法兰防溅罩信息⽹络安全等级保护设备IPS⼊侵防护系统解决⽅案建议书 信息⽹络安全等级保护设备IPS⼊侵防护系统
解决⽅案建议书
⽬录
1典型⽹络风险分析 (4)
1.1病毒、蠕⾍泛滥 (4)
1.3系统安全配置薄弱 (5)
1.4各种D O S和DD O S攻击的带来的威胁 (5) 1.5与⼯作⽆关的⽹络⾏为 (6)
2安全产品及解决⽅案效能分析 (6)
2.1传统安全技术的薄弱之处 (6)
2.1.1防⽕墙 (7)
2.1.2⼊侵检测 (7)
2.1.3补丁管理 (7)
3领信信息安全保障解决⽅案介绍 (9)
3.1领信信息安全保障体系 (9)
3.2安⽒领信⼊侵防御系统介绍 (11)
3.2.1领信⼊侵防御系统主要功能 (11)
3.2.2领信⼊侵防御系统产品特点 (12)
3.2.3领信⼊侵防御系统⽀持的⼯作模式 (14)
3.2.4⼊侵防御系统推荐部署流程 (15)
3.2.
4.1IPS的学习适应期阶段 (16)
3.2.
4.2IPS的Inline模式⼯作阶段 (17)
4⼊侵防御系统部署建议 (17)
4.1系统组件说明 (17)
4.1.1集中部署⽅式 (18)
4.1.2分布部署⽅式 (19)
4.1.3部署准备 (20)
4.2边界防护部署 (21)
4.3重点防护部署 (21)
5⼊侵防御系统安全策略配置与应⽤ (22)
6项⽬过渡⽅案及应急预案 (23)
6.1过渡⽅案 (23)
6.2应急预案 (24)
7⼯程实施⽅案 (25)
7.1分⼯界⾯ (25)
7.2⼯程设计 (26)
7.3产品⽣产及出⼚验收 (26)
7.4设备运输、包装与到货安排 (26)
7.5到货验收 (27)
7.6安装调试及系统集成 (28)
7.7系统测试 (28)
7.8初步验收 (28)
火锅炉具7.9系统试运⾏ (28)
7.10最终验收 (28)
7.11⼯程实施进度表 (29)
8系统验收测试计划 (30)
8.1系统上线测试 (30)
8.2⽤户管理功能 (31)
8.3引擎⼯作模式配置 (31)
8.4组件管理 (31)
8.5策略配置 (32)
8.6威胁事件收集显⽰ (32)
8.7攻击检测能⼒ (33)
8.8系统升级能⼒ (33)
8.9⽇志报表 (34)
1 典型⽹络风险分析
通过对⼤量企业⽹络的安全现状和已有安全控制措施进⾏深⼊分析,我们发现很多企业⽹络中仍然存在着⼤量的安全隐患和风险,这些风险对企业⽹络的正常运⾏和业务的正常开展构成严重威胁,主要表现在: 1.1 病毒、蠕⾍泛滥
⽬前,企业⽹络⾯临的病毒、蠕⾍威胁具有传播速度快、范围⼴、破坏性⼤、种类多、变化快等特点,即使再先进的防病毒软件、⼊侵检测技术也不能独⽴有效的完成安全防护,特别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕⾍的⼊侵。
病毒、蠕⾍很容易通过各种途径侵⼊企业的内部⽹络,除了利⽤企业⽹络安全防护措施的漏洞外,最⼤的威胁却是来⾃于⽹络⽤户的各种危险的应⽤:不安装杀毒软件;安装杀毒软件但未能及时升级;⽹络⽤户在安装完⾃⼰的办公桌⾯系统后未进⾏各种有效防护措施就直接连接到危险的开放⽹络环境中,特别是INTERNET;移动⽤户计算机连接到各种情况不明⽹络环境后,在没有采取任何措施情况下⼜连⼊企业⽹络;终端⽤户在使⽤各种数据介质、软件介质时都可能将病毒、蠕⾍在不知不觉中带⼊到企业⽹络中,给企业信息基础设施、企业业务带来⽆法估量的损失。
1.2 操作系统和应⽤软件漏洞隐患
企业⽹络多由数量庞⼤、种类繁多的软件系统组成,有系统软件、数据库系统、应⽤软件等等,尤其是存在于⼴⼤终端⽤户办公桌⾯上的各种应⽤软件不胜繁杂,每⼀个软件系统都有不可避免的潜在的或已知的软件漏洞,每天软件开发者都在⽣产漏洞,每时每刻都可能有软件漏洞被发现被利⽤。⽆论哪⼀部分的漏洞被利⽤,都会给企业带来危害,轻者危及个别设备,重者漏洞成为攻击整个企
业⽹络的跳板,危及整个企业⽹络安全,即使安全防护已经很完备的企业⽹络也会由于⼀个联⽹⽤户个⼈终端PC机存在漏洞⽽丧失其整体安全防护能⼒。在与在与⿊客的速度竞赛中,企业⽤户正处在越来越被动的地位,针对这些漏洞的补丁从补丁程序开发、测试、验证、再到最终的部署可能需要⼏天甚⾄⼏⼗天时间,⽽⿊客攻击的速度却越来越快,例如著名的CodeRed蠕⾍扩散到全球⽤了12个⼩时;⽽SQL SLAMMER感染全世界90%有漏洞的机器则只⽤了10分钟;
1.3 系统安全配置薄弱
⼀个安全的⽹络应该执⾏良好的安全配置策略,例如,账号策略、审核策略、⼝令策略、匿名访问限制、建⽴拨号连接限制策略等等。这些安全配置的正确应⽤对于各种软件系统⾃⾝的安全防护的增强具有重要作⽤,但在实际的⽹络环境中,这些安全配置却被忽视,尤其是那些⽹络的终端⽤户,从⽽导致软件系统的安全配置“软肋”,有时可能将严重的配置漏洞完全暴露给整个外部,使⿊客可以长驱直⼊。
1.4 各种DoS和DDoS攻击的带来的威胁
除了由于操作系统和⽹络协议存在漏洞和缺陷,⽽可能遭受攻击外,现在IT
部门还会拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS 和DDOS攻击可以被分为两类:⼀种是利⽤⽹络协议的固有缺陷或实现上的弱点来进⾏攻击,与漏洞攻击相似。这类供给典型的例⼦如Teardrop、Land、KoD 和Winnuke;对第⼀种DOS攻击可以通过打补丁的⽅法来防御,但对付第⼆种攻击就没那么简单了,另⼀类DOS和DDOS利⽤看似合理的海量服务请求来耗尽⽹络和系统的资源,从⽽使合法⽤户⽆法得到服务的响应。
DOS和DDOS攻击会耗尽⽤户宝贵的⽹络和系统资源,使依赖计算机⽹络的正常业务⽆法进⾏,严重损害企业的声誉并造成极⼤的经济损失,据2004 美国CSI/FBI的计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最⼤的犯罪⾏为,超出其他各种犯罪类型两倍。
1.5 与⼯作⽆关的⽹络⾏为
连杆机会
权威调查机构IDC的统计表明:30%~40%的⼯作时间内发⽣的企业员⼯⽹络访问⾏为是与业务⽆关的,⽐如游戏、聊天、视频、P2P下载等等;另⼀项调查表明:1/3的员⼯曾在上班时间玩电脑游戏;
Emule、BT等P2P应⽤和MSN、QQ等即时通信软件在很多⽹络中被不加控制的使⽤,使⼤量宝贵的带宽资源被业务⽆关流量消耗。这些⾏为⽆疑会浪费⽹络资源、降低劳动⽣产率、增加企业运营成本⽀出,并有可能因为不良的⽹络访问⾏为导致企业信息系统被⼊侵和机密资料被窃,引起法律责任和诉讼风险。
2 安全产品及解决⽅案效能分析
2.1 传统安全技术的薄弱之处
当前随着⽹络软硬件技术的快速发展,⽹络信息安全问题⽇益严重,新的安全威胁不断涌现,如蠕⾍病毒肆意泛滥、系统漏洞层出不穷、漏洞利⽤(vulnerability exploit)的时间⽇益缩短,甚⾄可能出现零
⽇攻击(zero-day exploit),同时很多⼊侵和攻击由⽹络层逐渐向应⽤层发展,给检测和识别这些威胁带来了
困难。⾯临诸多安全问题,传统的安全产品和解决⽅案显⽰出其薄弱和不⾜之处。
2.1.1 防⽕墙
绝⼤多数⼈在谈到⽹络安全时,⾸先会想到“防⽕墙”。防⽕墙⽬前已经得到了⼴泛的部署,⽤户⼀般采⽤防⽕墙作为安全保障体系的第⼀道防线,防御⿊客攻击。但是,随着攻击者知识的⽇趋成熟,攻击⼯具与⼿法的⽇趋复杂多样,单纯的防⽕墙已经⽆法满⾜企业的安全需要。传统防⽕墙的不⾜主要体现在以下⼏个⽅⾯:
●防⽕墙作为访问控制设备,⽆法检测或拦截嵌⼊到普通流量中的恶意攻击代
码,⽐如针对WEB服务的Code Red蠕⾍等。
●有些主动或被动的攻击⾏为是来⾃防⽕墙内部的,防⽕墙⽆法发现内部⽹络
中的攻击⾏为。
耐火砖比重2.1.2 ⼊侵检测
⼊侵检测系统IDS(Intrusion Detection System)是近⼏年来发展起来的⼀类安全产品,它通过检测、分析⽹络中的数据流量,从中发现⽹络系统中是否有违反安全策略的⾏为和被攻击的迹象。它弥补了防⽕墙的某些缺陷,但随着⽹络技术的发展,IDS受到新的挑战:
●IDS旁路在⽹络上,当它检测出⿊客⼊侵攻击时,攻击已到达⽬标造成损失。
IDS⽆法有效阻断攻击,⽐如蠕⾍爆发造成企业⽹络瘫痪,IDS⽆能为⼒。
●蠕⾍、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度加快,
留给⼈们响应的时间越来越短,使⽤户来不及对⼊侵做出响应,往往造成企业⽹络瘫痪,IDS⽆法把攻击防御在企业⽹络之外。
2.1.3 补丁管理
补丁管理是重要的主动防御⼿段,但补丁管理同时也存在⼀些局限性,例如:1、对于某些操作系统,将不再能够获得⼚商提供的⽀持。例如微软宣布将从2006年7⽉11⽇开始停⽌为多个⽼版本的Windows 操作系统提供技术⽀持,这意
味着全球将有超过7000万名Windows⽤户⾯临⽹络攻击和恶意代码的危险,因为他们⽆法继续从微软获得安全更新。
2、补丁从漏洞发现、操作系统开发补丁、测试补丁、发布补丁到⽤户接收补丁、局部更新测试补丁到⼤范围更新补丁需要⼀定的时间周期,即所谓空窗期,在空窗期内⽤户的系统漏洞⽆法得到有效的防御,⽽恶意的程序和代码有可能利⽤这段时间对系统造成破坏;
3、某些系统和应⽤由于⾃⾝的原因(如⾮授权软件、程序冲突等等)不适合打补丁,这样⾃⾝即使存在漏洞,也⽆法得到修复;
针对以上技术和产品⾯对新的安全威胁所暴露出来的薄弱之处,作为有效的整体安全体系的重要组成和有效补充,⼊侵防御系统IPS(Intrusion Prevention System)作为新⼀代安全防护产品应运⽽⽣。
2.2 ⼊侵防御系统简介
基于⽬前⽹络安全形势的严峻,⼊侵防御系统IPS(Intrusion Prevention System)作为新⼀代安全防护产品应运⽽⽣。
⼊侵防御系统/IPS提供⼀种主动的、实时的防护,其设计旨在对常规⽹络流量中的恶意数据包进⾏检测,阻⽌⼊侵活动,预先对攻击性的流量进⾏⾃动拦截,使它们⽆法造成损失,⽽不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到⽹络链路中⽽实现这⼀功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会⾃动地将攻击包丢掉或采取措施将攻击源阻断,⽽不把攻击流量放进内部⽹络。
从IPS的⼯作原理来看,IPS有⼏个主要的特点:
●为企业⽹络提供虚拟补丁
IPS预先、⾃动拦截⿊客攻击、蠕⾍、⽹络病毒、DDoS等恶意流量,使攻击⽆法到达⽬的主机,这样即使没有及时安装最新的安全补丁,企业⽹络仍然不会受到损失。IPS给企业提供了时间缓冲,在⼚商就新漏洞提供补丁和更新之前确保企业的安全。
●提供流量净化
⽬前企业⽹络遭受到越来越多的流量消耗类型的攻击⽅式,⽐如蠕⾍。病毒造成⽹络瘫痪、BT,电驴等P2P下载造成⽹络带宽资源严重占⽤等。IPS过滤正常流量中的恶意流量,为⽹络加速,还企业⼀个⼲净、可⽤的⽹络环境。
提供反间谍能⼒
企业机密数据被窃取,个⼈信息甚⾄银⾏账户被盗,令许多企业和个⼈蒙受重⼤损失。IPS可以发现并阻断间谍软件的活动,保护企业机密。
总的来说,⼊侵防御系统IPS的设计侧重访问控制,注重主动防御,⽽不仅仅是检测和⽇志记录,解决了⼊侵检测系统IDS的不⾜,为企业提供了⼀个全新的⽹络安全保护解决⽅案。
3 领信信息安全保障解决⽅案介绍
3.1 领信信息安全保障体系
“信息安全是⼀条链,其强度取决于链上最弱的⼀环(著名安全专家Bruce Schneier语)”这句话深刻阐明了整体安全的重要性。为了建设⼀个有效的安全防御体系,就要从保护、检测、响应等多个环节以及⽹络和基础设施、⽹络边界、终端环境等多个层次全⾯考虑,综合防范,这样才能提⾼⽹络整体的信息安全保障能⼒,保证安全体系中不存在薄弱的环节。
静态管理
安⽒领信基于对信息安全的深刻理解,以及多年的安全领域建设经验,总结提炼出安⽒独有的信息安全保障体系框架模型,该安全体系从保障对象、安全需求、能⼒来源三个维度深刻揭⽰了信息安全保障的内涵:
保障对象是信息安全建设要保护的⽬标,分成多个安全防御领域,包括:⽹络基础设施,⽹络边界,局域计算环境,⽀持性基础设施;
安全需求包括信息的机密性,完整性,可⽤性,可控性,不可否认性等需求;信息的机密性,完整性,可⽤性,可控性,不可否认性需求是信息安全的基本属性,所有的安全技术和安全产品从本质来说都是为了满⾜被保护对象的上述安全需求;
为了有效的满⾜保障对象的安全需求,需要从⼈员,技术,管理等⽅⾯提供安全保障能⼒;技术层⾯的安全保障能⼒源于业界所采⽤的各种安全产品和技术,包括访问控制、⼊侵检测、⼊侵防御、弱点评估等等技术;
安⽒领信信息安全保障体系(ISAF)
在安⽒信息保障体系框架(ISAF)之下,安⽒领信公司开发出⼀系列世界领先的信息安全产品,包括防⽕墙、⼊侵检测、终端安全管理系统、统⼀威胁管理系统⼊侵防御系统等等,提供强有⼒的技术⼿段,帮助⽤户构筑⼀个主动的、深层的安全技术体系,从容应对来⾃⽹络外部和内部的、已知的和未知的安全风险,保护信息资产的安全,以及企业业务的正常运营。
安⽒领信技术体系及对应防御领域
在领信安全保障体系中,⼊侵防御系统系统(IPS)占有重要的位置,它可以根据⽤户的实际需求,部署在某些关键位置,如⽹关出⼝,内部服务器集,以及某些重要业务系统前端,起到实时检测和主动防御的效果,提⾼防御性能,缩短响应时间,为⽹络提供强有⼒的保护。
3.2 安⽒领信⼊侵防御系统介绍
安⽒领信⼊侵检测系统(Linktrust IPS)是安⽒领信针对⽬前流⾏的蠕⾍、病毒、间谍软件、垃圾邮件、DDoS等⿊客攻击,以及⽹络资源滥⽤(P2P下载、IM即时通讯、⽹游等)等推出的全新安全防护⽅案,其具有先进的体系架构并继承了安⽒领信⼊侵检测系统先进的⼊侵检测技术,以全⾯深⼊的协议分析技术为基础,结合协议异常检测、协议异常检测、关联分析形成的新⼀代检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在企业⽹络之外,保护企业的信息资产。
3.2.1 领信⼊侵防御系统主要功能
领信⼊侵防御系统的主要功能可以总结为⼏个⽅⾯,如下图所⽰:
具体功能阐述如下:
●阻⽌来⾃外部或内部的蠕⾍、病毒和⿊客等的威胁,确保企业信息资产的安
全。
●阻⽌间谍软件的威胁,保护企业机密。
●阻⽌企业员⼯因为各种IM即时通讯软件、⽹络在线游戏、P2P下载、在线
眼部凝露视频导致的企业⽹络资源滥⽤⽽影响正常⼯作,净化流量,为⽹络加速。
●阻⽌P2P应⽤可能导致的企业重要机密信息泄漏和可能引发的与版权相关
的法律问题。
●实时保障企业⽹络系统7x24不间断运⾏,提⾼企业整体的⽹络安全⽔平。
●智能、⾃动化的安全防御,降低企业整体的安全费⽤以及对于⽹络安全领域
⼈才的需求。
●⾼效、全⾯的流量分析、事件统计,能迅速定位⽹络故障,提⾼⽹络稳定运
⾏时间。
3.2.2 领信⼊侵防御系统产品特点
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议