(完整版)安全需求

1、安全需求分析泄密事件是由一系列事件構(gòu)成的，包括內(nèi)網(wǎng)非法外聯(lián)、木馬通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)、木馬感染主機(jī)、泄密、發(fā)現(xiàn)泄密事件等階段。要防止泄密事件的發(fā)生，就要阻斷木馬傳播、主動(dòng)預(yù)防、檢測(cè)和清除木馬，形成一個(gè)縱深的防御體系。1、對(duì)邊界防護(hù)的需求木馬都是由外部網(wǎng)絡(luò)傳入內(nèi)部網(wǎng)絡(luò)的，必須在邊界處進(jìn)行有效的控制，防止惡意行為的發(fā)生，實(shí)現(xiàn)拒敵于國(guó)門之外。針對(duì)邊界防護(hù)，需要考慮加強(qiáng)防護(hù)的方面有：1）內(nèi)網(wǎng)和外網(wǎng)間的邊界防護(hù)在條件允許的情況下，實(shí)現(xiàn)保密內(nèi)網(wǎng)與外網(wǎng)的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內(nèi)網(wǎng)、外網(wǎng)有交換數(shù)據(jù)的需求，也必須部署安全隔離和信息交換系統(tǒng)，從而實(shí)現(xiàn)單向信息交換，即只允許外

2、網(wǎng)數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，禁止內(nèi)網(wǎng)信息流出到外網(wǎng)。2）對(duì)核心內(nèi)部服務(wù)器的邊界防護(hù)內(nèi)網(wǎng)中常包括核心服務(wù)器群、內(nèi)網(wǎng)終端兩大部分，核心服務(wù)器保存著大部分保密信息。為避免內(nèi)網(wǎng)終端非法外聯(lián)、竊密者非法獲取核心服務(wù)器上的保密數(shù)據(jù)，就要實(shí)現(xiàn)核心服務(wù)器與內(nèi)網(wǎng)終端間的邊界防護(hù)。感染木馬時(shí)，核心服務(wù)器的邊界安全網(wǎng)關(guān)能夠阻止終端的越權(quán)訪問，并檢查是否含有木馬，然后進(jìn)行清除。但在實(shí)現(xiàn)網(wǎng)關(guān)的封堵、查殺木馬的同時(shí)，要防止對(duì)系統(tǒng)帶寬資源的嚴(yán)重?fù)p耗。3）防止不安全的在線非法外聯(lián)內(nèi)網(wǎng)與外網(wǎng)的連接點(diǎn)必須做到可管、可控，必須有效監(jiān)控內(nèi)網(wǎng)是否存在違規(guī)撥號(hào)行為、無線上網(wǎng)行為、搭線上網(wǎng)行為，避免內(nèi)用戶采取私自撥號(hào)等方式的訪問互聯(lián)網(wǎng)而造成的安全風(fēng)

3、險(xiǎn)。4）防止離線非法外聯(lián)或不安全的接入行為要限制終端設(shè)備，如PC機(jī)、筆記本，直接接入并訪問內(nèi)網(wǎng)區(qū)域，對(duì)于不符合安全條件的設(shè)備（比如沒有安裝防病毒軟件，操作系統(tǒng)沒有及時(shí)升級(jí)補(bǔ)丁，沒有獲得合法分配的IP地址或離線外聯(lián)過），則必須禁止進(jìn)入。2、對(duì)主機(jī)安全的需求內(nèi)網(wǎng)終端非法外聯(lián)后木馬入侵的目的都是最終的主機(jī)。主機(jī)的防護(hù)必須全面、及時(shí)。1）木馬病毒的查殺和檢測(cè)能力的需求由于內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量很多，要確保網(wǎng)絡(luò)中所有計(jì)算機(jī)都安裝防木馬軟件，并實(shí)施實(shí)施統(tǒng)一的防木馬策略。防木馬軟件至少應(yīng)能掃描內(nèi)存、驅(qū)動(dòng)器、目錄、文件和LotusNotes數(shù)據(jù)庫(kù)和郵件系統(tǒng);具備良好的檢測(cè)和清除能力;支持網(wǎng)絡(luò)遠(yuǎn)程自動(dòng)安裝功能和

4、自動(dòng)升級(jí)功能。2）系統(tǒng)自身安全防護(hù)的需求木馬在主機(jī)中的隱藏、執(zhí)行和攻擊最后都是體現(xiàn)在操作系統(tǒng)層面。要確保操作系統(tǒng)及時(shí)升級(jí)，防止漏洞被木馬和病毒利用。在及時(shí)升級(jí)操作系統(tǒng)的基礎(chǔ)上，要實(shí)時(shí)對(duì)計(jì)算機(jī)進(jìn)程訪問端口的進(jìn)行監(jiān)控，以及時(shí)發(fā)現(xiàn)異常與木馬;同時(shí)要有注冊(cè)表防護(hù)手段，保障木馬不能修改系統(tǒng)信息，從而使木馬不能隱藏與自動(dòng)運(yùn)行。3）移動(dòng)存儲(chǔ)介質(zhì)控制的需求木馬傳播重要一個(gè)渠道是移動(dòng)存儲(chǔ)介質(zhì)。主機(jī)系統(tǒng)要在移動(dòng)介質(zhì)接入系統(tǒng)時(shí)立即截獲該事件，然后根據(jù)策略或者拒絕接入，或者立即對(duì)移動(dòng)介質(zhì)進(jìn)行掃描，以阻斷移動(dòng)介質(zhì)病毒的自動(dòng)運(yùn)行與傳播。4）安全審計(jì)的需求系統(tǒng)的日志記錄了系統(tǒng)的工作情況，也反應(yīng)了工作人員的操作行為。審計(jì)關(guān)鍵

5、主機(jī)的訪問行為，可判斷內(nèi)部人員是否有違規(guī)的行為;同時(shí)，還可以實(shí)時(shí)發(fā)現(xiàn)木馬的行蹤，并找出深層次的安全威脅。3、對(duì)安全管理的需求為防止泄密事件的發(fā)生，除了加強(qiáng)安全技術(shù)的管控外，也要加強(qiáng)安全管理。首先，要引入第三方安全服務(wù)，定期查看關(guān)鍵計(jì)算機(jī)設(shè)備的狀態(tài)，以發(fā)現(xiàn)與解決計(jì)算機(jī)中的木馬;其次，要建立應(yīng)急響應(yīng)機(jī)制，使得在泄密事件發(fā)生后，能及時(shí)定位與隔離涉及的主機(jī)，使安全事件能夠追查到責(zé)任人。對(duì)應(yīng)措施設(shè)計(jì)如何滿足這些安全需求?下面是對(duì)應(yīng)的措施。1、邊界防護(hù)的措施1）防火墻技術(shù)防火墻是實(shí)現(xiàn)內(nèi)網(wǎng)終端與內(nèi)網(wǎng)核心服務(wù)器隔離的基本手段。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域間的唯一連接處，根據(jù)組織的業(yè)務(wù)特點(diǎn)、管理制度所制定

6、的安全策略，運(yùn)用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP+MAC地址綁定等技術(shù)，實(shí)現(xiàn)對(duì)出入核心服務(wù)器網(wǎng)絡(luò)的信息流進(jìn)行全面的控制（允許通過、拒絕通過、過程監(jiān)測(cè)），控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個(gè)方面，從而實(shí)現(xiàn)對(duì)不良網(wǎng)站的封堵。但是，傳統(tǒng)單一的防火墻無法有效對(duì)抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等因此，有必要在這些邊界采取防護(hù)能力更強(qiáng)的技術(shù)。2）防病毒網(wǎng)關(guān)技術(shù)隨著網(wǎng)絡(luò)的飛速發(fā)展，單機(jī)版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對(duì)木馬、蠕蟲、郵件性病毒進(jìn)行全網(wǎng)整體的防護(hù)，已經(jīng)不能滿足復(fù)雜應(yīng)用環(huán)境，所以構(gòu)建整體病毒防護(hù)體系已成為必然。完整的防毒

7、體系包括：網(wǎng)關(guān)級(jí)防病毒部署在網(wǎng)絡(luò)入口處，對(duì)木馬、病毒、蠕蟲和垃圾郵件進(jìn)行有效過濾;服務(wù)器防病毒服務(wù)器為資源共享和信息交換提供了便利條件，但同時(shí)也給病毒的傳播和擴(kuò)散以可乘之機(jī);桌面級(jí)防病毒在客戶端安裝，將病毒在本地清除而不至于擴(kuò)散到其他主機(jī)或服務(wù)器;病毒管理中心能實(shí)現(xiàn)防病毒軟件的集中管理和分發(fā)、病毒庫(kù)分發(fā)、病毒事件集中審計(jì)等。在不與外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在核心服務(wù)器區(qū)和終端區(qū)之間，通過網(wǎng)關(guān)把病毒拒于核心服務(wù)器區(qū)網(wǎng)絡(luò)之外。在與外網(wǎng)連接的內(nèi)部保密網(wǎng)中，可將防病毒網(wǎng)關(guān)部署在外網(wǎng)和內(nèi)網(wǎng)連接邊界中之間，通過網(wǎng)關(guān)把病毒拒于內(nèi)部保密網(wǎng)絡(luò)之外。這要求網(wǎng)關(guān)防毒產(chǎn)品部署簡(jiǎn)便、能承受防病毒網(wǎng)關(guān)的數(shù)

8、據(jù)流量、能檢測(cè)并清除病毒。3）終端防護(hù)系統(tǒng)為了防止不安全的在線非法外聯(lián)、離線非法外聯(lián)或不安全的接入行為，必須把終端防護(hù)系統(tǒng)與其它網(wǎng)關(guān)防護(hù)技術(shù)結(jié)合起來。通過終端防護(hù)系統(tǒng)的統(tǒng)一策略配置的主機(jī)防火墻和主機(jī)IDS,能實(shí)現(xiàn)對(duì)桌面系統(tǒng)的網(wǎng)絡(luò)安全檢測(cè)和防護(hù)，當(dāng)IDS檢測(cè)到威脅后，能與主機(jī)防火墻進(jìn)行聯(lián)動(dòng)，自動(dòng)阻斷外部攻擊行為。通過終端防護(hù)系統(tǒng)，可對(duì)桌面系統(tǒng)的遠(yuǎn)程撥號(hào)行為、無線上網(wǎng)行為、搭線上網(wǎng)行為進(jìn)行控制，發(fā)現(xiàn)存在違規(guī)外聯(lián)的主機(jī)，給出報(bào)警，通過防火墻切斷該主機(jī)與網(wǎng)絡(luò)的連接，避免導(dǎo)致內(nèi)網(wǎng)遭到更大的破壞。通過終端防護(hù)系統(tǒng)的安全狀態(tài)檢測(cè)策略，可監(jiān)測(cè)進(jìn)入內(nèi)網(wǎng)的終端設(shè)備，對(duì)于不符合安全條件的設(shè)備，可不允許其接入內(nèi)網(wǎng)。4

9、）網(wǎng)閘技術(shù)在安全性要求很高，但又有內(nèi)部網(wǎng)絡(luò)和外網(wǎng)數(shù)據(jù)交換的情況下，必須采取網(wǎng)閘技術(shù)，以實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的單向安全隔離和數(shù)據(jù)交換。2、主機(jī)安全的防護(hù)1）桌面木馬與病毒查殺技術(shù)在一個(gè)整體病毒防護(hù)方案中，桌面級(jí)防病毒是重要的支點(diǎn)。對(duì)木馬的防范，除了通常的桌面防病毒產(chǎn)品外，還有一些專門的木馬查殺產(chǎn)品，象瑞星卡卡、360安全衛(wèi)士等。桌面查殺產(chǎn)品擁有查殺流行木馬、清理惡評(píng)及系統(tǒng)插件、管理應(yīng)用軟件、系統(tǒng)實(shí)時(shí)保護(hù)，修復(fù)系統(tǒng)漏洞等數(shù)個(gè)強(qiáng)勁功能，同時(shí)還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對(duì)系統(tǒng)的全面診斷報(bào)告，方便用戶及時(shí)定位問題所在，為用戶提供全方位的系統(tǒng)桌面保護(hù)。2）終

10、端防護(hù)技術(shù)終端管理系統(tǒng)是對(duì)局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)行為進(jìn)行全面監(jiān)管，檢測(cè)并保障桌面系統(tǒng)的安全產(chǎn)品。系統(tǒng)一般共分四大模塊：桌面行為監(jiān)管、桌面系統(tǒng)監(jiān)管、系統(tǒng)資源管理，通過統(tǒng)一定制、下發(fā)安全策略并強(qiáng)制執(zhí)行的機(jī)制，實(shí)現(xiàn)對(duì)局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，能有效保障桌面系統(tǒng)及機(jī)密數(shù)據(jù)的安全。終端管理系統(tǒng)自動(dòng)檢測(cè)桌面系統(tǒng)的安全狀態(tài)，能針對(duì)桌面系統(tǒng)的補(bǔ)丁自動(dòng)檢測(cè)、下發(fā)和安裝，修復(fù)存在的安全漏洞，防止漏洞被木馬和病毒利用。終端管理系統(tǒng)監(jiān)管桌面行為，對(duì)桌面系統(tǒng)上撥號(hào)行為、打印行為、外存使用行為、文件操作行為的監(jiān)控，通過策略定制限制主機(jī)是否允許使用外存設(shè)備，確保機(jī)密數(shù)據(jù)的安全，避免了內(nèi)部保密數(shù)據(jù)的泄漏。終端管理系統(tǒng)桌面監(jiān)管

11、系統(tǒng)，解決了難以及時(shí)、準(zhǔn)確掌控桌面系統(tǒng)基礎(chǔ)信息的問題，規(guī)范了客戶端操作行為，提高了桌面系統(tǒng)的安全等級(jí)。通過系統(tǒng)監(jiān)管模塊管理員能夠遠(yuǎn)程查看桌面系統(tǒng)當(dāng)前的詳細(xì)信息，包括：已安裝軟件、已安裝硬件、進(jìn)程、端口、CPU、磁盤、內(nèi)存等，及時(shí)發(fā)現(xiàn)異常。終端管理系統(tǒng)為管理員提供了Agent管理、IP管理等功能，能對(duì)網(wǎng)絡(luò)內(nèi)的Agent進(jìn)行有效管理，避免IP地址混亂、非法接入、木馬運(yùn)行等情況。終端管理系統(tǒng)在對(duì)收集的事件進(jìn)行詳盡的分析和統(tǒng)計(jì)的基礎(chǔ)上，支持豐富的報(bào)表功能，實(shí)現(xiàn)了分析結(jié)果的可視化。為幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)中的情況進(jìn)行深度挖掘分析，系統(tǒng)提供了多種報(bào)表模板，支持管理員從不同方面進(jìn)行網(wǎng)絡(luò)事件和用戶行為的可視化分

12、析，滿足了安全審計(jì)的需求。3、安全管理1）安全審計(jì)系統(tǒng)安全審計(jì)既是發(fā)現(xiàn)安全問題的重要手段，也是管理內(nèi)部人員行為的威懾手段。如果不計(jì)劃部署安全管理平臺(tái)，就一定要安裝安全審計(jì)系統(tǒng)。推薦通過引入集中日志審計(jì)的技術(shù)手段，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一的安全審計(jì)，及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。2）安全管理平臺(tái)系統(tǒng)在內(nèi)部部署了防病毒等一系列安全設(shè)備后，可以在一定程度上提高安全防御水平，降低發(fā)生泄密事件的概率。但同時(shí)也要加強(qiáng)安全管理，引入安全管理平臺(tái)。信息安全管理平臺(tái)，能實(shí)時(shí)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件、應(yīng)

13、用系統(tǒng)的安全狀況進(jìn)行統(tǒng)一監(jiān)控、采集安全事件和日志信息、進(jìn)行整合和關(guān)聯(lián)分析、評(píng)估安全風(fēng)險(xiǎn)、審計(jì)用戶行為、產(chǎn)生安全事故和告警、生成安全報(bào)告并及時(shí)進(jìn)行應(yīng)急響應(yīng)，確保相關(guān)系統(tǒng)的業(yè)務(wù)持續(xù)運(yùn)行，協(xié)助管理人員排除安全隱患和安全故障，同時(shí)為相關(guān)部門的信息安全審計(jì)和考核提供技術(shù)手段和依據(jù)，實(shí)現(xiàn)全網(wǎng)的安全集中監(jiān)控、審計(jì)和應(yīng)急響應(yīng)，全面提升保密內(nèi)網(wǎng)的信息安全保障能力。對(duì)于內(nèi)網(wǎng)泄密事件而言，安全管理平臺(tái)可以對(duì)關(guān)鍵主機(jī)的訪問行為進(jìn)行記錄，一方面形成威懾，另一方面方便事后取證;安全管理平臺(tái)還可以找出系統(tǒng)內(nèi)感染木馬病毒的機(jī)器。3）定期巡檢服務(wù)定期巡檢服務(wù)是一種第三方安全服務(wù)，可以定期查看并發(fā)現(xiàn)系統(tǒng)的安全漏洞，檢測(cè)關(guān)鍵計(jì)算機(jī)

14、設(shè)備的狀態(tài)，發(fā)現(xiàn)并定位計(jì)算機(jī)中已經(jīng)感染的木馬，防止木馬的泄密等破壞行為發(fā)生。安全措施部署舉例內(nèi)網(wǎng)外網(wǎng)Ft設(shè)量mujhhlM亦來尋駅HR內(nèi)網(wǎng)外網(wǎng)Ft設(shè)量mujhhlM亦來尋駅HR州片天慳啜馬爐貳彊空邑啤IT專家網(wǎng)原創(chuàng)文章，未經(jīng)許可，嚴(yán)禁轉(zhuǎn)載！安全需求分析當(dāng)今電信行業(yè)或多或少的面臨著如下的網(wǎng)絡(luò)威脅：內(nèi)部誤用和濫用：各種調(diào)查都顯示來自于內(nèi)部的誤用（操作）和濫用對(duì)企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)的影響都是最為致命的，通常的比例高達(dá)70%。這樣，如何高效地防止誤用損失、阻止濫用、監(jiān)測(cè)業(yè)務(wù)網(wǎng)絡(luò)的健康運(yùn)行，并且在事件發(fā)生后能夠成功地進(jìn)行定位和取證分析，這樣的能力對(duì)于一個(gè)成功的電信企業(yè)顯得至關(guān)重要。拒絕服務(wù)攻擊：當(dāng)前運(yùn)營(yíng)商受到

15、的拒絕服務(wù)攻擊的威脅正在變得越來越緊迫，對(duì)拒絕服務(wù)攻擊的解決方案也越來越受到國(guó)際上先進(jìn)電信提供商的關(guān)注。對(duì)大規(guī)模拒絕服務(wù)攻擊能夠阻止、減輕、躲避的能力是標(biāo)志著一個(gè)電信企業(yè)可以向客戶承諾更為健壯、具有更高可用性的服務(wù)，也是整個(gè)企業(yè)的網(wǎng)絡(luò)安全水平進(jìn)入一個(gè)新境界的重要標(biāo)志。外部入侵：這里是通常所說的黑客威脅?，F(xiàn)在的黑客的目標(biāo)已經(jīng)由原來的技術(shù)轉(zhuǎn)變?yōu)楝F(xiàn)在的以盈利為目標(biāo)，這些是對(duì)網(wǎng)絡(luò)自主運(yùn)行的控制權(quán)的巨大威脅，使得客戶在重要和關(guān)鍵應(yīng)用場(chǎng)合沒有信心，損失業(yè)務(wù)，甚至造成災(zāi)難性后果。病毒：病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)，促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治。對(duì)病毒的徹底防御重要性毋庸置疑。各種

16、災(zāi)難和事故：現(xiàn)今世界存在各種自然災(zāi)害、災(zāi)難、恐怖事件等對(duì)于整個(gè)企業(yè)的業(yè)務(wù)可能都會(huì)隨時(shí)造成毀滅性的打擊。電信公司面臨的主要弱點(diǎn)包括技術(shù)方面的弱點(diǎn)和管理方面的弱點(diǎn)。技術(shù)方面的弱點(diǎn)：缺乏統(tǒng)一規(guī)劃：電信公司都建立了多種（多個(gè)）統(tǒng)一平臺(tái)，極大地提高了生產(chǎn)效率和投資回報(bào)，但同時(shí)也讓安全問題更加復(fù)雜了，這樣的統(tǒng)一平臺(tái)要求全面統(tǒng)一考慮安全系統(tǒng)的建設(shè)，可以看出，目前的很多規(guī)劃是基于單個(gè)系統(tǒng)的，這樣考慮存在較大問題，我們認(rèn)為，應(yīng)當(dāng)以安全域管理和劃分為原則，統(tǒng)一規(guī)劃整個(gè)安全體系的建設(shè)。安全技術(shù)手段使用不足：電信公司都會(huì)采用了一些防火墻、入侵檢測(cè)和防毒系統(tǒng)，但是大部分系統(tǒng)都存在大量空白的空間，不同安全域之間的連接都沒

17、有通過防火墻進(jìn)行訪問控制，無論是安全體系的縱深還是安全體系的強(qiáng)度都嚴(yán)重不足。系統(tǒng)安全評(píng)估和加固不足：大量的UNIX/WINDOWS等系統(tǒng)的缺省配置，開放不必要的服務(wù)，沒有打上相應(yīng)的安全補(bǔ)丁，口令強(qiáng)度嚴(yán)重不足，缺省的SNMP口令配置，這些弱點(diǎn)在電信的公司里普遍存在。缺乏實(shí)時(shí)集中管理手段：安全事故監(jiān)控和響應(yīng)缺乏技術(shù)手段，缺乏必要的流程和組織。要通過少數(shù)人保證龐大的電信公司IP系統(tǒng)的安全，就必須充分利用集中監(jiān)控、集中響應(yīng)的技術(shù)機(jī)制。缺乏足夠的審計(jì)：作為所有安全防御機(jī)制的補(bǔ)充，審計(jì)工具和機(jī)制是一種重要的檢測(cè)機(jī)制，通過他可以發(fā)現(xiàn)內(nèi)部的誤用和異常的問題及趨勢(shì)。管理方面的弱點(diǎn)：缺乏安全策略和規(guī)范：安全策略和規(guī)范包括策略、標(biāo)