北信源終端安全管理解決方案

1、北信源終端安全管理解決方案    北信源終端安全管理解決方案一,證券安全運(yùn)營(yíng)需求 二,證券系統(tǒng)安全體系三,安全管理四,安全服務(wù)五,成功經(jīng)驗(yàn)介紹 目 錄一,證券安全運(yùn)營(yíng)需求 證券網(wǎng)絡(luò)現(xiàn)狀重要性:與證券業(yè)務(wù)密切相關(guān)龐大性:全國(guó)兩級(jí)級(jí)聯(lián)的大型網(wǎng)絡(luò)危險(xiǎn)性:以windows操作系統(tǒng)為主的網(wǎng)絡(luò),用戶對(duì)于網(wǎng)絡(luò)安全認(rèn)識(shí)相對(duì)有限復(fù)雜性:信息化程度較高的網(wǎng)絡(luò),承載著大量應(yīng)用證券網(wǎng)絡(luò)面臨威脅外部植入威脅:病毒和惡意程序影響網(wǎng)絡(luò)正常運(yùn)行;黑客行為影響正常交易.內(nèi)部威脅:用戶違規(guī)行為帶來的危險(xiǎn);用戶越權(quán)使用造成的威脅.證券網(wǎng)絡(luò)保護(hù)原則 分級(jí),分類保護(hù)原則 最小授權(quán)原則 動(dòng)態(tài)調(diào)整原

2、則 力求保密性,完整性和可用性均衡 力求投資最優(yōu)化二,證券系統(tǒng)安全體系2.1 總體構(gòu)架2.2 物理安全2.3 網(wǎng)絡(luò)安全2.4 應(yīng)用安全2.5 主機(jī)防泄密2.6 備份和恢復(fù)2.7 集中報(bào)警安全體系2.1 安全整體構(gòu)架keywords 兼容性 主機(jī)資源消耗 網(wǎng)絡(luò)資源消耗 通用性 保密性2.2 物理安全 機(jī)房安全 通信線路安全 設(shè)備安全 介質(zhì)安全2.3 網(wǎng)絡(luò)安全 2.3.1 邊界安全 2.3.2 內(nèi)部安全2.3.1 網(wǎng)絡(luò)邊界安全防護(hù) 網(wǎng)絡(luò)準(zhǔn)入控制 外聯(lián)控制 防火墻 數(shù)據(jù)流分析 移動(dòng)設(shè)備控制 移動(dòng)存儲(chǔ)設(shè)備控制設(shè)備準(zhǔn)入控制訪客隔離區(qū)工作區(qū)域安全修復(fù)區(qū)防止由于網(wǎng)絡(luò)終端造成的行情網(wǎng)和辦公網(wǎng)等各子網(wǎng)之間的直接

3、連接;內(nèi)部重要信息的輸出審計(jì);違規(guī)網(wǎng)站連接審計(jì)和控制.設(shè)備外聯(lián)控制 移動(dòng)設(shè)備控制 移動(dòng)設(shè)備接入認(rèn)證管理;移動(dòng)設(shè)備行為控制;移動(dòng)設(shè)備安全控制;移動(dòng)設(shè)備數(shù)據(jù)交換控制;移動(dòng)設(shè)備數(shù)據(jù)交換審計(jì); 防火墻 抵御常見的攻擊的能力:包括IP地址欺騙,DoS攻擊(如TCP SYN Flood等),中間人攻擊,碎片攻擊等.內(nèi)外網(wǎng)間的訪問控制;地址及端口轉(zhuǎn)換(NAT,PAT)功能 建立三個(gè)以上網(wǎng)絡(luò)區(qū)域的能力:外網(wǎng),內(nèi)網(wǎng),一個(gè)或多個(gè)DMZ區(qū) 數(shù)據(jù)分析 協(xié)議級(jí)數(shù)據(jù)捕獲和分析.數(shù)據(jù)審計(jì)和回放;輔助入侵攻擊事件的檢測(cè);輔助非授權(quán)訪問的檢測(cè);輔助數(shù)據(jù)資源的竊取檢測(cè);輔助對(duì)服務(wù)器訪問的檢測(cè);輔助網(wǎng)絡(luò)流量和網(wǎng)絡(luò)異常行為;入侵檢測(cè)

4、抓包分析工具 移動(dòng)存儲(chǔ)設(shè)備控制 移動(dòng)存儲(chǔ)設(shè)備接入認(rèn)證管理;移動(dòng)存儲(chǔ)數(shù)據(jù)讀寫控制;移動(dòng)存儲(chǔ)設(shè)備分組管理;移動(dòng)存儲(chǔ)設(shè)備使用行為審計(jì);移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)加密控制;移動(dòng)存儲(chǔ)設(shè)備銷毀.2.3.2 網(wǎng)絡(luò)內(nèi)部安全防護(hù) 網(wǎng)絡(luò)結(jié)構(gòu)安全 身份識(shí)別和訪問控制 惡意代碼防范 節(jié)點(diǎn)加固 節(jié)點(diǎn)控制 異常行為檢測(cè)和控制網(wǎng)絡(luò)結(jié)構(gòu)安全具有清晰的層次,以便于進(jìn)行網(wǎng)絡(luò)邏輯隔離,訪問控制,結(jié)構(gòu)調(diào)整和應(yīng)急處理. 采用安全域的概念進(jìn)行網(wǎng)絡(luò)邏輯和物理劃分,同一安全域應(yīng)盡可能地只支持單一的業(yè)務(wù),服務(wù)或流程,形成清晰的安全域邊界 根據(jù)各部門的工作職能,重要性,所涉及信息等級(jí)等因素,劃分不同的子網(wǎng)或網(wǎng)段. 合理設(shè)計(jì)網(wǎng)絡(luò)帶寬,按照對(duì)業(yè)務(wù)服務(wù)的重要次

5、序制定帶寬分配優(yōu)先級(jí)別身份鑒別和訪問控制身份鑒別:唯一性標(biāo)識(shí)用戶鑒別鑒別失敗處理訪問控制:連接控制協(xié)議控制數(shù)據(jù)控制節(jié)點(diǎn)加固主機(jī)加固補(bǔ)丁加固;弱口令;防病毒軟件的安裝和正常運(yùn)行.網(wǎng)絡(luò)設(shè)備加固管理嚴(yán)格限制對(duì)控制臺(tái)(CONSOLE)端口的訪問; 使用強(qiáng)口令并定期更新;采用權(quán)限分級(jí)策略;限制遠(yuǎn)程管理,并采用帶加密保護(hù)的遠(yuǎn)程訪問方式.如用SSH代替telnet 補(bǔ)丁加固主機(jī)控制 惡意代碼防范 全面部署網(wǎng)絡(luò)版防病毒軟件;使用專用工具配合進(jìn)行惡意代碼查殺;對(duì)IE等主要惡意代碼傳播手段重點(diǎn)監(jiān)控; 異常行為檢測(cè)和控制 異常連接;異常流量;異常進(jìn)程或模塊;違規(guī)軟件或操作.注冊(cè)表異常篡改;交換機(jī)端口快速定位 主機(jī)審

6、計(jì) 對(duì)指定目錄讀寫的控制及審計(jì);共享目錄審計(jì);硬件變化審計(jì);違規(guī)軟件進(jìn)程審計(jì);網(wǎng)絡(luò)連接審計(jì);注冊(cè)表操作審計(jì);特殊行為審計(jì); 2.4 應(yīng)用安全 數(shù)據(jù)庫(kù)安全 業(yè)務(wù)系統(tǒng)安全2.5 主機(jī)防泄密 移動(dòng)存儲(chǔ)設(shè)備監(jiān)控審計(jì) 主機(jī)數(shù)據(jù)審計(jì)2.5.1 主機(jī)防泄密防護(hù)注冊(cè)介質(zhì)在內(nèi)網(wǎng)具有唯一標(biāo)志符.移動(dòng)存儲(chǔ)介質(zhì)按需求可以劃分為可信區(qū)和普通區(qū),分區(qū)容量可自定義.可信區(qū)在已安裝客戶端并具有訪問權(quán)限的計(jì)算機(jī)上可以讀寫,在未安裝客戶端的計(jì)算機(jī)上將不被識(shí)別并彈出可定制化的消息框提醒;普通區(qū)憑密碼認(rèn)證可在所有計(jì)算機(jī)上使用.系統(tǒng)支持注冊(cè)移動(dòng)存儲(chǔ)介質(zhì)和授權(quán)計(jì)算機(jī)形成"多對(duì)多"的使用方式.支持注冊(cè)后的移動(dòng)存儲(chǔ)介質(zhì)依

7、據(jù)授權(quán)信息進(jìn)行細(xì)粒度,多層次的訪問控制;支持禁止,讀,寫,加密寫等訪問權(quán)限的細(xì)化.管理員可以按所有的網(wǎng)絡(luò)終端結(jié)點(diǎn)進(jìn)行任意分組,不同組可以執(zhí)行不同的介質(zhì)訪問策略. 未注冊(cè)存儲(chǔ)介質(zhì)接入內(nèi)網(wǎng)時(shí)將在客戶端產(chǎn)生嗡鳴器報(bào)警并彈出可定制化的消息框提醒,服務(wù)器端并有響應(yīng)的報(bào)警.移動(dòng)存儲(chǔ)介質(zhì)上的數(shù)據(jù)都以密文方式保存.加密方式是扇區(qū)級(jí)加密,加解密過程自動(dòng)完成.2.5.2 主機(jī)數(shù)據(jù)防泄密打印輸出監(jiān)控審計(jì)網(wǎng)絡(luò)輸出監(jiān)控審計(jì)郵件審計(jì)監(jiān)控審計(jì)軟盤審計(jì)監(jiān)控審計(jì)光盤審計(jì)監(jiān)控審計(jì)2.6 備份與恢復(fù) 主要應(yīng)用系統(tǒng)熱備 雙鏈路備份 數(shù)據(jù)定期備份 異地災(zāi)備2.7 集中報(bào)警中心 報(bào)警數(shù)據(jù)匯總后進(jìn)行圖形化分級(jí)展示; 使用短信,聲音等多種報(bào)

8、警方式,反應(yīng)更迅速; 集中報(bào)警中心是針對(duì)大型網(wǎng)絡(luò)安全管理所設(shè)計(jì)的,利用該平臺(tái)可以對(duì)整個(gè)網(wǎng)絡(luò)的注冊(cè)設(shè)備進(jìn)行統(tǒng)一的管理控制及監(jiān)測(cè).集中報(bào)警中心三,安全管理安全管理3.1 建立網(wǎng)絡(luò)安全管理機(jī)構(gòu)3.2 網(wǎng)絡(luò)安全管理機(jī)制的制定和完善3.3 制定管理制度3.4 用技術(shù)手段保障管理的有效性3.5 加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行3.6 安全應(yīng)急響應(yīng)3.1 建立網(wǎng)絡(luò)安全保障管理機(jī)構(gòu) 無論什么樣先進(jìn)的網(wǎng)絡(luò)安全保障系統(tǒng),使用者,控制者最終都是人.所以做好網(wǎng)絡(luò)安全保障首要的事情是建立網(wǎng)絡(luò)安全管理機(jī)構(gòu),以領(lǐng)導(dǎo),協(xié)調(diào)網(wǎng)絡(luò)安全保障工作和處理應(yīng)急響應(yīng)事件.管理機(jī)構(gòu)組成圖機(jī)構(gòu)內(nèi)各組織的網(wǎng)絡(luò)安全保障工作的協(xié)調(diào)管理; 網(wǎng)絡(luò)安全保障責(zé)任

9、的分配;系統(tǒng)內(nèi)部各單位間的保障組織的合作.機(jī)構(gòu)管理機(jī)構(gòu)應(yīng)注意的問題3.2 管理機(jī)制的制定和完善需求分析:只有明了自己的安全需求才能有針對(duì)性地構(gòu)建適合于自己的安全體系結(jié)構(gòu),正確的安全分析需求是保證網(wǎng)絡(luò)系統(tǒng)的安全的根源. 風(fēng)險(xiǎn)管理:風(fēng)險(xiǎn)管理是對(duì)需求分析結(jié)果中存在的威脅和業(yè)務(wù)需求進(jìn)行風(fēng)險(xiǎn)評(píng)估,以可以接受的投資,進(jìn)行最大限度的網(wǎng)絡(luò)安全防范工作. 制定安全防范策略:根據(jù)組織和部門的安全防范需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論,制定切實(shí)可行的計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略. 定期安全審核:安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行.因?yàn)榫W(wǎng)絡(luò)安全防范是一個(gè)動(dòng)態(tài)的過程,安全的需求可能會(huì)發(fā)生變化;為了在安全需求發(fā)生

10、變化時(shí),策略和控制措施能夠及時(shí)反映這種變化,必須進(jìn)行定期安全審核. 網(wǎng)絡(luò)安全保障管理機(jī)制的實(shí)行過程 A.制定計(jì)劃B.進(jìn)行實(shí)施C.監(jiān)控審評(píng)D.維護(hù)改進(jìn)3.3 制定防病毒管理制度1. 網(wǎng)絡(luò)管理員管理制度 日常管理責(zé)任策略管理責(zé)任應(yīng)急響應(yīng)事件責(zé)任2. 網(wǎng)絡(luò)一般用戶管理制度 3. 賬戶及口令管理制度4. 設(shè)備管理規(guī)章制度入網(wǎng)設(shè)備防病毒管理制度服務(wù)器管理制度便攜機(jī)管理制度介質(zhì)管理管理制度需要注意的問題:減少?gòu)牡谌降南到y(tǒng)下載軟件;組建一支隊(duì)伍,監(jiān)測(cè)和調(diào)查安全事件;各類安全規(guī)則庫(kù)必須隨時(shí)更新;重要的數(shù)據(jù)必須備份,并每月檢查一次;3.4 用技術(shù)手段保障管理的有效性 通過技術(shù)手段可保障管理制度有效貫徹執(zhí)行,通

11、過技術(shù)手段,可以對(duì)以下的管理進(jìn)行加強(qiáng):進(jìn)行有效的網(wǎng)絡(luò)邊界控制;保證系統(tǒng)補(bǔ)丁,防病毒軟件安裝執(zhí)行情況;監(jiān)督最先安全事件源;建立廣域安全防護(hù)監(jiān)控體系.安全機(jī)制運(yùn)行參考圖 安全管理機(jī)制的執(zhí)行需要很多技術(shù)手段,有些技術(shù)手段屬于專業(yè)反病毒,防黑客等技術(shù)范疇,專業(yè)安全服務(wù)商可以了解相關(guān)技術(shù)細(xì)節(jié),更能準(zhǔn)確的通過技術(shù)培訓(xùn)提高下屬網(wǎng)管網(wǎng)絡(luò)安全知識(shí)和應(yīng)對(duì)手段. 3.5 加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行具體的培訓(xùn)可以分為以下幾種:針對(duì)普通人員的培訓(xùn)針對(duì)網(wǎng)管(或網(wǎng)絡(luò)安全員)的培訓(xùn)針對(duì)突發(fā)事件的培訓(xùn)3.6 建立有效的病毒應(yīng)急響應(yīng)機(jī)制 建立應(yīng)急響應(yīng)中心 安全事件分級(jí) 制定應(yīng)急響應(yīng)處理預(yù)案 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)的事后處理建立應(yīng)

12、急響應(yīng)中心 為了在安全突發(fā)事件中協(xié)調(diào)各方關(guān)系,分清職責(zé),統(tǒng)一處理安全事件,應(yīng)建立安全事件應(yīng)急響應(yīng)中心.安全應(yīng)急響應(yīng)中心組織機(jī)構(gòu)的建立可參考網(wǎng)絡(luò)安全管理機(jī)構(gòu).應(yīng)急響應(yīng)中心特別要注意以下幾個(gè)方面:設(shè)立總負(fù)責(zé)人,負(fù)責(zé)協(xié)調(diào)管理應(yīng)急事件建立應(yīng)急相應(yīng)小組(小組成員可包括單位相關(guān)人員和安全服務(wù)商的相關(guān)人員)分清各方職責(zé)聯(lián)系方式必須準(zhǔn)確有效安全事件分級(jí)分級(jí)應(yīng)參考以下幾個(gè)標(biāo)準(zhǔn):危害程度擴(kuò)散范圍擴(kuò)散速度防治復(fù)雜程度制定應(yīng)急響應(yīng)處理預(yù)案 根據(jù)安全事件的具體情況,制定相應(yīng)的安全應(yīng)急響應(yīng)處理預(yù)案,此預(yù)案可包括以下幾點(diǎn):注意:制定好的應(yīng)急預(yù)案應(yīng)進(jìn)行測(cè)試后方投入使用安全事件預(yù)案庫(kù)應(yīng)急響應(yīng)啟動(dòng)標(biāo)準(zhǔn)應(yīng)急處理流程應(yīng)急響應(yīng)具體流程

13、應(yīng)急響應(yīng)具體流程如下:接收初步的資料 查明原因并總結(jié)特征 確認(rèn)是否為大規(guī)模安全事件 消息發(fā)布 進(jìn)行事件庫(kù)升級(jí)或程序升級(jí),同時(shí)放到部中心網(wǎng)站 啟動(dòng)應(yīng)急響應(yīng)處理預(yù)案啟動(dòng)應(yīng)急響應(yīng)預(yù)案流程圖通常的安全應(yīng)急反應(yīng)預(yù)案流程圖應(yīng)急響應(yīng)的事后處理事后處理過程可參考如下步驟:提交安全應(yīng)急響應(yīng)事后報(bào)告 找出網(wǎng)絡(luò)安全的薄弱點(diǎn) 教訓(xùn)總結(jié)視情況啟動(dòng)處罰程序四,安全服務(wù)安全服務(wù)4.1 定制開發(fā)服務(wù)4.2 廠商提供的應(yīng)急響應(yīng)服務(wù)4.3 標(biāo)準(zhǔn)安全服務(wù)4.1 定制開發(fā)服務(wù) 定制開發(fā)服務(wù)是最高級(jí)的服務(wù),即服務(wù)商可根據(jù)專門用戶的專門要求開發(fā)和修改程序編碼.此服務(wù)可以提供最高效的升級(jí)和服務(wù),根據(jù)用戶的需求切實(shí)定制功能和策略,把相關(guān)事故

14、的危害減到最低. 4.2 廠商提供的應(yīng)急響應(yīng)服務(wù) 應(yīng)急響應(yīng)服務(wù)包括應(yīng)急事件處理,安全事件調(diào)查和分析等突發(fā)性事件的遠(yuǎn)程及本地服務(wù). 當(dāng)網(wǎng)絡(luò)系統(tǒng)內(nèi)某處遭受安全事件侵襲時(shí),應(yīng)迅速啟動(dòng)緊急響應(yīng)機(jī)制,確保在第一時(shí)間內(nèi)通知全網(wǎng)或相關(guān)區(qū)域和人員,盡快做好預(yù)防措施. 4.3 標(biāo)準(zhǔn)安全服務(wù)安全通告服務(wù):A)安全漏洞和補(bǔ)丁通報(bào):為用戶實(shí)時(shí)提供世界上最新出現(xiàn)的安全漏洞和安全升級(jí)通告.B)安全技術(shù)行業(yè)動(dòng)態(tài)通報(bào):追蹤和整理世界信息安全技術(shù)最新動(dòng)態(tài),產(chǎn)品和行業(yè)情況,安全廠商情況,安全標(biāo)準(zhǔn)與法規(guī)等內(nèi)容 防病毒評(píng)估服務(wù):為用戶提供病毒風(fēng)險(xiǎn)評(píng)估和相關(guān)改進(jìn)建議安全維護(hù)服務(wù):進(jìn)行安全規(guī)則庫(kù)升級(jí)或人員值守等等日常維護(hù)服務(wù)安全培訓(xùn)服務(wù)

15、:分人員,分階段的對(duì)用戶提供相關(guān)的安全知識(shí)培訓(xùn)安全咨詢服務(wù):為用戶設(shè)計(jì)安全策略并針對(duì)實(shí)際情況為用戶設(shè)計(jì)各項(xiàng)安全管理制度. 安全平臺(tái)構(gòu)建服務(wù):幫助用戶構(gòu)建安全的軟件或硬件平臺(tái)a五,成功經(jīng)驗(yàn)決網(wǎng)絡(luò)統(tǒng)一管理問題:系統(tǒng)可將某部網(wǎng)絡(luò)變成一個(gè)真正的可統(tǒng)一管理的級(jí)聯(lián)網(wǎng)絡(luò);上級(jí)可對(duì)下級(jí)進(jìn)行統(tǒng)一的管理和監(jiān)控,下級(jí)數(shù)據(jù)可統(tǒng)一上報(bào)至上級(jí)匯總管理.解決網(wǎng)絡(luò)管理問題:第一次獲得了監(jiān)控管理終端上硬件資產(chǎn)和安裝,執(zhí)行軟件的能力,以及可進(jìn)行全網(wǎng)統(tǒng)一的軟件自動(dòng)分發(fā)安裝,遠(yuǎn)程終端維護(hù)管理和審計(jì)等,可有效解決網(wǎng)管終端管理的問題.解決網(wǎng)絡(luò)安全的根本問題:提供從網(wǎng)絡(luò)邊界管理,補(bǔ)丁加固,密碼監(jiān)控以及進(jìn)程,端口,訪問區(qū)域,流量,安裝軟件的監(jiān)控管理,全方位的監(jiān)控終端使用的各個(gè)環(huán)節(jié),最大程度上保證客戶端系統(tǒng)的健壯性,保證網(wǎng)絡(luò)終端的安全,從而保證網(wǎng)絡(luò)的安全. 在某部成功部署后,成功發(fā)現(xiàn)違規(guī)事件數(shù)萬起,分發(fā)補(bǔ)丁數(shù)百萬個(gè),具