在当今经济全球化、竞争白热化和信息技术应用飞速发展的时代,信息化已经成为改善企业管理水平、提高劳动生产率、增强企业核心竞争力的有力武器,企业信息化的核心是企业的各种网络基础设施以及办公、应用系统,大体可以分为生产网,办公网,以及合作伙伴、远程接入、移动办公接入网络等等几个部分。
随着网络和信息化的飞速发展,企业对信息化的依赖日益加深,企业信息安全问题开始凸显。影响企业网络系统安全的因素很多,可能是有意的攻击,也可能是无意的误操作;可能是内部的破坏,也可能是外来攻击者对网络系统资源的非法使用,归结起来,针对企业网络信息系统安全的问题主要有如下几个方面:
1、人为的无意失误
如安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人,或与别人共享信息资源,内部人员的误操作等等都会对网络安全带来威胁。
2、人为的恶意攻击
典型的黑客攻击和计算机犯罪属于这一类威胁。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的机密性、可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致企业机密数据的泄漏和丢失。
3、操作系统和应用软件的漏洞
以微软windows为代表的各种操作系统不断发现漏洞,通常在漏洞被披露的1~2 周之内,相应的蠕虫病毒就产生了,这对安全补丁工作提出了极大的要求,在目前企业安全人员严重不足的情况下,在短时间内完成成百上千台计算机补丁的部署带来巨大的工作量;另外,软件的“后门”有些是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。同时也存在BO,Netbus等诸多专业黑客后门程序,一旦通过网络植入内部网络,将大开方便之门。
4、蠕虫、病毒、垃圾邮件、间谍软件等等的威胁
病毒、蠕虫、恶意代码、垃圾邮件、间谍软件、流氓软件等等很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于网络用户的各种危险的应用:不安装杀毒软件;安装杀毒软件但未能及时升级;网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中,特别是INTERNET;移动用户计算机连接到各种情况不明网络环境后,在没有采取任何措施情况下又连入企业网络;终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施、企业业务带来无法估量的损失。
5、网络边界扩展带来的威胁
随着各种网上交易和电子商务活动的展开,企业网络边界不断扩展,远程拨号用户,VPN用户,分支机构,合作伙伴,供应商,无线局域网等等已经大大地扩展了网络的边界,网络的扩展给企业带来办公便利的同时也引入了潜在的风险,网络边界模糊化导致传统的边界保护更加困难。
6、企业终端用户进行大量与工作无关的网络访问
权威调查机构IDC的统计表明:30%~40%的工作时间内发生的企业员工网络访问行为是与业务无关的,比如游戏、聊天、视频、P2P下载等等;另一项调查表明:1/3的员工曾在上班时间玩电脑游戏,这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出,并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃,引起法律责任和诉讼风险。
7、海量安全事件信息带来的问题
通常情况下,企业在信息安全方面的投资有限,仅有少量的或者没有专职的安全管理人员,面对复杂多变的风险,如何能使有限的财力、人力用到刀刃上,真正起到保护企业安全的目标?目前的实际情况是,有限的IT管理人员要面对不同厂商的多种产品:防火墙、防毒墙、内容过滤、防垃圾邮件、补丁管理...,以及这些产品时时刻刻在产生的海量的、分散的、相互之间没有关联的安全事件信息,难免不被这些告警信息所淹没,导致真正的威胁反而被忽略,如何避免处理海量安全事件和告警所需要的大量人力资源带来的管理和成本风险,如何对企业的安全资源进行的有效的整合和集中管理,这是所有企业管理者都在思考的问题。
安氏领信从企业用户需求角度出发,量身定做了符合企业实际需求的安全解决方案,采用领信统一威胁管理产品(Linktrust UTM)对企业网络边界进行综合防护,将蠕虫、病毒、恶意代码、垃圾邮件、入侵攻击拒之于门外;采用领信终端安全管理系统(Linktrust IntraSec)对所有用户终端进行统一安全管理、保护、监控和审计,确保终端的安全,这两者组成一个从外到内的、主动的、立体的、深层的安全防御体系,能够全面满足用户的安全保护需求,从容应对内外风险。同时采用领信安全事件管理(SEM)系统作为以上产品的事件收集、过滤、归并和关联系统,将管理人员从繁琐的人工分析处理工作中解脱出来,去关注和处理真正给企业网络安全带来威胁的事件。
领信企业安全防护体系架构如下图所示:
方案简述如下:
1、网络边界综合防护体系
安氏领信为企业用户提供的整合式边界防护体系以安氏领信的统一威胁管理产品(Linktrust UTM)为核心,Linktrust UTM是安氏领信公司基于多年对网络安全的深刻理解开发出的集防火墙、网关防病毒、VPN、内容过滤、反垃圾邮件、流量整形技术于一身的主动防御系统,实现了单一设备的对网络边界的综合防护;网络边界综合防护体系具体分为如下几个系统:
基于安全域的访问控制系统
Linktrust UTM基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。Linktrust UTM从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。Linktrust UTM可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问;
流量整形系统
流量整形系统提供了针对带宽资源的分配控制能力,对所有网络流量划分优先级以保证关键任务的服务质量,从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。带宽管理策略可以按照接口、方向、优先级等来对流量进行分级以满足企业不同层面的需求。
Anti-DoS系统
Linktrust UTM具备强大的抗拒绝服务攻击能力,能够抵抗诸如Ping of Death,Tear Drop、WinNuke、Land、ICMP Flood、UDP Flood、Port Scan、Address Sweep等多种攻击。Linktrust UTM内置的SYN-Proxy机制同时提供了对SYN Flood攻击的完美保护 基于IPSEC、PPTP和L2TP的VPN通信加密系统
基于IPSEC协议的VPN完全兼容并符合IPSEC标准定义,从而保证了与其它支持IPSEC的系统和设备的互联互通。
基于HTTP、SMTP、POP3、FTP等多种协议的网关防病毒系统
网关防病毒系统具有业界领先的病毒检测引擎,通过Patten Matching模式、Heuristics模式、Emulation模式等多种模式检测病毒,目前能够扫描出9万多种病毒,支持包括多种压缩格式文件病毒检测,支持病毒库的自动更新以提供对最新病毒的防御。Linktrust UTM还提供了基于硬件的病毒检测辅助芯片,以提升系统的性能。
内容过滤和防垃圾邮件系统
Linktrust UTM内嵌的检测引擎同时还可以通过优化内容搜索、模式识别和数据分流等技术,使您的网络避免因Web冲浪和邮件收发导致的病毒、木马和蠕虫入侵,给您创造一个绿色安全的网络世界。
2、终端安全综合管理体系
终端安全综合管理体系以安氏领信的终端安全管理系统IntraSec(以下简称IntraSec)为核心,从终端系统管理、终端安全防护、终端行为监控、网络准入控制和强制认证等多方面建设终端安全防御体系,对企业用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,打造安全的终端环境,同时监控用户的网络访问行为,提高企业的劳动生产率、降低员工进行非法操作给企业带来的法律风险,保留网络资源。
终端安全综合管理体系具体分为如下几个系统:
2、1终端安全管理系统
终端安全策略管理中心
安全策略是网络安全活动的最高指南。针对终端安全的复杂性,安全策略中心能够将终端计算机按照地理位置、行政部门、业务类型等等划分为特定的组,每个组可以拥有自己的策略,包括补丁安装策略、安全保护策略、行为监控审计策略等等,用以保护和管理广大终端用户;
随着互联网技术和电子商务不断发展,移动办公、远程接入、VPN接入等等给也终端保护带来新的挑战,这就要求安全保护中心能够自动识别用户所处的网络环境,并选择执行与之相匹配的安全策略,使用户在享受网络便利性的同时还能受到无所不在的保护;
企业IT管理人员可以通过终端安全策略管理中心为企业员工制定安全策略,并实时检查员工行为与法律法规和安全策略的符合性,确保安全策略得到贯彻执行。
终端资产管理系统
准确的资产信息统计是终端安全建设的基础,只有你知道你的网络里有哪些资产,才能有针对性的制定保护措施,终端资产管理系统可以收集到各种终端硬件和软件资产(安装的软件系统、补丁类型)信息,存放在数据库中,并不断跟踪终端资产的变化,从而保证管理员随时得到最新的信息;
终端补丁管理系统
实时自动的补丁更新是主动防御的最有效方法,一个没有漏洞的系统不但能抵御已知的威胁,还能够抵御未知的威胁。补丁管理系统能够检查终端操作系统的补丁安装情况,并能够根据组织的安全策略要求自动安装和更新补丁,提高终端对蠕虫感染和恶意代码破坏的免疫力,全面提升系统的主动安全防御能力;
2、2终端安全保护系统
主机防火墙系统
提供基于状态检测的防火墙功能,能够配置细粒度的访问控制策略。
主机入侵检测系统
能够捕获进、出主机的网络数据包,进行基于签名的检测,发现混杂在正常业务数据流中的恶意入侵和攻击,并根据检测结果做出相应的响应。保护终端免于遭受破坏;
2、3终端行为监控及审计系统
能够监控终端用户网络访问及本地应用行为,对终端主机上运行过的所有进程的执行情况进行监控记录,确保用户没有运行跟办公及业务无关的应用,当发现未知的应用程序试图访问网络时,能够进行学习记录,对于发现并清除Trojan 以及Spyware等恶意软件很有帮助, 系统具备的强大的日志审计功能可以保留访问信息以备事后分析、查询之用。
2、4网络准入控制和强制认证系统
如何强制用户执行组织安全策略,如何检查用户行为与安全策略的一致性?强制认证中心类似终端管理的检察官,作为一种安全强制手段,根据终端提供的自身安全状态,被访问的地址及服务等信息决定采取通过或阻止网络连接的动作,只有符合组织安全级别要求的终端才被允许继续进行网络访问,否则就会被拒绝或进行强制修复,通过强制认证能够维护一个可信的网络安全域,保证被保护信息资产的安全;
3、安全事件管理系统
安氏领信着眼于企业安全事件管理面临的挑战,推出了具备完全自主知识产权的安全事件管理产品(以下简称SEM)。该产品实现了对多种异构产品的事件信息的集中收集与分析。SEM以安全事件管理为主线,以关联分析为核心,对主流的安全产品、主机及服务器、网络产品产生的各类事件信息进行收集、标准化、归并、关联等等操作,提炼出与安全相关的信息,并对这些信息做进一步的处理与优化,减少安全管理人员的数量及负担,节约管理投资,更快的发现问题和响应问题,在与黑客的斗争中赢得主动;
1.设计全面:全面的企业系统管理和安全管理解决方案,帮助客户打造高效率和高安全性的管理平台;
2.功能强大:构建主动防御、多层防御、立体防御的企业安全保障体系,从容应对内外风险;
3.整体协防:相互之间协同工作,全面提升系统的整体安全水平,缔造更可信的网络空间:
4.投资保护:所有产品均为模块化设计,具有极强的扩展性,可以随着用户网络的扩展平滑升级,
其ALL-IN-ONE的设计可以节省部署和管理成本,使用户获得最大的投资回报(ROI);