(完整版)安全需求

1、安全需求分析泄密事件是由一系列事件構(gòu)成的，包括內(nèi)網(wǎng)非法外聯(lián)、木馬通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡、木馬感染主機、泄密、發(fā)現(xiàn)泄密事件等階段。要防止泄密事件的發(fā)生，就要阻斷木馬傳播、主動預防、檢測和清除木馬，形成一個縱深的防御體系。1、對邊界防護的需求木馬都是由外部網(wǎng)絡傳入內(nèi)部網(wǎng)絡的，必須在邊界處進行有效的控制，防止惡意行為的發(fā)生，實現(xiàn)拒敵于國門之外。針對邊界防護，需要考慮加強防護的方面有：1）內(nèi)網(wǎng)和外網(wǎng)間的邊界防護在條件允許的情況下，實現(xiàn)保密內(nèi)網(wǎng)與外網(wǎng)的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內(nèi)網(wǎng)、外網(wǎng)有交換數(shù)據(jù)的需求，也必須部署安全隔離和信息交換系統(tǒng)，從而實現(xiàn)單向信息交換，即只允許外

2、網(wǎng)數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，禁止內(nèi)網(wǎng)信息流出到外網(wǎng)。2）對核心內(nèi)部服務器的邊界防護內(nèi)網(wǎng)中常包括核心服務器群、內(nèi)網(wǎng)終端兩大部分，核心服務器保存著大部分保密信息。為避免內(nèi)網(wǎng)終端非法外聯(lián)、竊密者非法獲取核心服務器上的保密數(shù)據(jù)，就要實現(xiàn)核心服務器與內(nèi)網(wǎng)終端間的邊界防護。感染木馬時，核心服務器的邊界安全網(wǎng)關(guān)能夠阻止終端的越權(quán)訪問，并檢查是否含有木馬，然后進行清除。但在實現(xiàn)網(wǎng)關(guān)的封堵、查殺木馬的同時，要防止對系統(tǒng)帶寬資源的嚴重損耗。3）防止不安全的在線非法外聯(lián)內(nèi)網(wǎng)與外網(wǎng)的連接點必須做到可管、可控，必須有效監(jiān)控內(nèi)網(wǎng)是否存在違規(guī)撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為，避免內(nèi)用戶采取私自撥號等方式的訪問互聯(lián)網(wǎng)而造成的安全風

3、險。4）防止離線非法外聯(lián)或不安全的接入行為要限制終端設(shè)備，如PC機、筆記本，直接接入并訪問內(nèi)網(wǎng)區(qū)域，對于不符合安全條件的設(shè)備（比如沒有安裝防病毒軟件，操作系統(tǒng)沒有及時升級補丁，沒有獲得合法分配的IP地址或離線外聯(lián)過），則必須禁止進入。2、對主機安全的需求內(nèi)網(wǎng)終端非法外聯(lián)后木馬入侵的目的都是最終的主機。主機的防護必須全面、及時。1）木馬病毒的查殺和檢測能力的需求由于內(nèi)部網(wǎng)絡中的計算機數(shù)量很多，要確保網(wǎng)絡中所有計算機都安裝防木馬軟件，并實施實施統(tǒng)一的防木馬策略。防木馬軟件至少應能掃描內(nèi)存、驅(qū)動器、目錄、文件和LotusNotes數(shù)據(jù)庫和郵件系統(tǒng);具備良好的檢測和清除能力;支持網(wǎng)絡遠程自動安裝功能和

4、自動升級功能。2）系統(tǒng)自身安全防護的需求木馬在主機中的隱藏、執(zhí)行和攻擊最后都是體現(xiàn)在操作系統(tǒng)層面。要確保操作系統(tǒng)及時升級，防止漏洞被木馬和病毒利用。在及時升級操作系統(tǒng)的基礎(chǔ)上，要實時對計算機進程訪問端口的進行監(jiān)控，以及時發(fā)現(xiàn)異常與木馬;同時要有注冊表防護手段，保障木馬不能修改系統(tǒng)信息，從而使木馬不能隱藏與自動運行。3）移動存儲介質(zhì)控制的需求木馬傳播重要一個渠道是移動存儲介質(zhì)。主機系統(tǒng)要在移動介質(zhì)接入系統(tǒng)時立即截獲該事件，然后根據(jù)策略或者拒絕接入，或者立即對移動介質(zhì)進行掃描，以阻斷移動介質(zhì)病毒的自動運行與傳播。4）安全審計的需求系統(tǒng)的日志記錄了系統(tǒng)的工作情況，也反應了工作人員的操作行為。審計關(guān)鍵

5、主機的訪問行為，可判斷內(nèi)部人員是否有違規(guī)的行為;同時，還可以實時發(fā)現(xiàn)木馬的行蹤，并找出深層次的安全威脅。3、對安全管理的需求為防止泄密事件的發(fā)生，除了加強安全技術(shù)的管控外，也要加強安全管理。首先，要引入第三方安全服務，定期查看關(guān)鍵計算機設(shè)備的狀態(tài)，以發(fā)現(xiàn)與解決計算機中的木馬;其次，要建立應急響應機制，使得在泄密事件發(fā)生后，能及時定位與隔離涉及的主機，使安全事件能夠追查到責任人。對應措施設(shè)計如何滿足這些安全需求?下面是對應的措施。1、邊界防護的措施1）防火墻技術(shù)防火墻是實現(xiàn)內(nèi)網(wǎng)終端與內(nèi)網(wǎng)核心服務器隔離的基本手段。防火墻通常位于不同網(wǎng)絡或網(wǎng)絡安全域間的唯一連接處，根據(jù)組織的業(yè)務特點、管理制度所制定

6、的安全策略，運用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實現(xiàn)對出入核心服務器網(wǎng)絡的信息流進行全面的控制（允許通過、拒絕通過、過程監(jiān)測），控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務、連接狀態(tài)等網(wǎng)絡信息的各個方面，從而實現(xiàn)對不良網(wǎng)站的封堵。但是，傳統(tǒng)單一的防火墻無法有效對抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等因此，有必要在這些邊界采取防護能力更強的技術(shù)。2）防病毒網(wǎng)關(guān)技術(shù)隨著網(wǎng)絡的飛速發(fā)展，單機版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對木馬、蠕蟲、郵件性病毒進行全網(wǎng)整體的防護，已經(jīng)不能滿足復雜應用環(huán)境，所以構(gòu)建整體病毒防護體系已成為必然。完整的防毒

7、體系包括：網(wǎng)關(guān)級防病毒部署在網(wǎng)絡入口處，對木馬、病毒、蠕蟲和垃圾郵件進行有效過濾;服務器防病毒服務器為資源共享和信息交換提供了便利條件，但同時也給病毒的傳播和擴散以可乘之機;桌面級防病毒在客戶端安裝，將病毒在本地清除而不至于擴散到其他主機或服務器;病毒管理中心能實現(xiàn)防病毒軟件的集中管理和分發(fā)、病毒庫分發(fā)、病毒事件集中審計等。在不與外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在核心服務器區(qū)和終端區(qū)之間，通過網(wǎng)關(guān)把病毒拒于核心服務器區(qū)網(wǎng)絡之外。在與外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在外網(wǎng)和內(nèi)網(wǎng)連接邊界中之間，通過網(wǎng)關(guān)把病毒拒于內(nèi)部保密網(wǎng)絡之外。這要求網(wǎng)關(guān)防毒產(chǎn)品部署簡便、能承受防病毒網(wǎng)關(guān)的數(shù)

8、據(jù)流量、能檢測并清除病毒。3）終端防護系統(tǒng)為了防止不安全的在線非法外聯(lián)、離線非法外聯(lián)或不安全的接入行為，必須把終端防護系統(tǒng)與其它網(wǎng)關(guān)防護技術(shù)結(jié)合起來。通過終端防護系統(tǒng)的統(tǒng)一策略配置的主機防火墻和主機IDS,能實現(xiàn)對桌面系統(tǒng)的網(wǎng)絡安全檢測和防護，當IDS檢測到威脅后，能與主機防火墻進行聯(lián)動，自動阻斷外部攻擊行為。通過終端防護系統(tǒng)，可對桌面系統(tǒng)的遠程撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為進行控制，發(fā)現(xiàn)存在違規(guī)外聯(lián)的主機，給出報警，通過防火墻切斷該主機與網(wǎng)絡的連接，避免導致內(nèi)網(wǎng)遭到更大的破壞。通過終端防護系統(tǒng)的安全狀態(tài)檢測策略，可監(jiān)測進入內(nèi)網(wǎng)的終端設(shè)備，對于不符合安全條件的設(shè)備，可不允許其接入內(nèi)網(wǎng)。4

9、）網(wǎng)閘技術(shù)在安全性要求很高，但又有內(nèi)部網(wǎng)絡和外網(wǎng)數(shù)據(jù)交換的情況下，必須采取網(wǎng)閘技術(shù)，以實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的單向安全隔離和數(shù)據(jù)交換。2、主機安全的防護1）桌面木馬與病毒查殺技術(shù)在一個整體病毒防護方案中，桌面級防病毒是重要的支點。對木馬的防范，除了通常的桌面防病毒產(chǎn)品外，還有一些專門的木馬查殺產(chǎn)品，象瑞星卡卡、360安全衛(wèi)士等。桌面查殺產(chǎn)品擁有查殺流行木馬、清理惡評及系統(tǒng)插件、管理應用軟件、系統(tǒng)實時保護，修復系統(tǒng)漏洞等數(shù)個強勁功能，同時還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對系統(tǒng)的全面診斷報告，方便用戶及時定位問題所在，為用戶提供全方位的系統(tǒng)桌面保護。2）終

10、端防護技術(shù)終端管理系統(tǒng)是對局域網(wǎng)內(nèi)部的網(wǎng)絡行為進行全面監(jiān)管，檢測并保障桌面系統(tǒng)的安全產(chǎn)品。系統(tǒng)一般共分四大模塊：桌面行為監(jiān)管、桌面系統(tǒng)監(jiān)管、系統(tǒng)資源管理，通過統(tǒng)一定制、下發(fā)安全策略并強制執(zhí)行的機制，實現(xiàn)對局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護，能有效保障桌面系統(tǒng)及機密數(shù)據(jù)的安全。終端管理系統(tǒng)自動檢測桌面系統(tǒng)的安全狀態(tài)，能針對桌面系統(tǒng)的補丁自動檢測、下發(fā)和安裝，修復存在的安全漏洞，防止漏洞被木馬和病毒利用。終端管理系統(tǒng)監(jiān)管桌面行為，對桌面系統(tǒng)上撥號行為、打印行為、外存使用行為、文件操作行為的監(jiān)控，通過策略定制限制主機是否允許使用外存設(shè)備，確保機密數(shù)據(jù)的安全，避免了內(nèi)部保密數(shù)據(jù)的泄漏。終端管理系統(tǒng)桌面監(jiān)管

11、系統(tǒng)，解決了難以及時、準確掌控桌面系統(tǒng)基礎(chǔ)信息的問題，規(guī)范了客戶端操作行為，提高了桌面系統(tǒng)的安全等級。通過系統(tǒng)監(jiān)管模塊管理員能夠遠程查看桌面系統(tǒng)當前的詳細信息，包括：已安裝軟件、已安裝硬件、進程、端口、CPU、磁盤、內(nèi)存等，及時發(fā)現(xiàn)異常。終端管理系統(tǒng)為管理員提供了Agent管理、IP管理等功能，能對網(wǎng)絡內(nèi)的Agent進行有效管理，避免IP地址混亂、非法接入、木馬運行等情況。終端管理系統(tǒng)在對收集的事件進行詳盡的分析和統(tǒng)計的基礎(chǔ)上，支持豐富的報表功能，實現(xiàn)了分析結(jié)果的可視化。為幫助網(wǎng)絡管理員對網(wǎng)絡中的情況進行深度挖掘分析，系統(tǒng)提供了多種報表模板，支持管理員從不同方面進行網(wǎng)絡事件和用戶行為的可視化分

12、析，滿足了安全審計的需求。3、安全管理1）安全審計系統(tǒng)安全審計既是發(fā)現(xiàn)安全問題的重要手段，也是管理內(nèi)部人員行為的威懾手段。如果不計劃部署安全管理平臺，就一定要安裝安全審計系統(tǒng)。推薦通過引入集中日志審計的技術(shù)手段，對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一的安全審計，及時自動分析系統(tǒng)安全事件，實現(xiàn)系統(tǒng)安全運行管理。2）安全管理平臺系統(tǒng)在內(nèi)部部署了防病毒等一系列安全設(shè)備后，可以在一定程度上提高安全防御水平，降低發(fā)生泄密事件的概率。但同時也要加強安全管理，引入安全管理平臺。信息安全管理平臺，能實時對網(wǎng)絡設(shè)備、服務器、安全設(shè)備、數(shù)據(jù)庫、中間件、應

13、用系統(tǒng)的安全狀況進行統(tǒng)一監(jiān)控、采集安全事件和日志信息、進行整合和關(guān)聯(lián)分析、評估安全風險、審計用戶行為、產(chǎn)生安全事故和告警、生成安全報告并及時進行應急響應，確保相關(guān)系統(tǒng)的業(yè)務持續(xù)運行，協(xié)助管理人員排除安全隱患和安全故障，同時為相關(guān)部門的信息安全審計和考核提供技術(shù)手段和依據(jù)，實現(xiàn)全網(wǎng)的安全集中監(jiān)控、審計和應急響應，全面提升保密內(nèi)網(wǎng)的信息安全保障能力。對于內(nèi)網(wǎng)泄密事件而言，安全管理平臺可以對關(guān)鍵主機的訪問行為進行記錄，一方面形成威懾，另一方面方便事后取證;安全管理平臺還可以找出系統(tǒng)內(nèi)感染木馬病毒的機器。3）定期巡檢服務定期巡檢服務是一種第三方安全服務，可以定期查看并發(fā)現(xiàn)系統(tǒng)的安全漏洞，檢測關(guān)鍵計算機

14、設(shè)備的狀態(tài)，發(fā)現(xiàn)并定位計算機中已經(jīng)感染的木馬，防止木馬的泄密等破壞行為發(fā)生。安全措施部署舉例內(nèi)網(wǎng)外網(wǎng)Ft設(shè)量mujhhlM亦來尋駅HR內(nèi)網(wǎng)外網(wǎng)Ft設(shè)量mujhhlM亦來尋駅HR州片天慳啜馬爐貳彊空邑啤IT專家網(wǎng)原創(chuàng)文章，未經(jīng)許可，嚴禁轉(zhuǎn)載！安全需求分析當今電信行業(yè)或多或少的面臨著如下的網(wǎng)絡威脅：內(nèi)部誤用和濫用：各種調(diào)查都顯示來自于內(nèi)部的誤用（操作）和濫用對企業(yè)網(wǎng)絡和業(yè)務的影響都是最為致命的，通常的比例高達70%。這樣，如何高效地防止誤用損失、阻止濫用、監(jiān)測業(yè)務網(wǎng)絡的健康運行，并且在事件發(fā)生后能夠成功地進行定位和取證分析，這樣的能力對于一個成功的電信企業(yè)顯得至關(guān)重要。拒絕服務攻擊：當前運營商受到

15、的拒絕服務攻擊的威脅正在變得越來越緊迫，對拒絕服務攻擊的解決方案也越來越受到國際上先進電信提供商的關(guān)注。對大規(guī)模拒絕服務攻擊能夠阻止、減輕、躲避的能力是標志著一個電信企業(yè)可以向客戶承諾更為健壯、具有更高可用性的服務，也是整個企業(yè)的網(wǎng)絡安全水平進入一個新境界的重要標志。外部入侵：這里是通常所說的黑客威脅?，F(xiàn)在的黑客的目標已經(jīng)由原來的技術(shù)轉(zhuǎn)變?yōu)楝F(xiàn)在的以盈利為目標，這些是對網(wǎng)絡自主運行的控制權(quán)的巨大威脅，使得客戶在重要和關(guān)鍵應用場合沒有信心，損失業(yè)務，甚至造成災難性后果。病毒：病毒時時刻刻威脅著整個互聯(lián)網(wǎng)，促使人們不得不在網(wǎng)絡的各個環(huán)節(jié)考慮對于各種病毒的檢測防治。對病毒的徹底防御重要性毋庸置疑。各種

16、災難和事故：現(xiàn)今世界存在各種自然災害、災難、恐怖事件等對于整個企業(yè)的業(yè)務可能都會隨時造成毀滅性的打擊。電信公司面臨的主要弱點包括技術(shù)方面的弱點和管理方面的弱點。技術(shù)方面的弱點：缺乏統(tǒng)一規(guī)劃：電信公司都建立了多種（多個）統(tǒng)一平臺，極大地提高了生產(chǎn)效率和投資回報，但同時也讓安全問題更加復雜了，這樣的統(tǒng)一平臺要求全面統(tǒng)一考慮安全系統(tǒng)的建設(shè)，可以看出，目前的很多規(guī)劃是基于單個系統(tǒng)的，這樣考慮存在較大問題，我們認為，應當以安全域管理和劃分為原則，統(tǒng)一規(guī)劃整個安全體系的建設(shè)。安全技術(shù)手段使用不足：電信公司都會采用了一些防火墻、入侵檢測和防毒系統(tǒng)，但是大部分系統(tǒng)都存在大量空白的空間，不同安全域之間的連接都沒

17、有通過防火墻進行訪問控制，無論是安全體系的縱深還是安全體系的強度都嚴重不足。系統(tǒng)安全評估和加固不足：大量的UNIX/WINDOWS等系統(tǒng)的缺省配置，開放不必要的服務，沒有打上相應的安全補丁，口令強度嚴重不足，缺省的SNMP口令配置，這些弱點在電信的公司里普遍存在。缺乏實時集中管理手段：安全事故監(jiān)控和響應缺乏技術(shù)手段，缺乏必要的流程和組織。要通過少數(shù)人保證龐大的電信公司IP系統(tǒng)的安全，就必須充分利用集中監(jiān)控、集中響應的技術(shù)機制。缺乏足夠的審計：作為所有安全防御機制的補充，審計工具和機制是一種重要的檢測機制，通過他可以發(fā)現(xiàn)內(nèi)部的誤用和異常的問題及趨勢。管理方面的弱點：缺乏安全策略和規(guī)范：安全策略和規(guī)范包括策略、標