论内部网络的安全与管理
外部网络的入侵就像一个人被打了脸;
而对内部网络的成功入侵,就像一个人被伤及了五脏六腑……
产品研制背景
普遍认为网络的一边即外部的所有人全是不可信任的,另一边即内部的所有人则均是可信任的, 因此国内外的网络安全产品的功能主要还是侧重在对外部入侵的检测上,主要设计目标也还是集中在防范各种外部的黑客攻击因此包括防火墙在内的一系列的措施得到广泛应用,但权威数据表明,80%的损失是由来自企业内部的攻击、越权访问和误操作所造成的,防火墙等一系列网络边界安全措施在对付来自于网络内部的攻击威胁时则束手无策。
因为内网和外网在网络环境、网络行为和安全策略上存在着重大差异,所以单纯地使用用于防范外网攻击的网络安全管理系统(放火墙,VPN等)以及杀毒软件等已不能满足客户的需要,来自与企业内部的破坏危害更大。
随着内网应用的不断发展,在一定的意义上,内部网络的应用远复杂于传统外部网络的应用,内网甚至包含了许多外网所没有的应用,如各种辅助设计应用、办公自动化系统、各种管理系统、财务系统等。这些应用往往非常庞大,很可能会给系统造成更多的漏洞。并且,如今网络攻击的方法变得越来越简单,人们利用某些黑客软件便可以轻易对网络实施有效攻击。更为重要的是,内部网络上大多数的应用,对企业是很重要的,甚至是必须严格保密的,一旦出现泄密、破坏的事件,将可能产生严重后果。这些都使得内网安全体系问题变得越来越重要和突出,内网安全防护将是今后网络安全市场的重头。
目前国内政府机关、军队、公安、保密部门、各运行商、金融及证券和企事业单位中的网络都具有相当的规模,网络中大量使用计算机终端及其他网络设备。这些设备带来高效应用的同时,又确实存在着安全风险隐患,这迫使我们必须采用相关网络安全技术手段来保障整个网络运行的安全。
当今的网络发展越来越快,网络技术越来越先进,对网络安全要求越来越高。苏州电信对网络的要求不仅仅的局限于内部网络安全,同样侧重于内部网络管理的要求,这是一个全新的需求方向。苏州电信寻求了一些国内外的专业公司来解决这个问题,但是一直没有合适的系统来满足他们这样一个合二为一的需求。作为一个专注于运营商领域的设备供应商,上海网程通信科技发展有限公司从苏州电信的需求中我们看到了一个令人振奋的商机。我们邀请了国内外顶尖的网络安全专家,历时七个月成功开发了网警3000这么一套结合企业内部网络安全需求以及企业管理需求的软件,并已于苏州电信内部网络上实施运用。从技术手段上说,为了保障内网的安全,一款好的安全产品必须对内部网络中各类异常行为的进行监控、分析、记录、预测、响应。网程科技研制开发出的网警3000NETTRUST就具备了上述内网安全防护以及企业管理的功能。
苏州电信网警3000系统拓扑图 苏州电信案例分析
l
苏州电信在没有网警3000的保护下是一个对外,对内都是光秃秃的网络,内部人员可以随意使用网络,单机软件,硬件,网管没有任何日志记录,没有任何防范措施。
l
上图的分析:整个系统的核心是执行平台,每个客户端和每个探测器的信息都汇总到执行平台,然后数据存储到后台数据库,外表体现在系统管理平台上。
l
每台客户机上运行的客户端软件有强大的作用。可以把客户端的所有硬件,软件信息都汇总到执行平台,可以禁止运行管理员禁止运行的进程,可以对注册表监测,有firewal,Hids的功能,对客户机上所有行为进行记录(象打印,mail,上网,定时截屏等)。
l
客户端不能通过客户端卸载,只能由管理端卸载。
l
探测器的功能nids的探测器,把网络里的攻击和入侵的信息汇总到执行平台,同时反馈到主机的firewall上一起联动。
l
执行平台有强大的处理能力,苏州电信有2000个点的用户。
l
管理平台把管理员下达的命令通过执行平台分发到每个客户端。对每个客户端的行为进行实时的监控。
l
上了网警3000后,网络的各种安全功能体现出来,nids可以检测防止来自的攻击,hids可检测来自内部的攻击,firewall可以防止内外的攻击,通过限制客户端运行的进程可以防止病毒和木马,可以方便的管理员工使用计算机的资源,管理员工的上网,方便的对全网数据的监控。
l
…
…
目前单位自身内部网络可以分为以下几种类型
·保密网:政府机关、军队、公安、保密部门的内部机密安全网络,一般采用专门的网络通道,要求具有绝对的内网隔离度。
·内部专网:政府办公网、金融运营网及各系统重要的实时网络,该种网络一般为内部专用网络,此类网络同外部网络采取物理隔离的方式实现相互独立。
· 内部公网:政府机关的普通办公网络、公司企业网,它们通过有限出口接入Internet网络。 (其中许多大型机构已将内部网络组成了广域网络)。
当今网络面临的难题
1、 移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备可能会给网络带来病毒传播、黑客入侵等不安全因素。
2、 内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为。
3、 违反规定将专网专用的计算机带出网络并接入其他网络。
4、 网络出现病毒、蠕虫攻击等安全问题后,不能做到对安全事件源的实时、快速、精确定位及远程阻断隔离操作。安全事件发生后,网管一般通过交换机、路由器或防火墙可以进行封堵,但设置复杂,操作风险大,而且绝大多数普通交换机并没有被设置成SNMP可管理模式,因此不能够方便地进行隔离操作。
5、 大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头,无法找到网络中的薄弱环节,无法做到事后分析和加强安全预警。
6、 静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况。
7、 大型网络系统中区域结构复杂,无法明确划分管理责任范围。
8、 网络中计算机设备硬件设备繁多,无法做到精确统计。
实现的功能
1、
文件监控与控制功能:文件控制功能包括对文件的删除、更名和修改等。
2、
外存监控功能:外存监控功能包括对软驱、光盘、U盘的监控等。
3、
注册表保护功能:对注册表进行增量保护。注册表被非法篡改后,系统可以恢复到以前的正确的数据。
4、
拨号上网控制:客户端软件将自动扫描到客户端有否拨号连接的情况。
5、
终端屏幕记录功能:管理员在需要的情况下可以对终端实行手动抓屏操作。为了管理方便,更可以预设时间频率,系统自动触发条件截屏并储存;同时,在必要的情况下,管理员可以锁定客户机,使其键盘、鼠标等外设失效,甚至在紧急情况下完全控制客户终端机。
6、
控制台与客户端的文字通信功能:在终端机需要帮助的情况下,终端机可和管理系统实时通信求助。
7、
客户机程序管理功能:所有应用程序对网络的访问必须经由控制台授权许可方可访问网络,能禁止客户机运行指定的网络应用程序,也能禁止客户机运行任意指定的程序,同时可以禁止客户机进行嗅探、密码破解等非法操作,还可禁止客户机访问指定的WEB站点。
8、
客户机资料管理功能:可有效的实现终端计算机的资产管理,收集终端计算机的硬件信息、软件信息、操作系统补丁信息、IP地址、网卡MAC地址、主机名、使用人信息等。
9、
客户机控制功能:在某些紧急的情况下,可手动和自动对终端计算机执行相应的安全命令,如断开网络、断开连接、关机、重启等等命令。
10、
入侵检测功能:集成了主机入侵检测功能。
产品构成
网警3000主分为7大部分,可实现对网络设备、服务器、工作站的全面管理:一、执行平台二、管理系统 三、督察系统 四、报表分析系统 五 客户端系统
六入侵检测系统 七 邮件检测系统。
网警3000推荐的系统配置
Windows 2000操作系统,基本配置: PentiumⅢ 500 CPU,128M以上内存;建议选用配置:Windows 2000操作系统,PentiumⅢ 700 CPU,256M以上内存。 区域管理器、SQLserver数据库、Web主控平台均可在一台服务器上安装,或依据区域划分分别安装。SQLserver数据库,用于内网安全管理建立数据库列表项;IIS服务器提供WEB站点,用于web平台进行系统管理和报警信息调用浏览。
公司介绍
网络安全守护神
上海网程通信科技发展有限公司是一家专注于运营商领域的设备供应商,有相当规模的开发队伍及两个产品生产基地,结合苏州电信的实际需求开发出了网络巡警3000并吸收召集了国内外顶尖的技术网络安全专家开发了防火墙、VPN、入侵检测等产品,正全力进军网络安全领域。公司总部位于上海,在北京、广州、杭州、福州、南京、合肥、南宁、济南、成都等地均设有办事处,现已形成了一个覆盖全国、运行高效的营销和服务网络。 我们充分理解网络安全所包含的全部要素,在发展自有技术产品的同时,亦十分重视与其他类型安全产品供应商的技术合作,为客户提供全面的网络安全解决方案。同时,为使客户能够迅速建立起可控的、安全的内网安全或外部网络边缘安全,网程科技积极利用自身的技术优势,为广大企事业单位、政府等以及广泛的系统集成商提供专业的安全网络方案咨询服务,我们期待着与您每一次的合作。
如有产品咨询或技术问题等,欢迎来电查询。
上海网程通信科技发展有限公司
联系人:李纯诚
13371801340
021-64956087
lcc@wangcheng.net
WWW.WANGCHENG.NET
| 
