内网安全整体解决方案
IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。 2.2.1.1.3 内网信息隔离防护
建议在内网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。
2.2.1.1 内网主机安全
2.2.1.1.1 内网用户行为管控
上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。 2.2.1.1.2 内网非授权用户准入
在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对内网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。
由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管
第 11 页
内网安全整体解决方案
理制度执行不到位的情况出现,就迫切需要通过技术手段规范员工的入网行为。
为加强网络信息安全管理以及内部PC的安全管理,提高内网办公效率,应建立一套终端准入管理系统,重点解决以下问题: 入网终端注册和认证化
采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。 违规终端不准入网 违规终端定义
外来终端:外部访客使用的终端,或者为非内部人员使用的、不属于内部办
公用终端(员工私人终端等);
违规终端:未能通过身份合法性、安全设置合规性检查的终端。 入网终端安全修复合规化
终端入网时若不符合单位要求的安全规范,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规范后才能正常访问单位网络。 内网基于用户的访问控制
内网基于用户的访问控制:可以通过用户组(角色)的方式定义不同的访问权限,如内部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。 2.2.1.1.3 内网终端安全防护
建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常
第 12 页
内网安全整体解决方案
适合于对数据中心运维终端的安全管理。
终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。 2.2.1.1.4 内网服务器安全加固
建议在内网所有服务器部署安全加固组件,针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。 2.2.1.1.5 内网服务器安全运维
由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。
安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:防火墙、带有访问控制功能的交换机)的配合下,成为进入内部网络的一个检查点,拦截对目标设备的非法访问、操作行为。
运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。
第 13 页
内网安全整体解决方案
建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。
2.2.1.1 内网应用安全
2.2.1.1.1 内网应用层攻击防护
建议内网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。
WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自内网的跳板型渗透攻击,当内部终端或服务器被黑客攻陷后,为防止通过跳板机对内网其他应用系统进行内网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护内部系统正常运行
2.2.1.2 内网数据安全
2.2.1.2.1 内网数据防泄密
建议在内网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业内部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果。
员工未经授权,不管以任何方式将数据带离公司的环境,都无法正常查看。如:加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外(公司外部或公司内没有安装绿盾终端的电脑),那么将无法正常打开
第 14 页
内网安全整体解决方案
使用,显示乱码,并且文件始终保持加密状态。只有经过公司审批后,用户才可在授予的权限范围内,访问该文件。
1) 在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;
2) 员工不管通过QQ、mail、U 盘等各种方式,将单位内部重要文件发送出去,数据均是加密状态;
3) 存储着单位重要数据的U 盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;
4) 员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本内任何数据; 2.2.1.2.2 内网数据库安全审计
建议在内部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括:
数据操作类(如select、insert、delete、update等) 结构操作类(如create、drop、alter等)
事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等) 用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。
第 15 页