企业数据安全解决方案(精选9篇)
随着计算机网络技术的发展和业务扩展的需要,很多中小型企业开通了远程联网和远程业务,从局域网发展到广域网,因而很容易受到社会上黑客的攻击和恶性病毒的感染,加上网络环境硬件本身的可靠性和操作人员的差异性,企业网络的安全运行已引起公司领导的极大关注。
虽然中小型企业业务网络都采取了一定的措施,例如用户权限密码管理、部署防病毒软件、安装防火墙等。但是企业信息系统仍十分脆弱。采用备份来解决数据安全问题,仍可能会受到小疏忽的影响。
人为错误是导致数据安全问题的首要原因
山丽数据安全调查小组的研究报告显示,40%的家庭、企业、政府和IT经销商用户相信,人为错误是导致数据遗失的首要原因。这表示虽然用户的技术和知识在几年来都在进步中,但人为错误仍然是数据遗失的关键因素。常见的人为错误包括意外删除文件和忘记备份。在全世界众多中小企业中,有很多拥有办公电脑,但是却没有安全管理的服务器。这意味着他们没有办法享受通过集中式管理,将数据直接提供给员工、合作伙伴以及客户带来的好处。将各种数据都存在个人电脑上则很容易因为人为错误而被意外删除。
数据外泄也会发生在中小企业
数据外泄导致数据遗失,无论是有意还是无意,绝大多数的数据外泄事件都是从有读取公司内部网络及信息的用户权限开始的。
数据窃取成为网络威胁的形式之一
和大型企业一样,中小企业也是网络犯罪的目标。有价值的员工和客户信息都是网络犯罪的目的。黑客通过垃圾邮件或者用户访问恶意网站时不经意的下载,从而窃取与银行、社交网络以及电子商务网站有关的机密信息。
山丽数据安全调查小组总结十大数据安全措施,其中重点强调,数据安全措施越早实施,效果越好。1.2.3.4.5.风险。
6.7.8.数据安全措施越早实施越好。在规划阶段就明确数据安全保护策略。明确企业中哪些数据属于敏感数据。充分考虑行业规定和政府法规。审视分析信息系统中是否藏有夹带敏感数据。收集足够信息来明确合规风险。
明确业务分析是否需要访问真实数据。如需访问,选择敏感信息加密技术灵活避免确保密文与明文不同版本数据的管理。
数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。数据安全保护从来都是个热门话题,企业想尽方法,通过软件或硬件防火墙、安全网关、路由设置等多方面着手,正是希望能够保护自己企业数据库安全。同时,黑客的技术也在不断提高,从单纯的病毒木马发展到如今复合式的进攻,正邪两方的斗争一直持续着。
1 数据泄露、遗失途径分析
数据泄露的原因主要有三种:窃密、泄密和失密。结合各种实际情况,企业内部数据泄露或遗失存在以下几种途径:
(1)计算机感染病毒;
(2)竞争对手或黑客攻击窃取;
(3)移动电脑在外被盗或被非法登录;
(4)邮件被截获;
(5)内部电脑或硬盘被盗;
(6)非公司员工登录内部电脑窃取数据;
(7)员工未经授权通过电脑窃取公司数据;
(8)员工未经授权将自身掌握的数据带出公司;
(9)管理员的误操作;
(10)对外数据信息发布失控;
(11)数据的存储介质发生故障;
(12)自然灾害。
2 数据安全保护方案
要杜绝网络泄密,最有效的办法就是让有保密内容的电脑和互联网物理隔绝,当前在军队和军工等绝密单位基本上采用的是这种手段。除此之外,“上网不涉密,涉密不上网”、“涉密电脑不得使用移动存储介质”等管理手段也在使用。然而,即便是通过物理隔离手段来保密,在军队和军工也会发生各种泄密事件。而且,由于物理隔离会极大影响工作效率,只有军工军队这种比较特殊的环境,才可能采用。而对于企事业单位,完全采用物理隔离是不可能的。因此,必须采用多种相应的技术手段,结合管理手段来做到安全与效率之间的均衡。
2.1 严格的权限控制
访问权限控制策略也称安全策略,是用来控制和管理主体对客体访问的一系列规则,它反映信息系统对安全的需求。安全策略的制定和实施是围绕主体、客体和安全控制规则集三者之间的关系展开的,在安全策略的制定和实施中,要遵循下列原则:
最小特权原则:最小特权原则是指主体执行操作时,按照主体所需权利的最小化原则分配给主体权力。最小特权原则的优点是最大程度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权使用主体的危险。
最小泄露原则:最小泄露原则是指主体执行任务时,按照主体所需要知道的信息最小化的原则分配给主体权力。
多级安全策略:多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级来划分。多级安全策略的优点是避免敏感信息的扩散。具有安全级别的信息资源,只有安全级别比他高的主体才能够访问。
权限控制最常用的安全设备是防火墙,防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。在企业的网络建设规划时就要考虑“分区建设”、“重点保护”的原则,将网络分为几个区域,如“服务器区”、“DMZ区”、“客户端区”,各个区域之间通过防火墙控制访问权限。将重要数据资源严格保护起来,访问控制粒度尽量细。
除防火墙外,服务器的账号权限控制、信息系统的账号权限分配,也很重要,按照“最小权限原则”,赋予每个角色不同的账号、不同的权限。
2.2 建立完善的防病毒、防入侵体系
计算机病毒,是各种对网络安全造成威胁的主要载体。每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现。计算机感染病毒、木马后可能会窃取用户的重要数据,带来损失。随着防病毒技术的发展,立体式的防病毒方案是目前反病毒技术的发展趋势,在网关处部署防病毒产品,将防病毒的阵线向前推进,更有利于抵御外网病毒的入侵,大大地降低了内部用户在访问Internet时感染病毒的风险。结合桌面端的防病毒软件,可构建成一个立体式的防病毒体系。推荐防病毒网关设备与桌面端的防病毒软件使用不同厂商的产品,这样可以起到一个不同厂商之间的病毒库互补,得到更好的病毒防御作用。
黑客的非法入侵、攻击往往是居于不良的目的,或者搞破坏或者窃取数据。防止黑客的攻击,可采用入侵预防系统,入侵预防系统(Intrusion Prevention System,IPS)是网络安全设施,是对防病毒软件和防火墙的一种补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。建议在企业互联网出口处及重要区域的出口处部署IPS,以抵御入侵和攻击。
2.3 数据加密管理
对数据进行加密,是解决泄密的最好方法,数据加密要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,在未知网络或者未授权用户使用的情况下,数据显示为密文。加密技术,能在源头上保护数据,就算数据被非法窃取或外传,窃取者也只能得到密文。
企业部署数据加密解决方案应该遵循或参考以下步骤:
(1)确定加密目标和选择加密技术与产品。
(2)编写数据加密项目的规划和解决方案。
(3)准备、安装和配置加密软件或硬件。
(4)数据加密解决方案的测试和最终使用。
市面上有许多数据加密及文档权限控制系统,可以利用这些系统进行数据加密,实现以下功能:
(1)控制企业已经确定的核心文档资料的管理,防止核心数据经由各种渠道外泄或者外泄后无权查看(文档类型有UG、CAD、PDF、office等常用文件类型)。
(2)防泄密系统使用仅限于公司掌握核心文档资料人员使用,不需要所有人员均安装部署。
(3)核心文档对公司内其它人员和外界交流要求经过授权或者部门经理以上人员审批并且有系统日志记录,交流要求简单化。
2.4 行为全面审计
审计是对访问控制的必要补充,是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间、以及如何使用(执行何种操作)进行记录与监控。审计和监控是实现系统安全的最后一道防线,处于系统的最高层。审计与监控能够再现原有的进程和问题,这对于责任追查和数据恢复非常有必要。
审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动:系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。
审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,同时还能提供对数据恢复的帮助。
流行的审计系统包括:上网行为审计、桌面行为审计、数据库审计等等,通过这些审计方式,记录下用户对数据的各种操作行为,方便管理对数据进行权限分配管理以及在发生数据泄露问题时,进行审计追踪。例如,在一些文档安全管理系统中,客户端的“文件访问审核日志”模块能够跟踪用户的多种日常活动,特别是能够跟踪记录用户与工作相关的各种活动情况,如什么时间编辑什么文档等。
2.5 数据备份管理
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。
重要的数据,不论是对企业用户还是对个人用户,都是至关重要的,一旦不慎丢失,例如:存储介质损坏、人为数据破坏、自然灾害等。会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然。以防从保护数据安全的角度,可以考虑采用NAS(网络附加存储)或者磁盘阵列,在正常数据存储备份的状况下,两者均能达到较高的数据安全度,NAS是一台完全独立的设备,而磁盘阵列则是一台依赖服务器的设备。即一旦服务器损坏,NAS中的数据依然可以通过其它计算机进行读取,而磁盘阵列中的数据则只可以在服务器修复以后才能读取。
目前数据备份主要方式有:LAN备份、LAN Free备份和SAN Server-Free备份三种。LAN备份针对所有存储类型都可以使用,LAN Free备份和Server-Free备份只能针对SAN架构的存储。目前主流的备份软件,均支持上述三种备份方案。三种方案中,LAN备份数据量最小,对服务器资源占用最多,成本最低;LAN free备份数据量大一些,对服务器资源占用小一些,成本高一些;Server-Free备份方案能够在短时间备份大量数据,对服务器资源占用最少,但成本最高。企业可根据实际情况选择。
2.6 建立完善管理制度
要做好企业数据安全保护工作,除实施以上技术手段外,应结合企业所处行业及企业自身的特点,制定一套完善的数据安全管理制度。流程化、规范化数据安全的相关工作。比如:在员工入职时需签订保密协议,确保员工保护好公司数据安全义务,如果发生丢失、外泄,应以窃取公司机密而做出处理,让员工明白他们应承担怎样的后果。应建立起公司数据安全策略体制,对员工进行安全培训,让员工明白在某些情况下,将会无意泄露公司数据,例如,在企业的计算机上下载个人用软件,这种做法可能导致恶意软件在工作场所传播,导致数据丢失。
3 总结
通过以上措施,可以有效的封堵数据泄露、遗失的途径,让非法者在得到数据以后,无法获取想要的信息,当发生突发事件,数据遗失后,能快速恢复应用,并通过审计证据迅速定位事故源头。从事前、事中、事后三个层面保障数据安全。
参考文献
[1]石文昌,梁朝晖.信息系统安全概论.电子工业出版社.2009.
[2]向宏,傅鹏,詹榜华.信息安全测评与风险评估.电子工业出版社.2009.
惠普中国区副总裁潘家驰表示,“通过一次全面深入的‘体检’,该解决方案不仅可以发现数据管理中的潜在‘病因’,还可以透过‘体检’结果,提供对症下药的解决方案,为IT发展系统地规划出‘健康蓝图’。”
惠普所谓“体检”的依据是惠普ITMM成熟度模型。通过对企业IT治理、流程自动化、架构优化和平台标准化等四个维度对IT进行考量,ITMM可帮助企业客户诊断IT状态,建立IT发展参照系,全面判断企业IT系统建设中的漏洞和欠缺。
在“体检”结果的基础上,惠普ADAM的实施将立足于客户现有的数据环境,提高关键数据的可用性水平和应用系统的连续运行能力,改善应用系统性能,适应业务环境,遵从国际标准和行业法规,满足IT对业务部门的服务级别承诺,以为企业节约成本和提高投资回报。同时,惠普咨询专家团队可以更全面地评估数据管理IT环境中的各种因素,从而提升应用系统整体的高可用水平。
2012/5/26 11:30:09
小型企业面对发展的初级阶段,最为需要的是性价比高、易用性强并可持续发展的数据安全系统。
小型企业安全现状分析
与大中型企业相比,小型企业的规模、资金相对有限。为了更好地发展自己的业务领域,小型企业往往投入大量的资源对企业业务经营、竞争优势、品牌塑造等方面加以提升。这些资源的投入最终将转换成为企业的无形资产,所以需要得到严格的控制与保护。这些有效资源主要包括:客户资料、核心技术文档、知识产权、企业合同等。同时,小型企业普遍存在IT软硬件配置较难达到统一,相配备的专业IT人员较少甚至没有,企业员工整体计算机应用较弱等问题。处于发展中的小型企业,具有高速成长、变化频繁等特点,因此针对小企业的数据安全管理系统必须具备高性价比、易管理应用、可发展等特点,能够灵活适应企业实际的发展状况。
希拓金盾解决方案给您带来的帮助
针对上述需求,希拓金盾小型企业解决方案,通过广泛整合最为实用的功能,更为合理的价格,帮助小型企业保护机密数据,简化工作流程,提高管理效率,实现低投入、高安全的数据管理模式。
希拓金盾小型企业解决方案实施后,用户只需创建、保存所操作的文档,这个文档就会被自动加密,不需要企业内部人员参与,整个加密过程均在后台系统自动完成。用户在整个操作过程中不会有任何的体验差异,与使用Windows操作系统完全相同。当加密文档在非授权的情况下被带到企业外部时,加密文档无法打开或者打开以后形成乱码格式,无法查阅。
一、确保数据的可恢复性
对现有数据进行备份长期以来都是任何企业机构的关键性任务之一,只有愚不可及的管理员才会把这类工作当作多余的事情。然而根据我的个人经验,很多企业都没有采取额外的措施定期对备份内容进行检查。这样一来,尽管备份机制每天都在隆隆运作,但我们根本无法确定备份内容是否真的能够用于数据恢复——请大家注意,这一点非常重要,否则之前所做的一切努力都是徒劳的。
二、数据防灾机制
中小企业遭受损失的原因,往往是在前瞻性方面较为欠缺,无法预先估计可能出现的问题。这是一种常态,大多数中小企业根本不会为火灾、洪水等自然灾害制定充分的准备措施。在这里我要强调的是,大家务必要把备份数据存储在与基础设施距离较远的单独位置,这样就构成了一套天然的防灾机制。
三、判断企业对数据丢失的承受能力
虽然从理论上来说,事无巨细悉数备份的做法肯定更为科学。但从实际操作性角度来讲,往往没有必要将所有信息严加保护。企业应该首先确定自己在业务方面能够承受何种类型、何种程度的数据丢失。透彻了解自身情况之后,大家就可以着手修改备份制度,让那些企业并不急需的数据从备份列表里消失。
四、判断日常业务脱离数据支持之后能坚持多久
你的企业在不访问某些特定数据时,日常业务还能坚持多久?确定这点能够帮助企业明确自己的恢复时间目标(简称RTO)该如何制定。与此同时,它还能帮助我们更轻松地建立起适合自己的数据维护体系及硬件架构。
五、找到与现有资源相匹配的备份解决方案
跟大多数朋友为自己购置台式机时一样,企业在构建备份基础设施时也很容易贪大贪多,将重金浪费在看似更快更强、售价也更昂贵的顶级硬件上。但现实总是残酷的,中小企业受限于自身规模,根本不可能拿出无限多的设施资源。因此,我们必须明确手头有哪些现有资源,并以此为基础制定与之相匹配的备份解决方案。
六、确保备份体系安全合规
备份副本应该妥善保存于特定位置,整个流程也必须严格遵循相关管理制度。在可能的情况下,尽量利用数据加密技术保护企业的业务信息。
七、确保自己的应用程序能够实时备份
这是常常被大家忽视掉的一点:许多服务器应用程序会在运行过程中令某些系统或数据库文件保持强制开放状态。然而一旦发生事故,这类关键性信息的丢失往往会给企业带来很大麻烦。大家不妨利用特殊的工具对其加以实时备份,同时又不必关闭主要应用程序。
八、保护移动设备
一般来说大家都不会把BYOD(Bring Your Own Device,是指携带自己的设备办公,如笔记本电脑、手机、平板等。)现象作为日常备份的常规对象,但值得注意的是,智能手机与平板设备已经在越来越多地对关键性业务数据发起访问并加以存储。随着业务消费化进程的加剧,全世界范围内的IT部门很快将不得不将这一情况摆上议事日程。先发者制人,后发者制于人,从现在开始积极保护移动设备中的数据与文件,能够帮助我们在未来的新时代浪潮中率先站稳脚踏。
九、讨论并敲定哪种备份技术是最佳方案
备份技术多种多样,它们的效果与特性自然也有所区别;无论是磁带、在线存储还是网络附加存储设备,每种技术都拥有自己独特的优势与缺点。因此对中小企业而言,正确认知备份设备并合适对各种方案加以综合才能让自己在项目筹备阶段就占领先机。
十、选择一家优秀的服务供应商
企业档案信息管理软件应在技术测评与审查以后投入使用,以确保软件的安全可靠。在应用过程中,还需应用各种网络安全技术,如安全检测技术、病毒防治技术等。一方面,可设置档案系统访问权限,以识别访问者身份,可采用用户名、密码等方式检验,防控网络非法操作;另一方面,利用病毒查杀软件定期对档案管理软件进行软件升级和病毒查杀,以防止病毒入侵。此外,还可通过监视计算机网络服务器,对电子档案信息实行安全监控及保护。
(二)确保档案信息采集及存储的安全可靠
企业应该建起档案信息数据存储中心,采用集中存储和双机备份等方式确保信息的采集及存储安全。一方面,信息采集过程中应注意保护信息安全,避免信息外泄,另一方面,可通过在线备份管理对档案信息进行备份,确保数据安全。在实际操作中,可通过配置磁盘、硬盘阵列扩充计算机存储容量,以保证容量充足。此外,还可采用加密技术,对存储的`档案信息进行加密管理,以防止信息被篡改和泄漏。
(三)确保网络运行环境的安全可靠
电子档案信息管理具有信息容量大、提取及时等优点,但在具体的网络运行环境中也容易受到网络安全的威胁,因此,企业档案管理人员应优化网络运行环境,以确保信息管理安全。具体而言,可对本地系统和非常态数据之运行做好监控,构建档案网络系统的安全壁垒,采用身份认证、防火墙等技术,加强网络安全防控,保障信息安全。在进行网页操作时,应对计算机页面做好实时监控,避免进入存在安全隐患的网页;在运行软件时,要进行杀毒监控,监测防火墙运行状态,保障档案信息安全。
(四)制定行之有效的档案信息管理制度
有关资料显示,大部分档案信息泄漏和网络入侵事件都可通过加强安全管理来规避。为确保档案信息安全管理,企业还应建立行之有效的档案信息管理制度,以强化对企业内部的管理,明确各部门职责,落实责任到人,保证管理工作有序进行。企业应根据《档案法》来制定符合自身需求和管理实际的规章制度,包括档案归档制度、档案借阅制度、档案存储制度、档案保密制度、档案收集制度、档案销毁制度等,并明确保存期限、保密级别,以规范档案管理,做好企业档案信息安全管理的防控。
(五)提高档案管理人员的安全防范意识
人是档案信息管理的主体,企业档案管理是否安全,关键在于管理人员是否具备专业化素养和较强的安全管理意识。因此,企业应强化对管理人员的培训,提高其安全防范意识。首先,要使企业档案管理人员提高对自身工作的认识,明确档案管理的重要性,以提升其服务意识。其次,企业可与相关档案工作人员签订档案信息安全管理责任书,明确管理责任,提升管理人员的责任意识,加强对企业档案信息的保密管理,防止人为因素造成的档案信息泄漏。最后,为更好地加强人员管理,企业还应优化对人才的选拔与聘用,建立一支专业化的档案管理人员队伍,加强业务培训和安全防范意识培养,提升档案管理部门人员的整体技能水平。
4 结语
1 移动设备和WM (windows moblie) 设备的安全性
对于视WM设备的开发者来说, 安全是一个重要课题。根据特定设备的安全性配置, 应用程序可能需要与特权证书或非特权证书进行签名。除了签名应用程序, 了解能够影响应用程序执行的安全设备的1层和2层同样重要。尤其是在2层的安全配置, 非特权和未签名的应用程序已经是受限地访问设备资源。
WM设备的安全模型归纳如下: (1) 程序运行的安全性:适用于代码执行。控制应用程序可以在设备上运行。控制应用程序可以做哪些。 (2) 设备配置的安全性:适用于设备管理的安全性;控制有权访问特定设备配置信息。控制访问设备配置信息的不同级别。 (3) 远程访问的安全性:通过Active Sync远程API (RAPI) 控制。控制设备上的桌面应用程序可以做什么。
1.1 应用程序执行权限
根据特定的WM设备的安全配置, 在设备上应用程序可能被允许运行或可能被禁止运行。下面是为WM设备的应用程序定义执行权限: (1) 特权:应用程序在设备上可以做任何事情, 对系统文件和系统注册表具有完全写入权限, 也允许安装证书, 可能允许其他应用程序在特定的WM设备上运行。 (2) 正常:该应用程序被限制其执行。它不能调用可信的Win32 API, 不能写入注册表的保护区, 不能写入系统文件或安装证书。 (3) 阻止:将不允许应用程序执行。
不同的权限级别确定了一个未签名的应用程序在WM设备上被允许做什么。这些不同的访问级别称为层。特定设备的安全策略决定了特定的设备如何处理应用程序签名和权限问题。安全策略的第1部分是设备安全层, 设备可以有1层或2层的安全性。
1层安全设备关注的只是应用程序是否已经被签名。在1层安全中没有权限限制的概念。在1层安全下, 所有正在运行的应用程序都可以调用任何API, 修改任何部分系统文件和修改注册表的任何部分。1层安全只限制应用程序的启动。签名的应用程序可以执行并且不进行进一步检查, 未签名的应用程序需要后面的策略进行检查来确定它们是否可以执行。
2层安全限制应用程序启动和应用程序运行时的权限。在具有2层安全的设备上, 签名的应用程序可以执行并进一步的检查, 未签名应用需要后面的策略进一步检查, 以确定它们是否可以运行。在运行时, 2层安全根据已签名的证书关联的权限来限制应用程序访问API, 注册表和系统文件的权限。用特权证书存储中的证书签名的应用程序将会拥有特权权限执行, 其他所有应用程序将使用普通权限运行。
下面的安全策略的2部分紧密联系在一起:未签名的应用程序是否能够执行以及未签名应用程序在运行前用户是否被提示。
3个安全设置创建4个共同的安全策略: (1) 关闭安全性:在这个策略下, 未签名的程序可以被运行并且不会提示用户。这个关闭安全性策略是默认配置。关闭安全性策略的设备是非常过时的做法, 因为设备在不知情的情况下安装恶意程序并且毫无限制地控制设备。 (2) 1层策略提示:此策略允许签名的应用程序执行, 未签名的应用程序在执行前设备会提示用户。应用程序一旦执行后, 它对应用程序的权限是没有限制的。这就是签名程序和未签名程序的区别。 (3) 2层策略提示:此策略允许签名的应用程序执行, 未签名的应用程序在运行前设备会提示用户。如果用户允许未签名的应用程序运行, 该应用程序将获取普通权限来运行。签名应用程序将获得的是普通权限或特权权限运行。 (4) 锁定移动应用市场策略:应用程序经过签名才能执行, 未签名程序运行将不会提示用户。这些未签名的应用根本无法执行。一旦申请执行, 权限是由程序的签名证书决定的, 签名证书存在于特权证书存储中的证书中或普通证书存储中的证书, 则获取相应的权限。
安全策略设置被存储在设备注册表的安全部分。如果没有持久性存储, 如果WM设备的电池用尽, 设备再次通电启动后在ROM中的安全设置将会恢复到默认的安全设置。对于持久存储, 如果WM设备的电池耗尽, 安全设置将在设备再次通电启动后保持不变。当设备由用户手动冷重启后, 持久存储和所有程序以及用户数据都会被擦除, 恢复到当初烧录的状态。
1.2 设备上的安全策略
设备级的安全涉及谁有权访问设备及其数据, 控制哪些应用程序可以在设备上运行, 并建立数据如何从设备发送。用户访问通过PIN码或密码验证来管理。一个设备可以被设置成一段时间内不活动或者被关闭后自动锁定, 用户如果再次使用则需要解锁设备才能继续。
1.3 在WM设备上的最佳安全实践
(1) 无论有没有其他安全策略限制访问设备, 设置RAPI策略限制模式。
(2) 在运行普通的应用程序提示用户。微软强烈建议在所有的WP设备上运行未签名程序时保留用户提示模式的策略。
(3) 用一个未认证用户的安全角色分配给未签名的主题。微软强烈建议您保留未签名主题策略的SECROLE_USER_UNAUTH安全角色。这是默认设置
(4) 保持你的蓝牙关闭。
(5) 用户可以通过加密控制面板程序启用手机加密, 在设置>安全。
(6) 设备损坏时删除在记忆卡的信息, 防止非法访问 (见表1) 。
2 移动数据库安全
2.1 分布式数据库
一个分布式数据库系统包括分布式数据库管理系统、一个分布式数据和一个互联网络。一个分布式数据库中数据是分布在多个数据库中的。在分布式数据库管理分布式数据库。分布式数据库系统的功能包括分布式查询管理、分布式事务处理和执行的安全性和完整性跨多个节点。数据库管理系统的要求是: (1) 多级访问控制。 (2) 认证。 (3) 保密。 (4) 可靠性。 (5) 可用性。 (6) 可恢复。
移动数据库是一个专门类的分布式系统, 其中一些节点可以从联合分布式操作系统中脱离, 从一个工作站的子服务中转移到另一个工作站的子服务中的连续连接的操作成为可能。移动数据库可以在下面2种可能的场景中分布式: (1) 整个数据库主要分布在有线组件中, 有可能全部或部分复制。 (2) 数据库分布在有线和无线组件, 数据管理负责基站和移动单元之间的共享。
2.2 移动数据库系统的问题、安全性挑战和解决方案
在分布式数据库系统中一些软件问题可能涉及数据管理、事务管理和数据库恢复。在移动计算中, 这些问题更难, 主要是因为无线通信是有限的、间断性的, 有限的手机电源寿命和不断变化的网络结构。因此, 在管理移动单元上的数据断开操作是有必要的。
在一个移动数据库应用程序是一个分布式数据库的情况下, 存在由于应用和移动设备的硬件限制的分布式特性的安全挑战。分布式多级安全的主要问题是身份认证、数据保密、身份识别和执行适当的访问控制。
2.2.1 身份认证
用户认证是保护移动设备和手持设备的主线路。认证确定并验证在系统中一个用户的身份, 类似提供一个问题的答案。传统的认证机制依赖于维护用户身份的集中式数据库, 使得在不同的管理域用户身份很难验证。在移动设备中使用这种安全机制, 为每个系统提供安全访问重要的、私密的信息或者个性化服务是非常困难的。这里的问题是认证机制应该是分布的, 认证一个用户时, 认证的各个部件需要相互通信。在集成环境中, 认证需要具有所有系统用户的信息。有3种基本的身份验证手段, 其中个别可以验证自己的身份。
(1) 一些个人数据 (例如, 一个口令、个人身份号码 (PIN) 、组合、个人背景数据集) 。 (2) 一些个人拥有 (例如, 令牌或卡片、物理钥匙锁) 。 (3) 一些个人特征 (中间系统) (例如, 个人特征或“生物体”诸如指纹或语音模式) , 这种技术原理基于指纹, 由此, 当用户的指纹被识别认证即被授权可以访问这个手机。
移动设备用户只需要在他第一次使用设备时验证, 当用户通过设备验证后就可以访问通过该认证的其他任意设备数据。该方案要求所有网络上的设备都能够可靠地处理此认证数据。标准化工作, 如开放系统环境 (OSE) , 便携式操作系统界面 (POSIX) 和政府开放系统互连配置 (GOSIP) 可以促进跨网络透明的认证这一目标。
本文通过符号来描述3个基本的身份验证, 基于PIN的身份验证是用于验证设备实际用户身份的方法, 但这种方法有很大的缺点, 因为PIN或密码可以很容易被猜到。为了防止密码被猜解, 用户必须设置一个复杂的密码, 它往往很难记住。在手持设备上为了解决此问题, 已经开发了比较安全实用的、基于图形的或生物验证的、令人难忘的认证方案, 例如指纹、语音识别、虹膜扫描和面部识别。这种方法的主要缺点是, 这样的系统可能是昂贵的, 并且识别过程可能是缓慢的和不稳定的。
2.2.2 数据保密性
通常情况下, 移动用户与企业数据库的连接在不断增长, 使移动用户的个人数据的隐私和保密性面临新的威胁。C-SDA (芯片级担保数据访问) 是解决方案, 它允许查询加密的数据, 同时可以控制用户特权。C-SDA是作为客户端 (手机) 和加密的数据库之间基于客户端的安全组件。这个组件被嵌入到智能卡, 以防止在客户端上发生篡改。这是比较好地嵌入用户的机密数据到自己的移动设备里的方案。除了它们在存储容量方面的限制, 即使是这些设备不能完全信任的, 如被盗、遗失或损毁 (他们的主机数据必须在网络上保存副本, 以保证数据的恢复能力) 。另一种方式是通过加密以提供机密性, 或者使用接收的主体公共密钥, 或使用组合密钥和公钥方法。例如, 代理可以使用对称密钥, 并使用它来接收要保护的主体公钥。加密通常用于保护在不安全的网络或存储设备上的数据。
2.2.3 鉴别
验证用户身份的方法, 通常被称为用户识别和认证。密码是用于验证用户的常用方法, 但名字信息 (例如, 第一个或最后一个) 或密码, 电子邮件地址不能确保身份, 当使用认证作为授权的手段时为了防止未经授权访问计算机资源, 一些用户开始使用生物识别技术作为用户识别方法。
如果使用密码作为安全认证的方式, 就必须管理密码使密码周期变化, 它依赖于数据的复杂度, 在口令中使用故意拼错的单词, 2个或多个单词组合在一起, 或包括数字和标点, 以防止密码的猜测。身份必须是唯一的, 这样系统可以区分不同的用户。身份也应该是不可伪造的。识别和认证之间的一个重要区别是, 身份是公开的, 而认证信息是保密的, 由一个人证明他确实是他声称的自己。此外, 身份识别和认证为未来提供了访问控制的基础。
2.2.4 访问控制
访问控制保护数据的完整性限制可以更改数据的用户。访问控制规则在分布式环境实施中可以被分布、集中或复制。如果规则是集中的, 那么中央服务器需要检查所有的数据库访问。如果规则是分布的, 那么规则能被适当的定位和特权执行。特定的数据库通常与相关联的规则可以被存储在同一部位。如果规则可以被复制, 那么每个节点都要有可以检查自己所管理的数据的访问权限。关系数据库系统使用SQL语言实现访问控制, 使用GRANT和REVOKE命令。GRANT命令用来给用户提供特权。它的语法如下:
GRANT privileges ON object TO users[WITH GRANTOPTION]
在SQL中, 对象可以是表或视图或列名的列表。该权限包括SELECT, 允许读取访问指定表的指定列, 以及INSERT, UPDATE, DELETE。参数users可以指单个用户或一组用户。
REVOKE命令是用于删除以前授予的权限。
多级安全数据库管理系统 (MLS/DBMS) , 明确用户在不同安全级别的访问权限和在不同的安全级别不违反安全策略共享数据, 并且基于分布式数据和分布控制, 所有在数据库中的数据必须接收一个访问级别和用户以较低的分级水平将不知道存在于一个更高的分类级别的数据。从MLS/DBMS中的观点和安全政策的设计上来看, 权限控制系统可分为自主访问控制 (DAC) 、强制访问控制 (MAC) 和基于角色的访问控制 (RBAC) 。
这3个安全访问模型, RBAC执行最差。它缺乏必要的细粒度控制强制用户访问规则或防止外部行为者非法进入。基于角色的访问控制 (RBAC) 技术吸引了越来越多的关注, 特别是对商业应用, 因为它有可能用于减少在大网络应用的访问控制信息和安全管理成本的复杂性。
3 移动网络的安全性
移动运营商的3G网络不仅暴露了病毒, 同样针对手机的特定病毒和木马以及直接攻击, 例如黑客和犯罪组织在他们的网络上的拒绝服务 (Do S) 攻击。对于这种类型的攻击, 有线互联网服务供应商已经花了长期时间处理。这些攻击根据3G网络的结构和3G数据网络中使用的协议弱点也有相应的变异。为了保护网络和用户, 移动运营商需要: (1) 以整体架构的实施方式为网络出安全解决方案, 单点解决方案是不行的。 (2) 在网络中部署各种安全产品, 如防火墙、入侵检测与防护 (IDP) 和虚拟专用网络 (VPN) 。 (3) 制作客户端防病毒、防火墙软件, 随时提供给使用终端设备的用户。 (4) 提高警惕, 使用适当的安全策略反映出3G网络中的威胁。这是广泛的使用无线网络和基于IP多媒体系统 (IMS) 标准的网络总体发展的额外结果。 (5) 网络的安全在于最薄弱的环境。移动运营商、ISP社区和其他电信运营商需要相互合作来确保安全性。 (6) 大力保护信令, 信令通过IP迁移创造了新的风险。移动运营商比有限运行商需要更多的信令流量, 业务通信的关键是信令。
本文接下来将探讨以下主题: (1) 为什么3G无线网络是脆弱的, 这些脆弱性在什么地方。 (2) 针对这些网络可以做哪些类型的攻击。 (3) 部署什么样的产品可以帮助保护3G网络。 (4) 移动运营商将来的威胁, 特别是关于目前正部署在世界各地固定的和移动的IMS。
最后, 本文还提出了一些移动运营商可以采取的步骤, 以尽量减少网络和用户的风险。蜂窝数据网络是脆弱的有以下几个原因: (1) 移动运营商正在构建是基于因特网协议 (IP) 高速无线网络, 其允许用户在联网时可以做更多。 (2) 移动运营商已经向公众互联网和其他数据网络开放了他们的网络, 这样使他们的3G网络更容易受到攻击。 (3) 移动运营商把网络不断发展成IMS, 使得所有在IP协议上网络都能相互连通。
具体的攻击移动网络的类型如表2所示。
这里的安全含义是, 很多用户设备通过多样化的网络访问内容和相互通信, 在蜂窝网络中产生很多流量。这意味着, 从任何目的源发生攻击的可能性很高。例如, 许多复杂的攻击会伪装在自己的数据会话和端口流量中, 与很多的正常流量在一起, 就越难识别威胁。
4 保护移动网络的解决方案
对于移动运营商, 第一步在自己的网络中击败攻击。这意味着实现网络的分层防御: (1) 改变安全政策和做法, 以更好地反映新的威胁。 (2) 专注。只要有可能, 无线数据服务到数据中心的数据压缩到一个更小的数字。在欧洲的许多移动运营商已经采取这类措施来保护其核心网络。 (3) 在网络中通过技术和设备保护终端用户。例如, 抗病毒、防火墙、内容扫描。 (4) 部署安全产品, 如防火墙、虚拟专用网 (VPN) 和入侵检测与防护 (IDP) 。 (5) 提供数据包级、会话级和应用级的保护移动网络。
5 结语
分布式数据库安全在分布式数据库的设计和功能中是不可或缺的。分布式数据库的安全性有3个重要的部分:物理、用户和网络。这一系列策略、标准和程序要协同工作。策略支持目标方向。上述解决方案的目标必须放到一个分布式数据库上。此外, 在该系统中不应该忽略人的因素和特点。因为使用该系统的用户, 将会被认为是安全的有效因子。当然, 我们也强调, 只集中审查的项目是不够的, 更高的安全性需要在实施过程中考虑一个合适的架构。
摘要:文章展示不同的移动数据可能在现实生活中发生的安全威胁, 并提供了消除它们的解决方案。移动数据是分布式系统的一个特殊类。由于移动数据应用的分布式特性和移动设备的硬件约束对于安全是个挑战。文章涉及的安全主题包含4个方面, 包括:移动硬件设备的安全性、移动设备上的操作系统的安全性、移动数据的安全性和移动网络的安全性。文章确定在移动数据上有一系列安全漏洞, 并尝试运用适当的技术, 以减少对移动数据安全方面的影响。对于移动硬件设备, 文章将讨论影响移动数据的安全性的可能的解决方案, 主要分为移动硬件设备、移动操作系统和移动网络的安全问题。最后, 对于更多的安全, 文章提供了可应用于分布式数据的全面解决方案。
关键词:移动数据,安全策略,移动网络
参考文献
[1] (美) Mandy Andress.计算机安全原理[M].杨涛, 译.北京:机械工业出版社, 2002.
[2]步山岳.NTRU公开密钥体制分析与实现[J].计算机工程, 2002 (6) :111-113.
王书平代表首先对目前我国农产品安全现状进行了分析。他指出,“如今农产品质量安全的现状令人堪忧,近年来出现的‘毒大米’、‘瘦肉精’、‘毒韭菜’及禽流感等事件,给人民群众的健康造成了巨大伤害,严重影响了农产品的市场信誉。”王书平同时指出,大数据时代带来的颠覆性变革力量给食品安全建设提供了新的思考空间和契机,也生发出了新的选择智慧。因此,王书平代表建议:“利用大数据来解决农产品安全问题势在必行。”
王书平称利用大数据解决农产品安全问题意义重大,主要表现在:
首先,利用大数据能够缩减渠道成本,减少流通环节对食品安全的干扰。我国农产品流通中间环节较多,这与我国农户生产种植分散、销售渠道分散、直供渠道匮乏等有很大关系。大数据平台可以提供物流直递的方式,缩减了中间流通环节,无疑提高了农产品的新鲜度和农产品的可靠度。
其次,利用大数据能从种植源头提升农产品质量,确保各环节可追溯。大数据平台形成规模后,订单农业将得以实现,互联网企业可凭借资源、人才和知识优势,向农户提供技术支持和生产服务,有利于从源头上提高农产品安全性。同时,大数据平台贯通了上下游,能够确保消费者对农产品的种植时间、采摘地、采摘时间、发货时间等各个环节的可追溯性。
王书平建议利用大数据来解决农产品安全问题,可以从以下三个层面进行相关工作的开展。
第一,可先在农产品流通体系建立大数据产业子系统,为之配套相关数据收集、储存和分析运用服务。在具体实施中要把好准入关,强化流程监控。针对农药、化肥、种子等农资、农产品,制定行业标准、模型,设定严格科学的准入条件和程序,健全农产品从生产到流通的全过程监管和追溯机制,对产业链中的各方进行监督。
第二,建立高效的农产品安全预警系统。通过预警系统的建立,禁止有害化学物质的滥用。重点要通过对农业自然灾害的预测预报,农产品环境质量监测,特别要重视对土壤肥力、水土流失及农业环境污染状况的监测,对可能存在的农产品安全隐患及时发出预警,并对可能存在隐患的产品进行强制抽检,依据国家制定的食品生产相关标准和法律法规提出整改、召回甚至销毁等建议,并向公众实时发布。
第三,培育一批大数据分析运用的服务企业,搭建有效沟通桥梁,进一步挖掘市场需求。为农民提供一系列经系统整合的相关气候、农产品价格走势、农产品进城道路交通信息、终端消费需求等相关数据,引导消费者消费理念的转变,并为相关农产品生产、包装与服务模式提供指引。
意见征询稿
Hillstone Networks Inc.2010年9月29日
典型中小型企业网络边界安全解决方案
目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42
典型中小型企业网络边界安全解决方案
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42
典型中小型企业网络边界安全解决方案 前言
1.1 方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2 方案概述
本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部/ 42
典型中小型企业网络边界安全解决方案
集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性; 实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。/ 42
典型中小型企业网络边界安全解决方案
保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;
保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为; 保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;
实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;
实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性; 安全需求分析
2.1 典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支/ 42
典型中小型企业网络边界安全解决方案
机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图:
典型中小企业组网结构示意图 / 42
典型中小型企业网络边界安全解决方案
2.2 典型中小企业网络安全威胁
在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括: 【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露; 【恶意代码传播】
大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。【防范ARP欺骗】
大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问/ 42
典型中小型企业网络边界安全解决方案
数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密; 【恶意访问】
对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。【身份与行为的脱节】
常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。【拒绝服务攻击】
大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击/ 42
典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象; 【不安全的远程访问】
对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。【缺乏集中监控措施】
典型中小型企业的特点是,集中管理,分布监控,但是在安全方面目前尚缺乏集中的监控手段,对于各分支机构员工的上网行为,访问业务的行为,以及总部重要资源的受访问状态,都没有集中的监控和管理手段,一旦发生安全事件,将很难快速进行察觉,也很难有效做出反应,事后也很难取证,使得企业的安全管理无法真正落地。
2.3 典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题,山石网科认为,应当进行有针对性的设计和建设,最大化降低威胁,并实现有效的管理。
2.3.1 需要进行有效的访问控制
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。/ 42
典型中小型企业网络边界安全解决方案
中小企业的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的,特别是针对中小企业员工对互联网的访问行为,应当采取有效的控制措施,杜绝过度占用带宽的访问行为,保障正常的业务和上网访问。
对于中小企业重要的应用服务器和数据库资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
2.3.2 深度应用识别的需求
引入的安全控制系统,应当能够支持深度应用识别功能,特别是对使用动态端口的P2P和IM应用,能够做到精准鉴别,并以此为基础实现基于应用的访问控制和QOS,提升控制和限制的精度和力度。
对于分支机构外来用户,在利用分支机构互联网出口进行访问时,基于身份识别做到差异化的控制,提升系统总体的维护效率。
2.3.3 需要有效防范病毒
在访问控制的技术上,需要在网络边界进行病毒过滤,防范病毒的传播;在互联网出口上要能够有效检测出挂马网站,对访问此类网站而造成的病毒下发,能够快速检测并响应;同时也能够防范来自其他节点的病毒传播。
2.3.4 需要实现实名制管理
应对依托IP地址进行控制,QOS和日志的缺陷,应实现基于用户身份的访问控制、QOS、日志记录,应能够与中小企业现有的安全准入系统整合起来,当员工接入办公网并对互联网访问时,/ 42
典型中小型企业网络边界安全解决方案
先进行准入验证,验证通过后将验证信息PUSH给网关,网关拿到此信息,在用户发出上网请求时,根据IP地址来索引相关的认证信息,确定其角色,最后再根据角色来执行访问控制和带宽管理。
在日志记录中,也能够根据确定的身份来记录,使得日志可以方便地追溯到具体的员工。
2.3.5 需要实现全面URL过滤
应引入专业性的URL地址库,并能够分类和及时更新,保障各个分支机构在执行URL过滤策略是,能够保持一致和同步。
2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口,作为专线的备份链路,在不增加链路投资的前提下,使分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时,容易遭到窃听和篡改的风险,为此需要设备提供IPSEC VPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.3.7 需要实现集中化的管理
集中化的管理首先要求日志信息的集中分析,各个分支机构既能够在本地查看详细的访问日志,总部也能够统一查看各个分支机构的访问日志,从而实现总部对分支机构的有效监管。
总部能够统一对各个分支机构的安全设备进行全局性配置管理,各个分支机构也能够在不违背全局性策略的前提下,配置符合本节点特点的个性化策略。
由于各个厂商的技术壁垒,不同产品的功能差异,因此要实现集中化管理的前提就是统一品牌,/ 42
典型中小型企业网络边界安全解决方案
统一设备,而从投资保护和便于维护的角度,中小企业应当选择具有多种功能的安全网关设备。安全技术选择
3.1 技术选型的思路和要点
现有的安全设备无法解决当前切实的安全问题,也无法进一步扩展以适应当前管理的需要,因此必须进行改造,统一引入新的设备,来更好地满足运行维护的要求,在引入新设备的时候,必须遵循下属的原则和思路。
3.1.1 首要保障可管理性
网络安全设备应当能够被集中监控,由于安全网关部署在中小企业办公网的重要出口上,详细记录了各节点的上网访问行为,因此对全网监控有着非常重要的意义,因此系统必须能够被统一管理起来,实现日志行为,特别是各种防护手段形成的记录进行集中的记录与分析。
此外,策略也需要分级集中下发,总部能够统一下发集中性的策略,各分支机构可根据自身的特点,在不违背全局性策略的前提下,进行灵活定制。
3.1.2 其次提供可认证性
设备必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
对于中小企业而言,设备必须能够与中小企业的AD域管理整合,通过AD域来鉴别用户的身份和角色信息,并根据角色执行访问控制和QOS,根据身份来记录上网行为日志。/ 42
典型中小型企业网络边界安全解决方案
3.1.3 再次保障链路畅通性
对于多出口链路的分支机构,引入的安全设备应当支持多链路负载均衡,正常状态下设备能够根据出口链路的繁忙状态自动分配负载,使得两条链路都能够得到充分利用;在某条链路异常的状态下,能够自动切换负载,保障员工的正常上网。
目前中小企业利用互联网的主要应用就是上网浏览,因此系统应提供强大的URL地址过滤功能,对员工访问非法网站能够做到有效封堵,这就要求设备应提供强大的URL地址库,并能够自动升级,降低管理难度,提高控制精度。
中小企业的链路是有限的,因此应有效封堵P2P、IM等过度占用带宽的业务访问,保障链路的有效性。
3.1.4 最后是稳定性
选择的产品必须可靠稳定,选择产品形成的方案应尽量避免单点故障,传统的网络安全方案总是需要一堆的产品去解决不同的问题,但这些产品接入到网络中,任何一台设备故障都会造成全网通信的故障,因此采取集成化的安全产品应当是必然选择。
另外,安全产品必须有多种稳定性的考虑,既要有整机稳定性措施,也要有接口稳定性措施,还要有系统稳定性措施,产品能够充分应对各种突发的情况,并保持系统整体工作的稳定性。
3.2 选择山石安全网关的原因
基于中小企业的产品选型原则,方案建议采用的山石网科安全网关,在多核Plus G2硬件架构的基础上,采用全并行架构,实现更高的执行效率。并综合实现了多个安全功能,完全能够满足中小企业安全产品的选型要求。/ 42
典型中小型企业网络边界安全解决方案
山石网科安全网关在技术上具有如下的安全技术优势,包括:
3.2.1 安全可靠的集中化管理
山石网科安全管理中心采用了一种全新的方法来实现设备安全管理,通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责,从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率,减少开销并降低运营成本。
利用山石网科安全管理中心,可以为特定用户分配适当的管理接入权限(从只读到全面的编辑权限)来完成多种工作。可以允许或限制用户接入信息,从而使用户可以作出与他们的角色相适应的决策。
山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性,同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标,山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时,只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。
山石网科安全管理中心还带有一种高性能日志存储机制,使IT部门可以收集并监控关键方面的详细信息,如网络流量、设备状态和安全事件等。利用内置的报告功能,管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。
山石网科安全管理中心采用了一种3层的体系结构,该结构通过一条基于TCP的安全通信信道-安全服务器协议(SSP)相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路,就不需要在不同分层之间建立VPN隧/ 42
典型中小型企业网络边界安全解决方案 道,从而大大提高了性能和灵活性。
山石网科安全管理中心提供统一管理功能,在一个统一界面中集成了配置、日志记录、监控和报告功能,同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡,对于安全网关这类安全设备的大规模部署非常重要。
3.2.2 基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷,山石网科采用RBNS(基于身份和角色的管理)技术让网络配置更加直观和精细化,不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
另外,在采用了RBNS技术后,使得审计记录可以直接反追溯到真实的访问者,更便于安全事件的定位。
在本方案中,利用山石网科安全网关的身份认证功能,可结合AD域认证等技术,提供集成化的认证+控制+深度检测+行为审计的解决方案,当访问者需跨网关访问时,网关会根据确认的访问者身份,自动调用邮件系统内的邮件组信息,确定访问者角色,随后根据角色执行访问控制,限制其访问范围,然后再对访问数据包进行深度检测,根据角色执行差异化的QOS,并在发现非法的访问,或者存在可疑行为的访问时,记录到日志提供给系统员进行事后的深度分析。/ 42
典型中小型企业网络边界安全解决方案
3.2.3 基于深度应用识别的访问控制
中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上,新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。
3.2.4 深度内容安全(UTMPlus®)
山石网科安全网关可选UTMPlus®软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。
由于中小企业包含了多个分支机构,一旦因某个节点遭到恶意代码的传播,病毒将会很快在企业的网络内传播,造成全网故障。在使用了山石网科安全网关后,并在全网各个节点的边界部署后,将在逻辑上形成不同的隔离区,一旦某个节点遭遇到病毒攻击/ 42
典型中小型企业网络边界安全解决方案
后,不会影响到其他节点。并且山石支持硬件病毒过滤技术,在边界进行病毒查杀的时候,对性能不会造成过多影响。
3.2.5 高性能病毒过滤
对于中小企业而言,在边界进行病毒的过滤与查杀,是有效防范蠕虫、木马等网络型病毒的有效工具,但是传统病毒过滤技术由于需要在应用层解析数据包,因此效率很低,导致开启病毒过滤后对全网的通信速度形成很大影响。
山石安全网关在多核的技术上,对病毒过滤采取了全新的流扫描技术,也就是所谓的边检测边传输技术,从而大大提升了病毒检测与过滤的效率。
流扫描策略
传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的,并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。
文件接受扫描文件发送延迟
山石网科扫描引擎是基于流的,病毒过滤扫描引擎在数据包流到达时进行检查,如果没有检查到病毒,则发送数据包流。由此,用户将看到明显的延迟改善,并且他们的应用程序也将更快响应。/ 42
典型中小型企业网络边界安全解决方案
文件接收扫描文件发送延迟
流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑,流扫描技术适合网关病毒过滤解决方案。
基于策略的病毒过滤功能
山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过滤扫描,哪些用户或者用户组进行扫描,以及哪些服务器和应用被保护。
3.2.6 灵活高效的带宽管理功能
山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高优先级保证它们的带宽使用;对于P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。
将山石网科的角色鉴别以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42
典型中小型企业网络边界安全解决方案
控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。
结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP地址内部应用类型的流量进行有效管控。
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。
总之,通过采取山石网科产品所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42
典型中小型企业网络边界安全解决方案
3.2.7 强大的URL地址过滤库
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性,当时设备被部署到网络中后,各个设备均采用统一标准的过滤地址库,在进行URL访问日志中也可以保持日志内容的一致性。
3.2.8 高性能的应用层管控能力
安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。
山石网科安全网关具有丰富的应用层管控能力,包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等,能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤,防止潜在的安全风险。/ 42
典型中小型企业网络边界安全解决方案
此外,山石网科安全网关均采用多核系统架构,在性能上具有很高的处理能力,能够实现大并发处理。
3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎,这保证了在CPU核数增加时,IPSec的性能得到相应提高,不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps,达到和防火墙一样的性能和设备极限。
山石网科安全网关设备支持标准IPSec协议,能够保障与第三方VPN进行通讯,建立隧道并实现安全的数据传输。
3.2.10 高可靠的冗余备份能力
山石网科安全网关能够支持设备级别的HA解决方案,如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制,保证在设备切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断会话,为企业提供真正意义的网络冗余/ 42
典型中小型企业网络边界安全解决方案
解决方案。山石网科安全甚至还能够提供VPN传输的状态同步,并包括SA状态的同步。系统部署说明
对于中小企业,在设计边界安全防护时,首要进行的就是安全区域的划分,划分安全域是信息安全建设常采用的方法,其好处在与可以将原本比较庞大的网络划分为多个单元,根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计,保障了安全建设的针对性和差异性。
安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则,可操作性不强,在实际划分过程中有很多困难。在本方案中,建议按照资产重要性以及支撑的业务类型,纵向上可划分为总部及分支机构域,从资产角度可根据业务类型的不同,将总部/ 42
典型中小型企业网络边界安全解决方案
信息网络划分为ERP域、OA域、网站域、终端域和运维域等,而分支机构的域相对简单,由于只有终端,因此不再细分。
4.1 安全网关部署设计
划分安全域后,可在所有安全域的边界,特别是重要的业务系统安全域的边界配置安全网关即可,配置后形成的边界安全部署方案可参考下图:
部署要点: 通过总部配置的山石网科安全管理中心,集中监管各个分支机构边界部署的山石网科安全网关,对日志进行集中管理;同时各个分支机构本地也部署管理终端,在本地对网关进行监管; / 42
典型中小型企业网络边界安全解决方案
纵向链路的出口分别部署安全网关,实现对中小企业网的纵向隔离,对分支机构的上访行为进行严格控制,杜绝非法或非授权的访问;
安全网关启用源地址转换策略,在终端上网过程中进行转换,保障内网用户上网的要求,同时启用相应的日志,对上网行为进行有效记录;
安全网关在分支机构上网出口的链路上,运用深度应用识别技术,有效鉴别出哪些是合法的HTTP应用,哪些是过度占用带宽的P2P和IM应用,对P2P和IM通过严格的带宽限制功能能进行及限制,并对HTTP执行保障带宽策略,保障员工正常上网行为;
安全网关与中小企业的AD域认证整合,在确认访问者身份的基础上,进行实名制的访问控制,QOS控制,以及上网行为审计;
安全网关内置全面的URL地址库,用以对员工的访问目标地址进行分类,对于非法网站进行封堵,且URL地址库能够自动升级,保障了该功能的持续性和完整性;
安全网关运用IPSEC VPN技术,实现与总部的加密传输,作为现有专线的备份链路,在不增加投资的前提下提升系统的可靠性。
安全网关运用SSL VPN技术,对移动办公用户配发USB KEY,当其需要远程访问企业网时,利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道,从而实现了安全可靠的远程访问。
4.2 安全网关部署说明
4.2.1 部署集中安全管理中心
通过在总部部署山石网科安全管理中心,然后对分布在各个分支机构边界的安全网关进行配置,/ 42
典型中小型企业网络边界安全解决方案
使网关接受管理中心的集中管理来实现,并执行如下的集中监管。
设备管理
设备管理包括域管理和设备组管理,域和设备组都是用来组织被管理设备的逻辑组,域包含设备组。通过域的使用,可以实现设备的区域化管理;而通过设备组的使用,可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备,普通管理员可以执行设备组的操作,将设备从设备组中删除。
设备基本信息监管
显示设备的基本信息,例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。
通过客户端可查看的设备属性信息包括:设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。/ 42
典型中小型企业网络边界安全解决方案
日志浏览
山石网科安全管理中心接收设备发送的多种日志信息,经过系统处理后,用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览:
●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志
流量监控
山石网科安全管理中心可以实时监控以下对象的流量,并在客户端通过饼状图或者柱状图直观显示:
●设备接口(TOP 10)/ 42
典型中小型企业网络边界安全解决方案
●指定接口TOP 10 IP,进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用,进而可以查看指定应用的TOP 10 IP的流量
柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。
攻击监控
山石网科安全管理中心可以实时监控以下对象的攻击情况,并在客户端通过饼状图或者柱状图直观显示:
●设备接口遭受攻击(TOP 10)
●指定接口发起攻击TOP 10 IP,进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型,进而可以查看发起指定攻击类型的TOP 10 IP
VPN监控
山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量,并在客户端通过饼状图或者柱状图直观显示。/ 42
典型中小型企业网络边界安全解决方案
4.2.2 基于角色的管理配置
对于中小企业办公网而言,终端使用者的身份不尽相同,因此其访问权限,对资源的要求等也不尽相同,实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS(基于身份和角色的管理)策略来实现。RBNS包含三个部分:用户身份的认证、用户角色的确定、基于角色控制和服务。
在访问控制部分,通过RBNS实现了基于用户角色的访问控制,使得控制更加精准; 在QOS部分,通过RBNS实现了基于角色的带宽控制,使得资源分配更加贴近中小企业办公网的管理模式; 在会话限制部分,通过RBNS实现了基于角色的并发限制,对于重要用户放宽并发连接的数量,对于非重要用户则压缩并发连接的数量; 在上网行为管理部分,通过RBNS实现了基于角色的上网行为管理;
在审计部分,通过RBNS实现实名制审计,使审计记录能够便捷地追溯到现实的人员。
在整合了AD域以及邮件系统后的实名制管理与控制方案后,在员工上网访问过程中实现精细化的管理,大大降低了单纯依靠IP地址带来的安全隐患,也降低了配置策略的难度,还提升了日志的可追溯性; / 42
典型中小型企业网络边界安全解决方案
整合后实名制监管过程示意图
4.2.3 配置访问控制策略
山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术,使设备能够适应复杂的网络环境,即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下,也能有效的获取应用层信息,从而保证安全策略的有效实施。
山石网科安全网关,作用在中小企业的互联网出口链路上,通过访问控制策略,针对访问数据包,根据数据包的应用访问类型,进行控制,包括: / 42
典型中小型企业网络边界安全解决方案
限制不被许可的访问类型:比如在只允许进行网页浏览、电子邮件、文件传输,此时当终端用户进行其他访问(比如P2P),即使在网络层同样使用TCP 80口进行访问数据包的传送,但经过山石网科安全网关的深度应用识别后,分析出真实的应用后,对P2P和IM等过度占用带宽的行为进行限制;
限制不被许可的访问地址:山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
基于身份的访问控制:传统访问控制的基础是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特别是根据不同IP地址配置不同强度的访问控制规则时,通过修改IP地址可以获得较宽松的访问限制,及时采用了IP+MAC绑定,但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合,可实现基于“实名制”下的访问控制,将大大提升了访问控制的精度。
4.2.4 配置带宽控制策略
针对外网的互联网出口链路,承载了员工上网的访问,因此必须应采取带宽控制,来针对不同访问的重要级别,提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理
基于山石网科的多核 Plus G2安全架构,StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统
/ 42
典型中小型企业网络边界安全解决方案
中可容纳多于40,000的QoS队列。结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个角色产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
对应用控制流量和区分优先级
山石网科提供专有的智能应用识别(Intelligent Application Identification)功能,简称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类;Hillstone 山石网科还支持用户自定义的流量,并对自定义流量进行分类;同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。
带宽利用率最大化
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽的利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制,允许某一类的网络使用者享有弹性QoS,另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。
实时流量监控和统计
山石网科 QoS解决方案提供各种灵活报告和监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备
/ 42
典型中小型企业网络边界安全解决方案
提供带宽使用情况的历史记录,为将来分析提供方便。同时用户还可以自己定制想要的统计数据。
4.2.5 上网行为日志管理
通过山石网科安全网关,在实现分支机构员工上网访问控制和QOS控制的基础上,对行为进行全面记录,来控制威胁的上网行为,并结合基于角色的管理技术,实现“实名制”审计,在本方案中将配置执行如下的安全策略:
网络应用控制策略规则
网络应用控制策略规则,是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:
策略规则名称 – 上网行为管理策略规则的名称。
优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为,比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作,比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。
/ 42
典型中小型企业网络边界安全解决方案
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
例外设置
对于特殊情况下不需要上网行为管理策略规则进行控制的对象,可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。
/ 42
典型中小型企业网络边界安全解决方案
分级日志管理模式示意图
4.2.6 实现URL过滤
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库,包含数千万条域名的分类web页面库,并能够实时同步更新,该地址库将被配置在所有分支机构出口的山石安全网关上,对员工访问的目标站点进行检查,保障健康上网。
山石网科提供的URL过滤功能包含以下组成部分: 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单:包含允许访问URL。不同平台白名单包含的最大URL条数不同。
关键字列表:如果URL中包含有关键字列表中的关键字,则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
/ 42
典型中小型企业网络边界安全解决方案
不受限IP:不受URL过滤配置影响,可以访问任何网站。
只允许用域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP地址类型的URL将被拒绝访问。
只允许访问白名单里的URL:如果开启该功能,用户只可以访问白名单中的URL,其它地址都会被拒绝。
4.2.7 实现网络病毒过滤
随着病毒技术的发展,网络型病毒(比如蠕虫、木马等)已经被广泛应用了,这种病毒的特点是没有宿主就可以传播,在网络中快速扫描,只要发现网络有许可的行为,就能够快速传播,其危害除了对目标主机造成破坏,在传播过程中也产生大量的访问,对网络流量造成影响,对此传统在主机上进行病毒查杀是不足的,对此问题就产生了病毒过滤网关,该系统类似于防火墙,采用“空中抓毒“技术,工作在网络的关键节点,对经过网关的数据包进行过滤,在判断为是病毒的时候进行阻断,防止病毒利用网络进行传播。
这里建议中小企业可利用安全网关的病毒过滤技术,对各个安全域在实行访问控制的同时,进行有效的病毒过滤,杜绝某个安全域内(比如终端区域)的主机感染了病毒,该病毒无法穿越病毒过滤网关,从而无法在全企业网蔓延,造成更大的破坏。
山石网科的病毒过滤能够有效解析出上十万种病毒,能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力,其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力,全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和最大可扫描文件
/ 42
典型中小型企业网络边界安全解决方案
方面提供高升级性。
病毒过滤系统同样也大大提升了服务器的安全性,在当前访问控制的基础上,进一步保障了关键业务的安全性。
4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术,作用于中小企业,可实现总部与分支机构之间通过互联网的纵向互联,并作为现有专线的备份链路,在不增加额外投资的基础上,提升了系统总体的安全效率。(当然需要总部的互联网出口也部署有标准IPSEC VPN系统)
在通过互联网实现纵向互联的过程中,通过IPSEC VPN技术,将实现如下的保护: 机密性保护:在传输过程中对数据进行加密,从而防范了被篡改的风险;
完整性保护:在传输过程中,通过HASH算法,对文件进行摘要处理,当到达接收端时再次进行HASH,并与发送端HASH后形成的摘要进行批对,如果完全相同则证明数据没有
/ 42
典型中小型企业网络边界安全解决方案
被篡改,从而保障了传输过程的完整性; 抗抵赖:IPSEC VPN运用了数字签名技术,采用对称密钥算法防范传输数据被抵赖的风险; 抗重放:IPSEC VPN运用系列号,一旦某个数据包被处理,序列号自动加一,防范攻击者在收取到数据包,以自己的身份重新发送的风险; 山石网科安全网关IPSec VPN支持的主要技术包括: 标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通,只要对端采用标准IPSEC协议,即可实现互联互通; 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
支持静态IP对端、动态IP对端、拨号VPN对端,可以很好地使用各个分支机构实际的网络环境; 支持VPN上的应用控制,在隧道内针对中小企业,提供更完善的访问控制。
4.2.9 实现安全移动办公
山石网科安全网关支持的SSL VPN技术,针对移动办公人员,在不需要配置任何客户端的情况下,实现安全可靠的接入。通过USB KEY的方式,配发证书,移动办公人员必须在提交KEY证书后,安全网关方可允许其通过互联网接入到企业网内,实现安全快捷的访问。方案建设效果
本方案利用山石网科安全网关,作用于中小企业各个分支机构的互联网出口,对员工上网行为进行有效控制和记录,对比现有的安全手段,将在如下层面提升安全性:
/ 42
典型中小型企业网络边界安全解决方案
总体部署效果示意图
【实现集中监控】
在采取了统一品牌的山石网科安全网关后,通过部署在总部的安全管理中心,实现对分布在各个分支机构互联网出口的安全设备的集中管理,重点对日志进行集中的收集和分析,确保在发生安全事件后能够快速传递到总部,以便采取必要的保障措施。【实现有效访问控制】
通过严格的访问控制,限制了内、外部用户对企业各种资源的访问,限制员工对ERP和OA的访问,限制互联网用户对企业网站的访问,由于这些人员只能通过许可的方式,因此大大降低了重要信息资产的暴露程度,提升了系统的安全性; 【有效保护关键资产】
/ 42
典型中小型企业网络边界安全解决方案
对于中小企业而言,关键的信息资产就是各类应用服务器,和数据库,由于本方案采取安全域划分的方式,将这些关键资产集中起来进行有效防护,因此大大提升了系统的总体安全性; 【有效防范攻击】
山石安全网关支持超过3,000种的攻击检测和防御,支持攻击特征库离线在线更新,定期自动更新多种方式。
山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护,当其他主机访问业务系统时,发起对服务器的访问,山石入侵防御系统会在线分析这些数据包,并从中剥离出哪些是正常访问的数据包,哪些是存在攻击行为的数据包,在此基础上对攻击包采取有效的封堵行为,从而保障了安全可靠的访问,进一步保护了易程公司关键的应用服务器。
【有效过滤病毒】
与防范攻击的作用类似,科山石安全网关内置的过滤网关部署在重要的安全域边界,当重要的服务器接受访问时,病毒过滤网关深入分析数据包,检测出是否携带病毒,或者数据包本身就是由一些恶意病毒(比如木马、蠕虫等)引发的,并采取有效的查杀,或者将数据包直接丢弃。
【基于角色的控制与资源保障】
/ 42
典型中小型企业网络边界安全解决方案
中小企业的上网人员是多个层面多种角色的,因角色不同,在访问控制和资源保障部分,需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合,在控制(比如访问控制、日志审计)和资源保障(比如QOS)方面能够根据用户身份以及对应的角色来进行配置,解决了传统以IP地址为依据时,IP地址容易被伪造的问题; 【上网行为实名制审查】
国家相关监管部门要求提供上网的机构,应当对上网人员的行为进行记录,以备在员工进行违规访问(比如发布发动言论,访问非法网站)时,能够进行追溯。而目前中小企业员工均通过NAT来上网,这样单纯在互联网上无法准确定位访问者,即使有些分支机构采取了NAT和上网行为管理设备,但这些设备对行为之记录到IP地址,很难对应到具体的人员。
对此山石安全网关能够在身份识别和角色确定的基础上,对上网人员的行为(访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等)进行有效记录,从而做到实名制审计。【有效封堵P2P和IM】
P2P和IM的特点是,运用动态端口进行访问,对此传统访问控制的基础是地址、协议和端口,这种控制方法根本无法从根本上封堵P2P和IM。
山石安全网关支持的深度应用识别,通过协议分析能够有效鉴别出真实的应用,再此基础上进行控制,方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】
目前中小企业的URL过滤库采用手工方式维护,这种方式无论从实效性、全面性上都存在明显不足,山石网科安全网关内置了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网。
/ 42
典型中小型企业网络边界安全解决方案 【对专线形成补充】
目前中小企业各个分支机构与总公司之间,通过专线实现纵向链接,并支撑纵向的业务访问,而总公司和各个分支机构都有互联网的通道,该通道也可作为专线的备份链路,并且从节约投资的角度,甚至可以用互联网通道取代专线,降低系统总体成本。
山石安全网关支持的IPSEC VPN技术,可以在互联网通道上提供安全保护,数据传输过程中采用加密、完整性校验措施,保障了数据的安全性。【实现安全移动办公】
通过SSL VPN解决了远程办公的安全隐患,使移动人员能够安全、可靠地访问企业网资源。
【企业数据安全解决方案】推荐阅读:
工业企业大数据案例09-24
企业培养人才投资数据01-02
生产企业采购数据分析12-31
企业CRM系统中数据仓库的应用设计09-16
关于提高电力施工企业统计数据质量的思考12-08
浅谈数据分析在企业管理中的重要性05-27
数据安全保密措施07-06
数据监控系统解决方案10-01
数据仓储管理解决方案01-05
行业大数据建设方案05-28
