[客户背景]
经过多年的发展,该公司已发展成为具有较大规模的国际化大型跨国企业集团,集团的业务主要集中在金融、实业和其它服务业领域。
集团的网络承载着企业的管理、办公、财务,以及银行、证券、保险等各级子公司的业务系统,因此对网络的安全性要求非常高,网络与系统的安全稳定将直接影响集团对外服务质量及对内管理效率。
安氏公司作为国内一流的安全产品及服务提供商,在深刻理解该集团网络及应用的情况下,从集团全局整体考虑构建网络安全防御体系,并辅以多种专业安全服务,提高了网络的安全性与防护能力。
[安氏公司]
安氏是一家以技术著称的专业信息安全公司,自1999年成立以来,安氏始终致力于中国本土化自主可控的信息安全技术研究与普及,并不断的发展壮大。公司总部设于北京,在上海、广州、成都、南京等地设有分支机构,业务遍及全国。
安氏公司在电信、金融等重点行业率先推出领先的全面信息安全管理方案,并通过覆盖全国的渠道分销网络,销售自主可控的“领信”系列安全产品。密切配合国家的信息安全行业政策,安氏公司以提高中国本土安全技术水平为发展方向,积极担当沟通中外的桥梁角色,不断引入世界顶尖的安全核心技术,将其转化为属于中国的自有知识版权的产品和服务,并重点培育国内安全技术人才,积极为中国信息安全产业的发展打造第一块品牌。
[网络现状和安全威胁]
集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网。
集团广域网采用MPLS-VPN技术,用来为各个分公司提供骨干网络平台和VPN接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。网络拓扑图如下图所示:
从网络安全威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。
[安全需求分析]
从安全性和实用性角度考虑,安全需求主要包括以下几个方面:
安全管理咨询
安全建设应该遵照7分管理3分技术的原则,通过本次安全项目,可以发现集团现有安全问题,并且协助建立起完善的安全管理和安全组织体系。
集团骨干网络边界安全
主要考虑骨干网络中Internet出口处的安全,以及移动用户、远程拨号访问用户的安全。
集团骨干网络服务器安全
主要考虑骨干网络中网关服务器和集团内部的服务器,包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。
集团内联网统一的病毒防护
主要考虑集团内联网中,包括总公司在内的所有子公司或分公司的病毒防护。
统一的增强口令认证系统
由于系统管理员需要管理大量的主机和网络设备,如何确保口令安全称为一个重要的问题。
统一的安全管理平台
通过在集团内联网部署统一的安全管理平台,实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。
专业安全服务
通过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的安全风险情况,在必要的情况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力,降低安全风险。
[方案设计]
骨干网边界安全
集团骨干网共有二个Internet出口,位置在北京和广州,每个Internet出口各部署安氏LinkTrust Cyberwall-200F/006防火墙两台。
在两个Internet出口处各部署一台安氏LinkTrust Network Defender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrust Network Defender可以实时监控网络中的异常流量,防止恶意入侵。
另外部署一台高档PC服务器,该服务器可设置于安全管理运行中心网段,用于对集团骨干网部署的入侵检测进行统一管理和事件收集。
具体部署如下图所示:
骨干网服务器安全
集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等,以及专为此次项目配置的、用于安全产品管理的服务器的安全。
主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。
漏洞扫描
了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。
内联网病毒防护
病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。
病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。
增强的身份认证系统
由于需要管理大量的主机和网络设备,如何确保口令安全也是一个非常重要的问题。
减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。
统一安全平台的建立
通过建立统一的安全管理平台(安全运行管理中心—SOC),建立起集团的安全风险监控体系,利于从全局的角度发现网络中存在的安全问题,并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等,同时开发有效的多种手段实时告警系统,定制高效的安全报表系统。
专业的安全服务
安氏的目标是帮助用户建设完整、坚固的信息安全体系,因此我们从用户对安全的需求出发,依托安氏在安全领域强大的实力,为用户提供全面的安全解决方案。
安全是一个动态的过程,安氏提出了独特的PADIMEE TM 方法论,并将自身业务和PADIMEE TM周期中的每个环节紧密地结合起来:
策略(Policy)
评估(Assessment)
设计(Design)
执行(Implementation)
管理(Management)
紧急响应(Emergency Response)
教育(Education)
[实施效果]
本项目实施完成后,在该集团和安氏安全管理专家的共同努力下,为该集团量身定制完善、可操作性强的企业安全策略。根据这个策略制定了详细的流程、规章制度、标准、用户手册等规范,通过实施这一系列策略规范,为整个企业范围内的安全管理搭建了坚实的平台。
采用安氏的安全产品,基本上可以防范各类DOS攻击,发现和防范各种黑客的入侵。通过使用防火墙对关键网段的控制,保证了只有许可的人员才能访问关键服务器。通过入侵检测,对许可访问人员的行为进行审计和检测。通过安全管理中心对这些日志进行保存和审核,这一系列的手段保障了对来自内部攻击和误用的限制。
通过安全管理咨询和加固服务,邮件防毒、服务器防毒、工作站防毒系统,全面减少了网络受病毒感染的风险,将这些风险控制在一个可以控制的范围。
