XXXXX公司 网络安全建设建议方案(五)

2014-12-26 12:06:00
dxt001
原创
2319

接《XXXXX公司 网络安全 建设建议方案(四)》



6.4.3. 病毒过滤网关产品部署的意义

根据上节所述,在****公司网络系统中如果要建立一个完整的防病毒系统,就需要建立一个多层次的防病毒系统,它包括工作站防毒、服务器防毒、网关防毒等。在本项目我们将通过部署病毒过滤网关和桌面杀毒系统,从而实现公司网络中的立体的防毒体系。

6.4.3.1. 病毒过滤网关产品的具体部署

病毒过滤网关产品简述

病毒过滤网关是一个独立的硬件产品,针对通过SMTPPOP3HTTPFTP 等协议传输的内容进行过滤处理,使有害数据无法通过邮件、Internet 访问、文件传输等方式进入到被保护网络。

病毒过滤网关除了可以有效地实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤外,还可以实现蠕虫过滤和动态入侵防御。

根据混合型威胁的不同特点,病毒过滤网关从OSI 七层协议的网络层、传输层、应用层分别进行内容过滤和入侵防御。

l  网络层:实现了基于IP 地址、端口号等网络层特征的传统防火墙过滤功能。

l  传输层:传输层恰恰是蠕虫攻击、黑客攻击数据的理想识别位置,病毒过滤网关可以在传输层有效地拦截蠕虫攻击和动态入侵攻击数据。

l  应用层:能够对多种常用的网络协议(HTTPSMTPPOP3FTP 等)进行深度分析并还原出的原始的传输数据,进行病毒检查、内容检查和蠕虫检查。


部署建议

l  在本方案中分别将一台病毒过滤网关产品串联在市****公司网络与外部网络、子公司相连接线路的防火墙后面,针对从进出病毒过滤网关的SMTPPOP3FTPHTTP等协议的数据流进行病毒扫描,从而提供网关层次的防毒能力。

l  在接入方式上病毒过滤网关的接入非常简单,主要使用透明方式(Bridge 模式)接入用户网络,同时也支持非透明方式(Router 模式,旁路连接)的接入。

l  透明方式采用串联接入,用户基本不需要修改其它网络设备的配置,只须接入到需要保护的网络边界即可。在本方案中病毒过滤网关会自动对所有通过它的网络流量进行识别分析,过滤普通病毒、电子邮件病毒、静态蠕虫、恶意网页代码、非法内容、垃圾邮件、敏感信息等,阻击动态蠕虫扩散,抵御动态入侵行为。

l  在管理上病毒过滤网关的配置管理采用B/S 方式,通过在中心网络的信息中心增加一台工作站作为过滤网管理终端。用户在此工作站上使用浏览器远程查看、修改过滤网关系统配置及各项过滤策略,用户界面友好,操作简单。

在本方案中我们建议部署WWW的病毒过滤网关完整地实现了对SMTPHTTPPOP3FTP 等协议的支持。对于****公司网络中其它特殊协议数据,病毒过滤网关不加任何处理,使其透明通过,保证通讯数据的完整性。由于是基于协议进行过滤的,和用户使用的EmailWWWFTP 等服务器具体细节不直接相关。即使用户更换了新的服务器系统,病毒过滤网关也无需修改或替换,这样可以有效地保护用户的已有投资。

6.4.3.2. WWW病毒过滤网关的优势

强大的过滤功能

l  网络卫士过滤网关支持对数据内容进行检查,可以采用关键字过滤,URL过滤等方式来阻止非法数据进入企业网络,同时也支持对Java等小程序进行过滤等,防止可能的恶意代码进入企业网络。

防垃圾邮件功能

l  网络卫士过滤网关采用业界领先的黑名单技术实时检测垃圾邮件并阻止其进入企业网络,为企业节省宝贵的带宽。

防蠕虫攻击

l  网络卫士过滤网关可以实时检测到日益泛滥的蠕虫攻击,并对其进行实时阻断,从而有效防止企业网络因遭受蠕虫攻击而陷于瘫痪。

自动在线升级

l  网络卫士过滤网关可以按照管理员设定的更新策略自动连接到WWW公司的升级服务器,升级最新的病毒库,保证企业网络得到最有效的保护。

强大的监控功能

l  网络卫士过滤网关提供强大的监控功能,可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等,极大地方便管理员对过滤网关进行监控。

 

6.4.4. 桌面防病毒子系统的部署

为了防止病毒通过移动介质进行传播,比如通过移动硬盘、U盘、光驱、软盘等进行传播,我们建议在最终用户的桌面上部署网络版的杀毒软件。

完善的企业网络防毒解决方案,除了防毒软件的强大功能之外,尚有下列几项重要的问题,需要非常严谨的考虑:

1、防毒软件每台机器都要安装,很麻烦,费力费时!

2、防毒软件装完,防毒工作才真正开始,面对上千台机器的病毒定义码更新,防毒软件要持续同步、实时、有效更新,这些由谁来做?需要多少专人管理。

3、一般行政人员或不太了解计算机人员是否可以轻松使用,简捷更新和升级。

4、在单机上功能强大的防毒软件,若无法在网络上有效地管理则可能弊多于利,因为不是每个使用者都知道如何对防病毒软件的一些功能选项进行设置。是否可以透过某种的轻松方式一次性设定,也就是说,能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单,甚至完全自动化。

5、标准预设的防毒选项设置不一定适用所有的工作站。

6、很难分析统计病毒攻击事件的次数、原因以及来源。

7: 用户都违反MIS Policy,如:用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎,甚至卸载防病毒软件,这样即使装了防毒软件,MIS仍然要到处救火,甚至达不到防病毒的效果。

8: 移动用户太多,无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。

9:是否能够很方便地在多种平台下进行安装、维护升级等工作。

10:是否可以对网络进行全方位、多层次地预防和过滤病毒。

针对上述问题,我们建议,在评估和购买防毒软件时,应考虑以下几个因素:

★ 多层次、全方位的防病毒保护工作环境--跨平台的技术及强大功能

★ 先进的防病毒技术

★ 简易快速的网络防病毒软件安装和维护

★ 集中和方便地进行病毒定义码和扫描引擎的更新

★ 方便、全面、友好的病毒警报和报表系统管理机制

病毒防护自动化服务机制

客户端防病毒策略的强制定义和执行

快速、有效地处理未知病毒

★ 合理的预算规划和低廉的总拥有成本

★ 良好的服务与强大支持

综合用户的实际情况,我们建议用户在选择杀毒软件时,必须从优先考虑软件的功能性和实用性。因此在本方案中,我们建议部署趋势网络版杀毒软件。

6.4.4.1. 部署建议

6.4.4.2. 趋势网络版杀毒软件的优势

趋势网络版杀毒软件不仅仅下载病毒代码、扫描引擎和程序补丁,同时还下载预防策略、垃圾邮件列表、群发邮件病毒列表、清除工具,使得用户在面对象“冲击波”这样恶性病毒的时候,并不是仅仅依靠病毒代码这根救命稻草,而是在病毒代码到来之前通过预防策略就可以获得保护。在后期的病毒清除中,也不再需要手工清除,而是通过工具分发,可以实现集中大清除。一句话,全新的防毒体系统将病毒爆发周期完整地保护起来,面对恶性病毒,用户不用再象从前无奈和无助。

 

网络控制功能

趋势网络版杀毒软件在新病毒出现后,在病毒代码到来之前就可以通过网络控制的手段来阻绝病毒的进一步扩散。这些网络控制的功能包括内容过滤、屏蔽病毒传播端口、共享控制、重要文件/文件夹写保护等,使得外面的病毒进不来、进来的病毒没办法进一步扩散,大大减少病毒造成的损失,而且所有动作都由趋势网络版杀毒软件自动更新执行,即使在深夜有病毒来侵也不用管理员担心。

 

垃圾邮件防范能力

传统的垃圾邮件防范方法采用数据库比对技术,也可以称做是被动式的垃圾邮件拦阻方式,是最传统也是目前最常使用的方法。利用建立垃圾邮件的黑名单数据库,根据来源的IP地址、网域,寄件人的email address或是内容、标头所含的关键词等做为数据库的基础。

好的杀毒软件在采用传统技术的前提下率先采用智能型判断技术,也就是主动式的拦阻方式,根据邮件的多项特征,包括内容、标头、格式等来判断这封email会不会是封垃圾邮件。所以智能型判断的方式可以用来辨识和监测现有与新型的垃圾邮件,提高了垃圾邮件的侦测率和处理效率。

 

清除工具可以集中自动分发

对于在安装防毒软件之前已经发作的病毒,如果病毒已启进程,病毒文件则处于正被调用状态,其它防毒厂商则需管理员一台一台用清除工具手动清除病毒,趋势科技的防毒系统可以象分发病毒代码一样分发清除工具,通过后台运行,全面清除已发作病毒,最大程度保证了病毒的清除效果。


传染源捕捉功能

好的防毒软件通过日志可以方便地找出整个网络系统中的病毒传染源,可以极大提高寻找病毒攻击点的效率,确保将整个网络的病毒风险降至最低。


扫描工具可以找出未安装防毒软件的节点

防毒软件安装一段时间后,由于用户重新格式化硬盘或新购机器,会造成这些节点没有及时安装防毒软件,好的杀毒软件扫描工具可以帮助管理人员迅速地找出未安装趋势网络版杀毒软件的节点,生成Excel报表,同时在未安装的机器上弹出提示信息。

安装、卸载、更新不需要重启

趋势网络版杀毒软件在安装、卸载、更新时都不需要重启服务器,大大减少了对业务系统的干扰,极大降低了安装成本。


版本升级客户端不需要重新安装

趋势网络版杀毒软件在以后软件大版本升级的时候,只要在管理端升级后,客户端就会迅速自动升级到最新软件版本,不需要在客户端重新运行新版本安装程序。

 

全方位、多层次防毒体系

趋势网络版杀毒软件针对病毒的传播途径和驻留场所进行有效防范,构建多层次防护体系,让病毒在网络中没有传播和生存的空间。

6.5. CA认证子系统设计

6.5.1. PKI/CA系统目标

CACertificate Authorities)系统是目前在企业、政府、电子商务中以及几乎所有的使用非对称密钥体制的网络安全系统中最为重要的组成部分。它的基本功能是实现系统中非对称密钥的管理,为****公司网络的身份认证、安全邮件应用等提供可靠的密钥基础。

CA中心,又称为证书认证中心,作为Intranet / Internet通信中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者不能伪造和篡改证书。它将要负责产生、分配并管理所有参与网上信息交换各方所需的数字证书。

****公司网络中CA系统的使用主要是为“单点登陆,全网通行”中的每一个用户提供网络中的唯一身份标识,保证数据的源发可信。

6.5.2. PKI/CA系统的作用

在开放的网络上要求为信息安全提供有效的、可靠的保护机制。这些机制必须提供机密性、身份验证特性(使通信的每一方都可以确认对方的身份)、不可否认性(通信的各方不可否认它们的参与)。这就需要依靠一个可靠的第三方机构来验证,而认证中心(CACertification Authority)专门提供这种服务。

证书机制是目前被广泛采用的一种安全机制,使用证书机制的前提是建立CACertification Authority ——认证中心)以及配套的RARegistration Authority_注册审批机构)系统。

在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。认证中心就是一个负责发放和管理数字证书的权威机构。同样CA允许管理员撤销发放的数字证书,在证书废止列表(CRL)中添加新项并周期性地发布这一数字签名的CRL。具体地说,CA4大职能:证书发放、证书更新、证书撤销和证书验证。

RARegistration Authority),数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作。同时,对发放的证书完成相应的管理功能。RA系统是整个CA中心得以正常运营不可缺少的一部分。

****公司网络中,每一个独立的单位将建立和根CA结合的RA,在每个单位中由专人来负责网络中的每一个证书申请者的信息录入、审核并最终将证书发放到每一个公务员,同时负责证书的管理及其延伸工作。

****公司网络中CA系统使用为“单点登陆,全网通行”提供坚实的基础平台。

构建安全的密码服务系统的核心内容是如何实现密钥管理,公钥体制涉及到一对密钥,即私钥和公钥。私钥只由持有者秘密掌握,无须在网上传送,而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案就是引进公钥证书机制。

公钥证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中,必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。CA正是这样的机构,它的职责归纳起来有:

l  验证并标识证书申请者的身份;

l  确保CA用于签名证书的非对称密钥的质量;

l  确保整个签证过程的安全性,确保签名私钥的安全性;

l  证书材料信息(包括公钥证书序列号、CA标识等)的管理;

l  确定并检查证书的有效期限;、

l  确保证书主体标识的唯一性,防止重名;

l  发布并维护作废证书列表;

l  对整个证书签发过程做日志记录;

l  向申请人发通知。

下图给出了一个简单的CA的系统模型,并给出相应的CA系统的工作流程。简单描述如下:



CA系统模型


(1)新用户注册

初次加入系统的用户,应向CA服务器注册,并提交相关的信息文件及其所产生的公钥。

(2)证书发布

CA收到新用户的注册请求后,CA服务器首先效验其身份,若验证合法,则根据其提交的公钥为该用户产生一个合法证书。

(3)用户间的认证

用户之间凭借各自的公钥证书,实现相互的身份认证。

以上,仅仅给出的是一个CA系统的简化模型,在图中,用户可以是一个单纯的系统用户,也可以是某个应用服务器。而用户间的通信可以包括所有的系统网络实体之间的通信,它可以是两个普通用户之间的保密通信(如E-mail、文件传输等),也可以是传统的客户-服务器模式的通信(如:Web访问、ftp等等)。

在实用中,CA系统需要更详细的模块划分,并需要更复杂的协议支持,这在实施方案中给出具体的实现。

6.5.3. PKI/CA系统的部署方案

针对****公司网络计算机系统的特点和要求,****公司网络中,CA系统的实现可有两种参考方案,一种是自建CA中心系统;另外是采用委托的方式来建立CA系统,来减轻建设和维护的成本。考虑该网络目前为专网情况,所以在后面提供自建CA中心系统的方式。

1、             构建CA体系时,需要遵循以下几条原则:

n  为了和****公司网络现有机构组织方式相一致,对CA系统进行分级建设,各CA机构的服务依据业务类型进行划分;

n  ****公司网络中CA体系的实体运营、管理维护应由信息中心统一负责。


CA系统总体结构

根据****公司网络的实际业务需求,****公司网络的CA中心分解为三大组成部分:CA(认证中心)RA(注册中心)DS(目录服务器)。其中CA认证中心又分为Root CA和一级CA两部分:Root CA主要是负责制定和审批总体政策(Policy)、签发并管理第二层CA的证书及证书撤销列表(CRL)、与其他根CA进行交叉认证制订具体政策、管理制度和运作规范等。

Root CA下设一个一级CA,负责直接给最终用户发放支持各种应用的数字证书,并管理其所发证书和证书撤销列表(CRL)。


CA认证中心主要完成如下功能:

l  公钥、私钥的生成;

l  证书的签发;

l  证书的更新;

l  证书的验证;

l  证书的撤销。

RA注册中心具有如下功能:

l  申请者信息录入;

l  审核申请;

l  证书的发放。

DS(目录服务器)提供的功能如下:

l  证书的存储;

l  证书的管理和查询;

l  证书的审计;

l  其它功能。


CA中心的功能组成

****公司网络中,CA中心是实现对全系统用户统一管理的核心机构,按照不同的功能,可以将CA中心分为以下几个重要组成部分:

系统密钥生成机构

主要负责自身密钥的产生、存储、备份/恢复、归档和销毁。

CA中心具有其自身的密钥对,它通过公布其公钥,使得****公司网络中的每个实体都可以验证其收到的证书的有效性。CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。需要强调的是,CA中心密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。

系统注册机构

主要负责接收来自本地的、内部局域网的以及来自Internet****公司网络的单个用户、合作伙伴、应用服务器、网关等等的证书申请,并将材料完全的用户信息提交到审核机构,对于材料不完整的申请,提示申请用户从新提交。

用户身份审核机构

负责对初次申请证书的用户的身份的审核,对于某些特殊部门的证书,其证书的审批控制,可根据要求由独立于CA的中心审核机构来完成。

证书发行机构

主要负责为通过身份审核的用户产生一个合法证书,并负责证书的发放工作。需要指出的是,出于安全性的考虑,本方案要求用户的密钥由CA统一产生,但CA不存储用户的私钥。证书发行机构可使用硬件加密服务器,为多个客户申请成批的生成密钥对,然后采用安全的信道分发给客户。也可由多个注册机构(RA)分布生成客户密钥对并分发给客户。证书发行后,通常在CA中心的数据库保留一个拷贝。

用户证书管理机构

主要确定用户密钥生存期,实施更新管理,负责通知证书有效期即将到期的用户,更新其证书。另外,用户证书管理机构的一个重要任务是为用户提供密钥托管和密钥恢复服务。CA中心可根据用户的要求提供密钥托管服务,备份和管理用户的加密密钥对。当用户需要时可以从密钥库中提出用户的加密密钥对,为用户恢复其加密密钥对,以解开先前加密的信息。这种情形下,CA中心的密钥管理器,采用对称加密方式对各个用户私钥进行加密,密钥加密密钥在加密后即销毁,保证了私钥存储的安全性。密钥恢复时,采用相应的密钥恢复模块进行解密,以保证用户的私钥在恢复时没有任何风险和不安全因素。同时,CA中心也应有一套备份库,避免密钥数据库的意外毁坏而无法恢复用户私钥。

证书注销机构

证书注销机构也是CA中心的一个重要组成部分,它的主要功能是处理吊销一些有问题的证书。公钥证书的吊销来自于两个方向,一个是CA中心的主动吊销,另一个是用户主动申请证书的吊销。当CA中心对****公司网络中某个用户不能信赖时(如CA中心发现某个用户的私钥有泄露的可能),它可以主动停止该用户公钥证书的合法使用或当CA中心发现某个过期的公钥证书还未进行更新注册,CA也将吊销该证书。另一个是当用户发现自己的私钥泄露时,也可主动申请公钥证书的吊销,防止其他用户继续使用该公钥来加密重要信息,而使非法用户有盗取机密的可能或冒充丢失私钥的用户进行违法活动。一般而言,在****公司网络的实际应用中,可能会较少出现私钥泄露的情况,多数情况是由于某个用户由于组织变动而调离某部门,需要提前吊销代表该部门身份的用户的公钥证书。另外,对于被吊销的公钥证书,注销机构应该及时的公布RCLRevocation Certificate List),这主要包括,吊销证书的序列号、证书持有者名称等相关信息。同时,证书注销机构应设定时间尽量短的刷新周期。

(1)        ****公司网络中用户的管理与证书的分类

由于****公司计算机系统包括各类不同的用户(在这里,我们把所有的网络实体都看作用户,如:普通用户、某类应用服务器、安全网关等)如果当每个用户接入不同的业务时,都需要提供不同的密码口令,这显然对于用户来说太麻烦,而对于系统各类服务器而言,管理起来也非常烦琐,从安全角度考虑,这种方法也有很多隐患,如一旦某个服务器受到攻击,则相关的用户的口令信息将会全部暴露。

采用CA公钥证书系统,对于****公司网络计算机系统中每个网络实体,可以用其公钥证书唯一标识。不论该网络实体从事任何业务,都可使用其公钥证书并结合其私钥,应用相关的安全协议(即采用数字签名,证明某个用户知道与其公钥证书中的公钥相对应的私钥,),从而唯一的标识其真实身份。显然,采用CA公钥证书的结构后,****公司网络中的用户管理可以变的十分清晰简洁,因为用户的任何网络行为都将和其拥有的公钥证书(代表其身份)联系起来,也就是说,用户的行为是无法冒充,同时也是无法抵赖的。

用户管理的另一个重要的方面就是如何控制不同级别的用户有不同权限(如:资源的访问、接入控制、数据库的修改等等),在****公司计算机系统中,为了减轻各类服务器的接入负担,我们可以在用户原有的公钥证书的基础上(X.509)做修改,加入用户的级别信息。这样,当某个用户进行某项业务或应用时,响应服务器只需首先验证该用户的证书的有效性,然后,按照用户证书中给出的级别,给该用户相应的权限。下面,我们给出****公司网络计算机系统中可能需要的不同的证书类型:

(2)        个人数字证书

个人数字证书代表个人身份,用于发送安全电子邮件或网上信息交换的身份认证(可以根据用户的身份设定不同等级的用户,在其个人数字证书中体现出来)。

(3)        服务器数字证书

服务器数字证书代表服务器的身份。在****公司网络中将存在大量的服务器,如Web ServerFtp server等等。服务器数字证书的级别将比个人数字证书的级别高一些。

(4)        机构数字证书

机构数字证书代表机构身份,在****公司网络计算机系统中,安全网关、某些子公司都可申请机构数字证书。可用于发送安全电子邮件或网上信息交换的身份认证;

(5)         代码签名数字证书

代码签名数字证书代表软件开发者(或提交者)身份,这样可以防止一些冒充合法的用户提交的恶意代码。

通过以上我们可以看出****公司CA系统中采用自建CA中心的方案在前期的建设投入相对较大,但可降低后期的建设费用。自建CA中心方案的优势是****公司网络可自主利用CA系统进行宏观调控。

在本次方案建设中,我们建议部署中铁信安身份认证系统。

6.5.4. CopSap身份认证系统的优势

CopSap安全认证平台作为一个网络环境的安全支撑平台,提供基本的安全认证机制,在安全基础设施的基础上,保证了应用安全,同时提供给应用系统安全构件,为进一步的安全措施作准备(如VPN等)。CopSap安全认证平台具有以下特点:

l CopSap具有多因子的身份认证机制。CopSap进行身份认证的因子有用户名/口令/证书、计算机硬件信息、安全USB小钥匙等,多个因子共同完成认证主体身份的真实性,其中任何一个因子认证的不成功,都会造成认证主体认证的失败,从而保证认证的可靠性。

    文章分类
    联系我们
    联系人: 牟经理
    电话: 028-85666248
    传真: 028-85666248-8008
    Email: business@cd-dxt.com
    QQ: 489323802
    微信: cddxt
    旺旺: dreamsilcon
    网址: www.cd-dxt.com
    地址: 成都市大件路白家段280号(空港国际城)7栋4单元
    购买咨询:销售咨询 技术咨询:技术咨询 阿里旺旺:点击这里给我发消息 网络发烧友:网络发烧友