某工商局内部网络安全解决方案.docx

某工商局内部网络安全解决方案.docx

《某工商局内部网络安全解决方案.docx》由会员分享，可在线阅读，更多相关《某工商局内部网络安全解决方案.docx（9页珍藏版）》请在冰豆网上搜索。

某工商局内部网络安全解决方案

某工商局内部网络安全解决方案

　　某市工商行政治理局，是负责市场监管的行政执法机关和综合经济治理部门，把握着本市各类企业的登记情形、市场活动交易行为等重要信息。

现有市局机关X个处室，X个区县分局，X个直属分局和X个工商所。

　　工商局的网络系统以核心交换机Cisco6509及边界交换设备构成的骨干网，主交换机处连接了数据库服务器及其他的办公服务器和应用服务器，各楼层交换机到桌面构成10/100M以太网网络。

目前网络采纳的安全措施是：

物理隔离闸；在Internet入口处部署了防火墙，操纵输入输出数据流；使用了入侵检测系统检查网络入侵状况；内网的数据库服务器等也采纳了防火墙加强爱护。

网络拓扑示意图如下：

　　安全威逼分析

　　目前工商局为防止受到攻击；确认客户身份；确保信息的隐秘性和完整性；差不多采取了相关措施，也确实在一定范畴内爱护了网络层的安全。

然而信息网络的安全防护是一个多方位的复杂问题。

信息与网络面临的安全威逼是动态的、进展的。

入侵者可能来自世界的任何一个角落，不仅是来自外网的非法用户或黑客，也可能来自系统的内部。

权威市场调查机构Gartner认为，缺失金额在5万美元以上的攻击中，70%都涉及网络内部攻击者。

防火墙、入侵防范系统能够抵御各种由蠕虫、越来越多的黑客活动所带来的威逼，然而不能有效防范内部攻击。

一般内网用户对系统资源通常只具有一样的访问权限，正常情形下他们在系统上的活动不应对系统安全造成专门大威逼。

然而由于他们在系统上差不多有了立足点，比较那些不得不通过网络远程地对系统进行攻击的人来说，更容易达到攻击目的。

同时，即便是合法用户在自己权限之内，仍有可能进行误操作或非法的操作。

而这些是现有的系统访问操纵机制不能防止的操作。

这些操作的结果有将对系统造成更大的缺失。

　　2002年FBI和CSI通过对484家公司的调查，发觉：

　　·有超过85%的安全威逼来自企业内部

　　·有16%来自内部未授权的存取

　　·有14%来自专利信息被窃取

　　·有12%来自内部人员的财务欺诈

　　·而只有5%是来自黑客的攻击

　　从上述数据中，我们能够看出，面对来自于企业内部的安全威逼，必要的内网安全措施是何等重要。

然而，当前国内的企业在用重金购置防火墙,防病毒软件来防止外界威逼的同时，却往往忽视了对内部安全威逼的应对之策。

因此对内部网络的统一操纵检查；高效爱护内网安全是该工商局目前急需解决的要紧问题，也是解决方案的设计重心。

　　用户需求分析

　　正如前面所分析的，某市工商局尽管已配备了一定的网络安全设备，但信息安全形势依旧严肃。

由于工商局的数据是高度集中的，这就意味着信息安全风险与信息安全治理必定是集中的，从而更加迫切需要采取信息审计技术来保证工商局对自身运算机与信息资源的监控。

目前工商局系统关于内部违规行为的发觉与阻止以及网络上运算机犯罪的调查取证等网络安全建设，缺乏有效的技术手段。

所有这些方面的安全威逼，以及工商局内部面临的其它安全威逼，都会给工商局的业务和办公网络带来极大的安全隐患。

假如诸如此类的内部信息安全问题一旦显现，所造成的经济缺失和社会阻碍将是无法估量的。

更为致命的是，目前工商局系统所采纳的其它信息安全设施对此却无能为力。

工商局网络系统迫切需要建立一套强有力的信息安全审计体系，来加强对网络、应用、信息以及用户的监管力度，以便有效治理并尽量降低信息安全风险。

　　审计系统在某市工商局的专业实施

　　2005年6月，〝某市工商局信息安全强审计系统〞开始实施。

　　汉邦综合强审计系统融合当前先进的审计理念和技术，从多方位、多角度地对整个网络进行立体式的全面审计与爱护。

系统采纳先进的分布式架构，专门适合工商局网络与应用系统的跨地域分级治理结构。

我们在总局安装一级审计中心，在下一级部门安装二级审计中心；在各级工商局的被审计终端安装主机传感器或网络传感器。

各级审计中心除了负责本级安全域的策略制定和安全审计之外，还负责执行和下达上级的策略，同时对下级审计中心进行治理，收集下级审计中心的审计信息和报告并进行上报

汉邦强审计系统分两级部署拓扑图：

跟据某市工商局的业务结构，我们的解决方案是从主机审计、网络审计、数据库审计三个方面来订制的：

　　主机审计

　　主机审计系统采纳主机传感器组件，安装于受控的主机系统中，通过审计主机的重要文件和信息，监管并操纵主机资源。

能够审计的操作系统有：

Windows9x、WindowsME、WindowsNT、Windows2K。

在主机审计时会针对用户不同的权限，按不同的策略来进行审计，判定出操作及网络连接是否符合安全策略等。

　　主机审计子系统从全方位来对目标主机进行审计与爱护。

从系统、应用、网络、资源等多级入手，实现对被审主机的全面监控。

　　主机审计子系统设计的要紧功能有：

　　·系统信息综合审计

　　对系统的配置信息和运行情形进行审计，包括主机机器名、网络配置、用户登录、进程情形、CPU和内存使用情形、硬盘容量等。

　　·网络连接审计与爱护

　　网络功能审计包括：

对主机网络实时信息的审计、设置网络规那么和查询网络日志信息的功能。

记录和审计主机的网络连接情形，审计主机开启的服务，制定网络连接规那么，承诺或禁止指定的网络连接，对数据包内容进行过滤，非法的连接产生报警事件。

能够有效的发觉网络内部新接入的访问数据的运算机，并发出报警。

　　·拨号审计

　　对Modem进行审计，任何方式的拨号都将禁止，能够设定规那么在特定时刻内让特定的号码承诺拨出。

同时，记录任何承诺和禁止的拨号事件。

　　·文件操作审计

　　能够有效监控终端运算机共享文件名目的访问情形，可记录到源ip，用户，执行的操作等最差不多的层次。

在驱动级对客户端的文件读、写、删除、移动、拷贝等操作进行审计，比如能够对用户访问doc、txt等各种格式文件的操作进行记录或报警。

　　·系统日志审计

　　系统日志审计包括：

系统日志、安全日志、应用程序写入的系统日志、其它服务〔如DNSServer〕日志等，同时对系统日志进行查询和治理。

　　·进程审计

　　设置进程为合法或非法后，提供非法进程实时报警和报警信息查询功能。

对系统进程进行实时审计，当显现没有被网络治理人员定义为合法的进程启动时，系统会产生进程报警信息。

　　·打印审计

　　对各主机的打印操作进行审计，包括打印机名称、打印机位置、打印对象、打印份数及打印用户和打印时刻等；同时还能够对打印进行操纵，承诺或禁止打印。

　　·主机IP/盘符审计

　　承诺或禁止主机修改IP地址，同时能够操纵和治理光驱、软驱及USB口使用；关于违规事件，系统会产生报警信息。

　　·邮件审计

　　对各主机基于pop3协议的邮件收发进行审计，用于实时监控和事后查询邮件操作。

可审计内容包括邮件日期、收发者及主题等。

网络审计

　　网络审计子系统采纳旁路技术，不用在目标主机中安装任何组件。

网络审计子系统能够审计任何经由特定的网络中间设备的主机的网络信息，基于对网络协议的分析与统计，从网络层对整个网络进行审计与爱护。

　　网络审计子系统的要紧功能如下：

　　·网络入侵检测

　　对从网络中抓取到的包进行协议分析，与相应的入侵检测规那么库进行模式匹配，从而发觉有入侵特点的数据包；同时经历基于连接的网络数据包前后状态，从中分析入侵的可能或妄图。

发觉入侵或可疑妄图即产生入侵事件。

　　·协议审计

　　此功能对应用协议的操作和内容进行进一步的分析，对有专门内容或某些违规的操作产生报警事件。

治理员能够定义违反规那么的内容策略，在匹配到相应内容后记录并产生报警事件通知治理员。

　　·流量统计

　　对抓取的数据包依照某一类〔如IP地址、MAC地址、URL等〕进行归类统计，能够得到各种流量统计表或统计图。

能够对某些地址的流量速度进行限制，超过规定值时即产生报警事件。

　　·MAC地址绑定

　　制定IP地址与MAC地址的对应关系，假如抓取到的数据包与此对应关系不符，那么产生报警事件。

　　数据库审计

　　数据库审计系统采纳网络传感器组件，对特定的连接数据包〔数据库远程连接〕进行分析，从数据库访问操作入手，对抓到的数据包进行语法分析，从而审计对数据库中的哪些数据进行操作，能够对特定的数据操作制定规那么，产生报警事件。

　　由于数据库系统的种类比较多，因此数据库审计从网络方面入手，监控数据库的操作。

能够审计所有的远程数据库操作，通过旁路技术实现审计。

如以下图所示：

　　数据库审计子系统的网络审计功能通过对数据包中数据操作语法的分析，能够明白对数据库中的某个表、某个字段进行了什么操作，并可对违规的操作产生报警事件。

　　应用成效

　　某市工商局应用汉邦信息安全综合强审计系统，成功树立了行政单位网络安全审计的典范，应用成效表达在以下几方面：

　　系统对工商局现有网络及应用的正常运行无阻碍

　　信息安全综合强审计系统的拥有高度的可集成性，因此其系统部署，无需改动现有的网络与应用系统的结构和运行方式。

系统各个模块的安装对工商局现有网络与应用系统、以及用户来说差不多上透亮的，也确实是说原有的系统感受不到安全审计系统的存在。

比如，审计中心安装在单独的一台运算机上，对原有的其他系统可不能造成任何阻碍；网络审计传感器旁路于所在网段的网络设备上，采纳的抓包技术可不能对网络传输造成干扰；主机审计传感器部署于被审计的运算机上，把采集到的信息实时地发往审计中心，可不能在被审计主机上留下任何痕迹。

由于主机传感器运行在后台，除了占用极少的系统资源以外，对系统性能几乎没有什么阻碍，用户完全感受不到安全审计系统安装前后的差别，因此对某市工商局运算机的操作和程序正常运行也可不能造成阻碍。

　　〝事前+事中+事后〞的完善防护

　　网络安全问题大多数显现在内部网，通过外部攻击获得内部信息的只占入侵总数的20%左右。

而内部网络的安全防护往往较弱，内部用户也许会违规使用运算机资源，XX访问信息，甚至恶意攻击内网服务器或其他主机系统，因此要保证内网的安全，审计尤为重要。

汉邦信息安全综合强审计系统使治理层对自身网络系统有了全面把握和操纵能力，使得治理部门关于自身网络信息系统拥有全方位审计与监管能力,来保证有足够的追踪和取证的能力，而且能够实时监控网络上正在发生的网络连接情形，对正在发生的网络入侵和主机入侵事件能够作出阻断与告警，这对内部网络犯罪也是一种强大的威慑。

　　完善的安全审计功能

　　不仅能够收集到用户关怀的多种审计数据，审计的结果也具有绝对的权威性，同时能够生成多种格式的报表。

　　模块化设计

　　一旦系统安全治理员制定好安全策略并公布成功，各模块之间独立运行，整个系统运行效率专门高，同时也便于用户定制符合自身安全需求特点的系统功能组合。

　　多级数据提取与治理技术

　　能够设置多个层次的安全审计中心，每层安全审计中心能够制定个性化的审计策略。

　　高层统一治理

　　汉邦网络安全审计系统通过多级、分布式的审计、治理、操纵机制，全面表达了治理层对内部网关键资源的全局操纵、把握和调度能力。

为网络治理人员提供了一种审计、检查当前系统运行状态的有效手段。

　　多方位的协同治理模式

　　协同治理实现对审计数据的综合分析，收集来自各子系统的任何审计数据，引入数据挖掘与智能分析技术，实现整个网络的协同工作，共同防备。

　　系统透亮工作

　　兼容TCP和UDP通讯方式，充分考虑到用户的各种网络配置情形，增大了使用范畴。

　　内部加密通讯方式

　　每个传感器组件和监控中心之间必须通过发送一个专门的身份认证包之后才承诺连接，传感器组件和监控中心之间每次传输的信息都通过加密处理，确保审计信息的可靠性。