云南工商学院 中小型企业信息安全管理
访问控制和审计跟踪等技术手段 ,对涉密信息、重要业务数据和技术专利等敏感信息的存储 、传播和处理过程,实施安全保护;最大限度地防止敏感信息泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志,以便日后审计或追究相关的泄密责任。
防水墙系统由三部分组成:
防水墙服务器:包括服务器端软件和支持数据库,是防水墙系统的核心部分。通过安全认证机制,建立与多个客户端(受控制的个人计算机)系统的连接,实现对多个客户端系统的配置、策略制定、资产管理、操作审计等功能。
防水墙控制台:它是系统管理员、操作员、审计员等和防水墙系统交互的图形界面,实现系统管理、参数配置、策略管理和系统审计等功能。控制台采用分权分级的授权模式,严格限制对敏感信息的访问权限,以提高系统的安全性,保证信息安全。
防水墙客户端:它是安装于受监控主机上的监测软件,是站在客户机旁边的“安全哨兵”。它强制执行来自服务器的安全策略,根据安全策略监测客户端用户的行为。客户端软件采用了严密措施,防止本地用户自行卸载、关闭监控程序。
图2-3防水墙体系结构示意图
2.3.2防水墙系统如何保障企业内网的安全 防水墙系统从以下五个方面保障内网安全:
失泄密防护:
失泄密防护是防水墙系统重要功能之一。个人计算机系统的泄密途径,主要有网络传输、移动存储带出和打印到纸介质文稿三种情况。防水墙系统针对这三种泄密途径做了全面的防护,可以根据实际情况选择启用或禁用,同时还可记录日志或文件以备事后追踪。 移动存储介质作为文件存储、交换的主要介质,我们将移动存储介质细分为普通移动存储介质和可信移动存储介质。支持小到一个一个用户,大到安全域的适用范围的限定;支持主机与介质安全密级的设定,以限定其跨密级使用;支持对介质使用次数和使用日期的限制,以强化对移动存储介质的管理;提供了强大的介质使用跟踪与审计,并且提供了完善的自我保护机制,以防止非法用户窃取磁盘数据内容。
除了针对以上几种泄密途径做出了全面防护之外,Water Box? 还针对多达十种的可能
第 7 页 共 23 页
云南工商学院 中小型企业信息安全管理
造成泄密的主机上外设接口,提供了启用和禁用接口的功能,作为实施失泄密防护在硬件层次上的辅助手段。
文件安全服务:
文件安全服务提供了对敏感文件的安全防护,采用了非对称算法,用户、小组和安全域具有各自独立的密钥对,用户可以根据实际需要对不同范围用户群采用不同的加密方式。对于“个人加密”方式加密的文件,其他用户无权解密查看此文件;对于“小组加密”方式加密的文件,该用户所在小组下的所有用户都有权解密查看此文件,其他小组的用户无权查看;对于“公共加密”方式加密的文件,整个安全域内的用户都有权解密查看此文件。
运行状况监控:
记录了受控主机的运行状况历史日志,以便审计和监控。Water Box? 硬件资产管理功能,能够记录资产变化信息,从而丰富了受控主机的运行状况监控功能。
系统资源管理:
提供了在线受控主机的资源信息和运行状况的快照。系统操作员和安全审计员能登录控制台查看所管理部门节点下所有在线主机的系统资源信息,并且能随时刷新以获取当前的系统信息快照。
Water Box? 硬件资产管理功能,能够详尽地获取受控主机的软、硬件资产信息,丰富了系统资源管理功能。
扩展身份认证:
可接管Windows身份认证。如果接管Windows身份认证,只需输入合法的防水墙用户名和口令即可登录Windows系统。
2.3.3防水墙的管理
防水墙主要有两大管理对象,一是重要的信息,一是不可靠的人。重要信息可 利用加密技术和访问控制实现安全防护,防止外泄。对人员依靠监控工作状态和审计系统管理。应用防水墙构建的内网安全体系,通过统一IP绑定管理,基本杜绝了 内网信息泄露问题,对前面所分析的内网信息安全方面存在的问题,均可应用防水墙系统进行解决:
针对计算机网络化造成的信息泄露,可运用防水墙所提供的“扩展身份认 证”和“文件安全服务”功能,用户首先通过身份验证机制登录到防水墙客户端, 防水墙身份认证系统会接管Windows 身份认证系统,通过设置安全域、授权、对文件加密实现内网用户之间文件共享互传。有效地防止了文件在传输途中可能造成的泄密,也防止了电脑丢失可能造成的泄密事件的发生。 防水墙的“运行状况监控”功能, 可以随时抓取网上的计算机界面,对内网计算机的联网、脱网和工作状况可以及时监控,并可详细记录网内的所有活动,如浏览网站、收发邮件、上传和下载文件等。可以预先对某些网络活动进行阻止, 防止通过网络传送敏感数据或浏览无关工作的网站。也杜绝了内部人员使用电子邮件、 MSN、FTP等将本单位内部敏感信息传送到外部造成的泄密。
对于计算机外设接口造成的信息泄露,防水墙提供的“主机资源信息管 理”功能集中管理客户机内的硬件、软件和其它资源。对计算机USB接口、1394 接口、串口、并口、红外线等外设接口进行相应的控制,将客户端上的外设接口和软硬件信息传输到远程服务器端,服务器根据管理员事先定制的安全管理策略对各种 接口以及其它硬件进行统一管理,包括禁用,卸载等。能有效防止计算机外设接口造成的信息泄露。
计算机存储介质,如移动硬盘、U盘、光盘等存储介质使用监管不严格造成的信息泄露。通过使用防水墙系统的“可信移动存储介质管理”功能,首先对移动 存储介质进行分级,并进行统一认证,使用加密存储、密级访问控制等手段,有效防止移动存储介质在计算机上
第 8 页 共 23 页
云南工商学院 中小型企业信息安全管理
跨密级使用。对于未经认证的笔记本电脑或移动硬盘、 U盘等设施联网时系统将自动作无效处理。同时系统还将操作涉及的信息及过程生成日志,以便进行事后审计。
对于计算机打印机或显示器造成的信息泄露,将用户打印机放置到专门的机房内,根据需要设定不同的策略进行控制。即使是在授权状态下, 使用者的打印操作也将受到监控, 打印内容会由系统自动备案处理, 以便事后审查。同时,管理员 可根据机房的视频监控系统随时监视显示器造成的信息泄露,如屏幕拷贝、屏幕拍 照等。
其它途径泄密,如将一台发生故障的计算机送修前不做消磁处理,造成敏感数据的泄密,防水墙的“运行状况监控”和“安全审计”功能随时监视和备案可 能造成的信息泄露。以便追究责任。
2.4 UTM(统一威胁管理)
2.4.1 UTM的介绍
UTM(统一威胁管理)是由硬件、软件和网络技术构成的一个标准的统一管理平台,全面防御网络 2~7 层中的各种攻击。 它集防 火墙、VPN、网络入侵检测/防御和网关防病毒、邮件过滤、内容过滤等多项功能于一身,另外,比如安全管理、日志、策略管理、服务质量(Quos)、负载均衡、高可用性(HA)和带宽管理等其他特性,也逐步加入到 UTM 中。
UTM 是一种安全技术的混合体。UTM的典型技术包括完全性内容保护(CCP)、ASIC 加速技术、定制的操作系统、紧密型模式识别语言(CPRL) 和动态威胁管理检测技术。 完全性内容保护提供对 OSI 网络模型所有层次上的网络威胁的实时保护;ASIC 芯片集成 了硬件扫描引擎、硬件加密和实时内容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能;专用的强化安全的 OS 提供精简的、高性能防火墙和内容安全检测平台。 基于内容处理加速模块的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统;紧密型模式识别语言是针对完全的内容防护中大量计算程式所需求的加速而设计的。 通过硬件与软件的结合,加上智能型检测方法,识别的效率得以提高;动态威胁防御系统是由针对己知和未知威胁而增强检测能力的技术。 通过将各种检测过程关联在一起,跟踪每一安全环节的检测活动,并通过启发 式扫描和异常检测引擎检查,提高整个系统的检测精确度。
2.4.2 UTM 快速发展的原因
UTM 设备将防病毒和入侵检测的功能融合于防火墙中,成为防御混合型攻击的利剑。混合型的攻击可能破坏掉单点型的安全方案,但是却很可能在统一安全方案面前败阵。 UTM 设备提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合中小型企业、服务提供商的网络环境
UTM 设备能为用户定制安全管理,提供灵活性。用户既可以使用UTM的全部功能,也可以使用最需要的某一特定功能
UTM 需要提供全面的管理、报告和日志,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。
随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分,可扩展性好,蕴藏的增长潜力可观。
第 9 页 共 23 页
云南工商学院 中小型企业信息安全管理
第三章 在企业中的实践和部署
3.1防火墙在中小型企业中的实践
3.1.1防火墙的部署
中小企业在部署防火墙时,首先要考虑其网络结构。包括网络边界出口链路的带宽要求、数量等情况;IP地址规划对防火墙地 址转换的需求。其次,要考虑到业务应用系统需求。 防火墙对应用层信息过滤,比如对垃圾邮件、病毒、非法信息等过滤;对应用系统是否具有负载均衡功能。 第三,要考虑用户及通信流量规模方面的需求。 网络规模大小、跨防火墙
访问的网络用户数量。最后,还要考虑到可靠性、可用性、易用性等方面的需求。 如图(2-1)、图(2-2)
图3-1 防火墙部署结构图
边界防火墙的配置:根据网络具体流量情况,采用型号为东软NeteyeFW4120一H一XE6型上联网通线路,下联外网交换机华为6506快速以太网交换机。标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接外网和内网两个网段,第三个口可以作为预留。内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,分别与两个核心交换机相连。
核心交换机华为6505处配备一台高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处采用型号为NGFW4000一S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容,如HP即enview、Ciscoworks等,方便管理和维护。提供面向对象的服务模板功能,
第 10 页 共 23 页
云南工商学院 中小型企业信息安全管理
可以方便的定制过滤规则。防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的要求会不完全一样。有效地反映网络攻击,保证网络系统及其业务的可用性、可靠性。要适合中小型公司网络接入模式、接口规范、带宽要求,防火墙不能成为网络或业务的瓶颈。防火墙要符合国家相关标准和规范。防火墙要具有很高的可靠性,不会降低网络系统现有的可靠性。深层日志及灵活、强大审计分析功能,提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能,能够实现与入侵检测设备的通讯。
防火墙根据系统管理者设定的安全规则保护内部网络,提供完善的安全性设置,通过高性能的网络核心进行访问控制。同时提供网络地址转换、透明的代理服务、信息过滤、内容过滤、双机热备份、流量控制、带宽管理,用户身份认证等功能
图3-2防火墙部署结构图
3.1.2防火墙的总结
我们可以设想,企业中的管理员在家中打开电脑,调出IE浏览器,在URL栏输入公司防火墙的IP地址,这是IE显示出需要输入用户名和口令,管理员输入了用户名和密码,回车后登录进入防火墙。
这个过程如果换成一个恶意用户或者黑客,完全可以同样调出IE浏览器,连接防火墙,因为WEB管理界面防火墙的用户名一般是固定的,比如ADMIN等,黑客可以在家中从容的猜测管理的口令,任意的输入口令进行猜测。黑客攻击的手段一般采用穷举的方式。 但是在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的。黑客没有防火墙的管理软件是无法连接防火墙的,即使黑客得到了防火墙的管理端软件,多种认证方式也限制了黑客很难通过远程控制防火墙。
第 11 页 共 23 页