中国保监会安全现状
中国保险监督管理委员会(简称"中国保监会")是全国商业保险的主管部门,是国务院直属事业单位,根据国务院授权履行行政管理职能,依照法律、法规统一监督管理全国保险市场。
随着监管业务的开展和WTO的临近,中国保监会不断加快信息化建设的脚步,充分利用先进的IT及网络技术来促进自身业务的发展。但由于目前还没有采取安全防范措施,其网络存在不安全的众多隐患,时常遭到恶意的攻击,使得信息安全、网络安全问题逐渐暴露出来。
为了最大可能地保证其网络和业务系统可以得到充分的信任,可以获得良好的管理,并能够完全控制与IT基础结构相联系的安全风险水平,中国保监会迫切需要解决如下问题:提供严密的访问控制功能,确保服务器不被非法访问;核心数据安全,保证数据库软硬件系统的整体安全性和可靠性;入侵检测,对于试图破坏网络环境的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据,并防止来自网络内部其他系统的破坏,或误操作造成的安全隐患;病毒防范,防止病毒引起的网络瘫痪。
通过多方比较与谨慎考虑,中国保监会决定让首创网络为其提供网络安全的解决方案。
层次性安全需求分析和设计
网络安全方案必须架构在科学的安全体系和安全框架之上,安全框架是安全方案设计和分析的基础。为了系统地分析安全问题,首创网络从系统层次结构的角度展开,分析中国保监会各个层次可能存在的安全漏洞和安全风险,并提出解决方案。
网络层安全
网络层是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用IP欺骗、重放或重演、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
保证网络安全的首要问题就是要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要全面解决网络层安全问题,首创网络认为应该从网络扫描、防火墙以及网络实时入侵检测同时入手。
面对大型网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的,需要寻找一种能寻找网络安全漏洞、评估并提出的修改建议的网络安全扫描工具。首创网络的互联网扫描服务可以对所有附属在网络中的设备进行扫描,检查它们的弱点,将风险分为高、中、低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。结合互联网扫描服务结果,首创网络还提供网络安全漏洞评估服务。
防火墙服务可以通过在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制等,抵御网络外部安全威胁。而对于动态地监测网络内部活动并做出及时的响应,就要依靠首创网络的基于网络的实时入侵监测技术。监控网络上的数据流,从中检测出攻击的行为并给与响应和处理。通过入侵检测产品对网络安全轮回监控,使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输,它对安全威胁的自主响应为企业提供了最大限度的安全保障。
操作系统层安全
操作系统安全也称主机安全。一方面,由于现代操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。为此,对操作系统这一层次需要功能全面、智能化的检测,以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。
系统扫描服务所采用的系统扫描器是基于主机的一种领先的安全评估系统。它通过对内部网络安全弱点的全面分析,协助企业进行安全风险管理。区别于静态的安全策略,系统扫描工具对主机进行真正预防潜在安全风险问题的设置。其中包括易猜出的密码,用户权限,文件系统进入权,服务器设置以及其它含有攻击隐患的可疑点。
为了加强主机的安全,还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件,从中检测出攻击的可疑特征,并给与响应和处理。网络入侵监测服务采用实时系统代理对计算机主机操作系统进行自主地,实时地攻击检测与响应。一旦发现对主机的入侵,可以马上可以切断用户进程,和做出各种安全反应。实时系统代理还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。
数据库层安全
许多关键的业务系统运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。数据库安全隐患集中在:
. 系统认证:口令强度不够,过期账号,登录攻击等
. 系统授权:帐号权限,登录时间超时等
. 系统完整性:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序等
首创网络建议使用数据库扫描服务。数据库扫描器能通过网络快速、方便地扫描数据库,去检查数据库特有的安全漏洞,全面评估所有的安全漏洞和认证、授权、完整性方面的问题,从而保护存储在数据库管理系统中的数据的安全。用户可通过该产品自动生成数据库服务器的安全策略,这是全面的企业安全管理的一个新的重要领域。
应用层安全
应用安全是指网络上的应用系统的安全,包括中国保险监督管理委员会的各个业务系统的应用系统。
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。但对一些通用的应用程序,如Web Server程序、FTP服务程序、E-mail服务程序、浏览器、MS Office办公软件等,首创网络通过互联网扫描服务和系统扫描服务可以帮助检查这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞。
根据对中国保险监督管理委员会的安全状况的分析,首创网络为中国保监员会设计的安全服务解决方案有效集成网络拓扑结构安全服务、防火墙、主机系统安全服务、漏洞评估、入侵监控和防御、访问控制、日志和审计、身份认证、信息加密、防病毒和灾难恢复等网络安全功能要素,形成了以下几个安全服务模块:
. 安全风险评估
. 防火墙服务
. 一次性系统加固
. 定期安全风险评估
. 定期系统加固
. 病毒防范
. 紧急事件响应
方案点评
在整个安全解决方案的设计中,首创网络有限公司选择了最优秀的产品以及本公司强大的专业安全技术服务。总体来看,该方案最突出的优势如下:
在安全策略的指导下,在"干净"的系统上实施安全
对一个信息系统实施安全技术涉及网络结构、操作系统、应用软件等各个层次,该方案将制定中国保监会的信息系统安全策略作为实施安全的第一步,然后根据安全策略建立中国保监会的信息系统的信息安全体系结构,大大降低今后实施安全的难度、复杂程度和成本。
以动态的观点保障信息系统的安全
信息系统的安全状态是处于不断的变化之中的。这里既有安全需求的变化,也有安全威胁的变化,其中对系统安全状态影响最大的是人的因素,如:用户在使用系统时,如果不按照规范使用、操作,往往会破坏系统的安全状态;新的应用服务系统投入往往会产生新的安全漏洞等,从而对系统的安全状态的造成影响。
本方案通过不断地对系统进行安全评估、修订不适用的安全策略、定期加固、修补系统等有效地动态保证系统安全。
对原有网络、系统性能的影响低
由于增加了安全设置后,必将影响网络和系统的性能,包括对网络传输速率的影响、对系统本身资源的消耗等,首创网络从系统整体角度分析了中国保监会的安全需求,针对中国保监会的网络、系统的影响提供了仔细的评估,提供的安全解决方案与中国保监会的网络、业务的安全需求相一致,并且能够随着中国保险监督管理委员会网络性能及安全需求的变化而变化,将对原有网络的影响降到最低。