本方案是 @網路遊俠 應51CTO“網絡007 大破駭客殺機之稿件徵集”而寫的稿,也是算是一個相對全面的安全解決方案。當然,還有很多需要提高的地方,如APT監測系統、數據徹底清除等,但由於客戶接受度問題,暫時在方案沒有體現。另:很多產品遊俠寫了1個產品,但是實際上市面上的產品多數都是分開的。各有利弊吧。
文章背景:
一、網絡現狀
假設軍情六處目前有計算機500臺,沒有分域管理,所有計算機在1個網絡中,出口部署有防火牆,以抵禦互聯網常見***,內部網絡中的計算機安裝有單機版防病毒軟件,並定期更新。
網絡中有約50臺服務器,部分採用了虛擬化。
正是因爲這樣的粗放型管理方式,導致病毒、***、蠕蟲氾濫,併產生過******到內部網絡的安全事故——對,在《007:大破天幕殺機》中各位已經看到!
二、脆弱性與威脅分析
由於目前的網絡完全是10年前的網絡結構,因此我們建議將網絡按照不同的應用分爲如下三個區域:
互聯網區:100臺計算機,用做資料查詢、網絡信息發佈等用途。(本區域也有服務器,但由於做信息發佈,不存儲敏感信息,因此不單獨分析。)
辦公網區:400臺計算機,存有大量敏感信息,並嚴格控制不能在互聯網發佈。
服務器區:從屬於辦公網區,但因功能不同,獨立分析。
不同的安全區域實施嚴格的訪問控制策略,特別是互聯網區,物理上與辦公網區、服務器區分開。
下面分析脆弱性與威脅:
1、互聯網區
來自於互聯網的***、病毒、蠕蟲。
U盤、移動硬盤等移動存儲介質帶來的惡意軟件、信息外泄。
打印帶來的安全問題。
主機IP和MAC容易被篡改帶來運維和安全風險。
刻錄機帶來的安全風險。
虎視眈眈的***帶來的各種威脅。
自帶設備(BYOD)帶入內部網絡帶來的安全風險(***、病毒等)。
隨着手機、平板電腦的流行而帶來的移動設備管理(MDM)問題。
遠程辦公帶來的安全問題。
2、辦公網區
來自於互聯網區的威脅,辦公網區同時存在,同時:
重要文檔在流轉過程中的安全問題,如不具備某文檔閱讀權限的人有可能接觸、打開、複製、打印該文檔。
自帶設備(BYOD)帶入內部網絡,並自動***內部主機、服務器,並將重要資料複製到BYOD設備,在聯網時回傳到***指定地址。
同上,U盤、移動硬盤、光盤也有可能在外部感染***,並通過上述方式***內部計主機、服務器,然後”輪渡”到外部。
對服務器、應用系統的資源佔用、響應無實時監控手段。
主機、應用系統登錄安全問題。
3、服務器區
來自於互聯網區、辦公網區的威脅,服務器區同時存在,同時:
管理員權限過大,可通過在交換機鏡像或ARP欺騙的方式捕獲內部人員的帳號、口令。
管理員可直接在服務器上讀取OA、E-Mail等的敏感信息。
管理員可直接接觸到核心數據庫,容易產生誤操作,或惡意操作。
蠕蟲、病毒,往往會掃描服務器,進行”額外照顧”。
低權限管理員有可能利用此權限,”提權”後進行越權、高危操作。
三、解決方案
1、管理手段
加強安全基礎知識培訓,如補丁、口令等知識。
完善管理制度,並確定可執行的策略。
2、技術手段(產品部署與安全策略)
2.1 互聯網區
由於本區域聯通互聯網,不存儲任何敏感信息,因此最重要的是保證網絡的連通性,以確保網絡聯通爲主,部署如下:
下一代防火牆:部署在互聯網出口和核心交換機之間,開啓安全防護模塊,用以抵禦******、實現網絡病毒過濾、反垃圾郵件、反釣魚郵件,同時進行上網行爲管理,對惡意、非法網站進行URL過濾,同時開啓網絡流量控制,保證業務流量。對遠程辦公用戶,採取***撥入方式保證數據傳輸安全。
終端安全管理系統:文件操作審計、打印管理、光驅刻錄管理、IP地址管理、非法接入控制、非法外聯管理、移動存儲介質管理、資產管理、軟硬件安裝管理、文檔加密、ARP防護。
網絡防病毒軟件:制定統一的防病毒策略,實現整網病毒防範。
日誌綜合審計管理系統:Windows/Linux服務器日誌收集與分析;路由器、交換機、下一代防火牆日誌收集與分析;數據庫操作日誌收集與分析。同時旁路部署該設備,以實現網絡數據庫審計的功能。
補丁管理系統:建議採用微軟WSUS,進行補丁管理。
漏洞掃描系統:對網絡設備、應用系統、Windows、Linux等的定期漏洞掃描。
CA服務器:配合USB-KEY,實現開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。
WEB應用防火牆:對SQL注入、XSS跨站***等進行防範。
主機***防護PC版:實現主機層面的***防禦。
2.2 辦公網區與服務器區
重要敏感信息全部存儲在本區域,因此防護級別較高,部署如下:
下一代防火牆:部署在互聯網出口和核心交換機之間,開啓安全防護模塊,用以抵禦******、實現網絡病毒過濾、反垃圾郵件、反釣魚郵件,同時進行上網行爲管理,對惡意、非法網站進行URL過濾,同時開啓網絡流量控制,保證業務流量。對遠程辦公用戶,採取***撥入方式保證數據傳輸安全。
終端安全管理系統:文件操作審計、打印管理、光驅刻錄管理、IP地址管理、非法接入控制、非法外聯管理、移動存儲介質管理、資產管理、軟硬件安裝管理、文檔加密、ARP防護。
網絡防病毒軟件:制定統一的防病毒策略,實現整網病毒防範。
日誌綜合審計管理系統:Windows/Linux服務器日誌收集與分析;路由器、交換機、下一代防火牆日誌收集與分析;數據庫操作日誌收集與分析。同時旁路部署該設備,以實現網絡數據庫審計的功能。
運維安全審計與管理系統(內控堡壘主機):telnet、SSH、Windows遠程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等應用協議的認證、授權、審計、賬號管理。以錄像形式存儲內部管理員、第三方運維人員的各種操作。
網絡運維監控系統:支持對網絡設備、安全設備、服務器、中間件、數據庫等的流量、運行狀態監控
補丁管理系統:建議採用微軟WSUS,進行補丁管理。
漏洞掃描系統:對網絡設備、應用系統、Windows、Linux等的定期漏洞掃描。
CA服務器:配合USB-KEY,實現開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。
主機加固系統:對Windows、Linux服務器進行加固。
網絡***檢測系統:採用旁路抓包方式,對整網流量進行監控,對內網的蠕蟲、***、***行爲進行有效監控。
主機***防護PC版:實現主機層面的***防禦。
主機***防護服務器版:對服務器進行***防護。
四、產品清單
1、互聯網區
2、辦公網區與服務器區
五、方案特色
採用整合型產品,在保證性能的同時,減少故障點。
對主機、網絡、應用層的APT進行全方位防護。
在保證安全的前提下提供便捷措施,如***,同時提供MDM。
BYOD防護(終端安全管理、HIPS等)。
移動存儲介質、打印、刻錄管控,含文檔加密。
日誌綜合管理可對服務器、網絡設備、安全設備運維日誌進行統一管理。
運維審計(堡壘機)可對網絡設備、服務器、數據庫等進行統一運維管理。
作者:張百川(網路遊俠)www.youxia.org 轉載請註明來源!謝謝
您亦可加QQ:55984512(@qq.com)與我聯繫、探討。