ccidnet????

出版日期:2005-04-25 总期号:1406 本年期号:29

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
东北专刊
华东专刊
华南专刊
西北专刊
中国信息安全
 奥斯卡之经典大片篇



片名:网新易尚VPN 解决方案

主演 网新易尚防火墙

出品 北京网新易尚科技有限公司

剧情梗概

目前企业所关注的是不论连接距离近在咫尺,或是跨越地域国界,在把公司的业务资源与核心信息连接时,可以确保公司信息资产的安全吗?现在,借助于虚拟专用网(VPN)产品,获授权用户不论身处何地,都可组成虚拟工作组,交流重要信息并进行在线商业交易,不用担心信息传输的安全问题。

防火墙也可以同时提供VPN功能,使信息连接的安全成为可能。对于寻求通过防火墙平台进行远程接入,和端到端的VPN连接的企业来说,这套方案提供最佳的功能和性能。完整的防火墙和VPN技术应用方案降低了公司的维护成本,它能够使公司的资源达到最大限度的利用,为公司的发展带来诸多好处。

成本的降低

由于企业只需向本地互联网服务供应商 (ISP) 缴付网络连接费用,便可让雇员远程接入企业网络,尤其针对地域上分散的公司和企业能够大大减低用于长途电话上的高昂开支。并且,强大的VPN技术能够保障端到端的连接,这样一来就减免了每月大笔的费用支出,也消除了经常因设备安装而带来的时间上的延误。采用VPN, 公司/企业中当前使用的Modem Pool将永远退休!

整合互联网

私有网络连接互联网不必对私有网络去做配置上的调整。专用 VPN 技术支持公共互联网安全协议。安全应用和网络功能的集成,就意味着它能兼容下一代IP产品,也可最大可能地实现网络资源的可用性。

关于易尚的VPN

风险管理中心系列产品工业标准的VPN在两个易尚网关防火墙保护的网络或易尚网关防火墙与支持 IPSec、PPTP或L2TP的第三方VPN保护的网络之间建立加密流量传输隧道。VPN隧道终止后,易尚网关防火墙自动加密VPN流量,并发送内容穿过反病毒引擎。

VPN功能包括:

支持IPSec,ESP安全隧道模式;

硬件加速加密IPSec,DES,3DES;

HMAC MD5 或 HMAC SHA认证和数据完整性;

自动IKE和手工密钥交换;

通过第三方操作系统支持的PPTP建立VPN连接;

通过第三方操作系统支持的L2TP建立VPN连接;

IPSec和PPTP VPN穿越使你的内部网络的计算机或子网能够连接到互联网上的VPN网关;

IPSec NAT在没有被数据传输途径NAT设备阻断的情况下建立IPSec隧道;

支持HUB-and-Spoke 星型VPN,该功能允许在分支机构与总部之间容易的建立VPN隧道,这样减轻了管理员在许多分支机构与总部之间维护需要安全通讯的VPN隧道。


网新易尚VPN结构示意图

片名:安氏SOC

主演 安氏SOC

出品 安氏互联网安全系统(中国)有限公司

剧情梗概

安氏互联网安全系统(中国)有限公司(Information Security One(China) Ltd.)是信息安全领域具有领先地位、在中国发展成长的国际化信息安全公司。自成立以来,安氏始终致力于本土化自主信息安全技术的研究与普及,并不断发展壮大。安氏公司在电信、金融等重点行业率先推出领先的全面性安全管理方案,专注于为客户提供应用系统的信息安全全面解决方案服务与产品,拥有世界顶尖的信息安全核心技术和成功的研发与服务经验。在中国电信、金融、政府、电力、ISP/ICP等行业拥有极高的声誉与广泛的用户

安氏SOC的理念

和体系架构

安氏SOC系统的主要处理流程遵循了安氏提出了P2DR模型,包括了对各种安全解决方案所产出的数据进行收集,在此基础上通过分析、关联进行过滤和简化,转化为用户真正可管理的信息或知识,并帮助用户在安全知识的指导下,可对此及时采取有效的行动(响应),提高系统的安全度。这些的处理流程遵循了安氏所提出的基于时间的动态安全体系P2DR(参见下图),也满足了安全的可管理性。与以往的防火墙、IDS是在产品的层面实现P2DR的模型不同的是,现在SOC在整个企业层面实现了P2DR模型,并不是仅仅其中的一个环节,并且将自动化和智能化加入进来。SOC实际实现了一个总控中心的功能。

安氏认为,一个良好的完整的动态安全体系,不仅需要恰当的防护(如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(如入侵检测、漏洞扫描等),在发现问题时及时进行响应,同时整个体系要在统一的、一致的安全策略的指导下实施。这样P2DR形成了一个完备的闭环自适应体系,通过合理地实施P2DR,可以帮助建立有效的动态安全体系。

安氏SOC的体系架构

在具体的实现方面,安氏SOC解决方案提供了一个四层结构的体系,这四层结构是:被监控的资产、事件收集层、安全管理平台和用户终端。

企业中存在的各种资产可以提供大量的安全信息,特别是安全产品产生大量针对性的安全信息,每种安全事件的存储格式和结构都不同,由事件收集层对这些事件进行统一收集且根据可定义的规则进行关联分析,并进行存储。安全管理平台分层次地对资产的漏洞和风险进行统一管理,并根据资产信息和事件收集层收集的安全事件做影响性关联分析,将真正威胁资产安全的信息通过统一的界面直观地展现给用户,并通过可配置的响应模块作用于被监控的网络和资产。用户可通过统一的界面,在资产视图的基础上定性地了解安全状况,并可进一步查看具体的安全事件和相关信息;对安全设备和响应模块进行统一配置;对安全知识进行检索查询等。


P2DR体系示意图

片名:永不间断地自防御网络

主演 Sygate 安全策略保证系统

出品 Sygate技术公司

剧情梗概

某基础电信运营商省级分支机构,经营的电信业务种类包括:移动通信(GSM和CDMA)、本地电话、国内国际长途、数据通信、IP电话、互联网、无线寻呼及网络元素出租等。公司拥有众多的市、县两级下属分支机构,这些分支机构远程用户需要访问公司总部网络。用户网络拓扑如图所示。

用户面临的问题

用户内部网络连续两周出现间歇性瘫痪的症状,平均每天瘫痪4次左右,每次时间长达几个小时。症状较轻时,网络尚可联通,但网速异常慢,让人无法忍受。症状较重时,则网络彻底瘫痪,子网之间均不可达,且同一子网内丢包率很高。

用户内部细分了40多个VLAN,上面仅节选了其中5个,简单统计我们就不难发现在10,12,16,18,20,22这几个时间段流量出现异常,以上时间段间隔很有规律,流量统计在600M—1G范围以内。

用户要实现的目标

因为这次网络瘫痪时间长达两周,严重影响到用户业务网和办公网的正常运行,牵涉众多部门。所以关注领导的层级越来越高。分公司从各部门抽调骨干人员组成了应急事件响应小组,且下达命令各部门须无条件配合,要求在3天之内找出原因并彻底解决网络故障。

网络运维部在前二周内通过排查,基本上排除了如下原因:

1. 在上述时间段,并没有海量业务数据需要传送;

2. 网络会自动恢复稳定,内部路由表无可疑之处,路由追踪也没有出现过循环,排除三层路由问题;

3. 瘫痪前后,网络拓扑结构没有变动,不太可能是交换机循环。断开部分交换机连接,强制Spanning Tree重新生成,网络状况依然没有改善,排除二层交换机问题;



4. OA、计费、代理服务器,防火墙,路由等设备工作正常,且CPU负载不高,排除硬件性能问题;

5. 升级并检查网络设备的IOS版本,防止针对CISCO漏洞的拒绝服务攻击,网络状况依然没有改善;

6. 因全网面积瘫痪,排除某块网卡或设备故障给网络带来的负面影响;

7. 发现SQL蠕虫,强制给所有的MS SQL2K打补丁,并卸载与业务无关的SQL数据库,问题还是未能解决。

Sygate 的解决方案

用户尝试了众多厂商方案没有达到预期的效果,最后通过有类似经历的用户了解到Sygate。Sygate在最后三天开始介入。

所有主流交换机厂商都选择Sygate来解决网络端点引发的问题,例如蠕虫或者疯狂下载引起的网络流量到达600M时,就到达了一个警戒阀值。绝大多数千兆交换机在超过该临界值后都会出现涌堵和瘫痪的情况。所以当Sygate工程师看过流量采样图后,基本确认是蠕虫惹的祸。

第一天

因为Sygate客户端有HIDS模块,能识别并阻断常见的网络型病毒与蠕虫。所以与用户协商在流量异常的VLAN中分别部署2到3个Sygate客户端,在整个分公司内覆盖50个点,形成一个分布式IDS的架构。很快在中央管理服务器上,就接受到客户端递交的大量入侵检测的事件日志。排名前几位的有冲击波、震荡波、五毒虫、NetSky和Mydoom等。

利用Sygate报表系统生成Top 20个攻击源的报告,安排人手现场排查。排查结果令人震惊。例如在营业终端网段,几乎所有的机器都感染了五毒虫。五毒虫在每台机器上至少复制了1000多个副本,即使利用专杀工具全盘杀毒至少也要30分钟。

第二天

根据Sygate实验室的分析,即使一到两只蠕虫,在疯狂发包的情况下,都能够瘫痪桌面交换机乃至楼层交换机。由于全网统一杀毒非常困难,且逐个端点杀毒的时间太长,采用病毒治理的方法不可能在剩余的两天时间内完成领导的要求。于是Sygate建议分两步走,首先在网络端点上对病毒进行隔离,杜绝其对网络的冲击。其次再谋求根除病毒,并修复系统漏洞。



由于Sygate客户端有主机防火墙的模块。利用该模块可以做应用程序控制,以及连接控制。Sygate系统还有自学习的能力,它能够自动发现网络中所有的应用程序。利用这两个功能,我们在中控台上轻松制定出一个网络程序黑名单,将所有学习回来的蠕虫及病毒列入其中。黑名单中的程序将失去访问网络的权限。这样即使安装有Sygate的网络节点感染了上述病毒,这些病毒也被隔离在本地系统之上,无法扩散和影响网络。

有意思的是,五毒虫病毒包含大量与常见进程同名的二进制文件,例如IEXPLORE.EXE,NetMeeting.exe,COMMAND.EXE等。这些进程企图混淆视听,逃避安全方案中黑名单的制裁。Sygate特有的应用程序指纹自动生成功能,帮助用户死死锁定恶意程序,而不影响正常进程的使用。

同时我们还配置了规则,封闭了上述病毒使用到的一些端口。这个规则配合HIDS模块,可以起到双保险的作用,防止没有感染的终端被病毒入侵。

随后,应急响应小组以各种方式动员用户安装sygate客户端,在随后的两天时间里,很快部署了600多个节点,覆盖了网络中的所有的终端。网络最终恢复到稳定的状态。

第三天

最后一天,我们利用Sygate系统进行统计分析,总结事故的直接原因:

1. 补丁缺失严重,未打关键补丁的机器比例高大65%。例如,财务办公区所有Win2000仅打了SP3.机器买回来后,系统就再也没有更新过。

2. 不能上互联网的区域反而成了重灾区。例如计费网和OA服务器区。因为不能连接互联网,所以安全意识疏忽,系统也疏于升级。

3. 很多笔记本终端上收集到多个IP,原来他们在连接到内网的同时,还使用CDMA连接到互联网。因为CDMA的使用对于部分用户来说是免费的,这样导致交叉感染。



4. 大量的机器使用空口令,为口令蠕虫大开方便之门。

最后我们增加了如下规则:

1. 在内部架设SUS服务器,设定规则,所有Sygate客户端将重定向到内部SUS服务器,自动升级补丁;

2. 强制检查关键补丁,如果关键补丁缺失,开启IE,自动连接到内部安全网站的相关页面,帮助用户了解问题,并提供下载链接;

3. 一旦Sygate客户端检查到重大病毒进程在运行,自动分发病毒专杀工具到用户主机;

4. 给笔记本用户设置两套自适应规则,当在内网时,禁止其使用CDMA拨号适配器;

5. 启用了强口令,系统文件保护,禁止匿名访问等一系列系统加固策略。

方案实施结果

该用户在实施了Sygate安全策略保证系统之后,在很短时间内控制了多种病毒疫在网内的蔓延,并很经济地建立起一套双保险的补丁分发系统,和自动加固系统。

用户经历这次惨痛的教训,真正建立起一个应急事件的快速响应机制。从积极的意义上来讲,用户仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络。

片名:人大附中校园网整体安全解决方案

主演 方正安全解决方案

出品 方正信息安全技术有限公司

教育的信息化是当今世界教育改革的重要思潮之一,是时代的要求,也是素质教育的需要。

剧情梗概

位于北京市海淀区中关村的中国人民大学附属中学,自97年以来便大力实施现代教育技术工程:创设21世纪的现代化教学环境——以科研为龙头,以电脑网络为基础,以图书馆、电教中心为信息源,以数字化为模式,提高学校教育教学的档次和质量。经过数年的开拓进取、大胆实践,人大附中的校园网络建设已初具规模:以光纤连接校内五座主要建筑,所有建筑内全部布线,校园网覆盖整个校园,同时校园网向上通过光纤联入中国教育科研网和人民大学,并与因特网互联。期间,人大附中曾先后被教育部、北京市教委分别授予“全国劳技教育先进校”、“北京市科技示范校”、“全国现代技术教育示范校”、“全国绿色网络示范学校”、“ 北京市首批示范高中校”等荣誉称号。



挑战与需求

然而高速发展的信息化建设虽然为学校的现代化管理和教学活动提供了高速度、大容量、高性能的信息通道,但同时也使得人大附中的校园网络面临着新的风险,比如网上流行的黑客式病毒、黑客攻击、窃取密码、拒绝服务等,这些风险可能给校园网络带来诸如画面不能正常传送、信息被破坏等种种损失和不确定性,甚至直接威胁到正常的教育日程。因此,如何保证校园网络的正常和安全的运行是校园网络信息化过程中十分关注和强调的重要方面。



在这种信息安全的现实要求下,人大附中校领导对信息化建设和安全建设都非常重视。信息中心的领导决定进一步加强安全防范,搭建全方位的信息安全层次体系,切实做到:网络病毒的防范、黑客攻击的防范、网络入侵的防范、网络安全无漏洞、数据备份和恢复、有害信息的过滤等等。从而实现对非法入侵的安全审计与跟踪,保证业务应用和数据的安全性,杜绝各类病毒事件的发生和引起不必要的损失。

产品及实施厂商的选择

继河北承德钢铁、国家外汇管理局、中国长城资产管理委员会以及中铁六局等国家重点行业用户合作之后,方正信息安全技术有限公司凭借其在技术、产品和服务方面的优势,以及公司提出的“层层设防,集中控管,以防为主、防治结合”的校园安全策略及相应的整体安全解决方案从一干强手中脱颖而出,一举拿下了该项目。人大附中选用了方正信息安全公司的产品,其中包括方正千兆防火墙、方正百兆防火墙、方正熊猫千兆安全网关、方正VPN、方正千兆入侵检测等和整体实施方案。



实施方案

人大附中素来秉持“信息资源建设是提高教育效益最佳策略”这一宗旨,校园网上丰富的信息资源是校园网生机和活力的源泉,全校师生都可通过公共网站和部门网站向校园网加载信息。但是这种网络开放性也使人大附中的校园网暴露在不安全的互联网环境中,面临着各种各样的安全入侵威胁。加之作为北京市的一级附属中学,人大附中本身的重要地位和社会影响力,使其更容易成为各种势力和网络黑客攻击的对象和目标。经过对这种安全威胁的风险和对自身网络结构的特点进行分析之后,方正信息安全的资深安全顾问根据深层战略防御的思路,从网络边界到内部网络,全部采用了全方位的保护、检测、响应和取证。



客户反馈

经过一段时间的使用,中国人民大学附属中学信息中心的王主任对于方正信息安全的整体安全解决方案、售后服务以及安全响应等都感到十分满意。尤其是在人大附中的网络调整过程中,方正信息安全的安全工程师经常会加班到深夜,这种高度负责的敬业精神更是让王主任留下了非常深刻的印象!他表示将学校的网络安全的重责全权交托给方正信息安全,感到十分放心。



实施方案细节

1、防火墙方案

综合考虑人大附中校园网网络的现有情况和整体安全考虑,在人大附中的出口和部分关键网段上都部署了方正防火墙:在校园网与分校的的接口处设置方正防火墙FG3000系列和方正VPN,对校园网与分校网络进行安全防护;同时配置方正防火墙FG3000系列保护内网网段;此外,选用了方正防火墙FG8000 系列对Internet网与校园网之间进行隔离,其中关键服务器放在防火墙的DMZ 区与内网间进行有效隔离。经过整体的防火墙边界防护,大大提高了人大附中的网络安全级别,并且做到了高效的黑客入侵防护。

2、入侵检测(IDS)方案

  以太网的共享通信介质技术,在进行网络通信时,随着数据包在网络上的广播,任何联网的计算机都可以监听正在通信的数据包,因此存在着安全隐患。网络入侵系统利用以太网的这种特性,进行有效的网络监控,调整网络资源分配,及时发现不正常数据包,并根据安全策略原则进行处理,并互动方式提供给防火墙,更改防火墙应用策略,确保网络系统的安全。

入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。

充分考虑人大附中校园网的特点,方正信息安全的安全顾问建议用户在内网骨干交换机上部署方正入侵检测系统3000系列。从而更有效地检测校园网的外部攻击和内部攻击,对于那些经常出现攻击行为的IP地址,则将其加入的系统黑名单,拒绝该IP地址访问非授权网络和应用。

方正入侵检测系统在人大附中网络应用以后,起到了非常关键的作用,对网络入侵进行检测和响应;对重要网段进行实时监控,随时监控可能出现的各种攻击、入侵、可疑或其他非授权的行为,并实时报警;对检测出的风险级别最高的事件,除了及时报警外,控制防火墙中断该IP的TCP会话连接;定期检查自身网络的安全状况,提前发现网络中的脆弱性,及时采取调整或修补措施。定期对IDS记录的各种事件进行统计分析,根据分析的结果,及时调整安全策略,提升防护的效果。

3、安全网关方案

在关键的Internet入口处,架设方正熊猫安全网关(PAGD)8000系列,监控所有进出校园网内部网络的HTTP、FTP、IMPA4、NNTP、SMTP和POP3数据,并对上述数据进行病毒过滤,形成对校园内部网络的第一道病毒防护屏障。

人大附中校园网络实施完成方正熊猫安全网关PAGD解决方案后,在网络防病毒工作上取得了显著的实效,主要体现在以下几个方面:

1)实时扫描所有进出网络的数据,自从实施了该病毒解决方案后,网络中的用户可以放心地浏览Internet网页,下载软件,而且Lotus Domino服务器从外部接收的邮件完全无毒,真正从病毒入口处就杜绝了病毒的入侵,有效地保护了整个网络病毒安全。

2)PAGD的病毒特征文件缺省每日自动更新,确实有效地保证了它抵御所有新出现的病毒。

3)在PAGD中记录了所有的病毒事件日志,网络管理员随时可以进行查看,通过总结调整了其中的内容过滤,从而减低了带宽资源的总消耗量,更大地发挥了安全网关的效能。

4、VPN方案

同时,方正信息安全的安全顾问还在校园网与分校之间设置安装了方正硬件VPN设备;从而实现了校园网与分校之间的VPN加密通信。保证关键数据传输的保密性,方正VPN设备具有多个网络接口,是属于VPN家族的高端产品,曾应用在政府,能源等各个行业,在人大附中校园网和分校之间的应用,整体提高了人大附中的数据安全级别,将数据安全应用和边界防护有效的结合起来,受到用户的好评。

片名:内网安全新时空

主演 宝信eCop

出品 上海宝信软件股份有限公司

网络的发展给工作带来巨大便利的同时也带来了众多安全隐患,有关网络信息安全的问题日益突出。

剧情梗概

目前绝大多数的企业、学校、政府机构把安全重点放在防范来自外部的攻击,依赖于防火墙、防病毒、入侵检测等软件。尽管在所有介绍系统安全的文献中都会提及来自于内部的安全威胁,却鲜有针对内部安全隐患的防范工具与手段。2003年美国CSI/FBI提供的《计算机犯罪与安全调查报告》显示,80%以上的信息安全事件为内部人员和内外勾结所为。

尤其近几年来,随着个人技术水平的提高,IP地址非法占用和盗用、非法外联现象、计算机基本信息更新滞后、内网计算机黑客攻击行为等内网安全事故发生的频率急剧上升,结合其他例如新型病毒、垃圾邮件和黑客入侵等事件,给内网造成了越来越大的危害。

因此,从网络安全的现状以及未来的发展来看,都应充分意识到这样一个事实:来自内部的威胁已经成为危害网络安全的首要因素:内忧甚于外患,如何建立一个可信并可控的内部网络(Trusted & Controllable Network,TCN),其重要性是不言而喻的。

网络安全新时空

针对如何建立一个可信并可控的内部网络(Trusted & Controllable Network,TCN),eCop应用了以下安全技术:

(一)、通过应用协议簇,在内网自动发现所有在线的计算机,对计算机进行IP地址/MAC地址绑定、MAC地址绑定以及动态IP地址绑定,通过绑定确定计算机是否合法。

(二)、自动阻断没有经过绑定的计算机,例如非法接入或者擅自更改IP地址。阻断内网连接,从而保护内网不受侵害。

(三)、客户端管理(eCop功能之一)借鉴微软的客户端/服务器模式,通过客户端搜集政府、企业及机构关心的计算机基础信息(CPU、内存、显示卡、外部驱动器等),从而达到内网计算机基础信息集中统一的目的,帮助提高了内网的可控性。

(四)、实现对计算机的外部驱动器、串口、并口的开关控制,从而策略性地保护了计算机的外设使用,防止机密数据的流失。

(五)、定义内网计算机的非法外联行为,准确率达到100%。

(六)、监测客户端计算机的进程(Processes),通过中央控制器下发客户端策略,如果发现禁止运行的有可能引起危害的或者违反规定的进程,立即予以擒杀。

(七)、主动扫描内网拓扑,逐层发现内网的拓扑结构以及网络设备连线,发现C类子网的逻辑拓扑与物理拓扑的平均性能为120秒,帮助简便有效地管理网络设备和定位事件。

(八)、监视企业/组服务器关键服务(Key Services),不需要在服务器上安装任一组件,不受操作系统限制,可以对多种服务(Ftp服务,Apache服务,Oracle服务,SQL服务,TomCat服务,IIS服务和MySQL服务)进行监视,最多可达128个监视服务数。

eCop使政府、企业和机构避免内网安全隐患,并且已经在政府、企业和机构中开展广泛而有效的应用,树立了很多具有参考价值的典型案例。

案例简介

某区电子政务网是指以某区政府为中心,各委办局和各街道共同组成的,该网络包括涉密网(市公务网部分)、内部网(办公网)、外部网(公开网站等)三个部分。随着政务网网络基础服务平台的逐渐形成,政府大院内接入单位有40余家;院外接入单位达到近100家。其中内部办公网内网应用直接支撑外网应用,承载大财政、大审计,同时连接工商、教育、公安等纵向网络,构成完整一体化的电子政务应用平台,工商、税务、土地、规划、外贸、科技等与企业和老百姓联系密切的部门已经开始网上办公。2004年,为了更好的实现全市政务信息交换、资源共享、业务协同处理,全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务,区政府规划建设区电子政务专网平台。在建设该平台的同时,对内网安全提出了如下需求:

1. 对在线主机进行管理,需要及时发现上网的计算机,判定其是哪个区委的计算机以及它的合法性。

2. IP地址管理需求,存在IP地址随意更改的情况,还有人员自行购置计算机和网络设备,不登记即接入内网,影响了政务网的正常运行,信息中心需要有效的监控和管理手段杜绝此现象的发生。

3. 建立计算机和网络设备的基础信息库的需求。搜集各区委计算机的基础信息,例如硬件信息、软件信息、管理信息等。

4. 有策略地杜绝一机双网和一机两用现象。电子政务信息系统网络要求与外部网络完全隔离,严禁涉密网和内网与Internet网互联。

5. 控制计算机外围设备的使用。为了保证网络的内部安全,要求对运行网中各计算机设备的外围设备使用情况进行控制,禁止和限制使用软驱、光驱、USB设备、并行、串行口等外围设备,防止利用移动存储设备进行数据文件的拷贝。

解决方案

eCop融合了多种内网安全技术,满足了区政府电子政务网的内网安全需求,提供非常丰富的管理模块和理想的性价比,配置了eCopCM中央控制器以及eCop IPA IP地址管理代理端(作为eCop中央控制器的扩充网口),形成了eCop系统的分级部署结构。

eCop典型特点:

1. 融入众多内网安全功能:电子政务网选用宝信公司具有国际领先水平的eCop内网安全设备。几大核心功能IP地址管理(解决IP地址管理统一性)、客户端管理(解决计算机和网络设备的基础信息库建立,有策略地杜绝一机双网和一机两用现象以及控制计算机外围设备的使用),以及增强型的拓扑发现和关键服务监视功能采用大量的先进技术,实现内网的安全管理。

2. 高兼容与高可靠:作为软硬件一体化的产品,eCop具有标的安全操作系统(非Windows)不易遭受黑客入侵和病毒袭击,单台可以支持200至2000个客户端数量,可以按需要接入核心层、会聚层和接入层。

3. 良好的扩展性与强大的业务支持能力。电子政务网建设以采用的设备以及网络构架都具有良好可扩展性,可以根据后续发展的需求,在不改变现有组网方案的情况下,通过增加eCop中央控制器或者IP代理扩充网口可以管理更多的网段或计算机。

应用效果

eCop的应用帮助信息电子政务网实现内网安全管理:

可以查看实时的在线计算机,查询某台或者几台计算机是否在线,通过简易的绑定操作对计算机进行合法/非法接入的分类,绑定的地址将存入地址绑定数据库,可以手动阻断或者自动非法接入的计算机,达到了保护合法IP地址不受侵犯,有效管理内网地址使用的目的;建立了计算机基础信息库,通过eCop客户端汇报上来的计算机基础信息,管理员可以及时地了解基础信息情况,实时地查看计算机的状况,整个资产信息库的完整性前所未有地提高;实时监视非法外联情况,发现外联即可阻断外联计算机,管理员在信息中心就可以进行监视;实施了外部设备使用策略,通过eCop外部设备控制的实现,对计算机的外部设备使用进行控制,不必再低效率地进行管理。

通过eCop系列内网安全产品的使用,大力提升了电子政务网的内网安全的管理水平,走在国际先进管理者之列,使信息管理水平处于领先地位。


内网示意图

片名:省级电信SSL VPN应用案例

主演 绿盟科技安全咨询服务

出品 中联绿盟信息技术(北京)有限公司

剧情梗概

某省电信,承担着全省电信普遍服务、应急通信、党政专用通信服务。经过多年的 IT 建设,该省电信已经逐渐完善了网络系统及业务应用系统。随着业务应用和系统的不断发展和扩容,安全问题日益突出,安全问题主要表现在日常管理、安全技术、安全管理等方面。省电信决定建立一套完善的信息安全管理体系。

绿盟科技,提供全方位、多层次的专业安全服务,在安全领域拥有众多值得信赖的知识渊博、经验丰富的专家、成熟的方法论以及完善的服务体系,全面负责此项目中的信息安全管理体系规划和建设。

对于省电信来说,虽然之前有不少的“外脑”提供了多方面的安全建议,但这些建议相对而言都较为片面。省电信认为构建信息安全管理体系是必要的。

由于许多信息系统并非在设计时充分考虑了安全,在运行维护过程中依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持。

信息安全管理就是通过保证信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。

通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全。

该电信客户颇具慧眼,选择了绿盟科技安全咨询服务。在被问及选择绿盟科技安全咨询服务的原因时,该电信领导总结说:绿盟科技不仅能够提供包括安全管理和安全技术在内的全方位解决方案,并且非常注重管理体系和技术体系的融合;此外,绿盟科技在安全咨询和项目管理方面还拥有成熟的方法论、完善的服务体系、先进的安全产品以及知识渊博、经验丰富的安全咨询团队。同时,绿盟科技还将先进、完善的管理、技术知识和丰富的实践经验传递给公司的技术人员。

在项目实施过程中,绿盟科技参照ISO17799/BS7799国际安全标准,在调查、评估和科学分析的基础上协助省电信构建了一整套完善的信息安全管理体系。服务内容包括:安全现状评估、风险管理、安全策略创建、安全策略实施、安全意识教育、安全产品选型建议等。

绿盟科技提出的信息安全管理体系的基本组成部分可以分为四层金字塔结构,最上层是总体指导方针,第二层是安全组织体系,第三层是涵盖物理、网络、系统、应用、数据、开发、培训等安全策略,第四层是安全管理制度、操作规范和流程。

在信息安全管理体系设计时,绿盟科技也考虑到如下的因素:

安全性

设计安全体系的最终目的是为安全工程提供一个可靠的依据和指导,保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的可理解性、完备性和可扩展性。

可行性

设计体系不能纯粹地从理论角度考虑,设计安全体系的目的是指导安全工程的实施。

高效性

在设计安全体系时必须考虑系统资源的开销,要求安全防护措施本身不能妨碍信息网络系统的正常运转。

可承担性

安全体系从设计到工程实施以及安全系统的后期维护、安全培训等各个方面的工作都是由对象单位来支持的,单位要为此付出一定的代价和开销。在设计安全体系时,必须考虑单位的实际承受能力。



绿盟科技认为安全策略重在落实,而落实重在意识的转变。当前信息安全管理体系执行中常见的现象是:

制度简单,内容不全

交叉重复,混乱无章

厚厚一本,无针对性

悬挂墙壁,应付检查

锁在柜中,无人知晓

这些现象都是和建设信息安全管理体系的目的相背离的。

为了保证省电信信息安全管理体系落实到位,绿盟科技推荐了如下执行建议:

建立完善的信息安全管理组织体系

建立信息安全巡检制

制定可操作性的管理规范

制定针对性的管理规范

与组织文化结合的管理方式

从松到严、从少到多的管理要求

制度、规范等的定期维护

安全管理平台的集中监控

安全服务商的定期安全服务

为了更好地落实,该电信信息安全管理体系计划通过BS7799标准认证。此外,该电信还将建立安全监控中心,以全面贯彻整体安全管理的理念。

片名:USB KEY构建虚拟专用网

主演 飞天诚信USB Key

出品 北京飞天诚信科技有限公司

剧情梗概

随着社会各行业全面的信息化,VPN建设也如雨后春笋,由此带来的信息安全问题也成为当今不可忽视的课题。为了保证信息安全,决策者在VPN网络建设之初,常常就会不惜重金花在购买防火墙,防病毒软件,等相关的软硬件设施。这一切措施旨在保护信息系统的数据安全。何谓安全,就是指有相应权限的人员可以接触和操作相应的数据,任何人无法接触到未被授权给他的数据。然而,信息系统中的数据终归要为人所用,如果有人伪造了相应权限人的身份,那么投入再多的安全防护体系一样形同虚设。因此用户身份认证系统是VPN安全体系的第一道关。

另外在应用中的数据传输,如何保障数据的完整性和不可否认性,这也是衡量VPN建设成败的关键因素之一。

何为USB Key技术

USB Key的产生不过短短四五年,这主要是网络的发展,基于网络的各种应用不断改变着我们的生活,但由此提出的网上身份安全如何有效识别,由此诞生了USB Key,有效地解决了身份识别的问题。

USB Key是一种USB接口的秘密数据存储设备,它具有以下特点:

具有硬件PIN码保护

每一个USB Key都具有硬件PIN码保护,PIN码和硬件构成了用户使用USB Key的两个必要因素,即所谓“双因子认证”。用户只有同时取得了USB Key和用户PIN码,才可以登录网上银行系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。

带有安全存储空间

USB Key具有8K~64KB的安全数据存储空间,可以存储数字证书、用户密钥等秘密数据,对该存储空间的读写操作必须通过程序实现,用户无法直接读取,其中用户私钥是不可导出的,杜绝了复制用户数字证书或身份信息的可能性。

硬件实现加密算法

USB Key 内置CPU或智能卡芯片,可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。

北京飞天诚信科技有限公司作为专业生产USB Key的提供商,公司始终以技术为核心,引领USB Key的发展,是国内第一个推出USB Key的厂商,通过几年来的发展和积累,形成了以自主知识产权的高中低端的Key。几个月前推出了全国第一款32位大容量无驱型高速Key,使得VPN的构建无论是采用何种认证方式,飞天诚信都有相应的产品满足VPN安全的需要。


飞天诚信科技USB Key示意图

片名:给高端网络以核心安全

主演 联想网御超5防火墙

出品 联想网御

剧情梗概

近日,联想网御超5防火墙打破国外垄断,以无可争议的技术性能和价格优势中标南方某电信公司。在这次与国外品牌正面交锋中,联想网御超5防火墙以综合表现高出国外竞争对手40%的绝对优势脱颖而出,打破了国外品牌在高端客户关键业务上的长期垄断,显示了联想信息安全技术已经与国际尖端水平接轨。

电信运营商以及各行业宽带网络的建设目标是建立一个可运营、可增值、可管理的宽带网络,以获取更高的网络带宽资源,促进网络增值业务繁荣发展。随着数据、语音、视频等多业务需求与日俱增,用户对带宽及网络应用服务质量提出了越来越高的要求。如何通过充分利用现有的带宽管理技术提高网络效率,有效地制止带宽的浪费,降低运营成本,提供满意的网络应用服务质量,成为电信运营商极为关注的发展方向。

网络的带宽处理能力很大程度取决于核心设备的性能,而作为核心安全设备的电信级防火墙,不仅需要保证安全,同时它还要提供强大的带宽管理功能,但不能成为性能的瓶颈。电信网络的实时性比较强,不允许出现因为设备的故障造成网络中断,因此在电信网络中加入防火墙的时候也必须考虑到这个问题。

经过对多家网络安全公司提供的产品解决方案进行评比测试,联想网御超5以其先进的技术领先于国外竞争对手,其关键数据十分出色,透明模式吞吐量100%,透明模式100%线速丢包率为0,防攻击性能测试100%。超5以高性能、灵活的高可用方案(双机热备、负载均衡、双链路等)以及强大的抗攻击能力,最终脱颖而出,综合表现比国外竞争对手的产品高出40%,获得了全票通过。新设备分别被部署在核心网络(Internet接入层)与分配层网络之间,用于确保关键线路上的数据与应用安全。

在上面的方案中,网络出口的两台联想网御超5防火墙同时处于工作状态,同时可采取集群工作模式,因此能够自动检测防火墙故障,并且具备会话保护技术,保证某一台防火墙一旦发生问题后,其上的网络流量负载可以迅速切换到其它防火墙上,而用户丝毫不会察觉到瞬间的服务暂停和延迟。从而保证提供系统7×24正常运行的高可用性。

联想网御超5防火墙满足客户的现实和发展需求。它全面支持主流互联网协议,包括IPv6核心RFCs、路由聚合和路由重新分配、差分业务等。在基础网络指标,如可扩展性、可用性、灵活性、可管理性、强安全性方面,联想网御超5防火墙都提供了世界一流的技术,并展现了独一无二的先进设计思想。

在招标过程中,该电信公司表达了对安全设备之总体拥有成本因素的重视。因为网络系统的安全优化是一个长期、渐变过程,其IT投资及收效应可以预期,或在可接受的投资回报(ROI)平衡点附近。该电信公司相关项目负责人表示:“我们非常谨慎仔细地考察了许多国内外厂商,综合了各方面的信息和数据,最终联想网御以无可比拟的技术优势和强大的品牌和完善的服务打动了我们,赢得了这个项目。”


联想网御超5防火墙拓扑图

片名:为银行邮件系统护航

主演 安全的邮件应用环境

出品 美讯智

剧情梗概

随着信息时代到来,电子邮件在人们的生活中扮演越来越重要的角色,许多企业、单位进行的内部文件沟通、外部业务往来更加依赖于邮件系统的正常运作。但正像互联网一样,电子邮件的广泛应用带来不仅仅是方便、快捷,随之而来的安全问题也一直在困扰着广大用户,这就使邮件系统的安全以及信息传递内容的管理变得极为重要。然而,如果企业资源不断地遭到病毒程序、垃圾邮件、非法内容的侵犯,就会极大干扰企业正常运作,严重时,上述不法侵害还会造成邮件系统的瘫痪,泄漏企业机密信息,甚至损害企业的信誉,导致企业陷入法律纠纷。

金融行业应用背景

金融行业是网络应用较早,网络应用内容比较广泛的行业之一,目前越来越多的安全问题已经开始让各大银行对信息安全问题给予了更多的关注。各大金融机构一般采用“大集中”的方式部署内部的电子邮件系统,即全国的邮件服务统一由总部管理,但也有一部分按地区进行划分。由于大部分金融机构没有给予邮件安全问题足够的重视,所以一般没有部署邮件安全产品。所以,垃圾、病毒邮件以及针对邮件系统(SMTP)的网络攻击等问题,一直困扰着各大金融机构。

垃圾邮件和病毒邮件较多,特别是在病毒爆发期,大量病毒邮件单纯靠防病毒系统进行过滤已达不到性能要求,需要部署专业的邮件安全产品进行防御。特别今年上半年是病毒、垃圾邮件的多发期,邮件病毒、垃圾邮件的问题已经严重影响到电子邮件系统的正常工作,并且,任何信息安全漏洞问题,对于金融行业的破坏都将是毁灭性的。我们可以设想如果某家银行的重要邮件系统帐号被冒用,那后果将不堪设想。

美讯智为某银行总行提供安全的邮件应用环境:

该银行一直使用的是第三方研发的邮件系统。由于系统部署较早,所以没有提供邮件安全功能,长期以来邮件用户一直受到垃圾邮件等问题的困扰。2004年,为了保证内部电子邮件健康、安全的使用环境,该银行总行正式采用了美讯智邮件安全信息网关SMG,并采用了双机的集群及负载均衡部署方案。在使用防病毒邮件过滤策略和防垃圾邮件过滤策略以及防御非法邮件的策略后,绝大部分无效邮件被有效过滤。特别值得一提的是,SMG不但彻底解决了垃圾、病毒邮件问题,同时由于SMG将邮件系统与外界进行了隔离,无形中为该行的邮件系统增加了一道“邮件防火墙”。有关领导对使用效果非常满意。

客户评价:美讯智SMG产品是目前我们了解到的最好的邮件安全产品,为客户考虑的十分周到,同时他们的服务我们也非常满意。

片名:SSL VPN护航电信安全

主演 Array SP系列产品

出品 Array Networks

剧情梗概

某省移动公司是我国通信行业中规模最大的省级公司之一,也是广东省最大的移动通信运营商。拥有“全球通”、“神州行”、“动感地带”、“神州大众卡”等四大著名品牌和全球通俱乐部、VPMN集群网等六大产品线,为广大用户提供全方位移动信息服务。目前网络容量和用户数分别突破了4200万户和3000万户。

该通信公司信息系统面临的的问题

为了加强企业内部的的信息交流,提高工作效率,为公司的未来飞速发展提供更好的保障,该通信公司在现有OA、Mail系统的基础上开发布署了该通信公司统一信息平台系统。统一信息平台是该通信公司现有的应用系统的门户,同时也为今后的其他业务系统提供扩展接口。

随着统一信息平台的布署,以前各个地市公司的OA、Mail系统各自为阵的现象也得到了改善,全省二十二个地市公司的员工均可以通过统一信息平台进行互联互访。但是,随着信息的共享和互通,其负面影响也是非常明显的。接入统一信息平台的系统越多、访问人数的增加,对系统的访问控制的要求也越来越高。同时,由于统一信息平台是该公司现有应用系统的统一入口,就必须要保证移动的员工能够随时随地接入该平台,这也带来了对系统准入的控制与信息保密等问题

ArrayNetworks的解决方案和技术

该公司的应用环境比较复杂,既有向外发布的web资源,又有文件共享、Lotus Notes等应用服务,同时对于设备维护也要求通过VPN方式。要保证这些应用的安全性,采用SSL VPN技术进行组网是一种理想的选择。

Array SP系列产品将SSL VPN转换成一种安全高效的全球及全天候安全访问的解决方案。它在提供公司内部和外部便捷访问的同时,保证了网络和核心资源免受各种攻击。该平台采用了一套简化的集成方法,集网络安全和Web优化应用于一体,包括SSL VPN,身份管理,应用层防火墙,安全文件共享和非Web应用支持、网络层VPN等多种功能。

Array SP在该公司应用的主要特点:ArrayNetworks SP 在该公司的SSL VPN应用中主要解决两个应用,办公自动化应用与统一信息平台应用。采用应用程序代理( Application Manager)功能模块来实现对其OA系统和Portal 系统的访问。

该公司Portal系统和OA系统的认证方式采用RADIUS结合移动短信息平台为用户提供动态密码认证。经过严格测试,ArrayNetworks SP完全支持这种动态密码认证方式。

该公司Portal、OA系统的维护也需经过SSL VPN,由于设备维护访问方式比较复杂,同时要求远程安全接入、可以做到任何时间、任何地点的SSL VPN访问,进而进行设备维护相关操作,选用SSL VPN是一种很好的选择。通过使用ArrayNetworks SSL VPN提供的L3VPN功能模块完全可以满足。

方案给客户带来的价值

该公司对多家SSL VPN的产品测试比较后,ArrayNetworks的SSL VPN产品在满足应用安全接入需求的同时,其卓越的性能、多层次的安全防护及设备运行的高稳定性给该公司留下了深刻印象,最终选择了ArrayNetworks SPX3000产品进行该公司SSL VPN组网。

通过Array的SSL VPN实现该公司统统一信息平台系统的安全接入,可以帮助该公司提高生产力,提高工作效率。

由于客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。

SSL VPN的访问要经过认证和授权,充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接,从而限制了非法用户对内网的访问。

SSL VPN使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。

Array Networks SSL VPN方案为该公司提供了一种无客户端的VPN解决方案,客户端只需要具备标准的浏览器即可,甚至PDA终端都可以使用。对于使用者来讲,由于对浏览器操作要比专用的软件操作简单的多,也熟悉的多,所以客户端使用非常简单。

片名:为保险业构筑安全平台

主演 FortiGate病毒防火墙

出品 美国Fortinet公司

剧情梗概

由于VPN具有廉价、方便、加密性好、兼容性强等特点,所以越来越多的企业把它当作架构网络的首选。本文通过中国人寿保险南方某公司的VPN选型、实施方案来介绍带有分支机构的企业如何设计和部署安全解决方案。

选择技术路线

首先,从系统稳定性、兼容性、性价比三方面来考虑选择VPN设备。在考虑兼容性上主要看是否与Cisco、NetScreen等国际品牌的兼容。在稳定和性能方面,考虑采用专用加密芯片,软硬一体化。

其次,在设计和部署安全解决方案方面包括以下安全策略:

1、访问控制策略: 设置访问控制可实施限制源IP、目标IP、协议、时间等细粒度的访问。比如定时自动关闭VPN通道。对于那些人员变动比较大的部门,可设置IP和Mac绑定,限制其进入VPN网络的权限。

2、病毒隔离与清除策略:因为所建立广域网涉及的人员复杂,病毒防御策略会给整体管理带来巨大的工作量,所以方案选择建立病毒网关,将病毒隔离在局域网内,然后再进行查杀的病毒防护体系,效果较好。

3、网络防攻击策略:因为在整个网络里,VPN的网络连接是带宽的瓶颈,最容易拥塞的地方, VPN设备最好具有防DoS和流量控制功能。新型病毒可以制造出大量的垃圾流量拥塞网络,把网络攻击带进了内网。

4、认证策略:CA认证是目前比较成熟的技术,VPN网关与网关的连接通过CA数字证书来相互识别,而VPN移动客户端采用带数字证书的USB key的方式更为可靠易用。

中国人寿南方某公司所作的方案选择Fortinet公司的FortiGate病毒防火墙,提供防火墙、防病毒、入侵检测与阻断、流量控制、VPN等多功能,加上建立一套强化安全管理维护的制度,包括管理人员的管理制度,实现保密体系的安全性。

在总部部署两台千兆级FortiGate-800F做双机热备。在启动VPN功能同时,设置VPN隧道病毒扫描、流量控制、防攻击、访问控制等功能。总部连入Internet的带宽是10M专线。

在每个分支机构和移动用户部署一台百兆级FortiGate,设置与总部建立VPN通道。分支机构采用2Mbps ADSL接入Internet。

对于移动用户部署带有USB key的VPN客户端,接入Internet方式可以是ADSL,或通过公司局域网、或拨号上网用户。

移动用户和网关之间,网关与网关之间可通过CA证书方式认证,统一由一台部署于总部的CA服务器进行发放。

该方案IPSec VPN具有以下特点:

1、支持静态IP与静态IP,动态IP与静态IP,动态IP与动态IP之间建立VPN隧道。

2、支持多种加密协议:3DES、DES、AES。

3、支持Hub and Spoke功能,各个采用动态IP的分支机构之间可相互通讯。

4、支持OSPF over IPSec,实现了VPN动态路由,简化了路由管理。

5、支持VPN隧道断线重建功能。

安全功能

访问控制。通过对VPN隧道的访问控制,我们设置禁止除常用的协议外其他协议通过VPN隧道。并且设置VPN隧道只在规定的工作时间内开放。

防病毒。可以扫描HTTP、FTP、SMTP、POP3和IMAP协议的病毒。 在总部的FortiGate上启动防病毒功能,可保障过滤分支机构与总部之间、分支机构之间数据通讯中的病毒。

入侵检测与阻断。通过阈值方式发现问题,并且予以阻断。比如说,如果网络中Ping的数据包超过一定数量的话,则予以阻断。

流量控制。该设备可以基于IP地址、服务、VPN隧道和时间来控制数据的流量。这一功能在接入点达到上百的规模时是非常重要的。

该VPN安全方案目前已经部分地实施,能确保系统和各网点的稳定运行,并抵挡和拦截病毒攻击,管理的可控性好, 对降低保险业务运营和维护成本起到很好的作用。

片名:高端网络 核心安全

主演 联想网御超5防火墙

出品 联想网御科技有限公司

剧情梗概

联想网御超5防火墙可以满足客户的现实和发展需求。它全面支持主流互联网协议,包括IPv6核心RFCs、路由聚合和路由重新分配、差分业务等。在基础网络指标,如可扩展性、可用性、灵活性、可管理性、强安全性方面。

动静结合的集群保障技术

对电信运营商来说,他们需要防火墙设备提供连续不断的高性能服务。以分钟计的宕机时间就会造成数以百万计的财务损失,系统的服务中断越来越无法接受。系统升级所引起得服务停顿在商业运作上也不可接受。系统的配置修改和重新设置也需要系统具有冗余得能力。当系统的负载增加后,加入一个设备,系统就会自动在所有节点间实现负载均衡则更具挑战性。

网御超5千兆线速防火墙具有多项电信骨干网络设备的特性,如:支持链路冗余、支持N+1冗余电源、防火墙集群方式下网络不间断的任务转移。同时,提供集中安全管理和全面实时的在线监控。其中,防火墙多机集群负载均衡与双机热备份使整个防火墙集群系统达到极高的可用性和性能,使得每台防火墙的系统资源开销降到最低,从而确保防火墙系统自身极高的稳定性和可靠性,同时具有使用灵活方便的特点。

为电信运营的应用服务提供便利

网御超5防火墙采用NP 芯片,实现了新一代的防火墙体系架构。它通过网络处理器芯片的多微处理器、多层协议解析和强大的芯片级编程功能,保证在宽带环境下对数据包的全线速安全过滤,能够提供无阻塞系统带宽4G,并能够随时方便地进行系统升级和维护。其优秀的性能和软硬件扩展性与兼容性,把最大利益反馈给最终的网络安全用户。测试结果表明,千兆环境下数据流量非常大时,网御超5防火墙仍可实现64 字节数据包双工的线速安全过滤,丢包率为0。在3 个千兆和8 个百兆网口同时满负荷工作条件下千兆网口的延迟为10 微秒。在IP三层转发,吞吐量能够达到3.84Mpps(4.5Mpps×64字节数据包)。由于防火墙具有最小的数据包处理延时,使用户的带宽资源得到有效利用。

加强安全性使运营服务得到保障

网御超5千兆线速防火墙采用了先进的系统架构和完善的抗攻击模块,重新改写了TCP/IP 内核,增加了人工智能的机制,能够自动适应网络状况,自动将“恶意的”攻击数据流从“善意的”合法客户的数据流中过滤掉。可以实现对ICMP、UDP、TCP 的Flood 攻击提交频度检查与阀值分析,如针对ICMP Flood 完成过滤类型与代码、频度、包长检查,针对UDP Flood完成频度、包长检查,针对Syn flood 完成频度检查,提供高安全性和高可用性。网御超5千兆线速防火墙通过对数据流进行监控和分析并识别DoS/DDoS 传输流构成,发现并过滤即将到来的DoS/DDoS 攻击的数据包。它可以在第一时间发现DoS/DDoS 攻击并自动做出回应,使用户有机会免遭打击。


电子照镇流器框图

片名:打造“金财工程”

主演 亿阳信通安全保障体系

出品 亿阳信通股份有限公司

剧情梗概

亿阳信通围绕省财政厅“金财工程”网络安全集成与安全服务招标内容,并对省财政厅实际情况进行调研、分析和设计制定安全方案,作为省“金财工程”内部网络安全总体解决方案的一部分,主要解决省财政厅(省本级)的内部网络安全问题。并以此方案作为蓝本,结合各地市(县)的实际需求,制定省各地市(县)“金财工程”内部网络安全解决方案,用以规范、指导地市(县)级“金财工程”内部网络安全建设工作。

省财政厅网络分为涉密网、内网和外网,各网络之间完全物理隔离。省财政厅内网和外网不允许传输涉密信息,属于非涉密网络,不需要通过密级划分进行保护。

省财政厅信息系统安全保障体系

省财政厅政府财政管理信息系统是重要程度极高的内部业务工作网络,传输、处理政府财政工作中敏感信息。该网由省财政厅局域网络和所有与财政系统网络连接的局域网或单机互联而成。为了使系统免受各种攻击,高效地为财政预算系统、国库集中支付系统以及宏观决策等系统服务,信息网络在建设时应该建立完善的信息保障体系。

依据集中化原则,将建立专门的安全管理中心,实现对所有的安全产品和技术的集中管理和实现。

省财政管理系统安全建设方案

规划中省财政厅“金财工程”的网络将采用三层结构,分别为:核心层、公共区、接入层。

核心层部署省财政厅所有的关键业务系统数据库服务器。公共区部署部门级数据库服务器、全部的应用服务器、内部E-mail和Web服务器、安全管理平台、简单网络管理中心。接入层是和财政系统内部、银行、预算单位等外部网络连接的区域。财政厅内部网络的接入也在该层。

1) 采用网络分层结构,划分核心区、公共区和接入区。

2) 关键业务系统主机放置在核心层,做严格访问控制。

3) 公共访问区部署内网OA服务器、Web服务器、Mail服务器等,并建立系统安全管理中心,由防火墙系统、防病毒统、VPN系统、扫描器系统、入侵检测系统等安全产品的配套管理软件组成。主要实现对财政厅网络系统的统一安全管理和维护。

4) 对不同接入做严格的分类,并部署不同的安全策略。

5) 配置全网的防病毒体系。

6) 在核心层、公共区、接入区分别配置网络入侵检测体系。

7) 配置全网扫描系统。

8) 通过IP加密技术和防火墙技术实现骨干网和远程接入用户的安全接入,实现VPN功能。

9) 所有和互联网连接都进行物理隔离。

10)对业务应用和公共服务器在各自区域做备份和恢复。

11)建立安全管理体系。

12)建立安全服务体系。

片名:运营级网络DDoS解决方案

主演 东软全套安全解决方案

出品 东软软件股份有限公司

剧情梗概

片名:运营级网络DDoS解决方案

主演 东软全套安全解决方案

出品 东软软件股份有限公司

剧情梗概

据统计,目前运营商主要的威胁来源于:内部误用和滥用、拒绝服务攻击、外部入侵、病毒、各种灾难和事故等。其中,拒绝服务攻击对运行商的威胁正在变得越来越紧迫。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个运营级企业可以向客户承诺更为健壮、具有更高可用性的服务,也是整个企业的网络安全水平进入新高重要标志。在东软软件股份有限公司提供的方案中,他们主要针对防范DDoS攻击和蠕虫病毒给出包括安全服务、技术、管理、培训、响应在内的整体解决方案。

安全服务能力

东软作为中国软件行业市场的先驱,早在1996年就开始进行网络安全领域的研究,是中国较早推出网络安全产品的公司,在网络安全领域拥有雄厚的技术实力,积累了丰富的经验,同时培养出了一批信息安全专家。东软拥有丰富的安全咨询、安全诊断和评估、安全体系构建、安全事故应急响应、安全培训等的知识和经验,可以为企业提供严谨、周到、强大的安全技术支持和服务。目前,东软提供的安全服务有:安全评估服务、安全加固服务、安全培训服务、安全顾问服务、应急响应服务等等。

防范攻击的建议

从基本的加固工作做起

东软认为,和其他攻击事件一样,DDoS攻击事件的防御,同样离不开基本的加固工作。运营商更应该重视最基本的加固工作,技术人员平时至少要做好以下工作:

1. 操作系统安全修补、加固和优化

以Windows 2000/Windwos XP/Unix/Linux为主。

2. 应用服务安全修补、加固和优化

以Web、FTP、DNS、Mail服务器为主。

3. 网络设备安全修补、加固和优化

以路由器和交换机为主。

4. 病毒防范

以主机为主。

采用智能化的隔离设备

根据网络所处的地位、性质和作用的不同,运营商网络可以划分为不同的安全区域。在不同的安全区域之间需要采用安全技术来防范来自不同网络的DDoS攻击。

通常我们建议将防火墙甚至物理隔离设备设置在运营商网络的汇聚层,这样即有效的隔离了不同接入层之间的DDoS或者蠕虫攻击,更大大削弱了攻击强度,保障核心层的带宽资源的利用率。DDoS攻击特点是:DDoS攻击日益严重,追查困难;影响大,范围广;攻击方法多;蠕虫病毒的扩散也具有DDoS攻击特征。

目前东软的NetEye防火墙,以其流过滤体系平台,实现了这种智能防范的功能。东软防火墙能够针对SYN Cookie、特征识别、Randomdrop等多种算法进行防护,能够对SYN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各类DDoS攻击进行防护;同时,东软防火墙支持应用层检测与保护插件,可以针对大规模爆发的蠕虫等威胁提供自动防御。

增强网络流量监控机制

DDoS攻击从开始准备到发动攻击是一个复杂的过程,一般来说,它有一定的预兆。而整个网络的流量及协议统计数据对分析这种预兆会有很大的帮助。

针对大部分DDoS攻击都会出现流量变化的征兆,建议运营商必须首先采用先进的流量监控产品,通过对网络流量的侦听,发现网络问题,优化网络投资,改善响应时间,增强网络管理员的工作能力,从而最快地发现网络系统的意外行为,采用应对措施。一个好的流量检测分析工具可以建设全网统一的强审计系统,帮助网络安全管理员更好的查找和定位DDoS攻击的来源,极大地简化发现和解决网络问题的过程。

增强对新出现攻击的检测和追踪能力

预警对于防范DDoS攻击和蠕虫病毒的扩散尤为重要,尽早发现攻击,才会迅速采取措施,有效阻止攻击。

网络入侵检测系统是针对网络DDoS攻击及蠕虫病毒泛滥、内部人员对网络的违规使用、网络的长期健康运行无法有效保障等情况而开发的系统。他采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警,响应和防范。是防火墙之后的第二道安全闸门。入侵检测系统对保障网络健康具有重大的意义。东软依靠强大技术实力,本着全面高效,可靠易用的网络综合健康管理平台的设计理念,采用独特技术自主研发了入侵检测产品,已经在市场上获得了优异的成绩。

入侵检测系统同样应该部署在网络的接入层,这样可以很好的与防火墙协作,及时发现网络中的DoS或DDoS的攻击行为,并报警。

宽带接入用户的监控

宽带接入服务器(BRAS)位于骨干网的边缘层,可以以多种方式完成用户带宽的IP/ATM网的数据接入。对于宽带接入的用户,要利用BRAS现有的认证功能、用户管理功能、流量管理功能进行严格监控,包括宽带用户的IP地址或用户的帐户等等,而且要将用户身份和他的流量建立起一个关联,能够统计每个用户的流量及行为,区分出不同的安全等级用户。这样可以及时发现DDoS攻击并定位攻击源,便于网络管理员迅速发现并阻断攻击源。可喜的是,BRAS的发展趋势是将不再仅仅用来进行宽带的汇聚和基本的用户管理,同样要做动态的安全防护和智能的带宽控制。比如对于冲击波等对网络进行DoS攻击的病毒,要求驻守在IP网络边缘的BRAS能够提供预防。另外,思科发布的BRAS中支持内容过滤(CBAC)和基于网络的应用识别(NBAR),这对运营商网络安全建设来说无疑是一个喜讯。

建立网络安全联盟

建立广泛的互联网安全联盟,使不同的运营商之间,运营商与安全服务提供商之间能够相互配合,互相之间建设起一套预警系统,彼此通报新出现的攻击特征及防范方法。当有攻击事件发生时,可以迅速响应采取共同安全措施,共同保障运营商网络的畅通与安全。

员工整体素质的提高

不断提高员工的整体素质,进行持续性的安全培训。只有深刻了解网络攻击的原理,才能够对新出现的攻击迅速采取防范措施。

建立应急响应机制

通过与安全公司合作,建立运营商内部的应急响应机制,对突发事件有严格的响应流程,具体的应急响应内容参见“应急响应机制”。

加强安全管理制度的建设

我们说过,完善的DDoS攻击防御措施需要来自多方面的相互协作与配合,才能真正从源头阻止攻击行为的进行。因此除了技术上的措施以外,加强安全管理制度的建设也同样重要。

应急响应机制

应急响应机制是为防范DDoS攻击所必须要具有的。东软计算机安全事件应急小组NCSIRT(NeuSoft Computer Security Incident Response Team)成立于2000年1月,目前已成功做过多次应急响应服务,具有丰富的实施经验。NCSIRT通过应急响应服务,可以帮助运营商建立起自己的应急响应队伍,并且,在安全事件爆发的时候会协助此应急队伍分析、排查、处理问题。我们还特别为运营商的应急响应体制量身定制了一套应急响应流程,我们为运营商如何保证应急响应的实施资源提出建议,包括人力、设备、技术、财务等方面,然后对运营商应急响应方案的制定、测试和维护提出解决方案,最后以系统入侵事件的应急响应为例给出具体应急处理流程。其内容包括预先准备与计划、检测与分析事件、信息取证与追查、通告发生的事件、修复与加固受损系统、监控与审查系统运行状态、总结报告与更新安全策略、应急响应演练等。

安全培训

东软提供了多级网络安全培训内容,他们分别包括:高层培训(网络安全重要性、迫切性和安全前沿知识,先进安全管理手段及安全思想)、中层培训(网络安全知识,侧重针对实际情况的网络安全综合解决方案)和基层培训(全面的网络安全培训,使技术人员熟悉网络安全理论,并进一步掌握防火墙的技术原理、安装配置调试技能,独立胜任产品的日常操作维护,以便保障安全系统的良好运行)。



保障客户的安全防护

运营商网络的特点是不仅为公司内部服务,更多的是为广大用户提供网络服务。这一特点导致了攻击事件的来源往往有别于其他行业,即来自于运营商的客户。而“客户就是上帝”的理念使得运营商对于客户的安全问题一直“难以启齿”。建议运营商不妨转变观念,不要把对客户安全问题的建议当成是对客户的要求,而要把它当成进而转变成一种服务。具体有以下几点建议。

安全普及教育服务

先来调查一下身边的人,谁没有打过电话?谁没有发过短信?谁没有上过网?这三件事统统没有做过的人估计会寥寥无几。这说明电信运营商的业务和网络已经与全民的生活息息相关了。利用运营商庞大的客户群和网络平台的便利性,可以设置有奖问答栏目,其中设置安全专栏(当然可以设置很多有趣的栏目),用户以短信、电话、上网、视频等方式进行信息交流,这样既有利于增加新的业务收入,又实现了交互式全民安全普及教育。

为客户提供安全加固服务

针对零散用户和集团大用户我们有以下不同的建议。运营商可以成立自己的安全加固小组,负责对零散用户的加固;请第三方安全厂商协助负责对集团大用户的加固服务,先期可以作为业务合作的优惠条件,发展壮大以后也可以作为一种标准服务进行收费。

借助安全信息通告服务

每天世界上都有非常之多的安全信息产生,从主机系统或网络设备的漏洞,新的病毒的产生,或者某种新的安全产品的出现,都是作为系统维护和使用人员应该关心的事情。但是对于普通用户来说,无论从安全意识和技术角度来说,这都是一件相当困难的事情。而运营商拥有优秀的技术人才,众多的安全厂商合作伙伴,庞大的网络资源,要做好有用信息的收集和通告就显得更加容易和专业了。仍然是本着为客户服务的原则,运营商可以为客户量身定制所需要的安全信息,在获得安全信息之后,按照客户需求以及实际系统情况,及时通知并提供给客户相应的解决方案。

高度重视IDC托管主机的安全

运营商为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。托管的主机大都是高性能、高带宽的-简直就是为DDoS定制的,这就需要运营商保持良好的客户关系,只有在运营商和客户方充分配合的情况下,运营商的主机和网络才能变得更安全一些。



片名:GSN捍卫全局安全

主演 GSN全局安全网络解决方案

出品 锐捷网络

剧情梗概

今天的网络安全正遭受严峻挑战。病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。但与此同时,大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时,由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出,还会处处被动挨打。可以断言:面对复杂的安全隐患,这种“各自为战”的安全系统已彻底失去效力。

今天,网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。2004年底,业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御(自御)、自动修复(自愈)与自动学习(自育)等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,GSN不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。

GSN全局安全网络

总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。其基本原理和结构如图所示。

网络自动防御(自御)

面对复杂的网络安全行为,最有效的防御策略即是将网络安全防御技术应用于在整个网络中,而不是在单点进行网络安全的防护部署。因为攻击源可能来自网络的任何一处,并能迅速的扩散到整个网络当中。GSN提高了现有网络基础设施的安全防护能力,增强了终端用户的安全防护能力。



当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。安全管理平台(RG-SMP)将自动把安全策略下发到安全事件发生的网络区域,安全策略的执行者可以是锐捷网络联动设备或者安全客户端(RG-SA),根据安全事件的等级由安全管理平台(RG-SMP)判断是否需要将安全策略同步到网络的区域中,以实现全网安全。同时,安全管理平台会把针对这次安全事件的处理情况通知给用户终端,使用户能够及时了解到网络安全环境的变化。通过这个流程,网络可以对已发生的安全行为进行完全自动化的防御措施,从而保证用户网络在受到威胁时可以迅速做出联动反应。

网络自动修复(自愈)

随着网络连接点的不断增加,网络遭遇攻击的风险也随之增加。一旦网络遭受攻击,所产生的严重后果不仅在于破坏本身,灾难之后的系统恢复和调试同样消耗了大量宝贵的时间、人力和财力。GSN提供的自动修复(自愈)功能,即能够通过自动使受损系统得以恢复的方式为用户节约大量的IT技术人力资源,并保证即使在系统不断遭受攻击时,网络的大部分资源仍时刻处在正常使用状态下。

当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。此时用户终端上的安全客户端(RG-SA)会根据安全管理平台提供的信息自动连接到RG-RES安全修复系统上进行系统修复,修复期间系统会把受到访问控制的情况通知用户。自动修复完成,锐捷安全客户端会重新对用户系统进行评估,当用户系统安全评估完成以后,安全管理平台(RG-SMP)将通过允许用户进入网络继续工作。

网络自动学习(自育)

在常规的网络安全防护方案中,判断一个网络是否产生安全事件的标准经常是某个网络行为符合了安全隐患的特征,从而将针对这个行为发生一连串的动作。但目前往往对网络产生最大威胁的是未知的网络行为对网络产生的危害,当遇到此类的攻击以后,一般的网络安全方案将无能为力。而在配备GSN全局安全措施的网络环境中,GSN可以针对网络安全环境的变化不断调整和强化,有效协助网络管理员进行网络安全隐患的判断。

当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-mail和管理日志等方式通知管理员。同时GSN能及时地捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效的阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理,从而达到不断根据网络安全形势强化系统安全性的安全策略自动学习功能。

GSN应用价值和前景

GSN通过系统层面和网络层面相结合来有效的进行安全解决方案的部署。通过安装在安全终端的安全客户端和网络交换机、路由器等网络设备的配合,GSN目前可以实现对内部有线、无线网络的安全防护,同时可以针对关键区域的数据访问进行安全防护。

在内部网络中,GSN可以通过联动网络交换机对用户的网络接入行为进行有效识别,针对网络接入用户进行的安全策略设定,并对用户进行强制安全控制,做到防患于未然。而对于关键网络区域数据的保护,GSN可以通过将安全客户端和安全联动设备的有效结合,有效控制终端用户的网络访问行为。相应地,也能有效的对无线网络的安全性进行防护。

在具体到每一个用户网络的应用环境时,锐捷网络还将针对用户网络体系结构的分析,将可扩展性、网络性能、可管理性等周边因素都列入到考虑范围之内,在GSN架构上进行灵活机动的配置,协助用户开发出一个多层防御体系,进一步提升GSN的适应性。同时考虑到对用户以往IT投资利益的保护,用户可以分步实现GSN的整个架构,从网络的核心层、汇聚层或终端层面逐步采用GSN全局安全解决方案,而不影响到网络系统的正常使用。

欲了解更多信息,请登陆锐捷网络网站:www.ruijie.com.cn