1.项目建设背景
在国家“金土”工程的政策指引下,四川省国土资源厅已经完成了全省的“金土”一期工程建设,搭建了较为完善的国土电子政务内外网基础设施,取得了显著的成绩。在网络安全建设方面,四川国土也进行了相应的投资,部署了防火墙、IPS、网络隔离系统、终端防病毒等系统,但是整体安全水平依然有待提升。为此,四川省国土经过细致调研,提出了以下网络安全需求:
外网的监控和管理:外网既有日常查询互联网信息的功能,又是单位信息发布的重要出口,而外网出现故障的概率远远大于内网,而且由于用户使用频繁,外网的全网监控显得尤为重要。具体体现在:
- 外网的服务器实时状态实时监控,避免出现故障。
- 外网网络的运转情况、速度流量、安全设备的报警。
- 所有设备日志的综合收集和分析。
- 图形化展现全网运转状态,报告故障点,提高管理员发现问题解决问题的效率。
- 利用优化现有设备:调整IPS、防火墙的策略,提高规则的实用性,增强安全性。
- 需要对全网集中安全监控,而现在缺乏有效的手段监视、无法及时实时了解全网状态,监控所有设备的运转状况。
内网全网实时监控:一个信息化系统建成后都应该建立相应的自动化监控系统,而单位的信息化系统采用人工监控,无法及时发现故障和隐患,被动的等待问题和隐患的发生,而当故障发生的时候又无法及时、简单的查处问题,管理员一直处于被动救火的情况中,大量消耗本来就不多的人力和时间。内网终端的管理问题,具体表现在:
- 第三方维护人员接入控制、携带的维护设备的基准安全、操作审计问题:我单位时常会遇到第三方维护人员,如服务器、网络等厂商或代理商的人员携带个人笔记本进入我单位网络,而这些设备的安全程度无法估计,随时有可能在无意中破坏我单位的信息系统的安全性和稳定性,导致断网或传播病毒。而这些人员接入我单位后对服务器、交换机或其他设备进行操作,是否在安全范围,或是否对无关的设备进行了操作,以及当出现配置失误无法查出责任人等问题,一直对我单位信息系统的稳定和可审计带来威胁。
- 内网终端准入无法控制:就现在的情况而言终端只需要插入网线,配置IP地址就可以接入国土资源厅内网,这样对内网的威胁相当严重。
- 内网终端无法达到基准安全:基准安全是对终端的操作系统,软件等实现的最基本的接入安全,不能容忍某台PC机的安全等级降低威胁到整体信息系统的安全等级。
- 公用配置机无法审计操作:通过公用的计算机配置网络,数据库,服务器等设备的操作无法审计,出现问题无法回放,无法定位,导致问题无法回退直接影响故障的排除速度。
- 固定资产无法实时监控:计算机系统属于国家固定资产投资,而计算机的特点可以插拔配件的特性导致计算机的硬件容易遗失,目前无发实时监控计算机固定资产的遗失和更换。
2.安全建设整体解决方案
针对四川国土的上述需求,网御神州深入与客户沟通,并为客户制定一份完善内外网的安全建设解决方案,并得到了用户的认可。在这个解决方案中,最核心的就是为四川国土客户建立一套集成网络管理与安全管理的统一管理平台,分别部署在内网和外网,并在内网部署一套终端安全管理系统。
通过在内外网部署网御神州的SecFox统一管理平台,可以实现以下安全目标:
采用图形化界面显示国土资源厅外网、服务器、中间件、网站、网络、安全设备、DHCP服务器的运转情况,出现故障及时报警。今后还可以将机房、UPS、温湿度监控纳入到全网监控范围,实现从物理层、网络层、安全层、主机层、操作系统层的全部监控。
实时连续的监测网络设备运转情况(交换机、路由器)、流量异常、网线通断情况。
安全审计(日志审计):实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。还能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。对于集中存储起来的海量信息,可以让管理人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。
集中报警:采用短信,邮件,大屏幕显示等手段及时报警故障点和问题。
WEB页面防篡改:外网网站是我单位重要的信息发布平台,可以通过安全管理平台实现对外网WEB网页防止篡改。
借助统一安全管理平台,有助于省厅紧扣公安厅等级保护要求,在针对信息系统的监控和运行维护上增强管理的一致性,提高管理的流程化程度和合规性。
通过在内网部署网御神州SecFox-EPS终端安全管理系统,能够实现以下安全目标:
终端接入控制
采用IP地址+MAC地址+软件的方式实现对接入内网的终端控制,避免非法接入内网。
提升终端操作系统抵御病毒的攻击能力
网御神州SecFox-EPS终端安全系统内置了补丁分发系统,能有效的提高局域网内终端和服务器的补丁更新率,能实时的查看到补丁安装的情况,能手动导入系统补丁,一次性推送到所有桌面操作系统或服务器,提升操作系统抗攻击能力。
第三方维护人员的接入安全、审计需求
采用网御神州SecFox-EPS终端安全系统,对第三方厂商或代理商工作人员在接入网络时需要安装和分配相应的IP地址,使得所有接入工作的人员均必须通过管理员的审计和同意才能接入局域网内部,而在国土资源厅内网所有做的操作均能够恢复、再现、审计、甚至包括截图,有效的避免了违规或误操作的事故发展。
终端基准安全提升
由于内网和互联网物理隔离而内网确时有发生安全事故,那是因为内网终端的基准安全不够,当接入新设备或计算机时系统会强行的在后台执行基准安全检查,如果不符合安全要求的计算机,系统将会自动的在后台启动补丁安装程序、杀病毒软件分发程序、基本防火墙安装程序等,使得接入我单位的计算机均达到国家规定的基准安全。
解决公用计算机审计问题
单位的公用计算机多数是用于安装,配置,操作设备的公用计算机,这些计算机在使用时无法审计和回放使用者的操作,如果谁采用公用计算机对设备进行了误操作,无法知晓,而通过网御神州的终端安全管理系统,可以有效的审计到这些操作,及时的发现误操作或配置失误的行为。
固定资产的统计和监控
采用网御神州的终端安全系统,可以对计算机固定资产进行统计和实时监控,对发现硬件资产发生丢失、更换、故障的均能及时报警,通知管理员及时解决。
最后,经过公开招标,四川国土最终确定网御神州为其提供内外网的网络安全统一管理解决方案。而此举也表明网御神州的网管安管一体化统一管理平台在中国市场得到了越来越多客户的认可。
3.关于网御神州SecFox统一安全管理平台
信息时代的企业和组织生产经营活动越来越依赖于IT设施、IT部门和IT服务。伴随着信息技术、尤其是网络技术的不断深入应用,信息安全、尤其是网络安全问题日益突出。网络中既有网管系统,又有安管系统,之间相互独立,而实际上运维过程中遇到的问题既与网络有关,也与安全相关。
未来的网络发展趋势必然是网络与安全密不可分,很多网络故障都是安全问题引发的,而大部分安全问题都是透过网络传播的。因此,只有将网络管理与安全管理有机结合,才能满足中国用户的实际需要。而传统的安全管理平台、SOC(Security Operations Center)系统却对基本的网络和系统运行缺乏必要的监控。
在这种情况下,网御神州率先提出了下一代安全管理平台SOC2.0的概念,强调以业务为核心的、网管安管一体化的统一管理理念,并推出了SOC2.0时代的代表性产品——SecFox统一管理系统。
SecFox统一管理系统对IT环境中的所有网络设备、安全设备、主机和服务器、服务、应用和业务系统,以及机房物理环境提供一个全方位的管理平台,从业务的角度,进行统一的运行监控、统一的安全事件管理与审计、统一的风险与运维管理,实现业务服务管理、安全管理和运维管理的一体化。
SecFox统一管理系统从业务的角度对IT资源进行统一监控。借助SecFox的业务建模过程,客户首先将业务系统分解为各类IT资源,并建立一套针对这些IT资源的监控指标体系。然后,管理系统通过对所有指标的实时监测来表征业务系统的健康状况。客户通过业务监控界面就能全面掌握业务的运行情况,例如业务系统一旦出现故障,就能够快速定位到是构成业务的那个部分出现问题。
SecFox统一管理系统能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息,确保用户能够采集到所有必需的日志信息,避免出现漏洞。SecFox支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、内部私有TCP/ UDP等网络协议,以直接、或者借助软件日志采集器和硬件网络探针的方式收集日志信息。
对于收集到的所有安全日志和告警信息,SecFox统一管理系统通过归一化和智能日志关联分析引擎,协助用户准确、快速地识别安全事故,从而及时做出响应。SecFox在进行事件归一化的同时,还保留了原始日志记录,便于将来进行具有司法证据效力的调查取证分析。SecFox统一管理系统具有国内绝对领先的事件关联分析核心技术,申请了2项专利技术,拥有完全自主知识产权。
SecFox统一管理系统在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。系统可以通过电子邮件、SNMP Trap、派发工单、电话响铃、短信告警等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序,可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。
SecFox统一管理系统遵照《GB/T 20984-2007信息安全技术 信息安全风险评估规范》,实现了风险评估过程的定量化、流程化、例行化,并具备可操作性。SecFox统一管理系统的风险管理模块内置计算资产和安全域风险的量化数学模型,根据资产(安全域)的重要性、资产(安全域)的弱点严重性和威胁可能性,实时计算风险。
SecFox统一管理系统的事件处理流程遵循《GB/Z 20985-2007信息技术 安全技术 信息安全事件管理指南》的指导要求。借助SecFox统一管理系统的安全事件管理模块、告警与响应管理模块、工单管理模块和通告管理模块,系统能够协助用户实现事件的采集、分析、评估、响应、通报、提升、取证、上报、改进的全过程。
SecFox统一管理系统具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析;能提供实时分析、历史分析等分析手段;能对比统计的结果,分析数据的发展趋势;能将结果以图形方式(柱图、饼图、曲线图等)显示、打印;报告可用PDF、HTML、Excel、CSV或RTF等格式存档。
SecFox统一管理系统允许用户对报表生成进行日程规划,定期自动生成审计报表,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。
4.关于SOC2.0
业务信息系统的安全建设思路已经从过去的局部优化进入了整体优化的阶段。
对于当今的用户而言,真正的安全不再是简单的设备资产安全,而是指业务系统安全。IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载 的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看 待IT资源的运行和安全。如果把传统的以资产为核心的安全运营中心称为SOC1.0,那么面向业务的下一代安全运营中心就可以称作SOC2.0。下一代安 全运营中心(SOC2.0)理念的提出,将现有的SOC系统带入了一个新的发展阶段。
下一代安全运营中心(SOC2.0)是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发,通过业务需求分析、业务建模、面向业务 的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成 业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。下一代安全运营中心(SOC2.0)以业务为核 心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。下一代安全运营中心(SOC2.0)强调围绕的体系设计,强 调面向业务链的 信息收集,强调面向业务的实施与运维过程。
下一代安全运营中心(SOC2.0)的价值就在于确保IT可靠、安全地与客户业务战略一致,促使客户有效地利用信息资源,降低运营风险。
在IT与业务融合的大背景下,下一代安全运营中心(SOC2.0)体现了安全与业务的融合。在充分继承和发展SOC1.0的基础上,SOC2.0真正将原来的“安全防御孤岛”和“安全信息孤岛”连成一片,形成一个企业和组织整体的、以业务为核心的IT一体化集中管理平台,实现对业务连续性的监控、业务安全性的审计和业务风险的度量。
5.关于网御神州安全管理
网御神州安全管理团队根据长期以来在安全管理领域的深入研究,结合来自客户的需求与市场的现状,提出了具有完全自主知识产权的网神SecFox安全管理产品理念,尤其强调网络管理、安全管理与运维管理的一体化,为政府、军队、公安、税务、电力、保险、电信、金融、交通、制造、教育、广电等各个领域的客户提供全面的安全运营保障平台。网御神州建立了专门的安全管理研发和实施队伍——SOC事业部,在国内市场突飞猛进,取得了令人瞩目的市场成就。在CCID2008年和2009年《中国信息安全产品市场研究年度报告》中网御神州连续两年位居安全管理(SOC)市场第一名,成为了中国安全管理市场的领导厂商之一。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
联软科技 “构建可控互联世界”之路
近年来,国内很多安全厂商蓬勃发展,有国家政策倾斜的因素,同时也缘于他们比国际厂商更贴近用户,能够随时根据用户需要,制定适合的解决方案。联软科技便是其中一员。
-
安全产品与安全管理平台的变化
意气风发的新一代互联网,仍然不可避免时不时被安全问题绊个趔趄。安全产品自身应该在哪些方面进行变革和完善,才能适应新的要求?本文我们将讨论网络安全和下一代防火墙。
-
Netcat教程:如何使用免费的Netcat命令行工具
在这个Netcat教程中,AcademyPro.com的Peter Giannoulis将为我们演示,如何使用这种被称为“网络瑞士军刀”的工具快速方便地进行渗透测试和网络管理。
-
企业网络安全成为系统的全局性管理问题
据我国公安部统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。