 安全事件监测和响应 员工信息安全管理 开发维护内部软件 数据和文档管理 商业软件的购买和维护 网站、电子邮件 硬件设备和物理安全 信息系统的访问控制 网络、系统操作和管理 防御病毒和防御攻击
❖ 信息安全审计
指定审计和考核标准的目的是为了考察信息安全政策和标准的执行情况,及时发现问题,纠正问题。这有助于信息安全政策的改进和完善。政策中应该包含审计考核的标准、审计考核时间、方法、结果的处理。
在行政层面部分内容,如信息系统安全策略设计、详细的安全策略制订等可以通过外部专业的安全咨询公司进行咨询,然后结合企业的信息安全建设来制订。此部分内容我们将在下一部分安全服务解决方案里进行进一步的阐述。
1.4.2 安全运营中心(SOC)
信息安全管理的发展,随着安全需求的提升也不断的发展。近几年以来,安全运营中心(SOC)的概念及技术发展的也越来越成熟。部分涉足比较早的企业和服务商已经有了比较成功的实施案例。
在公司的安全管理解决方案中,我们在基础的安全管理平台之上,也提出关于建立有效的安全运营中心(SOC),实现可管理的安全服务。
1.4.2.1 SOC基础
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。安全运营中心(Security Operation Center)是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。总体来说SOC的根本模型就是PDR模型,而SOC系统就是实现其中的D(Detection,检测)和R(Response,响应)。SOC的需求主要是从以下几个方面得到体现: ❖ 大系统的管理
通常安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调。这种对于大规模系统的安全管理也正是SOC的需求根源,就是说只有大系统、拥有复杂应用的系统才有SOC的需求。 ❖ 海量信息数据
随着安全系统建设越来越大,除了需要协调各个安全系统之间的问题之外,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为,需要SOC这样一个平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。 ❖ 信息安全目标
我们知道传统的信息安全有7个属性,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。SOC的出现就是为了确保对全局的掌控,实现全面支撑信息安全管理目标。 ❖ 全局可控性
可控性是信息安全7个属性中最重要的一个,可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的一块木条。SOC就像是这个水桶的箍,有了这个箍,水桶就很难崩溃,即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。
1.4.2.2 SOC的基本实施
有关SOC的基本实施,不同的供应商与实施方都有着不同的理解,其实施的具体方式与结果均不尽相同。在此我们结合启明星辰SOC理论来进行安全管理运营解决方案论述。
1.4.2.2.1 SOC的体系结构
这里的安全管理运营解决方案是由“四个中心、三个平台”组成的统一安全管理平台。 “四个中心”是弱点评估中心、事件监控中心、风险管理中心和应急响应中心;“三个平台”是策略和配置平台、知识管理平台和资源管理平台。 ❖ 四个中心
事件监控中心 监控各个网络设备、操作系统等日志信息,以及安全产品的安全事件报
警信息等,以便及时发现正在和已经发生的安全事件,例如网络蠕虫攻击事件、非授权漏洞扫描事件、远程口令暴力破解事件等,及时协调和组织各级安全管理机构进行处理,及时采取积极主动措施,保证网络和业务系统的安全、可靠运行。
弱点评估中心 通过弱点评估中心可以掌握全网各个系统中存在的安全漏洞情况,结合当前安全的安全动态和预警信息,有助于各级安全管理机构及时调整安全策略,开展有针对性的安全工作,并且可以借助弱点评估中心的技术手段和安全考核机制可以有效督促各级安全管理机构将安全工作落实。
风险管理中心 整个风险管理中心的运作可以通过事件监控中心和弱点评估中心所掌握的全网安全动态,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。本中心是从检测到响应的中枢环节,汇总和分析也是在这里实现的。
应急响应中心 仅仅及时检测到安全事件是不够的,必须做出即时的、正确的响应才能保证网络的安全。应急响应中心作为安全管理运营解决方案的重要组成部分之一为应急响应服务实现工具化、程序化、规范化提供了管理平台。应急响应中心主要是通过工单管理系统来实现的。应急响应中心接收由风险管理中心根据安全威胁事件生成的事件通知单,并对事件通知单的处理过程进行管理,将所有事件响应过程信息存入后台数据库,并可生成事件处理和分析报告。 ❖ 三个平台
策略和配置管理平台 网络安全的整体性要求需要有统一安全策略的管理。通过为全网安全管理人员提供统一的安全策略,指导各级安全管理机构因地制宜的做好安全策略的部署工作,有利于在全网形成安全防范的合力,提高全网的整体安全防御能力,同时通过安全管理运营解决方案策略和配置管理平台的建设可以进一步完善整个IP网络的安全策略体系建设,为指导各项安全工作的开展提供行动指南,有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。
知识管理平台 统一的安全策略、安全知识库信息等信息的发布,不仅可以充分共享各种安全信息资源,而且也会成为各级安全管理机构之间进行安全经验交流的平台,有助于提高全网的安全技术水平和能力。足够的安全知识和信息是各个角色正确工作的基础。
资源管理平台 资源管理平台主要包括两个方面:人力资源管理和资产管理。人力资源管理保证在需要的时候,可以找到合适的人。资产管理主要是管理安全管理运营解决方案监控范围的各个系统和设备,是风险管理、事件监控协同工作和分析的基础。
1.4.2.2.2 SOC的功能特点
❖ 实时事件关联分析
事件监控中心对来自不同安全系统的报警信息进行实时的关联分析,关联分析的整个过程都是在内存中进行的,并根据威胁程度的大小对安全事件进行排序,对不同威胁程度的安全事件通过不同颜色来着重显示。 ❖ 多样化显示方式
事件监控中心提供了多种实时显示方式,如网络拓扑方式、雷达方式、柱形图等,直观的将安全威胁数据呈现给用户。 ❖ 丰富直观的报表
SOC安全管理运营解决方案提供了丰富的报表模板供用户选择,除了文字总结还可以用清晰直观的图形化方式将报表呈现给用户。 ❖ 广泛的平台支持
SOC安全管理运营解决方案支持从各种主流安全系统收集安全事件数据,并可以和网管系统实现结合管理。能够支持产品:
防火墙系统:Checkpoint NG/NGAI and Provider-1, Cisco PIX, Netscreen, Secure
Computing Sidewinder G2.
入侵监测系统:启明星辰天阗IDS Enterasys Dragon, ISS RealSecure, Cisco Secure IDS,
Snort, Symantec Manhunt, nCircle IP360.
防病毒系统:Sophos Symantec Corporate (Norton) McAfee ePO Trend Micro. 漏洞扫描系统:启明星辰天镜Scanner eEye Retina nCircle IP360 Nessus ISS Scanner
Foundstone Foundscan.
网管系统:HP OpenView, MicroMuse NetCool, CA UniCenter. 其他:Windows Event Log UNIX Syslog Tripwire SNMP SNMP Traps. 定制化:基于日志的数据源通常可以在一周左右定制化完成 ❖ 弱点评估管理
SOC安全管理运营解决方案的弱点评估中心通过人工审计和漏洞扫描工具两种方式,收集整个网络的弱点情况并进行统一管理,使得管理人员可以清楚的掌握全网的安全健康状况。
弱点评估管理具有统一的可视界面,显示各个系统的安全漏洞分布情况,包括以下内容: 该漏洞相关的链接信息,包括CVE编号、漏洞描述、受影响的系统类型以及漏洞
的解决方案等信息;
统计信息,即给出漏洞的分布、数量等统计信息。
SOC全管理运营解决方案支持多种漏洞扫描工具,包括启明星辰的天镜漏洞扫描系统、ISS Scanner、eEye Retina、Nessus、Foundstone Foundscan等。 ❖ 应急响应管理
SOC安全管理运营解决方案的应急响应管理是通过工作流系统实现的。该系统是专门针对安全事件的处理过程,根据具体的安全响应流程进行定制的。
事件监控中心监测到安全事件后有专人生成新的工单,一方面有专人会通过系统报警的方式收到通知并在规定的时间内对工单进行接收,并进入对安全事件的处理阶段,另一方面工单跟踪模块会对工单被派发后的整个过程进行跟踪,进行工单收回、重新派发等工作。工单处理结果可能有两种可能:一种是安全事件被解决,这个工单就被关闭,同时工单的内容被保存到知识库中,作为历史记录和以后参考用;另一种情况是安全事件因为某些原因没有被彻底解决,这个工单所包含的问题会被重新处理考虑,生成新的工单,进入新的工单处理流程。
应急响应管理完善了从防护到检测再到响应的一个安全事件处理过程的闭环。 ❖ 全面知识管理
SOC安全管理运营解决方案的知识管理平台既提供一般知识管理功能,比如安全知识库、培训和人员考核等,也提供了强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。
1.4.2.2.3 SOC的实现
综合以上有关SOC的理论、体系及功能实现,可以了解到SOC是安全管理平台的更高级发展,建设SOC的目的是提升企业安全管理的能力,也是进一步提高企业信息化水平及能力。从整体上来讲是提升企业的管理能力。实现可管理的服务。
目前市场上的SOC解决方案并不是很成熟,国际国内也没有成熟的SOC体系或标准。因此,企业是建设自身的SOC平台时,对市场解决方案及自身的管理水平要有充分的认识,选择合理合适的安全管理解决方案,这样才能进一步提高企业的信息化管理能力。
1.5 安全服务解决方案
在整体信息安全体系的建设中,除了针对具体的安全风险及问题进行基于产品和技术的解决方案后,需要对信息安全的管理平台进行建设,以期达到相应的安全目标。这一点我们在上节的安全管理解决方案里已经进行了描述。需要指出的是,整体信息安全体系的建设中,仅仅依靠自身的力量进行安全方案建设、安全管理建设等,均不能够充分的安全保障。所以在这里,我们引入了安全体系建设中的重要一环,即安全服务的建设。
实际上安全服务可以简单理解为,有效的引入外部的专业服务资源,为企业提供更高级别的安全服务能力。在完善自身安全建设的同时,协助企业提高安全管理的能力。
在此,我们根据公司的安全建设的整体情况,提供了如下6类最基本的安全服务内容: 安全咨询服务; 安全评估服务; 安全加固服务; 日常维护服务; 应急响应服务; 安全培训服务。
1.5.1 安全咨询服务
公司目前缺乏一个企业总体范围的、负责制定和实施的安全管理机制部门,难以保证安全制度建立和实施及决策层安全决策的有效性和一致性。
信息安全管理职能分散在各个部门,缺少一个强有力的直接向最高领导负责职能部门,协调整个企业内部的信息安全工作的,因此安全政策的执行可能会缺乏力度,安全事件处理依据和结果可能会不一致。
由此可见,公司急需在专业安全服务厂商的帮助下,建立起适合自身企业特点和管理运作方式的网络安全管理职能部门,来负责协调、管理整个公司业务网络的安全问题。在此基础上,由安全服务厂商在对现有业务流程和管理制度做充分调研的基础上,协助公司制定一套操作性强的安全策略体系,用以指导公司各个业务单位日常的网络安全工作。 ❖ 咨询服务内容
制定公司的网络安全管理组织架构,协助公司建立企业内的网络安全管理小组,并
制定小组成员职责文档;
制定公司网络安全管理策略体系,提供一系列的主策略及子策略管理文档; 根据公司相关部门人员的不同角色提供不同级别的安全培训,提高相关人员的整体
安全意识和网络安全技术水平;
❖ 设计组织架构及安全策略时的参考规范
ISO/IEC 17799-2000《信息安全管理实用规则》 ISO/IEC 13335《信息技术安全管理指南》
ISO 7498-2《信息处理系统开放系统互连基本参考模型-安全体系结构》 SSE-CMM《系统安全工程能力成熟模型》
GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》 GB/T17859-1999《计算机信息系统安全等级保护划分准则》 其他国家法律、法规等
1.5.2 安全评估服务
1.5.2.1 安全评估模型
安全风险模型的建立来自于BS 7799的思想,它是整个风险评估方案的主导。信息资产由于自身的脆弱性,使得威胁的发生成为可能,从而形成风险。一旦安全事件发生,就会造成各种不同的影响。换句话说,风险分析的过程实际上就是对影响、威胁和脆弱性分析的过程,但它们都紧紧围绕着资产为中心。在风险评估阶段,资产的价值、资产破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度都成为风险评估的关键因素。
在风险模型中,资产的评估主要是对资产进行相对估价,而其估价准则就是依赖于对其影响的分析,从资产的相对价值中体现了威胁的严重程度。这样,威胁评估就仅仅成了对资产所受威胁发生可能性的评估。脆弱性的评估是对资产脆弱程度的评估。安全风险评估就是通过综合分析评估后的资产信息、威胁信息和脆弱性信息,最终生成风险信息。
资产评估 (影响分析) 资产信息 威胁评估 威胁信息 风险分析 风险信息 脆弱性评估 脆弱性信息
图1:安全风险模型
1.5.2.2 安全评估流程
安全风险评估流程是安全风险模型的体现,因此首次整个评估的过程可以分为以下几个阶段:
第一阶段确定评估范围阶段,调查并了解公司网络系统业务的流程和运行环境,确
定评估范围的边界以及范围内的所有网络系统应用;
第二阶段是资产的识别和估价阶段,对评估范围内的所有资产进行识别,并调查资
产破坏后可能造成的影响大小,根据影响的大小为资产进行相对赋值;
第三阶段是安全威胁评估阶段,首先通过问卷调查和IDS取样等方式识别出资产所
面临的每种威胁,并评估它们发生的可能性;
第四阶段是脆弱性评估阶段,包括从技术和管理方面进行的脆弱度检查,特别是技
术方面,以安全扫描、手动检查、渗透测试等众多技术手段进行评估;
第五阶段是风险的分析阶段,即通过分析上面所评估的数据,进行风险值计算、区
分和确认高风险因素;
第六阶段是风险的管理阶段,这一阶段主要是总结整个风险评估过程,制定相关风
险控制策略,建立风险评估报告,实施某些紧急风险控制措施(如安全修补和加固)。
1.5.2.3 风险评估的标准
整个安全风险评估项目,将主要依据相关信息安全标准提供指导,并遵循了相关国家的法律法规政策。
我们采用国际信息安全管理标准BS 7799的风险管理思想作为贯穿整个风险评估过程的主要指导规范,为最终建立完善、全面的公司网络系统安全管理体系提供依据。另外,在风险等关键因素的评估方面,我们还参考了SSE-CMM、ISO15408和ISO13335标准。同时,SSE-CMM指导了本次项目的工程实施,ISO15408、ISO13335在安全方案的制定等方面都提供了规范化的指导。
其中在评估过程中涉及到的一些技术细节问题,我们将严格遵循和执行相关国家的法律法规政策。
1.5.3 安全加固服务
安全加固服务是指根据先期安全评估的结果,制定统一的安全策略,对网络及应用系统进行管理加强、环境优化增强及安全域规划和系统加固等工作,通过安全加固及增强服务后,使整个网络及应用系统的安全状况提升到一个较高的水平。
1.5.3.1 安全加固原则
我们根据安全评估结果,结合各种操作系统的安全特性,对加固对象进行修补加固。利用修补和加固解决在安全评估中发现的各种技术性安全问题,基本保证在客观环境允许的情况下被加固对象应不再存在高风险漏洞和中风险漏洞(根据CVE标准定义),对于由于业务环境原因无法进行修补的漏洞,我们会分析漏洞的对系统安全性影响并提出相应的解决建议,同时记录在遗留问题记录中,以备后续参考。另外,在修补和加固完成后应不影响修补加固对象原有的功能和性能。
其中,在加固方案设计和加固实施过程中将遵循以下原则:
标准性原则:加固方案的设计与实施应依据国内或国际的相关标准进行; 规范性原则:工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控
制;
可控性原则:加固的方法和过程要在双方认可的范围之内,加固服务的进度要跟上
进度表的安排,保证公司网络系统对于加固工作的可控性;
整体性原则:加固的范围和内容应当整体全面,包括安全涉及的各个层面,避免由
于遗漏造成未来的安全隐患;
最小影响原则:加固工作应尽可能小的影响系统和网络的正常运行,不会对正在的
运行和业务的正常提供产生显着影响;
保密原则:对加固的过程数据和结果数据严格保密,未经授权不会泄露任何给任何
单位和个人,不会利用此数据进行任何侵害公司网络系统网络的行为;
1.5.3.2 确定安全加固内容
根据安全评估的结果,结网络自身的特点及管理人员的意见,最终确定相应的安全加固内容。
首次安全加固及增强包括: 网络环境优化; 网络设备优化; 安全设备优化; 网络设备安全加固; 主机系统加固; 应用系统加固。
在本次安全增强工程实施中所涉及IP网及重要网络设备、主机设备,数量需要再安全评估之后作具体勘查。
1.5.3.3 安全加固工作流程图
整体的安全加固工作流程如下:
图2:安全加固流程
1.5.4 日常维护服务
日常维护服务指通过定期的安全审计、对入侵检测系统的日常监控、网络设备配置优化、最新安全通告、补丁更新等内容。通过更新的服务保持和加强系统的安全水平,将应用系统的安全水平维持在一个稳定的状态。
日常维护服务的主要内容有:
❖ 周期性安全审计服务
根据公司网络的自身特点,我们建议在初次安全服务内容结束后,再进行相应的周期性安全技术评估。周期性的安全审计服务包括以下三个主要内容:
每季一次的安全技术评估
周期性的安全技术评估同样参照首次安全评估的流程,但更着重于技术性评估,并在评估结束时提供相应的评估报告。
每月一次的安全检查
周期性的安全检查主要包括定期对主机、网络设备和数据库系统进行安全检查,对系统的配置、日志等进行分析,发现安全问题时及时与相关人员沟通并处理。安全检查的内容参考首次服务中的安全检查内容与方法。
每周一次的IDS检查报告
根据公司的要求,我们将对公司局域网中部署的入侵检测设备进行7*24小时的,在第一时间发现问题并予以解决。并每周提供相应的IDS检查报告。 ❖ 日常安全设备监控
在日常维护服务中,我们除了提供周期性的安全服务及相应的报告外,我们还将通过远程服务工具对公司网络进行5*8小时的远程监控维护,主要负责公司网络安全设备的日常监控,及时发现安全问题,保障相应的安全设备运行在正常状态之下。
1.5.5 应急响应服务
网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务,所以当紧急安全问题发生,一般技术人员又无法迅速解决的时候,及时发现问题、解决问题就必须依靠应急响应来实现。
当客户的主机或网络正遭到攻击或发现入侵成功的痕迹,而又无法当时解决和追查来源时。我们将根据客户的要求,以最快的速度赶到现场,协助客户解决问题,查找后门,保存证据和追查来源。此项应急响应服务由我们的安全响应技术服务小组负责。可以与客户自己的网络安全中心以及反应体系配合协作,共同完成对客户网络安全事件的应急响应和处理。
1.5.5.1 应急响应内容
安全应急响应事件的定义是指用户限时要求解决的安全事件和在非工作日时间要求响
应的安全事件。安全应急响应根据对事件进行处理的地点不同又分为远程应急响应和本地应急响应。 ❖ 远程应急响应
是指我公司相关工程师在接到客户相关人员通过电话、Email、传真方式的请求后,如果无法通过相同的方式为客户解决问题,经与客户网络相关人员确认后,客户方网络相关人员提供主机或设备的临时支持账号,由我方工程师远程登录主机进行检测和服务,问题解决后出具详细的应急响应服务报告。
如远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地紧急相应流程,同时此次远程响应无效,归于本地应急响应类型。 ❖ 本地应急响应
是指我公司委派相关工程在第一事件赶往客户网络事发地点,在现场为客户查找事发原因并解决相应问题,并出具详细的应急响应服务报告。
1.5.5.2 安全应急响应服务指标
❖ 远程应急响应
在确认客户的应急响应请求后30分钟内,交与相关工程师进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直到此次响应服务结束。 ❖ 本地应急响应
根据用户的要求,我们提供的本地响应时间为7*24*4(或根据客户地理位置再确定) 。
1.5.6 安全培训服务
1.5.6.1 安全培训服务简介
从现在国际上黑客入侵案件的分析和系统安全专家保护网络的案例来看,系统安全其实就是系统管理员和黑客头脑和计算机知识的战斗。因为人员的安全观念,系统管理员的实际安全知识直接影响到整个系统安全方案的实施。而一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。
我们根据网络安全技术的发展动态,结合丰富的安全系统集成、软件开发和技术培训经验,通过不断地改进、完善技术培训体系,使之更贴近市场、贴近技术前沿,致力于为各行业等培训合格的网络系统管理员。安全培训的许多课程是我公司独创的(如黑客攻击实验、
安全状况诊断),用来培训在工作中可能遇到此类问题的系统管理员。我们可以协助客户网络实施对全部技术人员的初级安全培训,提高全面的安全意识,为新网络管理员和程序员提供中级安全培训,也可以根据客户的特殊要求,提供高级安全培训。
1.5.6.2 安全培训内容
针对本期网络培训需求的特点,我方将在项目实施后,为客户提供集中安全培训,包括针对领导层、系统管理员及普通工作人员的三个不同层次的安全培训。
针对领导层的安全培训主要了解信息安全在企业管理中的重要意义,使领导关注和
了解本单位信息系统的安全建设和安全管理的实施;
针对普通工作人员的培训,主要是学习普通用户的安全管理规定、安全操作方法及
计算机的安全保护手段、比如病毒和木马等的防治。
针对系统管理员的培训是本次培训中比较重要的部分,主要包括安全产品培训、系
统安全培训、网络安全培训和安全管理培训使管理员通过培训从而对系统的安全运维能力有大幅度的提升。
安全培训的具体课程内容与时间安排,将在培训前与用户相关人员协商确定。
因篇幅问题不能全部显示,请点此查看更多更全内容