内网安全管理软件(精选8篇)
内网安全管理系统软件招标技术要求
一、产品总体要求
1、公司的资质:公司成立10年以上,具有自主研发能力,有成熟稳定的研发队伍的软件行业企业。
2、产品资质要求:必须是自主研发,稳定销售8年以上;拥有自主知识产权,通过公安部检测,获得公安部销售许可证,至少拥有以下资质证明: 公安部《计算机信息系统安全专用产品销售许可证》; 国家版权局颁发的《计算机软件著作权登记证书》; 国家版权局颁发的《计算机软件产品登记证书》;ISO9000质量管理体系认证。
3、产品实施简单,可操作性强,实施后必须保证网络稳定畅通,系统正常运行,不影响正常开展工作。
4、*至少有五家500点客户的安装实施经验。
5、有丰富的行业客户服务经验,能提供后续技术支持和维护更新等服务。
二、技术规范要求
2.1 系统要求
▲客户端操作系统支持包括:Windows98/Me/NT/2000/XP/2003/Vista/Win7/2008,必须同时支持32位及64位系统。
▲所有监控功能都能按计算机和用户两种模式实现。
▲必须支持瘦客户机、终端服务器、无盘工作站等的使用模式。
*监控系统的部署必须支持多种安装方式,包括web安装、域脚本安装、远程安装以及域组策略安装等。
*必须提供分布式服务器管理功能,并且需要支持跨区域部署管理。*必须隐藏客户端进程。
*支持与AD域的结合,可与域组织架构实时同步。管理端必须支持C/S架构登录。
客户端在离线情况下,控制及日志记录功能依然生效。
附件二
2.2 功能要求
2.2.1 基本功能
能获取计算机的基本信息,包括计算机名称,网络地址,操作系统,登录用户,当前状态等信息,以及计算机多用户登录信息的查看。
▲支持增加管理员账户并对账户权限可实现细化,如管理范围、功能权限。同时可对非系统管理员的账户可禁用、删除以及修改密码,方便权限回收。
*必须具备管理员以及审计员账户,且相互独立,并且能够提供记录管理员操作的审计平台,包括管理员登陆系统,查看日志,对内网计算机的控制等等。
*支持对各终端所设置策略的总览以及对策略的应用查询方便管理员掌握终端的策略情况,同时具有对策略的导入导出功能及复制功能。*支持邮件报警功能,可以将违规行为详细记录为日志形式并通过邮件发送至指定邮箱。*支持设定自动关机功能,提供在指定时间关机、注销及重启的功能
支持按工作时间段进行策略设置,灵活管理。
支持远程对计算机进行键盘鼠标操作锁定、关闭、重启、注销和发送通知信息等。支持对3g上网卡拨号的日志记录。
2.2.2 基本控制功能(包括基本模块及设备管控模块)
能控制计算机对本机系统设置的操作权限,包括以下多项属性,并且各项可以单独控制: *IP/MAC绑定:修改网络IP/MAC配置
控制面板:控制面板、设置屏幕属性、添加打印机、删除打印机、快速切换用户。计算机管理:设备管理器、使用磁盘管理、本地用户和组、系统服务管理、其它计算机管理。
系统:任务管理器、注册表编辑器、命令提示符、运行注册表中Run下的程序、运行注册表中Run Once下的程序
网络:修改网络属性、显示网上邻居、修改Internet选项、默认网络共享、使用网络共享、增加网络共享
其它:使用print screen键复制屏幕、系统还原、Windows自动更新
▲可以控制内网计算机对常用设备的使用权限,支持对刻录机可读不可写的控制
存储设备包括:软驱,光驱,刻录机,磁带机,可移动设备(U盘,移动硬盘,记忆棒,智能卡,MO,Zip)、便携设备(智能手机)等;支持对上面各项的单独控制。
通讯设备包括:串口、并口、USB 控制器和连接器(HUB)、SCSI接口、1394控制器红外线、PCMICA卡、蓝牙设备、MODEM、直接电缆连接、拔号连接等;支持对上面各项的单独控制。
网络接入设备:包括无线网卡,pnp网卡,虚拟网卡等;并且可以对它们单独控制。其它:声音设备,虚拟光驱,任何新设备等的使用。
▲支持USB设备的细分控制,即以下每项可单独控制,支持3G上网卡的控制。USB设备:USB 键盘、USB 鼠标、USB Modem(3G上网卡)、USB 映像设备、USB CDROM、USB 存储、USB 硬盘、USB 网卡、USB其他USB设备;支持对上面各项的单
附件二
独控制。
*支持禁止增加非系统硬盘。
*支持对Iphone等便携式设备的控制 *支持对任何其他外设的控制
*支持对无线网络的连接控制,限制禁止连接的无线网络。
对计算机的硬件变化,设备的插入拔出,存储设备变化,通讯设备变化,软件变化,系统服务变化,启动项变化,系统时钟变化,计算机名称变化,网络配置变化等能提供报警信息并作为日志记录。
2.2.3 移动存储控制
支持对内网计算机控制其对指定移动存储设备的读写权限。支持自动收集客户端上使用过的移动存储信息,并可以自定义添加备注信息。同时支持移动存储分类库,允许对移动存储进行自定义分类,按类库进行管理。支持可按照对移动存储的描述进行控制。
支持所有通过USB接口方式连接计算机的存储设备。
支持在指定计算机上使用制定移动存储设备时,自动对复制/移动的文件进行加解密控制,加密后的文档只允许在具有自动解密权限的客户端计算机处才能打开,否则打开为乱码。
支持将指定移动存储格式化成加密盘,只能在内部装了客户端的计算机处正常使用,非客户端计算机无法使用。
能够记录内网计算机使用移动存储设备的情况;包括操作时间,操作类型(插入/拔出),计算机、用户、移动存储类型等。
2.2.4应用程序管控
支持通过禁止应用程序分类或禁止应用程序名称、应用程序窗口标题的形式来禁止计算机使用非法程序。
针对应用程序更改名称或路径的情况,所做的控制必须依然生效。能自动收集客户端计算机运行过的应用程序,并支持分类管理。
支持记录所有应用程序的启动/关闭、窗口的切换标题动作;并可以按时间范围,计算机范围,应用程序名称,应用程序路径、窗口标题这几种查询条件查询。
支持通过自定义的时间范围,对单个工作人员,部门,或整个网络的计算机的应用程序使用情况进行统计;
统计结果必须有列表和图表两种显示方式;
统计方式必须包括是:按应用程序类别统计、按应用程序名称统计、分项统计(统计各组计算机的应用程序使用),按明细统计等。
2.2.5远程维护
支持远程查看网络内的客户端计算机当前运行的应用程序,进程,性能,设备管理,系统服务,磁盘管理,共享文件夹,计划任务,用户和组等。同时支持对应用程序,进程,附件二
设备管理,系统服务,共享文件夹,计划任务的控制。支持对客户端的远程控制。
支持远程文档传输,提供客户端与控制台相互传送文件的功能。必须支持经过客户端允许或密码设定才能远程控制。支持远程卸载客户端计算机上软件功能
2.2.6屏幕监控
▲屏幕历史记录的数据量:平均一帧数据量少于▲支持对指定应用程序运行过程的屏幕记录。▲支持对应用程序的变频记录。
25K 支持通过控制台实时查看员工当前工作的计算机桌面,并可将当前屏幕保存为图像,支持对终端用户登录的屏幕分屏查看。支持同时对多屏进行监视。支持扩展显示器的监视。
能记录计算机当天的屏幕历史画面,并可以按指定的计算机查看指定日期范围内的屏幕历史记录,以播放器的方式播放某一天的屏幕历史,并可将当前播放的屏幕历史另存为视频文件。
2.2.7资产管理
支持对客户端计算机的硬件和软件资产信息的统计,并支持按分组或计算机统计硬件和软件的分布情况,同时支持设置自定义查询条件。
支持自定义添加企业内的非软硬件资产信息,并支持设置自定义查询条件。
支持实时查看客户端计算机补丁情况,并允许对补丁进行修补,同时不需要另外搭建wsus服务器。
支持自动扫描计算机的系统漏洞并提供解决漏洞问题的建议。支持通过控制台集中向客户端自动分发安装程序并自动安装,或分发各种文件到指定的目录下,以及分发其它执行程序到目标计算机的功能。支持对硬件资产添加自定义信息描述。
三、可靠性要求
数据库的存储能力及维护,为节省数据库维护成本以及防止因部分数据库损坏而影响所有数据,需要对日志数据采用按天存储的功能。每天产生独立的数据库,数据库出错无法修复也只影响受损数据库所保存的当天数据。
当操作系统处于正常模式和安全模式下都能正常监控。
要求监控系统有一定的自我保护能力,不会轻易遭到破坏,并且不能自行卸载,必须通过授权才能卸载。
每个服务器支持超过3000个终端在线管理。
系统进行局域网发现时节点占用带宽不超过20Kbps。
附件二
目前, 大部分的企业或机关单位都组建了内部的局域网, 实现了资源共享, 在方便信息传递的同时, 极大地提高了工作效率。然而内网开放共享的特点, 使得分布在各台主机中的重要信息资源处于一种高风险的状态, 内部信息泄露已经给许多企业单位带来了巨额的损失。然而问题的解决除了加强内部网络管理, 加强内网安全制度建设之外, 也要辅助于相应的工具。
1 什么是内网安全管理软件
内网安全管理软件是一种基于内网安全和可信计算机理论而开发的软件产品, 主要功能是辅助内网管理和保障内网信息安全。可分为两类, 第一类针对性比较强, 功能单一。如专门针对内网终端I/O管控的软件或专门用于网络身份认证的软件。第二类为综合管理软件, 功能较为强大。其功能涵盖认证、加密、监控、审计、管理信息安全需求的各个方面, 能够满足全方位的内网管理需求。由于市场需求的变化, 产品性价比等原因, 第一类软件已经变的越来越少, 第二类却越来越成熟, 市场热度也越来越高。本文中的内网安全管理软件主要是第二类。
2 需求分析
根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部, 在损失金额上, 由于内部人员泄密导致了6056.5万美元的损失, 是黑客造成损失的16倍, 是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查, 信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪, 而非病毒和外来黑客引起。这些安全威胁不是防火墙、入侵检测和防病毒等传统安全手段所能解决的。应该看到信息安全要立足于终端, 从源头抓起, 才能从根本上解决安全问题。
2.1 内网系统化管理需求
内网的网络管理是对内网硬件、软件和人力的使用、综合与协调, 以便更好利用网络, 保障网络正常的运行。具体包括流量控制, IP地址管理, 进程防护, 防病毒防护, 补丁安装防护, 网页过滤等等。随着企业对内部网络重视度加强, 内网网络用户的也不断增加, 如何统一管理用户, 合理分配硬软件网络资源成为网络管理部门重要的任务。由于计算机网络的一些特性, 这些工作的工作量会随着用户的不断的增加成倍增长。如静态分配IP地址时会出现IP地址冲突的状况, 而且用户越多出现IP地址冲突的几率就会加大。如果没有相应的辅助管理工具, 势必会带来安全隐患和造成网络混乱。
2.2 内网层次化管理需要
内网层次化管理, 较大的企业与事业单位部门繁多, 不同的部门信息安全的级别及对网络资源的需求是不同的, 如科技研发, 财务等单位的要害部门, 是最容易受到攻击的部门, 同时又是对网络资源需求最多的部门, 因此就要对这些部门赋予有别与其他部门的网络访问权限及安全管控。而一些安全级别相对较低的部门则不需。因此出现了不同层面的网络管理需求, 这种需求通过内网安全管理软件能够很好的实现。
2.3 内网终端信息安全需求
如前文所述, 网络信息安全风险主要来源于内网终端, 因此终端管控就成保障信息安全的重要工作。如何防范网络入侵, 如何预防用户主动或被动信息流失, 计算机资产的管理, 移动存储介质的管理, 计算机接入控制, 系统账号监控, 终端行为管理, I/O接口管理等等。终端管控复杂而重要, 单单依赖网络管理员及用户本身是难以实现的。
2.4 与硬件防护互补、替代需求。
同样存在一些硬件网络安全产品, 如防火墙、硬件还原卡等等。一些网络硬件设备也提供较为单一的安全防护功能, 如路由器的访问控制列表, VPAN及交换机的VLAN等等。这些硬件产品虽然能够对内网实施一定限度的保护但功能不够完善, 同时操作起来也比较复杂。内网安全管理软件能够很好的与硬件网络安全产品互补, 而功能更加强大, 部署更加灵活的特点使其取代了大部分硬件安全产品。
3 内网安全管理软件功能特性
3.1 内网安全软管理软件功能
前文我们提到内网安全管理软件功能涵盖认证、加密、监控、审计、管理信息安全需求的各个方面, 具体可细分如下;
认证:网络接入认证、各种移动存储设备接入认证;
监控:网络非法接入和外联监控、设备监控、文件监控、打印监控、进程服务监控、共享监控、软件监控;
存储:文件的本地安全加密存储、USB存储设备安全加密存储、文件网络加密存储、文件授权使用;
审计:用户对应用访问情况的审计、网络接入情况的审计、移动存储设备的接入审计、各种监控日志的审计;
管理:用户管理、IP地址管理、资产管理、软件管理、软件补丁管理和下发、分权管理;
这些功能基本上可以满足内网安全全部需求, 不同的内网安全管理软件在功能, 和功能表述上可能略有不同, 但大同小异。
3.2 内网安全软管理软件特性
大部分的内网安全管理软件都采用了模块化设计即将上述软件的各个功能模块化。顾客在购买软件时可以有选择性的购买需要的功能模块, 在购买软件后可以根据实际使用情况开启或关闭任意一项功能, 网络管理员可以根据不同的网络安全需求任意组合在终端加载这些功能模块。正是这种特性, 使得内网安全管理操作性更强, 管理手段更加多样化, 管理层次化更强, 安全性也更强。下图是某内网安全软件模块化设计示意图。
3.3 内网安全管理软件的部署结构
内网安全管理软件主要分三个部分部署:受控终端, 总控制服务器, 管理员控制台。具体部署结构如下图:
4 结束语
不可否认内网管理软件仍有许多需要解决的问题, 如与硬、软件的兼容问题, 占用终端系统资源的问题, 会给用户带来工作上的不便, 等等。然而内网安全问题的不断突现, 网络系统化管理需求的不断增加, 使得内网安全管理软件的使用已经势在必行。相信随着企业用户者不断的问题反馈与与内网安全管理软件的开发者不断的改进的良性互动, 内网安全管理软件将越来越完善, 将成为内网信息安全与网络管理的重要手段。
参考文献
[1]金波, 张兵, 王志海.内网安全技术分析与标准探讨.信息安全与通信保密.2007.
关键词:油田;内部局域网;网络安全
中图分类号:TP399文献标识码:A文章编号:1007-9599 (2012) 03-0000-01
Oil Field Internal LAN Network Security Management Strategy
Han Haiyan
(Tianjin Dagang Oil Field Plant CRR,Cangzhou061103,China)
Abstract:In recent years,with the expanding of oilfield internal LAN,exposed the many safety issues.The existing safety management system has been difficult to meet the new requirements.To this end,we must clear the security risks faced by the current oil field within the network,then find the corresponding measures to reduce the risk of a variety of security issues.
Keywords:Oil;Internal LAN;Network security
油田内网是一个有各种网络硬件设备与信息系统所组成的复杂环境,具有应用系统多、重要数据多的显著特点。随着科学技术的进步,油田内网建设虽然取得了一定的进步,但是所面临的威胁也越来越多,为油田的信息安全与安全生产带来了巨大的挑战。
一、油田内网面临的安全隐患
(一)无法有效的监控入侵行为
在组建内网虽然利用防火墙将内外网之间分割了开来为内网带来了一定的安全性。但是如今的防火墙技术仍然是有缺陷的,这就使得防火墙无法避免某些安全风险,同时如今的网络攻击手段也在不断的更新,这就使得防火墙更加疲于应付。一些手段高明的黑客或者其他入侵者有能力找到防火墙中仍然存在的漏洞进行入侵,而有的入侵者本就在防火墙内,这样的入侵行为很难被检测到,而且内网中的用户也基本没有能力进行判断。
(二)无法有效的防御各种新型病毒与垃圾邮件
如今的病毒以及病毒的变种发展的十分迅速,还有各种垃圾邮件也是层出不穷,使得各种新的病毒与垃圾邮件流入到内网中,而且很难有效的进行拦截。现在的杀毒软件对新病毒与垃圾软件基本无能为力,功能强大的能够识别一些新的病毒但是误杀率较高,还有的杀毒软件具有类似“沙盒”一样的功能,能够将可疑的软件通过隔离运行的方式来进行预防,但是这些手段都存在着一定的缺陷,这就无法将所有的新型病毒都拒之门外,造成内部网络的病毒层出不穷,而且基本所有的杀毒软件与防火墙都不能够很好的防范垃圾邮件的传播。
(三)局域网中的安全漏洞无法进行有效的统计
在整个内网之中还没有能够完全统一各种应用,使得应用较多、较繁杂,例如都有的如www服务、NT服务、文件传输、域名服务;还有其他不同的单位所采用的数据库有可能就会不一样,如有的用的是SqlServer数据库,有的用的是Oracle数据库;同时防火墙、路由器也有可能采用的是不同的。任何一种应用都不可能是完全安全的,都会存在一定的缺陷或漏洞,有的是常见的已经知道的,有的则是还没有被发现的。而且各种新的漏洞则有层出不穷。因此对正内网进行漏洞扫描基本成为了一个重要的环节,但是现在的手段却很难实现这一个功能。
(四)对内网用户的监控手段不足
当前,随着信息技术的进步,网络攻击手段也层出不穷,但是还有很多都是来自于内部的攻击,有数据显示有网络攻击70%都是来自于内部。从企业的网络安全部署来看,很多都是对外防御,很少注意到内部安全,再加上内部人员大多数都缺少足够的信息安全意识,而且内部人员对内部的情况也最清楚,这就让内部的攻击更容易成功。对于现在的技术手段,如果是内部用户因为感染病毒而进行了非主动性的对内网的用户进行了攻击,那么就很难找到这台带毒计算机,如一台感染了蠕虫病毒的机器,会不断的向局域网内发包,但是用户却没有什么办法来确定是哪一台交换机的哪一个端口。
二、加强油田内网安全的措施
(一)采用入侵检测系统
虽然现在提倡使用入侵防御系统,但是入侵防御系统对于用户的要求较高,需要用户能够分别出哪些程序与进程是无害的。而油田局域网内的大多数用户并没有这个能力。因此应该在核心机上添加入侵检测系统,对于入侵检测系统所捕获的数据自有专业人士来进行分析,找出其中不正常的数据流。利用入侵检测系统当发现网络违规行为和未授权的网络访问时,入侵检测系统中一般都有相应的安全策略来对不同的情况进行响应,而且用户还能够自定义自己需要的安全策略。防火墙与入侵检测系统之间通过联动协议能够更好的对攻击进行防御,例如入侵检测系统通知防火墙拒绝此攻击,并且禁止源地址的继续访问。这样两者之间能够有效的互补不足。
(二)防火墙之后串联防毒网关,增强病毒查杀与垃圾邮件过滤功能
防毒网关在病毒杀除、关键字过滤(如色情、反动相关的字词)、垃圾邮件阻止等方面有着较强的功能,能有效的弥补杀毒软件与防火墙的不足,同时防毒网关还具有部分防火墙的功能,同时还能够对Vlan进行划分。防毒网关会对进出网络内部的数据进行检测,并对HTTP、FTP、SMTP、IMAP这四种协议的数据进行扫描,如果发现病毒就会采取相应的措施,例如隔离或者查杀。而且防毒网关还具有垃圾邮件的阻止功能也让油田内网免受垃圾邮件的干扰。
(三)应用漏洞扫描系统,规范各种应用
就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技术,能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十分先进,但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注意这样几个标准:(1)必须要通过国家相应的权威认证,目前主要有这些组织的认证,公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心;(2)漏洞扫描系统的最新漏洞数量与升级速度,非专业的人员也要能够容易掌握系统的升级方法与漏洞更新方法;(3)漏洞扫描系统本身的安全性能,对于漏洞扫描系统本身的抗攻击能力与安全性必须要进行考查、确定;(4)是否支持分布式扫描,扫描系统必须要具有灵活、携带方便、穿透防火墙的特性,如果扫描所发出的数据包当中的一部分被路由器、防火墙过滤,那么将会降低扫描的准确性。
同时还必须要对各种应用进行进一步的规范,例如数据库,可以考虑是否能够采用同一种数据库,防火墙与网关是否可以考虑统一采购同一种产品。
三、结语
信息化建设推动了油田的发展,但是由此带来的内网安全问题也比较突出。内网安全问题严重的甚至会影响到油田的正常生产的进行,为油田带来巨大的损失。因此,必须要对油田当前内网的安全性形式进行仔细的分析,并找到解决的措施,将油田的内网安全风险尽可能的降低,为安全生产提供保障。
参考文献:
[1]刘利军,宋慧,克江.浅析油田网络安全的对策及应用[J].硅谷,2009,9
[2]唐宏,刘荣广,王蒙.油田计算机网络桌面安全管理系统的应用研究[J].内蒙古石油化工,2010,20
一、网络边界背景
早期的网络只是为了使分布在不同区域的人们资源共享和通信而建立的。网络发展到今天,全世界的计算机联成了网络。而网络安全也随之而来。信息泄密、外来攻击、病毒木马等等,越来越多的网络安全问题让网络管理者难以应对,而如将内网与外网完全隔开,就会形成信息的“孤岛”,业务无法互通,资源又重复建设,并且随着信息化的深入,在各种网络上信息共享需求也日益强烈。
二、网络边界防护手段
不同安全级别的网络相连,就产生了网络边界。一般来说,防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。
从防火墙技术的到多重安全网关技术,再到不同时连接两个网络的网闸技术,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来说,只有人才是最好的对手。
三、现有边界防护技术的缺陷
面对各种各样包含新技术的攻击手段,现有的防护产品以及其附带的防护技术是否能实现预定功能。现有的安全管理员还不能对这些防护产品性能足够了解,就谈不上正确使用,把产品功能发挥出来。
再说网络边界防护是一个长期需要大投入的工程,一般的主管安全的领导及安全管理员根本不清楚遭受攻击的一些细节,安全管理员根本不知道该怎么防,往哪里防。
购买最新的安全防护产品,或是花大量的时间、资金培养几个资深的安全管理员,且不说两者能不能配合,能不能防住,使边界安全防护达到预期的目标,单单投入方面也不是现有的企业目前所能够承受的。
根据我国现阶段现状,政府和企业不可能在网络安全方面大量投入,而有限的资金又不能投入到最需要的地方去,造成大量的资金浪费。该防的没建设,目前不用防的反而建设了。
对于公开的攻击,只有防护一条路,比如对付DDOS的攻击;但对于入侵的行为,其关键是对入侵的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与入侵者的行为是边界防护的重点与难点。
四、符合中国特色的边界管理
面对上述种种问题,现有边界防护技术和产品远远不能满足我国机构和企业的需要。那么我们必须转变思想,找出路!
既然我们现阶段有资金,人员及技术各方面的限制,不可能把网络边界打造成“钢墙铁壁”。没钱修“城墙”,守卫又不合格,那么只能多装摄像头,对所有的边界监控起来,达到不留“死角”的程度。一旦发现有攻击、入侵行为马上报警,马上处置,然后针对被攻击或入侵的薄弱地点,修一段“城墙”,重点防御。较低的投入,把现阶段安全问题管起来,最后达到一个可控可管,齐抓共管的局面。
网络边界安全问题主要可以分为两个方面,一个是由于外网接入到内网中,从而带来的网络安全问题,另一个是内网内部产生的网络安全问题。对于外网的接入,一般网络上都增加了防火墙、VPN路由器等来保证网络的安全,对于在内网出现的问题就没有设备来保证网络的安全问题了。浙江远望电子有限公司的内网边界检查系统出现就解决这个问题,从内部网络开始检查,查找相关的问题,找到问题的源头,进行预警,预警提示后在进行技术或人工手段来阻断相关的问题。远望内网边界检查系统也可以对外网的接入进行监测,通过预警把相应的情况报告给管理员,由管理员进行手动直接断开外来接入或通过网络上技术的手段进行网络断开。并且远望内网边界检查系统可以实现多级级联,逐级对网络进行安全管理。
五、远望内网边界检查管理系统
远望内网边界检查管理系统,通过对内网边界安全监测和管理,防止外来计算机、网络等通过非法手段接入内网,防止因内网边界问题而导致信息泄密,病毒木马入侵,带宽资源因没有注册的设备增加而被严重胡乱占用。通过违规外联和线路边界的发现和监测技术,配置网络边界发现策略,全面发现网内的设备边界和线路边界的异常情况,实现对违规行为的阻断,确保内网的安全。
通过技术手段对网内的设备边界和线路边界的异常情况进行实时扫描、自动检测,及时发现线路边界问题,把相关信息反映到管理员控制页面上。同时在规定时间内对通过非法接入内网等边界问题进行阻断。
周云
The Research of in-Network Security System’s
Construction
ZHOU Yun
(The Communication Management Center of Chengdu Military
Region)
【摘 要】伴随着计算机和网络的迅猛发展和广泛应用,作为包含着网络设备与信息系统的内网环境,其安全问题也日益突出,本文在分析内网安全隐患的基础上,探讨了内网安全系统建设中需要重点考虑的几方面内容,并对内网安全体系的结构及相关安全技术进行了讨论。关键词:内网安全系统 安全体系
随着网络技术的发展和网上各种应用的不断丰富,网络安全问题日益成为人们关注的焦点。人们在网络安全部署策略中更多地注重网络边界的安全,如将内外网物理隔离、采用防火墙、入侵检测系统等,但据统计超过50%的网络及信息安全问题源于内部人员所为,其次才是外部黑客的攻击。由于内网是一个由网络设备与信息系统组成的复杂环境,连接便捷、应用系统多、重要数据多是其显著特点,如果疏于对内网的安全防范,那么就极易出现应用系统被非法使用、数据被窃取和被破坏等情况,因此注重内网安全系统建设、有效防范源自内部的安全问题,其意义较之于外网安全防范更为重大。内网的安全分析
随着政务、商务、金融等活动的电子化、网络化程度不断提高,内网的建设规模上也不断扩大,当前在内网中网络及信息安全方面呈现出的主要特点是:(1)网内设备种类繁多,包括各类网络设备、操作系统、服务器、安全保密设备等,且每种设备均有其独特的安全状况和保密功能;(2)访问方式多样化,网络环境中存在多种进出方式,较多的拔号登录点以及新的Internet访问方式都会使安全策略的设立复杂化;(3)技术发展变化迅速,不断有新的设备、操作系统和应用系统在启用, 安全配置的实施也在不断变化;(4)用户安全专业知识缺乏,多数用户所拥有的网络及信息安全防范专业知识十分有限,不能及时发现、处理存在的安全漏洞。
内网面临的安全威胁主要来自以下几个方面:一是合法用户的威胁,指拥有合法授权的用户因在系统管理方面的错误或疏忽造成系统破坏的可能性,如滥用授权、错误操作、操作行为抵赖等;二是非法用户的威胁,指非授权用户或低权限用户越权对系统造成破坏的可能性,如内部员工的越权访问、内部攻击者的恶意入侵、数据的窃听和破坏、恶意代码的破坏、物理破坏等;三是系统组件的威胁,指信息系统的硬件或软件发生意外故障的可能性,如系统设备意外故障、通讯中断、软件意外失效等;四是物理环境的威胁,指由于环境因素造成系统破坏的可能性,如电源中断、自然灾难等。内网安全系统建设的主要内容
基于内网的构成、管理及使用特点,在内网安全系统的建设中应着重考虑安全评估、信息管理、用户管理、安全审计四个方面内容。
2.1 安全评估
安全评估是依据安全管理方针和保证程度要求,综合考虑组织特性、地理位置、资产和技术等因素,充分利用各类信息(如威胁信息、脆弱性信息和影响信息等)对网络及信息系统的安全状况给予评价,确定由安全问题带来的风险程度,并选择适宜的控制目标和控制方式。
安全评估的内容可包括:网络基本情况分析、信息系统基本安全状况调查、信息系统安全组织和政策情况分析、网络安全技术措施使用情况分析、安全设备布控及内部业务安全状况分析、动态安全管理状况分析、链路和数据及应用加密情况分析、网络系统访问控制状况分析、渗透测试等。
安全评估是实施内网安全系统建设的基础,在评估过程中可以深刻理解内网安全管理的目标、全面掌握内网安全现状、及时发现各类安全隐患。
2.2 信息管理
内网的信息管理是在综合平衡信息机密性和可用性这两个因素的基础上,对网内的信息及其流经设备进行归类,明确它们的安全要求,并采取适当的技术手段和管理措施,到达信息安全的目标。
信息的重要程度信赖于信息流程,由于信息流程的不同,与信息流相关的用户对象、设备的重要性也不同,例如公司内部的信息流可以分为“总经理—部门经理”、“部门经理—职员”、“职员—职员”等方式,每种方式中涉及的信息内容、共享程度、处理过程、硬件设备都有所区别。基于信息流的分析方法,可将信息划分为关键、重要、次要和一般等多个等级,信息等级的定义及相应的安全要求可综合考虑信息价值的关键性、损失或破坏后造成影响的程度以及影响产生后的可接受程度等因素。
信息管理是内网安全管理的核心内容,所有安全保密手段和管理措施都是围
绕着信息的安全展开的,同时应意识到信息管理不仅是针对信息本身,还涉及到信息的流动环节,它是一个动态管理的概念。
2.3 用户管理
内网中的硬件设备、操作系统和应用系统等面向的用户主要分为管理者和使用者两大类,各种权限的设置成为用户管理的主要内容。若从可信度的角度去观察用户管理,则可以看到,用户及权限的设置正是用户可信程度高低的体现,用户所拥有的管理或使用权限越高,则其被信任的程度也越高,反之亦然。用户可信度在用户管理中是有层次关系的,用户可信度越高则所处的可信层次越高。
在通常的用户管理概念中,一个用户能够同时被赋予多种角色,行使多种权力,且这种授权方式在实现上一般仅有管理约束而无技术约束,由此产生的后果则是破坏了用户可信度的层次关系,给安全管理带来了隐患。以用户可信度为基础,用户管理首要考虑的问题就是如何有效地保证用户可信度的层次关系不被破坏。例如,一个用户只能处于一个可信层次中;由可信管理机制统一对用户实施可信度管理;用户在可信管理机制下完成其在可信层次中有条件的转换等。
内网用户管理是合理、有效、安全地使用网内设备及信息系统的基础,实施用户管理除了从行政(或业务)管理角度考虑外,应更多地发挥技术管理机制作用,尽量避免因主观因素和管理疏忽带来的安全问题。
2.4 安全审计
安全审计的范畴涵盖安全方针、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护等内容,此处所说的安全审计则特指在网络及信息系统中对安全事件进行收集、检测、统计、分析、评估和控制的过程。
安全审计信息的来源主要为各种日志记录,如运行日志、告警日志、安全认证日志、操作日志等。安全审计信息可按照用户、时间、地址、数据、程序、设备、告警级别等分类标准进行统计、分析。安全审计的评估过程是在对已发现的安全事件进行统计、分析的基础上,确定已经或可能造成的影响程度,并提出解决方案。安全审计的控制过程则是通过采取规范、法律、监察、管理、技术等措施达到减小安全事件影响后果的目的。
安全系统的建设不是各种安全产品的堆砌,也不是一次性安全策略配置就能完成的,而是一项长期性且需要不断完善的工作,安全审计正是这项长期工作的主要内容,是内网安全系统发挥作用的有效保证。内网安全体系结构及安全技术
内网安全体系结构是一种多层次结构,每层都涉及到相应的安全内容和技术手段。以目前的网络应用和安全管理现状,安全体系建设主要考虑物理、系统、网络、应用和管理这五个层次的安全。
3.1物理层安全
物理层安全指物理环境的安全性,主要考虑机房建设、环境安全、物理安全控制等内容,采用的技术手段包括:机房屏蔽、电磁干扰、防雷系统、门禁系统、机房集中监控等。
3.2系统层安全
系统层安全指操作系统的安全性,其安全问题来自网络内使用的各种操作系统。系统层安全问题主要表现在操作系统本身不安全和操作系统安全配置有问题这两个方面。系统层采用的安全技术有:漏洞扫描、入侵检测、安全日志、防病毒技术等。
3.3网络层安全
网络层安全指网络的安全性,其主要体现在网络设备及信息的安全性,可采用的安全技术包括:身份鉴别和认证,网络资源访问控制,数据传输加密和完整性保护,远程接入控制,网络层加密,网络安全扫描,网络陷阱技术,路由控制技术、包过滤技术等。
3.4应用层安全
应用层安全指网内应用的安全性,考查的是网内应用软件和业务数据的安全,网内应用软件包括:数据库软件、Web服务、电子邮件系统、文件传输系统、专用业务系统等。应用层安全技术有:网关防病毒技术、应用层安全扫描、应用层安全代理、应用层加密、应用层信息过滤技术等。
3.5管理层安全
管理层安全指管理的安全性,包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化程度极大地影响着整个网络信息系统的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。结束语
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时建立并加强内网防范策略。
2、限制VPN的访问
虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
3、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。
4、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用的,关掉该文件的共享协议。 6、首先保护重要资源 若一个内网上连了千万台(例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。
6、建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
7、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。
8、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的R&D。因此要实现公司R&D与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。
9、可靠的安全决策
在信息化快速推进的当代, 网络完成进入人们日常生活的方方面面。内部信息网络作为企业、政府等机构内部信息流通的主干道, 发挥着重要的作用。在多种原因的共同作用下, 内网安全面临着严峻形势, 网络泄密、网络入侵等时有发生, 因此内网安全的重要性日趋提升。
二、内网的主要特点
一是内网信息量大。目前, 大量的信息以电子文件形式存储、传播, 遍布在服务器和个人电脑的各个角落。二是内网相对独立。由个人电脑、网络设备、服务器和安全设备组成的内网系统, 构成相对独立的自治系统。三是内网十分重要。各行各业的业务系统的上线后, 各个单位的正常运转对内网的依赖程度很高。
三、内网安全管理存在的问题
由于内网的相对独立, 多数人认为内网相对于互联网是安全的, 但事实并非如此, 当前内网的安全管理主要存在以下问题。
1、外紧内松。据统计, 大量的内网安全问题是由内部监管不力引发。内网的安全系统能阻止有限的病毒攻击和黑客侵入, 但对内部人员无意泄密、个人电脑被远程控制等的情况没有应对能力。2、手段缺乏。目前多数企业、政府机构安全监管力度不足, 内网监管系统有的已建立, 但策略、措施并不完善。如:基本依靠以太网交换机划分VALN等方式来限制访问范围, 用户行为监控也是手段有限, 导致通过移动存储设备复制文件或直接打印、刻录造成的失泄密时有发生。3、易攻难守。当内网内某台计算机感染了病毒或木马, 往往需要花费很长的时间才能判断和定位, 然后再通过手动的方式断网杀毒。用户主机和服务器漏洞补丁的更新只能依靠用户自行进行, 导致黑客利用操作系统或者应用程序漏洞进行攻击的风险增大。网管人员由于计算机数量多、操作系统种类杂、分布地点散等问题, 难于进行统一管理, 无法制定一致的安全策略。
四、内网安全管理体系的构建
内网安全的目标是方便管理、有效控制、确保互信, 所有设备和电脑都要统一纳入管理体系。内网安全管理体系一般由网络边界安全、数据安全保护、终端安全管理和身份认证管理等部分组成。
1、网络边界安全。网络边界安全包括防火墙、入侵检测、流量控制、防毒网关、防毒软件和多功能网关等。防毒软件主要是防御网络病毒, 为内网用户提供防毒代码自动更新服务。流量控制合理分配网络资源, 实现各业务的流管控制;防火墙、防毒墙网关主要防护外网的黑客攻击、病毒入侵等;入侵检测主要是记录与拦截对来自外网中的不安全行为进行。2、数据安全保护。数据保护包括数据库安全管理、文件加密、移动介质加密和文件集中管理等, 利用各种方法手段, 对网络中的信息和存储设备内的数据进行保护。同时, 提高数据备份力度, 采取定期备份、持续备份、实时监控等方法, 确保重要数据安全。3、终端安全管理。终端安全管理包括远程管理、补丁分发、终端防毒和系统保护等。补丁分发是主要是自动安装升级内网用户电脑补丁。终端防毒是网络防毒软件的客户端, 自动连接服务器, 定时更新病毒代码。系统保护是指对用户操作系统备份、恢复等功能。4、身份认证管理。身份认证是指对入网用户合法性的认证, 主要是通过核心交换机、接入交换机配置或准入网关限制等方法, 防止外来计算机在未授权情况下随意入网。身份认证的范围包括客户端、主要设备、服务器和用户等。授权管理是在身份认证的基础上, 对内部信息网络的各类资源进行权限管理。
五、内网安全管理的有关对策
1、完善制度。要解决内网安全问题, 要依靠技术手段, 还需注重管理制度的优化完善, 将技术和管理有机结合起来, 构建一个综合一体、层次清晰、管控有力的多层级内网安全体系。2、健全手段。制定落实安全建设计划, 一是部署网络边界防护系统, 严格管控外网访问。二是安装桌面管理系统, 实现对内网计算机的行为监控、合法验证、补丁分发、端口管理等功能。三是部署网络防毒软件, 定时自动发送升级包。四是安装准入网关, 杜绝外来计算机非法接入内网。3、加强监管。全时全方位监测内网安全状态, 对内网用户的行为实行有效监督, 定期形成评估报告。在文档的安全保密方面, 要在整个文档的生命周期内, 实行全程管理。在身份认证方面, 认证范围要扩展到全部实体, 明确“谁”能够对“哪些”资源进行“怎样的操作”。
摘要:随着信息化在各行业的迅速扩展, 内部信息网络作为机构内部信息流通的网络渠道, 面临着严峻的安全形势。本文的主要内容是根据内网的主要特点, 分析内网安全存在的主要问题, 提出了解决内网安全管理问题的主要模型, 并就内网安全管理的对策和措施进行了探讨。
关键词:内网,安全,管理
参考文献
[1]王学华, 张彬彬.内网安全技术研究[J].软件导刊, 2012 (9) :131-133.
[2]李楠.内网安全管理系统中安全评估技术的研究与实现[D].北京:北京邮电大学, 2011.
关键词:网络安全;802.1X协议;企业内网;安全接入控制
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2013)23-0157-03
目前,国内的大中型企业均已完成了企业内部网络和信息系统的建设,但各类来访人员终端接入公司内部网络时,普遍处于不可控状态;另外,企业在金融资本市场上需要遵守某些国际的规则和法案(如SOX法案404条款)。企业成立内控部门,力求企业生产运营过程各环节的可追溯、可审计。因此,需要通过对于终端接入的认证管理,实现终端接入的可控和可审计,满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究,提出解决方案。
1 802.1X协议及解决方案
1.1 什么是802.1X
IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议,802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。
在802.1X出现之前,企业网上有线LAN应用都没有直接控制到端口的方法,也不需要控制到端口,但是随着无线LAN的应用以及LAN接入在电信网上大规模开展,有必要对端口加以控制,以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1.2 802.1X认证体系结构
802.1X的认证体系分为三部分结构:Supplicant System客户端(PC/网络设备)、Authenticator System认证系统、Authentication Server System认证服务器。
基于以太网端口认证的802.1X协议有如下特点:IEEE802.1X协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
1.3 802.1X解决方案
1.3.1 Cisco NAC。思科与防病毒厂商(包括趋势、McAfee等)合作的安全网络接入控制(下称NAC)方案,可实现基于用户身份的认证,也可对客户端防病毒安全状态进行评估,对不满足条件(预先制定的策略)的用户,对其接入网络的能力和范围实现控制,从而提高全网整体的安全防护能力;采用思科网络安全接入控制方案(NAC),可以有效地解决SOX法案要求局域网接入认证的内控要求。
NAC是由思科公司倡导的跨业界合作的整套安全解决方案,自2003年11月提出后获得防病毒厂商的广泛支持。目前,包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商,都已成为思科NAC合作伙伴。
1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统(以下简称终端安全系统)是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全代理,对终端的安全状况进行检测,并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动,限制不符合安全要求的终端的上网。
1.3.3 局域网准入方案比较。
实施方法比较:
(1)协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证,即无客户端方式,为用户提供另外一种选择。
身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台;华为只能以用户名/密码方式进行身份认证,思科除了采用用户名/密码方式外,还可以采用证书方式管理用户身份。
管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器(通常是RADIUS服务器)和第三方的软件产品(病毒库管理,系统补丁等)协作进行;用户资料和准入策略由统一的管理平台负责。
(2)协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案,于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息,以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商:趋势科技、McAfee、赛门铁克、CA、IBM,国内软件厂商:瑞星和金山等15家安全领域主要厂商。
EAD方案,于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。
(3)对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似,都是基于对802.1X和EAP协议的开发,但目前并不兼容。
NAC方案:由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器,采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。
EAD方案:如果采用华为EAD方案,现在思科的接入设备将全部更换,并且需要配置新的策略控制设备。
(4)与现网设备的兼容性。
NAC方案:思科方案与现网设备不存在兼容性问题。
EAD方案:由于华为EAD方案必须采用华为的二层交换机,与现网思科的交换机互联,很容易出现由于生成树协议配置不当而引起广播风暴。
2 接入控制技术的实际应用
2.1 企业内部网络现状
浙江某运营商DCN网络是企业的运行支撑网络,为各个专业网管系统和企业应用系统提供了统一的数据通信平台,目前网络已经覆盖到各交换母局和大的营业网点。
当前存在的问题如下:(1)移动办公和远程维护的需求强烈,但缺乏安全的接入手段,因此只能小范围试用。(2)内网多出口现象严重,绕开统一出口直接访问公网,造成病毒严重,严重威胁内网安全。(3)缺乏安全的内网无线接入手段。(4)内网缺乏统一的安全策略规范和控制机制。(5)没有接入控制机制,内网接入随意,基本没有保护,对第三方人员和企业内部员工不健康的终端均无限制手段,严重威胁企业信息安全。
2.2 工程实施内容及建设方案
2.2.1 工程建设需求:(1)满足远程接入需求,实现用户在外网时能够安全接入DCN网络;(2)满足用户通过统一入口VPN方式接入DCN网络后,能够访问各类内网应用系统;(3)用户在外网接入内网时,应首先通过入口的Radius认证和动态口令认证;(4)终端在局域网通过有线或无线方式接入时,对终端安全性进行检测,认证后准许进入网络。
2.2.2 工程建设方案。
工程组网:Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备,完成省公司员工访问Internet的访问控制和安全防护;两台SA4000设备部署在防火墙的DMZ区,连接在DMZ交换机上,采用A/P的高可用方式部署,防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤,SA设备则实现SSL VPN,进行应用层保护过滤和接入。部署一套Juniper SBR radius软件,作为DCN网络AAA认证服务器,用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合,降低部署的复杂度。
终端安全检查策略:Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况,包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略,一般建议检查是否安装有杀毒软件,不符合条件的拒绝登录或提示后登录。
接入方式:由于SA 4000设备具有Core、SAM和NC三种接入方式,三种方式获得的权限各不相同,对于每个用户组(Role),需要选择其能够使用的接入方式。
资源策略设置:在每种接入方式下,可以设定Role能够访问的资源,类似于防火墙的ACL(访问控制列表)。根据不同Role的实际需要,设定不同的访问权限,保证每个用户能够访问到其必须访问的资源,同时不获得超出其工作需要的权限。
局域网内,通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测,内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等,并保护企业重要信息资源不被外来终端访问,阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成,提供统一身份认证,统一授权的基础,确保用户信息在各系统中的
同步。
2.3 工程实施效果
工程实施效果见表1。
3 结语
企业信息化建设过程中,较多关注于信息系统建设,对于信息化基础的网络安全,关注不够全面,本文重点关注于之前企业安全管理薄弱的网络接入控制技术,并结合业界解决方案,应用于实际工程。
参考文献
[1] 宁宇鹏,薛静锋.信息安全-理论、实践与应用[M].
[2] 马燕,曹周湛,等.信息安全法规与标准[M].北京:机械工业出版社.
[3] 高海英.VPN技术[M].北京:机械工业出版社.
[4] 802.1X IEEE Standard for Localand metropolitan are ane tworksPort-Based Network Access Contr ol IEEEStd 802.1X?-2004.
【内网安全管理软件】推荐阅读:
电子政务内网管理制度07-03
hse安全管理软件简述05-30
软件安全责任制度09-24
软件安全中混合加密算法05-25
机房管理、软件研发06-16
学校学籍管理软件06-08
软件版本管理规范07-14
财务管理软件申请09-12
软件外协管理09-22
软件质量管理论文09-25