一、網(wǎng)絡(luò)現(xiàn)狀

假設(shè)軍情六處目前有計(jì)算機(jī)500臺(tái)，沒有分域管理，所有計(jì)算機(jī)在1個(gè)網(wǎng)絡(luò)中，出口部署有防火墻，以抵御互聯(lián)網(wǎng)常見攻擊，內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)安裝有單機(jī)版防病毒軟件，并定期更新。

網(wǎng)絡(luò)中有約50臺(tái)服務(wù)器，部分采用了虛擬化。

正是因?yàn)檫@樣的粗放型管理方式，導(dǎo)致病毒、木馬、蠕蟲泛濫，并產(chǎn)生過黑客滲透到內(nèi)部網(wǎng)絡(luò)的安全事故——對，在《007：大破天幕殺機(jī)》中各位已經(jīng)看到！

二、脆弱性與威脅分析

由于目前的網(wǎng)絡(luò)完全是10年前的網(wǎng)絡(luò)結(jié)構(gòu)，因此我們建議將網(wǎng)絡(luò)按照不同的應(yīng)用分為如下三個(gè)區(qū)域：

互聯(lián)網(wǎng)區(qū)：100臺(tái)計(jì)算機(jī)，用做資料查詢、網(wǎng)絡(luò)信息發(fā)布等用途。（本區(qū)域也有服務(wù)器，但由于做信息發(fā)布，不存儲(chǔ)敏感信息，因此不單獨(dú)分析。）

辦公網(wǎng)區(qū)：400臺(tái)計(jì)算機(jī)，存有大量敏感信息，并嚴(yán)格控制不能在互聯(lián)網(wǎng)發(fā)布。

服務(wù)器區(qū)：從屬于辦公網(wǎng)區(qū)，但因功能不同，獨(dú)立分析。

不同的安全區(qū)域?qū)嵤﹪?yán)格的訪問控制策略，特別是互聯(lián)網(wǎng)區(qū)，物理上與辦公網(wǎng)區(qū)、服務(wù)器區(qū)分開。

下面分析脆弱性與威脅：

1、互聯(lián)網(wǎng)區(qū)

來自于互聯(lián)網(wǎng)的木馬、病毒、蠕蟲。

U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)帶來的惡意軟件、信息外泄。

打印帶來的安全問題。

主機(jī)IP和MAC容易被篡改帶來運(yùn)維和安全風(fēng)險(xiǎn)。

刻錄機(jī)帶來的安全風(fēng)險(xiǎn)。

虎視眈眈的黑客帶來的各種威脅。

自帶設(shè)備（BYOD）帶入內(nèi)部網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)（木馬、病毒等）。

隨著手機(jī)、平板電腦的流行而帶來的移動(dòng)設(shè)備管理（MDM）問題。

遠(yuǎn)程辦公帶來的安全問題。

2、辦公網(wǎng)區(qū)

來自于互聯(lián)網(wǎng)區(qū)的威脅，辦公網(wǎng)區(qū)同時(shí)存在，同時(shí)：

重要文檔在流轉(zhuǎn)過程中的安全問題，如不具備某文檔閱讀權(quán)限的人有可能接觸、打開、復(fù)制、打印該文檔。

自帶設(shè)備（BYOD）帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到BYOD設(shè)備，在聯(lián)網(wǎng)時(shí)回傳到黑客指定地址。

同上，U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬，并通過上述方式攻擊內(nèi)部計(jì)主機(jī)、服務(wù)器，然后"輪渡"到外部。

對服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實(shí)時(shí)監(jiān)控手段。

主機(jī)、應(yīng)用系統(tǒng)登錄安全問題。

3、服務(wù)器區(qū)

來自于互聯(lián)網(wǎng)區(qū)、辦公網(wǎng)區(qū)的威脅，服務(wù)器區(qū)同時(shí)存在，同時(shí)：

管理員權(quán)限過大，可通過在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的帳號、口令。

管理員可直接在服務(wù)器上讀取OA、E-Mail等的敏感信息。

管理員可直接接觸到核心數(shù)據(jù)庫，容易產(chǎn)生誤操作，或惡意操作。

蠕蟲、病毒，往往會(huì)掃描服務(wù)器，進(jìn)行"額外照顧"。

低權(quán)限管理員有可能利用此權(quán)限，"提權(quán)"后進(jìn)行越權(quán)、高危操作。#p#

三、解決方案

1、管理手段

加強(qiáng)安全基礎(chǔ)知識培訓(xùn)，如補(bǔ)丁、口令等知識。

完善管理制度，并確定可執(zhí)行的策略。

2、技術(shù)手段（產(chǎn)品部署與安全策略）

2.1 互聯(lián)網(wǎng)區(qū)

由于本區(qū)域聯(lián)通互聯(lián)網(wǎng)，不存儲(chǔ)任何敏感信息，因此最重要的是保證網(wǎng)絡(luò)的連通性，以確保網(wǎng)絡(luò)聯(lián)通為主，部署如下：

下一代防火墻：部署在互聯(lián)網(wǎng)出口和核心交換機(jī)之間，開啟安全防護(hù)模塊，用以抵御黑客攻擊、實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾、反垃圾郵件、反釣魚郵件，同時(shí)進(jìn)行上網(wǎng)行為管理，對惡意、非法網(wǎng)站進(jìn)行URL過濾，同時(shí)開啟網(wǎng)絡(luò)流量控制，保證業(yè)務(wù)流量。對遠(yuǎn)程辦公用戶，采取VPN撥入方式保證數(shù)據(jù)傳輸安全。

終端安全管理系統(tǒng)：文件操作審計(jì)、打印管理、光驅(qū)刻錄管理、IP地址管理、非法接入控制、非法外聯(lián)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、資產(chǎn)管理、軟硬件安裝管理、文檔加密、ARP防護(hù)。

網(wǎng)絡(luò)防病毒軟件：制定統(tǒng)一的防病毒策略，實(shí)現(xiàn)整網(wǎng)病毒防范。

日志綜合審計(jì)管理系統(tǒng)：Windows/Linux服務(wù)器日志收集與分析；路由器、交換機(jī)、下一代防火墻日志收集與分析；數(shù)據(jù)庫操作日志收集與分析。同時(shí)旁路部署該設(shè)備，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫審計(jì)的功能。

補(bǔ)丁管理系統(tǒng)：建議采用微軟WSUS，進(jìn)行補(bǔ)丁管理。

漏洞掃描系統(tǒng)：對網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、Windows、Linux等的定期漏洞掃描。

CA服務(wù)器：配合USB-KEY，實(shí)現(xiàn)開機(jī)登錄、OA登錄、電子郵件簽名、文檔簽名等功能。

WEB應(yīng)用防火墻：對SQL注入、XSS跨站攻擊等進(jìn)行防范。

主機(jī)入侵防護(hù)PC版：實(shí)現(xiàn)主機(jī)層面的入侵防御。

2.2 辦公網(wǎng)區(qū)與服務(wù)器區(qū)

重要敏感信息全部存儲(chǔ)在本區(qū)域，因此防護(hù)級別較高，部署如下：

下一代防火墻：部署在互聯(lián)網(wǎng)出口和核心交換機(jī)之間，開啟安全防護(hù)模塊，用以抵御黑客攻擊、實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾、反垃圾郵件、反釣魚郵件，同時(shí)進(jìn)行上網(wǎng)行為管理，對惡意、非法網(wǎng)站進(jìn)行URL過濾，同時(shí)開啟網(wǎng)絡(luò)流量控制，保證業(yè)務(wù)流量。對遠(yuǎn)程辦公用戶，采取VPN撥入方式保證數(shù)據(jù)傳輸安全。

終端安全管理系統(tǒng)：文件操作審計(jì)、打印管理、光驅(qū)刻錄管理、IP地址管理、非法接入控制、非法外聯(lián)管理、移動(dòng)存儲(chǔ)介質(zhì)管理、資產(chǎn)管理、軟硬件安裝管理、文檔加密、ARP防護(hù)。

網(wǎng)絡(luò)防病毒軟件：制定統(tǒng)一的防病毒策略，實(shí)現(xiàn)整網(wǎng)病毒防范。

日志綜合審計(jì)管理系統(tǒng)：Windows/Linux服務(wù)器日志收集與分析；路由器、交換機(jī)、下一代防火墻日志收集與分析；數(shù)據(jù)庫操作日志收集與分析。同時(shí)旁路部署該設(shè)備，以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫審計(jì)的功能。

運(yùn)維安全審計(jì)與管理系統(tǒng)：telnet、SSH、Windows遠(yuǎn)程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等應(yīng)用協(xié)議的認(rèn)證、授權(quán)、審計(jì)、賬號管理。以錄像形式存儲(chǔ)內(nèi)部管理員、第三方運(yùn)維人員的各種操作。

網(wǎng)絡(luò)運(yùn)維監(jiān)控系統(tǒng)：支持對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫等的流量、運(yùn)行狀態(tài)監(jiān)控

補(bǔ)丁管理系統(tǒng)：建議采用微軟WSUS，進(jìn)行補(bǔ)丁管理。

漏洞掃描系統(tǒng)：對網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、Windows、Linux等的定期漏洞掃描。

CA服務(wù)器：配合USB-KEY，實(shí)現(xiàn)開機(jī)登錄、OA登錄、電子郵件簽名、文檔簽名等功能。

主機(jī)加固系統(tǒng)：對Windows、Linux服務(wù)器進(jìn)行加固。

網(wǎng)絡(luò)入侵檢測系統(tǒng)：采用旁路抓包方式，對整網(wǎng)流量進(jìn)行監(jiān)控，對內(nèi)網(wǎng)的蠕蟲、木馬、攻擊行為進(jìn)行有效監(jiān)控。

主機(jī)入侵防護(hù)PC版：實(shí)現(xiàn)主機(jī)層面的入侵防御。

主機(jī)入侵防護(hù)服務(wù)器版：對服務(wù)器進(jìn)行入侵防護(hù)。#p#

四、產(chǎn)品清單

1、互聯(lián)網(wǎng)區(qū)

2、辦公網(wǎng)區(qū)與服務(wù)器區(qū)

五、方案特色

采用整合型產(chǎn)品，在保證性能的同時(shí)，減少故障點(diǎn)。

對主機(jī)、網(wǎng)絡(luò)、應(yīng)用層的APT進(jìn)行全方位防護(hù)。

在保證安全的前提下提供便捷措施，如VPN，同時(shí)提供MDM。

BYOD防護(hù)（終端安全管理、HIPS等）。

移動(dòng)存儲(chǔ)介質(zhì)、打印、刻錄管控。

日志綜合管理可對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運(yùn)維日志進(jìn)行統(tǒng)一管理。

運(yùn)維審計(jì)可對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫等進(jìn)行統(tǒng)一運(yùn)維管理。