|
启明星辰全面保障四川省公安信息网络安全
http://www.cww.net.cn 2009年7月23日 10:34 通信世界网
随着四川省公安信息化建设的快速发展,信息化应用在公安机关打击犯罪、维护社会稳定中发挥着不可替代的重要作用,各项公安业务工作对公安信息网的依赖程度日益加深,公安信息网已成为四川省各级公安机关和广大民警履职尽责的重要工具。公安信息网在发挥巨大作用的同时,自身安全也变得越来越重要。公安信息网一旦遭到攻击和非法入侵,不仅危害公安信息网和信息资源的安全,影响公安工作的正常开展,同时也会给国家利益和国家安全带来严重威胁。 为了应对各种安全风险,保障公安网络及其信息资源的安全,四川省公安选用了启明星辰的全系安全产品来为其提供全面可靠的安全保障。 安全域划分 根据IATF的纵深防御思想和IA原则,并结合四川省公安信息网络的实际情况,启明星辰对整个网络进行了安全域划分:将整个网络划分为边界接入域、计算环境域、网络设施域和支撑设施域四个安全域(如图1),每个安全域又分为不同的安全区,譬如根据接入的现状,将边界接入域划分为外联网接入区、内部接入区、内联网接入区和边界接入平台四个不同的接入区。 图1IATF安全域模型 在这四个安全域中,所面临的风险和风险的危害程度是各不相同的,因此防护的重点也不一样,需要根据每个安全域的特点,制定相应的安全策略,部署相应的安全产品。 边界接入域:网络边界的综合安全防护 边界接入域所面临的主要威胁包括非授权访问,来自外部的入侵、蠕虫病毒等,因此在边界接入域上需要采取访问控制(防火墙)、安全远程接入(VPN)、防病毒和网络入侵防御等多种安全防护措施,全面应对网络安全风险。
图2:边界接入域外联接入区的安全部署 针对边界接入域的防护需求,在边界接入域各接入区的边界位置部署天清汉马USG一体化安全网关提供综合的安全防御(如图2)。 天清汉马USG一体化安全网关是国内领先的UTM产品,市场份额在07、08年连续两年位居国内厂商之首。天清汉马USG除具备防火墙的状态检测和访问控制功能外,还具备VPN、网关防病毒、网络入侵防御(IPS)、抗拒绝服务(DoS)攻击等高级安全特性,能够为网络边界提供立体化的纵深防御,并大大简化网络边界的安全部署。天清汉马USG采用了高性能的硬件架构和一体化的软件设计,在开启多种安全防护特性之后,仍然能够确保高性能和低延迟,可谓是边界防御的理想之选。 计算环境域:核心业务的安全防御和合规保障 计算环境域包含了公安信息网中核心的业务平台和业务服务器,其所面临的主要威胁是外界对应用系统的攻击和入侵行为,尤其是SQL注入攻击和跨站脚本(XSS)攻击对Web业务系统所带来的严重危害;另外,针对内部人员越权、滥用、操作失误和抵赖等行为所带来的安全风险,也需要进行积极的防范。
图3:计算环境域服务器区的安全部署 以核心计算域核心服务器区的防护为例,针对外部的攻击和入侵行为,通过部署千兆天清NDP入侵防御系统(IPS)来提供深层防御(如图3)。天清IPS可以防御传统防火墙发现不了的4-7层深层攻击行为,如缓冲溢出、木马后门、蠕虫病毒等,能够进一步提升对关键业务和数据的防御能力。针对日益泛滥的SQL注入攻击、跨站脚本攻击等Web攻击行为,天清IPS采用了攻击机理分析的检测技术,同传统的基于数据特征匹配和基于异常模型构建的检测方式相比,基于攻击机理分析的检测技术有着更低的漏报率和误报率,能够对Web攻击行为进行精确的判断和阻断,不会因为误警而影响网络的正常应用。 针对内部合规审计和管理的需求,通过部署启明星辰天玥网络安全审计系统,做到对重要数据库和关键业务应用的行为审计。天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,能够帮助用户实现事前规划预防,事中实时监控和违规响应,事后合规报告和追踪回放,从而加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。 网络设施域:网络行为和流量监控 网络设施域内的各种网络设备,承载着公安信息网内所有的业务和通信流量,面临着漏洞利用、数据窃听、通信链路故障等风险。除了通过各种措施保证备和链路的可靠性,还需要对网络中的各种安全事件、网络流量的分布情况进行监测,并根据监测到的信息来及时调整安全策略。
图4:网络基础设施域的安全部署 针对网络设施域的防护需求,在信息网的核心交换机上旁路部署天阗入侵检测系统(IDS),来对全网的安全事件和流量信息进行监控(图4)。 启明星辰的天阗IDS连续六年(2003-2008年)蝉联IDS市场排名第一,是名副其实的中国IT安全市场入侵检测第一品牌。天阗IDS可以监视端口扫描、木马后门攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件,并在发生严重入侵事件时通过屏幕提示、邮件告警、E-mail告警等多种方式向管理员提供报警;天阗IDS还可以对全网的流量情况进行全局分析,提供实时的流量统计图,帮助网络管理员直观的掌握网络中各种应用的分布情况。 支撑设施域:脆弱性评估和内网安全 支撑设施域范围很广,包含了信息网中所使用的业务应用运维系统、公秘钥体系、安全管理体系等各种支撑体系。支撑域所面临的风险主要有两方面,一是支撑域中的各种终端、网络设备、服务器可能会存在漏洞和脆弱性,这些漏洞和脆弱性能够被不法分子利用来进入内部网络,非法获取内部信息资产;另一方面则来自于内部人员,员工的不规范操作、终端随意接入、权限私自共享等行为,往往会导致传输泄密、网络瘫痪、文件破坏等严重后果。
[1] [2]
编 辑:石美君 联系电话:010-67110006-818
文章评论【评论()】
|
重要新闻推荐 每日新闻排行 企业黄页 会议活动 |