天融信:防止非法外聯的解決方案
本文從邊界、主機、管理等幾個層面,分別分析了針對木馬防護常見的安全問題,并提出了具體的解決方案。
方案背景
當前,一些具有較高安全性的內部網絡(如政府部門、軍事部門的網絡)常常采用和外部網絡(如Internet)實施物理隔離的方法來確保其網絡的安全性。物理隔離確保了外部網絡和內部網絡之間不存在任何可能的物理鏈路,切斷了信息外泄的通道。但事實恰恰相反,由于管理制度的不健全或缺乏有效的終端監控技術,內部網絡中個別用戶利用電話撥號、即插即用的互聯網接入設備,外連互聯網進行私人操作,物理隔離環境被破壞。另外,終端內外網混用情況較為普遍,導致內部網絡出現隱蔽通道,被黑客或病毒利用后,將導致泄密或影響信息系統性能。這些行為可定義為——“非法外聯”。
安全需求
終端作為信息系統的基本組成部分,具備分布廣,數量巨大等特性,信息系統設備中有85%以上由其組成,由于終端操作的隨意性,難以利用技術措施實行管控,終端安全保護能力成為安全短板,因此終端成為惡意攻擊的對象,病毒傳播、信息失竊的源頭之一。在內部網絡(如政府部門、軍事部門的網絡),一旦物理隔離環境被打破,將導致安全事件的發生,后果不堪設想。
“非法外聯”使原本封閉系統環境與外部網絡出現隱蔽通道,內部網絡將面臨病毒、木馬、非授權訪問、數據竊聽、暴力破解等多種安全威脅,導致網絡結構、服務器部署、安全防護措施等信息被泄露,甚至進行跨安全域、跨網絡破壞。
綜上所述,降低“非法外聯”風險需從多角度進行防護,形成層次化、有縱深的防御能力。首先應確保終端系統配置安全性,對木馬與病毒抵御能力,提高終端安全強度;其次采取實時監控、智能阻斷或隔離等措施,消除“非法外聯”途徑。
設計思路
“非法外聯”主要表現為內網終端交叉使用內外網線;內網終端使用撥號、無線網卡、雙網卡等方式接入外網;便攜電腦內外網混用。這些人為有意或無意行為,將使外部黑客攻擊、病毒與木馬攻擊繞過當前安全保護屏障,即使有部分安全措施發現“非法外聯”網管員也無法及時阻斷,無法挽回信息泄露、病毒入侵造成的損失。
控制“非法外聯”必須從根源下手,對終端行為、訪問信息特征進行監管,建立綜合的網絡和終端技術防護體系,采取“分層防護、縱深防御”的思路,基于多種設備建立自動可控的“監測、審計、預警、阻斷”安全機制,阻斷“非法外聯”終端對內部網絡對威脅。
方案設計
Ø 終端防護
“非法外聯”使終端暴漏于不安全環境下,面對黑客入侵、病毒與木馬等安全威脅。如果終端系統或應用存在軟件漏洞、未安裝或及時升級防病毒軟件等安全弱點,將輕而易舉的被攻擊或控制。終端的防護必須全面、及時,否則將導致直接的安全事件。
n 系統與應用軟件補丁管理;
n 終端物理資源控制;
n 病毒與木馬的檢測和查殺能力保障;
n 移動存儲介質控制;
n 終端安全狀態審查;
n 行為審計。
Ø 網絡安全防護
在封閉環境下的內部網絡(如政府部門、軍事部門的網絡)常常由多個具有不同安全保護需求的系統、設備或信息資源組成的安全域構成,在安全域內和邊界采取了相應的安全保護。事實證明,多數的安全入侵或攻擊事件,往往具有顯著的商業或政治目的,或竊取其它組織機構的重要信息或破壞其系統影響其業務活動,僅有少數事件為惡作劇性質。在內部網絡環境下,“非法外聯”終端在外聯過程中極易被黑客控制、種植木馬或病毒,此類用戶絕非僅僅一次“非法外聯”,事后連入內部網絡。這種情況導致了終端成為內部網絡信息收集、破壞行為的風險點,甚至跨網段、跨安全域非法收集重要信息。必須在網絡內建立監控預警與訪問控制機制。
n 入侵行為檢測預警;
n 病毒過濾;
n 終端對重要區域的訪問控制,如服務器區域;
n 安全域邊界防護;
n 網絡可信接入;
Ø 系統安全管理設計
為防止泄密事件的發生,除了加強安全技術的管控外,也要加強安全管理。首先要引入第三方安全服務,定期查看關鍵計算機設備的狀態,發現與定位計算機中已經感染的木馬,防止木馬的泄密等破壞行為發生;其次要建立應急響應機制,在泄密事件發生后定位與隔離涉及的主機,使安全事件能夠追查到責任人。
n 安全審計系統(TA-L)
n 安全管理平臺系統(TA)
部署措施
Ø 終端系統防護
n 統一部署終端防火墻和終端IDS,通過集中管理與日志收集系統,掌握網絡中威脅源,同時加強終端對入侵和攻擊行為的抵抗能力。
n 統一部署TopDesk,根據內網管理制度統一制定下發終端管理策略,如終端系統補丁檢查與安裝、移動存儲介質控制、物理接口封閉或監測、系統安全性評估、基線防護措施檢查等,提高系統安全強度,減少終端遠程撥號、無線上網途徑,對違規上網行為進行審計和預警。
n 統一部署終端病毒防護軟件,采取集中軟件更新、病毒庫更新、遠程查殺和遠程病毒診斷協助能力,匯總并分析終端病毒查殺日志,形成全網終端病毒防護系統,降低大規模病毒爆發事件的發生。
Ø 網絡安全防護
n TopDesk與交換機的互聯互通技術,實現縱向防御機制,借助對接入者身份驗證、終端病毒防護軟件及病毒庫、系統及應用補丁安裝情況進行核查能力,實現網絡可信接入。在網絡運行過程中,實時監控終端安全狀態,隨時切斷不符合或違反TopDesk策略的終端與網絡的鏈接,實現狀態監控、行為管控等能力,降低安全事件對網絡的影響。
n 存有上網記錄并連入內網進行操作的終端,采用TopDesk與802.1x或opt聯動機制,通過防火墻或交換機限制終端網絡連接或訪問能力,阻斷對重要區域的訪問能力,如:杜絕訪問服務器區域破壞業務系統。避免由于該設備而導致內網遭到更大的破壞。
n 在不同安全域間部署防火墻,實現不同安全域間的邏輯隔離和雙向訪問控制策略,根據策略明示允許通過、拒絕通過的細粒度可降低反向鏈接等攻擊行為;通過與入侵檢測、TopDesk等安全措施聯動,提高防火墻對流量管理和隱式攻擊阻斷能力。
n 入侵檢測/入侵防御系統主要從網絡連接狀態、數據包協議、數據包有效負載內容特征對網絡中傳輸的數據包進行深入分析,通過對已知威脅過程或狀態的定義或對合法數據包狀態的定義,實時監測數據流中潛在的威脅并進行處置與預警。在當前的安全技術背景下,可作為防火墻安全功能的合理補充,完善網絡邊界防護措施的基礎;另外,通過人工對事件記錄進行分析可及時掌握受保護網絡潛在漏洞信息的,進而擴展了安全管理員/網絡管理員的風險的管控能力。
n 在終端較為集中的安全域邊界部署,實時對數據流量進行監控,并殺滅安全域間傳播的病毒與木馬,有效遏制病毒的跨地域、跨網段的擴散。
Ø 安全管理設計
n 安全審計是既是發現安全問題的重要手段,也是對內部人員行為管理的威懾手段。對沒計劃部署安全管理平臺的用戶一定要安裝安全審計系統,通過引入集中日志審計的技術手段,對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計,及時自動分析系統安全事件,實現系統安全運行管理。
n 安全管理平臺將管理多種異構的網絡、安全軟硬件,整合多種事件日志與安全日志,通過智能關聯分析,集中、可視化展現網絡當前的運行狀況,便于管理者掌控信息安全方向,使安全管理員、安全操作員以及安全專家根據經驗進一步分析發現潛在的網絡威脅。完全體現了信息安全“三分技術、七分管理”的指導思想,是單位安全管理團隊非常必要的技術支撐系統。
方案效果
針對一些安全性較高的內部網絡(如政府部門、軍事部門的網絡),根據其管理特性與系統安全需求,本方案設計時融入全面的防護理念,突出安全防護重點,為目前出現或存有潛在非法外聯行為的用戶,解決如下問題:
n 解決安全終端的可信接入,杜絕非法接入網絡。
n 解決終端系統漏洞引發的安全風險。
n 解決終端病毒、木馬程序滋生。
n 解決終端分布廣、難以集中監控與策略執行等管理問題。
n 屏蔽終端物理接口,減少“非法外聯”途徑。
n 解決終端“非法外聯”后,重新接入內部網絡,攻擊或竊取內部重要信息。
n 解決在處理安全為時,人員與信息資源的浪費。
n 解決異構安全軟硬件產品間技術互聯互通問題,通過聯動強化了網絡間的訪問控制。
n 避免網絡發生大規模病毒爆發。
n 解決安全域或網絡間合法用戶在內部發起的攻擊。
