第1章 信息安全管理
IT部門對企業(yè)高效運營和快速發(fā)展的貢獻毋庸置疑��,種種益處自不必多言�,但是如果網(wǎng)絡(luò)崩潰��、應(yīng)用癱瘓、機密被竊�,損失將令人痛心,甚至無法彌補����,IT部門也將承受極大的壓力�,所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全、可靠和高效的運行成為IT部門的關(guān)鍵任務(wù)�����。
1.1 邊界安全
1.1.1 應(yīng)用防火墻
產(chǎn)品概述:
下一代防火墻是面向應(yīng)用層設(shè)計,能夠精準識別用戶����、應(yīng)用和內(nèi)容�����,具備完整安全防護能力�����,能夠全面替代傳統(tǒng)防火墻,并具有強勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。下一代防火墻解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控�����、應(yīng)用可視化�、應(yīng)用內(nèi)容防護等方面的巨大不足,同時開啟所有功能后性能不會大幅下降�����。
需求分析:
◆對外發(fā)布業(yè)務(wù)安全保護
部署在網(wǎng)銀、網(wǎng)上報稅�����、網(wǎng)上營業(yè)廳、電子商務(wù)系統(tǒng)等系統(tǒng)出口��,防止黑客入侵,保護關(guān)鍵業(yè)務(wù)和客戶隱私信息��,避免損害單位形象����,經(jīng)濟損失����。
◆內(nèi)網(wǎng)數(shù)據(jù)中心安全防護
部署在單位內(nèi)部的財務(wù)���、ERP�����、OA等服務(wù)器前面�,精細控制訪問權(quán)限,防止非法訪問��,防止企業(yè)機密信息被竊取����,保障核心業(yè)務(wù)獲取必要的帶寬資源����。
◆廣域網(wǎng)安全互聯(lián)
部署在專網(wǎng)路由器后面���,顧慮各位應(yīng)用層垃圾流量,防止病毒���、木馬等威脅在分支機構(gòu)間橫向傳播��,影響業(yè)務(wù)開展;優(yōu)化廣域網(wǎng)帶寬�,保障關(guān)鍵業(yè)務(wù)穩(wěn)定運行����。
◆互聯(lián)網(wǎng)出口安全防護
部署在互聯(lián)網(wǎng)出口�����,針對各種終端提供漏洞防護����、病毒�、木馬過濾,高性能應(yīng)用管控與流量優(yōu)化�����,提供一體化的安全防護�。
典型應(yīng)用場景:
1.1.1 入侵防御與檢測
產(chǎn)品概述:
入侵檢測/防御系統(tǒng)通過收集和分析網(wǎng)絡(luò)行為、安全日志��、審計數(shù)據(jù)��、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息�,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象從而積極主動地進行安全防護����,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護���,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
需求分析:
◆無法自動攔截網(wǎng)絡(luò)攻擊
一般企業(yè)針對網(wǎng)絡(luò)安全所采取的防護手段(如部署防火墻等)都是被動的����,都需要負責網(wǎng)絡(luò)的技術(shù)人員事后分析網(wǎng)絡(luò)通信��,添加相應(yīng)規(guī)則���,限制蠕蟲的傳播��,發(fā)現(xiàn)問題的速度����、采用措施的有效性都很難保證。
◆無法及時定位“問題”源頭
現(xiàn)在�,蠕蟲病毒或零日攻擊(zero day attack)的入侵越來越多利用操作系統(tǒng)的安全漏洞或操作系統(tǒng)在初始安裝的缺省配置下無安全控制,這些蠕蟲在內(nèi)部網(wǎng)絡(luò)中的傳播已經(jīng)成泛濫之勢,不僅使感染病毒毒電腦本身無法正常工作��,同時他們產(chǎn)生的大量的數(shù)據(jù)包及與其它內(nèi)部��、外部電腦的連接請求,導(dǎo)致網(wǎng)絡(luò)帶寬被完全擠占�,整個網(wǎng)絡(luò)都無法對外提供服務(wù),郵件通訊無法正常進行�����,內(nèi)部的公文流轉(zhuǎn)處于停滯狀態(tài)����。這些向外傳播病毒的問題主機�����,網(wǎng)絡(luò)管理員一般都只能通過逐一封閉交換機端口�,這種最初級的排錯方法才能定位問題發(fā)作的源頭���,這樣的排錯方法不但費時費力�,而且結(jié)果也并非準確無誤�����。
◆無力應(yīng)對未知安全事件
以往人們總是覺得攻擊總是來自外部�����,只要有了防火墻�����,內(nèi)部網(wǎng)絡(luò)就可以高枕無憂。但是網(wǎng)絡(luò)攻擊事件的發(fā)展趨勢表明�,內(nèi)部的安全問題造成的破壞�,遠遠大于外部攻擊��。還是以沖擊波(W32.blaster.Worm)����、震蕩波(W32.Sasser.Worm)為例,在病毒爆發(fā)的初始階段�,這些病毒爆發(fā)的特性還不為人知�����,人們還無法掌握病毒傳播的途徑和方式���,對于這些病毒,毫無應(yīng)對能力�。隨著攻擊變得越來越復(fù)雜并且入侵過程中闖入系統(tǒng)的活動減少����,傳統(tǒng)的安全產(chǎn)品已經(jīng)難以識別那些混合、隱蔽的傳播方式,無法在出現(xiàn)網(wǎng)絡(luò)故障時���,提供清淅,準確的報警信息�����。企業(yè)網(wǎng)絡(luò)的維護人員并非專業(yè)的信息安全人士,也無法通過網(wǎng)絡(luò)嗅探器來分析出網(wǎng)絡(luò)中正在傳送的數(shù)據(jù)到底是合法還是非法:
◆無法從日常報警中�����,獲得有價值的信息
雖然在企業(yè)網(wǎng)絡(luò)中已經(jīng)部署了防火墻及其它安全設(shè)備�����,但是每種安全設(shè)備的報警事件都有獨立的命名規(guī)則及安全級別����,每天都會同時產(chǎn)生大量的報警事件�。管理員無法從這些種類繁多的事件中區(qū)分那些是真正的安全事故報警�����,哪些是一般的信息提示,對于用戶而言�����,報警事件過多等同于沒有報警����。這些來自各個產(chǎn)品的報警事件之間沒有相互間的關(guān)聯(lián)性����,并且還存在著重復(fù)報警的情況。因此要從這些事件中,獲取有用的信息��,還要對他們進行合并���,整理和關(guān)聯(lián)。而這些工作都要由人工手動完成���,大大加重了管理員的工作量和做出快速反應(yīng)的時效性。
典型應(yīng)用場景:
1.1.1 虛擬專網(wǎng) IPSEC VPN
產(chǎn)品概述:
由于行業(yè)的業(yè)務(wù)分散性和信息數(shù)據(jù)集中化部署�����,需要一種非常安全的方式實現(xiàn)異地網(wǎng)絡(luò)的互聯(lián)����,IPSec VPN正是基于這樣的需求而出現(xiàn)�����,可實現(xiàn)異地機構(gòu)快速組網(wǎng)、大型專網(wǎng)數(shù)據(jù)安全加密�、行業(yè)專網(wǎng)的VPN延申、專網(wǎng)單一鏈路的穩(wěn)定備份等多重價值。
需求分析:
◆大中型企業(yè)異地機構(gòu)互聯(lián)
組織內(nèi)部重要的應(yīng)用系統(tǒng)要安全的發(fā)布給分支�����,使用專網(wǎng)組網(wǎng)費用高。采用IPSec VPN基于互聯(lián)網(wǎng)鏈路組建�,性價比高��,組網(wǎng)便利�����。
◆大網(wǎng)中建小網(wǎng)
專網(wǎng)覆蓋范圍過大�,各廳局�����、部門使用該專網(wǎng)��,專網(wǎng)中數(shù)據(jù)安全難以保證。在同局�����、同部門放置IPSec VPN基于專網(wǎng)構(gòu)建IPSec VPN加密隧道����,保證數(shù)據(jù)在專網(wǎng)中安全性����。
◆行業(yè)專網(wǎng)建設(shè)延伸
總部與分支公司采用專線連接����,但分公司以下的三級����、四級組網(wǎng)采用專線建設(shè)費用太高�,甚至部分偏遠分支專線無法鋪到。IPSec VPN基于互聯(lián)網(wǎng)����,性價比高,三�����、四級數(shù)據(jù)通過IPSec VPN匯聚到分公司,再通過專線網(wǎng)絡(luò)匯聚到總公司�。
◆構(gòu)建VPN備份網(wǎng)絡(luò)
備份網(wǎng)絡(luò)使用頻率低�����,但是又是必要的����,采用專線構(gòu)建費用太高�。通過IPSec VPN基于互聯(lián)網(wǎng)鏈路建設(shè)性價比高����,一旦專線故障即可將數(shù)據(jù)切換到IPSec VPN鏈路上保障穩(wěn)定性。
◆專線改造及替換
原有專線網(wǎng)絡(luò)每月的租用費用昂貴�,網(wǎng)絡(luò)運營�����、維護成本過高��。通過IPSec VPN組建網(wǎng)絡(luò)替換專線可大大減低網(wǎng)絡(luò)成本。
典型應(yīng)用場景:
1.1.1 移動辦公接入 SSL VPN
產(chǎn)品概述:
目前很多組織都面臨著這樣的挑戰(zhàn):分支機構(gòu)、合作伙伴�、客戶和外地出差人員要求隨時經(jīng)過公網(wǎng)訪問總部的內(nèi)部資料����、辦公OA����、ERP系統(tǒng)、CRM系統(tǒng)�����、項目管理系統(tǒng)等��,因此需要一種實施簡單�,運營成本低的解決方案來保證連接的安全�。SSL VPN很好的解決這樣的問題�,隨時隨地滿足客戶遠程安全接入,同時降低了部署和支持費用�����。
需求分析:
◆移動辦公
基于瀏覽器的訪問�,無需安裝客戶端,方便領(lǐng)導(dǎo)及員工出差����、在家使用電腦��、PAD���、智能手機等安全的接入到內(nèi)網(wǎng)辦公����。
◆第三方機構(gòu)接入
上下游企業(yè)及被監(jiān)管機構(gòu)需要接入到組織的內(nèi)部訪問特定的服務(wù)器�����,SSL VPN通過權(quán)限劃分�����、多種認證方式���、硬件特征碼綁定等技術(shù)解決第三方安全接入問題。
◆遠程接入
邊遠地區(qū)專線無法到達����、無專門網(wǎng)管人員對終端進行維護��、網(wǎng)絡(luò)普遍較差�。SSL VPN的安全接入基于瀏覽器的零客戶端避免了終端維護�,降低管理成本。
◆專網(wǎng)內(nèi)的權(quán)限劃分
專網(wǎng)過大�����,容納了眾多部門�、局廳在內(nèi)��,對于服務(wù)器區(qū)沒有做很好的權(quán)限劃分保證應(yīng)用安全性。SSL VPN通過權(quán)限劃分����、眾多組合認證、主從賬號綁定等技術(shù)保證訪問者指定權(quán)限��、使用指定賬號訪問指定應(yīng)用����。
◆隔離內(nèi)網(wǎng)服務(wù)器
內(nèi)網(wǎng)服務(wù)器區(qū)暴露在內(nèi)網(wǎng)中���,容易因內(nèi)網(wǎng)攻擊、應(yīng)用濫訪造成服務(wù)器區(qū)的安全隱患����。
1.1.2 網(wǎng)絡(luò)準入
產(chǎn)品概述:
現(xiàn)在的互聯(lián)網(wǎng)是開放的��、基于IP地址管理的網(wǎng)絡(luò)��。任何人都可以在這個網(wǎng)絡(luò)上匿名傳輸信息�,任意到訪互聯(lián)網(wǎng)上的任何終端���。由于辦公內(nèi)網(wǎng)簡單地照搬了互聯(lián)網(wǎng)技術(shù),就使得辦公內(nèi)網(wǎng)管理不到終端的使用者���,很難按人進行管理和審計����,給信息系統(tǒng)的安全留下了極大的隱患����。
為了防止辦公內(nèi)網(wǎng)成為人人都能任意匿名訪問的互聯(lián)網(wǎng)��,越來越多的辦公內(nèi)網(wǎng)開始實施準入控制���,對終端接入辦公內(nèi)網(wǎng)時對使用者進行身份認證����。
需求分析:
◆網(wǎng)絡(luò)接入控制
保證網(wǎng)絡(luò)系統(tǒng)邊界的完整性,防止非授權(quán)接入��??刂坪透綦x任何非法網(wǎng)絡(luò)接入。同時杜絕網(wǎng)址的欺騙和篡改����,根除ARP病毒。
◆身份鑒別和訪問控制
保證人員登錄的實名性�。支持多種身份識別技術(shù)����。按照人員的安全等級和接觸信息的密級性強制實施不同等級��、多因素的身份認證標準����。
◆結(jié)構(gòu)安全和網(wǎng)段劃分
支持按不同的級別劃分安全子系統(tǒng)。支持按部門���、按級別對人員和設(shè)備動態(tài)實施網(wǎng)絡(luò)隔離��。
典型應(yīng)用場景:
