啟明星辰全面保障四川省公安信息網(wǎng)絡(luò)安全

隨著四川省公安信息化建設(shè)的快速發(fā)展,信息化應(yīng)用為公安機(jī)關(guān)打擊犯罪、維護(hù)社會(huì)穩(wěn)定發(fā)揮著不可替代的作用,公安人員在各項(xiàng)公安業(yè)務(wù)工作對(duì)公安信息網(wǎng)的依賴程度日益加深。公安信息網(wǎng)已成為四川省各級(jí)公安機(jī)關(guān)和廣大民警履職盡責(zé)的重要工具。公安信息網(wǎng)在發(fā)揮重要作用的同時(shí),自身安全也變得越來(lái)越重要。公安信息網(wǎng)一旦遭到攻擊或非法入侵,不僅危害公安信息網(wǎng)和信息資源的安全,影響公安工作的正常開展,還會(huì)給國(guó)家利益和國(guó)家安全帶來(lái)嚴(yán)重威脅。

為了應(yīng)對(duì)各種安全風(fēng)險(xiǎn),保障公安網(wǎng)絡(luò)及其信息資源的安全,四川省公安選用了啟明星辰的全系安全產(chǎn)品來(lái)為其提供全面、可靠的安全保障。

安全域劃分

遵循IATF的縱深防御思想和IA原則,結(jié)合四川省公安信息網(wǎng)絡(luò)的實(shí)際情況,啟明星辰對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行了安全域劃分。啟明星辰將整個(gè)網(wǎng)絡(luò)劃分為邊界接入域、計(jì)算環(huán)境域、網(wǎng)絡(luò)設(shè)施域和支撐設(shè)施域四個(gè)安全域;每個(gè)安全域又分為不同的安全區(qū),如根據(jù)接入的現(xiàn)狀將邊界接入域劃分為外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)和邊界接入平臺(tái)四個(gè)不同的接入?yún)^(qū)。

在這四個(gè)安全域中,所面臨的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)的危害程度是各不相同的,防護(hù)的重點(diǎn)也不一樣,需要根據(jù)每個(gè)安全域的特點(diǎn)制定相應(yīng)的安全策略,部署相應(yīng)的安全產(chǎn)品。

邊界接入域

網(wǎng)絡(luò)邊界的綜合安全防護(hù)

邊界接入域所面臨的主要威脅包括非授權(quán)訪問(wèn)、來(lái)自外部的入侵、蠕蟲病毒等,因此在邊界接入域上需要采取訪問(wèn)控制(防火墻)、安全遠(yuǎn)程接入(VPN)、防病毒和網(wǎng)絡(luò)入侵防御等多種安全防護(hù)措施,全面應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

針對(duì)邊界接入域的防護(hù)需求,啟明星辰在邊界接入域各接入?yún)^(qū)的邊界位置部署天清漢馬USG一體化安全網(wǎng)關(guān),以提供綜合的安全防御。

天清漢馬USG一體化安全網(wǎng)關(guān)是國(guó)內(nèi)領(lǐng)先的UTM產(chǎn)品,市場(chǎng)份額在2007年和2008年連續(xù)兩年位居國(guó)內(nèi)廠商前茅。天清漢馬USG除具備防火墻的狀態(tài)檢測(cè)和訪問(wèn)控制功能外,還具備VPN、網(wǎng)關(guān)防病毒、網(wǎng)絡(luò)入侵防御(IPS)、抗拒絕服務(wù)(DoS)攻擊等高級(jí)安全功能,能夠?yàn)榫W(wǎng)絡(luò)邊界提供立體化的縱深防御,并大大簡(jiǎn)化網(wǎng)絡(luò)邊界的安全部署。天清漢馬USG采用了高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì),在開啟多種安全防護(hù)功能之后,仍然能夠確保高性能和低延遲,可謂是邊界防御的理想之選。

計(jì)算環(huán)境域

核心業(yè)務(wù)安全防御和合規(guī)保障

計(jì)算環(huán)境域包含了公安信息網(wǎng)中核心的業(yè)務(wù)平臺(tái)和業(yè)務(wù)服務(wù)器,其所面臨的主要威脅是外界對(duì)應(yīng)用系統(tǒng)的攻擊和入侵行為,尤其是SQL注入攻擊和跨站腳本(XSS)攻擊對(duì)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)所帶來(lái)的嚴(yán)重危害。另外,內(nèi)部人員越權(quán)、濫用、操作失誤和抵賴等行為所帶來(lái)的安全風(fēng)險(xiǎn),也需要進(jìn)行積極的防范。

以核心計(jì)算域核心服務(wù)器區(qū)的防護(hù)為例,針對(duì)外部的攻擊和入侵行為,可以通過(guò)部署千兆天清NDP入侵防御系統(tǒng)(IPS)來(lái)提供深層防御。天清IPS可以防御傳統(tǒng)防火墻發(fā)現(xiàn)不了的4~7層深層攻擊行為,如緩沖溢出、木馬后門、蠕蟲病毒等,能夠進(jìn)一步提升對(duì)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)的防御能力。針對(duì)日益泛濫的SQL注入攻擊、跨站腳本攻擊等網(wǎng)絡(luò)攻擊行為,天清IPS采用了攻擊機(jī)理分析的檢測(cè)技術(shù)。與傳統(tǒng)的基于數(shù)據(jù)特征匹配和基于異常模型構(gòu)建的檢測(cè)方相比,基于攻擊機(jī)理分析的檢測(cè)技術(shù)有著更低的漏報(bào)率和誤報(bào)率,能夠?qū)W(wǎng)絡(luò)攻擊行為進(jìn)行精確的判斷和阻斷,不會(huì)因?yàn)檎`警而影響網(wǎng)絡(luò)的正常應(yīng)用。

針對(duì)內(nèi)部合規(guī)審計(jì)和管理的需求,通過(guò)部署啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng),可以做到對(duì)重要數(shù)據(jù)庫(kù)和關(guān)鍵業(yè)務(wù)應(yīng)用的行為審計(jì)。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過(guò)對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào),能夠幫助用戶實(shí)現(xiàn)事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控和違規(guī)響應(yīng),以及事后合規(guī)報(bào)告和追蹤回放,從而加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管,避免核心資產(chǎn)(數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失,保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。

網(wǎng)絡(luò)設(shè)施域

網(wǎng)絡(luò)行為和流量監(jiān)控

網(wǎng)絡(luò)設(shè)施域內(nèi)的各種網(wǎng)絡(luò)設(shè)備,承載著公安信息網(wǎng)內(nèi)所有的業(yè)務(wù)和通信流量,面臨著漏洞利用、數(shù)據(jù)竊聽、通信鏈路故障等風(fēng)險(xiǎn)。除了通過(guò)各種措施保證通信鏈路的可靠性以外,還需要對(duì)網(wǎng)絡(luò)中的各種安全事件、網(wǎng)絡(luò)流量的分布情況進(jìn)行監(jiān)測(cè),并根據(jù)監(jiān)測(cè)到的信息及時(shí)調(diào)整安全策略。

針對(duì)網(wǎng)絡(luò)設(shè)施域的防護(hù)需求,啟明星辰在信息網(wǎng)的核心交換機(jī)上旁路部署天闐入侵檢測(cè)系統(tǒng)(IDS),來(lái)對(duì)全網(wǎng)的安全事件和流量信息進(jìn)行監(jiān)控。

啟明星辰的天闐IDS連續(xù)六年(2003~2008年)蟬聯(lián)國(guó)內(nèi)IDS市場(chǎng)領(lǐng)先地位,是名副其實(shí)的中國(guó)IT安全市場(chǎng)入侵檢測(cè)知名品牌。天闐IDS可以監(jiān)視端口掃描、木馬后門攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等各種入侵事件,并在發(fā)生嚴(yán)重入侵事件時(shí)通過(guò)屏幕提示、郵件告警、E-mail告警等多種方式向管理員提供報(bào)警。天闐IDS還可以對(duì)全網(wǎng)的流量情況進(jìn)行全局分析,提供實(shí)時(shí)的流量統(tǒng)計(jì)圖,幫助網(wǎng)絡(luò)管理員直觀地掌握網(wǎng)絡(luò)中各種應(yīng)用的分布情況。

支撐設(shè)施域

脆弱性評(píng)估和內(nèi)網(wǎng)安全

支撐設(shè)施域范圍很廣,包含了信息網(wǎng)中所使用的業(yè)務(wù)應(yīng)用運(yùn)維系統(tǒng)、公用秘鑰體系、安全管理體系等各種支撐體系。支撐域所面臨的風(fēng)險(xiǎn)主要有兩方面:一方面是支撐域中的各種終端、網(wǎng)絡(luò)設(shè)備、服務(wù)器可能存在的漏洞和脆弱性,這些漏洞和脆弱性能夠被不法分子利用以進(jìn)入內(nèi)部網(wǎng)絡(luò),非法獲取內(nèi)部信息資產(chǎn);另一方面來(lái)自于內(nèi)部人員,員工的不規(guī)范操作、終端隨意接入、權(quán)限私自共享等行為,往往會(huì)導(dǎo)致傳輸泄密、網(wǎng)絡(luò)癱瘓、文件破壞等嚴(yán)重后果。

對(duì)于資產(chǎn)的脆弱性風(fēng)險(xiǎn),通過(guò)在支撐域中部署天鏡脆弱性掃描和管理系統(tǒng),可以快速發(fā)現(xiàn)網(wǎng)絡(luò)中的各種資產(chǎn),并對(duì)資產(chǎn)進(jìn)行識(shí)別;對(duì)網(wǎng)絡(luò)中的核心服務(wù)器、各種終端、重要的網(wǎng)絡(luò)設(shè)備,包括服務(wù)器、交換機(jī)等進(jìn)行安全漏洞檢測(cè)和分析;對(duì)于發(fā)現(xiàn)的漏洞,給出修復(fù)建議和預(yù)防措施,并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核,從而幫助客戶在弱點(diǎn)全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。

對(duì)于內(nèi)部人員風(fēng)險(xiǎn),通過(guò)在業(yè)務(wù)和運(yùn)維終端部署天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)控制和安全管理系統(tǒng),能夠?qū)θW(wǎng)的接入主機(jī)進(jìn)行補(bǔ)丁自動(dòng)分發(fā)和終端合規(guī)檢查,杜絕不安全的終端接入內(nèi)網(wǎng)。使用天珣?yīng)氂械膬?nèi)核加密技術(shù),可實(shí)時(shí)動(dòng)態(tài)加解密,以及基于用戶角色的關(guān)鍵數(shù)據(jù)受控共享,結(jié)合完善的防非法外聯(lián)技術(shù),能夠有效切斷數(shù)據(jù)非法傳播途徑,從根本上解決數(shù)據(jù)防泄密問(wèn)題,保護(hù)用戶關(guān)鍵信息資產(chǎn)。

小結(jié)

啟明星辰擁有完整的安全產(chǎn)品線,涵蓋了從邊界綜合防御到服務(wù)器深層防御的安全防護(hù)類產(chǎn)品,從業(yè)務(wù)安全到終端安全的全流程安全審計(jì)類產(chǎn)品,從入侵檢測(cè)、漏洞掃描到掛馬監(jiān)測(cè)的各種安全檢測(cè)類產(chǎn)品,能夠?yàn)榭蛻籼峁┤轿坏陌踩Ｕ?。在四川省公安系統(tǒng)的案例中,啟明星辰的安全專家對(duì)用戶的網(wǎng)絡(luò)進(jìn)行了安全域劃分,明確了各安全域的防護(hù)需求和防護(hù)目標(biāo),并制定了各安全域的安全防護(hù)方案。在該方案中,啟明星辰的各種安全產(chǎn)品既各司其職又互相加強(qiáng),通過(guò)安全防護(hù)技術(shù)和安全管理手段的緊密結(jié)合,確保了用戶安全無(wú)盲點(diǎn)。