工商局内部网络安全解决方案模板.doc

某工商局内部网络安全处理方案 　　某市工商行政管理局，是负责市场监管行政执法机关和综合经济管理部门，掌握着本市各类企业登记情况、市场活动交易行为等关键信息。现有市局机关X个处室，X个区县分局，X个直属分局和X个工商所。 　　工商局网络系统以关键交换机Cisco 6509及边界交换设备组成骨干网，主交换机处连接了数据库服务器及其它办公服务器和应用服务器，各楼层交换机到桌面组成10/100M以太网网络。现在网络采取安全方法是：物理隔离闸；在Internet入口处布署了防火墙，控制输入输出数据流；使用了入侵检测系统检验网络入侵情况；内网数据库服务器等也采取了防火墙加强保护。网络拓扑示意图以下： 　　安全威胁分析 　　现在工商局为预防受到攻击；确定用户身份；确保信息机密性和完整性；已经采取了相关方法，也确实在一定范围内保护了网络层安全。不过信息网络安全防护是一个多方位复杂问题。信息和网络面临安全威胁是动态、发展。入侵者可能来自世界任何一个角落，不仅是来自外网非法用户或黑客，也可能来自系统内部。权威市场调查机构Gartner认为，损失金额在5万美元以上攻击中，70%全部包含网络内部攻击者。防火墙、入侵防范系统能够抵御多种由蠕虫、越来越多黑客活动所带来威胁，不过不能有效防范内部攻击。一般内网用户对系统资源通常只含有通常访问权限，正常情况下她们在系统上活动不应对系统安全造成很大威胁。然而因为她们在系统上已经有了立足点，比较那些不得不经过网络远程地对系统进行攻击人来说，更轻易达成攻击目标。同时，即便是正当用户在自己权限之内，仍有可能进行误操作或非法操作。而这些是现有系统访问控制机制不能预防操作。这些操作结果有将对系统造成更大损失。 　　FBI和CSI经过对484家企业调查，发觉： 　　·有超出85%安全威胁来自企业内部 　　·有16%来自内部未授权存取 　　·有14%来自专利信息被窃取 　　·有12%来自内部人员财务欺骗 　　·而只有5%是来自黑客攻击 　　从上述数据中，我们能够看出，面对来自于企业内部安全威胁，必需内网安全方法是何等关键。然而，目前中国企业在用重金购置防火墙, 防病毒软件来预防外界威胁同时，却往往忽略了对内部安全威胁应对之策。所以对内部网络统一控制检验；高效保护内网安全是该工商局现在急需处理关键问题，也是处理方案设计重心。 　　用户需求分析 　　正如前面所分析，某市工商局即使已配置了一定网络安全设备，但信息安全形势仍然严峻。因为工商局数据是高度集中，这就意味着信息安全风险和信息安全管理肯定是集中，从而愈加迫切需要采取信息审计技术来保障工商局对本身计算机和信息资源监控。现在工商局系统对于内部违规行为发觉和阻止和网络上计算机犯罪调查取证等网络安全建设，缺乏有效技术手段。全部这些方面安全威胁，和工商局内部面临其它安全威胁，全部会给工商局业务和办公网络带来极大安全隐患。假如诸如这类内部信息安全问题一旦出现，所造成经济损失和社会影响将是无法估量。更为致命是，现在工商局系统所采取其它信息安全设施对此却无能为力。工商局网络系统迫切需要建立一套强有力信息安全审计体系，来加强对网络、应用、信息和用户监管力度，方便有效管理并尽可能降低信息安全风险。 　　审计系统在某市工商局专业实施 　　6月，“某市工商局信息安全强审计系统”开始实施。 　　汉邦综合强审计系统融合目前优异审计理念和技术，从多方位、多角度地对整个网络进行立体式全方面审计和保护。系统采取优异分布式架构，很适合工商局网络和应用系统跨地域分级管理结构。我们在总局安装一级审计中心，在下一级部门安装二级审计中心；在各级工商局被审计终端安装主机传感器或网络传感器。各级审计中心除了负责本级安全域策略制订和安全审计之外，还负责实施和下达上级策略，同时对下级审计中心进行管理，搜集下级审计中心审计信息和汇报并进行上报 汉邦强审计系统分两级布署拓扑图： 跟据某市工商局业务结构，我们处理方案是从主机审计、网络审计、数据库审计三个方面来订制： 　　主机审计 　　主机审计系统采取主机传感器组件，安装于受控主机系统中，经过审计主机关键文件和信息，监管并控制主机资源。能够审计操作系统有：Windows9x、WindowsME、Windows NT、Windows2K。在主机审计时会针对用户不一样权限，按不一样策略来进行审计，判定出操作及网络连接是否符合安全策略等。 　　主机审计子系统从全方位来对目标主机进行审计和保护。从系统、应用、网络、资源等多级入手，实现对被审主机全方面监控。 　　主机审计子系统设计关键功效有： 　　·系统信息综合审计 　　对系统配置信息和运行情况进行审计，包含主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等。 　　·网络连接审计和保护 　　网络功效审计包含：对主机网络实时信息审计、设置网络规则和查询网络日志信息功效。统计和审计主机网络连接情况，审计主机开启服务，制订网络连接规则，许可或严禁指定网络连接，对数据包内容进行过滤，非法连接产生报警事件。能够有效发觉网络内部新接入访问数据计算机，并发出报警。 　　·拨号审计 　　对Modem进行审计，任何方法拨号全部将严禁，能够设定规则在特定时间内让特定号码许可拨出。同时，统计任何许可和严禁拨号事件。 　　·文件操作审计 　　能够有效监控终端计算机共享文件目录访问情况，可统计到源ip，用户，实施操作等最基础层次。在驱动级对用户端文件读、写、删除、移动、拷贝等操作进行审计，比如能够对用户访问doc、txt等多种格式文件操作进行统计或报警。 　　·系统日志审计 　　系统日志审计包含：系统日志、安全日志、应用程序写入系统日志、其它服务（如DNS Server）日志等，同时对系统日志进行查询和管理。 　　·进程审计 　　设置进程为正当或非法后，提供非法进程实时报警和报警信息查询功效。对系统进程进行实时审计，当出现没有被网络管理人员定义为正当进程开启时，系统会产生进程报警信息。 　　·打印审计 　　对各主机打印操作进行审计，包含打印机名称、打印机位置、打印对象、打印份数及打印用户和打印时间等；同时还能够对打印进行控制，许可或严禁打印。 　　·主机IP/盘符审计 　　许可或严禁主机修改IP地址，而且能够控制和管理光驱、软驱及USB口使用；对于违规事件，系统会产生报警信息。 　　·邮件审计 　　对各主机基于pop3协议邮件收发进行审计，用于实时监控和事后查询邮件操作。可审计内容包含邮件日期、收发者及专题等。 网络审计 　　网络审计子系统采取旁路技术，不用在目标主机中安装任何组件。网络审计子系统能够审计任何经由特定网络中间设备主机网络信息，基于对网络协议分析和统计，从网络层对整个网络进行审计和保护。 　　网络审计子系统关键功效以下： 　　·网络入侵检测 　　对从网络中抓取到包进行协议分析，和对应入侵检测规则库进行模式匹配，从而发觉有入侵特征数据包；同时记忆基于连接网络数据包前后状态，从中分析入侵可能或企图。发觉入侵或可疑企图即产生入侵事件。 　　·协议审计 　　此功效对应用协议操作和内容进行深入分析，对有特殊内容或一些违规操作产生报警事件。管理员能够定义违反规则内容策略，在匹配到对应内容后统计并产生报警事件通知管理员。 　　·流量统计 　　对抓取数据包依据某一类（如IP地址、MAC地址、URL等）进行归类统计，能够得到多种流量统计表或统计图。能够对一些地址流量速度进行限制，超出要求值时即产生报警事件。 　　·MAC地址绑定 　　制订IP地址和MAC地址对应关系，假如抓取到数据包和此对应关系不符，则产生报警事件。 　　数据库审计 　　数据库审计系统采取网络传感器组件，对特定连接数据包（数据库远程连接）进行分析，从数据库访问操作入手，对抓到数据包进行语法分析，从而审计对数据库中哪些数据进行操作，能够对特定数据操作制订规则，产生报警事件。 　　因为数据库系统种类比较多，所以数据库审计从网络方面入手，监控数据库操作。能够审计全部远程数据库操作，经过旁路技术实现审计。以下图所表示： 　　数据库审计子系统网络审计功效经过对数据包中数据操作语法分析，能够知道对数据库中某个表、某个字段进行了什么操作，并可对违规操作产生报警事件。 　　应用效果 　　某市工商局应用汉邦信息安全综合强审计系统，成功树立了行政单位网络安全审计典范，应用效果表现在以下几方面： 　　系统对工商局现有网络及应用正常运行无影响 　　信息安全综合强审计系统拥有高度可集成性，所以其系统布署，无需改动现有网络和应用系统结构和运行方法。系统各个模块安装对工商局现有网络和应用系统、和用户来说全部是透明，也就是说原有系统感觉不到安全审计系统存在。比如，审计中心安装在单独一台计算机上，对原有其它系统不会造成任何影响；网络审计传感器旁路于所在网段网络设备上，采取抓包技术不会对网络传输造成干扰；主机审计传感器布署于被审计计算机上，把采集到信息实时地发往审计中心，不会在被审计主机上留下任何痕迹。因为主机传感器运行在后台，除了占用极少系统资源以外，对系统性能几乎没有什么影响，用户完全感觉不到安全审计系统安装前后差异，所以对某市工商局计算机操作和程序正常运行也不会造成影响。 　　 “事前+事中+事后”完善防护 　　网络安全问题大多数出现在内部网，经过外部攻击取得内部信息只占入侵总数20%左右。而内部网络安全防护往往较弱，内部用户可能会违规使用计算机资源，未经授权访问信息，甚至恶意攻击内网服务器或其它主机系统，所以要确保内网安全，审计尤为关键。汉邦信息安全综合强审计系统使管理层对本身网络系统有了全方面掌握和控制能力，使得管理部门对于本身网络信息系统拥有全方位审计和监管能力,来确保有足够追踪和取证能力，而且能够实时监控网络上正在发生网络连接情况，对正在发生网络入侵和主机入侵事件能够作出阻断和告警，这对内部网络犯罪也是一个强大威慑。 　　完善安全审计功效 　　不仅能够搜集到用户关心多个审计数据，审计结果也含有绝正确权威性，同时能够生成多个格式报表。 　　模块化设计 　　一旦系统安全管理员制订好安全策略并公布成功，各模块之间独立运行，整个系统运行效率很高，同时也便于用户定制符合本身安全需求特点系统功效组合。 　　多级数据提取和管理技术 　　能够设置多个层次安全审计中心，每层安全审计中心能够制订个性化审计策略。 　　高层统一管理 　　汉邦网络安全审计系统经过多级、分布式审计、管理、控制机制，全方面表现了管理层对内部网关键资源全局控制、把握和调度能力。为网络管理人员提供了一个审计、检验目前系统运行状态有效手段。 　　多方位协同管理模式 　　协同管理实现对审计数据综合分析，搜集来自各子系统任何审计数据，引入数据挖掘和智能分析技术，实现整个网络协同工作，共同防御。 　　系统透明工作 　　兼容TCP和UDP通讯方法，充足考虑到用户多种网络配置情况，增大了使用范围。 　　内部加密通讯方法 　　每个传感器组件和监控中心之间必需经过发送一个特殊身份认证包以后才许可连接，传感器组件和监控中心之间每次传输信息全部经过加密处理，确保审计信息可靠性。