Niordsec内网安全管理平台
一、全面的、实用的解决方案NiordSec内网安全平台的总体目标是保障内网系统安全有序的运行,规范和约束员工的各种行为,防止敏感信息泄密。NiordSec内网安全平台由一个基础平台和5个子系统组成,其体系结构如图1.1所示。可信网络认证授权子系统提供以用户和计算机为对象的各种认证行为,同时基于访问控制、数据加密、行为监控、网络分域、安全审计等内置功能,通过与可信网络认证子系统、可信桌面管理子系统、可信网络监控子系统、可信移动存储介质管理子系统和可信网络分域管理子系统相结合,对企业内网提供全方位的保护。可信网络基础平台可信网络认证授权子系统可信桌面管理子系统可信移动存储介质管理子系统可信网络监控子系统可信网络分域管理子系统NiordSec内网安全平台体系结构图1.1NiordSec内网安全平台体系结构1、可信网络认证授权管理从访问控制的角度,分析传统的企业网络的安全状况,存在三种严重的安全缺陷。(1)不能保证企业网内主机可信,即没有明确的企业网安全设备边界,这样造成的严重安全隐患是恶意主机可以方便地接入企业网络,进行恣意的网络破坏和窃密活动。(2)不能保证企业网内用户的可信,即没有明确的企业网安全用户边界,这样不仅造成终端使用者行为不可控,而且造成了他们的行为不能有效审计,在安全事故发生后,出现了难以有效追踪和定位泄露源以及追究泄密者安全责任的尴尬局面。(3)不能保证服务资源的使用者可信,即没有可靠的服务资源的安全使用边界,因此恶意窃密者可以利用可以接触的网内任意主机进行暴力攻击(如密码的字典攻击)和旁路攻击(如绕过信息系统的认证机制,直接登入该信息系统依赖的数据库)而窃密网络内重要的服务资源。因此,为了保障企业网的安全,必须要保证网内所有接入主机可信,保证网内所有接入用户可信,以及保证服务资源的使用者可信。存在的安全隐患u单位的计算机数量越来越多,无法集中管理;u不清楚哪些用户能够使用计算机或者正在使用计算机;u用户可以随意地登录其同事的计算机并获取一些敏感数据;u外部笔记本电脑接入内部网络,获取敏感数据或进行网络破坏活动;u随意进入敏感服务器并获取非授权资料;u帐号/口令的用户认证方式太脆弱,容易被窃取。我们帮您解决u计算机集中管理。对内网中的所有计算机信息采集后统一进行显示和管理,采集的信息包括终端计算机ID、名称、IP地址、版本、所属组等。可以针对特定的计算机设置规则和策略。u用户集中管理。对内网中的所有用户进行统一分配和管理,可以针对特定的用户设置规则和策略。提供用户ID和USB令牌两种模式来标识用户。u用户登录授权。可以设定某个用户能够使用哪些计算机,也可以设定某台计算机只允许指定的一个或者多个用户使用。同时记录用户登录计算机的信息,包括登录时间,登录用户名等。u计算机接入认证。任何接入内部网络的计算机都必须安装NiordSec内网安全平台,未经许可的计算机将被隔离在内网之外。u服务资源分布式授权和审计。对内部业务服务器群细粒度的统一身份认证,各类业务应用服务器、数据库服务器都在保护的范围之内。同时提供对服务器资源的访问操作进行日志记录。u身份认证扩展功能。除了用户ID和USB令牌两种身份标识模式外,还提供了智能存储型USB硬件认证设备、智能指纹型USB硬件认证设备以及数字证书的支持。2、可信桌面管理为了提高企业或单位的竞争力,现今几乎所有的办公环境都已实现了计算机化,它们在网络中共同或独立地处理任务。随着计算机数量的快速增长,网络也变得越来越复杂,使得管理员不仅要处理单机问题,还要处理复杂的网络问题。如果每一个问题的出现都需要管理员亲自到现场去维护,显然会使他们感到工作繁重,最终导致效率低下。另外,企业或单位的敏感信息以及员工的行为需要得到有效的控制:一是杜绝员工的非许可行为,如工作时间处理工作以外的事情;二是对敏感信息的操作监视和外泄控制,如将信息通过外设拷贝或传输到企业外部,对敏感文档执行了不该执行的操作等。因此,如何针对日益增加的计算机进行远程清查、控制和管理,使得管理员不用到现场就可以解决终端发生的众多问题,是桌面管理非常值得关注的问题。存在的安全隐患u计算机软、硬件数量无法确实掌握,盘点困难;u无法有效防止员工私装软件,造成非法版权使用威胁;u硬件设备私下挪用、窃取,造成财产损失;u应用软件购买后,员工真正使用状况如何,无从分析;u员工在工作时间处理与工作无关的事情;u员工通过移动磁盘拷贝、刻录、打印、非法拨号外联等途径将内部资料泄露到外部;u对于特定类型的敏感信息,无法对其操作进行监视;u无法统计终端的软、硬件信息,从而掌握企业或单位的资产,并能跟踪资产的变更情况;u无法按照企业或单位的统一规划、分发及自动安装软件和补丁;u无法即时发送公告,通知终端用户某类消息或工作指令,或者终端用户即时发送公告给管理员,请求解决某类问题;u无法监视终端用户的桌面,掌握终端的运行进程以及CPU、内存和磁盘的使用状况,从而约束他们的行为;u不能够查看和控制终端的帐户和共享,减少信息外泄的风险;u居高不下的信息化资源成本,不知如何改善。我们帮您解决u敏感信息拿不走。系统提供外设管理功能,通过控制终端外设的使用,实现终端用户在非授权的条件下无法拷贝或传输敏感信息到企业或单位外部。u敏感信息看不懂。系统通过透明加、解密敏感信息,实现非授权用户即使带走了敏感信息也无法阅读。u文件操作强审计。系统提供文件控制功能,通过严密审计敏感文档的操作,实现用户违规操作的事后追查;u用户行为的可监控。在监视方面,系统提供远程终端监视功能,使管理员可以实时地监控用户正在运行的应用程序、桌面状况、内存和硬盘的使用状况等。如果某个用户的行为不符合企业或单位的规定,则可通过锁定或截屏操作终止其行为或进行实时取证。在控制方面,系统提供进程控制功能,控制用户是否允许运行某个程序。该功能一方面可以规范用户的行为,有效提高员工的工作效率,另一方面也保证了终端的稳定性,防止病毒的攻击。u终端资产的可计量。管理员能够对终端的软、硬件资产进行统计,并能跟踪其变更,防止企业或单位资产的流失。u数据分发的可自动。管理员能够将文档、软件或补丁分发给终端,并根据它们的性质选择存储、安装或执行。u信息交互的可即时。管理员和终端用户之间的信息交流,用于企业或单位内公告的发布和反馈。3、可信网络监控从用户的网络行为的角度,分析传统的企业网络的安全和管理状况,存在三个方面的缺陷。(1)不能保证网络的可用性,随着网络病毒的泛滥,特别是针对企业网的ARP病毒的泛滥,造成网络时常瘫痪,网络资源无法共享。虽然企业网大多配置有效的杀毒软件,但是实践表明再先进的杀毒软件面对新的病毒都具有迟后性,根本无法保证网络的安全可用。此外,由于IP地址是主机在企业网中的唯一有效标示和宝贵资源,恶意的篡改主机的IP地址会占用其他主机的合法IP,造成该主机不能使用网络,因此迫切需要对网络中IP地址进行有效统一的强制性管理。(2)网络流量和带宽无法可控、可管。由于网络中P2P软件的普遍应用,如BT软禁,网络流量资源逐渐捉襟见肘。网络流量和带宽作为一种重要的网络资源,迫切需要能够根据用户或用户组进行强制性统一规划、优化配置和有效审计。(3)网络邮件可控、可管。收发邮件是重要的网络信息交换行为,但是由于邮件往往包含大量的企业或单位的涉密信息,这就迫切需要能够对所有用户邮件的网络操作行为进行有效控制和日志审计,从而保证企业或单位的信息的完全性。可信网络监控系统的目标是实现可信用户网络行为在这三个层次的可管、可控和可审计。存在的安全隐患u玩网络游戏、浏览与工作无关的网站、进行与工作无关的聊天;u疯狂下载电影、歌曲、程序,在线看网络电影、听音乐;u随意修改IP地址和MAC地址,导致内部网络十分混乱,影响他人正常的工作;u通过Web邮件、Outlook等终端邮件的方向将内网系统中的敏感信息泄露出去;u通过在网络论坛发帖和粘贴附件的方式泄露内部数据;u无法对网络访问操作进行日志审计;u内部网络经常感染ARP病毒,无法开展正常业务。我们帮您解决u端点防火墙。集中管理和控制的客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、URL地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。u能够对ARP病毒免疫,确保主机获取网关MAC的正确性以及网关获取主机MAC的正确性。能够对ARP病毒免疫自动拦截和预警,管理员可以根据丰富的预警信息追溯ARP病毒的源头,从而可以彻底的消除该病毒。u可以将主机的IP地址与MAC地址进行强制性绑定,防止员工随意修改IP地址,造成IP经常冲突,以及无法对安全事件源追溯定位,给管理人员造成很大的麻烦。u网络常规应用层协议解析。对常规网络应用层协议进行解析,从而进行了详细的日志记录,主要包括了HTTP协议日志、FTP协议日志、邮件协议日志和其他日志。u终端邮件控制。通过解析SMTP协议,可以对指定的发件人、收件人进行邮件和附件收发控制。u终端邮件内容记录。可以记录通过POP3和SMTP协议收发的邮件正文内容及附件,如:OUTLOOK、Foxmail等。uWeb附件控制。能够对通过WEB方式上传文件的行为进行控制,包括通过WEB邮箱发送附件、通过WEB论坛粘贴附件、通过网络硬盘传输文件等方式。uWeb附件记录。能够对通过WEB方式上传的文件进行缓存,管理员可以进行上传文件的内容审计。4、可信移动存储介质管理为了方便数据交换,内部网络使用了大量的移动存储介质,例如U盘,移动硬盘等。但同时由于技术和历史原因,对于移动存储介质的管理很不规范,甚至未被纳入保密管理的范畴;没有严格的保密管理措施,或者是保密管理措施不具体,有的甚至根本未被纳入保密管理范畴:如对涉密软盘、磁盘、移动硬盘等没有登记,没有加密标识,与普通磁盘混合使用,出现故障后随便丢弃或重新格式化后继续使用等。这些现象无疑给单位内部的涉密和敏感信息资源带来了相当大的安全隐患。这些由于移动存储介质的大量使用而引起的安全问题给企业信息化建设带来了很大的困扰,随着移动存储介质越来越轻便、存储容量越来越大,这些问题随着信息化建设的逐步深入也会越来越突出、越来越严重!因此,企业目前迫切需要一套完整的移动存储介质管理方案,从技术和管理层面对内部使用的移动存储介质进行严格控制,同时兼顾移动存储介质管理与使用的方便性和内部文件交换的安全性。存在的安全隐患u许多企业对计算机存储介质的管理不规范,甚至未被纳入保密管理的范畴,导致无法对内部使用的移动存储介质进行统一管理;u私人的U盘、移动硬盘等,可以在单位的计算机上随意使用,容易造成计算机病毒感染和泛滥,导致内部网络运行出现故障;u使用移动存储介质,怀有恶意的内部人员可以随意将单位内部涉密信息复制出去,容易造成单位敏感信息泄密;u企业内部使用的移动存储介质被随意带出,在外网中使用时容易造成失泄密;u企业涉密移动存储介质在使用时,缺乏身份认证和访问控制,导致任何人可以使用任何介质在任何机器上进行文件拷贝,造成企业文件流失;u企业涉密移动存储介质被内部人员在非涉密计算机上使用,容易遭受“轮渡攻击”,导致机密数据流失;u内部人员在使用移动存储介质进行文件交换时,无法对文件流向进行审计和控制,在出现文件流失时难以对责任人进行追究;u企业移动存储介质使用时存在明密不分、公私不分的现象,导致企业的内部文件出现失泄密;u企业移动存储介质在被盗或遗失时,会导致内部数据丢失。我们帮您解决针对上述隐患,NiordSec内网安全平台推出了可信移动存储介质管理系统。该系统根据国家涉密介质管理要求,采用身份认证、访问控制、磁盘驱动、内核加密和安全审计等核心技术,对企业内部的移动存储介质进行严格、方便的管理,同时确保企业核心数据的安全。u非认证介质进不来。企业内网中使用的移动存储介质均需进行注册,管理员能够禁止未注册移动存储介质在内网中使用。u涉密文件拿不走。管理员能够对移动存储介质的访问进行灵活、严格地控制,对于没有授权的移动存储介质,无法从机器上将涉密文件拷贝出去。u认证介质外部没法用。管理员能够将内部流通的移动存储介质注册为内网专用的加密格式,内部人员将注册后的介质拿出后将无法使用。u内部数据读不懂。管理员能够制定对特定移动存储介质的读写实施透明加密防护,是数据在写入后被自动加密,即使介质丢失也不会导致数据的丢失。u移动介质操作跑不了。管理员能够对移动存储介质的接入和文件操作进行严格审计,从而能够追踪泄密事件,事故责任人跑不了。5、可信网络分级管理企业或单位的组织结构由若干职能部门组成,涉及不同的敏感信息,使得不同的职能部门存在安全等级的差异,因此部门之间以及部门与外网之间的安全访问显得尤为重要,它需要利用某种技术或手段实现不同等级部门之间的网络阻断和信息加密,从而防止特定部门内部信息的外泄。针对这一问题,安全域的概念应运而生,它要求企业或单位能够根据自身的业务特点、安全目标以及保护等级的不同对内部网络进行划分,实现不同强度的安全保护。存在的安全隐患u整个内部网络系统被划分为一个大子网,经常大规模感染网络病毒,同时容易产生网络阻塞;u没有将内部网络系统按照保密需求划分为不同等级,经常导致敏感信息被窃取;u某些保密等级较高的计算机能够随意访问外网;u外部网络能够通过网关中转后到达某些保密等级较高的计算机。我们帮您解决u系统可将网络中的计算机按照管理需求划分成多个虚拟安全域,实现内部网络的分域分级管理;u同一个安全域内的计算机可以相互访问,非同一个安全域的计算机则不能相互访问,只有在获得管理员授权的情况下才能建立信任关系,实现网络连接;u在保障网络统一维护的前提下,通过虚拟安全域的划分,单位内部不同职能部门之间的重要敏感数据可以实现有效隔离;u能够禁止某些保密等级较高的安全域终端访问外部网络;u能够禁止外部网络主机通过多次中转后达到内部网络。)