本方案是 @网路游侠 应51CTO“网络007 大破骇客杀机之稿件征集”而写的稿,也是算是一个相对全面的安全解决方案。当然,还有很多需要提高的地方,如APT监测系统、数据彻底清除等,但由于客户接受度问题,暂时在方案没有体现。另:很多产品游侠写了1个产品,但是实际上市面上的产品多数都是分开的。各有利弊吧。

文章背景

2013-04-16_10-41-47

一、网络现状

假设军情六处目前有计算机500台,没有分域管理,所有计算机在1个网络中,出口部署有防火墙,以抵御互联网常见***,内部网络中的计算机安装有单机版防病毒软件,并定期更新。

网络中有约50台服务器,部分采用了虚拟化。

正是因为这样的粗放型管理方式,导致病毒、***、蠕虫泛滥,并产生过******到内部网络的安全事故——对,在《007:大破天幕杀机》中各位已经看到!

二、脆弱性与威胁分析

由于目前的网络完全是10年前的网络结构,因此我们建议将网络按照不同的应用分为如下三个区域:

  • 互联网区:100台计算机,用做资料查询、网络信息发布等用途。(本区域也有服务器,但由于做信息发布,不存储敏感信息,因此不单独分析。)

  • 办公网区:400台计算机,存有大量敏感信息,并严格控制不能在互联网发布。

  • 服务器区:从属于办公网区,但因功能不同,独立分析。

不同的安全区域实施严格的访问控制策略,特别是互联网区,物理上与办公网区、服务器区分开。

下面分析脆弱性与威胁:

1、互联网区

  • 来自于互联网的***、病毒、蠕虫。

  • U盘、移动硬盘等移动存储介质带来的恶意软件、信息外泄。

  • 打印带来的安全问题。

  • 主机IP和MAC容易被篡改带来运维和安全风险。

  • 刻录机带来的安全风险。

  • 虎视眈眈的***带来的各种威胁。

  • 自带设备(BYOD)带入内部网络带来的安全风险(***、病毒等)。

  • 随着手机、平板电脑的流行而带来的移动设备管理(MDM)问题。

  • 远程办公带来的安全问题。

2、办公网区

  • 来自于互联网区的威胁,办公网区同时存在,同时:

  • 重要文档在流转过程中的安全问题,如不具备某文档阅读权限的人有可能接触、打开、复制、打印该文档。

  • 自带设备(BYOD)带入内部网络,并自动***内部主机、服务器,并将重要资料复制到BYOD设备,在联网时回传到***指定地址。

  • 同上,U盘、移动硬盘、光盘也有可能在外部感染***,并通过上述方式***内部计主机、服务器,然后”轮渡”到外部。

  • 对服务器、应用系统的资源占用、响应无实时监控手段。

  • 主机、应用系统登录安全问题。

3、服务器区

  • 来自于互联网区、办公网区的威胁,服务器区同时存在,同时:

  • 管理员权限过大,可通过在交换机镜像或ARP欺骗的方式捕获内部人员的帐号、口令。

  • 管理员可直接在服务器上读取OA、E-Mail等的敏感信息。

  • 管理员可直接接触到核心数据库,容易产生误操作,或恶意操作。

  • 蠕虫、病毒,往往会扫描服务器,进行”额外照顾”。

  • 低权限管理员有可能利用此权限,”提权”后进行越权、高危操作。

三、解决方案

1、管理手段

加强安全基础知识培训,如补丁、口令等知识。

完善管理制度,并确定可执行的策略。

2、技术手段(产品部署与安全策略)

2.1 互联网区

由于本区域联通互联网,不存储任何敏感信息,因此最重要的是保证网络的连通性,以确保网络联通为主,部署如下:

APT***防护方案:采用整合型产品 进行全方位防护

  • 下一代防火墙:部署在互联网出口和核心交换机之间,开启安全防护模块,用以抵御******、实现网络病毒过滤、反垃圾邮件、反钓鱼邮件,同时进行上网行为管理,对恶意、非法网站进行URL过滤,同时开启网络流量控制,保证业务流量。对远程办公用户,采取×××拨入方式保证数据传输安全。

  • 终端安全管理系统:文件操作审计、打印管理、光驱刻录管理、IP地址管理、非法接入控制、非法外联管理、移动存储介质管理、资产管理、软硬件安装管理、文档加密、ARP防护。

  • 网络防病毒软件:制定统一的防病毒策略,实现整网病毒防范。

  • 日志综合审计管理系统:Windows/Linux服务器日志收集与分析;路由器、交换机、下一代防火墙日志收集与分析;数据库操作日志收集与分析。同时旁路部署该设备,以实现网络数据库审计的功能。

  • 补丁管理系统:建议采用微软WSUS,进行补丁管理。

  • 漏洞扫描系统:对网络设备、应用系统、Windows、Linux等的定期漏洞扫描。

  • CA服务器:配合USB-KEY,实现开机登录、OA登录、电子邮件签名、文档签名等功能。

  • WEB应用防火墙:对SQL注入、XSS跨站***等进行防范。

  • 主机***防护PC版:实现主机层面的***防御。

2.2 办公网区与服务器区

重要敏感信息全部存储在本区域,因此防护级别较高,部署如下:

APT***防护方案:采用整合型产品 进行全方位防护

  • 下一代防火墙:部署在互联网出口和核心交换机之间,开启安全防护模块,用以抵御******、实现网络病毒过滤、反垃圾邮件、反钓鱼邮件,同时进行上网行为管理,对恶意、非法网站进行URL过滤,同时开启网络流量控制,保证业务流量。对远程办公用户,采取×××拨入方式保证数据传输安全。

  • 终端安全管理系统:文件操作审计、打印管理、光驱刻录管理、IP地址管理、非法接入控制、非法外联管理、移动存储介质管理、资产管理、软硬件安装管理、文档加密、ARP防护。

  • 网络防病毒软件:制定统一的防病毒策略,实现整网病毒防范。

  • 日志综合审计管理系统:Windows/Linux服务器日志收集与分析;路由器、交换机、下一代防火墙日志收集与分析;数据库操作日志收集与分析。同时旁路部署该设备,以实现网络数据库审计的功能。

  • 运维安全审计与管理系统(内控堡垒主机):telnet、SSH、Windows远程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等应用协议的认证、授权、审计、账号管理。以录像形式存储内部管理员、第三方运维人员的各种操作。

  • 网络运维监控系统:支持对网络设备、安全设备、服务器、中间件、数据库等的流量、运行状态监控

  • 补丁管理系统:建议采用微软WSUS,进行补丁管理。

  • 漏洞扫描系统:对网络设备、应用系统、Windows、Linux等的定期漏洞扫描。

  • CA服务器:配合USB-KEY,实现开机登录、OA登录、电子邮件签名、文档签名等功能。

  • 主机加固系统:对Windows、Linux服务器进行加固。

  • 网络***检测系统:采用旁路抓包方式,对整网流量进行监控,对内网的蠕虫、***、***行为进行有效监控。

  • 主机***防护PC版:实现主机层面的***防御。

  • 主机***防护服务器版:对服务器进行***防护。

四、产品清单

1、互联网区

APT***防护方案:采用整合型产品 进行全方位防护

2、办公网区与服务器区

APT***防护方案:采用整合型产品 进行全方位防护

五、方案特色

  • 采用整合型产品,在保证性能的同时,减少故障点。

  • 对主机、网络、应用层的APT进行全方位防护。

  • 在保证安全的前提下提供便捷措施,如×××,同时提供MDM。

  • BYOD防护(终端安全管理、HIPS等)。

  • 移动存储介质、打印、刻录管控,含文档加密。

  • 日志综合管理可对服务器、网络设备、安全设备运维日志进行统一管理。

  • 运维审计(堡垒机)可对网络设备、服务器、数据库等进行统一运维管理。

作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢

您亦可加QQ:55984512(@qq.com)与我联系、探讨。