扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
桌面级安全需求:对桌面级PC用户要通过个人防火墙和IPS来实现对混合式攻击的检测和阻断。
方案设计目标
加强信息系统安全是为了保证信息、网络及主机资源的完整性、可用性、安全保密性、可恢复性、高效性。
完整性:尽量不影响原网络拓扑结构、便于系统结构和功能的扩展;不降低网络信息系统原有的性能特点。
防护的前瞻性:尽可能地在攻击到来之前对网络进行防护。
可用性:保证系统合法用户在需要时可以取到所需数据,防止计算机资源和数据被非法独占。
安全保密性:保证本系统重要的数据不被篡改,保证本系统的重要信息及秘密不被窃取。
可恢复性:当系统意外毁坏后,数据可由灾难恢复系统及时恢复。
高效性:易于自动化管理,便于操作和维护,具有较好的性能价格比。
网络安全方案建议与产品部署
本方案采用美国ISS公司的前瞻“动态威胁防护”解决方案和产品。ISS是深受信赖的网络安全产品和安全智能供应商,拥有10年在该领域内的经验与积累。
在技术实力方面,ISS提供覆盖网络、服务器、桌面的企业级全面保护平台,并由业界顶尖的X-force研发组织提供实时更新。ISSX-force研发组织是世界网络信息安全领域中最大的R&D组织。1998至2003年,多达53%的高危险等级的安全建议由X-force研发组织发布的。ISS前瞻性地发现易受攻击点,并更新产品以防止任何未知的,利用漏洞发起的的攻击。这一防护过程在攻击开始前完成的,因此,这是一种预先防御,也称为前瞻性威胁防护,动态威胁防护。升级的组件被称为X-PressUpDate,核心防护能力以VirtualPatch 虚拟补丁得以体现。
大多数网络信息安全公司只能在攻击出现后才被动地更新其产品供给特征库和漏洞评估库,因为如果没有攻击出现,就没有能力发现任何攻击模型,从而无法更新其产品。但对客户而言,在攻击开始后才更新其安全产品,实在是太迟了。
在行业网络安全防护的实际应用中,目前全球10大电信公司都部署ISS的网络安全产品作为入侵防护和漏洞评估的工具,构建企业动态威胁防护体系。国内的绝大多数电信公司也都大面积部署ISS网络安全防护产品。
依据中软国际对该移动公司OA系统网络安全改造,并针对用户需求的分析和理解,并结合中软国际在国内外电信、IDC等高端领域的实际经验以及对ISS公司安全产品、技术和理念的深刻理解,我们为该移动OA系统提供了一整套网络安全“动态威胁防护”解决方案。该方案将为该移动公司OA系统提供一个完整的、可扩展的、先进的动态威胁防护架构,这一基础架构完全满足用户对电信级安全系统的需求。
请参考下图,中软国际公司建议的移动OA系统“ISS动态威胁防护系统”部署情况:
上图中的核心部分主要由ISS公司的网关边界防护系统(ISSProventiaM30)、网络入侵防护系统(ISSProventia G200)、网络入侵检测系统(Proventia A201)、主机入侵防护系统(ISS ServerSensor)以及漏洞评估类(Internet Scanner /System Scanner /Database Scanner)产品提供整体的动态威胁防护解决方案。
针对隐患一的威胁防护部署:ISS推出的入侵防护系统(IntrusionPreventionSystem,IPS)Proventia G系列,可自动阻挡已知或未知的攻击事件,包含DoS阻断服务攻击,木马程序,以及最近流行的MS Blast蠕虫等攻击。
Proventia G在不影响网络效能之下,对于各种网络威胁使用先进的阻断技术,精准的判断网络封包是否安全,降低误判率阻绝具有威胁性的封包。尽可能避免没有必要的数据进入系统。大大降低了网络安全隐患。相较于其它IDP类产品只能侦测阻绝已知的攻击,Proventia G不论是已知或未知的攻击,皆能提供高效防护,保护用户的信息安全。建议在外网防火墙后部署一台G200入侵防护系统,能够直接将各种网络攻击(包括TCP/IP层和应用层攻击)、蠕虫、非法访问、畸形可疑数据包阻挡在移动OA系统网络之外。
针对隐患二的威胁防护部署:在服务器区与OA外部公共区域之间部署ISS公司的综合防护系统ProventiaM30,该产品能够通过将防火墙、虚拟专用网络(VPN)、反病毒网关、内容过滤、反垃圾邮件、漏洞检测技术集于一体,Proventia?MSeries能够取代多种单一功能的安全产品,为企业提供低成本的安全保护。通过基于威胁与攻击安全智能管理的X-Force? 研究及发展组织,M Series装置能够阻止病毒、蠕虫及黑客攻击,同时允许合法通信不受阻碍地通行。与SiteProtector?企业管理平台相同,Proventia? M Series同样内置X-Force安全智能,向企业提供无须安全管理专家参与的简单化的控制与管理能力。
针对隐患三的威胁防护部署:在省中心局域网内部署一台ISS公司的网络入侵检测设备ProventiaA201,A201入侵检测系统能够检测到200M全双工的网络流量,实现对网络边界的实时监控,自动检测可疑行为,分析、追踪的入侵信号。最多能够监测到超过2000种的已知网络和应用层的攻击行为以及各种未知类型的攻击。(具体部署实现方式为通过交换机上的端口映像网段数据包流量或tap方式)
针对隐患四的威胁防护部署:在重要服务器上,如WEB、MAIL、DNS等服务器上分别安装ServerSensor主机入侵防护系统。用于检测和阻断针对服务器的各种网络层和应用层的非法访问和攻击,同时也可以利用访问控制列表实现针对被保护服务器的访问控制以及基于主机系统的各种操作的安全审计。
针对隐患五的漏洞评估部署:采用ISS公司提供的网络/主机/数据库评估工具(IntenretScanner、SystemScanner、DatabaseScanner)对服务器区的各种要服务器定期进行基于网络层、系统层和应用层的漏洞评估,并生成详细的漏洞报告,按照报告中的漏洞修补建议结合实际应用环境进行漏洞修补和安全风险趋势分析。
针对隐患六的威胁防护部署:在局域网用户的PC桌面安装ISS公司的RealSecureDesktopProtector桌面安全防护产品,该产品能够有效地针对各种非法访问、蠕虫、后门等进行拦截,确保用户桌面级安全性。
另外,针对上述各种安全产品,ISS公司专门提供了多级构架的综合安全管理平台RealSecure SiteProtector,将上述所有产品均可集中管理,包括事件综合汇集、综合事件分析、产品集中分组策略分发、数据同步、安全规则升级等,真正意义地实现对ISS所有安全产品的综合集中管理,同时它还能够通过TPM第三方模块,管理主流的第三方安全产品如CheckPoint防火墙和CISCOPIX防火墙。因此建议,在移动OA的省网络安全管理局域网内,配置一套安全综合管理平台RealSecure SiteProtector,用于管理所有在本项目中部署的各类ISS网络安全产品,包括漏洞评估类产品和入侵检测防护类产品。
通过上述ProventiaA/G和ServerSensor的部署,用户可以对全部应用服务器的子网作完整监控,同时也可以实现服务器级的安全事件监控,一旦发现有非法访问、预探测攻击、网络攻击、蠕虫攻击、代码攻击等事件,均会被部署的这些产品发现,然后将事件实时传送到控制台上并显示,同时也可以通过SiteProtector控制台预先设置其它的IDS/IPS响应方式来通知用户,如发送邮件。ServerSensor 的访问控制列表功能和基于主机的阻断功能,能够有效地阻挡逃避了网络入侵检测系统的攻击,从而起到第三层网络安全防护的作用。
针对用户系统没有专门的安全管理人员的情况,应该对用户网络管理人员进行足够的安全系统知识培训,包括安全产品和技术方面的灌输,并建议用户指定专人负责网络安全系统的管理和维护工作。
针对用户内网安全管理松散的局面,中软国际可以提供完善的内网安全管理策略建议,以确保安全管理制度的贯彻执行。
方案特点
利用动态威胁防护体系和被动防御体系实现协同防护
通过入侵检测与防护系统和多层面的漏洞扫描评估系统(动态威胁防护体系),与多功能安全网关(被动防御体系)的互动,实现“动态威胁防护和被动防御”的结合。对在某XX移动集团内部发起的攻击和攻破了防火墙第一道关卡的黑客攻击,可以依靠入侵检测与防护系统阻断和发现攻击的行为,同时通过与多功能安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。而且一旦外部网络防护系统不能发现遗漏的攻击,主机入侵防护系统作为最后一道防护系统也会针对对内网服务器的各种攻击、非法访问进行检测和拦截,这样大大增强了安全防护的前瞻性。
本方案在外网交换机上连入ISS的入侵检测系统Proventia?G200,并将其串接成inline模式,部署在外网防火墙后,用于检测和阻断非法攻击。并在统一安全管理平台Siteprotector的控制台上观察检测结果,并形成报表,打印。
“漏洞扫描评估系统”是一种网络维护人员使用的安全分析工具,能够主动发现网络系统中的漏洞,协同修改多功能安全网关和定制入侵检测与防护系统中策略设置,防患于未然。
ISS动态威胁防护体系
防护体系通过结合以下三个关键要素得以实现:
1、世界领先的ISS安全智能防护引擎:保证防护过程中的高速与精确度;
2、业界领先的防护技术:利用ISS统一防护引擎和统一安全管理平台,对覆盖网络、服务器、桌面和应用程序等多层面的攻击进行实时检测、拦截和响应;
3、简单易用的ISS防护过程:确保对已知攻击和未知攻击提供前瞻性的防护。
通过在企业网络中的整体规划和部署,在降低成本、时间,安全风险等多方面,动态威胁防护体系拥有巨大的可实践性。
被动防御体系
被动防御体系在利旧原有防火墙的基础上,部署ISS公司的多功能安全网关(Firewall+IDS+VPN)Proventia?M产品。
在服务器区、省中心局域网区与OA内公共网之间,部署多功能安全网关Proventia?M是必须的。主要起到对外防止黑客入侵,对内进行访问控制和解决授权员工从专网安全接入的问题,Proventia?MSERIES在这里主要发挥防火墙和入侵检测的双重作用。
1) 保障内部局域网不受来自外网与专网的黑客攻击,主要担当防火墙和入侵检测功能;
2) 能够根据需要,让内网为专网用户提供访问所需服务,如:Web,Mail,OA等服务;
3) 对专网用户访问内网应用系统提供灵活的访问控制功能。如:可以控制任何一个来自分公司的员工能否连内网,能访问哪些应用系统,能不能收发email、ftp等,能够在什么时间上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即:服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。
授权的内部员工当出差在外时,可以在外地拨内网的拨号服务器,然后使用“多功能安全网关客户端软件”,通过加密隧道从外部安全方便地接入中心的内网。
采用集中分布式式的安全管理构架
利用SiteProtector统一管理全网的安全策略(包括:安全网关、入侵检测、防护系统和漏洞扫描评估系统等),作到系统安全的最优化。SiteProtector不仅能够针对这些ISS公司的各种安全产品进行集中事件收集、策略下发、规则升级、数据同步等操作,还能够利用它自带的安全关联分析模块对各种收集到的数据进行关联性分析,以利于判断攻击事件的成功与否。同时,它还能够利用第三方模块来管理其他一些安全产品如CISCOPIX防火墙。
实现了前瞻性威胁防护
通过在各安全防护产品中部署“虚拟补丁”功能,企业不必在每一个安全补丁刚刚发布时仓促应战,被动地进行补丁管理,而是得到一个充足的缓冲时间,由ISS的动态防护体系从网关和服务器层面结合最新的XPU,实现实时的基于漏洞的入侵攻击阻断,使用户可以在对各类安全补丁进行充分应用系统测试之后,再进行稳妥地补丁加固。
由最近蠕虫病毒发作的时间进程,我们可以感受到ISS主动防御体系的强大作用:
采用多级安全威胁防护构架
在本方案中,从网关级到、网络级、主机级和桌面级安全防护产品均进行了部署,考虑到了网络安全各个环节可能出现的隐患和各个层面的安全需求和部署,真正意义上解决了移动公司OA系统整体的安全防护问题。
整体ISS网络安全“动态威胁防护”产品选型与配置
网络安全产品选型:
系统漏洞扫描评估系统:ISS系统漏洞扫描评估系统System Scanner;
网络漏洞扫描评估系统:ISS网络漏洞扫描评估系统InternetScanner;
数据库漏洞扫描评估系统:ISS数据库漏洞扫描评估系统Database Scanner;
网络入侵防护系统:ISS Proventia G200;
网络入侵检测系统:ISS Proventia A201;
主机入侵防护系统:ISS RealSecure ServerSensor;
安全集中管理平台:ISS SiteProtector;
多功能安全网关系统:ISS M30;
桌面级安全防护产品:RealSecure Desktop Protector;
配置列表
类别产品型号数量
1、系统漏洞评估系统SystemScanner14
2、网络漏洞扫描评估系统InternetScanner14
3、数据库漏洞评估系统DatabaseScanner2
4、网络入侵检测系统ProventiaA2011
5、主机入侵防护系统RealSecure
ServerSensor14
6、安全集中管理平台SiteProtector2.0SP41
7、网络入侵防护系统ProventiaG2001
8、多功能安全网关ProventiaM302
9、桌面防护系统RealSecureDesktopProtectorN
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。