保護信息安全的措施
現在是互聯網的時代,每家每戶基本上已經有了電腦上網了,在上網的時候要注意好信息的安全防範,避免造成個人的損失。以下是小編給大家整理的資料,歡迎大家閱讀參考!
一、網站運行安全保障措施
1、網站服務器和其他計算機之間設置經公安部認證的防火牆, 並與專業網絡安全公司合作,做好安全策略,拒絕外來的惡意攻擊,保障網站正常運行。
2、在網站的服務器及工作站上均安裝了正版的防病毒軟件,對計算機病毒、有害電子郵件有整套的防範措施,防止有害信息對網站系統的干擾和破壞。
3、做好生產日誌的留存。網站具有保存60天以上的系統運行日誌和用戶使用日誌記錄功能,內容包括IP地址及使用情況,主頁維護者、郵箱使用者和對應的IP地址情況等。
4、交互式欄目具備有IP地址、身份登記和識別確認功能,對沒有合法手續和不具備條件的電子公告服務立即關閉。
5、網站信息服務系統建立雙機熱備份機制,一旦主系統遇到故障或受到攻擊導致不能正常運行,保證備用系統能及時替換主系統提供服務。
6、關閉網站系統中暫不使用的服務功能,及相關端口,並及時用補丁修復系統漏洞,定期查殺病毒。
7、服務器平時處於鎖定狀態,並保管好登錄密碼;後臺管理界面設置超級用戶名及密碼,並綁定IP,以防他人登入。
8、網站提供集中式權限管理,針對不同的應用系統、終端、操作人員,由網站系統管理員設置共享數據庫信息的訪問權限,並設置相應的密碼及口令。不同的操作人員設定不同的用戶名,且定期更換,嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定,並由網站系統管理員定期檢查操作人員權限。
9、公司機房按照電信機房標準建設,內有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統和消防系統,定期進行電力、防火、防潮、防磁和防鼠檢查。
二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,實現信息安全保密責任制,切實負起確保網絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則,落實責任制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法,確保使用網絡和提供信息服務的安全。
2、網站信息內容更新全部由網站工作人員完成,工作人員素質高、專業水平好,有強烈的責任心和責任感。網站所有信息發佈之前都經分管領導審覈批准。 工作人員採集信息將嚴格遵守國家的有關法律、法規和相關規定。嚴禁通過我公司網站及短信平臺散佈《互聯網信息管理辦法》等相關法律法規明令禁止的信息(即“九不準”),一經發現,立即刪除。
3、遵守對網站服務信息監視,保存、清除和備份的制度。開展對網絡有害信息的清理整治工作,對違法犯罪案件,報告並協助公安機關查處。
4、所有信息都及時做備份。按照國家有關規定,網站將保存60天內系統運行日誌和用戶使用日誌記錄,短信服務系統將保存5個月以內的系統及用戶收發短信記錄。
5、制定並遵守安全教育和培訓制度。加大宣傳教育力度,增強用戶網絡安全意識,自覺遵守互聯網管理有關法律、法規,不泄密、不製作和傳播有害信息,不鏈接有害信息或網頁。
三、用戶信息安全管理制度
1、我公司鄭重承諾尊重並保護用戶的個人隱私,除了在與用戶簽署的隱私政策和網站服務條款以及其他公佈的準則規定的情況下,未經用戶授權我公司不會隨意公佈與用戶個人身份有關的資料,除非有法律或程序要求。
2、所有用戶信息將得到本公司網站系統的安全保存,並在和用戶簽署的協議規定時間內保證不會丟失;
3、嚴格遵守網站用戶帳號使用登記和操作權限管理制度,對用戶信息專人管理,嚴格保密,未經允許不得向他人泄露。
信息安全簡介
信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。信息安全本身包括的範圍很大,其中包括如何防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、消息認證、數據加密等),直至安全系統,如UniNAC、DLP等,只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。
信息安全學科可分爲狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論爲基礎的計算機安全領域,早期中國信息安全專業通常以此爲基準,輔以計算機技術、通信網絡技術與編程等方面的內容;廣義的信息安全是一門綜合性學科,從傳統的計算機安全到信息安全,不但是名稱的變更也是對安全發展的延伸,安全不在是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。
信息安全產品
20xx年信息安全產業將步入高速發展階段,而整個互聯網用戶對安全產品的要求也轉入"主動性安全防禦"。隨着用戶安全防範意識正在增強,主動性安全產品將更受關注,主動的安全防禦將成爲未來安全應用的主流。
終端方案
終端安全解決方案是以終端安全保護系統全方位綜合保障終端安全,並以數據安全保護系統重點保護終端敏感數據的安全。終端安全保護系統以"主動防禦"理念爲基礎,採用自主知識產權的基於標識的認證技術,以智能控制和安全執行雙重體系結構爲基礎,將全面安全策略與操作系統有機結合,通過對代碼、端口、網絡連接、移動存儲設備接入、數據文件加密、行爲審計分級控制,實現操作系統加固及信息系統的自主、可控、可管理,保障終端系統及數據的安全。
安全軟件
數據安全保護系統能夠實現數據文檔的透明加解密保護,可指定類型文件加密、指定程序創建文件加密,杜絕文檔泄密。實現數據文檔的強制訪問控制和統一管理控制、敏感文件及加密密鑰的冗餘存儲備份,包括文件權限管理、用戶管理、共享管理、外發管理、備份管理、審計管理等。對政府及企業的各種敏感數據文檔,包括設計文檔、設計圖紙、源代碼、營銷方案、財務報表及其他各種涉及企業商業祕密的文檔,都能實現穩妥有效的保護。 信息安全影響因素
信息安全與技術的關係可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字;斯巴達人使用一種稱爲密碼棒的工具傳達軍事計劃,羅馬時代的凱撒大帝是加密函的古代將領之一,"凱撒密碼"據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。它 是一種替代密碼,通過將字母按順序推後 3 位起到加密作用,如將字母 A 換作字母 D, 將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利莊園幫助破解了 德國海軍的 Enigma 密電碼,改變了二次世界大戰的進程。美國 NIST 將信息安全控制分 爲 3 類。
(1)技術,包括產品和過程(例如防火牆、防病毒軟件、侵入檢測、加密技術)。
(2)操作,主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。
(3)管理,包括使用政策、員工培訓、業務規劃、基於信息安全的非技術領域。 信息系統安全涉及政策法規、教育、管理標準、技術等方面,任何單一層次的安全措 施都不能提供全方位的安全,安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。
安全威脅
(1) 信息泄露:信息被泄露或透露給某個非授權的實體。
(2) 破壞信息的完整性:數據被非授權地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務:對信息或其他資源的合法訪問被無條件地阻止。
(4) 非法使用(非授權訪問):某一資源被某個非授權的人,或以非授權的方式使用。
(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。
(6) 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究,從中發現有價值的信息和規律。
(7) 假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成爲合法用戶,或者特權小的用戶冒充成爲特權大的用戶的目的。黑客大多是採用假冒攻擊。
(8) 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統"特性",利用這些"特性",攻擊者可以繞過防線守衛者侵入系統的內部。
(9) 授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用於其他非授權的目的,也稱作"內部攻擊"。
(10)特洛伊木馬:軟件中含有一個覺察不出的有害的程序段,當它被執行時,會破壞用戶的安全。這種應用程序稱爲特洛伊木馬(Trojan Horse)。
(11)陷阱門:在某個系統或某個部件中設置的"機關",使得在特定的數據輸入時,允許違反安全策略。
(12)抵賴:這是一種來自用戶的攻擊,比如:否認自己曾經發布過的某條消息、僞造一份對方來信等。
(13)重放:出於非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新發送。
(14)計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序。
(15)人員不慎:一個授權的人爲了某種利益,或由於粗心,將信息泄露給一個非授權的人。
(16)媒體廢棄:信息被從廢棄的磁碟或打印過的存儲介質中獲得。
(17)物理侵入:侵入者繞過物理控制而獲得對系統的訪問。
(18)竊取:重要的安全物品,如令牌或身份卡被盜。
(19)業務欺騙:某一僞系統或系統部件欺騙合法的用戶或系統自願地放棄敏感信息等等。
信息安全的重要性
信息作爲一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對於人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。根據國際標準化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業都必須十分重視的問題,是一個不容忽視的國家安全戰略。但是,對於不同的部門和行業來說,其對信息安全的要求和重點卻是有區別的。
中國的改革開放帶來了各方面信息量的急劇增加,並要求大容量、高效率地傳輸這些信息。爲了適應這一形勢,通信技術發生了前所未有的爆炸性發展。除有線通信外,短波、超短波、微波、衛星等無線電通信也正在越來越廣泛地應用。與此同時,國外敵對勢力爲了竊取中國的政治、軍事、經濟、科學技術等方面的祕密信息,運用偵察臺、偵察船、偵察機、衛星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,截取中國通信傳輸中的信息。
從文獻中瞭解一個社會的內幕,早已是司空見慣的事情。在20世紀後50年中,從社會所屬計算機中瞭解一個社會的內幕,正變得越來越容易。不管是機構還是個人,正把日益繁多的事情託付給計算機來完成,敏感信息正經過脆弱的通信線路在計算機系統之間傳送,專用信息在計算機內存儲或在計算機之間傳送,電子銀行業務使財務賬目可通過通信線路查閱,執法部門從計算機中瞭解罪犯的前科,醫生們用計算機管理病歷,最重要的問題是不能在對非法(非授權)獲取(訪問)不加防範的條件下傳輸信息。
傳輸信息的方式很多,有局域計算機網、互聯網和分佈式數據庫,有蜂窩式無線、分組交換式無線、衛星電視會議、電子郵件及其它各種傳輸技術。信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和僞造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施,即通過技術的、管理的、行政的手段,實現信源、信號、信息三個環節的保護,藉以達到祕密信息安全的目的。
保護信息安全的方案篇一某市政府中心網絡安全方案設計
1.1安全系統建設目標
本技術方案旨在爲某市政府網絡提供全面的網絡系統安全解決方案,包括安全管理制度策略的制定、安全策略的實施體系結構的設計、安全產品的選擇和部署實施,以及長期的合作和技術支持服務。系統建設目標是在不影響當前業務的前提下,實現對網絡的全面安全管理。
1) 將安全策略、硬件及軟件等方法結合起來,構成一個統一的防禦系統,有效阻止非法用戶進入網絡,減少網絡的安全風險;
2) 通過部署不同類型的安全產品,實現對不同層次、不同類別網絡安全問題的防護;
3) 使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態。最大限度地減少損失。
具體來說,本安全方案能夠實現全面網絡訪問控制,並能夠對重要控制點進行細粒度的訪問控制;
其次,對於通過對網絡的流量進行實時監控,對重要服務器的運行狀況進行全面監控。
1.1.1 防火牆系統設計方案
防火牆對服務器的安全保護
網絡中應用的服務器,信息量大、處理能力強,往往是攻擊的主要對象。另外,服務器提供的各種服務本身有可能成爲"黑客"攻擊的突破口,因此,在實施方案時要對服務器的安全進行一系列安全保護。
如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務,就會面臨着"黑客"各種方式的攻擊,安全級別很低。因此當安裝防火牆後,所有訪問服務器的請求都要經過防火牆安全規則的詳細檢測。只有訪問服務器的請求符合防火牆安全規則後,才能通過防火牆到達內部服務器。防火牆本身抵禦了絕大部分對服務器的攻擊,外界只能接觸到防火牆上的特定服務,從而防止了絕大部分外界攻擊。
防火牆對內部非法用戶的防範
網絡內部的環境比較複雜,而且各子網的分佈地域廣闊,網絡用戶、設備接入的可控性比較差,因此,內部網絡用戶的可靠性並不能得到完全的保證。特別是對於存放敏感數據的主機的攻擊往往發自內部用戶,如何對內部用戶進行訪問控制和安全防範就顯得特別重要。爲了保障內部網絡運行的可靠性和安全性,我們必須要對它進行詳盡的分析,儘可能防護到網絡的每一節點。
對於一般的網絡應用,內部用戶可以直接接觸到網絡內部幾乎所有的服務,網絡服務器對於內部用戶缺乏基本的安全防範,特別是在內部網絡上,大部分的主機沒有進行基本的安
全防範處理,整個系統的安全性容易受到內部用戶攻擊的威脅,安全等級不高。根據國際上流行的處理方法,我們把內部用戶跨網段的訪問分爲兩大類:其一,是內部網絡用戶之間的訪問,即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用;其次,是內部網絡用戶對內部服務器的訪問,這一類應用主要發生在內部用戶的業務處理時。一般內部用戶對於網絡安全防範的意識不高,如果內部人員發起攻擊,內部網絡主機將無法避免地遭到損害,特別是針對於NETBIOS文件共享協議,已經有很多的漏洞在網上公開報道,如果網絡主機保護不完善,就可能被內部用戶利用"黑客"工具造成嚴重破壞。
1.1.2入侵檢測系統
利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險,但是入侵者可尋找防火牆背後可能敞開的後門,入侵者也可能就在防火牆內。
網絡入侵檢測系統位於有敏感數據需要保護的網絡上,通過實時偵聽網絡數據流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規行爲和未授權的網絡訪問時,網絡監控系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,或執行用戶自定義的安全策略等。網絡監控系統可以部署在網絡中有安全風險的地方,如局域網出入口、重點保護主機、遠程接入服務器、內部網重點工作站組等。在重點保護區域,可以單獨各部署一套網絡監控系統(管理器+探測引擎),也可以在每個需要保護的地方單獨部署一個探測引擎,在全網使用一個管理器,這種方式便於進行集中管理。
在內部應用網絡中的重要網段,使用網絡探測引擎,監視並記錄該網段上的所有操作,在一定程度上防止非法操作和惡意攻擊網絡中的重要服務器和主機。同時,網絡監視器還可以形象地重現操作的過程,可幫助安全管理員發現網絡安全的隱患。
需要說明的是,IDS是對防火牆的非常有必要的附加而不僅僅是簡單的補充。
按照現階段的網絡及系統環境劃分不同的網絡安全風險區域,xxx市政府本期網絡安全系統項目的需求爲:
區域 部署安全產品
內網 連接到Internet的出口處安裝兩臺互爲雙機熱備的海信FW3010PF-4000型百兆防火牆;在主幹交換機上安裝海信千兆眼鏡蛇入侵檢測系統探測器;在主幹交換機上安裝NetHawk網絡安全監控與審計系統;在內部工作站上安裝趨勢防毒牆網絡版防病毒軟件;在各服務器上安裝趨勢防毒牆服務器版防病毒軟件。
DMZ區 在服務器上安裝趨勢防毒牆服務器版防病毒軟件;安裝一臺InterScan
VirusWall防病毒網關;安裝百兆眼鏡蛇入侵檢測系統探測器和NetHawk網絡安全監控與審計系統。
安全監控與備份中心 安裝FW3010-5000千兆防火牆,安裝RJ-iTOP榕基網絡安全漏洞掃描器;安裝眼鏡蛇入侵檢測系統控制檯和百兆探測器;安裝趨勢防毒牆服務器版管理服務器,趨勢防毒牆網絡版管理服務器,對各防病毒軟件進行集中管理。
1.2防火牆安全系統技術方案
某市政府局域網是應用的中心,存在大量敏感數據和應用,因此必須設計一個高安全性、高可靠性及高性能的防火牆安全保護系統,確保數據和應用萬無一失。
所有的局域網計算機工作站包括終端、廣域網路由器、服務器羣都直接匯接到主幹交換機上。由於工作站分佈較廣且全部連接,對中心的服務器及應用構成了極大的威脅,尤其是可能通過廣域網上的工作站直接攻擊服務器。因此,必須將中心與廣域網進行隔離防護。考慮到效率,數據主要在主幹交換機上流通,通過防火牆流入流出的流量不會超過百兆,因此使用百兆防火牆就完全可以滿足要求。
如下圖,我們在中心機房的DMZ服務區上安裝兩臺互爲冗餘備份的海信FW3010PF-4000百兆防火牆,DMZ口通過交換機與WWW/FTP、DNS/MAIL服務器連接。同時,安裝一臺Fw3010PF-5000千兆防火牆,將安全與備份中心與其他區域邏輯隔離開來通過安裝防火牆,實現下列的安全目標:
1) 利用防火牆將內部網絡、Internet外部網絡、DMZ服務區、安全監控與備份中心進行有效隔離,避免與外部網絡直接通信;
2) 利用防火牆建立網絡各終端和服務器的安全保護措施,保證系統安全;
3) 利用防火牆對來自外網的服務請求進行控制,使非法訪問在到達主機前被拒絕;
4) 利用防火牆使用IP與MAC地址綁定功能,加強終端用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內;
5) 利用防火牆全面監視對服務器的訪問,及時發現和阻止非法操作;
6) 利用防火牆及服務器上的審計記錄,形成一個完善的審計體系,建立第二條防線;
7) 根據需要設置流量控制規則,實現網絡流量控制,並設置基於時間段的訪問控制。
1.3入侵檢測系統技術方案
如下圖所示,我們建議在局域網中心交換機安裝一臺海信眼鏡蛇入侵檢測系統千兆探測器,DMZ區交換機上安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器,用以實時檢測局域網用戶和外網用戶對主機的訪問,在安全監控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器和海信眼鏡蛇入侵檢測系統控制檯,由系統控制檯進行統一的管理(統一事件庫升級、統一安全防護策略、統一上報日誌生成報表)。
其中,海信眼鏡蛇網絡入侵檢測系統還可以與海信FW3010PF防火牆進行聯動,一旦發現由外部發起的攻擊行爲,將向防火牆發送通知報文,由防火牆來阻斷連接,實現動態的安全防護體系。海信眼鏡蛇入侵檢測系統可以聯動的防火牆有:海信FW3010PF防火牆,支持OPSEC協議的防火牆。
通過使用入侵檢測系統,我們可以做到:
1) 對網絡邊界點的數據進行檢測,防止黑客的入侵; 2) 對服務器的數據流量進行檢測,防止入侵者的蓄意破壞和篡改; 3) 監視內部用戶和系統的運行狀況,查找非法用戶和合法用戶的越權操作; 4) 對用戶的非正常活動進行統計分析,發現入侵行爲的規律; 5) 實時對檢測到的入侵行爲進行報警、阻斷,能夠與防火牆/系統聯動; 6) 對關鍵正常事件及異常行爲記錄日誌,進行審計跟蹤管理。
通過使用海信眼鏡蛇入侵檢測系統可以容易的完成對以下的攻擊識別:網絡信息收集、網絡服務缺陷攻擊、Dos&Ddos攻擊、緩衝區溢出攻擊、Web攻擊、後門攻擊等。
網絡給某市政府帶來巨大便利的同時,也帶來了許多挑戰,其中安全問題尤爲突出。加上一些人缺乏安全控制機制和對網絡安全政策及防護意識的認識不足,這些風險會日益加重。引起這些風險的原因有多種,其中網絡系統結構和系統的應用等因素尤爲重要。主要涉及物理安全、鏈路安全、網絡安全、系統安全、應用安全及管理安全等方面。通過以上方案的設計和實施,所有安全隱患就得到了良好的改善。
保護信息安全的方案篇二一、客戶背景
集團內聯網主要以總部局域網爲核心,採用廣域網方式與外地子公司聯網。集團廣域網採用MPLS-技術,用來爲各個分公司提供骨幹網絡平臺和接入,各個分公司可以在集團的骨幹信息網絡系統上建設各自的子系統,確保各類系統間的相互獨立。
二、安全威脅
某公司屬於大型上市公司,在北京,上海、廣州等地均有分公司。公司內部採用無紙化辦公,OA系統成熟。每個局域網連接着該所有部門,所有的數據都從局域網中傳遞。同時,各分公司採用技術連接公司總部。該單位爲了方便,將相當一部分業務放在了對外開放的網站上,網站也成爲了既是對外形象窗口又是內部辦公窗口。
由於網絡設計部署上的缺陷,該單位局域網在建成後就不斷出現網絡擁堵、網速特別慢的情況,同時有些個別機器上的殺毒軟件頻頻出現病毒報警,網絡經常癱瘓,每次時間都持續幾十分鐘,網管簡直成了救火隊員,忙着清除病毒,重裝系統。對外WEB網站同樣也遭到黑客攻擊,網頁遭到非法篡改,有些網頁甚至成了傳播不良信息的平臺,不僅影響到網站的正常運行,而且還對政府形象也造成不良影響。(安全威脅根據拓撲圖分析)從網絡安全威脅看,集團網絡的威脅主要包括外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播,以及安全管理漏洞等信息安全現狀:經過分析發現該公司信息安全基本上是空白,主要有以下問題:
公司沒有制定信息安全政策,信息管理不健全。 公司在建內網時與internet的連接沒有防火牆。 內部網絡(同一城市的各分公司)之間沒有任何安全保障爲了讓網絡正常運行。
根據我國《信息安全等級保護管理辦法》的信息安全要求,近期公司決定對該網絡加強安全防護,解決目前網絡出現的安全問題。
三、安全需求
從安全性和實用性角度考慮,安全需求主要包括以下幾個方面:
1、安全管理諮詢
安全建設應該遵照7分管理3分技術的原則,通過本次安全項目,可以發現集團現有安全問題,並且協助建立起完善的安全管理和安全組織體系。
2、集團骨幹網絡邊界安全
主要考慮骨幹網絡中Internet出口處的安全,以及移動用戶、遠程撥號訪問用戶的安全。
3、集團骨幹網絡服務器安全
主要考慮骨幹網絡中網關服務器和集團內部的服務器,包括OA、財務、人事、內部WEB等內部信息系統服務器區和安全管理服務器區的安全。
4、集團內聯網統一的病毒防護
主要考慮集團內聯網中,包括總公司在內的所有公司的病毒防護。
5、統一的增強口令認證系統
由於系統管理員需要管理大量的主機和網絡設備,如何確保口令安全稱爲一個重要的問題。
6、統一的安全管理平臺
通過在集團內聯網部署統一的安全管理平臺,實現集團總部對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件、以及處理各種安全突發事件。
7、專業安全服務
過專業安全服務建立全面的安全策略、管理組織體系及相關管理制度,全面評估企業網絡中的信息資產及其面臨的安全風險情況,在必要的情況下,進行主機加固和網絡加固。通過專業緊急響應服務保證企業在面臨緊急事件情況下的處理能力,降低安全風險。
四、方案設計
骨幹網邊界安全
集團骨幹網共有一個Internet出口,位置在總部,在Internet出口處部署LinkTrust Cyberwall-200F/006防火牆一臺。
在Internet出口處部署一臺LinkTrust Network Defender領信網絡入侵檢測系統,通過交換機端口鏡像的方式,將進出Internet的流量鏡像到入侵檢測的監聽端口,LinkTrust
Network Defender可以實時監控網絡中的異常流量,防止惡意入侵。
在各個分公司中添加一個DMZ區,保證各公司的信息安全,內部網絡(同一城市的各分公司)之間沒有任何安全保障骨幹網服務器安全
集團骨幹網服務器主要指網絡中的網關服務器和集團內部的應用服務器包括OA、財務、人事、內部WEB等,以及專爲此次項目配置的、用於安全產品管理的服務器的安全。 主要考慮爲在服務器區配置千兆防火牆,實現服務器區與辦公區的隔離,並將內部信息系統服務器區和安全管理服務器區在防火牆上實現邏輯隔離。還考慮到在服務器區配置主機入侵檢測系統,在網絡中配置百兆網絡入侵檢測系統,實現主機及網絡層面的主動防護。
漏洞掃描
瞭解自身安全狀況,目前面臨的安全威脅,存在的安全隱患,以及定期的瞭解存在那些安全漏洞,新出現的安全問題等,都要求信息系統自身和用戶作好安全評估。安全評估主要分成網絡安全評估、主機安全評估和數據庫安全評估三個層面。
內聯網病毒防護
病毒防範是網絡安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析,結合集團網絡的特點,在網絡安全的病毒防護方面應該採用“多級防範,集中管理,以防爲主、防治結合”的動態防毒策略。
病毒防護體系主要由桌面網絡防毒、服務器防毒和郵件防毒三個方面。
增強的身份認證系統
由於需要管理大量的主機和網絡設備,如何確保口令安全也是一個非常重要的問題。 減小口令危險的最爲有效的辦法是採用雙因素認證方式。雙因素認證機制不僅僅需要用戶提供一個類似於口令或者PIN的單一識別要素,而且需要第二個要素,也即用戶擁有的,通常是認證令牌,這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。用戶除了知道他的PIN號碼外,還必須擁有一個認證令牌。而且口令一般是一次性的,這樣每次的口令是動態變化的,大大提高了安全性。
統一安全平臺的建立
通過建立統一的安全管理平臺(安全運行管理中心—SOC),建立起集團的安全風險監控體系,利於從全局的角度發現網絡中存在的安全問題,並及時歸併相關人員處理。這裏的風險監控體系包括安全信息庫、安全事件收集管理系統、安全工單系統等,同時開發有效的多種手段實時告警系統,定製高效的安全報表系統。
五、網絡管理:
(1)故障管理
故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時,網絡管理器必須迅速查找到故障並及時排除。通常不大可能迅速隔離某個故障,因爲網絡故障的產生原因往往相當複雜,特別是當故障是由多個網絡組成共同引起的。在此情況下,一般先將網絡修復,然後再分析網絡故障的原因。分析故障原因對於防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:
(1)故障監測:主動探測或被動接收網絡上的各種事件信息,並識別出其中與網絡和系統故障相關的內容,對其中的關鍵部分保持跟蹤,生成網絡故障事件記錄。
(2)故障報警:接收故障監測模塊傳來的報警信息,根據報警策略驅動不同的報警程序,以報警窗口/振鈴(通知一線網絡管理人員)或電子郵件(通知決策管理人員)發出網絡嚴重故障警報。
(3)故障信息管理:依靠對事件記錄的分析,定義網絡故障並生成故障卡片,記錄排除故障的步驟和與故障相關的值班員日誌,構造排錯行動記錄,將事件-故障-日誌構成邏輯上相互關聯的整體,以反映故障產生、變化、消除的整個過程的各個方面。
(4)排錯支持工具:向管理人員提供一系列的實時檢測工具,對被管設備的狀況進行測試並記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀態的描述給出對徘錯行動的提示。
(5)檢索/分析故障信息:瀏閱並且以關鍵字檢索查詢故障管理系統中所有的數據庫記錄,定期收集故障記錄數據,在此基礎上給出被管網絡系統、被管線路設備的可靠性參數。 對網絡故障的檢測依據對網絡組成部件狀態的監測。不嚴重的簡單故障通常被記錄在 錯誤日誌中,並不作特別處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的"警報"。 一般網絡管理器應根據有關信息對警報進行處理,排除故障。當故障比較複雜時,網絡管理 器應能執行一些診斷測試來辨別故障原因。
(2)計費管理
計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤爲重要。它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用,從而控制用戶過多佔用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外,當用戶爲了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。
(1)計費數據採集:計費數據採集是整個計費系統的基礎,但計費數據採集往往受到採集設備硬件與軟件的制約,而且也與進行計費的網絡資源有關。 (2)數據管理與數據維護:計費管理人工交互性很強,雖然有很多數據維護系統自動完成,但仍然需要人爲管理,包括交納費用的輸入、聯網單位信息維護,以及賬單樣式決定等。
(3)計費政策制定;由於計費政策經常靈活變化,因此實現用戶自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。
(4)政策比較與決策支持:計費管理應該提供多套計費政策的數據比較,爲政策制訂提供決策依據。
(5)數據分析與費用計算:利用採集的網絡資源使用數據,聯網用戶的詳細信息以及計費政策計算網絡用戶資源的使用情況,並計算出應交納的費用。
(6)數據查詢:提供給每個網絡用戶關於自身使用網絡資源情況的詳細信息,網絡用戶根據這些信息可以計算、覈對自己的收費情況。
(3)配置管理
配置管理同樣相當重要。它初始化網絡、並配置網絡,以使其提供網絡服務。配置管理 是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是爲了實現某個特定功能或使網絡性能達到最優。
(1)配置信息的自動獲取:在一個大型網絡中,需要管理的設備是比較多的,如果每個設備的配置信息都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對於不熟悉網絡結構的人員來說,這項工作甚至無法完成‘因此,一個先進的網絡管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下,也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置信息中,根據獲取手段大致可以分爲三類:一類是網絡管理協議標準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網絡管理協議標準中有定義,但是對設備運行比較重要的配置信息;三類就是用於管理的一些輔助信息。
(2)自動配置、自動備份及相關技術:配置信息自動獲取功能相當於從網絡設備中“讀”信息,相應的,在網絡管理應用中還有大量“寫”信息的需求。同樣根據設置手段對網絡配置信息進行分類:一類是可以通過網絡管理協議標準中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。
(3)配置一致性檢查:在一個大型網絡中,由於網絡設備衆多,而且由於管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置,也會由於各種原因導致配置一致性問題。因此,對整個網絡的配置情況進行一致性檢查是必需的。在網絡的配置中,對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置,因此,要進行、致性檢查的也主要是這兩類信息。
(4)用戶操作記錄功能:配置系統的安全性是整個網絡管理系統安全的核心,因此,必須對用戶進行的每一配置操作進行記錄。在配置管理中,需要對用戶操作進行記錄,並保存下來。管理人員可以隨時查看特定用戶在特定時間內進行的特定配置操作。
(4)性能管理(performance management)
性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息,並維持和分析性能日誌。一些典型的功能包括:
(1)性能監控:由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存餘量。對於每個被管對象,定時採集性能數據,自動生成性能報告。
(2)閾值控制:可對每一個被管對象的每一條屬性設置閾值,對於特定被管對象的特定屬性,可以針對不同的時間段和性能指標進行閾值設置。可通過設置閾值檢查開關控制閡值檢查和告警,提供相應的閾值管理和溢出告警機制。
(3)性能分橋:對歷史數據進行分析,統計和整理,計算性能指標,對性能狀況作出判斷,爲網絡規劃提供參考。
(4)可視化的性能報告:對數據進行掃描和處理,生成性能趨勢曲線,以直觀的圖形反映性能分析的結果。
(5)實時性能監控:提供了一系列實時數據採集;分析和可視化工具,用以對流量、負載、丟包、溫度、內存、延遲等網絡設備和線路的性能指標進行實時檢測,可任意設置數據採集間隔。
(6)網絡對象性能查詢:可通過列表或按關鍵字檢索被管網絡對象及其屬性的性能記錄。
(5)安全管理
安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:
網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),
授權(authentication)(防止侵入者在網絡上發送錯誤信息),
訪問控制(控制訪問控制(控制對網絡資源的訪問)。
相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日誌。包括:
網絡管理過程中,存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要,一旦泄密、被篡改和僞造,將給網絡造成災難性的破壞。網絡管理本身的安全由以下機制來保證:
(1)管理員身份認證,採用基於公開密鑰的證書認證機制;爲提高系統效率,對於信任域內(如局域網)的用戶,可以使用簡單口令認證。
(2)管理信息存儲和傳輸的加密與完整性,Web瀏覽器和網絡管理服務器之間採用安全套接字層(SSL)傳輸協議,對管理信息加密傳輸並保證其完整性;內部存儲的機密信息,如登錄口令等,也是經過加密的。
(3)網絡管理用戶分組管理與訪問控制,網絡管理系統的用戶(即管理員)按任務的不同分成若干用戶組,不同的用戶組中有不同的權限範圍,對用戶的操作由訪問控制檢查,保證用戶不能越權使用網絡管理系統。
(4)系統日誌分析,記錄用戶所有的操作,使系統的操作和對網絡對象的修改有據可查,同時也有助於故障的跟蹤與恢復。
網絡對象的安全管理有以下功能:
(1)網絡資源的訪問控制,通過管理路由器的訪問控制鏈表,完成防火牆的管理功能,即從網絡層(1P)和傳輸層(TCP)控制對網絡資源的訪問,保護網絡內部的設備和應用服務,防止外來的攻擊。
(2)告警事件分析,接收網絡對象所發出的告警事件,分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息),實時地向管理員告警,並提供歷史安全事件的檢索與分析機制,及時地發現正在進行的攻擊或可疑的攻擊跡象。
(3)主機系統的安全漏洞檢測,實時的監測主機系統的重要服務(如WWW,DNS等)的狀態,提供安全監測工具,以搜索系統可能存在的安全漏洞或安全隱患,並給出彌補的措施。
保護信息安全的方案篇三網絡信息系統的安全技術體系通常是在安全策略指導下合理配置和部署:網絡隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、數據加密、身份認證、安全監控與審計等技術設備,並且在各個設備或系統之間,能夠實現系統功能互補和協調動作。
網絡系統安全具備的功能及配置原則
1.網絡隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離,並建立訪問控制機制,將絕大多數攻擊阻止在網絡和服務的邊界以外。
2.漏洞發現與堵塞。通過對網絡和運行系統安全漏洞的週期檢查,發現可能被攻擊所利用的漏洞,並利用補丁或從管理上堵塞漏洞。
3.入侵檢測與響應。通過對特定網絡(段)、服務建立的入侵檢測與響應體系,實時檢測出攻擊傾向和行爲,並採取相應的行動(如斷開網絡連接和服務、記錄攻擊過程、加強審計等)。
4.加密保護。主動的加密通信,可使攻擊者不能瞭解、修改敏感信息(如方式)或數據加密通信方式;對保密或敏感數據進行加密存儲,可防止竊取或丟失。
5.備份和恢復。良好的備份和恢復機制,可在攻擊造成損失時,儘快地恢復數據和系統服務。
6.監控與審計。在辦公網絡和主要業務網絡內配置集中管理、分佈式控制的監控與審計系統。一方面以計算機終端爲單元強化桌面計算的內外安全控制與日誌記錄;另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。
邊界安全解決方案
在利用公共網絡與外部進行連接的“內”外網絡邊界處使用防火牆,爲“內部”網絡(段)與“外部”網絡(段)劃定安全邊界。在網絡內部進行各種連接的地方使用帶防火牆功能的設備,在進行“內”外網絡(段)的隔離的同時建立網絡(段)之間的安全通道。
1.防火牆應具備如下功能:
使用NAT把DMZ區的服務器和內部端口影射到Firewall的對外端口;
允許Internet公網用戶訪問到DMZ區的應用服務:http、ftp、smtp、dns等;
允許DMZ區內的工作站與應用服務器訪問Internet公網;
允許內部用戶訪問DMZ的應用服務:http、ftp、smtp、dns、pop3、https;
允許內部網用戶通過代理訪問Internet公網;
禁止Internet公網用戶進入內部網絡和非法訪問DMZ區應用服務器;
禁止DMZ區的公開服務器訪問內部網絡;
防止來自Internet的DOS一類的攻擊;
能接受入侵檢測的聯動要求,可實現對實時入侵的策略響應;
對所保護的主機的常用應用通信協議(http、ftp、telnet、smtp)能夠替換服務器的Banner信息,防止惡意用戶信息刺探;
提供日誌報表的自動生成功能,便於事件的分析;
提供實時的網絡狀態監控功能,能夠實時的查看網絡通信行爲的連接狀態(當前有那些連接、正在連接的IP、正在關閉的連接等信息),通信數據流量。提供連接查詢和動態圖表顯示。
防火牆自身必須是有防黑客攻擊的保護能力。
2.帶防火牆功能的設備是在防火牆基本功能(隔離和訪問控制)基礎上,通過功能擴展,同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力,這類設備也有S的,主要用於通過外部網絡(公共通信基礎網絡)將兩個或兩個以上“內部”局域網安全地連接起來,一般要求S應具有一下功能:
防火牆基本功能,主要包括:IP包過慮、應用代理、提供DMZ端口和NAT功能等(有些功能描述與上相同);
具有對連接兩端的實體鑑別認證能力;
支持移動用戶遠程的安全接入;
支持IPESP隧道內傳輸數據的完整性和機密性保護;
提供系統內密鑰管理功能;
S設備自身具有防黑客攻擊以及網上設備認證的能力。
入侵檢測與響應方案
在網絡邊界配置入侵檢測設備,不僅是對防火牆功能的必要補充,而且可與防火牆一起構建網絡邊界的防禦體系。通過入侵檢測設備對網絡行爲和流量的特徵分析,可以檢測出侵害“內部”網絡或對外泄漏的網絡行爲和流量,與防火牆形成某種協調關係的互動,從而在“內部”網與外部網的邊界處形成保護體系。
入侵檢測系統的基本功能如下:
通過檢測引擎對各種應用協議,操作系統,網絡交換的數據進行分析,檢測出網絡入侵事件和可疑操作行爲。
對自身的數據庫進行自動維護,無需人工干預,並且不對網絡的正常運行造成任何干擾。
採取多種報警方式實時報警、音響報警,信息記錄到數據庫,提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日誌報警、Windows消息報警信息,並按照預設策略,根據提供的報警信息切斷攻擊連接。
與防火牆建立協調聯動,運行自定義的多種響應方式,及時阻隔或消除異常行爲。
全面查看網絡中發生的所有應用和連接,完整的顯示當前網絡連接狀態。
可對網絡中的攻擊事件,訪問記錄進行適時查詢,並可根據查詢結果輸出圖文報表,能讓管理人員方便的提取信息。
入侵檢測系統猶如攝像頭、監視器,在可疑行爲發生前有預警,在攻擊行爲發生時有報警,在攻擊事件發生後能記錄,做到事前、事中、事後有據可查。
漏洞掃描方案
除利用入侵檢測設備檢測對網絡的入侵和異常流量外,還需要針對主機系統的漏洞採取檢查和發現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞,並提醒系統管理員對該缺陷和漏洞進行修補或堵塞。
對於漏洞掃描的結果,一般可以按掃描提示信息和建議,屬外購標準產品問題的,應及時升級換代或安裝補丁程序;屬委託開發的產品問題的,應與開發商協議修改程序或安裝補丁程序;屬於系統配置出現的問題,應建議系統管理員修改配置參數,或視情況關閉或卸載引發安全漏洞的程序模塊或功能模塊。
漏洞掃描功能是協助安全管理、掌握網絡安全態勢的必要輔助,對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。
考慮到漏洞掃描能檢測出防火牆策略配置中的問題,能與入侵檢測形成很好的互補關係:漏洞掃描與評估系統使系統管理員在事前掌握主動地位,在攻擊事件發生前找出並關閉安全漏洞;而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此,漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標,而且關係密切。本方案建議採購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產品,不但可以簡化管理,而且便於漏洞掃描、入侵檢測和防火牆之間的協調動作。
網絡防病毒方案
網絡防病毒產品較爲成熟,且有幾種主流產品。本方案建議,網絡防病毒系統應具備下列功能:
網絡&單機防護—提供個人或家庭用戶病毒防護;
文件及存儲服務器防護—提供服務器病毒防護;
郵件服務器防護—提供LotusNotes,MicrosoftExchange等病毒防護;
網關防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒;
集中管理—爲企業網絡的防毒策略,提供了強大的集中控管能力。
關於安全設備之間的功能互補與協調運行
各種網絡安全設備(防火牆、入侵檢測、漏洞掃描、防病毒產品等),都有自己獨特的安全探測與安全保護能力,但又有基於自身主要功能的擴展能力和與其它安全功能的對接能力或延續能力。因此,在安全設備選型和配置時,儘可能考慮到相關安全設備的功能互補與協調運行,對於提高網絡平臺的整體安全性具有重要意義。
防火牆是目前廣泛用於隔離網絡(段)邊界並實施進/出信息流控制的大衆型網絡安全產品之一。作爲不同網絡(段)之間的邏輯隔離設備,防火牆將內部可信區域與外部危險區域有效隔離,將網絡的安全策略制定和信息流動集中管理控制,爲網絡邊界提供保護,是抵禦入侵控制內外非法連接的。
但防火牆具有侷限性。這種侷限性並不說明防火牆功能有失缺,而且由於本身只應該承擔這樣的職能。因爲防火牆是配置在網絡連接邊界的通道處的,這就決定了它的基本職能只應提供靜態防禦,其規則都必須事先設置,對於實時的攻擊或異常的行爲不能做出實時反應。這些控制規則只能是粗顆粒的,對一些協議細節無法做到完全解析。而且,防火牆無法自動調整策略設置以阻斷正在進行的攻擊,也無法防範基於協議的攻擊。
爲了彌補防火牆在實際應用中存在的侷限,防火牆廠商主動提出了協調互動思想即聯動問題。防火牆聯動即將其它安全設備(組件)(例如IDS)探測或處理的結果通過接口引入系統內調整防火牆的安全策略,增強防火牆的訪問控制能力和範圍,提高整體安全水平。
目前,防火牆形成聯動的主要有以下幾種方式:
1.與入侵檢測實現聯動
目前,實現入侵檢測和防火牆之間的聯動有兩種方式。一種是實現緊密結合,即把入侵檢測系統嵌入到防火牆中,即入侵檢測系統的數據來源不再來源於抓包,而是流經防火牆的數據流。但由於入侵檢測系統本身也是一個很龐大的系統,從目前的軟硬件處理能力來看,這種聯動難於達到預期效果。第二種方式是通過開放接口來實現聯動,即防火牆或者入侵檢測系統開放一個接口供對方調用,按照一定的協議進行通信、警報和傳輸,這種方式比較靈活,不影響防火牆和入侵檢測系統的性能。
防火牆與入侵檢測系統聯動,可以對網絡進行動靜結合的保護,對網絡行爲進行細顆粒的檢查,並對網絡內外兩個部分都進行可靠管理。
2.與防病毒實現聯動
防火牆處於內外網絡信息流的必經之地,在網關一級對病毒進行查殺是網絡防病毒的理想措施。目前已有一些廠商的防火牆可以與病毒防治軟件進行聯動,通過提供API定義異步接口,將數據包轉發到裝載了網關病毒防護軟件的服務器上進行檢查,但這種聯動由於性能影響,目前並不適宜部署在網絡邊界處。
3.與日誌處理間實現聯動
防火牆與日誌處理之間的聯動,目前國內廠商做的不多。比較有代表性的是CheckPoint的防火牆,它提供兩個API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允許第三方訪問日誌數據。報表和事件分析採用LE保護信息安全的方案PI,而安全與事件整合採用EL保護信息安全的方案PI。防火牆產品利用這個接口與其他日誌服務器合作,將大量的日誌處理工作由專門的服務設備完成,提高了專業化程度。
內部網絡監控與審計方案
上面的安全措施配置解決了網絡邊界的隔離與保護,網絡與主機的健康(防病毒)運行,以及用戶訪問網絡資源的身份認證和授權問題。
然而,縣衛生局網絡內部各辦公網絡、業務網絡的運行秩序的維護,網絡操作行爲的監督,各種違規、違法行爲的取證和責任認定,以及對操作系統漏洞引發的安全事件的監視和控制等問題,則是必須予以解決的問題。因此有必要在各種內部辦公網絡、業務網內部部署集中管理、分佈式控制的監控與審計系統。這種系統通過在局域網(子網)內的管理中心安裝管理器,在各臺主機(PC機)中安裝的代理軟件形成一個監控與審計(虛擬網絡)系統,通過對代理軟件的策略配置,使得每臺工作主機(PC機)按照辦公或業務操作規範進行操作,並對可能經過主機外圍接口(USB口、串/並口、軟硬盤接口等)引入的非法入侵(包括病毒、木馬等),或非法外連和外泄的行爲予以阻斷和記錄;同時管理器通過網絡還能及時收集各主機上的安全狀態信息並下達控制命令,形成“事前預警、事中控制和事後審計”的監控鏈。
監控與審計系統應具有下列功能:
管理器自動識別局域網內所有被監控對象之間的網絡拓撲關係,並採用圖形化顯示,包括被監控主機的狀態(如在線、離線)等;
支持對包含有多個子網的局域網進行全面監控;
系統對被監控對象的USB移動存儲設備、光驅、軟驅等外設的使用以及利用這些設備進行文件操作等非授權行爲進行實時監視、控制和審計;
系統對被監控對象的串/並口等接口的活動狀態進行實時監視、控制和審計;
系統對進出被監控對象的網絡通信(www,ftp,pop,smtp)數據包進行實時攔截、分析、處理和審計,對telnet通信數據包進行攔截;
系統可根據策略規定,禁止被監控對象進行撥號(普通modem撥號、ADSL撥號、社區寬帶撥號)連接,同時提供審計;
系統對被監控對象運行的所有進程進行實時監視和審計;
系統支持羣組管理,管理員可以根據被監控對象的屬性特徵,將其劃分成不同的安全組,對每個組制定不同的安全策略,所有組的成員都根據該策略執行監控功能;
支持多角色管理,系統將管理員和審計員的角色分離,各司其職;
強審計能力,系統具有管理員操作審計、被監控對象發送的事件審計等功能;
系統自身有極強的安全性,能抗欺騙、篡改、僞造、嗅探、重放等攻擊。