一、XX烟草工业公司网络现状概述
XX烟草工业公司目前通过广域网链路上联××中烟工业公司,下联XXXX卷烟厂1、XXXX卷烟厂2、XXXX卷烟厂3。目前通过10M光纤连接互联网。整个XX烟草工业公司目前网络拓扑图示意如下:
攻击
攻击主要来源于两方面:首先,随着公司的知名度的不断提高,XX烟草工业公司可能会成为黑客,敌对公司的攻击目标,我们每天都会面临很多的DOS,DDOS攻击。
另一方面,因为蠕虫病毒大规模的爆发或者内部人员攻击恶意或无恶意攻击。内部人员对信息的恶意破坏或不当使用,或使他人的访问遭到拒绝;由于粗心、无知以及其它非恶意的原因而造成的破坏。
病毒
而对于XX烟草工业公司目前面临的主要风险还是病毒,病毒的传播与攻击遵循了木桶原理,一部分主机因为管理不严,没有按照要求安装防病毒软件,或者没有按时升级病毒库,或者没有按时装载补丁导致感染病毒,木马,后门程序,黑客软件,同时因为没有进行安全域划分,导致“城门失火,殃及池鱼”,最终对生产网有巨大的威胁。
对于终端的管理
对于一个将近5000人,2000多台主机的大型国有企业,而网管只有不到10人,对于这些主机的管理是非常让人头疼的,而因为没有建立完善的信息安全管理体系,每台主机尤其是运行在生产网中的主机在运行过程中,如果遭遇攻击,病毒,或者被黑客,不良居心的职工装载了木马,后门程序,不良插件都会对整个企业造成不可估量的损失。
垃圾邮件
目前,经过粗略统计XX烟草工业公司收到的邮件垃圾邮件占到了60%以上,大大影响了工作效率,还有一些邮件存在一些非法内容,对职工的影响不好。
互联网出口不统一
分厂3作为这个XX烟草工业公司网络的一部分,更广义的说是××中烟网络的一部分,因为具有独立的互联网出口,一方面这给××中烟,XX烟草工业公司整个都带来了巨大的不可预知的风险;另一方面因为风险的增大也加大了对风险的管理成本,这包括人力,物力,财力等成本的增大。
其他风险
一类是自然灾难,另一类为技术局限性。信息系统的高度复杂性以及信息技术的高速发展和变化,使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。
二、XX烟草工业公司安全需求列表
三、XX烟草工业公司安全体系建设规划
结合前面章节的需求分析以及XX烟草工业公司及各分厂本期信息安全建设的目标,本方案以整个网络安全体系以综合安全事件分析为主,结合多种安全机制,提高对骨干网系统安全防护的总体安全策略。整体部署示意图如下所示:
结合上面提到的内容,我们将会得到一个坚实的网络体系-钢铁一般的骨干网防护体系: 为了实现基于智能策略的骨干网的安全防护体系,综合如下几点:
★ 灵活的入侵监测、全面的边界防范-骨干网安全防护要严密
对于边界要全面防范,在每一个边界都要安装防火墙,严密的防范来自于各个接入网的威胁,如:DOS和DDOS等,同时限制接入网对骨干网设备的非法访问。另外,利用灵活的入侵监测部署保证来自于任何一点的威胁都会激发基于智能策略的骨干网安全防护体系的智能安全策略的产生。以实现严密的骨干网安全防护。
★ 对多种安全设备的综合性管理-骨干网安全设备要管得了
基于智能策略的骨干网的安全防护体系对烟草局骨干网区域内的安全设备进行管理:可以对相应的安全设备进行配置的管理,对安全设备的配置进行修改;完全实现对安全设备的全自动配置分发;综合利用安全设备的信息,将系统智能制定的策略进行分发。
★ 多种安全设备的安全监控-骨干防护网要管得严
基于智能策略的骨干网的安全防护体系对安全设备进行集中管理,监控安全设备是否正常工作;对安全设备、重要服务器的系统进行监控,系统的运行状态是否正常,内存、CPU利用率是否过高,系统运行的各种进程是否正常,各服务器、设备使用的操作系统类型;对重要服务器、安全设备的应用进行监控,对出现的异常情况进行报警,报警信息可在安全网站上发布,提供查询、统计、按条件筛选等功能。
★ 安全策略的智能化制定,以及快速下发-骨干网安全策略要用的好
基于智能策略的骨干网的安全防护体系获取网络中的各种数据,如来自于入侵监测、网络安全分析系统,综合处理各路信息,分析得出相应策略,智能化的制定动态的安全策略并且统一按需分发。
这样可以极大地提高XX烟草工业公司信息系统对付网络攻击的能力,提高了安全系统的智能化(包括安全审计、监视、进攻识别和响应)。整个系统从入侵监测系统和防火墙处收集相应信息,进行有机地初步分析,略去各部分不可控的信息,将危险信息传输到安全策略控制中心,通过中心的分析和规划,对主机进行相应的配置,来阻断攻击。也将策略传输给相应的防火墙,进行配置,来阻断攻击。也将策略传输给入侵检测系统,进行配置,来重新评估系统安全。这样,形成了一个良性循环的过程,安全性能在不断的监测和审计过程中不断发展。
★ 综合日志信息审计-骨干网安全日志要用的巧
基于智能策略的骨干网的安全防护体系能够对收集到的各种事件信息进行深度分析,找出可疑的行为,同时生成详尽的统计和分析报表。审计分析的对象包括安全产品、应用系统、操作系统的事件信息。并且充分利用关联分析、异常行为检测等多种方式,巧妙的为骨干网安全防护体系提供了预警机制。
★ 安全事件WEB发布机制-骨干网安全事件要公布
基于智能策略的骨干网的安全防护体系能够对骨干网中发生的各种安全事件进行发布:安全设备的故障信息、各安全设备的攻击日志信息、各安全设备管理日志信息、联动信息、非法外联信息、PC补丁状态信息、冒用IP地址等信息、日志统计报表、日志分析报表。这样有利的形成安全威慑,提高安全意识,有力的加强了安全建设成果。
★ 全面的PC管理工作-管理终端安全漏洞不放过
对于应用PC或者是管理维护用的终端用也要做到周密的防范,否则骨干网的安全依然得不到保障,所以要全面监控终端,包括:地址信息搜集(收集终端信息)、违规联网监控(非法外联)、终端补丁管理(手动、自动补丁安装)和防病毒软件监视(监视防毒软件的安装)
方案设计效果
该安全体系完全在网络信息安全综合管理监控平台的控制之下,通过网络信息安全综合管理监控平台的信息收集和处理发布的作用将各个安全设备和整个安全系统统一的管理和监控起来,实现现代的安全管理体系。
该动态安全体系的作用主要体现在以下四个方面:
第一、网络信息安全综合管理监控平台提供采用了先进的体系结构,该结构有别于传统系统的平面式安全管理机制。
该结构中,网络信息安全综合管理监控平台的组织体系为分布、分层式的管理方式,同时保持了系统的集中控管能力。系统采用中心-二级的分层结构,形成立体的信息传输网,该结构保证了系统由中心到下级单位的各个层面的不同安全需求。
★ 分布式的体系结构-扩展性强
★ 分布计算的体系结构-负载均衡
★ 立体的信息传输网-两级区域的安全隔离
第二、利用网络信息安全综合管理监控平台Agent完成对终端的管理工作
对于网络信息安全综合管理监控平台Agent,我们可以实现两方面的工作:
★ 个人防护
★ 个人防火墙
★ 监控功能
★ 地址信息搜集功能
★ 客户端补丁管理功能
第三、综合信息审计
网络信息安全综合管理监控平台提供了综合安全审计功能,对网络信息安全综合管理监控平台收集的各种事件信息进行深度分析,找出可疑的行为,同时生成详尽的统计和分析报表。审计分析的对象包括安全产品、应用系统、操作系统的事件信息。
★ 统计和分析
根据系统预定义的策略和用户定义策略对网络信息安全综合管理监控平台收集的海量事件信息进行不同角度的分析和统计,向用户提供丰富的安全分析和统计报表,正确掌握烟草系统的安全状态。
★ 日志的关联分析
对不同日志源、不同时间段的日志数据进行基于预定策略的多种关联或基于统计的自动关联。
★ 异常行为检测
采用人工智能的技术在海量事件信息中发现异常事件,并输出检测报告。
第四、网络信息安全综合管理监控平台综合系统安全事件,提供安全事件发布机制。
网络信息安全综合管理监控平台能够对下列安全事件进行发布:安全设备的故障信息、各安全设备的攻击日志信息、各安全设备管理日志信息、联动信息、非法外联信息、PC补丁状态信息、冒用IP地址等信息、日志统计报表、日志分析报表。
网络信息安全综合管理监控平台能够自动定时生成安全通报,通报包括日通报、周通报、月通报。通报图文并茂,既有安全状态分析,也有安全趋势分析,用户可以从不同层次不同角度观察网络的安全状态和趋势。
网络信息安全综合管理监控平台用户将通过固定表格和定制模板两种方式得到报表。固定表格提供基础的、重要的报表,而定制模板可以由用户自定义报表的行项和列项,产生用户所需要的事件报表。
网络信息安全综合管理监控平台支持比较复杂的查询条件,如可按数据源、数据目的、接收方式、数据内容、报警内容、发送状况、反馈信息等项目进行查询。具有打印控制模块,根据用户要求对报表进行打印,并生成打印日志。
网络信息安全综合管理监控平台提供一个WEB等的浏览接口,可以在网络中实时或非实时的现实当前系统的各种事件网络事件和安全事件等。