扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Internet互联网被称为“信息高速公路”,是一个企业对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟,政府、企业都相继推出了网上业务系统,成为重要的业务处理方式之一。
威胁分析
由于企业网络连接互联网,网络的使用者既有来自互联网的用户、合作伙伴、网民,也包括来自企业内部的员工,因此企业网络面临来自内、外两个方面的安全威胁:
1. 外部威胁
· 黑客扫描和渗透攻击
Internet网络中的恶意入侵者可能因为政治、商业目的或随机目的对企业网络发起恶意扫描和渗透式入侵,通过渗透或绕过防火墙,进入企业网络,获取、篡改甚至破坏敏感的数据,乃至破坏企业的正常业务和生产运行。
· 病毒或蠕虫侵袭
Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力,他们可以穿透防火墙进入企业网络;一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,同时也会对核心敏感数据造成严重的威胁,甚至造成网络拥塞,导致业务和生产的中断。
u DDoS/DoS攻击
DDoS攻击出现在10年前,是一种技术含量不高,单攻击效果显著的攻击。由于近些年僵尸网络的发展,DDoS攻击重新成为恶意入侵者的新宠,直接威胁企业网络的可用性。
2. 内部威胁
· 无意识的外部风险引入
企业网络中,由于安全技能和安全意识存在差异,员工可能通过访问挂马网站、下载包含病毒的恶意程序,从而无意识的通过互联网络将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行,甚至将Internet上的蠕虫、网络病毒传播进入内部网络,这将对企业网络的安全带来严重威胁。
· 网络资源滥用导致新风险
企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频、浏览工作无关网站导致企业网络资源滥用、网络性能下降,严重影响正常工作,形成新的威胁。
· 网络应用导致合规性问题
随着我国互联网相关法规以及版权保护的重视,企业员工非法下载盗版影视、图书等资料,或外发反动言论等行为,将给企业带来合规性问题,使企业陷入法律纠纷。
风险分析
当用户的信息资产面临威胁,而信息资产自身又被相应的脆弱性暴露出来的时候,威胁对信息资产就有产生影响的可能,信息资产的安全风险就自然产生了。我们主要从以下几个方面关注可能面临的安全风险:
3. 网络互连带来的安全风险
由于业务需要,企业网络连接互联网,业务或办公数据在网络上传输,而网络设备、主机系统都不同程度存在一些安全漏洞,攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,严重影响企业网络信息系统的正常运行。
在企业网络中,防火墙作为安全保障体系的第一道防线,防御黑客攻击。但作为工作在三层以下的访问控制设备,防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的Code Red蠕虫等。而且有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。因此,如何识别企业网络中的攻击行为成为了当务之急。
4. 攻击快速传播引发的安全风险
目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,比如蠕虫爆发造成企业网络瘫痪。入侵检测系统(IDS)虽然能检测出攻击行为,但无法有效阻断攻击。另外,网络防病毒系统属于被动防护,对于新的未知蠕虫病毒,防病毒软件无法检测出。因此如何保证企业网络在安装最新安全补丁之前,网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪,这是目前企业关注的问题。
5. 来自网络资源滥用的安全风险
现在的网络应用越来越丰富,IM即时通讯软件(MSN、QQ、YAHOO等)、网络在线游戏、在线视频往往使一些企业员工沉迷其中,不专心工作;而BT、电驴等P2P下载软件轻易的占据100%的企业网络带宽,一些新的病毒以IM、P2P软件为传播通道,这都对企业网络的安全带来严重威胁。因此有效控制企业网络资源的使用,已列入企业管理者的议事日程。
需求分析
根据对企业网络系统互联网出口的威胁和风险分析,信息安全需求主要在以下方面:
· 防御来自外部的威胁,阻止蠕虫、网络病毒、间谍软件和黑客攻击对企业网络造成的安全损失,提高企业网络的整体抗攻击能力;
· 防御来自内部的威胁,阻止蠕虫、网络病毒爆发对企业网络的破坏,保障企业网络的正常运行,同时有效防范企业机密信息外泄等安全事故的发生;
· 有效控制企业网络资源滥用,阻止企业员工因为各种IM即时通讯软件、P2P下载、网络在线游戏、在线视频而影响正常工作,通过净化流量,为网络加速。
解决方案
针对上述需求分析,在企业网络Internet互联网出口部署新一代安全产品——绿盟网络入侵防护系统,能够有效防御各种攻击,控制网络资源滥用,保证网络信息系统的安全稳定运行。
产品部署
图 一.1 互联网出口NIPS部署示意图
根据安全风险分析、安全目标和设计原则,我们在充分利用现有资源、尽量在少投入、少改动的基础上,建议使用以下集防护、检测和响应于一体的安全解决方案。我们建议在出入口处部署1台绿盟网络入侵防护系统。
具体部署方式如下:
· 在企业互联网出入口处在线部署1台NSFOCUS NIPS,网络引擎的四个工作口分别和两路ISP相连,相当于两路IPS,既可以入侵保护,又可以发挥集成防火墙的功能,最大化利用资源,节约投资;
· 网络引擎选择透明工作模式,可以根据两路不同的接入链路,分别设置相应的安全策略,一路IPS防护一个ISP接入,各路IPS相互独立,彼此之间没有数据交换,互不干扰;
· 网络引擎进行入侵行为检测、分析和实时响应,自动阻断黑客攻击,切实有效的保护企业网络的安全,同时可以根据需求,设置NAT,策略路由以及访问控制等防火墙功能;
· 在企业内部网络部署1台PC机作为NSFOCUS NIPS的控制台, NSFOCUS NIPS支持B/S管理模式,可以灵活方便的管理部署在网络中的网络入侵防护系统。
功能与效益
部署绿盟网络入侵防护系统会给企业网络带来以下安全功能的提高:
· 实时发现和阻断来自Internet的蠕虫、病毒、间谍软件和黑客等攻击和入侵,防止黑客带来的安全损失;
· 实时发现和阻断企业内部人员通过Internet对其他网络实施攻击和破坏;
· 实时发现和阻断企业内部蠕虫、网络病毒的大规模爆发;
· 强制性规范企业员工的网络访问行为,控制和减少员工利用信息网络作与工作无关的行为,比如各种IM即时通讯软件(MSN、QQ、YAHOO等)、网络在线游戏、P2P下载(BT、电驴等)、在线视频等,促进工作效率和生产力的提高;
· 可以实现防火墙的访问控制、地址转换及策略路由等功能,增强了网络安全性,减少企业投资;
· 可以对内部网络流量和网络资源的监控,方便及时的发现网络异常,同时可以根据需求,进行带宽管理,帮助诊断网络异常状况,提高网络带宽的使用率;
· 智能、自动化的安全防御,降低企业整体的安全费用以及对于网络安全领域人才的需求。
日常使用建议
由于安全领域的发展性,没有静止的安全,任何的变化都可能引起安全问题的出现,比如网络结构的调整,新的应用的启用,新的安全漏洞和新的攻击手法的出现等等,所以任何时候,安全都是动态的。在这种情况下,有效的使用和维护安全产品和安全策略,才能使安全产品发挥其最大的效应,所以,绿盟科技建议如下:
6. 保障规则升级
a. 网络入侵防护系统控制台每周定时检查厂商规则升级模块
b. 离线下载或使用厂商提供的定期升级包
c. 控制台自动推送升级到网络引擎
7. 日志自动备份策略
设置报警日志定期备份策略,防止出现日志溢出或意外丢失的情况
定期分析与报告策略
设置综合报告每周发送策略,分别发给其他管理员
每月对报告进行综合分析,对疑难问题,寻求安全厂商的支持
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。