目前网络安全形势越来越严重,网络攻击的手段也越来越多,如基于网络传播的病毒、蠕虫,含有恶意代码的网页,以及日益严重的间谍软件等。传统的解决方式在面对这些新的安全威胁已经显的力不从心。作为国内网络重中之重的电信网络,需要一种新的有效安全管理方式来面对新的安全威胁。电信网络安全管理和应用,势在必行!
一、安全风险分析
XXX运营商系统网络结构复杂,应用多种多样,内部终端和服务器众多,在对XXX运营商系统进行详细分析后,XXX运营商中目前及今后将面临以下安全风险:
二、信息安全需求分析
解决方案
通过瑞星国际领先的网络安全防护产品和丰富的企业网络安全设计经验,为XXX运营商网络系统提供一个技术领先、稳定可靠的全方位、多层次安全立体防御体系,有效抵御各种病毒和混合威胁的攻击,提高安全防御水平。
三、综合立体安全防护体系设计
本方案从“综合立体防护”这一观点出发,帮助XXX运营商建立一个覆盖全网的、可伸缩、抗攻击的防护网络,在各局域网网关处部署瑞星导线式防毒墙,在局域网内部部署瑞星杀毒软件行业专用版、瑞星虚拟化系统安全软件、瑞星企业移动管理系统、瑞星运维管理审计系统和病毒预警系统,构建安全防护屏障。形成在操作系统层面有杀毒软件防御病毒,在网络传输层面有防毒墙过滤病毒,这两个层面可以互相联动,清除和阻断病毒,控制病毒的传播;同时,利用网络预警系统的预警功能,预测传播发展趋势,掌握病毒传播轨迹,真正做到防患于未然。
多层次防护体系的建立,实现了操作系统病毒有防御机制,主干及单位间网络有病毒过滤设备,全网有病毒预警监测手段,形成整个网络自上而下的防御监测系统,使病毒危害无法藏匿于网络中。
图1.瑞星安全防护体系部署示意图
多层次的防护体系
图 2 瑞星防护体系部署示意图
如图所示,瑞星公司为XXX运营商提供了全方位、多层次的、整体的网络防护解决方案。
在网络传输层面;在省公司、地市公司、区县分公司、以及本级内相对独立的单位等各局域网的入口处部署防毒墙产品(图中为蓝色的防毒墙图标),形成病毒防御的第一道屏障,将来自其他网络的病毒、木马阻挡在企业局域网之外,防毒墙串接在各单位局域网的路由器(或防火墙)与核心交换机之间,一般采用桥接的方式,不改变网络结构,支持高智能的Bypass功能,避免单点故障,此外,防毒墙还可以与网内的杀毒软件实现联动,控制局域网内不安全的终端向外访问;
在操作系统层面;在局域网内部部署瑞星杀毒软件行业专用版,实现对内网服务器、主机病毒的实时监测和查杀,形成病毒防御的第二道屏障。针对XXX运营商单位的具体情况,采用三级管理方式,可以实现集中式管理与分布式管理的有机结合,在省公司部署杀毒软件行业专用版一级中心,在地市公司部署二级中心,在区县分公司部署三级中心,在网内所有的终端和服务器上部署杀毒软件行业专用版客户端,由一级中心统一管理各二级中心,各二、三级中心管理本地的客户端,实现统一的策略管理、升级管理和安装管理等。
在运维管理层面;在省公司、地市公司、区县分公司、以及本级内相对独立的单位等各局域网的核心处部署运维管理审计系统产品,形成病毒防御的第一道屏障,将来自其他运维维护等维护阻挡在系统之外,运维管理审计系统并联在各单位局域网中,一般采用并联的方式,不改变网络结构,支持高智能的Bypass功能,避免单点故障。
在全网的核心层面;在全网核心位置部署瑞星病毒预警系统,实现对全网的实时病毒监测、定位和预测,实现对全网的全局层面的监控,在省公司部署网络安全预警系统的总中心(图中为黄色框内设备,与分中心相同),部署一台总中心和一台病毒探针在核心交换机上,在各地市单位部署预警系统分中心,在中心交换机上旁路部署一台病毒探针,总中心管理各分中心,同时,接收各分中心上报的数据,集中分析,形成全网的总览数据展现给省公司的决策人员实时掌握病毒的发展态势,做出决策,同时,各分中心可以监控本地网内的病毒疫情形势,并做出快速反应。
防毒墙、杀毒软件行业专用版和网络安全预警系统三者之间实现联动,共同防御,保证病毒在网内被全面、彻底地清除。
集中统一的管理和控制
瑞星防毒墙、瑞星杀毒软件行业专用版和瑞星网络安全预警系统三者结合,可以实现多层次的立体病毒防御,产品的多级管理关系和联动关系整体示意图如下。
图 3 防毒墙、杀毒软件、预警系统等联动立体防御示意图
如图所示,红色控制线表示了瑞星杀毒软件行业专用版两级管理关系,杀毒软件一级中心直接管理省级单位和地市、区县的三级中心,各级中心管理本地的服务器和终端的杀毒软件客户端,杀毒软件的集中安全管理功能包括:远程控制与管理、防毒策略的统一定制和分发、实时监控全网客户端的防毒状况、全网统一查杀毒、客户端漏洞检测与补丁分发、远程提取客户端诊断信息、管理员分级管理、客户端分组管理、网内总体安全概要分析、病毒事件报警、病毒日志查询和统计等;
蓝色控制线表示了网络安全预警系统对于分中心的统一管理和控制功能,这些功能包括:直接管理分中心,通过总中心可以直接登录各分中心进行管理配置操作,事件统计查询操作等;统一升级,通过总中心能够一次为所有分中心的病毒探针进行病毒库升级,极大地方便了管理人员的系统维护工作;数据包分析,通过总中心可以获得各个分中心的探针网卡上的流量,分析网络数据包或系统故障;统一各分中心数据,总中心分别从各分中心获取实时数据与统计数据,并对全部分中心的数据进行统计分析,产生统计图与统计报表;灵活的数据统计方式,总中心不仅可以对全部分中心的数据进行统计分析,产生统计图与统计报表;而且可以对任意一个或几个分中心的数据进行统计分析,产生统计图与统计报表。
黄色控制线表示各局域网中杀毒软件行业专用版与防毒墙的联动功能,本部分将在下面的章节详细介绍。
此外,对瑞星防毒墙可以统一管理,通过省公司的预警管理中心设为控制中心,将同局域网内的其他防毒墙设为子防毒墙,通过启用防毒墙的集中管理功能,可以对防毒墙进行集中管理,大大减轻了防毒墙管理的工作量,在某个防毒墙出现故障时,通过集中管理可以迅速解决。
四、部署后可达到的效果
通过对XXX运营商中网络建立多层次的、统一的整体网络病毒防范体系,实现了集病毒预警、病毒主动防御和病毒实时检测清除为一体的综合的病毒防御机制,更好地实现综合立体的病毒防御效果。
1、对于病毒的预警
可以对网络中的病毒状况进行集中统一的病毒监测,构建完备、协调、高效的预警体系。在病毒发作、网络攻击的初期进行提前预警,进行科学的评估,采取各种有效的手段,努力把风险发生的可能性降到最小,在现代病毒安全事件中,检测是现代网络安全模型中重要的一部分,瑞星网络预警系统可实时检测网络内的病毒攻击;同时网络蠕虫病毒发作时,也会向网络发送大量的病毒包,造成整体网络堵塞和瘫痪,瑞星网络预警系统可以在蠕虫爆发的初期进行报警,采用有效的手段,可以避免对网络造成的危害。
瑞星网络预警系统整理大量的互联网真实IP地址所在地相关信息,同时也支持用户自行导入和添加IP地址库。在分析网络安全事件时,可以单击相关IP确定该IP地址的物理位置,查找病毒源,定位风险,为有效处理病毒提供依据,准确的定位。
瑞星网络预警系统拥有网络行为判断技术,能够有效的检测未知病毒,解决新病毒爆发带的风险,对网络中出现的病毒情况(新病毒出现,病毒大规模爆发等)进行统一的报警,并具有多种预警方式(声音提示、电子邮件等),并能够进行快速应急响应。
大量网络安全事件,在无法人为的对其进行分析和整理时,就需要管理系统能够将各类网络安全事件归纳总结在一起,然后存入数据库,方便进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。将各种安全事件集中到管理中心后,对于某些网络安全事件来说,一台或者两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总结后,就有可能发现网络安全事件的源头。例如某个网段的攻击探针发现该网络被扫描,可以确定是公司内部一台主机A所为。但同时,病毒探针发现另外一台主机B通过远程植入方式, 将木马或者扫描程序植入主机A,管理中心即可根据这两条网络安全事件判断扫描特定网络的真正源头是B而不是A, 从而确定真正的影响网络的源头。
通过总中心管理全网各分中心,总览全网的安全状况,对于红色的安全预警区域,只需点击该位置,就可查看详细情况,及时做出部署,防患于未然。
2、对于病毒的主动防御
3、对于病毒的实时检测清除
漏洞扫描与补丁分发管理,系统漏洞扫描与补丁分发管理的结合将更加彻底的清除各种漏洞、加固系统。许多病毒行为是借助系统的漏洞及缺陷等,不修补漏洞而单纯反复的借助防病毒系统来清除借助此漏洞进行传播及破坏的病毒程序将是徒劳的。漏洞扫描配合补丁分发功能对每台客户端的漏洞扫描结果有针对性的分发补丁程序、修补漏洞,才能真正解决系统的安全性,防止重复性的入侵及病毒感染。特别能够有效的防止威金系列病毒在网络中的传播。