• 熊孩子频频花巨资打赏 主播自称“很无奈” 2019-06-18
  • 徕卡M10限量版外观曝光-热门标签-华商网数码 2019-06-15
  • 你们中了美国思维,中国思维却相反 2019-06-14
  • 全棉时代纯棉婴儿护理湿巾棉抽纸全棉纸巾棉柔巾全棉手帕纸婴儿湿巾组合套装系列 2019-06-12
  • 陕西省第二届特色与休闲农业青年微电影微视频大赛开始报名 2019-06-05
  • 看着就像笑,连语文基础都不懂,还要称逻辑大师,亵渎文明差不多 2019-05-30
  • 通过医疗,住房,都是乘人之危,太缺德,中国历史上绝无仅有。 2019-05-30
  • 人民网评:立鸿鹄志,做奋斗者 2019-05-25
  • 卢锋:宏观经济呈现企稳向好走势 2019-05-25
  • 乌鲁木齐:这个端午,他们的假日叫“坚守” 2019-05-15
  • 西部网(陕西新闻网)www.cnwest.com 2019-05-15
  • 这不应该对自己讲,应该对执政者讲。 2019-05-14
  • 49只“神话之鸟”中华凤头燕鸥返回象山韭山列岛 2019-05-14
  • 这么低档,还天天在此称好汉!少罗嗦,把你的“理”和“逻辑”,充分亮出来! 2019-04-30
  • 菜鸟世界杯送出50吨包裹 荷兰成国旗最大购买地菜鸟世界杯送出50吨包裹荷兰成国旗最大购买地-手机行情 2019-04-30
  • 福建31选7玩法: XXX食品公司信息安全体系规划方案(上)

    2014-11-19 15:39:00
    dxt001
    原创
    2444

        1.现状

          1.1.公司概况

    福建体彩31选7开奖走势 www.gqks.net XXX食品产业有限公司(以下简称 XXX)成立于 20018月,是一家现代化管理运营的休闲食品企业,位居炒货行业前三甲和豆制品行业前三强。

    公司在不断发展的过程中,也逐步将信息化引入到公司管理和内控,向世界先进管理水平看齐。

          1.2. 基础网络

    XXX公司目前的网络结构为,公司本部网络以及通过互联网连接到公司本部的四个分支结构。公司内部的网络及终端设备通过 H3C防火墙访问互联网。

         1.3 .系统资源

           1.3.1 .硬件资源

    主要硬件资源有计算机、服务器、防火墙、交换机以及其他相关网络办公设备。

    其中计算机约有 100台左右,集中在总部办公大楼。

           1.3.2. 软件资源


    软件资源主要有操作系统、 OA系统、邮件系统、视频会议系统、 ERP系统以及和应用系统相关的其他软件系统。

    全部部署在 XXX公司总部信息中心机房内。

    1.4 . 安全现状

    目前主要通过集团总部的 H3C防火墙来实现对恶意病毒防范及应用服务器的访问控制,部分实现信息安全管理。


    2. 安全建设方法

    安全建设过程威胁是永远存在的,它会对企业 /组织的业务施加影响,加之企业 /组织所处环境的合规要求,安全需求驱动了安全建设的过程。商业机密、重要资产对企业 /组织的重要性不言而喻,对它们的?;ひ丫晌笠? /组织业务活动中重要的过程。安全保证的过程是复杂的,因此需要整体性的安全思路。风险管理是企业 /组织安全活动的基本过程,以资产为核心,考虑到内部员工、合作伙伴、供应商、客户,内部区域、外部区域和公共网络。人和空间的不同,已经让安全变得复杂。安全建设的过程应涵盖如下阶段:评估、规划、设计、实施、交付、运维、评价、改进,它基于 PDCA的思想。通过安全建设过程,我们协助用户提高安全认知、获得安全保证、满足合规要求。用户会了解到当前的现状、与目标的距离、与要求的差距、科学的思维方式、良好的工作方法;也会得到信心、放心、省心的安全保证;用户不再为日益严厉的合规要求所困惑。整体的安全思路,让安全变得清晰和简单。



    安全体系框架安全体系为安全战略服务,安全体系包含安全组织体系、安全管理体系、安全技术体系。

    在安全组织体系中,要建立组织、明确职责、提高人员安全技能、重视雇用期间的安全、要与绩效结合。

    在安全管理体系中,以安全策略为主线,落实安全制度和流程,对记录存档。我们从最佳安全实践出发,将安全管理体系中的过程动态化、持续化,包含风险评估程序、企业安全计划、安全项目管理、运行维护监控、安全审计程序、持续改进计划等,真正与企业的安全建设和安全保障过程结合起来。

    在安全技术体系中,将多种安全技术相结合,包含准备、预防、检测、?;?、响应、监控、评价等。面对不断出现的新兴威胁,需要多种安全技术的协调与融合。我们深知安全体系的落实不易,多年的经验告诉我们,安全体系的有效落实取决于多个关键成功因素,包含管理层批准、多部门参与、协调沟通、定期检查、独立审计、内部报告、外部报告等。这些工作都将有力的推动安全体系的落实与不断完善。安全体系像是企业 /组织的免疫系统,体系的不断完善、组织 /人员的尽职尽责、全员的风险预警意识,才能真正做到主动管理风险。

    安全体系框架企业 /组织的业务不断变化, IT架构与系统也变得更复杂,安全体系也应随需而变。在多年不断研究和实践的基础上,我们提出了全新的安全体系框架。






    3. 安全需求分析


    以联动的技术理念,我们从安全管理、安全防护、安全检测、安全审计、安全服务、以及整合安全策略、安全管理和安全技术进行有效联动,我们按照联动的安全体系架构分析 XXX食品的信息网络进行了初步定性的安全分析。

    本节将根据信息系统风险层次架构针对 XXX食品的 网络安全具体情况,对各个层面进行安全分析企业 IT系统的安全风险。

    3.1. 终端安全

    3.1.1. 风险分析

    目前系统内的终端没有统一的安全管理措施,会出现网内计算机病毒泛滥、 IP地址滥用、终端硬件设备的变更、移动存储设备的不规范使用以及其他和工作无关软件的随意安装,给网络管理员的日常维护带来了诸多不必要的麻烦。


    3.1.2. 需求建议

    通过部署统一网络杀毒软件,做到对内网终端统一查杀毒(即使本次没有开机的计算机,在下次启动后也会自动进行查杀毒),保证全网统一,最大程度的减小了病毒传播的可能。

    使用内网安全管理软件,将有效的解决 IP地址滥用、移动存储设备不规范使用、任意安装和工作无关软件、终端硬件设备随意变更等情况得到有效的解决。

    3.2. 应用系统安全

    3.2.1. 风险分析

    网内应用系统是日常工作重要的支撑平台,保证其正常运行意义重大。应用系统存在终端随意登录到应用系统影响 ERP系统的稳定性,操作系统本身不能及时的更新补丁文件,系统服务器病毒库不能及时更新的弊端。

    目前 XXX食品的应用系统都是基于 WEB的。

    Web 业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和 Web 程序的 SQL注入漏洞等得到 Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。

    当前网络上 75%的攻击是针对 WEB应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到 WEB安全问题的重要性,但传统安全设备(防火墙 /IPS)解决 WEB 应用安全问题存在局限性,而整改网站代码需要付出较高代价从而变得较难实现。

    3.2.2. 需求建议

    在交换机上划分 VLAN,对各个安全域进行逻辑隔离;

    在各个安全域之间部署防火墙,所有的安全域都通过防火墙接入到网络中,各个安全域通过防火墙进行逻辑隔离,安全域之间不能直接访问,在防火墙上通过访问控制策略,对用户进行文件和数据操作权限限制,防范用户的非授权访问。

    通过 Web Application Firewall防止来自 WEB的黑客攻击,?;ぶ匾莺陀τ?。

    3.3. 远程接入访问

    3.3.1. 风险分析

    远程接入功能保证分支机构能与公司内部进行正常的业务沟通。但是目前采用的接入方式数据运行于公网上,存在接入速度、数据传输的安全性、业务交互的流畅性等诸多其他安全风险。

    3.3.2. 需求建议

    通过 VPN设备构建的专用网络,达到分支结构和内部网络快速稳定安全的连接,最大的好处在于数据在公网传输都是在 VPN加密通道中,相对应的安全性较高。从而保证在专用网络之间传输共享数据的安全性、可用性以及保密性。

    根据目前 XXX的情况,我们建议在大型的分支机构与总部进行通信的时候采用 IPSEC VPN技术,简化操作加强安全;针对出差人员或小型分支机构,则采用 SSL VPN技术。

    3.4. 互联网资源使用

    3.4.1. 风险分析

    互联网资源在日常工作扮演重要的角色,目前在互联网带宽有限的情况下,存在着使用 BT、迅雷等其他下载工具恶意占用公司互联网资源的情况;严重影响正常使用互联网资源的行为,同时也将某些含有病毒、木马的网络资源带入到公司内部网络。员工在工作时间上网“冲浪”,还可能因此而面临法律风险。例如淫秽邮件、即时讯息玩笑、什么都写的博客、色情反动网站、下载一些侵犯版权的软件,这些都有可能引发诉讼案件。

    3.4.2. 需求建议

    使用上网行为管理设备可以对用户上网占用的带宽进行管控,可以按网络地址段、用户组、个人或服务类型来制定策略对带宽进行管理??山砘殖扇舾筛鲂槟馔ǖ?,设定每个通道的带宽,上、下载速度的限制,优先级和管理策略等,保证关键应用或重要人员的上网带宽,对有限的带宽进行优化使用、合理分配,将网络资源使用发挥到最大。

    加强内部员工管理,避免员工在工作时间利用单位网络做工作无关的事如网上聊天,在线视频等。

    同时上网行为管理系统提供了很好的内容屏蔽手段解决方法,它可以对这些不良网站及信息进行屏蔽管控,规避法律风险。

    4. 安全体系详细设计

    4.1. 设计原则和方法

    4.1.1. 联动的安全理念

    安全的灵魂与核心是先进的安全理念和可靠的安全模型。

    4.1.1.1. 整体设计思路

    目前,众多厂商在安全方面提出有很多理念如, MPDRR、 PDRR、多层防护、纵深防御等等。这些安全理念大概可分为两类,一类关注安全过程中各个环节,如 MPDRR等;另一类则更多关注安全过程中的某个环节的构架如多级防护等等。以上的安全理念都重点阐述安全过程分解后各环节的重要性以及相关的问题,却忽略了各环节之间的相互联系。我们认为:

    网络安全是整体的:我们可以通过选择优秀的产品、优秀的服务构建一个解决方案,但如果各个优秀的产品、优秀的服务之间是孤立的,那么产品、服务环节的安全策略就是相对孤立的,无法形成整体的安全策略。这样,孤立的环节之间就会形成漏洞,给入侵者可乘之机。

    网络安全是动态的:如果各个优秀的产品、优秀的服务等各环节之间是孤立的,则无法全面了解网络的整体安全状况,当然也无法根据网络和应用情况动态调整安全策略。

    因此,网络安全需要统一、动态的安全策略,网络安全需要联动的安全产品,需要联动的安全环节。也就是说,网络系统需要一个联动的整体的安全解决方案。

    联动是信息安全解决方案的重要思想,我们对联动的诠释是:

    联动的目标:提高客户网络的安全性,提高安全系统使用成效,更有效的保障客户应用;降低企业的 IT经营风险,提高企业的投资回报率。

    联动的内容:我们将安全过程分为五个环节:管理、防护、监测、审计、服务,各个环节以及各环节对应的产品之间实现联动。(五个环节的体现:管理体现在安全集中管理系统、制度管理等方面;防护体现在防火墙、 VPN、防病毒、桌面管理、行为管理等技术或者系统的防护方面;监测体现在技术或者系统的监测方面;审计体现在系统中各个产品自身的日志、审计和综合安全审计技术或者系统上;服务体现在产品的维护和专业的评估、响应等服务方面。)

    4.1.1.2. 参考标准

    ISO27001 信息安全国际规范 2005

    《计算机信息系统安全?;さ燃痘肿荚颉?

    《信息安全等级?;す芾戆旆ā?

    《信息系统保密管理规定》

    《关于信息安全等级?;すぷ鞯氖凳┮饧罚üㄗ? [2004]66号)

    《中华人民共和国公共安全和保密标准》

    《互联网安全?;ぜ际醮胧┕娑ā罚ü膊康? 82号令- 2006

    塞班斯法案( 2005)-美国

    4.2. 内网防病毒

    4.2.1. 范围和对象

    主要针对桌面计算机防病毒和基线安全,实现全网病毒防护。

    4.2.2. 方式与方法

    4.2.2.1. 概述

    传统杀毒软件需要反病毒专家在公司确认病毒,然后提取病毒特征码,更新病毒库才能杀毒。



    用户将可疑程序发送给反病毒公司,反病毒专家分析判断可疑程序是否是病毒,如果确认可疑程序是病毒,提取病毒特征码,然后通过升级,杀毒软件才能查杀该病毒——即先中毒后杀毒,造成的损失无法挽回。

    主动防御直接将反病毒专家分析判断的过程通过软件实现,让计算机具有像反病毒专家一样分析判断病毒的能力。

    东方微点主动防御软件采用主动防御技术,用软件自动实现了反病毒专家分析判断病毒的过程。它实时监控计算机运行程序的行为,只要病毒程序试图侵害电脑,微点主动防御软件就能够自主分析判定并拦截,?;さ缒圆皇艿讲《镜那趾?。

    简单来说,安装微点,病毒就由微点主动防御软件自动分析判断了,就像您身边伴随着反病毒专家一样。



    4.2.2.2. 主动防御系统特点

    1、创立动态仿真反病毒专家系统:对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。

    2、自动准确判定新病毒:分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口( api)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。

    3、程序行为监控并举:在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。

    4、自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。

    5、可视化显示监控信息:对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些???,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。

    4.2.2.3. 主动防御系统功能

    微点主动防御软件通过智能化终端防护,分布式部署,中央集权与分级管理和监控,实现对企业网络未知木马和新病毒的实时主动防御,解决了传统杀毒软件网络防病毒产品滞后于病毒的弊端,成功为企业构建主动防御网络,使企业的网络病毒防护更主动,管理更轻松。

    面对现有杀毒软件无法应对不断出现的未知木马和新病毒的威胁,根据企业网络的结构特点及面临的安全隐患,东方微点通过实施“构建安全主动防御网络”策略,能够达到下列目的:

    ?智能型安全防护终端,对未知木马和新病毒,能够自主识别、明确报出、自动清除;

    ?适应企业网络复杂的网络环境,多种安装部署方式;

    ?强大的全网管理功能,完善的监控与报警事件处理;

    ?突发事件应急处理机制,有效防止病毒在网络内传播。

     

    微点主动防御软件网络版是国际上率先采用“监控并举、动态防护”的主动防御技术体系,并依据主动防御技术研制开发成功第三代反病毒软件,同时为业界首款依据程序行为分析判断为主特征码为辅的全面的系统安全防护软件,彻底颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念,通过主动防御技术能够自主分析判断病毒,实现了对未知木马和新病毒的自主识别、明确报出和自动清除,主动防杀未知木马和新病毒 99%以上,解决了杀毒软件无法防杀层出不穷的未知木马和新病毒的弊端。

    智能型安全防护终端,主动防杀各类未知木马和新病毒

    采用主动防御技术,依据程序行为能够自主分析判断未知木马和新病毒,实现了对未知木马和新病毒的主动防御,解决了杀毒软件即使频繁升级也无法防范不断出现的未知木马和新病毒的弊端,同时减轻了管理员的工作。

    对未知木马和新病毒实现自主识别、明确报出、自动清除

    对未知木马和新病毒能够自主识别、明确报出、自动清除。无需用户参与判断。

    病毒特征码的自动提取,并全网自动分发

    采用病毒特征码自动提取技术,实现对未知木马和新病毒特征码的自动提取。当某一终端拦截未知木马和新病毒后,将会自动提取该程序特征码并更新本地特征库,同时将提取的特征码提交到中心服务器,管理中心服务器自动分发到全网终端,解决了传统杀毒软件样本提交、特征分析、软件升级的漫长过程,真正做到特征码“零”响应。

    主动防御黑客利用未修补的系统漏洞的攻击入侵

    即使在 windows系统漏洞未进行修复的情况下,依然能够对黑客利用系统漏洞进行的溢出攻击和入侵做到有效检测、拦截,并同步准确记录远程计算机的 IP地址,协助用户迅速准确锁定攻击源,并能够提供攻击计算机准确的地理位置,实现攻击源的全球定位。结合终端实名制管理更能够准确定位计算机的使用者和位置。

    智能防火墙阻击网络入侵

    全网终端部署智能防火墙,通过配置统一安全防护策略,实现全网防御网络入侵,提高网络安全防护能力。智能防火墙不同于其它的传统防火墙,无需每个进程访问网络都要询问用户是否放行,可智能判定正常程序并自动采取相应的放行机制,有效解决了传统防火墙技术对任何程序访问网络都必须报警询问用户是否放行,给用户带来巨大的困惑,不仅降低软件的应用性,甚至由于误判造成更大的网络危害。

    4.2.3. 选型要求

    项目

    功能

    具体描述

    操作系统

    能够支持以下操作系统:

    Windows 工作站:

    Windows Vista 、 windows 7 、 Windows 2000 Professional

    Windows XP Professional / Home Edition

    Windows 服务器

    Windows 2000 Server/Advanced Server 、 Windows Server 2003 、 windows2008

    安全防护

    已知木马、病毒防护

    能够防杀已知木马、病毒。

    未知木马、病毒防护

    能够防杀未知木马、病毒,对未知木马、病毒要能够实现自主识别(无需用户参与判断)、明确报出(明确报出是否是未知木马、病毒,而不是含糊不清的危险提示)、自动清除。

    未知特征码自动提取与全网分发

    能够对判定的未知木马自动提取特征码,并能够向全网终端自动分发该未知木马的特征码。

    防利用漏洞的溢出攻击

    能够在未修补 windows 系统漏洞的情况下,准确判断并防御针对漏洞的溢出攻击

    终端具有防入侵和攻击能力

    终端具有防火墙功能,能够统一配属防火墙安全策略,抵御来自外部网络及来自内部网络的攻击。

    具备对可疑程序分析和诊断的能力

    能够提供程序的生成关系、启动 / 退出、注册表修改、网络连接状态、协议、端口等程序信息,便于分析和诊断可疑进程,支持远程诊断。

    具备漏洞扫描功能

    能够对全网或指定终端计算机漏洞扫描功能。

    具备定位攻击源功能

    能够记录攻击源或病毒传播源的 IP 地址或计算机名称或地理位置

    支持断网扫描功能

    支持对全网或指定终端进行断网扫描功能

    支持断网隔离功能

    支持对全网或指定终端断网隔离功能

    全网管理

    集中管理

    支持全网终端的集中、多级管理,统一操作。

    终端分组管理

    支持终端分组管理模式。

    多种管理方式

    支持基于客户机 / 服务器( C/S 模式)的管理架构,支持远程管理

    权限分级管理

    支持管理员权限分级管理,

    安全策略管理

    支持网络安全策略的管理、制定与分发,能够根据需要预先设定多个安全策略,以便能够在特殊情况下立即激活指定的策略;能够对某些制定策略进行锁定,防止下级或终端修改;能够防止终端使用者擅自卸载终端防病毒产品。

    计划任务管理

    支持计划任务管理,并能够制定多个计划任务。

    终端实名制管理

    能够将终端与使用者绑定,方便管理员的管理。

    移动终端管理

    支持对移动笔记本设备的管理,当笔记本离开网络后,能够进行升级

    全网监控

    终端病毒防护软件状态监控

    通过管理控制台,管理员能够查看各终端安全防护功能的开启 / 关闭状态、终端在线状态等

    监控终端的系统自启动程序信息

    能够远程查看终端的系统自启动项

    安全事件报警

    能够记录并远程报警发现的病毒、网络入侵、溢出攻击、异常网络访问等。

    安全事件统计

    日志记录

    能够详细记录终端安全事件处理、管理员操作日志

    安全事件统计

    能够根据需要对安全日志中记录的安全事件进行统计分析。

    报表生成与导出

    能以直观,概要的图形界面报告提供整个管理范围的总体报告,管理员可定制相应的详细报告。并支持报告导出为常见文档格式。

    4.2.4. 部署示意图






    4.3. 内网主机审计

    据统计,对于所有的网络安全隐患来说,超过 80%的安全威胁源自于部门内部。而边界防护措施对部门内部用户的防护作用有限。当前,关于网络内部引发的安全问题却常常因为没有引起足够的重视而疏于防范,市场上,基于内网安全的完整解决方案和产品比较缺乏。

    中安源主机审计系统正是为解决这一难题而提出的,本系统能够为国家党政机关、企事业组织、各种涉密单位的信息保密管理提供完整的解决方案。

    4.3.1. 范围和对象

    完善的网络安全管理解决方案,能便捷、安全、有效地控制网络资源的共享及传递,?;ぶ匾棵拍诓棵舾惺莸陌踩?。

    4.3.2. 方式和方法

    4.3.2.1. 概述

    信息化程度的提高和网络的普及,也给单位的相关信息管理部门带来不少管理上的要求。每个称职的网络管理员都会面临着解决下面提及的一些问题。

    资产管理:管理员需要掌握单位的硬件资产信息和软件资产信息,随着终端点数的不断增长,如果完全依赖于人的统计,无疑是繁琐且易出错的任务。终端进程管理:为了有效提高单位员工的工作效率,以及保证终端系统的稳定性(经常有机器受到病毒攻击),管理员需要规范终端的行为,对运行程序进行监视和控制。

    补丁管理:很多病毒都是针对 Windows系统的漏洞进行攻击和传播,一台机器中毒后可能影响到整个网络的稳定运行,如何保证全网段的机器打上最新的系统补???管理员需要引入补丁管理的概念。

    远程维护:由于网络的分布特性,远程维护能力显得尤为重要,它可以让管理员在最短的时间内解决远程用户的问题。

    接入安全管理:对于未经授权接入局域网的 PC,或者局域网内 PC擅自修改 IP的情况,需要进行阻断或者重定向等手段进行管理。

    4.3.2.2. 系统特点

    中安源主机审计系统系列产品以密码技术为支撑,以“数据安全”和“安全管理”为目标,以监控审计为辅助,从信息的源头开始抓安全,对信息的交换通道全面?;?,从而达到信息的全程安全,主要有以下几方面的特点:

    1、 对内网原网络系统性能影响?。捍瞬诽逑低耆? TCP/IP协议网络,不需要改变现有网络结构,支持远程管理,对原系统的性能影响很小。

    2、 所有外设、输入 /输出端口及操作都必须经过授权:仅授权的人能操作授权的计算机,仅授权的磁盘、磁盘分区、外设、移动存储设备等能在授权的计算机上由授权的人使用,仅授权的输入 /出端口能由授权的人使用。

    3、 透明加密存储,对终端用户的正常使用无影响:根据用户需求进行文件加密、文件夹加密、磁盘加密、移动存储设备加密。

    4、 可满足文件安全传输的需要:对文件或者文件夹进行加密,选定接收文件的用户或者用户组,加密文件可以通过网络或者存储设备等进行交换传输,只有指定的用户使用硬件 USB令牌才能打开和阅读被加密的文件,文件传输安全强度高。

    5、 可在内网中分设多个安全域:通过将现有网络拓扑结构划分为若干虚拟安全域的形式实现网络通信的隔离。安全域之间的通信隔离体现在:高等级的安全域能够正常访问低等级的安全域,低等级的安全域与高等级或相同等级域之间的访问被隔离。

    6、 可建立安全服务器区:使用服务资源访问控制系统,可以建立安全服务器区( OA服务器、文件服务器等),仅有经过管理员允许的计算机才能访问此安全服务器区,其它任何计算机包括非法接入的计算机都不能访问,从而?;し衿鞑槐环欠扑慊梦?,防止非法接入和机密信息泄密。

    7、能够实时监视各终端用户:实时监视计算机终端的各种操作。

    8、可靠审计:记录各种可能导致信息泄露的操作,以便在必要时进行追查。

    总之,中安源可信网络安全产品体系通过主动加密、事前控制、事中监视、事后审计四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单位构建了一个可信可控的内网,确?!耙磺芯≡谡瓶刂小?。

    4.3.2.3. 系统功能简介

    文件操作监控

    文件安全管理功能提供共享文件访问控制、文件访问日志记录等功能。

    1)共享文件访问控制。提供了两种方式的共享文件访问控制策略:控制其他主机访问终端主机的共享文件和控制终端主机访问其他主机的共享文件。在禁止访问其他主机共享文件的策略下,终端主机将不能访问任何主机的共享文件;在禁止其他主机访问终端主机的策略下,任何主机都不能访问该终端主机的共享文件。

    2)文件访问日志记录。对访问本地文件和访问其他主机共享文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作。

    设备安全管理

    通过终端用户外设管理功能,系统能够充分?;ね缰兄斩酥骰陌踩?,保证数据不被恶意的盗窃,防止外接设备随意连接到计算机,保证秘密信息不被窃取。外部设备管理主要从端口控制、存储设备、打印设备和设备属性等四个层次进行?;?,如下:

    外设管理层次

    设备管理层次

    防护对象

    端口控制

    串口并口、 1394 、红外、蓝牙、 PCMCIA 、 SCSI 控制器、调制解调器

    存储设备

    USB 存储介质( U 盘、活动硬盘等)、光驱、软驱、磁带

    打印设备

    本地、远程、虚拟打印机

    设备属性

    设备管理属性、网络适配器属性

    1)端口控制。提供对串口并口、 1394、红外、蓝牙、 PCMCIA、 SCSI控制器、调制解调器等端口的控制??刂撇呗苑治街郑涸市硎褂煤徒故褂?。在允许使用的策略下,以上端口都能够正常被使用;在禁止使用的策略下,上述端口将被禁用。

    2)存储设备。提供对 USB存储设备、光驱、软驱以及磁带机的控制。

    USB存储设备

    对所用的 USB接口的存储设备进行控制,包括 U盘、活动硬盘等,不包括 USB鼠标、 USB键盘等非存储设备。根据移 USB存储设备使用策略,可以允许或者禁止移动存储介质的使用。

    l  光驱设备

    根据光驱使用策略,可以允许或者禁止使用光驱设备。

    l  软驱设备

    根据软驱设备使用策略,可以允许或者禁止使用软驱设备。

    l  磁带机设备

    根据磁带机设备使用策略,可以允许或者禁止使用磁带机设备。除了对 USB存储设备提供控制功能外,还对拷贝至存储设备的文件进行详细的日志记录,如记录“谁在什么时候拷贝了什么文件”。

    3)打印设备。本系统控制的打印机设备包括本地打印机、网络打印机和虚拟打印机??刂撇呗园ń故褂么蛴〔僮骱驮市硎褂么蛴〔僮?。在允许打印操作的情况下,对打印文件进行日志记录,并对打印内容副本进行缓存。

    4)设备属性控制。对网络适配器属性和设备管理器进行控制。

    l  网络适配器属性

    通过网络适配器属性设置,终端用户可以任意修改网络配置。本系统提供了控制修改网络适配器属性的选项,在禁止修改的策略下,终端用户无权打开网络适配器属性页面。

    l  设备管理器

    通过 Windows设备管理器,终端用户可以设置终端设备属性。本系统提供了控制操作设备管理器的策略,在禁止使用的策略下,终端用户无权打开设备管理器属性页面。

    进程安全管理

    中安源主机审计系统可通过设置进程的签名白名单、签名黑名单、名称白名单以及名称黑名单四种方式对进程行为进行控制。

    1)进程签名白名单控制。用户只能运行管理员进行签名认可的程序,其它程序全部禁止使用。这是最严格的用户进程控制方式,也是最安全的进程控制方式,即使用户更改了应用程序名也无法运行。在签名白名单控制的策略,进程被分为两种类型:微软类程序和非微软类程序。微软类程序是指微软公司发行的程序。

    2)进程签名黑名单控制。用户不能运行黑名单中出现的程序,其它程序可以运行。同样,在签名黑名单控制的策略,进程被分为两种类型:微软类程序和非微软类程序。

    3)进程名称白名单控制。通过程序的名称进行认证,在名称白名单列表中的程序予以运行,其余将被禁止运行。

    4)进程名称黑名单控制。通过程序的名称进行认证,在名称黑名单列表中的程序将被禁止运行,其余的程序予以运行。

    5)进程分时段控制。为了控制方式更加灵活,本系统提供了对进程的分时段控制机制。如定义上述的控制策略只在上班时间(安全管理员可以自定义上班时间断,如 8:00-12:00, 14:00-18:00,)生效,其余时间段的进程行为控制策略失效。

    6)日志记录。对终端用户运行的程序进行日志记录,包括操作者、运行时间、运行的进程名称等信息。

    桌面资源管理

    远程监控和桌面管理功能提供实时监视和控制终端计算机的运行状况,包括:当前屏幕监视、当前运行进程监控、 CPU使用情况监视、内存使用情况监视、硬盘使用情况监视、桌面锁定和解锁、终端计算机注销重启关机、终端共享文件管理以及帐号管理等功能。

    1)屏幕监控。实时监视终端用户的计算机屏幕状态,并提供了远程控制开关选项,支持从中安源控制台对终端用户进行远程协助。提供抓屏功能,为终端用户的操作行为保留现场。

    2)运行进程监视。实时监视终端用户当前运行的进程的详细信息,并且允许安全管理员可以从进程列表中选择特定进程进行远程终止。

    3CPU状态监视。实时监视终端用户的 CPU使用状态,包括具体 CPU占用值和占用比例。

    4)内存状态监视。实时监视终端用户的内存使用状态,包括具体内存占用值和占用比例。

    5)硬盘状态监视。实时监视终端用户的硬盘使用状态,包括不同磁盘驱动器的使用大小及其所占比例。

    6)桌面锁定和解锁。从中安源控制台可以对终端桌面进行锁定,在锁定状态下,终端计算机不能进行任何操作,安全管理员发送解锁指令后,终端才能恢复正常工作。

    7)终端计算机注销重启关机。从中安源控制台可以对终端计算机发送注销、重启和关机指令。

    8)终端共享文件管理。能够枚举共享文档属性、类型和当前连接情况,能够删除共享文件夹,对文档共享情况进行控制,解决了终端用户随意共享文件或忘记取消文件共享所带来的文件泄密隐患。

    9)终端帐号管理。能够枚举目标主机中所有的帐号和分组情况;能够新增用户、删除用户;能够锁定某个帐号,并对帐号进行解锁;能够修改帐号的密码,能够对帐号的权限进行管理(例如可以将管理员帐号的权限降低为普通用户权限)。

    终端资产管理

    终端资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。

    1)硬件资产管理。

    安装硬件信息

    本系统在用户登入后,记录下终端的所有硬件安装信息,记录的硬件类型包括:键盘、鼠标、主板、操作系统、 CPU、内存、硬盘、网卡、声卡等。

    变动硬件信息

    检测终端发生变动的硬件信息,并且提供对照信息,变动的硬件信息以不同的颜色进行标记,方便管理员进行浏览对比。

    2)软件资产管理

    安装软件信息

    本系统在用户登入后,记录下终端的所有软件安装信息并且进行日志记录。

    变动软件信息

    检测终端发生变动的软件信息,并且记录日志。

    3)资产统计

    提供丰富的统计工具,管理员能够方便地了解内网中的所有资产情况。

    文件分发与补丁管理

    对于一个中大规模的内部网络,在安装软件或补丁时要求管理员逐台主机进行安装,那将会导致工作效率非常低。软件(补?。┓址⒐δ芴峁┝擞行У姆绞嚼捶址⒑桶沧叭砑安苟〕绦?,大大提高了管理员的工作效率。该功能提供了三种软件分发模式:文件传输、执行软件和安装软件。

    1)文件传输。如果设定文件传输模式,那么管理员选定的文件将被传输到终端主机的指定目录。

    2)执行软件。如果设定软件执行模式,那么管理员选定的软件将被传输到终端主机的指定目录,并且开始执行。

    3)安装软件。如果设定安装软件模式,那么管理员选定的软件将被传输到终端主机的指定目录,并且开始进行安装。如果终端用户强行退出安装,重新启动后又将提示终端用户进行安装,直到终端用户成功安装了该软件。本系统提供了对分发结果进行查询统计;能够即时终止、编辑软件分发任务;能够针对指定的操作系统进行软件分发;能够针对特定的计算机分组范围进行软件分发。

    即时消息

    即时消息功能为终端用户和管理员提供了一个交流通道,方便他们及时进行沟通。这个交流通道是双向的,由终端用户即时消息和管理员公告两个组件组成。

    1)终端用户即时消息。终端用户可以利用该组件向管理员发送消息,该消息会显示在管理控制台的预警平台上,管理员可以及时进行处理。同时,该消息也会保存到中安源服务器,方便管理员不在线的情况可以进行事后处理。

    2)管理员公告。管理员可以针对某一个特定用户、一个特定的组或者是整个网络发送管理员公告。

    ARP 防火墙

    ARP防火墙能够有效地杜绝 ARP病毒攻击,一旦内部网络中出现了 ARP攻击,首先会对攻击行为进行预警,然后将对 ARP攻击所导致的 MAC地址混乱的现象进行清理,通过将其设置为静态 MAC地址从而避免了 ARP攻击所带来的影响。


    4.3.3 . 部署示意图

    4.4. 应用系统运行安全

    4.4.1. 范围和对象

    主要针对应用服务器的安全防护。

    4.4.2. 方式和方法

    通过防火墙划分安全域,将重要服务器置于安全区域?;は?,同时划分 VLAN隔离部门。

    采用 WAF ?;? Web应用。下面详细阐述:

    4.4.2.1. 概述

    根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上, 2/3 Web 站点都相当脆弱,易受攻击。另外,在今年 4 月国家计算机网络应急技术处理协调中心最新发布的报告中指出,“ 2007年度,网络仿冒、网页恶意代码、网站篡改等增长速度接近 200%?!倍孀? Web2.0 应用的推广,相关安全问题逐渐凸显,针对该类网站的攻击事件也在不断增多。

    1SQL注入

    2.木马上传

    3.远程溢出

    4XSS

    5.本地、远程包含漏洞利用

    6.重要信息窃取

    7.验证、认证绕过

    8Cookie、 Session劫持

    9.网站挂马

    10.应用层 DOS攻击



    4.4.2.2. 部署方式

    “铱迅 Web 应用防火墙”支持多种灵活的部署方式,如透明网桥模式、单机模式、旁路反向代理模式。其中,“铱迅 Web应用防火墙”的透明网桥模式尤为出色,管理员在不需要修改原网络拓扑结构的情况下,“铱迅 Web应用防火墙”相当于一根网线串入网络中,对 Web攻击进行防御。



    在本方案中, WAF的部署方式如下图:

    4.4.2.3. 防护功能

    “铱迅 Web应用防火墙”可以给您的 Web服务器提供应用层的全方位的?;?,功能包括:

    1.黑客攻击防护

    l SQL注入攻击(包括URL、POST、Cookie等方式的注入)

    l XSS攻击

    l Web 常规攻击(包括远程包含、数据截断、远程数据写入等)

    l 命令执行(执行Windows、Linux、Unix 关键系统命令)

    l 缓冲区溢出攻击

    l 恶意代码


    2.违反策略防护

    l 非法 HTTP协议

    l URL-ACL匹配

    l 盗链行为


    (未完待续)
    发表评论
    评论通过审核后显示。
    文章分类
    联系我们
    联系人: 牟经理
    电话: 028-85666248
    传真: 028-85666248-8008
    Email: business@www.gqks.net
    QQ: 489323802
    地址: 成都市二环路西一段80号金科双楠天都2号楼
  • 熊孩子频频花巨资打赏 主播自称“很无奈” 2019-06-18
  • 徕卡M10限量版外观曝光-热门标签-华商网数码 2019-06-15
  • 你们中了美国思维,中国思维却相反 2019-06-14
  • 全棉时代纯棉婴儿护理湿巾棉抽纸全棉纸巾棉柔巾全棉手帕纸婴儿湿巾组合套装系列 2019-06-12
  • 陕西省第二届特色与休闲农业青年微电影微视频大赛开始报名 2019-06-05
  • 看着就像笑,连语文基础都不懂,还要称逻辑大师,亵渎文明差不多 2019-05-30
  • 通过医疗,住房,都是乘人之危,太缺德,中国历史上绝无仅有。 2019-05-30
  • 人民网评:立鸿鹄志,做奋斗者 2019-05-25
  • 卢锋:宏观经济呈现企稳向好走势 2019-05-25
  • 乌鲁木齐:这个端午,他们的假日叫“坚守” 2019-05-15
  • 西部网(陕西新闻网)www.cnwest.com 2019-05-15
  • 这不应该对自己讲,应该对执政者讲。 2019-05-14
  • 49只“神话之鸟”中华凤头燕鸥返回象山韭山列岛 2019-05-14
  • 这么低档,还天天在此称好汉!少罗嗦,把你的“理”和“逻辑”,充分亮出来! 2019-04-30
  • 菜鸟世界杯送出50吨包裹 荷兰成国旗最大购买地菜鸟世界杯送出50吨包裹荷兰成国旗最大购买地-手机行情 2019-04-30