《医院信息化安全建设项目技术体系建设方案.doc》由会员分享,可在线阅读,更多相关《医院信息化安全建设项目技术体系建设方案.doc(162页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、医院信息化安全建设项目技术体系建设方案1.1 外网安全建设1.1.1 抗DDos攻击:ADS抗DDos系统在外网互联出口边界,串联部署抗DDos系统,对DDoS攻击进行检测、分析和阻断。1.1.1.1 解决方案NSFOCUS ADS(绿盟抗拒绝服务攻击产品)作为绿盟流量清洗产品系列中的关键组成,NSFOCUS ADS提供了单台最大240Gbps的DDoS线速防护能力。通过部署NSFOCUS ADS设备,可以对网络中的DDoS攻击流量进行清洗,同时保证正常流量的访问。NSFOCUS ADS采用旁路集群模式可以实现T级防护容量,提高整个系统抵御海量DDoS攻击的能力。NSFOCUS ADS展开流量
2、的牵引和清洗。还可以通过BGP Flow spec技术与路由器进行联动,提高防护效率,优化清洗方案资源调配。另外,产品支持硬件部署与软件部署两种形态,满足不同场景和方案的建设需求。当发生海量DDoS攻击时,绿盟抗拒绝服务产品还可以通过集群部署的方式并联在网络中,当某台ADS设备接收到攻击告警后,会启动流量牵引机制,将可疑流量均衡分配到若干台ADS上进行流量过滤。网络位置较高处(如骨干网、城域网、IDC出口)的绿盟高性能清洗中心还可以和网络位置较低处部署的绿盟清洗中心、串联ADS设备或绿盟WAF产品进行智能联动,从而在下层位置的DDoS攻击流量超过链路带宽而堵塞链路时,协助其自动化的进行大流量清
3、洗。针对中小企业客户业务带宽较小,无法承载大流量攻击的痛点,绿盟科技还提供本地防护+云端清洗的解决方案。客户通过在本地部署的ADS设备进行小流量攻击的清洗以及精细化防护,当攻击流量超过带宽负荷时,一键通告云端清洗中心展开防护,从高处拦截大流量攻击,保障本地带宽的可利用性。1.1.1.2 产品价值满足等级保护的网络安全规范中:应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等技术要求中国区抗DDos产品方案供应商销售份额中排名第一。重要客户包括联通、电信和移动,各大广播电视台以及主管机构,国有四大行、城商行、国有银行、股份
4、银行、证券、保险和互联网金融等行业。1.1.2 边界访问控制:下一代防火墙NF在外网互联出口边界,双机串联部署下一代防火墙,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。下一代防火墙能精确分类与辨识出包括低风险、高风险在内的1200+种应用,根据应用不同风险等级分别进行不同级别的安全扫描,从而及时准确的识别和拦截各种威胁攻击,保障用户网络应用的安全性。1.1.2.1 解决方案云、管、端三大NF功能特点可以分别提供预警、防护、分析三种能力,逐级减小网络出现安全风险的概率,并建立事前-事中-事后这样一条完整、循环的防护链条,为客户提供全方位的安
5、全防护。依靠内网资产识别功能,NF可以事先发现并预警内网潜在的安全隐患,从源头降低安全事件发生的概率,完成安全事件的事先预警。根据预警,NF强大的防火墙和应用防护功能,能够对实时流量进行有效的过滤和控制,最大限度防止安全事件发生,实现事中防护。而在实时流量处理完毕后,管理人员仍然可以依赖于云端提供的专业日志分析功能对历史事件进行分析总结,为后续的安全优化提供支持,这便完成了事后分析。1.1.2.1.1 云端接入下一代防火墙支持一键接入云端功能,用户可以7*24小时在线监控安全服务,除基础的设备状态及资源使用情况监控,保障设备健康运行以外,对用户网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程
6、越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。同时,用户亦可通过云登录云端,对防火墙设备状态、网络实时及历史安全事件、事件趋势及详细日志、报表、甚至全国其他地区的安全形势进行查询和跟踪。1.1.2.1.2 远程运维安全解决方案堡垒机一般部署在单位网络内部,而单位内部网与互联网隔离,远程用户无法直接登陆部署在单位内部网的堡垒机设备进行管理。如果将堡垒机映射到互联网上,虽然方便了远程用户,但是将会受到被攻击或入侵的风险,如果未采用任何加密措施,还会有被监听的风险。通过该功能,远程用户使用堡垒机帐号,登录由下一代防火墙提供的VPN,认证成功后,可直接登录堡垒机。1.1.2.1.3 智能补
7、丁解决方案下一代防火墙与漏洞扫描系统共享漏洞和安全防护信息,互通有无,实现对无防护的高风险漏洞和漏洞防护情况的展示,使用户对网络安全状况一目了然,从而为用户制定更高效网络维护计划,提供参考依据。1.1.2.1.4 终端安全检查解决方案通过与防病毒管控中心软件的配合,全面提升内部资产的安全性,以及远程接入终端的安全性,从而降低病毒带来的危害。1.1.2.2 产品价值满足等级保护的网络安全技术规范:a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FT
8、P、TELNET、SMTP、POP3等协议命令级的控制;d) 应限制网络最大流量数及网络连接数;e) 重要网段应采取技术手段防止地址欺骗;1.1.3 网络入侵防范:网络入侵防御系统NIPS在外网互联出口边界,双机串联部署网络入侵防御系统,针对日趋复杂的应用安全威胁和混合型网络攻击,准确监测网络异常流量,自动应对各层面安全隐患,第一时间将安全威胁阻隔在单位网络外部,弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护,提供了一个看得见、检得出、防得住的全新入侵防护解决方案。1.1.3.1 解决
9、方案u 入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护单位信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。u 数据泄露防护数据泄露防护能够基于敏感数据的外泄、文件识别、服务器非法外联等异常行为检测,实现内网的数据外泄防护功能。u 高级威胁防护高级威胁防护通过NIPS与沙箱产品联动,实现0day漏洞利用和恶意软件的检测与防御。u 僵尸网络发现基于实时的信誉机制,结合单位级和全球信誉库,可有效检测恶意URI、僵尸网络,保护用户在访问被植入木马等恶意代码的网站地址时不受侵害,第一时间有效拦截Web威胁,并且能及时发现网络中可能出现的僵尸网络主机和C
10、&C连接。u 防病毒采用流扫描技术+启发式检测技术,检测性能高,检测率高;针对对全球热点病毒,进行快速检测,并能够实时阻断。u 流量控制阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升单位IT产出率和收益率。u 应用管理全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助单位辨识和限制非授权网络流量,更好地执行单位的安全策略。1.1.3.2 产品价值满足主机安全、应用安全中入侵防范(G2)要求:应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片
11、攻击和网络蠕虫攻击等。亚太区唯一一家连续5年入选Gartner魔力象限亚太区唯一一家进入Gartner“挑战者”象限中国地区入侵防御市场排名第一1.1.4 上网行为管理:SAS在外网核心交换区旁路部署上网行为管理系统,实现对互联网访问行为的全面管理,防止带宽资源滥用,防止无关网络行为影响工作效率,记录上网轨迹满足法规要求,实现管控外发信息,降低泄密风险,掌握组织动态、优化员工管理,为网络管理与优化提供决策依据。1.1.4.1 解决方案1.1.4.1.1 内容审计提供深入的内容审计功能,可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能;并内置敏感关键字库,进行
12、细粒度的审计追踪,同时,用户可以自定义补充或者更新关键字库。1.1.4.1.2 行为审计提供全面的网络行为审计功能,根据设定的行为审计策略,对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P下载、网络游戏等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。1.1.4.1.3 流量审计提供基于协议识别的流量分析功能,如:可识别使用80端口的P2P协议,避免基于80端口的HTTP协议流量统计错误,更精确可靠;实时统计出当前网络中的各种报文流量,进行综合流量分析,提供详细的流量报表;可以通过编辑自定义统计指定协议流量的IP TOPN,为流
13、量管理策略的制定提供可靠支持。1.1.5 APT攻击防护:威胁分析系统TAC在外网核心交换区旁路部署威胁分析系统,有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。1.1.5.1 解决方案1.1.5.1.1 多种应用层及文件层解码从高级可持续威胁的攻击路径上分析,绝大多数的攻击来自与Web冲浪,钓鱼邮件以及文件共享,基于此监测系统提供以上相关的应用协议的解码还原能力,具体包括:HTTP、SMTP、POP3、IMAP、FTP。为了更精确的检测威胁,监
14、控系统考虑到高级可持续威胁的攻击特点,对关键文件类型进行完整的文件还原解析,系统支持了以下的文件解码: Office类:Word、Excel、PowerPoint Adobe类:.swf、.pdf 不同的压缩格式:.zip、.rar、.gz、.tar、.7z,.bz 图片类:jpg、jpeg、bmp.1.1.5.1.2 独特的信誉设计威胁分析系统利用广阔的全球信誉,让检测更加高效、精准,当文件被还原出来后,首先进入信誉检测引擎,利用全球信誉库的信息进行一次检测,如果文件命中则提升在非动态环境下的检测优先级但不放到动态检测引擎中进行检测,如有需求可手动加载至动态检测引擎用以生成详细的报告。目前的
15、信誉值主要有文件的MD5、CRC32值,该文件的下载URL地址、IP等信息;1.1.5.1.3 集成多种已知威胁检测技术:AV、基于漏洞的静态检测系统为更全面的检测已知、未知恶意软件,同时内置AV检测模块及基于漏洞的静态检测模块。AV模块采用启发式文件扫描技术,可对HTTP、SMTP、POP3、FTP等多种协议类型的百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。静态漏洞检测模块,不同与基于攻击特征的检测技术,它关注与攻击威胁中造成溢出等漏洞利用的特征,虽然需要基于已知的漏洞信息,但是检测精度高,并且针对利用同一漏洞的不同恶意软件
16、,可以使用一个检测规则做到完整的覆盖,也就是说不但可以针对已知漏洞和恶意软件,对部分的未知恶意软件也有较好的检测效果。1.1.5.1.4 智能ShellCode检测恶意攻击软件中具体的攻击功能实现是一段攻击者精心构造的可执行代码,即ShellCode。一般是开启Shell、下载并执行攻击程序、添加系统账户等。由于通常攻击程序中一定会包含ShellCode,所以可以检测是否存在ShellCode作为监测恶意软件的依据。这种检测技术不依赖与特定的攻击样本或者漏洞利用方式,可以有效的检测已知、未知威胁。系统在传统ShellCode检测基础上,增加了文件解码功能,通过对不同文件格式的解码,还原出攻击功
17、能字段,从而在新的情势下,依然可以检测出已知、未知威胁。在系统中,此方式作为沙箱检测的有益补充,使系统具备更强的检测能力,提升攻击检测率。1.1.5.1.5 动态沙箱检测(虚拟执行检测)动态沙箱检测,也称虚拟执行检测,它通过虚拟机技术建立多个不同的应用环境,观察程序在其中的行为,来判断是否存在攻击。这种方式可以检测已知和未知威胁,并且因为分析的是真实应用环境下的真实行为,因此可以做到极低的误报率,而较高的检测率。检测系统具备指令级的代码分析能力,可以跟踪分析指令特征以及行为特征。指令特征包括了堆、栈中的代码执行情况等,通过指令运行中的内存空间的异常变化,可以发现各种溢出攻击等漏洞利用行为,发现
18、0day漏洞。系统同时跟踪以下的行为特征,包括: 进程的创建中止,进程注入; 服务、驱动 注册表访问、改写 文件访问、改写、下载 程序端口监听 网络访问行为 系统根据以上行为特征,综合分析找到属于攻击威胁的行为特征,进而发现0day木马等恶意软件。系统发现恶意软件后,会持续观察其进一步的行为,包括网络、文件、进程、注册表等等,作为报警内容的一部分输出给安全管理员,方便追查和审计。而其中恶意软件连接C&C服务器(命令与控制服务器)的网络特征也可以进一步被用来发现、跟踪botnet网络。1.1.5.1.6 完备的虚拟环境目前典型的APT攻击多是通过钓鱼邮件、诱惑性网站等方式将恶意代码传递到内网的终
19、端上,威胁分析系统支持http、pop3、smtp、imap、smb等典型的互联网传输协议。受设备内置虚拟环境有限影响,会存在部分文件无法运行,威胁分析系统内置静态检测引擎,通过模拟CPU指令集的方式来形成轻量级的虚拟环境,以应对以上问题。很多APT安全事件都是从防御较薄弱的终端用户处入手,威胁分析系统支持WINXP、WIN7、安卓等多个终端虚拟操作系统;1.1.6 Web应用防护:web应用防火墙在对DMZ区域边界,串联部署web应用防火墙,采用黑、白名单机制相结合的完整防护体系,通过精细的配置将多种Web安全检测方法,并整合成熟的DDoS攻击抵御机制,能够在IPV4、IPV6及二者混合环境
20、中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击。1.1.6.1 解决方案1.1.6.1.1 细致高效的规则体系规则是WAF识别和阻止已知攻击的基础检测方法,绿盟WAF规则库基于多年网络安全研究积累,已高度细化,基于规则的防护功能包括:l Web服务器漏洞防护l Web插件漏洞防护l 爬虫防护l 跨站脚本防护l SQL注入防护l LDAP注入防护l SSI指令防护l XPATH注入防护l 命令行注入防护l 路径穿越防护l 远程文件包含防护在细化多种规则的同时,绿盟WAF也引入了众多机制保证规则的精准、有效。1. 前导字符网络中合法流量占主体,引入前导码机制,通过前导码的简单字符
21、串的匹配,对流量进行预筛选,提高检测效率。2. 不同检测位置支持灵活的检测对象定义,包括任意的HTTP头部字段,HTTP BODY字段,支持各种检测运算。3. 多种检测条件的逻辑组合支持多个检测条件的逻辑组合,以支持复杂规则的定义。4. 自定义规则提供贴近于自然语言、支持复杂场景描述的自定义规则,能作用于具体的URL上,大大提高了规则的有效性和精准度。5. 独立的规则升级通过编译式运行的规则库,绿盟WAF还分离了规则升级和系统升级。1.1.6.1.2 智能自学习白名单黑名单规则即内置及自定义的规则是web应用防火墙在防护Web安全时的强大知识依托,然而,黑名单体系固有的”事后更新”特点使其仅仅
22、能解决已知问题,在应对0day漏洞防护时显得略为滞后,且由于未参考客户环境的业务逻辑,在防护效果上也无法做到精准。web应用防火墙引入的自学习+白名单机制,弥补了黑名单防护体系的固有缺点,有效增强了0day漏洞的防护能力和精准防护能力。WEB应用防火墙基于统计学方法的自学习技术,分析用户行为和指定URL的HTTP请求参数,能将站点的业务逻辑完整的呈现出来,协助管理员构建正常的业务流量模型,形成白名单规则。在防护顺序上,web应用防火墙先利用黑名单规则解决已知安全风险,在用自学习、白名单作为黑名单规则的补充解决业务逻辑层面的安全风险,使web应用防火墙的安全防护体系更完整,进一步贴近了客户业务环
23、境,在应对0day漏洞时也更加快速、精准、有效。而这种防护顺序的设计,避免了依赖白名单机制而带来的设备上线需要长时间的学习业务、且业务模型变动时策略调整频繁等缺点,上线就能即插即用、零配置防护。1.1.6.1.3 智能补丁应急响应通过与云安全平台的Web漏洞扫描服务或者WEB应用漏洞扫描系统联合防护,web应用防火墙能获取被防护站点的漏洞扫描报告,并根据自身已有的规则自动生成一套新的规则即智能补丁,应用于被保护站点。当被防护站点打上了智能补丁之后,之前被扫描出的Web应用漏洞将无法重现。智能补丁,借助了云安全平台中Web漏洞扫描服务和WEB应用漏洞扫描系统对Web漏洞的感知能力,又很好利用了w
24、eb应用防火墙自身的规则体系,在不用更改被防护站点配置、不为其设备提供额外负担的情况下,有效减少了一些站点因无法频繁打补丁、业务频繁升级而引入漏洞带来的安全风险,还能及协助客户满足安全合规要求。1.1.6.1.4 安全管家客户可在AppStore中下载安全管家APP,通过WEB应用防火墙与云的联动,可以把APP与WEB应用防火墙进行绑定,时刻获取设备的运行的状态,包括设备的cpu、内存、规则库版本等信息,一旦设备出现问题,可通过APP上一键联系安全人员对设备进行维护。运营实时化,大大降低了运维难度。1.1.6.1.5 IP信誉WEB应用防火墙与威胁情报中心对接后,获取不同攻击类型的高危信誉IP
25、,在WEB应用防火墙上自动生成防护策略。通过启用IP信誉功能,可有效防止撞库、羊毛党(刷单、刷积分)的问题,同时有效减少疑似攻击行为的告警噪音,达到提升告警精度的效果。1.1.6.2 产品价值满足应用安全中访问控制(S2)的要求:a) 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;c) 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;满足应用安全中通信完整性(S2)的要求:a) 应采用校验码技术保证通信过程中数据的完整性。绿盟科技持续七年引领WAF国内市场,连续两年国内唯一一家进入亚太
26、前三20142017,绿盟WAF连续四年入选Gartner魔力象限(2014、2015,中国厂商仅绿盟和安恒入选;2016,仅绿盟入选,2017年仅启明和绿盟入选)1.2 内外网隔离建设在内网和外网核心交换机之间,双机部署网闸系统,实现内外网的安全隔离,实现对网络层/OS层已知和未知攻击的全面防护能力,保护可信网络免遭黑客攻击。网闸系统具有网络隔离功能,通过基于ASIC设计的硬件芯片开关实现可信、不可信网络间的物理链路断开,保护可信网络免遭黑客攻击。1.2.1 解决方案1.2.1.1 IDS入侵检测功能网闸系统在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的
27、频繁攻击。该系统将自动分析对受保护内网的访问请求,并与网闸系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。1.2.1.2 SAT(安全服务器地址映射)网闸系统具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。1.2.1.3 身份认证除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的PKI数字证书、SecureID等多种强身份认证功能。支持SSO(Single Sign-on)单点登录,支持Ra
28、dius、LDAP、AD(Active Directory)等CAS认证模式。1.2.1.4 安全上网、邮件收发高级认证支持采用专用ViIE、ViMail认证客户端实现高安全性的上网、邮件应用安全认证控制功能,防止客户端涉密信息未经授权外发。没有经过客户端认证的用户即使用IE、OUTLOOK、FOXMAIL等软件也无法上网和收发邮件。1.2.1.5 安全代理服务允许可信端用户以应用代理方式访问不可信网络,支持Socks代理,支持流媒体、视频应用代理,可作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,
29、因此,对访问具有更高的安全控制能力。1.2.1.6 AI安全过滤应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveX applet的攻击。支持关键字、网址、恶意代码、文件类型、黑白名单等过滤功能;在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对单位级网络环境中应用层的安全控制起到了很重要的强化作用。1.2.1.7 防病毒网闸系统的防病毒引擎,可实现对内外网
30、摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。1.2.1.8 内容及格式检测具备内容过滤及文件格式检查功能,支持黑白名单过滤,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,支持深层文件格式和编码检测,能够阻止敏感的信息外泄或恶意程序的入侵。1.2.1.9 VPN通讯安全对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改
31、客户端设置,透明实现客户端与服务器端的加密通讯。1.2.1.10 WEB站点保护全面分析来自WEB服务的漏洞,建立了WEB站点保护系统WebAppliaction,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。1.3 内网安全建设1.3.1 边界防御:下一代防火墙NF在内网专线出口边界以及数据中心区域边界,双机串联部署高性能下一代防火墙,建立起以应用为核心的网络安全策略和以内网资产风险识别、
32、云端安全管理为显著特征的全方位的安全防护体系。下一代防火墙能精确分类与辨识出包括低风险、高风险在内的1200+种应用,根据应用不同风险等级分别进行不同级别的安全扫描,从而及时准确的识别和拦截各种威胁攻击,保障用户网络应用的安全性。(产品功能介绍请参照3.1.1边界防护中下一代防火墙的相关描述)1.3.2 入侵防御在内网专线出口边界,双机串联部署网络入侵防御系统,针对日趋复杂的应用安全威胁和混合型网络攻击,准确监测网络异常流量,自动应对各层面安全隐患,第一时间将安全威胁阻隔在单位网络外部,弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,从智能识别、环境感知、行为分析三方面
33、加强了对应用协议、异常行为、恶意文件的检测和防护,提供了一个看得见、检得出、防得住的全新入侵防护解决方案。(产品功能介绍请参照3.1.2入侵防御中网络入侵防护系统的相关描述)1.3.3 防病毒网关在内网专线出口边界,双机部署网络防病毒网关,有效抵御各类病毒和恶意软件对用户网络和业务系统的破坏。1.3.3.1 产品功能支持对HTTP,FTP,SMTP,POP3四大协议防毒,对通过的数据进行在线病毒查杀,查杀邮件正文附件、网页及下载文件中包含的病毒病毒库自动更新,live update采用新一代的流模式扫描技术,提供多种模式的扫描方式(快速,全面等不同级别)基于状态检测的动态包过滤实现基于源/目的
34、IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤支持不同功能区段的划分,区段间和区段内部策略的定义支持对多种文件格式扫描支持与云联动支持URL过滤1.3.3.2 蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散,更主要的特点是利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大,可以导致系统严重损坏和网络瘫痪。如尼姆达(Nimda)、飞客(Conficker)、蠕虫王(Slammer)、冲击波(Blaster)、震荡波等。根据蠕虫的特点,金山VGM新一代防毒墙从OSI的多个层次进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SM
35、TP、HTTP、POP3、FTP、IMAP、SMB等)传输的静态蠕虫代码。金山VGM新一代防毒墙可实现对恶意代码威胁的动态防御攻击,能够全方位抵御已知蠕虫病毒的攻击。这一技术标志着,金山VGM新一代防毒墙不仅可以过滤静态蠕虫代码,而且能够阻断蠕虫的动态攻击(包括所引发的病毒传播、后门漏洞、系统利用攻击等)。这样,可全面实现威胁动态防御。1.3.3.3 病毒过滤这里的病毒过滤是指静态型病毒(例如CIH)、邮件病毒(例如求职信、美丽杀手、爱虫、Mydoom)、特洛伊木马、网页恶意代码的过滤等。对于网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTP、POP3协议)等病毒,基于专门的
36、病毒引擎进行查杀。对邮件病毒,可以定义对病毒的处理方式,决定清除病毒、删除附件、丢弃等操作,发现病毒时通知管理员、收件人、发件人等操作。金山VGM新一代防毒墙具有卓越的病毒查杀能力,能够对多种应用协议(HTTP、FTP、SMTP、POP3、IMAP、SMB)所传递的数据进行病毒过滤。金山VGM新一代防毒墙采用多引擎技术,可检测出目前“流行病毒名单”上的病毒。1.3.3.4 木马行为监测一个完整的木马程序包含控制端和被控端。控制者通过操作被控端窃取大量机密或个人隐私信息。金山VGM新一代防毒墙采用多重特征匹配、模式匹配和规则算法,对网络数据流实时解析,检测出的木马信息包括主机源IP地址、MAC地
37、址、源端口、目的IP地址、目的端口、木马类型、危害等级等信息。1.3.3.5 口令嗅探攻击监测近几年帐号及口令外泄事件时有发生,越来越多的攻击手段也更加明确恶意攻击者的最终目的是要获得核心系统的最高权限,进而更加的肆意妄为。因此,对于企事业单位信息系统的账户及口令态势现状,俨然需要提升到一个新的高度,实现对各项信息系统帐户口令的恶意探测及暴力破解等非法行为的实时阻断与监控。金山VGM新一代防毒墙通过对信息系统所依赖的网络服务进行协议识别,并深入分析协议层数据包内帐户信息传输状态,进而做到对帐户及口令的有效防御措施,最终实现对信息系统帐户安全的态势分析与全面掌控。1.3.3.6 僵尸网络检测僵尸
38、网络构成了一个攻击平台,控制者利用这个平台可以发起各种各样的恶意攻击,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。金山VGM新一代防毒墙采用特征匹配、模式匹配和规则算法,对网络数据流实时解析,检测出僵尸网络发动拒绝服务攻击、发送大量垃圾邮件、窃取计算机上的有用信息、滥用网络资源等恶意的黑客行为,详细信息包括主机源IP地址、MAC地址、源端口、目的IP地址、目的端口、僵尸类型、危害等级、僵尸服务器域名等信息,通过检测信息可以找出内部网络中被种植了“僵尸程序”的“僵尸计算机”以及僵尸的行为。1.3.3.7 安全管理方式对
39、金山VGM新一代防毒墙的管理支持https加密通讯的Web管理方式,界面直观、操作简便、易于理解。此外还支持console方式的本地管理,以及ssh加密方式的远程维护管理。为避免对金山VGM新一代防毒墙设备的管理权限滥用,增加安全性,可设定允许访问金山VGM新一代防毒墙设备的IP地址范围。管理员根据权限进行划分,管理用户按性质可划分为:系统维护员(超级用户)、配置管理员、策略审计员、日志审计员等。1.3.3.8 特征库自动升级金山VGM新一代防毒墙通过不断更新过滤特征码来保持与攻击数据特征的同步。根据更新策略,用户可通过HTTP方式从公网服务器自动更新特征码。1.3.4 APT攻击防护在内网核
40、心交换区旁路部署威胁分析系统,有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。(产品功能介绍请参照3.1.4 APT攻击防护中威胁分析系统的相关描述)1.4 运维管理建设1.4.1 运维安全审计:堡垒机在运维管理区,部署运维审计系统(堡垒机),通过逻辑上将人与目标设备分离,建立“人-主账号(堡垒机用户账号)-授权-从账号(目标设备账号)-目标设备”的管理模式;在此模式下,通过基于唯一身份标识的集中账号与访问控制策略,与各服务器、网络设备、安全设备
41、、数据库服务器等无缝连接,实现集中精细化运维操作管控与审计。1.4.1.1 产品功能1.4.1.1.1 集中账号管理建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。1.4.1.1.2 集中访问控制通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事。1.4.1.1.3 集中安全审计基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件的实时发现与预警。1.4.2 流量审计:网络安全审计-SAS在运
42、维管理区,部署网络安全审计系统,通过对网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。1.4.2.1 产品价值满足主机安全、应用安全中安全审计(G2)要求:a) 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)
43、 应保护审计记录,避免受到未预期的删除、修改或覆盖等。满足网络安全、主机安全、应用安全中访问控制(G2)要求:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应实现操作系统和数据库系统特权用户的权限分离;c) 应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;d) 应及时删除多余的、过期的账户,避免共享账户的存在;满足主机安全、应用安全中身份鉴别(G2)要求:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c) 应启用登录失败处理功能,可采取结束
44、会话、限制非法登录次数和自动退出等措施;d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;1.4.2.2 产品功能1.4.2.2.1 智能化协议识别与分析网络安全审计系统采用业界领先的智能协议识别和关联技术,智能识别采用标准及非标准端口的网络协议,例如使用80端口的P2P协议,提供全面深入的协议分析、解码回放,能够分析超过100种应用层协议,包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等,极大地提高内容分析的准确性,帮助管理员全面掌握网络安全
45、状态。1.4.2.2.2 智能身份关联与认证用户审计网络安全审计系统基于智能身份关联与认证用户审计功能,实现对网络事件责任人的精准定位。网络安全审计系统从网络数据流中收集IP地址、用户帐号、账号类型等身份信息,创建用户身份信息库,信息库中记录了审计到的IP地址、用户账号、账号类型与审计时间等信息。利用该信息库中的用户身份信息,SAS自动关联所有网络访问事件,特别是数据流中并不包含用户身份信息的网络访问事件,从而实现对网络事件的用户身份关联与自动识别功能。网络安全审计系统在进行智能身份关联的同时,进一步通过与AD域控认证系统联动,实时、动态地同步IP地址与终端认证用户的身份信息,进而识别发起网络
46、访问的具体的终端认证用户。智能身份关联对用户身份进行模糊的识别与审计功能,但无需依赖任何用户认证系统。认证用户审计则对用户身份进行精准的识别与审计功能,但要求用户环境中部署AD域控认证系统,并与之联动。智能身份关联与认证用户审计功能互补,最终实现对网络事件完整而精准的审计,记录网络事件的用户身份、IP地址、访问时间、访问目标、具体访问内容等信息。网络安全审计系统对用户身份信息的识别和支持功能,不仅体现在最终的审计日志上,而是全程的用户审计。事前,支持基于用户帐号信息定义审计策略;事中,智能化识别每一次网络访问的用户帐号信息;事后,记录包含用户帐号信息在内的全面的日志信息。为安全事件的准确、快速
47、追踪和定位提供了有力支持。如下图所示:1.4.2.2.3 智能URL分类与WEB信誉管理网络安全审计系统内置超过1000万条的庞大中英文URL数据库,超过40种的精细分类,如不良言论、色情暴力、挂马网站等。基于内置URL分类库,网络安全审计系统能够精确分类用户所访问的网页类型。在此基础之上,网络安全审计系统拥有超过1万条的关键字库,支持针对URL地址、网页标题等信息进行智能分类。内置URL分类库与关键字库的配合使用,大大提高了网络安全审计系统在网页分类特性方面的识别率和准确率。在系统采用云安全中心提供的Web信誉库,云安全中心通过对互联网资源(域名、IP地址、URL等)进行威胁分析和信誉评级,将含有恶意代码的网站列入Web信誉库,实现对用户访问非法、不良和高风险网站行为的审计和告警功能。1.4.2.2.4 无线热点发现与移动应用审计网络安全审计系统高度关注用户在合规、信息安全建设方面所面临的新问题,针对当下被广泛使用的无线热点、移动上网,网络安全审计系统提供了相应的功能特性,协助用户更好地解决当前形势下面临的新难题,有效降低安全风险。网络安全审计系统能够实时、自动发现办公网络内的无线热点,记录无线热点访问网络时所使用的IP地址、认证用户等信息;能够识别移动热点