第1章 信息安全管理
IT部門對企業(yè)高效運營和快速發(fā)展的貢獻毋庸置疑���,種種益處自不必多言,但是如果網(wǎng)絡崩潰����、應用癱瘓、機密被竊�����,損失將令人痛心�,甚至無法彌補,IT部門也將承受極大的壓力���,所以保證網(wǎng)絡和應用系統(tǒng)安全�����、可靠和高效的運行成為IT部門的關鍵任務��。
1.1 邊界安全
1.1.1 應用防火墻
產(chǎn)品概述:
下一代防火墻是面向應用層設計�����,能夠精準識別用戶����、應用和內(nèi)容����,具備完整安全防護能力,能夠全面替代傳統(tǒng)防火墻�,并具有強勁應用層處理能力的全新網(wǎng)絡安全設備。下一代防火墻解決了傳統(tǒng)安全設備在應用管控����、應用可視化、應用內(nèi)容防護等方面的巨大不足���,同時開啟所有功能后性能不會大幅下降�。
需求分析:
◆對外發(fā)布業(yè)務安全保護
部署在網(wǎng)銀��、網(wǎng)上報稅��、網(wǎng)上營業(yè)廳��、電子商務系統(tǒng)等系統(tǒng)出口,防止黑客入侵����,保護關鍵業(yè)務和客戶隱私信息,避免損害單位形象�����,經(jīng)濟損失�����。
◆內(nèi)網(wǎng)數(shù)據(jù)中心安全防護
部署在單位內(nèi)部的財務�����、ERP�、OA等服務器前面,精細控制訪問權限�,防止非法訪問,防止企業(yè)機密信息被竊取����,保障核心業(yè)務獲取必要的帶寬資源。
◆廣域網(wǎng)安全互聯(lián)
部署在專網(wǎng)路由器后面,顧慮各位應用層垃圾流量�,防止病毒、木馬等威脅在分支機構間橫向傳播����,影響業(yè)務開展;優(yōu)化廣域網(wǎng)帶寬��,保障關鍵業(yè)務穩(wěn)定運行�。
◆互聯(lián)網(wǎng)出口安全防護
部署在互聯(lián)網(wǎng)出口,針對各種終端提供漏洞防護�、病毒���、木馬過濾���,高性能應用管控與流量優(yōu)化,提供一體化的安全防護����。
典型應用場景:
1.1.1 入侵防御與檢測
產(chǎn)品概述:
入侵檢測/防御系統(tǒng)通過收集和分析網(wǎng)絡行為、安全日志����、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息����,檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象從而積極主動地進行安全防護�����,提供對內(nèi)部攻擊��、外部攻擊和誤操作的實時保護�����,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵����。
需求分析:
◆無法自動攔截網(wǎng)絡攻擊
一般企業(yè)針對網(wǎng)絡安全所采取的防護手段(如部署防火墻等)都是被動的��,都需要負責網(wǎng)絡的技術人員事后分析網(wǎng)絡通信�,添加相應規(guī)則,限制蠕蟲的傳播��,發(fā)現(xiàn)問題的速度��、采用措施的有效性都很難保證�。
◆無法及時定位“問題”源頭
現(xiàn)在,蠕蟲病毒或零日攻擊(zero day attack)的入侵越來越多利用操作系統(tǒng)的安全漏洞或操作系統(tǒng)在初始安裝的缺省配置下無安全控制,這些蠕蟲在內(nèi)部網(wǎng)絡中的傳播已經(jīng)成泛濫之勢�����,不僅使感染病毒毒電腦本身無法正常工作�,同時他們產(chǎn)生的大量的數(shù)據(jù)包及與其它內(nèi)部、外部電腦的連接請求�,導致網(wǎng)絡帶寬被完全擠占,整個網(wǎng)絡都無法對外提供服務����,郵件通訊無法正常進行,內(nèi)部的公文流轉處于停滯狀態(tài)����。這些向外傳播病毒的問題主機��,網(wǎng)絡管理員一般都只能通過逐一封閉交換機端口���,這種最初級的排錯方法才能定位問題發(fā)作的源頭�,這樣的排錯方法不但費時費力����,而且結果也并非準確無誤。
◆無力應對未知安全事件
以往人們總是覺得攻擊總是來自外部,只要有了防火墻���,內(nèi)部網(wǎng)絡就可以高枕無憂�。但是網(wǎng)絡攻擊事件的發(fā)展趨勢表明�,內(nèi)部的安全問題造成的破壞,遠遠大于外部攻擊��。還是以沖擊波(W32.blaster.Worm)��、震蕩波(W32.Sasser.Worm)為例��,在病毒爆發(fā)的初始階段�,這些病毒爆發(fā)的特性還不為人知,人們還無法掌握病毒傳播的途徑和方式�,對于這些病毒,毫無應對能力����。隨著攻擊變得越來越復雜并且入侵過程中闖入系統(tǒng)的活動減少,傳統(tǒng)的安全產(chǎn)品已經(jīng)難以識別那些混合�、隱蔽的傳播方式,無法在出現(xiàn)網(wǎng)絡故障時����,提供清淅���,準確的報警信息。企業(yè)網(wǎng)絡的維護人員并非專業(yè)的信息安全人士�,也無法通過網(wǎng)絡嗅探器來分析出網(wǎng)絡中正在傳送的數(shù)據(jù)到底是合法還是非法:
◆無法從日常報警中,獲得有價值的信息
雖然在企業(yè)網(wǎng)絡中已經(jīng)部署了防火墻及其它安全設備���,但是每種安全設備的報警事件都有獨立的命名規(guī)則及安全級別����,每天都會同時產(chǎn)生大量的報警事件�����。管理員無法從這些種類繁多的事件中區(qū)分那些是真正的安全事故報警���,哪些是一般的信息提示�,對于用戶而言�����,報警事件過多等同于沒有報警��。這些來自各個產(chǎn)品的報警事件之間沒有相互間的關聯(lián)性�����,并且還存在著重復報警的情況��。因此要從這些事件中��,獲取有用的信息�����,還要對他們進行合并�����,整理和關聯(lián)����。而這些工作都要由人工手動完成,大大加重了管理員的工作量和做出快速反應的時效性����。
典型應用場景:
1.1.1 虛擬專網(wǎng) IPSEC VPN
產(chǎn)品概述:
由于行業(yè)的業(yè)務分散性和信息數(shù)據(jù)集中化部署,需要一種非常安全的方式實現(xiàn)異地網(wǎng)絡的互聯(lián)����,IPSec VPN正是基于這樣的需求而出現(xiàn)���,可實現(xiàn)異地機構快速組網(wǎng)、大型專網(wǎng)數(shù)據(jù)安全加密�、行業(yè)專網(wǎng)的VPN延申、專網(wǎng)單一鏈路的穩(wěn)定備份等多重價值��。
需求分析:
◆大中型企業(yè)異地機構互聯(lián)
組織內(nèi)部重要的應用系統(tǒng)要安全的發(fā)布給分支��,使用專網(wǎng)組網(wǎng)費用高��。采用IPSec VPN基于互聯(lián)網(wǎng)鏈路組建���,性價比高�,組網(wǎng)便利�����。
◆大網(wǎng)中建小網(wǎng)
專網(wǎng)覆蓋范圍過大���,各廳局�����、部門使用該專網(wǎng)���,專網(wǎng)中數(shù)據(jù)安全難以保證。在同局��、同部門放置IPSec VPN基于專網(wǎng)構建IPSec VPN加密隧道��,保證數(shù)據(jù)在專網(wǎng)中安全性��。
◆行業(yè)專網(wǎng)建設延伸
總部與分支公司采用專線連接����,但分公司以下的三級、四級組網(wǎng)采用專線建設費用太高�����,甚至部分偏遠分支專線無法鋪到��。IPSec VPN基于互聯(lián)網(wǎng)�����,性價比高���,三���、四級數(shù)據(jù)通過IPSec VPN匯聚到分公司��,再通過專線網(wǎng)絡匯聚到總公司���。
◆構建VPN備份網(wǎng)絡
備份網(wǎng)絡使用頻率低,但是又是必要的��,采用專線構建費用太高���。通過IPSec VPN基于互聯(lián)網(wǎng)鏈路建設性價比高�����,一旦專線故障即可將數(shù)據(jù)切換到IPSec VPN鏈路上保障穩(wěn)定性�����。
◆專線改造及替換
原有專線網(wǎng)絡每月的租用費用昂貴�,網(wǎng)絡運營�����、維護成本過高。通過IPSec VPN組建網(wǎng)絡替換專線可大大減低網(wǎng)絡成本����。
典型應用場景:
1.1.1 移動辦公接入 SSL VPN
產(chǎn)品概述:
目前很多組織都面臨著這樣的挑戰(zhàn):分支機構��、合作伙伴�、客戶和外地出差人員要求隨時經(jīng)過公網(wǎng)訪問總部的內(nèi)部資料、辦公OA���、ERP系統(tǒng)�、CRM系統(tǒng)�����、項目管理系統(tǒng)等�,因此需要一種實施簡單,運營成本低的解決方案來保證連接的安全����。SSL VPN很好的解決這樣的問題,隨時隨地滿足客戶遠程安全接入����,同時降低了部署和支持費用。
需求分析:
◆移動辦公
基于瀏覽器的訪問,無需安裝客戶端�,方便領導及員工出差、在家使用電腦��、PAD��、智能手機等安全的接入到內(nèi)網(wǎng)辦公���。
◆第三方機構接入
上下游企業(yè)及被監(jiān)管機構需要接入到組織的內(nèi)部訪問特定的服務器�����,SSL VPN通過權限劃分���、多種認證方式、硬件特征碼綁定等技術解決第三方安全接入問題���。
◆遠程接入
邊遠地區(qū)專線無法到達�����、無專門網(wǎng)管人員對終端進行維護��、網(wǎng)絡普遍較差���。SSL VPN的安全接入基于瀏覽器的零客戶端避免了終端維護���,降低管理成本。
◆專網(wǎng)內(nèi)的權限劃分
專網(wǎng)過大�,容納了眾多部門、局廳在內(nèi)�,對于服務器區(qū)沒有做很好的權限劃分保證應用安全性����。SSL VPN通過權限劃分、眾多組合認證���、主從賬號綁定等技術保證訪問者指定權限����、使用指定賬號訪問指定應用��。
◆隔離內(nèi)網(wǎng)服務器
內(nèi)網(wǎng)服務器區(qū)暴露在內(nèi)網(wǎng)中��,容易因內(nèi)網(wǎng)攻擊����、應用濫訪造成服務器區(qū)的安全隱患。
1.1.2 網(wǎng)絡準入
產(chǎn)品概述:
現(xiàn)在的互聯(lián)網(wǎng)是開放的、基于IP地址管理的網(wǎng)絡�。任何人都可以在這個網(wǎng)絡上匿名傳輸信息,任意到訪互聯(lián)網(wǎng)上的任何終端����。由于辦公內(nèi)網(wǎng)簡單地照搬了互聯(lián)網(wǎng)技術,就使得辦公內(nèi)網(wǎng)管理不到終端的使用者�����,很難按人進行管理和審計�,給信息系統(tǒng)的安全留下了極大的隱患。
為了防止辦公內(nèi)網(wǎng)成為人人都能任意匿名訪問的互聯(lián)網(wǎng)���,越來越多的辦公內(nèi)網(wǎng)開始實施準入控制��,對終端接入辦公內(nèi)網(wǎng)時對使用者進行身份認證�����。
需求分析:
◆網(wǎng)絡接入控制
保證網(wǎng)絡系統(tǒng)邊界的完整性��,防止非授權接入�?��?刂坪透綦x任何非法網(wǎng)絡接入�����。同時杜絕網(wǎng)址的欺騙和篡改����,根除ARP病毒。
◆身份鑒別和訪問控制
保證人員登錄的實名性����。支持多種身份識別技術����。按照人員的安全等級和接觸信息的密級性強制實施不同等級、多因素的身份認證標準�。
◆結構安全和網(wǎng)段劃分
支持按不同的級別劃分安全子系統(tǒng)。支持按部門���、按級別對人員和設備動態(tài)實施網(wǎng)絡隔離�����。
典型應用場景:
