[客戶背景]
經(jīng)過(guò)多年的發(fā)展,該公司已發(fā)展成為具有較大規(guī)模的國(guó)際化大型跨國(guó)企業(yè)集團(tuán),集團(tuán)的業(yè)務(wù)主要集中在金融、實(shí)業(yè)和其它服務(wù)業(yè)領(lǐng)域。
集團(tuán)的網(wǎng)絡(luò)承載著企業(yè)的管理、辦公、財(cái)務(wù),以及銀行、證券、保險(xiǎn)等各級(jí)子公司的業(yè)務(wù)系統(tǒng),因此對(duì)網(wǎng)絡(luò)的安全性要求非常高,網(wǎng)絡(luò)與系統(tǒng)的安全穩(wěn)定將直接影響集團(tuán)對(duì)外服務(wù)質(zhì)量及對(duì)內(nèi)管理效率。
安氏公司作為國(guó)內(nèi)一流的安全產(chǎn)品及服務(wù)提供商,在深刻理解該集團(tuán)網(wǎng)絡(luò)及應(yīng)用的情況下,從集團(tuán)全局整體考慮構(gòu)建網(wǎng)絡(luò)安全防御體系,并輔以多種專(zhuān)業(yè)安全服務(wù),提高了網(wǎng)絡(luò)的安全性與防護(hù)能力。
[安氏公司]
安氏是一家以技術(shù)著稱(chēng)的專(zhuān)業(yè)信息安全公司,自1999年成立以來(lái),安氏始終致力于中國(guó)本土化自主可控的信息安全技術(shù)研究與普及,并不斷的發(fā)展壯大。公司總部設(shè)于北京,在上海、廣州、成都、南京等地設(shè)有分支機(jī)構(gòu),業(yè)務(wù)遍及全國(guó)。
安氏公司在電信、金融等重點(diǎn)行業(yè)率先推出領(lǐng)先的全面信息安全管理方案,并通過(guò)覆蓋全國(guó)的渠道分銷(xiāo)網(wǎng)絡(luò),銷(xiāo)售自主可控的“領(lǐng)信”系列安全產(chǎn)品。密切配合國(guó)家的信息安全行業(yè)政策,安氏公司以提高中國(guó)本土安全技術(shù)水平為發(fā)展方向,積極擔(dān)當(dāng)溝通中外的橋梁角色,不斷引入世界頂尖的安全核心技術(shù),將其轉(zhuǎn)化為屬于中國(guó)的自有知識(shí)版權(quán)的產(chǎn)品和服務(wù),并重點(diǎn)培育國(guó)內(nèi)安全技術(shù)人才,積極為中國(guó)信息安全產(chǎn)業(yè)的發(fā)展打造第一塊品牌。
[網(wǎng)絡(luò)現(xiàn)狀和安全威脅]
集團(tuán)內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心,采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。
集團(tuán)廣域網(wǎng)采用MPLS-VPN技術(shù),用來(lái)為各個(gè)分公司提供骨干網(wǎng)絡(luò)平臺(tái)和VPN接入,各個(gè)分公司可以在集團(tuán)的骨干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng),確保各類(lèi)系統(tǒng)間的相互獨(dú)立。網(wǎng)絡(luò)拓?fù)鋱D如下圖所示:
從網(wǎng)絡(luò)安全威脅看,集團(tuán)網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播,以及安全管理漏洞等方面。
[安全需求分析]
從安全性和實(shí)用性角度考慮,安全需求主要包括以下幾個(gè)方面:
安全管理咨詢
安全建設(shè)應(yīng)該遵照7分管理3分技術(shù)的原則,通過(guò)本次安全項(xiàng)目,可以發(fā)現(xiàn)集團(tuán)現(xiàn)有安全問(wèn)題,并且協(xié)助建立起完善的安全管理和安全組織體系。
集團(tuán)骨干網(wǎng)絡(luò)邊界安全
主要考慮骨干網(wǎng)絡(luò)中Internet出口處的安全,以及移動(dòng)用戶、遠(yuǎn)程撥號(hào)訪問(wèn)用戶的安全。
集團(tuán)骨干網(wǎng)絡(luò)服務(wù)器安全
主要考慮骨干網(wǎng)絡(luò)中網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的服務(wù)器,包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)的安全。
集團(tuán)內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護(hù)
主要考慮集團(tuán)內(nèi)聯(lián)網(wǎng)中,包括總公司在內(nèi)的所有子公司或分公司的病毒防護(hù)。
統(tǒng)一的增強(qiáng)口令認(rèn)證系統(tǒng)
由于系統(tǒng)管理員需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如何確保口令安全稱(chēng)為一個(gè)重要的問(wèn)題。
統(tǒng)一的安全管理平臺(tái)
通過(guò)在集團(tuán)內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的安全管理平臺(tái),實(shí)現(xiàn)集團(tuán)總部對(duì)全網(wǎng)安全狀況的集中監(jiān)測(cè)、安全策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類(lèi)安全事件、以及處理各種安全突發(fā)事件。
專(zhuān)業(yè)安全服務(wù)
通過(guò)專(zhuān)業(yè)安全服務(wù)建立全面的安全策略、管理組織體系及相關(guān)管理制度,全面評(píng)估企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)及其面臨的安全風(fēng)險(xiǎn)情況,在必要的情況下,進(jìn)行主機(jī)加固和網(wǎng)絡(luò)加固。通過(guò)專(zhuān)業(yè)緊急響應(yīng)服務(wù)保證企業(yè)在面臨緊急事件情況下的處理能力,降低安全風(fēng)險(xiǎn)。
[方案設(shè)計(jì)]
骨干網(wǎng)邊界安全
集團(tuán)骨干網(wǎng)共有二個(gè)Internet出口,位置在北京和廣州,每個(gè)Internet出口各部署安氏LinkTrust Cyberwall-200F/006防火墻兩臺(tái)。
在兩個(gè)Internet出口處各部署一臺(tái)安氏LinkTrust Network Defender領(lǐng)信網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),通過(guò)交換機(jī)端口鏡像的方式,將進(jìn)出Internet的流量鏡像到入侵檢測(cè)的監(jiān)聽(tīng)端口,LinkTrust Network Defender可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的異常流量,防止惡意入侵。
另外部署一臺(tái)高檔PC服務(wù)器,該服務(wù)器可設(shè)置于安全管理運(yùn)行中心網(wǎng)段,用于對(duì)集團(tuán)骨干網(wǎng)部署的入侵檢測(cè)進(jìn)行統(tǒng)一管理和事件收集。
具體部署如下圖所示:
骨干網(wǎng)服務(wù)器安全
集團(tuán)骨干網(wǎng)服務(wù)器主要指網(wǎng)絡(luò)中的網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的應(yīng)用服務(wù)器包括OA、財(cái)務(wù)、人事、內(nèi)部WEB等,以及專(zhuān)為此次項(xiàng)目配置的、用于安全產(chǎn)品管理的服務(wù)器的安全。
主要考慮為在服務(wù)器區(qū)配置千兆防火墻,實(shí)現(xiàn)服務(wù)器區(qū)與辦公區(qū)的隔離,并將內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)在防火墻上實(shí)現(xiàn)邏輯隔離。還考慮到在服務(wù)器區(qū)配置主機(jī)入侵檢測(cè)系統(tǒng),在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)主機(jī)及網(wǎng)絡(luò)層面的主動(dòng)防護(hù)。
漏洞掃描
了解自身安全狀況,目前面臨的安全威脅,存在的安全隱患,以及定期的了解存在那些安全漏洞,新出現(xiàn)的安全問(wèn)題等,都要求信息系統(tǒng)自身和用戶作好安全評(píng)估。安全評(píng)估主要分成網(wǎng)絡(luò)安全評(píng)估、主機(jī)安全評(píng)估和數(shù)據(jù)庫(kù)安全評(píng)估三個(gè)層面。
內(nèi)聯(lián)網(wǎng)病毒防護(hù)
病毒防范是網(wǎng)絡(luò)安全的一個(gè)基本的、重要部分。通過(guò)對(duì)病毒傳播、感染的各種方式和途徑進(jìn)行分析,結(jié)合集團(tuán)網(wǎng)絡(luò)的特點(diǎn),在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范,集中管理,以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。
病毒防護(hù)體系主要由桌面網(wǎng)絡(luò)防毒、服務(wù)器防毒和郵件防毒三個(gè)方面。
增強(qiáng)的身份認(rèn)證系統(tǒng)
由于需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備,如何確保口令安全也是一個(gè)非常重要的問(wèn)題。
減小口令危險(xiǎn)的最為有效的辦法是采用雙因素認(rèn)證方式。雙因素認(rèn)證機(jī)制不僅僅需要用戶提供一個(gè)類(lèi)似于口令或者PIN的單一識(shí)別要素,而且需要第二個(gè)要素,也即用戶擁有的,通常是認(rèn)證令牌,這種雙因素認(rèn)證方式提供了比可重用的口令可靠得多的用戶認(rèn)證級(jí)別。用戶除了知道他的PIN號(hào)碼外,還必須擁有一個(gè)認(rèn)證令牌。而且口令一般是一次性的,這樣每次的口令是動(dòng)態(tài)變化的,大大提高了安全性。
統(tǒng)一安全平臺(tái)的建立
通過(guò)建立統(tǒng)一的安全管理平臺(tái)(安全運(yùn)行管理中心—SOC),建立起集團(tuán)的安全風(fēng)險(xiǎn)監(jiān)控體系,利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問(wèn)題,并及時(shí)歸并相關(guān)人員處理。這里的風(fēng)險(xiǎn)監(jiān)控體系包括安全信息庫(kù)、安全事件收集管理系統(tǒng)、安全工單系統(tǒng)等,同時(shí)開(kāi)發(fā)有效的多種手段實(shí)時(shí)告警系統(tǒng),定制高效的安全報(bào)表系統(tǒng)。
專(zhuān)業(yè)的安全服務(wù)
安氏的目標(biāo)是幫助用戶建設(shè)完整、堅(jiān)固的信息安全體系,因此我們從用戶對(duì)安全的需求出發(fā),依托安氏在安全領(lǐng)域強(qiáng)大的實(shí)力,為用戶提供全面的安全解決方案。
安全是一個(gè)動(dòng)態(tài)的過(guò)程,安氏提出了獨(dú)特的PADIMEE TM 方法論,并將自身業(yè)務(wù)和PADIMEE TM周期中的每個(gè)環(huán)節(jié)緊密地結(jié)合起來(lái):
策略(Policy)
評(píng)估(Assessment)
設(shè)計(jì)(Design)
執(zhí)行(Implementation)
管理(Management)
緊急響應(yīng)(Emergency Response)
教育(Education)
[實(shí)施效果]
本項(xiàng)目實(shí)施完成后,在該集團(tuán)和安氏安全管理專(zhuān)家的共同努力下,為該集團(tuán)量身定制完善、可操作性強(qiáng)的企業(yè)安全策略。根據(jù)這個(gè)策略制定了詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)、用戶手冊(cè)等規(guī)范,通過(guò)實(shí)施這一系列策略規(guī)范,為整個(gè)企業(yè)范圍內(nèi)的安全管理搭建了堅(jiān)實(shí)的平臺(tái)。
采用安氏的安全產(chǎn)品,基本上可以防范各類(lèi)DOS攻擊,發(fā)現(xiàn)和防范各種黑客的入侵。通過(guò)使用防火墻對(duì)關(guān)鍵網(wǎng)段的控制,保證了只有許可的人員才能訪問(wèn)關(guān)鍵服務(wù)器。通過(guò)入侵檢測(cè),對(duì)許可訪問(wèn)人員的行為進(jìn)行審計(jì)和檢測(cè)。通過(guò)安全管理中心對(duì)這些日志進(jìn)行保存和審核,這一系列的手段保障了對(duì)來(lái)自內(nèi)部攻擊和誤用的限制。
通過(guò)安全管理咨詢和加固服務(wù),郵件防毒、服務(wù)器防毒、工作站防毒系統(tǒng),全面減少了網(wǎng)絡(luò)受病毒感染的風(fēng)險(xiǎn),將這些風(fēng)險(xiǎn)控制在一個(gè)可以控制的范圍。
