ccidnet????

出版日期:2004-09-27 总期号:1351 本年期号:72

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华南专刊
华东专刊
西北专刊
西南专刊
东北专刊
中国信息安全
中国安防超市
 网御IDS助税务打造全方位纵深防御体系

联想信息安全事业部 王宇


  税务代理和大型企业直接连入税务业务系统结构

  

  目前,整个税务的安全系统建设越来越复杂,包含的安全产品越来越广泛,给安全系统的管理造成了很大的局限性。

  典型环境安全威胁分析

  以某省地税为例,其网络信息系统由两部分组成:中心网和分散局域网,网络之间通过通信网络连接。内网当前的拓扑结构为一平面结构,众多的内部服务器和桌面机都处于同一安全等级,对于内网的安全防护基本是没有的;对于外部网络,已经部署了身份认证、防火墙和防病毒软件。

  针对该税务网的应用情况,联想专业安全人士经过系统的安全评估,分析出该税务系统的安全风险主要包括:

  (1)信息量大,种类繁多,应用复杂,不同种类、不同级别的信息对不同的用户有不同程度的保密需求。

  (2)数据分布于全省多个地市管理域内,使得保障信息保密性的设计与实现变得异常复杂,要求系统具有统一的身份认证机制,适应税务系统分级、多管理域的管理模式。

  (3)来自外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击,造成网络或系统服务不可用、信息泄密、数据被篡改等破坏。

  (4)来自于内部网络维护管理人员以及与税务系统相关的第三方厂商由于误操作或者蓄意行为而产生的各种威胁。

  此外,还有有害信息(如病毒等)的传播等、系统软硬件故障造成的服务不可用或者数据丢失、自然灾害或战争的物理破坏等。

  另外,根据该省税务系统的业务发展需求,在今后业务发展之后,会出现税务代理和大型企业需要直接连入税务业务系统,实现数据交互,这种情况下的连接方式如图所示。   建立全方位的深度防御体系

  为了实现全方位的、纵深的安全体系建设,该省地税已经购置了身份认证、防火墙和防病毒产品,但是仍然存在如下问题:网络运行异常、来自网络内部的攻击、无法保护重点服务器。

  深度防御体系的一个基本原则,是防止计算机攻击渗透网络,并有效地响应攻击以减轻其带来的危害。深度防御体系中的边界保护通常表现为防火墙和VPN的方式,这些方式可以有效地阻挡来自边界以外的攻击,但是对边界内部用户的攻击行为却无能为力。防火墙并不会检测内部用户的行为,它所防范的侧重点在于来自外部的威胁。

  IDS是边界防御的一个重要方面,联想将IDS设置在客户机和服务器通信路径的中间,这样的方式使得IDS可以接近实时地进行广泛的分析,以便检测发生的攻击。

  一个网络IDS只能看到它所在网段的网络流量。只要网络IDS被设置在关键网段,它就可以测量对重要系统和应用采用安全保护机制的效果。在一个边界环境中,有很多地点都应该考虑配置基于网络的IDS,联想为该省地税提供的IDS部署方案如下:

  在重要服务器所在网络上配置基于网络的入侵检测系统,同时定义重点服务器安全保护策略。

  与外部网络连接的网络出入口处,配置基于网络的千兆入侵检测,及时检测和阻止外部攻击。

  在关键的业务系统主机上,为防止主机入侵检测系统对主机的性能影响和软件冲突等问题,不建议安装基于主机的入侵检测产品,而是在其所在网络上安装基于网络的入侵检测产品。

  在总信息中心部署千兆IDS,同各分支节点IDS协同工作,全面掌控网络攻击与防护情况。

  网御IDS打造全方位纵深动态防御体系

  入侵检测的最终目的是阻止攻击行为,对攻击的过程进行回放,并对已经造成的攻击后果做相应的恢复,从而形成整体的安全策略调整。但如果单纯依靠入侵检测自身的阻断功能,必然会对入侵检测的效率造成影响。入侵检测需要结合其他安全措施形成纵深动态的防御体系,网御IDS可以和防火墙及其他安全设备形成联动的安全防御体系,这样在利用防火墙自身优点提高防火墙应用效率的同时,也使入侵检测系统极大发挥其功效。

  联想通过网御IDS强大的集中监控与入侵管理功能,帮助客户建立一个立体的IDS防御体系,中心IDS与各分支IDS协同工作,信息共享,实现了控制统一、管理统一、策略部署统一。

  同时,它还提供全面翔实的网内行为监控与回放,使管理员很容易监控网内用户的各种操作,并很容易进行记录和取证。这样可规范网内用户的行为。

  它提供重点服务器定义与实时监控功能,通过数据优先处理、策略实时监控等方法,来定义网络内指定服务器和主机。这样,一方面提供主机IDS的功能,另一方面又避免主机IDS固有的资源竞争的缺陷,保证服务器正常稳定地运行。

  此外,联想网御基于自主知识产权的LEADER入侵检测引擎,采用多种监测技术的融合和策略再分析等检测方法,准确、高效捕捉各种攻击行为的蛛丝马迹,进行深入细致分析,保证各种来自内、外网的复杂攻击和深度攻击的完全检测和准确报警,同时与防火墙等安全设备互动响应,阻断攻击行为,实现实时入侵防御。

  在防火墙、防病毒和身份认证产品保证阻断大部分网络外部攻击和静态攻击之后,入侵检测产品真正实现税务网络对内对外全方位的、静态动态一体的纵深的安全防御体系,同时大大加强了税务网络中行为监控、统一管理的能力,为客户在降低成本的同时加强了网络安全防御能力。