版权声明本文中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容, 除另有特别注明, 版权均属绿盟科技所有, 并受到有关产权及版权法保护 任何个人 机构未经绿盟科技的书面授权许可, 不得以任何方式复制或引用本文的任何片断 商标信息 绿盟科技 NSFOCUS 绿盟矩阵是绿盟科技的商标 - II -
目录 一. 前言... 1 二. 为什么需要内网安全管理系统... 1 2.1 内网安全面临挑战... 1 2.2 传统安全技术局限性... 2 三. 如何评价内网安全管理系统... 3 四. 绿盟内网安全管理系统... 4 4.1 系统功能... 4 4.1.1 终端保护... 4 4.1.2 桌面管理... 5 4.1.3 行为管理... 6 4.1.4 综合管理... 7 4.2 系统特性... 8 4.2.1 先进模型 纵深防护体系... 8 4.2.2 灵活内网行为管理... 9 4.2.3 集中统一策略强制控制... 9 4.2.4 实时丰富告警与报表... 10 4.2.5 核心防护引擎 自动修复机制... 10 4.3 系统构架... 11 4.4 部署方式... 12 五. 结论... 12 - III -
插图索引 图 4.1 矩阵安全保护模型图... 8 图 4.2 系统架构... 11 图 4.3 产品部署方式... 12 - IV -
一. 前言 随着网络技术应用的不断深入, 信息安全发展也进入到一个全新的时代, 传统的安全解决方案都是把目标重点放到边界上, 往往忽略了内部网络安全, 特别在政府机关 保密部门 科研机构 银行与证券 企事业等单位的办公网 内部业务网 涉密网中的终端设备安全管理非常薄弱, 存在很大安全隐患 现有的安全措施没有发挥应有的作用, 网络管理人员无法了解每个网络端点的安全状况, 疲于奔命也无法解决各种终端安全与管理问题 尽管有些单位制订严格的安全管理制度, 但是由于缺乏有效的技术手段, 安全策略无法有效落实, 导致机密信息泄露 黑客攻击 蠕虫病毒传播等安全事件频繁发生, 对内网安全提出新的挑战 二. 为什么需要内网安全管理系统 2.1 内网安全面临挑战 据 IDC 统计, 一半以上的安全威胁来自于内部 企业内网所面临的安全威胁主要表现在如下几个方面 : 补丁升级与病毒库更新不及时 蠕虫病毒利用漏洞传播危害大由于网络内的各种平台的主机和设备存在安全漏洞但没有及时打上最新的安全补丁, 或者主机和设备的软件配置存在隐患, 杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新, 给恶意的入侵者提供了可乘之机, 使病毒和蠕虫的泛滥成为可能 大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪, 业务无法正常进行 非法外联难以控制 内部重要机密信息泄露频繁发生员工通过电话线拨号 VPN 拨号 GPRS 无线拨号等方式绕过防火墙的监控直接连接外网, 向外部敞开了大门, 使得企业内网的 IT 资源暴露在外部攻击者面前, 攻击者或病毒可以通过拨号线路进入企业内网 ; 另一方面, 内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去, 给企业带来经济损失但又不易取证 移动电脑设备随意接入 网络边界安全形同虚设 -1- 密级 : 完全公开
员工或临时的外来人员所使用的笔记本电脑 掌上电脑等移动设备由于经常接入各种网络环境使用, 如果管理不善, 很有可能携带有病毒或木马, 一旦未经审查就接入企业内网, 可能对内网安全构成巨大的威胁 攻击方法日新月异, 内部安全难以防范已经被攻破的内网主机中可能被植入木马或者其它恶意的程序, 成为攻击者手中所控制的所谓 肉鸡, 攻击者可能以此作为跳板进一步攻击内网其它机器, 窃取商业机密, 或者将其作为 DDOS 工具向外发送大量的攻击包, 占用大量网络带宽 员工浏览嵌有木马或病毒的网页 收看带有恶意代码的邮件, 都可能给攻击者带来可乘之机 软硬件设备滥用 资产安全无法保障内网资产 (CPU 内存 硬盘等) 被随意更换, 缺乏有效的技术跟踪手段 ; 员工可以随时更改自己所使用的机器的 IP 地址等配置, 不仅难于统一管理, 而且一旦出现攻击行为或者安全事故, 责任定位非常困难 网络应用缺乏监控, 工作效率无法提高上网聊天 网络游戏等行为严重影响工作效率, 利用 QQ,MSN,ICQ 这类即时通讯工具来传播病毒, 已经成为新病毒的流行趋势 ; 使用 BitTorrent 电驴等工具疯狂下载电影 游戏 软件等大型文件, 关键业务应用系统带宽无法保证 缺乏外设管理手段, 数据泄密 病毒传播无法控制外设是数据交换的一个最要途径, 包括 U 盘 光驱 打印 红外 串口 并口等 ; 由于使用的方便性, 近几年成为数据泄密 病毒感染的出入口 通过封贴端口 制度要求等方式无法灵活对外设进行管理, 特别是对 USB 接口的管理, 所以必须通过其它技术手段解决存在的问题 管理制度缺乏技术依据, 安全策略无法有效落实尽管安全管理制度早已制定, 但只能依靠工作人员的工作责任心, 无法有效地杜绝问题 ; 通过原始方式 : 贴封条 定期检查等相对松散的管理机制, 没有有效灵活实时的手段保障, 无法使管理政策落实 2.2 传统安全技术局限性 传统的安全解决方案比如防火墙 入侵检测 防病毒在网络安全中起到非常重要的作用 由于现在网络边界的概念逐渐模糊, 通过 VPN 无线上网 远程拨号等方式连接到内部网络变得非常普遍, 内网上各种信息滥用 误用 恶用行为增加, 严重影响内网安全 对于以上安全问题, 传统安全技术显得力不从心 网关防护技术 -2- 密级 : 完全公开
对于防火墙 病毒网关 网闸等网关产品是网络边界访问控制技术, 关注重点是防止外部病毒 外部攻击, 缺乏对内网终端的攻击防护 审计检测技术对于网络入侵检测 主机入侵检测 安全审计等系统网络审计类产品, 通常采用的监测技术, 关注重点是发现记录攻击 非法访问等安全事件发生 ; 需要与其它安全产品联动才能阻断攻击行为 防病毒技术至于防病毒软件, 经常出现软件被随意卸载 病毒库没有及时更新情况, 无法遏制蠕虫病毒传播 现有的安全解决方案都把防御重点放到外网攻击上, 在内网保护上只有防病毒软件, 安全体系有很大的缺陷 无法防止蠕虫病毒利用漏洞传播 无法限制内网资源滥用, 无法防止非法外联行为 解决这些矛盾需要内网安全管理系统才能很好满足以上要求 三. 如何评价内网安全管理系统 由于内网安全面临很大的安全挑战, 而针对外网攻击的网关安全设备不能满足新的安全需求, 我们需要新一代安全技术解决内网管理出现的问题 新的解决方案应该以内网安全为核心, 通过主机防火墙 主机入侵保护 补丁分发 防非法外联 资产管理等技术为新的内网安全管理体系 内网安全管理系统将在新的安全形势下担任重要的角色, 应该如何考虑内网安全系统, 我们认为一个完善内网安全管理系统应该能实现如下目标 : 阻止各种内网攻击防止黑客 木马 间谍软件攻击 蠕虫病毒爆发 非法探测扫描等攻击企图与攻击行为 ; 对终端设备实施强制网络接入控制 提高内网资源使用效率远程策略管理 资产管理与控制 防止内网资源的滥用行为, 限制应用软件的滥用 (BT P2P 即时通讯软件) 防止商业机密泄露限制非法外联行为 监控外设使用, 防止商业机密泄漏 ; 实时监控各种网络连接行为, 发现并且阻断可疑上网行为, 保护内网资产 -3- 密级 : 完全公开
为了达到安全管理的目标, 内网安全管理产品应该具备如下功能 : 桌面安全防护 内网资产管理 行为管理监控除了满足如上功能外, 为了保证系统的可靠性 可用性 可扩展性 : 内网安全管理系统还应该具备如下特征 : 安全策略制定灵活 管理方便 ; 支持大规模 分布式集中部署 ; 系统可靠稳定 占用系统资源少 ; 易于扩展, 支持与其它安全管理产品联动 ; 四. 绿盟内网安全管理系统 面对各种蠕虫病毒 黑客攻击越来越猖獗, 针对目前安全新形势, 绿盟科技本着 客户至上 质量为本 专业服务 面向国际 的公司管理方针, 把客户安全放到首要的位置考虑, 经常多年研究积累, 结合客户安全新的需求, 推出一款专门针对内网安全而研制的安全产品 - 矩阵 内网安全管理系统 本系统整合最新的内网安全相关技术, 以内网安全为中心出发点, 从桌面安全管理 内网行为监控 资产与补丁管理等多个角度构建一套完整的内网安全防护体系, 防御各种内部攻击行为, 通过技术手段全面贯彻落实各单位的安全管理策略 4.1 系统功能 4.1.1 终端保护 网络接入控制能够按照指定的策略控制机器对网络的接入, 保证只有认证通过的机器才能够接入网络, 防止存在安全隐患或未经授权的机器接入内网, 在网络接入层控制非法终端连接, 支持 IEEE802.1x 端口认证的工业标准 对于不支持 IEEE802.1x 交换环境, 采用软件控制的方式实现对终端设备的安全接入控制 根据网络环境, 用户可以选择在不同网段分别启用 802.1X 认证 非 802.1X 认证 不启用网络准入认证组合 -4- 密级 : 完全公开
网关强制网关强制可以实现在网关出口限制未安装代理软件终端对外网连接, 强制未安装代理终端重定向到一个代理安装网页, 从而禁止非法终端通过网关出口泄露内网信息, 并且可以加快矩阵客户端的安装部署 此功能需要结合绿盟科技冰之眼 IPS 产品使用 病毒库同步通过与常用防病毒软件的联动, 实现及时可靠的病毒库分发, 强制病毒库与病毒引擎的升级, 统一终端最新的防病毒策略, 阻止各类病毒和蠕虫的发作 ; 支持防病毒软件包括 : 赛门铁克 趋势 瑞星 江民 金山 卡巴斯基 McAfee 冠群等各大防病毒软件厂商的网络版以及个人版防毒产品 主机入侵保护基于绿盟科技强大研究能力, 精选 WINDOWS 主机类入侵保护规则, 对进 出机器的流量进行分析检测, 防御各种针对主机的黑客攻击行为, 具体类型包括 : 防止扫描 溢出 远程控制 拒绝服务等各种攻击类型 除了入侵保护规则, 还内嵌入 Sniffer 检测模块与 Flood 检测模块, 能检测内网机器的 Sniffer 行为以及终端流量异常行为 主机防火墙截取网络连接尝试, 使用预先定义规则允许和禁止其连接, 通过端口 协议 IP 时间等条件限制终端对网络安全访问控制 异常端口监听通过设置端口黑白名单, 对特定的端口进行监控, 并可以在出现异常时告警和限制端口连接 防 ARP 欺骗 ARP 欺骗防御采用主动防御技术, 保证终端机器不受 ARP 欺骗的干扰与攻击, 并且可以及时发现网络中存在的 肉鸡 攻击者, 有效保证网上银行 邮箱 即时通讯 游戏帐号等数据安全 ; 保证网络通讯的正常稳定 快速协助管理人员定位网络中存在的问题 4.1.2 桌面管理 资产管理自动收集计算机的硬件资产信息和软件资产信息, 硬件资产信息包括 : 网卡 内存 硬件 主板等 ; 软件资产信息包括 : 操作系统 杀毒软件 应用软件信息 计算机系统摘要 终端代理相关信息 当前策略信息 补丁信息 ; 可以自动发现以上各类软硬件资产的变化情 -5- 密级 : 完全公开
况, 灵活生成各种告警与图形报表, 及时掌握每个终端用户资产最新状态, 避免资产流失, 方便企业资产的统一管理 补丁管理通过与微软 WSUS 的联动, 完成安全补丁的自动分发, 保证机器及时打上最新的安全补丁, 防止安全漏洞被利用 软件分发用户可以将应用软件的安装包 (EXE/MSI 格式 ) 分发到指定的机器上并执行安装操作 交换机管理自动收集交换机端口信息, 提供方便的 IP/MAC/ 机器名 / 交换机端口的互查功能, 能够打开或关闭指定的交换机端口, 通过 Web 可以查看网络中的交换机信息, 例如端口 流量等 系统性能监测实时监测终端 CPU 内存 硬盘性能, 发现系统超出设置的占用率, 及时告警通知 4.1.3 行为管理 外设访问控制可以针对常见的外设端口类型 (USB 红外 串口 并口) 和设备类型 ( 软驱 光驱 无线 蓝牙 键盘和鼠标 打印机 ) 进行监控, 监控类型包括 : 禁止访问 只读访问 完全访问, 对违反策略的行为及时告警, 防止数据泄密 ; 管理员可以对 USB 外设进行注册授权认证, 注册认证过的 USB 外设才可以在内网使用, 有效管理控制 USB 外设滥用行为 ; 系统可以对 USB 外设文件传输实时监控 ( 包括文件增加 删除 拷贝 修改行为审计 ), 并且可以实现针对特定的文件类型进行审计 ; 在安全控制方面, 系统能够对 Windows 的 自动播放 进行控制, 防止 autorun 病毒木马传播与扩散 非法外联检测针对企业内网可能存在的通过拨号连接外网的行为进行管理 ; 可以对 Modem 拨号 VPN 连接 PPPoE 等拨号方式进行控制, 根据需要可以自动切断拨号并告警 应用软件监控可以监控指定软件的安装使用行为, 通过软件名称关键字, 对非法安装使用的软件实时监控告警 上网监控 -6- 密级 : 完全公开
自动记录员工的上网历史, 包括 HTTP 上网 URL 连接信息以及其它非 HTTP 上网信息, 比如 Telnet Ftp 等行为, 发现异常上网行为 ; 另外可以检测出通过代理上网的行为, 并能按照预设的关键字对网页内容进行告警 网络配置强制可以防止任意修改机器的 IP 机器名 MAC 等信息, 根据安全策略设置自动恢复默认的配置信息 ; 可以针对重点服务器 IP 采用特殊保护, 保证重点服务器 IP 优先权, 避免地址冲突, 提高内网管理效率 强制域登录强制终端登录到指定的域, 可以设置多个登录域 ; 针对登录到其它域 或者不以域身份登录的行为, 可以采用告警 强制注销 WINDOWS 方式响应限制登录 4.1.4 综合管理 策略管理可以针对不同的机器组制定不同的安全策略, 策略类型包括 : 外设访问控制策略 病毒更新策略 补丁管理策略 入侵保护策略 主机防火墙策略 非法软件控制策略 非法拨号策略 网络配置强制策略 异常端口侦听策略 强制域登录策略 查询与报表可以方便查看各种安全告警事件 网络访问事件 ; 通过报表可以了解最新的补丁 反病毒软件安装情况 ; 可以根据资产构成 变更 网络告警等条件生成丰富详细的图形报表并支持多种文件格式的下载 集中升级分布在各个节点的安全代理软件统一从服务器进行升级, 大大减小了部署的工作量 用户管理采用 B/S 浏览器管理方式, 管理人员可以方便登录到服务器进行管理, 用户可以指定管理机器的 IP 地址, 保证只有授权 IP 才能访问 管理审计系统对管理人员的登录行为 操作行为 以及任务的下发情况进行全面的审计 -7- 密级 : 完全公开
4.2 系统特性 4.2.1 先进模型 纵深防护体系 循环监控绿盟科技基于先进的安全策略保护模型, 从安全策略定义 探测发现 扫描检查 强制接入 自动修复五个阶段, 全方位 全自动实现对内网安全威胁的循环监控保护 在内网管理过程中, 企业必须定义安全策略, 矩阵内置十多种安全策略, 用户可以根据企业的安全需求, 选择启用相应的策略 ; 在探测发现阶段, 通过多种接入发现技术, 自动发现所有终端接入行为 ; 在扫描检查阶段, 循环扫描内网终端安全状态, 实时发现各种违规安全事件 ; 结合强制接入阶段中多种准入控制机制, 阻断安全事件发生, 并且隔离不安全终端 ; 最后采用自动安全同步技术全面提升系统安全等级 通过安全保护模型, 构建内网安全循环监控闭环, 全天候 实时保证内网安全 图 4.1 矩阵安全保护模型图 纵深保护 由于单一的安全产品 安全技术不能确保整个内网系统的安全, 矩阵系统采用纵深化的安全保护技术, 应对各种混合类型的攻击 一个系统涵盖终端安全 桌面管理 行为监控 3 大领域, 在终端安全方面提供系统级安全保护, 整合主机防火墙 主机入侵保护 防病毒软件同步监控 补丁自动升级 网络安全准入控制 域登录控制 配置强制 防 ARP 欺骗等安全技术全方位保护终端系统安全 ; 各种主机安全技术融合 同步 联动 在系统核心构造严密的安全防线, 再加上网络层与应用层的准入控制, 强制隔离不符合策略的终端接入网络 -8- 密级 : 完全公开
4.2.2 灵活内网行为管理 智能化行为监控内部员工可以通过不受监控的网络通道将企业的商业机密泄漏出去, 给企业带来经济损失但又不易取证 矩阵采用最严谨的防泄密手段, 通过对外设使用行为 上网行为 非法外联行为 应用软件使用行为的分析, 提供灵活方便的行为策略管理界面, 从信息传输源头采取智能化行为控制技术, 对违反企业策略的行为进行告警与阻断 其中包括外设访问控制技术 上网行为监控技术 ( 记录上网内容, 关键字报警 ) 软件行为监控技术 非法外联监控, 有效防止各种非法外联行为以及泄密事件的发生 高效可控内网安全管理用户随意修改 IP 地址 随意拆卸电脑设备, 造成网络管理混乱, 为管理人员带来很大工作负担 矩阵系统采用资产自动收集 系统性能实时监控 网络配置强制技术 软件分发技术提高内网管理效率 ; 通过策略管理中心及时了解内网终端资产现状, 对资产的变更进行报告与记录, 避免硬件资产流失 ; 通过网络配置强制技术对 IP/MAC 地址进行绑定, 防止内网资产误用与滥用发生 ; 通过交换机管理远程关闭受病毒感染设备所接的端口, 及时避免蠕虫病毒的扩散 4.2.3 集中统一策略强制控制 集中统一策略强制面对数以千计的终端电脑, 仅仅通过管理制度无法落实有效集中的安全管理, 管理人员迫切希望通过技术手段解决存在的问题 矩阵采用灵活的策略树结构, 扩展性强, 安全策略随需而动 ; 随着时间 地点场所改变, 系统自动切换安全策略, 及时应对不同终端安全要求 系统内置十多种安全策略, 包括补丁管理 病毒库同步 主机防火墙 主机入侵保护 防 ARP 欺骗 外设访问控制 网关强制 网络配置强制 非法外联监控 异常端口监测 强制域登录 应用软件监控 上网监控 系统性能监测等策略, 用户按需配置, 集中下发管理 全面安全准入控制移动电脑设备随意接入内部网络, 如果管理不善, 很有可能将病毒 木马带入网络, 管理人员无法通过有效的技术手段发现并且控制外来接入行为 矩阵系统通过全面网络接入强制技术 (802.1X 认证 非 802.1X 控制 强制域登录 主机防火墙 ) 以及网关强制控制技 -9- 密级 : 完全公开
术, 从网络层到系统层接入都可以实现强制控制, 保证可管理的终端 ( 安装安全代理 ) 或者是不可管理的终端 ( 未安装安全代理 ) 接入安全, 有效拒绝未知设备接入 针对国内网络环境, 矩阵在接入控制方面的设计考虑地非常周到, 用户可以在不同网段采用不同的网络准入认证机制, 保证无论在 802.1X 交换环境或者非 802.1X 交换环境都能得到有效控制 在 802.1X 认证方面, 矩阵全面兼容思科 华为 港湾等交换机, 能很好地适用于国内网络现状的要求 4.2.4 实时丰富告警与报表 实时可靠安全告警 矩阵系统为客户提供各种内网安全事件告警, 告警信息详细准确 ; 通过丰富的图形化报 表以及实时告警信息, 管理人员可以及时掌握最新的安全动态, 安全管理变得由此简单 丰富精细报表分析 通过丰富分析, 用户可以了解最新的补丁 反病毒软件安装情况 ; 可以根据资产构成 资产变更 网络告警等条件生成丰富详细的图形报表并支持多种文件格式的下载 4.2.5 核心防护引擎 自动修复机制 高效稳定安全防护引擎现在终端用户安装的安全软件越来越多, 各软件引擎相互影响, 缺乏协调, 无法统一保护系统安全 矩阵安全代理端采用最新的集中安全防护引擎, 在一个核心引擎中同时整合包括入侵保护 主机防火墙 防 ARP 欺骗 外设访问控制 网络接入 安全同步 非法外联 行为监控等多种终端安全技术, 在系统底层实现联动统一防护 很好地解决了多个单一功能产品安装在同一个终端中存在的兼容性与性能问题, 大大提高了终端系统的稳定性 安全基线自动修复机制 安全基线状态主要是指补丁的安装情况 防病毒软件的安装使用情况 以及最新的防病毒特征库升级情况 矩阵通过实时监控终端的安全状态, 发现系统的安全基线没有达到安全策略的要求, 采用安全联动同步技术, 自动调用补丁升级程序 病毒库升级程序, 自动修复系统存在的安全漏洞 升级防病毒特征代码, 直到终端的安全状态达到安全基线要求 采用此技术大大降低工作人员负担, 快速提高对安全事件的响应能力, 提高系统安全等级 -10- 密级 : 完全公开
4.3 系统构架 矩阵内网安全管理系统构架由安全策略中心 终端安全代理组成, 管理者通过浏览器方 式登录到安全策略中心集中管理所有安全终端, 统一实施企业网络安全策略 系统构架如图 : 图 4.2 系统架构 安全策略中心 安全策略中心由认证中心 策略中心 事件中心组成 认证中心负责终端安全策略认证 策略中心负责安全策略的制定与下发 事件中心负责所有安全事件 资产变更事件 非法外 联事件的查看与统计 终端安全代理 终端安全代理隐含运行在所要监控的机器上, 负责搜集信息 解释执行安全策略中心下 发的各种安全策略并实施强制措施和生成告警 -11- 密级 : 完全公开
4.4 部署方式 绿盟科技矩阵内网安全管理系统安装部署非常简单方便, 可以通过软件分发 网络共享 光盘 网站下载等方式灵活安装 在内部网络所有终端设备以及移动设备上安装终端安全代理软件, 通过安全策略中心下发安全管理策略对整个网络安全进行统一高效管理 在每台需要监控的机器上安装代理软件 配置一台高性能服务器安装安全策略中心软件, 通过浏览器控制台远程管理 图 4.3 产品部署方式 五. 结论 近几年网络安全事件频繁发生, 各种蠕虫病毒 ( 如 冲击波 震荡波 等 ) 利用系统漏洞传播不断爆发, 严重影响企业网络正确运营, 甚至导致网络与系统瘫痪 重要信息泄密 而传统的安全技术与方案主要保证网络边界的安全, 内网安全成为企业管理的隐患 ; 仅仅依靠在终端电脑上安装防病毒软件, 在网络出口处部署防火墙 入侵检测系统已经无法应对变化无穷的网络攻击 ; 移动电脑设备随意接入, 网络边界安全产品形同虚设 ; 安全管理无 -12- 密级 : 完全公开
法有效落实, 安全策略无法有效执行, 仅仅靠安全意识提高 安全技术的培训无法解决存在的问题 绿盟科技通过多年对内网安全深入研究分析以及行业最佳实践经验, 结合国际国内的最新安全标准 (ISO-17799) 安全模型(P2DR) 以及绿盟科技的信息系统安全体系框架 (N-ISSF), 新开发出一套安全可靠, 功能全面的内网安全管理系统 很好地满足了政府机关 保密部门 科研机构 银行与证券 企事业单位对内网安全的迫切需求 矩阵内网安全管理系统从终端安全 桌面管理 行为监控 网络准入控制等多个角度构建一套完整的内网安全防护体系, 贯彻 积极防御 综合防范 的安全理念, 通过集中管理 分层保护原则, 全方位保证各单位内部网络安全 -13- 密级 : 完全公开