北信源終端安全管理解決方案

1、北信源終端安全管理解決方案    北信源終端安全管理解決方案一,證券安全運營需求 二,證券系統(tǒng)安全體系三,安全管理四,安全服務(wù)五,成功經(jīng)驗介紹 目 錄一,證券安全運營需求 證券網(wǎng)絡(luò)現(xiàn)狀重要性:與證券業(yè)務(wù)密切相關(guān)龐大性:全國兩級級聯(lián)的大型網(wǎng)絡(luò)危險性:以windows操作系統(tǒng)為主的網(wǎng)絡(luò),用戶對于網(wǎng)絡(luò)安全認識相對有限復(fù)雜性:信息化程度較高的網(wǎng)絡(luò),承載著大量應(yīng)用證券網(wǎng)絡(luò)面臨威脅外部植入威脅:病毒和惡意程序影響網(wǎng)絡(luò)正常運行;黑客行為影響正常交易.內(nèi)部威脅:用戶違規(guī)行為帶來的危險;用戶越權(quán)使用造成的威脅.證券網(wǎng)絡(luò)保護原則 分級,分類保護原則 最小授權(quán)原則 動態(tài)調(diào)整原

2、則 力求保密性,完整性和可用性均衡 力求投資最優(yōu)化二,證券系統(tǒng)安全體系2.1 總體構(gòu)架2.2 物理安全2.3 網(wǎng)絡(luò)安全2.4 應(yīng)用安全2.5 主機防泄密2.6 備份和恢復(fù)2.7 集中報警安全體系2.1 安全整體構(gòu)架keywords 兼容性 主機資源消耗 網(wǎng)絡(luò)資源消耗 通用性 保密性2.2 物理安全 機房安全 通信線路安全 設(shè)備安全 介質(zhì)安全2.3 網(wǎng)絡(luò)安全 2.3.1 邊界安全 2.3.2 內(nèi)部安全2.3.1 網(wǎng)絡(luò)邊界安全防護 網(wǎng)絡(luò)準入控制 外聯(lián)控制 防火墻 數(shù)據(jù)流分析 移動設(shè)備控制 移動存儲設(shè)備控制設(shè)備準入控制訪客隔離區(qū)工作區(qū)域安全修復(fù)區(qū)防止由于網(wǎng)絡(luò)終端造成的行情網(wǎng)和辦公網(wǎng)等各子網(wǎng)之間的直接

3、連接;內(nèi)部重要信息的輸出審計;違規(guī)網(wǎng)站連接審計和控制.設(shè)備外聯(lián)控制 移動設(shè)備控制 移動設(shè)備接入認證管理;移動設(shè)備行為控制;移動設(shè)備安全控制;移動設(shè)備數(shù)據(jù)交換控制;移動設(shè)備數(shù)據(jù)交換審計; 防火墻 抵御常見的攻擊的能力:包括IP地址欺騙,DoS攻擊(如TCP SYN Flood等),中間人攻擊,碎片攻擊等.內(nèi)外網(wǎng)間的訪問控制;地址及端口轉(zhuǎn)換(NAT,PAT)功能 建立三個以上網(wǎng)絡(luò)區(qū)域的能力:外網(wǎng),內(nèi)網(wǎng),一個或多個DMZ區(qū) 數(shù)據(jù)分析 協(xié)議級數(shù)據(jù)捕獲和分析.數(shù)據(jù)審計和回放;輔助入侵攻擊事件的檢測;輔助非授權(quán)訪問的檢測;輔助數(shù)據(jù)資源的竊取檢測;輔助對服務(wù)器訪問的檢測;輔助網(wǎng)絡(luò)流量和網(wǎng)絡(luò)異常行為;入侵檢測

4、抓包分析工具 移動存儲設(shè)備控制 移動存儲設(shè)備接入認證管理;移動存儲數(shù)據(jù)讀寫控制;移動存儲設(shè)備分組管理;移動存儲設(shè)備使用行為審計;移動存儲設(shè)備數(shù)據(jù)加密控制;移動存儲設(shè)備銷毀.2.3.2 網(wǎng)絡(luò)內(nèi)部安全防護 網(wǎng)絡(luò)結(jié)構(gòu)安全 身份識別和訪問控制 惡意代碼防范 節(jié)點加固 節(jié)點控制 異常行為檢測和控制網(wǎng)絡(luò)結(jié)構(gòu)安全具有清晰的層次,以便于進行網(wǎng)絡(luò)邏輯隔離,訪問控制,結(jié)構(gòu)調(diào)整和應(yīng)急處理. 采用安全域的概念進行網(wǎng)絡(luò)邏輯和物理劃分,同一安全域應(yīng)盡可能地只支持單一的業(yè)務(wù),服務(wù)或流程,形成清晰的安全域邊界 根據(jù)各部門的工作職能,重要性,所涉及信息等級等因素,劃分不同的子網(wǎng)或網(wǎng)段. 合理設(shè)計網(wǎng)絡(luò)帶寬,按照對業(yè)務(wù)服務(wù)的重要次

5、序制定帶寬分配優(yōu)先級別身份鑒別和訪問控制身份鑒別:唯一性標(biāo)識用戶鑒別鑒別失敗處理訪問控制:連接控制協(xié)議控制數(shù)據(jù)控制節(jié)點加固主機加固補丁加固;弱口令;防病毒軟件的安裝和正常運行.網(wǎng)絡(luò)設(shè)備加固管理嚴格限制對控制臺(CONSOLE)端口的訪問; 使用強口令并定期更新;采用權(quán)限分級策略;限制遠程管理,并采用帶加密保護的遠程訪問方式.如用SSH代替telnet 補丁加固主機控制 惡意代碼防范 全面部署網(wǎng)絡(luò)版防病毒軟件;使用專用工具配合進行惡意代碼查殺;對IE等主要惡意代碼傳播手段重點監(jiān)控; 異常行為檢測和控制 異常連接;異常流量;異常進程或模塊;違規(guī)軟件或操作.注冊表異常篡改;交換機端口快速定位 主機審

6、計 對指定目錄讀寫的控制及審計;共享目錄審計;硬件變化審計;違規(guī)軟件進程審計;網(wǎng)絡(luò)連接審計;注冊表操作審計;特殊行為審計; 2.4 應(yīng)用安全 數(shù)據(jù)庫安全 業(yè)務(wù)系統(tǒng)安全2.5 主機防泄密 移動存儲設(shè)備監(jiān)控審計 主機數(shù)據(jù)審計2.5.1 主機防泄密防護注冊介質(zhì)在內(nèi)網(wǎng)具有唯一標(biāo)志符.移動存儲介質(zhì)按需求可以劃分為可信區(qū)和普通區(qū),分區(qū)容量可自定義.可信區(qū)在已安裝客戶端并具有訪問權(quán)限的計算機上可以讀寫,在未安裝客戶端的計算機上將不被識別并彈出可定制化的消息框提醒;普通區(qū)憑密碼認證可在所有計算機上使用.系統(tǒng)支持注冊移動存儲介質(zhì)和授權(quán)計算機形成"多對多"的使用方式.支持注冊后的移動存儲介質(zhì)依

7、據(jù)授權(quán)信息進行細粒度,多層次的訪問控制;支持禁止,讀,寫,加密寫等訪問權(quán)限的細化.管理員可以按所有的網(wǎng)絡(luò)終端結(jié)點進行任意分組,不同組可以執(zhí)行不同的介質(zhì)訪問策略. 未注冊存儲介質(zhì)接入內(nèi)網(wǎng)時將在客戶端產(chǎn)生嗡鳴器報警并彈出可定制化的消息框提醒,服務(wù)器端并有響應(yīng)的報警.移動存儲介質(zhì)上的數(shù)據(jù)都以密文方式保存.加密方式是扇區(qū)級加密,加解密過程自動完成.2.5.2 主機數(shù)據(jù)防泄密打印輸出監(jiān)控審計網(wǎng)絡(luò)輸出監(jiān)控審計郵件審計監(jiān)控審計軟盤審計監(jiān)控審計光盤審計監(jiān)控審計2.6 備份與恢復(fù) 主要應(yīng)用系統(tǒng)熱備 雙鏈路備份 數(shù)據(jù)定期備份 異地災(zāi)備2.7 集中報警中心 報警數(shù)據(jù)匯總后進行圖形化分級展示; 使用短信,聲音等多種報

8、警方式,反應(yīng)更迅速; 集中報警中心是針對大型網(wǎng)絡(luò)安全管理所設(shè)計的,利用該平臺可以對整個網(wǎng)絡(luò)的注冊設(shè)備進行統(tǒng)一的管理控制及監(jiān)測.集中報警中心三,安全管理安全管理3.1 建立網(wǎng)絡(luò)安全管理機構(gòu)3.2 網(wǎng)絡(luò)安全管理機制的制定和完善3.3 制定管理制度3.4 用技術(shù)手段保障管理的有效性3.5 加強培訓(xùn)以保障管理機制執(zhí)行3.6 安全應(yīng)急響應(yīng)3.1 建立網(wǎng)絡(luò)安全保障管理機構(gòu) 無論什么樣先進的網(wǎng)絡(luò)安全保障系統(tǒng),使用者,控制者最終都是人.所以做好網(wǎng)絡(luò)安全保障首要的事情是建立網(wǎng)絡(luò)安全管理機構(gòu),以領(lǐng)導(dǎo),協(xié)調(diào)網(wǎng)絡(luò)安全保障工作和處理應(yīng)急響應(yīng)事件.管理機構(gòu)組成圖機構(gòu)內(nèi)各組織的網(wǎng)絡(luò)安全保障工作的協(xié)調(diào)管理; 網(wǎng)絡(luò)安全保障責(zé)任

9、的分配;系統(tǒng)內(nèi)部各單位間的保障組織的合作.機構(gòu)管理機構(gòu)應(yīng)注意的問題3.2 管理機制的制定和完善需求分析:只有明了自己的安全需求才能有針對性地構(gòu)建適合于自己的安全體系結(jié)構(gòu),正確的安全分析需求是保證網(wǎng)絡(luò)系統(tǒng)的安全的根源. 風(fēng)險管理:風(fēng)險管理是對需求分析結(jié)果中存在的威脅和業(yè)務(wù)需求進行風(fēng)險評估,以可以接受的投資,進行最大限度的網(wǎng)絡(luò)安全防范工作. 制定安全防范策略:根據(jù)組織和部門的安全防范需求和風(fēng)險評估的結(jié)論,制定切實可行的計算機網(wǎng)絡(luò)安全防范策略. 定期安全審核:安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行.因為網(wǎng)絡(luò)安全防范是一個動態(tài)的過程,安全的需求可能會發(fā)生變化;為了在安全需求發(fā)生

10、變化時,策略和控制措施能夠及時反映這種變化,必須進行定期安全審核. 網(wǎng)絡(luò)安全保障管理機制的實行過程 A.制定計劃B.進行實施C.監(jiān)控審評D.維護改進3.3 制定防病毒管理制度1. 網(wǎng)絡(luò)管理員管理制度 日常管理責(zé)任策略管理責(zé)任應(yīng)急響應(yīng)事件責(zé)任2. 網(wǎng)絡(luò)一般用戶管理制度 3. 賬戶及口令管理制度4. 設(shè)備管理規(guī)章制度入網(wǎng)設(shè)備防病毒管理制度服務(wù)器管理制度便攜機管理制度介質(zhì)管理管理制度需要注意的問題:減少從第三方的系統(tǒng)下載軟件;組建一支隊伍,監(jiān)測和調(diào)查安全事件;各類安全規(guī)則庫必須隨時更新;重要的數(shù)據(jù)必須備份,并每月檢查一次;3.4 用技術(shù)手段保障管理的有效性 通過技術(shù)手段可保障管理制度有效貫徹執(zhí)行,通

11、過技術(shù)手段,可以對以下的管理進行加強:進行有效的網(wǎng)絡(luò)邊界控制;保證系統(tǒng)補丁,防病毒軟件安裝執(zhí)行情況;監(jiān)督最先安全事件源;建立廣域安全防護監(jiān)控體系.安全機制運行參考圖 安全管理機制的執(zhí)行需要很多技術(shù)手段,有些技術(shù)手段屬于專業(yè)反病毒,防黑客等技術(shù)范疇,專業(yè)安全服務(wù)商可以了解相關(guān)技術(shù)細節(jié),更能準確的通過技術(shù)培訓(xùn)提高下屬網(wǎng)管網(wǎng)絡(luò)安全知識和應(yīng)對手段. 3.5 加強培訓(xùn)以保障管理機制執(zhí)行具體的培訓(xùn)可以分為以下幾種:針對普通人員的培訓(xùn)針對網(wǎng)管(或網(wǎng)絡(luò)安全員)的培訓(xùn)針對突發(fā)事件的培訓(xùn)3.6 建立有效的病毒應(yīng)急響應(yīng)機制 建立應(yīng)急響應(yīng)中心 安全事件分級 制定應(yīng)急響應(yīng)處理預(yù)案 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)的事后處理建立應(yīng)

12、急響應(yīng)中心 為了在安全突發(fā)事件中協(xié)調(diào)各方關(guān)系,分清職責(zé),統(tǒng)一處理安全事件,應(yīng)建立安全事件應(yīng)急響應(yīng)中心.安全應(yīng)急響應(yīng)中心組織機構(gòu)的建立可參考網(wǎng)絡(luò)安全管理機構(gòu).應(yīng)急響應(yīng)中心特別要注意以下幾個方面:設(shè)立總負責(zé)人,負責(zé)協(xié)調(diào)管理應(yīng)急事件建立應(yīng)急相應(yīng)小組(小組成員可包括單位相關(guān)人員和安全服務(wù)商的相關(guān)人員)分清各方職責(zé)聯(lián)系方式必須準確有效安全事件分級分級應(yīng)參考以下幾個標(biāo)準:危害程度擴散范圍擴散速度防治復(fù)雜程度制定應(yīng)急響應(yīng)處理預(yù)案 根據(jù)安全事件的具體情況,制定相應(yīng)的安全應(yīng)急響應(yīng)處理預(yù)案,此預(yù)案可包括以下幾點:注意:制定好的應(yīng)急預(yù)案應(yīng)進行測試后方投入使用安全事件預(yù)案庫應(yīng)急響應(yīng)啟動標(biāo)準應(yīng)急處理流程應(yīng)急響應(yīng)具體流程

13、應(yīng)急響應(yīng)具體流程如下:接收初步的資料 查明原因并總結(jié)特征 確認是否為大規(guī)模安全事件 消息發(fā)布 進行事件庫升級或程序升級,同時放到部中心網(wǎng)站 啟動應(yīng)急響應(yīng)處理預(yù)案啟動應(yīng)急響應(yīng)預(yù)案流程圖通常的安全應(yīng)急反應(yīng)預(yù)案流程圖應(yīng)急響應(yīng)的事后處理事后處理過程可參考如下步驟:提交安全應(yīng)急響應(yīng)事后報告 找出網(wǎng)絡(luò)安全的薄弱點 教訓(xùn)總結(jié)視情況啟動處罰程序四,安全服務(wù)安全服務(wù)4.1 定制開發(fā)服務(wù)4.2 廠商提供的應(yīng)急響應(yīng)服務(wù)4.3 標(biāo)準安全服務(wù)4.1 定制開發(fā)服務(wù) 定制開發(fā)服務(wù)是最高級的服務(wù),即服務(wù)商可根據(jù)專門用戶的專門要求開發(fā)和修改程序編碼.此服務(wù)可以提供最高效的升級和服務(wù),根據(jù)用戶的需求切實定制功能和策略,把相關(guān)事故

14、的危害減到最低. 4.2 廠商提供的應(yīng)急響應(yīng)服務(wù) 應(yīng)急響應(yīng)服務(wù)包括應(yīng)急事件處理,安全事件調(diào)查和分析等突發(fā)性事件的遠程及本地服務(wù). 當(dāng)網(wǎng)絡(luò)系統(tǒng)內(nèi)某處遭受安全事件侵襲時,應(yīng)迅速啟動緊急響應(yīng)機制,確保在第一時間內(nèi)通知全網(wǎng)或相關(guān)區(qū)域和人員,盡快做好預(yù)防措施. 4.3 標(biāo)準安全服務(wù)安全通告服務(wù):A)安全漏洞和補丁通報:為用戶實時提供世界上最新出現(xiàn)的安全漏洞和安全升級通告.B)安全技術(shù)行業(yè)動態(tài)通報:追蹤和整理世界信息安全技術(shù)最新動態(tài),產(chǎn)品和行業(yè)情況,安全廠商情況,安全標(biāo)準與法規(guī)等內(nèi)容 防病毒評估服務(wù):為用戶提供病毒風(fēng)險評估和相關(guān)改進建議安全維護服務(wù):進行安全規(guī)則庫升級或人員值守等等日常維護服務(wù)安全培訓(xùn)服務(wù)

15、:分人員,分階段的對用戶提供相關(guān)的安全知識培訓(xùn)安全咨詢服務(wù):為用戶設(shè)計安全策略并針對實際情況為用戶設(shè)計各項安全管理制度. 安全平臺構(gòu)建服務(wù):幫助用戶構(gòu)建安全的軟件或硬件平臺a五,成功經(jīng)驗決網(wǎng)絡(luò)統(tǒng)一管理問題:系統(tǒng)可將某部網(wǎng)絡(luò)變成一個真正的可統(tǒng)一管理的級聯(lián)網(wǎng)絡(luò);上級可對下級進行統(tǒng)一的管理和監(jiān)控,下級數(shù)據(jù)可統(tǒng)一上報至上級匯總管理.解決網(wǎng)絡(luò)管理問題:第一次獲得了監(jiān)控管理終端上硬件資產(chǎn)和安裝,執(zhí)行軟件的能力,以及可進行全網(wǎng)統(tǒng)一的軟件自動分發(fā)安裝,遠程終端維護管理和審計等,可有效解決網(wǎng)管終端管理的問題.解決網(wǎng)絡(luò)安全的根本問題:提供從網(wǎng)絡(luò)邊界管理,補丁加固,密碼監(jiān)控以及進程,端口,訪問區(qū)域,流量,安裝軟件的監(jiān)控管理,全方位的監(jiān)控終端使用的各個環(huán)節(jié),最大程度上保證客戶端系統(tǒng)的健壯性,保證網(wǎng)絡(luò)終端的安全,從而保證網(wǎng)絡(luò)的安全. 在某部成功部署后,成功發(fā)現(xiàn)違規(guī)事件數(shù)萬起,分發(fā)補丁數(shù)百萬個,具