電力信息網(wǎng)絡(luò)安全加固解決方案(2)
2.5 客戶端安全狀態(tài)評估――應(yīng)用軟件安裝狀態(tài)
有的時(shí)候用戶安裝了一些軟件也給網(wǎng)絡(luò)帶來安全隱患,EAD系統(tǒng)提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)企業(yè)的IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過安全客戶端實(shí)時(shí)檢測、網(wǎng)絡(luò)設(shè)備聯(lián)動控制,完成對用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。
管理員根據(jù)軟件運(yùn)行的進(jìn)程名稱,在安全策略服務(wù)器定義黑白軟件列表;同時(shí)對每一種受控軟件規(guī)則定義相應(yīng)的安全模式,即當(dāng)用戶終端接入網(wǎng)絡(luò)時(shí),安全客戶端發(fā)現(xiàn)該規(guī)則被違反時(shí),系統(tǒng)采取的策略。其次,管理員在安全策略中添加黑白軟件控制規(guī)則。
在安全策略服務(wù)器完成對黑白軟件列表和安全策略中軟件控制部分的定義之后,用戶終端的軟件安裝狀態(tài)便可以通過EAD解決方案來完成統(tǒng)一監(jiān)控和管理。
2.6 客戶端安全狀態(tài)評估――多種處理方式
對于EAD的應(yīng)用,經(jīng)常會有用戶擔(dān)心部署了EAD系統(tǒng)會帶來帶來很多麻煩,EAD解決方案除了基本的下線模式外還有多種應(yīng)用模式,在實(shí)際部署之中可以根據(jù)不同的用戶制定不同應(yīng)用模式,使部署更加靈活方便。
EAD解決方案對于每一種安全狀態(tài)的檢測,按照處理模式可分為隔離模式、警告模式、監(jiān)控模式。
三種模式對于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同,對安全設(shè)備的要求也不相同。可以根據(jù)自己的安全管理政策決定采用哪一種模式。例如對于重要的網(wǎng)絡(luò)用戶,比如領(lǐng)導(dǎo),管理員對其網(wǎng)絡(luò)訪問的管理也可應(yīng)用監(jiān)控模式,只了解用戶的安全狀態(tài),不做任何處理,待用戶方便的時(shí)候再進(jìn)行處理。
2.7 合法用戶動態(tài)授權(quán)――實(shí)現(xiàn)內(nèi)部安全策略控制
身份認(rèn)證是網(wǎng)絡(luò)端點(diǎn)準(zhǔn)入控制的基礎(chǔ)。從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手,結(jié)合認(rèn)證服務(wù)器、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備、802.1x協(xié)議以及第三方軟件系統(tǒng)(病毒和系統(tǒng)補(bǔ)丁服務(wù)器,如LANDESK),杜絕企業(yè)員工對不良網(wǎng)站和危險(xiǎn)資源的訪問,防止間諜軟件、惡意代碼等軟件對企業(yè)內(nèi)網(wǎng)帶來的安全風(fēng)險(xiǎn)。
EAD解決方案在保證終端用戶具備自防御能力并安全接入的前提下,通過動態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限,保障網(wǎng)絡(luò)資源的合法使用和網(wǎng)絡(luò)環(huán)境的安全,提升網(wǎng)絡(luò)的整體安全防御能力。
在用戶終端通過病毒、補(bǔ)丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全聯(lián)動設(shè)備下發(fā)事先配置的接入控制策略,按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的所屬VLAN、ACL訪問策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一配置實(shí)施。
2.8 用戶行為審計(jì)
EAD解決方案除支持用戶名、密碼與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定之外,結(jié)合EAD強(qiáng)大的用戶身份、權(quán)限的管理和UBAS詳盡的用戶網(wǎng)絡(luò)行為日志,可以實(shí)現(xiàn):
精確到用戶的網(wǎng)絡(luò)行為審計(jì):充分結(jié)合EAD完善的用戶帳號、卡號管理和UBAS基于用戶IP地址的日志審計(jì),將網(wǎng)絡(luò)行為審計(jì)精確定義到用戶個(gè)體;
完善的網(wǎng)絡(luò)行為跟蹤:充分利用UBAS各類日志信息,輕松掌握EAD管理的帳號用戶、卡號用戶的網(wǎng)絡(luò)行為,如訪問哪些網(wǎng)站,訪問哪些網(wǎng)頁(DIG組網(wǎng)環(huán)境)、發(fā)送哪些Email(DIG組網(wǎng)環(huán)境)、發(fā)送哪些文件(DIG組網(wǎng)環(huán)境)等。
準(zhǔn)確的非法網(wǎng)絡(luò)行為用戶定位:利用EAD的設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等信息綁定功能,對進(jìn)行非法網(wǎng)絡(luò)行為的用戶一經(jīng)發(fā)現(xiàn),即時(shí)準(zhǔn)確定位。
3 網(wǎng)絡(luò)層安全設(shè)計(jì)
3.1 虛擬防火墻解決方案
以企業(yè)的具體業(yè)務(wù)模式為依據(jù),企業(yè)中的不同業(yè)務(wù)總是可以根據(jù)其重要程度劃分為不同的安全等級和安全區(qū)域。對于高等級的安全區(qū)域需要更加嚴(yán)格的訪問控制和安全保護(hù)。本組網(wǎng)利用Secblade和基礎(chǔ)網(wǎng)絡(luò)的融合實(shí)現(xiàn)園區(qū)網(wǎng)整體安全防護(hù)。在匯聚層利用SecBlade和95產(chǎn)品的組合對企業(yè)網(wǎng)中的核心安全區(qū)域?qū)崿F(xiàn)進(jìn)一步的安全防護(hù)。
這樣的組網(wǎng)模式能夠滿足企業(yè)對不同安全區(qū)域的安全等級劃分,并且可在不同區(qū)域間實(shí)現(xiàn)獨(dú)立安全策略的制定,從而使整網(wǎng)拓?fù)浯蟠蠛喕诒3指邤U(kuò)展性的基礎(chǔ)上減輕了管理的復(fù)雜度。
因此,對企業(yè)信息管理人員來說,如何靈活方便的實(shí)現(xiàn)企業(yè)各業(yè)務(wù)部門的安全區(qū)域劃分,以及如何在安全區(qū)域之間有控制的互訪成為其非常關(guān)注的問題。這也對安全區(qū)域隔離“利器”――防火墻提出了更高的要求。
為此,H3C推出了虛擬安全解決方案,靈活運(yùn)用虛擬防火墻技術(shù),旨在解決復(fù)雜組網(wǎng)環(huán)境中大量VPN的獨(dú)立安全策略需求所帶來的網(wǎng)絡(luò)拓?fù)鋸?fù)雜、網(wǎng)絡(luò)結(jié)構(gòu)擴(kuò)展性差、管理復(fù)雜,用戶安全擁有成本高等幾大問題。通過在匯聚交換機(jī)上面配置的防火墻插卡解決不同區(qū)域內(nèi)的安全防護(hù)。
3.1.1 重點(diǎn)樓層重點(diǎn)客戶安全防御方案
在網(wǎng)絡(luò)中,總有些客戶對于自己部門或者自己的數(shù)據(jù)信息安全特別敏感,而且他們的信息也是極為重要的。為解決傳統(tǒng)基于VLAN和ACL的內(nèi)網(wǎng)訪問控制解決方案的不足,H3C提出了以防火墻為核心的內(nèi)網(wǎng)訪問控制解決方案。其核心是可以插入交換機(jī)中的SecBlade防火墻模塊,通過SecBlade防火墻模塊對內(nèi)網(wǎng)各個(gè)VLAN之間的訪問進(jìn)行精細(xì)化的控制。同時(shí)配合交換機(jī)的端口隔離特性,實(shí)現(xiàn)對同一VLAN內(nèi)終端之間的訪問限制。
為了對這些用戶提供保護(hù),我們可以在匯聚交換機(jī)中配置H3C SecBlade防火墻插卡進(jìn)行數(shù)據(jù)保護(hù)業(yè)務(wù)。其優(yōu)點(diǎn)是:
實(shí)現(xiàn)病毒防護(hù)和業(yè)務(wù)控制雙重功能。
在防火墻上配置安全訪問策略,設(shè)置訪問權(quán)限,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
SecBlade防火墻插卡具有對業(yè)務(wù)的良好支持,作為NAT ALG或者ASPF過濾,都能夠滿足正常業(yè)務(wù)的運(yùn)行。
SecBlade防火墻插卡易于管理,讓管理員舒心。
SecBlade利用虛擬防火墻技術(shù)實(shí)現(xiàn)為不同業(yè)務(wù)和用戶實(shí)現(xiàn)不同安全防護(hù)。
虛擬防火墻是一個(gè)邏輯概念,可以在一個(gè)單一的硬件平臺上提供多個(gè)防火墻實(shí)體,即,將一臺防火墻設(shè)備在邏輯上劃分成多臺虛擬防火墻,每臺虛擬防火墻都可以被看成是一臺完全獨(dú)立的防火墻設(shè)備,可擁有獨(dú)立的管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。每個(gè)虛擬防火墻能夠?qū)崿F(xiàn)防火墻的大部分特性。每個(gè)虛擬防火墻之間相互獨(dú)立,一般情況下不允許相互通信。
H3C SecPath/SecBlade虛擬防火墻具有如下技術(shù)特點(diǎn):
每個(gè)虛擬防火墻維護(hù)自己一組安全區(qū)域;
每個(gè)虛擬防火墻維護(hù)自己的一組資源對象(地址/地址組,服務(wù)/服務(wù)組等)
每個(gè)虛擬防火墻維護(hù)自己的包過濾策略
每個(gè)虛擬防火墻維護(hù)自己的ASPF策略、NAT策略、ALG策略
限制每個(gè)虛擬防火墻占用資源數(shù):防火墻Session以及ASPF Session數(shù)目
除此之外,在防火墻的日常維護(hù)工作中,主要的工作就是定義和維護(hù)大量的訪問控制策略,正是因?yàn)檫@樣的應(yīng)用,用戶需要一種強(qiáng)大,直觀,簡便的管理工具來對防火墻設(shè)備進(jìn)行管理,尤其是在增加了虛擬防火墻特性之后。H3C系列防火墻的面向?qū)ο笈渲霉芾砑夹g(shù)充分考慮到管理員在一臺設(shè)備上管理多種配置的復(fù)雜性,提供了對地址資源、服務(wù)資源、網(wǎng)絡(luò)流量的形象化定義,讓用戶可以將網(wǎng)絡(luò)中的網(wǎng)段、主機(jī)和服務(wù)等各種資源抽象為更加直觀的、便于記憶和理解的對象。
SecBlade防火墻模塊是將交換機(jī)的轉(zhuǎn)發(fā)和業(yè)務(wù)的處理有機(jī)融合在一起,使得交換機(jī)在高性能數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí),能夠根據(jù)組網(wǎng)的特點(diǎn)處理安全業(yè)務(wù)。
SecBlade 防火墻模塊可以對需要保護(hù)的區(qū)域進(jìn)行策略定制,可以支持所有報(bào)文的安全檢測,同時(shí)SecBlade 防火墻模塊支持多安全區(qū)域的設(shè)置,支持Secure VLAN,對于需要防火墻隔離或保護(hù)的VLAN區(qū)域,用戶可以將Secure VLAN綁縛到其中的一個(gè)SecBlade 防火墻插卡上,這樣可以通過設(shè)置Secure VLAN來對交換機(jī)內(nèi)網(wǎng)之間(不同VLAN之間)的訪問策略進(jìn)行定制。
此外,端口隔離也是內(nèi)網(wǎng)訪問控制的一個(gè)有效手段,端口隔離是指交換機(jī)可以由硬件實(shí)現(xiàn)相同VLAN中的兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同VLAN中的主機(jī)之間沒有互訪要求時(shí),可以設(shè)置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區(qū)域內(nèi)主機(jī)之間的安全。即使非法用戶利用后門控制了其中一臺主機(jī),也無法利用該主機(jī)作為跳板攻擊該安全區(qū)域內(nèi)的其他主機(jī)。并且可以有效的隔離蠕蟲病毒的傳播,減小受感染主機(jī)可能造成的危害。
3.2 部署防ARP攻擊解決方案
當(dāng)計(jì)算機(jī)連接正常,卻無法打開網(wǎng)頁;或者計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線,同時(shí)網(wǎng)速變得非常慢,這些都可能是網(wǎng)絡(luò)中存在ARP欺騙攻擊所表現(xiàn)出來的網(wǎng)絡(luò)現(xiàn)象。
ARP欺騙攻擊不僅會造成聯(lián)網(wǎng)不穩(wěn)定,引發(fā)用戶無法上網(wǎng),或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故,而且利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊,以此非法獲取到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的帳號和口令,對被攻擊者造成利益上的重大損失。因此ARP欺騙攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為。
ARP攻擊已經(jīng)對各行各業(yè)網(wǎng)絡(luò)造成了巨大威脅,但一直沒有得到有效的解決。連我們熟知的殺毒軟件、防火墻都擋不住ARP 欺騙攻擊。主要由于ARP欺騙攻擊的木馬程序,通常會偽裝成常用軟件的一部分被下載并被激活,或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活,或者通過U盤、移動硬盤等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級,殺毒軟件常常會失去作用。
H3C ARP攻擊防御解決方案通過對客戶端、接入交換機(jī)和網(wǎng)關(guān)三個(gè)控制點(diǎn)實(shí)施自上而下的“全面防御”,并且能夠根據(jù)不同的網(wǎng)絡(luò)環(huán)境和客戶需求進(jìn)行“模塊定制”,為用戶提供多樣、靈活的ARP攻擊防御解決方案。
H3C提供兩類ARP攻擊防御解決方案:監(jiān)控方式,認(rèn)證方式。監(jiān)控方式主要適用于動態(tài)接入用戶居多的網(wǎng)絡(luò)環(huán)境,認(rèn)證方式主要適用于認(rèn)證方式接入的網(wǎng)絡(luò)環(huán)境;實(shí)際部署時(shí),建議分析網(wǎng)絡(luò)的實(shí)際場景,選擇合適的攻擊防御解決方案。另外,結(jié)合H3C獨(dú)有的iMC智能管理中心,可以非常方便、直觀的配置網(wǎng)關(guān)綁定信息,查看網(wǎng)絡(luò)用戶和設(shè)備的安全狀況,不僅有效的保障了網(wǎng)絡(luò)的整體安全,更能快速發(fā)現(xiàn)網(wǎng)絡(luò)中不安全的主機(jī)和ARP攻擊源,并迅速做出反映。
責(zé)任編輯:黎陽錦
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》