和諧”內網保護神——ProVisa內網安全管理系統
從事故發生根源看,內網安全先于網絡邊界安全,大多數網絡安全事件都是先由內網爆發引起,后影響到網關。但一直以來,大部分人的網絡安全防護理念還停留在網關處,如:防火墻,IPS,防毒墻,這些重要的安全設備集中于機房,網絡出口,但在這些設備的監控下,互聯網的威脅非但沒有減少,相反卻日漸頻繁與復雜。
究其原因,是網絡內部的安全一直沒有得到重視。如今,網絡管理員每日的工作量大多都集中在終端的維護上,如果不對這些終端的系統安全,網絡安全進行嚴格的管理和控制,不對終端的操作行為、網絡行為進行規范與審計,這樣網絡中的安全隱患將完全不可預知和控制。若想使問題從根本上得到緩解,減少安全隱患,降低各種不可控的威脅與意外的頻發,以及對員工進行安全規范和操作實現監管,做到明確的人員責任定位,我們就需要在邊界防護之前做好準備。
實現內網安全的防護,需要按階段、系統化的設計與實踐,需要從終端接入到應用管理到服務整個環節考慮周全,每一步都需要進行嚴格的管控和策略規范。ProVisa內網安全管理系統經過5年多的設計和研發,從系統及網絡的基本特性,安全事件頻發原理,網管員疑難點匯總等用戶的實際情況出發,在各種威脅接入網絡之前做好充分的準備,形成主動的防御體系,使各種網絡威脅在內網毫無可乘之機。
ProVisa整體防護按照以下四個步驟進行設計部署,實現嚴格的內網安全策略:
第一步:終端入網前的強制安全準入策略。安全準入又分為兩個階段:第一階段,身份認證。ProVsia采用多種方式有效便捷的對終端的身份進行認證,域認證結合方式,五元素綁定方式,USBKEY多因素綁定方式等多種認證方式確保了認證的準確性,對于不認證的客戶端進行及時發現并強制隔離。第二階段,安全檢測。對認證通過的終端進行再次多重安全檢測,對終端的安全性進行評估。不符合安全規范的終端將被強制進入修復區,修復完畢后方可正常接入和使用內網或外網。與此同時,對于正常接入網絡的終端,ProVisa會為其打上了XX公司XX人員的標記,今后此終端的一切系統行為和網絡行為將被詳細記錄,明確責任定位。
第二步:網絡特征綁定和安全性保障。守護好終端的網絡安全是守護整體網絡安全基礎,對于正常接入網絡的終端,已經進行第一步實名制的身份綁定和系統安全性檢查,已確立了身份和系統安全。第二步,就需要對其的進行網絡特征的綁定和網絡安全性保障。這需要進行幾方面的策略:
l部署統一的終端防火墻策略。解決終端防火墻無法統一管理的難題,解決利用惡意端口傳播病毒和網絡攻擊的可能。
l進行ARP,蠕蟲等網絡型病毒的防護策略。利用ARP原理及特征分析,主動防御,行為識別等技術。
l異常流量的控制策略。如廣播風暴,流量閥值告警。
ProVisa采用以上安全策略,利用中間層驅動技術和啟發式分析技術,實現了對網絡病毒,內網攻擊的有效抑制。特別值得一提的是,ProVisa采用自防御聯動系統(Self Protection Association System),可以實時阻斷ARP欺騙和各種網絡工具的干擾(如:P2P終結者,網絡執法官等)。自防御又稱主動防御,是目前國際前沿的安全技術,自防御可以針對各種網絡型威脅進行預先的行為定義,不需要用惡意程序的特征碼來進行阻止。實際上,特征碼總是來不及防御各種惡意威脅的新變種,如ARP病毒變種,蠕蟲變種,這些病毒類型都可能存在成千上萬的變種版本,用特征碼防御是不現實的。然而通過分析這些網絡型病毒的行為模式,并將這些行為進行識別和阻止,可以從根本上阻止這類威脅的爆發,由根源上杜絕此類攻擊的發生。智能聯動技術是一項人性化的設計,當用戶中了ARP病毒或蠕蟲后,ProVisa可以不需要人為干預,自動對中毒終端下發專殺工具,并進行及時查殺。ProVisa自防御聯動系統,不僅對復雜多樣的網絡威脅進行深層次掃描和阻止,而且可以對中毒機器可以進行自動的病毒清除,系統化解決了ARP欺騙,蠕蟲爆發等內網難題。
ProVisa的自防御聯動系統采用主動防御與智能聯動結合技術,對網絡病毒、惡意流量、人為誤操作、ARP欺騙、IP/MAC地址欺騙、DOS攻擊、惡意下載等引起的系統和網絡異常起到了根本性的控制,能夠迅速偵測出網絡出現各種異常。定位出異常點的位置,并且馬上做出反應,自動將問題解決。
第三步:上網行為管理。內網的安全得到控制后,對終端互聯網的行為也一樣需要進行控制。一方面,針對所有P2P軟件,在線視頻,在線游戲進行控制,可以有效的提高員工生產力,節省互聯網出口帶寬。另一方面ProVisa針對所有終端的流量,進行實時監控,由于ProVisa是對內網終端系統底層進行監控,所以不論是內網之間的流量,還是內網到外網的流量,都可以精確區分,并支持圖表方式顯示。此外,ProVisa針對帶寬管理還可以設置多級策略:首先,當客戶發生流量突增時,可以及時進行警告,當流量超過一定能夠閥值時,系統會自動對其進行限制,對于一些過大的異常網絡流量還可以采取更嚴格隔離策略,以保證其他用戶正常的網絡訪問。
第四步:文檔安全管理。內網的防護建設齊備后,企業的關鍵數據或機密文檔也需要建立相應的安全管理。ProVisa通過256位內容加密和一次一密的超前加密技術,確保了重要數據及文檔進行文檔安全性。ProVisa可以保護超過340種格式的文件,支持Office、PDF、WPS、AutoCAD等文檔類型管理及控制插件;支持BMP、JPEG、TIF、GIF 、等圖形文件類型;支持Microsoft VC++等各種類型源代碼文件;支持HTML、TXT等文件類型。
ProVisa還可以基于用戶或用戶組設置不同的文檔權限,文檔所有者可以對被授權者進行只讀、打開次數、可打印、打印次數、可編輯、可復制、可另存、文檔有效時間、文檔有效日期等策略設置,有效的阻斷了文檔的非法再次傳播。優秀的防屏幕捕獲技術與精密的文檔加密技術相結合,更加有效的防范了關鍵數據及機密文檔的被盜被泄。與此同時,文檔所有者還可以實時跟蹤文檔的被使用情況,通過組合檢索方式,了解到電子文檔在何時、被何人、做過何種操作。
ProVisa內網安全管理系統立體防護示意圖
經過ProVisa四個步驟的安全防御策略,對所有終端進行了嚴格身份認證及安全檢測,對局域網進行了網絡特征綁定、主動防御和上網行為策略,對內外網準入和互聯網的訪問做了精細管控,對關鍵數據及機密文檔進行了有效安全管理,為企業內網面對更多未知威脅做好了充足的準備。ProVisa內網安全管理系統,真正實現了先于網絡邊界防護的防御體系,使內部網絡變得更加可控,即使有來自互聯網的威脅進入內網,也不會對內部網絡造成任何影響。
目前,國內政府機關、保密部門、科研機構、金融及企事業單位中的網絡都具備相當的規模,其自身卻存在不容忽視的上述安全風險隱患。針對這些情況,北京網域萬通推出了ProVisa網絡整體安全防護產品和方案,為政府企業解除內憂外患,為政府企業網絡站崗放哨,為政府企業管理保駕護航。
