目前网络安全形势越来越严重,网络攻击的手段也越来越多,如基于网络传播的病毒、蠕虫,含有恶意代码的网页,以及日益严重的间谍软件等。传统的解决方式在面对这些新的安全威胁已经显的力不从心。作为国内网络重中之重的电信网络,需要一种新的有效安全管理方式来面对新的安全威胁。电信网络安全管理和应用,势在必行!
安全风险分析
XXX运营商系统网络结构复杂,应用多种多样,内部终端和服务器众多,在对XXX运营商系统进行详细分析后,XXX运营商中目前及今后将面临以下安全风险:
- U盘等移动存储设备成为病毒传播的主要源头
- 软件漏洞威胁剧增
- 终端的安全防范薄弱
- 移动终端的安全防范薄弱
- 维护人员能力参差不齐精力有限
- 来自其它网络的威胁同样严重
- ARP欺骗和蠕虫病毒等网络威胁导致网络设备压力倍增,网络传输不稳定
- 只采用桌面级杀毒软件防护效果十分有限
- 重要服务器存在安全隐患
- 虚拟化带来新的威胁
信息安全需求分析
- 网络边界安全需求
- 终端安全需求
- 移动终端安全需求
- 安全预警风险评估管理的需求
- 系统安全运维的需求
- 符合政策要求的需求
解决方案
通过瑞星国际领先的网络安全防护产品和丰富的企业网络安全设计经验,为XXX运营商网络系统提供一个技术领先、稳定可靠的全方位、多层次安全立体防御体系,有效抵御各种病毒和混合威胁的攻击,提高安全防御水平。
综合立体安全防护体系设计
本方案从“综合立体防护”这一观点出发,帮助XXX运营商建立一个覆盖全网的、可伸缩、抗攻击的防护网络,在各局域网网关处部署瑞星导线式防毒墙,在局域网内部部署瑞星杀毒软件行业专用版、瑞星虚拟化系统安全软件、瑞星企业移动管理系统、瑞星运维管理审计系统和病毒预警系统,构建安全防护屏障。形成在操作系统层面有杀毒软件防御病毒,在网络传输层面有防毒墙过滤病毒,这两个层面可以互相联动,清除和阻断病毒,控制病毒的传播;同时,利用网络预警系统的预警功能,预测传播发展趋势,掌握病毒传播轨迹,真正做到防患于未然。
多层次防护体系的建立,实现了操作系统病毒有防御机制,主干及单位间网络有病毒过滤设备,全网有病毒预警监测手段,形成整个网络自上而下的防御监测系统,使病毒危害无法藏匿于网络中。
瑞星安全防护体系部署示意图
多层次的防护体系
瑞星防护体系部署示意图
如图所示,瑞星公司为XXX运营商提供了全方位、多层次的、整体的网络防护解决方案。
在网络传输层面;在省公司、地市公司、区县分公司、以及本级内相对独立的单位等各局域网的入口处部署防毒墙产品(图中为蓝色的防毒墙图标),形成病毒防御的第一道屏障,将来自其他网络的病毒、木马阻挡在企业局域网之外,防毒墙串接在各单位局域网的路由器(或防火墙)与核心交换机之间,一般采用桥接的方式,不改变网络结构,支持高智能的Bypass功能,避免单点故障,此外,防毒墙还可以与网内的杀毒软件实现联动,控制局域网内不安全的终端向外访问;
在操作系统层面;在局域网内部部署瑞星杀毒软件行业专用版,实现对内网服务器、主机病毒的实时监测和查杀,形成病毒防御的第二道屏障。针对XXX运营商单位的具体情况,采用三级管理方式,可以实现集中式管理与分布式管理的有机结合,在省公司部署杀毒软件行业专用版一级中心,在地市公司部署二级中心,在区县分公司部署三级中心,在网内所有的终端和服务器上部署杀毒软件行业专用版客户端,由一级中心统一管理各二级中心,各二、三级中心管理本地的客户端,实现统一的策略管理、升级管理和安装管理等。
在运维管理层面;在省公司、地市公司、区县分公司、以及本级内相对独立的单位等各局域网的核心处部署运维管理审计系统产品,形成病毒防御的第一道屏障,将来自其他运维维护等维护阻挡在系统之外,运维管理审计系统并联在各单位局域网中,一般采用并联的方式,不改变网络结构,支持高智能的Bypass功能,避免单点故障。
在全网的核心层面;在全网核心位置部署瑞星病毒预警系统,实现对全网的实时病毒监测、定位和预测,实现对全网的全局层面的监控,在省公司部署网络安全预警系统的总中心(图中为黄色框内设备,与分中心相同),部署一台总中心和一台病毒探针在核心交换机上,在各地市单位部署预警系统分中心,在中心交换机上旁路部署一台病毒探针,总中心管理各分中心,同时,接收各分中心上报的数据,集中分析,形成全网的总览数据展现给省公司的决策人员实时掌握病毒的发展态势,做出决策,同时,各分中心可以监控本地网内的病毒疫情形势,并做出快速反应。
防毒墙、杀毒软件行业专用版和网络安全预警系统三者之间实现联动,共同防御,保证病毒在网内被全面、彻底地清除。
集中统一的管理和控制
瑞星防毒墙、瑞星杀毒软件行业专用版和瑞星网络安全预警系统三者结合,可以实现多层次的立体病毒防御,产品的多级管理关系和联动关系整体示意图如下。
防毒墙、杀毒软件、预警系统等联动立体防御示意图
如图所示,红色控制线表示了瑞星杀毒软件行业专用版两级管理关系,杀毒软件一级中心直接管理省级单位和地市、区县的三级中心,各级中心管理本地的服务器和终端的杀毒软件客户端,杀毒软件的集中安全管理功能包括:远程控制与管理、防毒策略的统一定制和分发、实时监控全网客户端的防毒状况、全网统一查杀毒、客户端漏洞检测与补丁分发、远程提取客户端诊断信息、管理员分级管理、客户端分组管理、网内总体安全概要分析、病毒事件报警、病毒日志查询和统计等;
蓝色控制线表示了网络安全预警系统对于分中心的统一管理和控制功能,这些功能包括:直接管理分中心,通过总中心可以直接登录各分中心进行管理配置操作,事件统计查询操作等;统一升级,通过总中心能够一次为所有分中心的病毒探针进行病毒库升级,极大地方便了管理人员的系统维护工作;数据包分析,通过总中心可以获得各个分中心的探针网卡上的流量,分析网络数据包或系统故障;统一各分中心数据,总中心分别从各分中心获取实时数据与统计数据,并对全部分中心的数据进行统计分析,产生统计图与统计报表;灵活的数据统计方式,总中心不仅可以对全部分中心的数据进行统计分析,产生统计图与统计报表;而且可以对任意一个或几个分中心的数据进行统计分析,产生统计图与统计报表。
黄色控制线表示各局域网中杀毒软件行业专用版与防毒墙的联动功能,本部分将在下面的章节详细介绍。
此外,对瑞星防毒墙可以统一管理,通过省公司的预警管理中心设为控制中心,将同局域网内的其他防毒墙设为子防毒墙,通过启用防毒墙的集中管理功能,可以对防毒墙进行集中管理,大大减轻了防毒墙管理的工作量,在某个防毒墙出现故障时,通过集中管理可以迅速解决。
部署后可达到的效果
通过对XXX运营商中网络建立多层次的、统一的整体网络病毒防范体系,实现了集病毒预警、病毒主动防御和病毒实时检测清除为一体的综合的病毒防御机制,更好地实现综合立体的病毒防御效果。
1. 对于病毒的预警
及时的病毒发现
可以对网络中的病毒状况进行集中统一的病毒监测,构建完备、协调、高效的预警体系。在病毒发作、网络攻击的初期进行提前预警,进行科学的评估,采取各种有效的手段,努力把风险发生的可能性降到最小,在现代病毒安全事件中,检测是现代网络安全模型中重要的一部分,瑞星网络预警系统可实时检测网络内的病毒攻击;同时网络蠕虫病毒发作时,也会向网络发送大量的病毒包,造成整体网络堵塞和瘫痪,瑞星网络预警系统可以在蠕虫爆发的初期进行报警,采用有效的手段,可以避免对网络造成的危害。
查找病毒源,定位风险,为有效处理病毒提供依据
瑞星网络预警系统整理大量的互联网真实IP地址所在地相关信息,同时也支持用户自行导入和添加IP地址库。在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置,查找病毒源,定位风险,为有效处理病毒提供依据,准确的定位。
发现未知病毒,解决新病毒爆发带来的风险
瑞星网络预警系统拥有网络行为判断技术,能够有效的检测未知病毒,解决新病毒爆发带的风险,对网络中出现的病毒情况(新病毒出现,病毒大规模爆发等)进行统一的报警,并具有多种预警方式(声音提示、电子邮件等),并能够进行快速应急响应。
安全事件的关联分析
大量网络安全事件,在无法人为的对其进行分析和整理时,就需要管理系统能够将各类网络安全事件归纳总结在一起,然后存入数据库,方便进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。将各种安全事件集中到管理中心后,对于某些网络安全事件来说,一台或者两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总结后,就有可能发现网络安全事件的源头。例如某个网段的攻击探针发现该网络被扫描,可以确定是公司内部一台主机A所为。但同时,病毒探针发现另外一台主机B通过远程植入方式, 将木马或者扫描程序植入主机A,管理中心即可根据这两条网络安全事件判断扫描特定网络的真正源头是B而不是A, 从而确定真正的影响网络的源头。
总览全网,整体把握全局的安全形势
通过总中心管理全网各分中心,总览全网的安全状况,对于红色的安全预警区域,只需点击该位置,就可查看详细情况,及时做出部署,防患于未然。
2. 对于病毒的主动防御
- 在各局域网的接入处建立病毒过滤屏障,杜绝来源于其它单位的病毒干扰和各种入侵行为,防止病毒在全网蔓延;
- 利用防毒墙与杀毒软件联动功能,对终端实行安全检查,不符合安全标准的终端将禁止访问通过。
- 加强了对重要服务器的保护,通过架设瑞星防毒墙可以对重要服务器提供更为全面的保护。即使黑客已经入侵了服务器并取得了相应的系统权限。但由于有防毒墙的保护,相应的木马程序黑客工具也不会被传到服务器上,最终使得黑客“巧妇难为无米之炊”,无法开展进一步的入侵和破坏。
- 通过日志报表能够及时发现网内的安全隐患,瑞星防毒墙具备完善的日志功能,系统不但拥有多种类型的日志可以随时通过防毒墙实时显示,而且还支持将日志记录到Syslog服务器或远程MySQL服务器。必要时,还可以通过电子邮件将日志发送到管理员指定邮箱。这些都可以帮助管理员及时发现网内的安全隐患以便采取措施。
- 减轻维护人员的工作压力,部署瑞星防毒墙后,病毒在通过防毒墙时就已经被清除,根本不会进入终端操作系统,这就使得网内终端的安全响应事件会大幅下降,近而减轻了维护人员的工作压力。另外通过防毒墙内显示的相关信息,维护人员可以轻松的掌握网内整体安全情况。当网内出现ARP欺骗等病毒问题时,通过防毒墙可以很快速的找到病毒传播源头,避免了逐台终端排查的巨大工作量,极大的提高了维护人员的工作效率。
3. 对于病毒的实时检测清除
- 实现了不同系统下跨平台的集中统一管理。可以通过中央控管中心(系统中心)对网络内的服务器、客户机进行远程策略设置、病毒查杀、远程安装等各种管理操作;实现跨地区、跨平台的网络防毒系统实施统一管理和监控。
- 实时监控客户端防毒状况,网络管理员在管理控制台上能实时地查看到每个客户端的扫描状态、实时监控的状态、主动防御的状态、感染了哪些病毒等信息:根据上述信息,管理员可实时跟踪到每一个客户端的防毒状况,以便做出应对措施。
- 集中的病毒报警和报告。在管理服务器上能够方便地查看全部范围(或组范围)的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。
- 统一的自动升级。面对当前病毒的种类层出不穷,病毒危害日益严重的形势。能够快速及时准确的查杀新型病毒极其变种,才是抑制病毒肆意妄为的有效手段。这就需要防病毒软件的病毒库能够及时的升级。瑞星防毒墙和杀毒软件行业专用版智能联动,可以实现统一地自动升级,并同时支持多种升级方式。
- 客户端防病毒策略强制保护。可以给网络内所有的服务器、客户机设置密码保护,防止内部用户修改防毒策略或删除杀毒客户端程序。
- 多层次的整体病毒防范。对XXX运营商中网络系统内的各种不同操作系统的服务器、邮件/群件系统,服务器机群、客户机进行多层次、全方位的病毒监控防范,监视所有病毒可能的来源途径。如:Internet、网络驱动器、网络共享、移动存储设备、光盘、软盘和email等,彻底的斩断病毒在服务器、客户机内的寄生及传播。
- 漏洞扫描与补丁分发管理,系统漏洞扫描与补丁分发管理的结合将更加彻底的清除各种漏洞、加固系统。许多病毒行为是借助系统的漏洞及缺陷等,不修补漏洞而单纯反复的借助防病毒系统来清除借助此漏洞进行传播及破坏的病毒程序将是徒劳的。漏洞扫描配合补丁分发功能对每台客户端的漏洞扫描结果有针对性的分发补丁程序、修补漏洞,才能真正解决系统的安全性,防止重复性的入侵及病毒感染。特别能够有效的防止威金系列病毒在网络中的传播。