第1章 信息安全管理
IT部門(mén)對(duì)企業(yè)高效運(yùn)營(yíng)和快速發(fā)展的貢獻(xiàn)毋庸置疑����,種種益處自不必多言,但是如果網(wǎng)絡(luò)崩潰���、應(yīng)用癱瘓�、機(jī)密被竊�,損失將令人痛心,甚至無(wú)法彌補(bǔ)�����,IT部門(mén)也將承受極大的壓力,所以保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全��、可靠和高效的運(yùn)行成為IT部門(mén)的關(guān)鍵任務(wù)����。
1.1 邊界安全
1.1.1 應(yīng)用防火墻
產(chǎn)品概述:
下一代防火墻是面向應(yīng)用層設(shè)計(jì),能夠精準(zhǔn)識(shí)別用戶(hù)�����、應(yīng)用和內(nèi)容���,具備完整安全防護(hù)能力�,能夠全面替代傳統(tǒng)防火墻����,并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備。下一代防火墻解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控���、應(yīng)用可視化�����、應(yīng)用內(nèi)容防護(hù)等方面的巨大不足�����,同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降�。
需求分析:
◆對(duì)外發(fā)布業(yè)務(wù)安全保護(hù)
部署在網(wǎng)銀、網(wǎng)上報(bào)稅��、網(wǎng)上營(yíng)業(yè)廳�����、電子商務(wù)系統(tǒng)等系統(tǒng)出口��,防止黑客入侵�����,保護(hù)關(guān)鍵業(yè)務(wù)和客戶(hù)隱私信息�����,避免損害單位形象��,經(jīng)濟(jì)損失��。
◆內(nèi)網(wǎng)數(shù)據(jù)中心安全防護(hù)
部署在單位內(nèi)部的財(cái)務(wù)�、ERP、OA等服務(wù)器前面��,精細(xì)控制訪問(wèn)權(quán)限��,防止非法訪問(wèn)����,防止企業(yè)機(jī)密信息被竊取,保障核心業(yè)務(wù)獲取必要的帶寬資源�����。
◆廣域網(wǎng)安全互聯(lián)
部署在專(zhuān)網(wǎng)路由器后面����,顧慮各位應(yīng)用層垃圾流量,防止病毒�、木馬等威脅在分支機(jī)構(gòu)間橫向傳播,影響業(yè)務(wù)開(kāi)展���;優(yōu)化廣域網(wǎng)帶寬��,保障關(guān)鍵業(yè)務(wù)穩(wěn)定運(yùn)行��。
◆互聯(lián)網(wǎng)出口安全防護(hù)
部署在互聯(lián)網(wǎng)出口����,針對(duì)各種終端提供漏洞防護(hù)、病毒��、木馬過(guò)濾�,高性能應(yīng)用管控與流量?jī)?yōu)化,提供一體化的安全防護(hù)�。
典型應(yīng)用場(chǎng)景:
1.1.1 入侵防御與檢測(cè)
產(chǎn)品概述:
入侵檢測(cè)/防御系統(tǒng)通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志�、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息�,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象從而積極主動(dòng)地進(jìn)行安全防護(hù),提供對(duì)內(nèi)部攻擊���、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵����。
需求分析:
◆無(wú)法自動(dòng)攔截網(wǎng)絡(luò)攻擊
一般企業(yè)針對(duì)網(wǎng)絡(luò)安全所采取的防護(hù)手段(如部署防火墻等)都是被動(dòng)的,都需要負(fù)責(zé)網(wǎng)絡(luò)的技術(shù)人員事后分析網(wǎng)絡(luò)通信��,添加相應(yīng)規(guī)則�,限制蠕蟲(chóng)的傳播,發(fā)現(xiàn)問(wèn)題的速度�����、采用措施的有效性都很難保證。
◆無(wú)法及時(shí)定位“問(wèn)題”源頭
現(xiàn)在����,蠕蟲(chóng)病毒或零日攻擊(zero day attack)的入侵越來(lái)越多利用操作系統(tǒng)的安全漏洞或操作系統(tǒng)在初始安裝的缺省配置下無(wú)安全控制,這些蠕蟲(chóng)在內(nèi)部網(wǎng)絡(luò)中的傳播已經(jīng)成泛濫之勢(shì)�,不僅使感染病毒毒電腦本身無(wú)法正常工作,同時(shí)他們產(chǎn)生的大量的數(shù)據(jù)包及與其它內(nèi)部����、外部電腦的連接請(qǐng)求,導(dǎo)致網(wǎng)絡(luò)帶寬被完全擠占��,整個(gè)網(wǎng)絡(luò)都無(wú)法對(duì)外提供服務(wù)�����,郵件通訊無(wú)法正常進(jìn)行���,內(nèi)部的公文流轉(zhuǎn)處于停滯狀態(tài)�����。這些向外傳播病毒的問(wèn)題主機(jī)�,網(wǎng)絡(luò)管理員一般都只能通過(guò)逐一封閉交換機(jī)端口,這種最初級(jí)的排錯(cuò)方法才能定位問(wèn)題發(fā)作的源頭����,這樣的排錯(cuò)方法不但費(fèi)時(shí)費(fèi)力,而且結(jié)果也并非準(zhǔn)確無(wú)誤�����。
◆無(wú)力應(yīng)對(duì)未知安全事件
以往人們總是覺(jué)得攻擊總是來(lái)自外部��,只要有了防火墻�����,內(nèi)部網(wǎng)絡(luò)就可以高枕無(wú)憂(yōu)����。但是網(wǎng)絡(luò)攻擊事件的發(fā)展趨勢(shì)表明����,內(nèi)部的安全問(wèn)題造成的破壞,遠(yuǎn)遠(yuǎn)大于外部攻擊�����。還是以沖擊波(W32.blaster.Worm)、震蕩波(W32.Sasser.Worm)為例�����,在病毒爆發(fā)的初始階段����,這些病毒爆發(fā)的特性還不為人知,人們還無(wú)法掌握病毒傳播的途徑和方式��,對(duì)于這些病毒�,毫無(wú)應(yīng)對(duì)能力。隨著攻擊變得越來(lái)越復(fù)雜并且入侵過(guò)程中闖入系統(tǒng)的活動(dòng)減少����,傳統(tǒng)的安全產(chǎn)品已經(jīng)難以識(shí)別那些混合、隱蔽的傳播方式��,無(wú)法在出現(xiàn)網(wǎng)絡(luò)故障時(shí)���,提供清淅���,準(zhǔn)確的報(bào)警信息。企業(yè)網(wǎng)絡(luò)的維護(hù)人員并非專(zhuān)業(yè)的信息安全人士,也無(wú)法通過(guò)網(wǎng)絡(luò)嗅探器來(lái)分析出網(wǎng)絡(luò)中正在傳送的數(shù)據(jù)到底是合法還是非法:
◆無(wú)法從日常報(bào)警中���,獲得有價(jià)值的信息
雖然在企業(yè)網(wǎng)絡(luò)中已經(jīng)部署了防火墻及其它安全設(shè)備�,但是每種安全設(shè)備的報(bào)警事件都有獨(dú)立的命名規(guī)則及安全級(jí)別����,每天都會(huì)同時(shí)產(chǎn)生大量的報(bào)警事件。管理員無(wú)法從這些種類(lèi)繁多的事件中區(qū)分那些是真正的安全事故報(bào)警����,哪些是一般的信息提示,對(duì)于用戶(hù)而言�,報(bào)警事件過(guò)多等同于沒(méi)有報(bào)警。這些來(lái)自各個(gè)產(chǎn)品的報(bào)警事件之間沒(méi)有相互間的關(guān)聯(lián)性��,并且還存在著重復(fù)報(bào)警的情況�����。因此要從這些事件中�,獲取有用的信息,還要對(duì)他們進(jìn)行合并���,整理和關(guān)聯(lián)。而這些工作都要由人工手動(dòng)完成,大大加重了管理員的工作量和做出快速反應(yīng)的時(shí)效性�。
典型應(yīng)用場(chǎng)景:
1.1.1 虛擬專(zhuān)網(wǎng) IPSEC VPN
產(chǎn)品概述:
由于行業(yè)的業(yè)務(wù)分散性和信息數(shù)據(jù)集中化部署,需要一種非常安全的方式實(shí)現(xiàn)異地網(wǎng)絡(luò)的互聯(lián)�,IPSec VPN正是基于這樣的需求而出現(xiàn),可實(shí)現(xiàn)異地機(jī)構(gòu)快速組網(wǎng)�、大型專(zhuān)網(wǎng)數(shù)據(jù)安全加密、行業(yè)專(zhuān)網(wǎng)的VPN延申����、專(zhuān)網(wǎng)單一鏈路的穩(wěn)定備份等多重價(jià)值。
需求分析:
◆大中型企業(yè)異地機(jī)構(gòu)互聯(lián)
組織內(nèi)部重要的應(yīng)用系統(tǒng)要安全的發(fā)布給分支��,使用專(zhuān)網(wǎng)組網(wǎng)費(fèi)用高���。采用IPSec VPN基于互聯(lián)網(wǎng)鏈路組建�,性?xún)r(jià)比高�,組網(wǎng)便利。
◆大網(wǎng)中建小網(wǎng)
專(zhuān)網(wǎng)覆蓋范圍過(guò)大����,各廳局、部門(mén)使用該專(zhuān)網(wǎng)�����,專(zhuān)網(wǎng)中數(shù)據(jù)安全難以保證。在同局����、同部門(mén)放置IPSec VPN基于專(zhuān)網(wǎng)構(gòu)建IPSec VPN加密隧道,保證數(shù)據(jù)在專(zhuān)網(wǎng)中安全性��。
◆行業(yè)專(zhuān)網(wǎng)建設(shè)延伸
總部與分支公司采用專(zhuān)線連接�,但分公司以下的三級(jí)、四級(jí)組網(wǎng)采用專(zhuān)線建設(shè)費(fèi)用太高�����,甚至部分偏遠(yuǎn)分支專(zhuān)線無(wú)法鋪到��。IPSec VPN基于互聯(lián)網(wǎng)��,性?xún)r(jià)比高����,三、四級(jí)數(shù)據(jù)通過(guò)IPSec VPN匯聚到分公司����,再通過(guò)專(zhuān)線網(wǎng)絡(luò)匯聚到總公司。
◆構(gòu)建VPN備份網(wǎng)絡(luò)
備份網(wǎng)絡(luò)使用頻率低���,但是又是必要的�����,采用專(zhuān)線構(gòu)建費(fèi)用太高���。通過(guò)IPSec VPN基于互聯(lián)網(wǎng)鏈路建設(shè)性?xún)r(jià)比高,一旦專(zhuān)線故障即可將數(shù)據(jù)切換到IPSec VPN鏈路上保障穩(wěn)定性��。
◆專(zhuān)線改造及替換
原有專(zhuān)線網(wǎng)絡(luò)每月的租用費(fèi)用昂貴���,網(wǎng)絡(luò)運(yùn)營(yíng)����、維護(hù)成本過(guò)高�。通過(guò)IPSec VPN組建網(wǎng)絡(luò)替換專(zhuān)線可大大減低網(wǎng)絡(luò)成本。
典型應(yīng)用場(chǎng)景:
1.1.1 移動(dòng)辦公接入 SSL VPN
產(chǎn)品概述:
目前很多組織都面臨著這樣的挑戰(zhàn):分支機(jī)構(gòu)����、合作伙伴、客戶(hù)和外地出差人員要求隨時(shí)經(jīng)過(guò)公網(wǎng)訪問(wèn)總部的內(nèi)部資料����、辦公OA��、ERP系統(tǒng)����、CRM系統(tǒng)�、項(xiàng)目管理系統(tǒng)等,因此需要一種實(shí)施簡(jiǎn)單���,運(yùn)營(yíng)成本低的解決方案來(lái)保證連接的安全��。SSL VPN很好的解決這樣的問(wèn)題��,隨時(shí)隨地滿(mǎn)足客戶(hù)遠(yuǎn)程安全接入��,同時(shí)降低了部署和支持費(fèi)用���。
需求分析:
◆移動(dòng)辦公
基于瀏覽器的訪問(wèn),無(wú)需安裝客戶(hù)端��,方便領(lǐng)導(dǎo)及員工出差�����、在家使用電腦、PAD��、智能手機(jī)等安全的接入到內(nèi)網(wǎng)辦公�。
◆第三方機(jī)構(gòu)接入
上下游企業(yè)及被監(jiān)管機(jī)構(gòu)需要接入到組織的內(nèi)部訪問(wèn)特定的服務(wù)器,SSL VPN通過(guò)權(quán)限劃分���、多種認(rèn)證方式、硬件特征碼綁定等技術(shù)解決第三方安全接入問(wèn)題�����。
◆遠(yuǎn)程接入
邊遠(yuǎn)地區(qū)專(zhuān)線無(wú)法到達(dá)����、無(wú)專(zhuān)門(mén)網(wǎng)管人員對(duì)終端進(jìn)行維護(hù)、網(wǎng)絡(luò)普遍較差�����。SSL VPN的安全接入基于瀏覽器的零客戶(hù)端避免了終端維護(hù)�,降低管理成本。
◆專(zhuān)網(wǎng)內(nèi)的權(quán)限劃分
專(zhuān)網(wǎng)過(guò)大��,容納了眾多部門(mén)�、局廳在內(nèi),對(duì)于服務(wù)器區(qū)沒(méi)有做很好的權(quán)限劃分保證應(yīng)用安全性�����。SSL VPN通過(guò)權(quán)限劃分、眾多組合認(rèn)證�����、主從賬號(hào)綁定等技術(shù)保證訪問(wèn)者指定權(quán)限��、使用指定賬號(hào)訪問(wèn)指定應(yīng)用�。
◆隔離內(nèi)網(wǎng)服務(wù)器
內(nèi)網(wǎng)服務(wù)器區(qū)暴露在內(nèi)網(wǎng)中,容易因內(nèi)網(wǎng)攻擊�、應(yīng)用濫訪造成服務(wù)器區(qū)的安全隱患。
1.1.2 網(wǎng)絡(luò)準(zhǔn)入
產(chǎn)品概述:
現(xiàn)在的互聯(lián)網(wǎng)是開(kāi)放的�����、基于IP地址管理的網(wǎng)絡(luò)�。任何人都可以在這個(gè)網(wǎng)絡(luò)上匿名傳輸信息,任意到訪互聯(lián)網(wǎng)上的任何終端���。由于辦公內(nèi)網(wǎng)簡(jiǎn)單地照搬了互聯(lián)網(wǎng)技術(shù)����,就使得辦公內(nèi)網(wǎng)管理不到終端的使用者,很難按人進(jìn)行管理和審計(jì)���,給信息系統(tǒng)的安全留下了極大的隱患����。
為了防止辦公內(nèi)網(wǎng)成為人人都能任意匿名訪問(wèn)的互聯(lián)網(wǎng)���,越來(lái)越多的辦公內(nèi)網(wǎng)開(kāi)始實(shí)施準(zhǔn)入控制���,對(duì)終端接入辦公內(nèi)網(wǎng)時(shí)對(duì)使用者進(jìn)行身份認(rèn)證���。
需求分析:
◆網(wǎng)絡(luò)接入控制
保證網(wǎng)絡(luò)系統(tǒng)邊界的完整性����,防止非授權(quán)接入�����?��?刂坪透綦x任何非法網(wǎng)絡(luò)接入�。同時(shí)杜絕網(wǎng)址的欺騙和篡改,根除ARP病毒��。
◆身份鑒別和訪問(wèn)控制
保證人員登錄的實(shí)名性�����。支持多種身份識(shí)別技術(shù)����。按照人員的安全等級(jí)和接觸信息的密級(jí)性強(qiáng)制實(shí)施不同等級(jí)、多因素的身份認(rèn)證標(biāo)準(zhǔn)��。
◆結(jié)構(gòu)安全和網(wǎng)段劃分
支持按不同的級(jí)別劃分安全子系統(tǒng)�����。支持按部門(mén)�、按級(jí)別對(duì)人員和設(shè)備動(dòng)態(tài)實(shí)施網(wǎng)絡(luò)隔離。
典型應(yīng)用場(chǎng)景:
