網絡竊密、監(jiān)聽和防泄密技術第12章網絡安全防御與防泄密體系建設的基本目標課件

1、第12章 網絡安全防御與防泄密體系建設的基本目標 12.1 實現(xiàn)高效的一體化智能防御能力12.2 實現(xiàn)對核心內網的統(tǒng)一安全管理12.3 實現(xiàn)對內部數(shù)據(jù)的全程監(jiān)管12.4 實現(xiàn)對內部用戶行為的有效約束第1頁，共70頁。12.1 實現(xiàn)高效的一體化智能防御能力12.1.1 概述如圖12-1所示，實現(xiàn)高效的一體化智能防御能力包含四個不斷演進的發(fā)展階段：(1) 深度防御，即全層次、全地域、全模塊、涵蓋網絡內外的安全能力集成。網絡中的每一個組件，包括物理環(huán)境、系統(tǒng)設備、網絡設施、系統(tǒng)、應用、數(shù)據(jù)和人員都有各自的安全措施，實現(xiàn)“組件各自安全”。第2頁，共70頁。(2) 一體化防御，即整個網絡中各安全組件高度

2、協(xié)同，安全防御能力高度融合。網絡本身的安全機制和各類安全系統(tǒng)分別在網絡中各個層次、各個模塊、各個區(qū)域實施防護的同時，相互之間還可實時共享安全信息、協(xié)調響應動作，對潛在的威脅進行多方位、多角度、全過程的聯(lián)合監(jiān)視、分析和防御。(3) 智能化主動防御，即在檢測和響應機制中的智能性、適應性。網絡能夠不依靠傳統(tǒng)的靜態(tài)策略和特征判別等技術，而是采取類似人類思維的綜合、分析、關聯(lián)、演繹、推理和判斷等方法，準確識別網絡中出現(xiàn)的威脅，盡量減少對人工干預的依賴，主動改進并自行適應新的安全策略，使安全體系能夠快速應對新出現(xiàn)的威脅。 第3頁，共70頁。(4) 面向關鍵業(yè)務的高效防御，即在防御過程中充分考慮安全成本和對

3、正常業(yè)務的干擾，優(yōu)化安全策略，盡量減少對系統(tǒng)計算、存儲和網絡通信容量的占用，保證關鍵業(yè)務的運行效能。 第4頁，共70頁。圖12-1 新型安全防御理論的四大階段 第5頁，共70頁。12.1.2 深度防御深度防御體現(xiàn)的是“全面系統(tǒng)”的防御，其核心是增大監(jiān)視、檢測和保護實施的范圍，提供網絡中所有層次、所有模塊和所有對象的集成安全性，實現(xiàn)從邊界到內網，從物理層到數(shù)據(jù)的“組件各自安全”。(1) 保證物理環(huán)境和基礎設施，如服務器設備、路由器、交換機和終端的自身安全。只有首先保證基礎平臺自身是安全的，才能為運行其上的業(yè)務和應用提供進一步的安全性保障。因此可通過強化操作系統(tǒng)，禁用不必要的系統(tǒng)功能，或/和改變系

4、統(tǒng)缺省配置，提高可維護性，縮小系統(tǒng)受攻擊面來實現(xiàn)。對于終端，可配備獨立的主機防火墻、主機入侵防護系統(tǒng)及病毒防護軟件。 第6頁，共70頁。(2) 保證網絡邊界，包括采用防火墻、安全網關等設備的安全。在網絡邊界處進行持續(xù)的監(jiān)控和檢測，以發(fā)現(xiàn)潛在的網絡攻擊和測試網絡的易攻擊性，確定合法網絡流量，過濾非法訪問，防范來自Internet上的攻擊(包括來自公共的網絡服務器的攻擊)，減小資深黑客僅需接入互聯(lián)網和編寫程序就可訪問企業(yè)網的概率。(3) 要保證內網安全。對于內網的防護是近幾年剛提出的新概念，主要用于防止因內部管理不善和非法滲透造成的信息失竊。從終端接入網絡開始，由主機到局域網，再到網關，層層布控，

5、防止黑客或內部人員非法控制內部服務器或終端，以此為基地，對內網其他主機發(fā)起攻擊。 第7頁，共70頁。(4) 保證應用層安全。應用程序是許多網絡攻擊的主要目標，也是近年來新的安全方向，防御包括惡意軟件、病毒、木馬、垃圾郵件、即時消息等帶來的挑戰(zhàn)，它代表了信息保護的較高層次。(5) 實現(xiàn)數(shù)據(jù)保密，對存儲信息和傳輸數(shù)據(jù)流進行有效管理，構建安全可控的使用、存儲和交換環(huán)境。數(shù)據(jù)的移動性正日益加強，因此數(shù)據(jù)安全防護至關重要。防護的焦點在于數(shù)據(jù)本身，其目的在于確保數(shù)據(jù)安然無恙，而不論其傳播途徑如何。 第8頁，共70頁。12.1.3 一體化防御 一體化防御體現(xiàn)的是“高度協(xié)同”的防御，目的是實現(xiàn)“聯(lián)合防御”。一

6、方面對來源廣泛的全方位監(jiān)視數(shù)據(jù)進行融合，形成一致的安全圖景，提高分析和預測的準確性；另一方面更實現(xiàn)了面對威脅的系統(tǒng)化對抗，能夠調動大量資源從多個角度和層次對威脅進行聯(lián)合防御，提高響應和保護力度。 第9頁，共70頁?；ヂ?lián)網世界中的產品與系統(tǒng)普遍存在著脆弱性問題，很多網絡在設計初期，缺少對安全防護的考慮，特別是沒有從整體上規(guī)劃安全設備和系統(tǒng)的布局，導致面對新的威脅時只能被動招架，哪里有問題就補哪里，采取“頭痛醫(yī)頭，腳痛醫(yī)腳”的“救火式”離散的單點靜態(tài)防御安全加固辦法。現(xiàn)階段保證計算機網絡安全的主要方法和途徑包括實體保護、加密技術、存取控制、防火墻、入侵檢測和安全審計、防病毒設置、系統(tǒng)備份和恢復等，

7、但仍然經常出現(xiàn)以下問題：第10頁，共70頁。(1) 網絡安全各個組成部分相互獨立，各占資源，效率低下，甚至相互干擾；(2) 對小范圍出現(xiàn)的新型攻擊、病毒和蠕蟲等缺乏有效的識別能力，只能被動響應；(3) 即使懷疑潛在的威脅，也只能各安全系統(tǒng)分別“管中窺豹”，缺乏全面的監(jiān)視、跟蹤、隔離和分析的能力。 第11頁，共70頁。隨著信息化的深入，用戶和廠商認識到，單獨解決一個個點的脆弱性，并不能夠帶來整體的安全性。網絡安全體系的構建必須通過一體化的建設思路，在理解不同類型、部署于不同位置的安全系統(tǒng)在防御能力的不同側重點的基礎上，充分發(fā)揮各系統(tǒng)的優(yōu)勢，先實現(xiàn)安全信息共享和系統(tǒng)間的互操作，達到“聯(lián)防聯(lián)動”水平

8、。而后實現(xiàn)在整個安全體系范圍內的優(yōu)勢互補，每個系統(tǒng)都能明確自身在體系中的作用、地位和責任，從而實現(xiàn)高效分布協(xié)同、構建統(tǒng)一的“網絡威脅全景視圖”。 第12頁，共70頁。12.1.4 智能化主動防御智能化主動防御體現(xiàn)的是“精確靈敏”的防御，目標在于更進一步提高對威脅進行分析和預測的精確度，減少檢測時間，實現(xiàn)在面對新型威脅時，核心安全策略的快速適應能力，自動完善安全體系響應和保護模式，充分體現(xiàn)優(yōu)化的生命周期模型中將“運行管理”和“完善改進”進行融合的目標。 第13頁，共70頁。隨著企業(yè)將多種安全措施嵌入網絡的各個層次，集成到所有設備中，每個安全組件都能為異常流量檢測、威脅反應和分析提供獨立的事件日志

9、和警報記錄。因為安全系統(tǒng)機械地執(zhí)行預定檢測策略，導致每天都能產生數(shù)百兆的海量日志信息，為安全管理人員帶來了巨大的工作壓力，同時也不可避免地產生許多對實際攻擊和正常的網絡訪問行為的錯誤判斷，容易轉移網絡管理人員有限的注意力。威脅變得越來越復雜，越來越不可預測，這使得網絡更容易受到諸如混合威脅之類的有目的性的攻擊。這個挑戰(zhàn)不僅要求威脅處理方案要適應新情況，更重要的是要能夠準確預測未來網絡安全狀態(tài)，預防未知威脅，以保持網絡的高度安全性。 第14頁，共70頁。智能防御技術是依據(jù)網絡訪問行為，自主識別和判斷網絡訪問是否非法的一項新技術。它通過對網絡訪問行為的規(guī)律進行分析、歸納、總結，并結合安全專家判定病

10、毒的經驗，提煉出網絡訪問識別規(guī)則知識庫；模擬專家發(fā)現(xiàn)惡意行為的機理，通過分布在網絡上的各種監(jiān)視設備、動態(tài)監(jiān)視網絡訪問的所有動作，并將其一系列動作通過邏輯關系分析組成有意義的行為，再結合網絡訪問識別規(guī)則知識，實現(xiàn)對入侵的精確識別。主動防御技術指自動化的完善安全策略以適應新威脅，即“自適應性”。它是實現(xiàn)高效率網絡防御的關鍵，它遠遠超過了手動安全策略的功效，利用一種自動檢測、分析、跟蹤、策略變更和自適應的模式來面對網絡攻擊行為中的各種變更，將大大提高對于新型未知攻擊行為，特別是目前愈演愈烈的應用層攻擊的防御能力。 第15頁，共70頁。12.1.5 面向關鍵業(yè)務的高效防御面向關鍵業(yè)務的高效防御體現(xiàn)了“

11、面向服務(應用)”/“以服務(應用)為中心”的“高效可控的”思想，其核心是優(yōu)化安全體系的響應和保護措施，在很大程度上保障網絡中關鍵的應用系統(tǒng)，如高考/考研系統(tǒng)、作戰(zhàn)指揮系統(tǒng)、遠程IP電話/電視系統(tǒng)等的可用性。這也是未來安全技術發(fā)展的方向。 第16頁，共70頁。目前，很多集成在受保護設備內部的安全措施，如主機防病毒軟件、主機IDS/IPS系統(tǒng)、路由器中的嵌入式深度數(shù)據(jù)包檢測模塊等，以及采用in-band 形式實現(xiàn)一體化防御的安全系統(tǒng)，都存在和正常應用爭搶資源的問題。某些聲稱“可完全防御任何威脅”的安全系統(tǒng)，也常常會因為需要進行復雜的分析、判斷和信息交互過程而“完全占用系統(tǒng)和網絡資源”，導致“安全

12、條件下的業(yè)務癱瘓”，從損失和后果而言，這與“攻擊條件下的業(yè)務癱瘓”并無差異，這應叫做不成熟的安全體系。 第17頁，共70頁。一個成熟的安全體系，對于受其保護的信息系統(tǒng)來說，應實現(xiàn)最大程度的“透明”。即實現(xiàn)對于正常業(yè)務流程的最小干擾，尤其是必須保證在任何時候、任何情況下，關鍵業(yè)務應用對于計算、存儲、網絡通信容量和網絡質量的需求都能夠得到最大程度的滿足，而且自動化、智能化的自適應安全機制能夠將有限的安全專家資源從海量數(shù)據(jù)的枯燥分析中解脫出來，實現(xiàn)對關鍵業(yè)務、關鍵威脅的集中保障。 第18頁，共70頁。大型企業(yè)/機構網絡的安全考慮一般都有擇優(yōu)問題。不同的服務器或終端對于網絡整體而言具備不同的效益，必須

13、明確最重要的服務器、客戶端、網絡基礎設施等資產的位置、防護水平、資源需求等重要參數(shù)，在面臨任何安全威脅時，都具備對于整體防御格局的“宏觀調控”能力。在不影響安全大局的情況下，協(xié)調、平衡、轉移和優(yōu)化安全系統(tǒng)的資源占用，避免出現(xiàn)因為遭受大規(guī)模攻擊而導致安全系統(tǒng)自身資源和整個網絡資源全部耗盡、網絡癱瘓、業(yè)務停止的狀況出現(xiàn)。 第19頁，共70頁。12.2 實現(xiàn)對核心內網的統(tǒng)一安全管理 12.2.1 統(tǒng)一安全管理的必要性統(tǒng)一安全管理模式是針對“分布式管理”、“區(qū)域自治”、“用戶自我管理”等模式而言的。目前早已適應了P2P應用的用戶可能會認為回歸到傳統(tǒng)CS時代的統(tǒng)一安全管理模式是網絡發(fā)展的倒退，但本小節(jié)將

14、和讀者一起討論在新的安全威脅形勢下，為什么統(tǒng)一安全管理模式是新形勢下核心內網安全管理的必要選擇。 第20頁，共70頁。網絡安全防御是安全技術和安全管理的綜合。我們需要解決一個長期困擾的問題：大型網絡系統(tǒng)越來越復雜，對大量網絡基礎設施、安全設備和應用的管理維護工作已幾乎耗盡了網絡管理部門有限的專家和人才資源，海量的各式安全警告和日志信息的處理讓網絡管理人員無暇顧及普通終端的安全；與此同時，很多企業(yè)/機構試圖單純依靠行政命令，以“十不準”、“二十嚴禁”、“十六注意”的形式，對內部網絡的用戶進行控制和規(guī)范。這種毫不考慮用戶計算機和網絡知識水平、過度信任行政管理制度效果的管理模式在過去已經造成了大量安

15、全事故。 第21頁，共70頁。大型內部網絡的長期管理維護，特別是安全防御保障的代價是極為高昂的，主要體現(xiàn)在對高水平安全專家和技術人員資源的雇傭、計算和存儲資源的占用上，有限的安全管理資源通常只能集中部署在最關鍵的區(qū)域和節(jié)點附近進行保障，往往無法顧及所有的網絡單元。這樣就注定了，如果實施非統(tǒng)一的集中管理模式，很多的終端管理和維護工作要在管理部門的政策約束和技術指導下，由用戶自行完成。 第22頁，共70頁。網絡安全管理人員經常遇到這樣的情況：在很多病毒或安全漏洞出現(xiàn)不久，管理部門會及時公布相應的殺毒程序或補丁，但還是無法控制威脅的蔓延。這類安全響應機制對用戶的知識水平和安全意識提出了很高的要求，在

16、很多用戶根本沒有主動維護系統(tǒng)安全的習慣或完全不了解安全理論的情況下，期望其主動參與殺毒軟件升級之類的終端維護工作是不現(xiàn)實的。這樣自然造成了網絡系統(tǒng)整體安全態(tài)勢的不平衡發(fā)展：某些擁有高水平網絡管理人員/用戶的部門能夠時刻保持最新的安全信息和更新，迅速正確地應對威脅；而某些部門則因為無人懂安全管理而造成安全狀態(tài)的發(fā)展停滯，成為整個網絡系統(tǒng)的“短板”。長此以往，局部位置積累了大量漏洞或重大安全隱患，容易導致失泄密事故的發(fā)生。 第23頁，共70頁。此外，很多內部員工因為個人愛好、長期工作習慣、貪圖方便甚至惡意報復等原因，無視管理制度的規(guī)定，在存儲和處理敏感信息的終端/服務器內安裝盜版應用軟件、游戲、即

17、時通信軟件、P2P軟件，或干脆惡意破壞安全控制軟件，私自接入私人的移動存儲設備甚至無線上網設備，在影響內部網絡正常運行效率的同時，形成了完全失控的“隱蔽通道”，為外來攻擊/竊密者提供了捷徑。 第24頁，共70頁。目前無中心的P2P直接通信模式因其大幅度提高的網絡通信能力、靈活性、高可用性等帶來的用戶感受，已經受到越來越多用戶的青睞。但與此同時，其大范圍分布時所呈現(xiàn)的匿名性和不可控性特點，降低了內部通信的可信度，給網絡管理帶來了巨大的挑戰(zhàn)。對于某些物理危險性較高、網絡層次的攻擊較為困難的應用場合，如戰(zhàn)場通信網絡系統(tǒng)、受災地區(qū)臨時架設的機動通信網絡系統(tǒng)等，P2P模式可有效克服CS模式所存在的“對關

18、鍵結點的高依賴性”及“中心節(jié)點網絡擁塞”兩大缺陷，保證網絡的高可用性。但在物理危險性低、網絡攻擊頻繁的場合，廣泛存儲于不可信、不可控節(jié)點的敏感信息將成為黑客竊密的重點目標。因此，對于數(shù)據(jù)安全性極其敏感的企業(yè)、政府、軍隊網絡系統(tǒng)而言，經過性能優(yōu)化的統(tǒng)一安全管理模式所帶來的安全方面的收益，要遠高于類似于P2P的大規(guī)模端到端通信和自我控制模式所帶來的性能收益。 第25頁，共70頁。12.2.2 統(tǒng)一安全管理的內容和作用基于設備的單個管理或基于多個設備的區(qū)域管理需要為設備或小型獨立區(qū)域進行逐個管理及配置，這項工作非常費時、費力，還容易出錯?；诓呗缘慕y(tǒng)一安全管理方法可通過集中的策略管理器集中管理，產生

19、所有必要的管理策略和指令，對所有設備進行配置，而與數(shù)量或位置無關。這種管理可以合理配置有限資源，減少錯誤，確保網絡一致性，減少時間和成本。 第26頁，共70頁。統(tǒng)一安全管理模式的核心在于“集中治理”，即把對所有潛在隱患、弱點、數(shù)據(jù)和網絡資產等的監(jiān)視和控制功能，集中到一個標準的公共平臺上來，使安全管理部門可以集中使用有限的專家和技術人員，對全網范圍的安全態(tài)勢的實時動態(tài)掌握，避免“兩不管地區(qū)”、“專家疲于奔命”等現(xiàn)象的出現(xiàn)。在實現(xiàn)上，它將各種網絡管理設備、平臺、安全防護設備等，整合到一個統(tǒng)一的管理平臺上，利用類似SOA(面向服務的體系架構)的“企業(yè)數(shù)據(jù)總線”形式，通過標準化的接口和內部消息方式進行

20、相互通信，執(zhí)行統(tǒng)一的控制、管理、監(jiān)測、分析、協(xié)調和部署。 第27頁，共70頁。統(tǒng)一安全管理主要包括兩方面內容：(1) 不同安全應用/產品的統(tǒng)一；(2) 安全產品與網絡設備的統(tǒng)一。安全技術的統(tǒng)一目前主要側重于安全接入、補丁管理、認證授權、訪問控制、防火墻、防病毒、主機安全代理和IDS/IPS等技術的整合。安全技術的整合并不是不同產品的簡單堆砌，通過創(chuàng)新安全理論，整合各種安全解決方案，整合網絡安全資源，構建綜合的動態(tài)網絡，并融入安全專家的管理經驗，使安全防護的效果最大化。 第28頁，共70頁。在統(tǒng)一的安全管理模式下，管理部門將可以高效地完成以下的標準安全事故/威脅處理步驟：(1) 預防準備。提前對

21、設備、資源、工具等進行標識、分析、評估，制定安全計劃。(2) 威脅識別。通過智能/人工分析監(jiān)視數(shù)據(jù)，根據(jù)安全策略，迅速識別發(fā)生的事故/威脅。(3) 威脅控制。通過臨時、短期或長期的安全措施，對事故/威脅進行處理。在統(tǒng)一的管理平臺輔助決策和控制下，改變交換機、線路狀態(tài)；更改防火墻、主機安全策略等。 第29頁，共70頁。(4) 消除影響。在已采集到足夠法律證據(jù)的前提下，如果無法完全恢復到事故前狀態(tài)，可通過鏡像恢復、重建系統(tǒng)、關鍵數(shù)據(jù)恢復等手段，將出現(xiàn)事故的系統(tǒng)盡量恢復到可正常工作狀態(tài)。(5) 恢復工作。將替代系統(tǒng)或恢復后的受損系統(tǒng)重新投入運行，并加強對其安全監(jiān)控等級。(6) 事故總結。對整個事故處

22、理的全過程進行回顧和總結，對過去的安全策略、控制手段、安全流程等進行檢討，進一步提出有效的網絡加固和事故預防措施。 第30頁，共70頁。12.2.3 統(tǒng)一安全管理體系的基本體系架構過去，我們通常認為采集到足夠的日志信息就可以應付任何威脅，喜歡把所有設備的日志功能都打開。結果，在日常的管理工作中，有限的技術人員必須處理來自各種設備、主機、應用等產生的海量日志信息，工作量極大。而且，這些信息缺乏統(tǒng)一標準，數(shù)據(jù)格式不同，有的容易閱讀和理解，而有的內容加密根本無法人工閱讀。此外，不同類型的日志信息，例如路由器、交換機、防火墻、IDS/IPS和服務器等收集到的日志信息通常由彼此獨立的多個監(jiān)視系統(tǒng)分別進行

23、管理，使用單獨的控制臺完成信息收集和報告功能，缺乏跨設備的信息關聯(lián)能力。因此，管理人員需要手動監(jiān)控這些設備，從數(shù)以吉計的數(shù)據(jù)中尋找潛在的安全事件。 第31頁，共70頁。為從容應對日益增加的安全威脅，解決大量安全設備共存條件下專職安全管理或安全審計人員不足的問題，我們提出“統(tǒng)一安全管理平臺”的概念。統(tǒng)一安全管理平臺中著重強調強大的多設備安全信息融合、關聯(lián)、分析和輔助決策能力，它包括以下功能：(1) 事件日志信息采集和關聯(lián)：從不同的安全組件(例如路由器、交換機、防火墻、IDS/IPS和服務器等)接收、采集并關聯(lián)安全日志和NetFlow等類型的信息，也可根據(jù)用戶定義的模板來分析來自非支持設備的事件信

24、息。(2) 報告。通過直觀的用戶界面接收用戶指令并迅速反饋重要的相關信息。(3) 告警。當發(fā)現(xiàn)異常事件或系統(tǒng)入侵時，通過電子郵件、日志消息、SNMP陷阱信息甚至短信等形式，實時向用戶發(fā)送告警信息。第32頁，共70頁。(4) 會話識別。從不同主機、安全組件、網絡設備中采集相關事件，從中識別出與某個特定通信流量(會話)有關的所有事件，對這些事件進行綜合后，為用戶提供概要描述。(5) 拓撲感知。能夠了解安全組件、網絡設備等在網絡中的相關位置，以便評估安全事件，分析攻擊行為是否成功。(6) 威脅反應。針對網絡中的異常和惡意流量進行迅速反應，基于拓撲感知信息，為管理人員提供正確的防御輔助決策，降低安全專

25、家工作壓力。 第33頁，共70頁。如圖12-2所示，統(tǒng)一安全管理平臺包括兩個核心組成部分：統(tǒng)一安全組件管理平臺和統(tǒng)一網絡監(jiān)聽管理平臺。(1) 統(tǒng)一安全組件管理平臺。統(tǒng)一安全組件管理平臺提供對于安全組件，包括獨立監(jiān)視與分析設備、安全集成路由器(交換機)、防火墻、VPN管理器、IPS和網絡基礎設施等的中心化的統(tǒng)一策略管理功能。通過相互的“按需訂閱”模式的安全信息獲取過程，統(tǒng)一安全組件管理平臺可以與統(tǒng)一網絡監(jiān)聽管理平臺進行互聯(lián)互通，通過對安全策略、法規(guī)和網絡訪問情況的監(jiān)視數(shù)據(jù)進行分析，識別安全威脅/事故。 第34頁，共70頁。圖12-2 統(tǒng)一安全管理平臺實例圖 第35頁，共70頁。統(tǒng)一安全組件管理平

26、臺能解決日志收集問題，它自動從與之集成的設備中采集事件數(shù)據(jù)，存儲到數(shù)據(jù)倉庫中，智能遍歷和分析數(shù)據(jù)以找出特定的用戶行為、訪問時間、用戶位置等信息，并可通過三種視圖進行統(tǒng)一安全組件管理： 設備視圖：對網絡中不同的安全組件進行分別的配置和管理； 策略視圖：通過預定義的安全策略對分組的安全組件進行管理； 區(qū)域視圖：通過將各安全組件劃分到不同的邏輯區(qū)域中，可以分別管理、執(zhí)行不同的安全設置和策略。第36頁，共70頁。統(tǒng)一安全組件管理平臺可為網絡中部署的安全組件提供統(tǒng)一的策略發(fā)布和管理能力，并支持對設備功能、運行狀態(tài)的管理和配置。一般具有以下功能： 以標準化的統(tǒng)一安全管理界面，支持對防火墻、各類VPN、IP

27、S、UTM、交換機和路由器等多種對象的自動發(fā)現(xiàn)、配置清單報告(設備狀態(tài)、嵌入系統(tǒng)版本、平臺、策略版本)、原始事件采集、會話識別、事故檢查、安全策略管理、管理連通性測試； 基于網絡拓撲圖的網絡可視化； 支持對大量遠程站點的擴展； 支持分布式部署以增強擴展性；第37頁，共70頁。 監(jiān)督并強制執(zhí)行機構安全規(guī)則和最佳實踐； 先進的規(guī)則分析和優(yōu)化能力； 協(xié)調網絡中的規(guī)則制定、配置、監(jiān)視、防御和身份認證等功能； 可與網絡監(jiān)聽與分析系統(tǒng)互聯(lián)互通； 通過圖表、查詢、報告、通知等形式，向用戶交付一致的信息； 從IPS設備提交的攻擊報告中獲取分布威脅特征簽名集，并作為知識庫存儲這些特征簽名，為其他安全組件提供下載

28、； 與其他獨立的安全組件管理平臺集成； 詳細的用戶行為報告功能； 對網絡訪問和安全策略遵從情況的自動審計和分析。 第38頁，共70頁。(2) 統(tǒng)一網絡監(jiān)聽管理平臺。如圖12-3所示，統(tǒng)一網絡監(jiān)聽管理平臺主要用于對各型號網絡監(jiān)視探針、防御代理和網絡協(xié)議分析系統(tǒng)的中心化管控。 圖12-3 統(tǒng)一安全管理平臺邏輯圖 第39頁，共70頁。統(tǒng)一網絡監(jiān)聽管理平臺以單一用戶界面形式，對兩個以上的、分布于不同站點/區(qū)域的網絡監(jiān)聽與分析系統(tǒng)進行中心化的管理，支持添加新設備、規(guī)則檢查、報告和查詢等功能。在不增加各獨立網絡監(jiān)聽與分析系統(tǒng)負載的情況下，將安全監(jiān)視和分析能力擴展到新增加的網絡區(qū)域中。此外，統(tǒng)一網絡監(jiān)聽管理

29、平臺還支持跨所有分布式網絡監(jiān)聽與分析系統(tǒng)的全局認證、統(tǒng)一報告生成、統(tǒng)一規(guī)則生成和部署、全局網絡視圖等功能。 第40頁，共70頁。統(tǒng)一網絡監(jiān)聽管理平臺具有中心化的用戶數(shù)據(jù)庫，能對來自大型網絡中的信息進行關聯(lián)和合并，將用戶定義的規(guī)則、分析模板和報告自動推送到分布在各處的單個網絡監(jiān)聽與分析系統(tǒng)，簡化管理和更新過程。此外，它還支持基于事故類型的告警定制，可針對不同威脅等級的安全事故對管理部門發(fā)出不同類型的告警，通常包括電子郵件、系統(tǒng)日志、SNMP陷阱消息、短信息、帶詳細事故描述附件的電子郵件等。 第41頁，共70頁。借助統(tǒng)一網絡監(jiān)聽管理平臺，網絡監(jiān)聽與分析系統(tǒng)可以“分布部署、中心控制”，分布式的單個網

30、絡監(jiān)聽與分析系統(tǒng)接收海量區(qū)域內的安全信息，包括各種會話、事件等，對其進行基于會話的事件比較和關聯(lián)，并通過規(guī)則引擎進行處理，從會話中識別出預定義的事故，而后將生成的事故信息以小數(shù)據(jù)量報告的形式發(fā)送給統(tǒng)一網絡監(jiān)聽管理平臺，借助該統(tǒng)一網絡監(jiān)聽平臺所提供的標準化數(shù)據(jù)訪問接口、用戶界面和報告文檔，統(tǒng)一安全管理平臺和網絡管理人員能獲得其所需的各種信息。這種方式將來自整個大型網絡中眾多設備產生的海量信息分析處理負載平衡分布到更多的網絡監(jiān)聽與分析系統(tǒng)中，提高整體存儲、分析和處理能力，支持未來網絡規(guī)模擴展。第42頁，共70頁。此外，這種模式也有利于未來支持更多的分布式網絡監(jiān)聽與分析系統(tǒng)，支持跨WAN的大型網絡。

31、當整個機構/企業(yè)網絡由多個彼此通過WAN鏈路連接的遠程區(qū)域網絡組成時，能夠將大數(shù)據(jù)量的事件信息在區(qū)域內處理完畢并通過小數(shù)據(jù)總結報告的形式提交至全局控制器，能大幅度降低遠程WAN傳輸流量，提高處理性能，減少帶寬占用。更特別的是，這種模式能夠支持對不同業(yè)務單元的監(jiān)控，能夠滿足某些特別的安全需求或法規(guī)遵從需要，對不同業(yè)務單元產生的安全事件進行隔離和分別處理。 第43頁，共70頁。綜上所述，在針對大型企業(yè)/機構進行內網安全防御與防泄密體系的設計中，我們采用了這種基于統(tǒng)一安全管理平臺的多型號安全系統(tǒng)“分布部署、中心控制”模式。當然，“統(tǒng)一安全管理平臺”并不意味著它只有單臺設備，為避免單點失效情況的發(fā)生并

32、提高處理性能，在后面的內容中我們會介紹采用基于大規(guī)模計算和存儲網絡的“統(tǒng)一安全管理云”模式，此模式能夠提供最佳的可靠性和效能。 第44頁，共70頁。12.3 實現(xiàn)對內部數(shù)據(jù)的全程監(jiān)管 12.3.1 內部數(shù)據(jù)全程監(jiān)管的需求前面我們已經著重指出：人員和管理方面出現(xiàn)的問題已經成為內網中新出現(xiàn)的，而且是最大、最不可預料、最難以防守的漏洞。黑客可以利用很多技巧，如間諜技巧、社會工程學等，實現(xiàn)對具備頂尖防御系統(tǒng)和安全專家的重點機構內網的滲透。 第45頁，共70頁。國外安全研究報告顯示，雖然大部分泄密事故都是外部攻擊者所為，但是外部攻擊之所以能夠屢屢奏效，跟企業(yè)內部員工長期忽視安全問題也有很大的關系。大部分

33、安全泄密事故都是因為企業(yè)將安全大門敞開，讓攻擊者輕松攻入造成的。報告明顯指出，這些泄密事故與安全保護措施的技術含量關系不大。對企業(yè)數(shù)據(jù)缺乏認識以及不知道那些數(shù)據(jù)儲存在什么地方，這是數(shù)據(jù)泄露事故中的另一個很常見的問題。實際上，90%的泄密事故都可以歸入下列原因中的一個：(1) 企業(yè)不知道自己運行的是什么系統(tǒng)；(2) 敏感信息儲存在企業(yè)不知道的某個特別系統(tǒng)中；(3) 帶有未知連接的系統(tǒng)或者帶有未知賬戶或用戶特權的系統(tǒng)。 第46頁，共70頁。與所有數(shù)據(jù)一樣，敏感信息具有一個復雜的生命周期，在執(zhí)行其業(yè)務功能時它通常會到處移動。我們必須在敏感信息的整個使用周期中對其進行準確監(jiān)控、定位、合理分類和控制數(shù)據(jù)

34、。具體來說，就是要做到以下幾點：(1) 確認一旦離開機構/公司后會帶來嚴重問題的數(shù)據(jù)，比如包括社會保障號碼、客戶信用卡號碼、銷售記錄和知識產權等；(2) 明確敏感信息保存位置；(3) 一旦明確敏感信息位置，就要制訂相應策略，以明確如何創(chuàng)建、保存、訪問、共享及保護數(shù)據(jù)；(4) 監(jiān)控數(shù)據(jù)流出情況，執(zhí)行針對電子郵件、網絡郵件、即時通信及其他通信方法的數(shù)據(jù)保護策略；(5) 針對保存在終端及可移動存儲介質上的數(shù)據(jù)實施進一步的保護。 第47頁，共70頁。12.3.2 數(shù)據(jù)定位和分級“數(shù)據(jù)在哪里”這樣的問題可以通過周期性的檢查全網存儲和處理數(shù)據(jù)信息的各種位置，包括存儲介質、桌面計算機和數(shù)據(jù)中心等來回答。有兩

35、種識別內部存儲位置的方法：(1) 人工詢問數(shù)據(jù)庫管理員、系統(tǒng)管理員和網絡管理員，獲得數(shù)據(jù)存儲登記材料；(2) 自動數(shù)據(jù)發(fā)現(xiàn)技術。使用工具掃描網絡數(shù)據(jù)庫、文件共享或桌面計算機，尋找用戶指定的詳細的數(shù)據(jù)元素。建立的網絡地圖，表示數(shù)據(jù)元素的各個位置。全面數(shù)據(jù)定位是實施全程監(jiān)管的前提，必須保證所有存儲數(shù)據(jù)的設備都得到了詳細而正確的識別、定位。 第48頁，共70頁。數(shù)據(jù)分級是“確定敏感信息知悉范圍”的手段。數(shù)據(jù)分級是把數(shù)據(jù)分為從低價值到高價值的各種類型的過程。分級數(shù)據(jù)是一項耗費時間的過程，需要許多步驟并且具有商業(yè)和法律的意義。這項工作首先必須確定分級標準，然后為分級后的數(shù)據(jù)制定控制策略，策略將規(guī)定數(shù)據(jù)的

36、保留時間、保密方法、如何銷毀和通過什么手段銷毀等。 第49頁，共70頁。大多數(shù)企業(yè)經常有一些暫時不能利用的數(shù)據(jù)，為了控制信息的數(shù)量，企業(yè)將逐漸把資源分級保存，區(qū)分哪些信息是需要保護的，哪些僅僅是公司的負擔。與數(shù)據(jù)保護有關的是數(shù)據(jù)使用。數(shù)據(jù)分級方面定義數(shù)據(jù)是否用于內部有選擇的使用，廣泛的內部使用，還是能夠公開。分級必須能夠為企業(yè)和機構找出影響較大的“敏感信息”，以便在之后制定控制策略，決定“誰應該看到”、“誰不應該看到”。每個企業(yè)的敏感信息都是不同的，在分級的過程中，企業(yè)也對自身存儲的信息加深了認識，知道最隱密的數(shù)據(jù)在哪里、什么信息正在泄露到企業(yè)外部、泄露到誰的手中。應該對一切可能有風險的東西都

37、進行分級管理。一旦能控制它在合適的位置，數(shù)據(jù)損失的可能性就會呈指數(shù)降低。 第50頁，共70頁。分級數(shù)據(jù)時可以使用如下的標準：(1) 根據(jù)商務流程分級。這種分級標準便于針對特定的重要任務，把對數(shù)據(jù)的訪問限制在參加某個商務流程的人員。(2) 根據(jù)部門和機構分級。這種分級標準便于針對不同部門工作中對信息的需求，把信息訪問權限限制在某個部門或其中的一個組。(3) 按軍事模式分級。這種分級標準針對不同信息對機構運行和未來發(fā)展的影響力，將信息定義為“公開、敏感信息、機密、絕密和最高機密”。如果存在海量的數(shù)據(jù)，而且希望更詳細的控制訪問粒度，還可進一步針對隱私數(shù)據(jù)等增加分級級別。第51頁，共70頁。12.3.

38、3 數(shù)據(jù)控制在成功地實現(xiàn)分級后，可以對不同類型的數(shù)據(jù)按照機密性、完整性和可用性三個評價標準進行定義，確定數(shù)據(jù)類型和其防護需求之間的關系，如表12-1所示。 第52頁，共70頁。完成對數(shù)據(jù)的分級和防護需求分析后，應該由具有相應權限的機關和授權部門，根據(jù)規(guī)定，確定對敏感信息知悉的具體界線。權限機構和授權部門必須具有絕對的權威性，充分了解信息的重要性和對機構、企業(yè)的影響。敏感信息的級別和控制范圍既可由專門的授權官員負責決定，也可以根據(jù)具體情況接受上級機關的直接確定。一旦企業(yè)識別出確實需要保護的數(shù)據(jù)，這些信息便會作為企業(yè)內部數(shù)據(jù)全程監(jiān)管的基礎。企業(yè)便因此能夠設計出流程來監(jiān)控數(shù)據(jù)丟失事件，并評估該流程是

39、否能夠始終確保降低風險。在發(fā)生泄漏時，明確責任分工十分關鍵。一旦發(fā)生災難，正確的人員遵循正確的流程便能降低風險。 第53頁，共70頁。之后必須創(chuàng)建數(shù)據(jù)安全中心，運行按信息敏感度分級的系統(tǒng)，確定哪些數(shù)據(jù)是潛在的黑客最想獲得的，針對不同的威脅級別施加不同的保護策略，對訪問敏感信息的行為進行有效控制。比如確定在分級的過程中是否要對數(shù)據(jù)加密以及加密的強度。最后，確定數(shù)據(jù)要保留的時間長度。數(shù)據(jù)保存政策是以一個公司所處的行業(yè)和與其相關的規(guī)定和法律要求為基礎的，確定何時銷毀這個數(shù)據(jù)以及用來處理數(shù)據(jù)的銷毀方式。一些公司采用一種默認的政策，銷毀全部紙質的和包括硬盤在內的電子媒介的數(shù)據(jù)。這個政策是以相關的成本、數(shù)

40、據(jù)敏感度、銷毀廠商的可用性和商業(yè)風險設置為基礎的。 第54頁，共70頁。12.3.4 集中數(shù)據(jù)交換和審計桌面計算機I/O控制是企業(yè)內部信息系統(tǒng)安全保密工作技術防范的關鍵，桌面計算機I/O控制不嚴會大大增加安全保密的風險，導致企業(yè)內部信息系統(tǒng)安全保密技術防范措施千瘡百孔，因此企業(yè)必須切實控制好桌面計算機的I/O。對于重要的核心內網與外界的數(shù)據(jù)交換，我們建議采用集中統(tǒng)一的I/O方案：(1) 按建筑物或部門設置統(tǒng)一集中的I/O機房，并配置專人負責管理；(2) 規(guī)定所有的打印輸出必須到指定的I/O機房進行； 第55頁，共70頁。(3) 每臺桌面計算機都安裝網絡版的主機監(jiān)控審計軟件客戶端，并在主機監(jiān)控審

41、計軟件服務器配置主機監(jiān)控和審計策略；(4) 禁止使用各類I/O端口，例如禁止使用USB端口的移動存儲介質、調制解調器、各類光驅、紅外端口、SCSI端口和打印端口等；(5) 只允許I/O機房的計算機使用I/O端口。 第56頁，共70頁。國內的主機監(jiān)控審計軟件容易被突破，因此也可以聯(lián)合采用物理措施封堵計算機的I/O端口，例如更換專門的安全保密機箱并將機箱上鎖，或用粘膠、封條等方式封堵計算機的輸入/輸出端口。同時為了防止病毒的入侵，避免用戶隨意安裝軟件和操作系統(tǒng)，確保整個內部信息系統(tǒng)的安全，甚至可以拆除計算機的只讀光驅。為便于事故責任追究和對未來系統(tǒng)安全性進行改進等需求，我們對于核心內網的各種數(shù)據(jù)交

42、換或I/O操作等都必須采用嚴格的審計措施以進行有效監(jiān)控和事件追蹤、回放。審計措施包括典型網絡應用協(xié)議審計、文件共享審計、自定義協(xié)議審計、數(shù)據(jù)庫操作審計、流量審計、主機服務審計等。 第57頁，共70頁。我們在對計算機終端訪問網絡、應用使用、系統(tǒng)配置、文件操作以及外設使用等提供集中監(jiān)控和審計功能的同時，要重點針對敏感信息流動進行監(jiān)控和審計，能夠在內網發(fā)生安全事件后，提供有效的證據(jù)，實現(xiàn)事后審計的目標。典型的審計需求一般有以下幾項：(1) 通信協(xié)議的審計監(jiān)控：對Telnet、HTTP、FTP、SMTP、POP3等應用進行還原分析；(2) 審計監(jiān)控策略定制：對特定的協(xié)議端口和目標對象進行審計監(jiān)控；(3

43、) 流量審計監(jiān)控：對被監(jiān)控的數(shù)據(jù)流進行流量分析統(tǒng)計，并以報表，圖形等方式提供給管理員； 第58頁，共70頁。(4) 關鍵字過濾能力：對傳輸?shù)闹饕獌热?，如郵件及其附件(壓縮文檔、Word文檔、Text文檔、WWW頁面文檔等)進行有效的匹配過濾，定義安全級別；(5) 網絡共享審計：針對Windows的網絡共享協(xié)議進行審計，提供主機間的共享行為和操作信息；(6) 審計查詢：以多種形式提供查詢方法；(7) 關鍵字定義：可按安全級別由用戶自己定義關鍵字庫；(8) 多級管理：安全審計監(jiān)控系統(tǒng)使用了嚴格的用戶身份認證與控制機制，根據(jù)用戶的權限賦予該用戶對系統(tǒng)功能的使用權限。 第59頁，共70頁。12.3.5

44、 加強對移動辦公和出差人員的數(shù)據(jù)安全保護一旦敏感數(shù)據(jù)離開了核心內網，那么它就存在失控的危險。便攜式電腦的丟失難以避免且容易發(fā)生，因此必須做好便攜式電腦的數(shù)據(jù)安全保護工作，以減少因丟失而帶來的風險。便攜式電腦的數(shù)據(jù)安全保護措施主要包括：安裝強身份認證系統(tǒng)，例如指紋或USBKey等，以確保盜竊者無法打開計算機；采用加密軟件加密敏感數(shù)據(jù)文件，使盜竊者無法打開；規(guī)定便攜式電腦中不能存儲敏感數(shù)據(jù)文件，敏感數(shù)據(jù)文件存儲在移動存儲介質上，存儲介質和便攜式電腦分開存放。 第60頁，共70頁。目前國內主要采取第三條技術防范措施，要求便攜式電腦中不得存儲敏感數(shù)據(jù)文件，這種措施實施起來有一定的難度，需要定期檢查便攜

45、式電腦中是否存有敏感數(shù)據(jù)文件或曾經存儲過敏感數(shù)據(jù)文件。一旦發(fā)現(xiàn)就需要用永久性刪除軟件徹底刪除敏感數(shù)據(jù)文件以及記錄，特別是用戶已經刪除了敏感數(shù)據(jù)文件但留有記錄，需要對整個硬盤徹底清除。這里建議還要聯(lián)合采用第一條和第二條技術措施。一方面可以通過多因素認證實現(xiàn)便攜式電腦的強身份認證，另一方面如果確實需要將敏感數(shù)據(jù)文件存放在便攜式電腦中，那就要求將其加密，使用完后應及時刪除。第61頁，共70頁。移動存儲介質和便攜式電腦一樣，丟失難以避免，因此，企業(yè)也必須實施好移動存儲介質的技術防范措施。移動存儲介質的技術防范措施主要是加密，使盜竊者無法打開移動存儲介質中的敏感數(shù)據(jù)文件。針對核心內網的數(shù)據(jù)交換需求，必須

46、強制要求在使用前進行存儲介質的認證，沒有通過認證的移動存儲介質在核心內網中不能讀寫，只有通過認證的移動存儲介質才能進行正常讀寫，而且自動實現(xiàn)移動存儲介質中文件的加密。攜帶認證的存儲介質出差時，必須輸入正確的密碼才能夠打開加密的文件，因此能保證移動存儲介質中敏感數(shù)據(jù)文件的安全。 第62頁，共70頁。12.4 實現(xiàn)對內部用戶行為的有效約束 12.4.1 人員管理面臨的挑戰(zhàn)對于企業(yè)/機構來說，不同的人其潛在的安全威脅是不同的，因此IT安全管理人員應當衡量每個可能接觸信息的人員所帶來的安全風險：(1) 決策者。很多決策者對信息系統(tǒng)的價值認識僅僅是一臺服務器或者是信息系統(tǒng)的建設成本，為了這個服務器而增加

47、超出其成本的安全防護措施認為得不償失。而實際信息系統(tǒng)遭受攻擊之后，帶來的間接損失往往不能用一個服務器或者信息系統(tǒng)建設成本來衡量，很多信息資產在遭受攻擊之后造成無形價值的流失。 第63頁，共70頁。(2) 內部用戶。這是因為得到公司的信任，擁有訪問權，而且了解內情。個別內部用戶會另有私心，但極可能發(fā)生的一幕是：毫不知情的員工受騙上當后，透露了公司機密，或者導致泄密事件發(fā)生，而其本意是想起到幫助作用。企業(yè)中每天都有大量數(shù)據(jù)傳送，數(shù)據(jù)泄露可能在員工實施動機良好但實際危險的行為時發(fā)生，例如向個人電子郵箱發(fā)送工作文檔，或者打開個人計算機發(fā)來的郵件。 (3) 流動人員。內部崗位的流動性對數(shù)據(jù)流失有著重大影響。臨時工人和承包人需要接觸敏感信息和系統(tǒng)。曾經無意中進入過實際不應該訪問的網絡，還有在內部調崗之后仍然可以用原來的賬戶登錄。 第64頁，共70頁。(4) 外部人員。公司應當注意合約人、廠商、