【拯救赵明】 拿什么拯救我的网站
活动链接:http://51ctoblog.blog.51cto.com/26414/300667
clip_p_w_picpath002
喜欢本文请抽空帮我投下票哈~谢谢各位!
投票地址:http://netsecurity.51cto.com/secu/rescuezm/cassdisplay/xindex.php
clip_p_w_picpath002
一、方案目录省略 
随着互联网技术的不断发展,企业开始更多地使用互联网来交付其关键业务应用,企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行,尤其是企业数据中心关键业务应用的高可用性,所以企业越来越关注如何在最大节省IT成本的情况下维持关键应用7×24小时工作,保证业务的连续性和用户的满意度。
    而对于企业而言,其业务的完整快速的交付,其关键在于如何在用户和应用之间建立快速的访问通过,为用户提供优质的服务;众所周知, 随着访问用户数量的增加,会给单位的服务器和链路带来越来越大的压力,如何有效的保证客户访问速度,实现访问流量在各链路和服务器上均衡分配,充分利用各链路和服务器资源,是目前企业网络改造的重要目标。
在链路方面,为解决单一链路所带了的网络单点故障以及脆弱性和国内所存在跨运营商的问题的,目前大部分的企业都部署了多条互联网链路,来提升网络链路的可靠性; 这样通过每条互联网链路为内网分配一个不同的IP地址网段来实现对链路质量的保证。这样的解决方案虽然能够解决一些接入链路的单点故障问题,但是这样不仅没有实现真正上的负载均衡,而且配置管理复杂。
1、路由协议不会知道每一个链路当前的流量负载和活动会话。此时的任何负载均衡都是很不精确的,最多只能叫做“链路共享”。
2、出站访问,有的链路会比另外的链路容易达到。虽然路由协议知道一些就近性和可达性,但是他们不可能结合诸如路由器的HOP数和到目的网络延时及链路的负载状况等多变的因素,做出精确的路由选择。
3、入站流量,有的链路会比另外的链路更好地对外提供服务。没一种路由机制能结合DNS,就近性,路由器负载等机制做出判断哪一条链路可以对外部用户来提供最优的服务。
所以说,传统的多链路接入依靠复杂的设计,解决了一些接入链路存在单点故障的问题。但是,它远远没有把多链路接入的巨大优势发挥出来。
在服务器方面, 由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器,实现动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配,使每台服务器的处理能力都能得到充分的发挥,扩展应用系统的整体处理能力,提高应用系统的整体性能,改善应用系统的可用性和可用性,降低IT投资。
服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它主要能够带来两方面的价值:
1、建立有效的负载均衡机制。传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的,不能根据服务器提供服务的具体情况向其转发有效的访问流量,通过构建新的负载均衡系统,可以采用多种负载均衡机制,根据服务器的负载能力智能确定该服务器所分担的负载。主要能够解决如下两个方面的问题:首先,大量的并发访问或数据流量将会被分担到多台设备上分别处理,进而减少用户等待响应的时间;再者,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高。
2、建立有效的健康检查机制。负载均衡系统应该可以对服务器的运行状况做出准确判断,确保提供的服务的正确。全面的健康检查机制不仅可以有效的监控到服务进程的有效性,即可以对应用端口提供服务的能力进行健康检查,而且对于其后应用逻辑造成的同样可以提供有效的检查机制,从而避免了客户端可以访问到服务器,但得不到正确的响应情况出现。
二、 需求分析
    1、服务器的稳定访问。
    2、利用安全防护设备预防***的发生。
    3、在被***的过程中,能及时告诫管理员,并记录和阻断骇客行为、特征。
    4、方案中以被***前防御和被***时阻断、记录***行为的设备为主。
095240105
2.1多链路负载均衡
    为了提升赵明公司的网站及应用系统的稳定性和可靠性,赵明公司已经部署多条互联网链路以保证网络服务的质量,消除单点故障,减少停机时间。目前需要在如下两种情况下实现多条链路的负载均衡:
1、内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为出站流量的负载均衡。
2、互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。
正对上述问题,我们推荐使用台湾众至Sharetech的解决方案,可以智能的解决上述问题。
2.2服务器负载均衡
    随着访问用户数量的增加,给赵明公司的服务器带来越来越大的压力,如有有效的保证客户访问速度,实现访问流量在各服务器上均衡分配,充分利用各服务器资源,是目前赵明公司网络改造的重要目标。
赵明公司系统中有多台服务器,如果采用服务器群,会造成访问地址的复杂化和负载不平衡。对于每台服务器都必须有相应的唯一的IP地址,给用户的访问和网络管理带来不便;这些服务器之间的流量分配是随机的,不会考虑服务器当前的负载情况,在某些情形之下反而造成连接失败。
为了解决上述存在的问题,赵明公司希望通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到,并且故障服务器将会被自动隔离,直到其恢复正常后自动加入服务器群,实现透明的容错,保证服务器整体性能得到大幅提升。
2.3服务器的安全防护
    随着网络***行为的愈演愈烈,不时传出有知名网站被******的新闻,使得企业闻黑色变,想方设法的提升自身网络防骇***的能力,然而并不是所有的企业都有这样的实力。
***通过高明的计算机技术,侵入别人的网络系统,大肆破坏受害者计算机系统内的文件,或者窃取各种机密信息以达到不可告人的目的。为了能及时的找出这些隐藏着的破坏者并且能阻止其破坏活动所以需要借助安全设备来保护服务器不受***,稳定运行。
2.4 WEB服务器防篡改
    近几年我国信息化发展迅猛,各行各业根据自身需要大都进行了网站建设,用于信息发布、网上电子商务、网上办公、信息查询等等,网站在实际应用中发挥着重要作用。尤其是我国电子政务、电子商务的大力开展,网站建设得到了空前发展。然而不幸的是,***强烈的表现欲望,国内外非法组织的不法企图,商业竞争对手的恶意***,不满情绪离职员工的发泄等等都将导致网页被“变脸”。网页篡改***事件具有以下特点:篡改网站页面传播速度快、阅读人群多;复制容易,事后消除影响难,预先检查和实时防范较难,网络环境复杂难以追查责任。此外,***工具简单且向智能化趋势发展,据不完全统计,我国98%以上的站点都受到过不同程度的******,***形式繁多,网站的安全防范日益成为大家关注的焦点,尤其是政府、金融类网站最易成为***目标。
2.5 内网安全管理
    目前的安全措施主要是针对外部网络的访问控制问题,对于内部网络的安全,仅仅局限在简单的权限控制和防病毒软件方面。然而,根据权威组织的调查报告显示,传统的***、***、病毒等外部威胁仅占20%,而内部泄密、***、违章、管理不善等内部威胁竟高达80%,真正的威胁来自网络内部。但是目前正在用90%以上的投入解决20%的外部安全威胁问题,而面对高达80%的内部安全威胁,投资几乎微乎其微。同时,如何有效地对内部网络系统进行管理,也是提高办公效率的关键。
三、解决方案
   3.1网络拓扑
    根据赵明公司网络架构和需求情况,我们推荐使用台湾众至Sharetech负载均衡安全网关、北京智恒WebGuard网页防篡改系统、长沙锐安信息Niordsec的内网安全平台的综合产品解决方案。本方案设计采用的SharetechAW设备包括服务器负载和多链路负载均衡二合一功能,实现网络中多链路和服务器的智能负载;WebGuard的网页防篡改系统保护WEB服务器;Niordsec内网产品实现整体内网网络的安全管理;具体部署情况示意图如下:
clip_p_w_picpath009
3.2方案描述
3.2.1方案设计总体描述
    本方案设计采用台湾众至Sharetch AW设备来实现网络中实现多条链路的负载均衡和服务器的负载均衡及服务器安全***防护;WebGuard网页防篡改系统保护web服务器;Niordsec内网安全产品实现整个内网终端的系统安全。
3.2.2多链路负载均衡具体实现方式如下:
    1、内部用户需要访问外部服务器,将访问请求发送至Sharetech AW负载平衡网关,Sharetech AW负载平衡网关根据数据包的目的地址判断传输线路。访问电信的数据从电信线路传输,访问网通的数据从网通线路传输;
2、AboCom负载平衡网关将数据发送至目的主机;
3、目的主机收到数据并作出回应,将数据发送给用户。
    技术及优势
1、自动(Auto mode):自动选择最佳模式(依实际频宽比例);
2、循环分配(Round Robin):W1eW2 eW3 eW1eW2eW3 …
3、联机(Session)分配:自订W1:W2:W3…之Session比例;
4、流量分配(Traffic):依照Byte数;
5、封包(Packet)分配:依照Packet数;
6、埠(Port):依照来源或目的地网际服务指定埠做指定传输的动作(by AP);
7、地址(IP):依照来源或目的地IP地址做指定传输的动作(by User);
8、合并带宽 & 节约用费;
9、主动实时线路备援(Auto Backup)机制。
服务器负载均衡具体实现方式如下:
1、客户发出服务请求到Sharetech AW设备
2、Sharetech AW接收到请求,通过预先设定好的负载均衡算法,将数据包中目的IP地址改为选中的后台服务器IP地址,然后将数据包发出到后台选定的服务器
3、后台服务器收到后,将应答包按照其路由发回到Sharetech AW
4、Sharetech AW设备收到应答包后将其中的源地址改回成VIP的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。
对于所有应用服务器,可以在Sharetech AW上配置Virtual Server实现负载均衡。
3.2.3服务器安全防护具体功能如下
    IDP(***侦测防御)可有效防护威胁***并提供『特征数据库』(Signature Databas)2,900个以上预设***模式,并可主动在线更新。
    预设的『特征数据库』可允许用户自行修改它的Action与级数。
    具备两种Action的模式:Pass 及 Drop 。
    可另外自行定义『特征数据库』,藉以防范新类型***。
    提供威胁***记录及报表查询功能,以方便分析。
    报表查询可查看以下记录:Source IP or Destination IP相关记录、特征分类相关记录、相关事件内容记录。
病毒过滤 (Anti-Virus) 可同时使用内建Clam 及选购 Sophos两种病毒过滤引擎,可准确地找出夹藏在邮件中的病毒或隐藏于HTTP(Web)及FTP服务内的病毒,且能永久免费的自动更新病毒码(Clam)。这可让SV3550的病毒防护功能,能以最少的成本,永远保持在最新的状态。并且可以对HTTP(Web及FTP的存取做病毒扫描,让网络达到最严密的防护。
监控稽核及统计记录针对每笔进出网络的封包做不同的记录处理,如系统效能评估,被非法***时的证明和追查依据,提供图表方式记录过去(日/时/分)时间所有封包的统计流量,并以实时图形化流量分析统计(MRTG),方便分析与追踪网络使用情况。
3.2.4 WEB服务器防篡改实现方式如下
    我们将篡改监测的核心程序通过内核文件底层驱动内嵌到操作系统中,通过事件触发方式进行自动监测,对文件夹的所有文件内容(包含html、asp、jsp、php、jpeg、gif、bmp、psd、png、flash 等各类文件类型)对照其多个属性,经过内置散列快速算法,实时进行监测,若发现变更,实时阻断篡改行为。通过非协议方式,纯内核安全出站校验方式检查出站内容的完整性可靠性,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高水准。
clip_p_w_picpath011
3.2.5内网安全管理实现方式如下
    NiordSec内网安全平台是一个完善的内网安全防御体系,与常规的网络监控或行为控制软件不同,它综合考虑了内网数据安全和内网有序管理两个方面,结合操作系统内核数据加密、网络智能控制和行为分析等先进技术,对组织的内部网络进行综合、高强度的保护。
在系统架构上,NiordSec内网安全平台由一个基础平台和六个子系统组成,如下图所示,其中基础平台对整个内网安全系统提供基础设施支撑,如预警、日志、管理员管理、报表系统等;另外六个子系统分别从网络认证授权、桌面管理、网络监控、移动存储介质管理、网络分域管理以及文档安全管理六个方面,对内网安全各个层面的需求进行满足。
clip_p_w_picpath013
3.2.6易于管理性
    Sharetech AW产品提供https的安全Web中英文的界面管理;
Sharetech AW产品还能够全面统计会话数的运行状况如会话连接数、用户数、应用分布情况、IP来源等相关情况,方便管理员对网络进行优化
四、产品功能介绍
    4.1.1 Sharetech AW5350G 负载均衡安全网关介绍
硬盘
250G
网络端口WAN/LAN/DMZ
5/1/1
网络端口速度
10/100/1000
Console Port
外观
1U机架式
电源供应
100-250VAC
最大处理速度
1640Mbps
×××认证+3DES加密
190Mbps
SSL ×××认证+3DES加密
160Mbps
最大联机数
1000000
每天邮件最大处理封数(每封1098bytes)
6400000
HTTP防病毒速度
550Mbps(双向)
FTP防病毒速度
510Mbps(双向)
邮件服务器
最大数量
400
支援LDAP Server
垃圾邮件
内送邮件扫描
内氏过滤法
检查寄件者IP地址是否在URL
核对指纹辨识数据库
垃圾邮件外置
删除/传送/转寄
最大垃圾过滤规则
200
个人化规则
最大白名单数量
512
最大黑名单数据
512
邮件病毒
病毒引擎
Clam AV/Sophos
内送邮件扫描
病毒邮件处置
删除/传送/转寄
FTP病毒过滤
HTTP病毒过滤
EB操作
简体/繁体/英文
HTTPS
最大次管理员数量
400
Multiple Subnet(NAT)
Routing/NAT(Max entry=512)
静态路由表数量
400
DDNS最大数量
512
频宽管理
最大条例数
4000
最大管理频宽
100
Quota
Accouting Report
认证
内建最大认证使用者数量
4000(Policy/×××)
内建最大认证使用群组数量
800(Policy/×××)
RADIUS
POP3/LDAP认证
负载平衡
对内负载平衡功能/网域数量
256
对外负载平衡功能
最大排程表数量
800
IP对映
512
虚拟服务器
4
MAC Address过滤
内容过滤
最大URL阻挡数量
8000
P2P Blocking
eDondey,BT,WinMX…
IM Blocking
MSN/Yahoo/ICQ/QQ/Skyp…
***预警
SPI,SYN,ICMP,DoS,UDP,Ping of Death,Port Scan
Blaster Blocking
允许建立的最大通道数
IPSec
8000/2000
PPTP Server
4000/400
PPTP Client
512/400
IDP功能
SSL ×××
××× Trunk
High Availability
    4.1.2 WebGuard网页防篡改系统介绍
    1) 第三代内核驱动防篡改技术
    ? 基于内核驱动级文件保护技术,支持各类网页格式,包含各类动态页面脚本;
? 内核级事件触发技术,大大减少系统额外开支;
? 完全防护技术,支持大规模连续篡改***防护;
? 系统后台自动运行,支持断线状态下阻止篡改;
? 内核出栈校验技术完全杜绝被篡改内容被外界浏览;
? 支持单独文件、文件夹及多级文件夹目录内容篡改保护;
2) Web站点安全运行保障
    ? 保护Web服务器的相关重要配置文件不被篡改;
? 服务器性能监控阀值报警,预知***发生;
? 服务器系统服务运行状态监控,可提供服务异常响应,终止、重启等联动操作;
? 服务器进程黑白名单许可控制,防止挂马***或后门程序运行;
? 支持服务器多种远程管理功能,紧急情况下便于管理,如远程接管、远程唤醒、远程关机、远程用户注销等;
? 支持监测服务器当前系统防火墙,防病毒的使用情况和版本,提高监测服务器的综合防护能力;
3) 部署结构灵活
    ? 支持多站点、跨平台分布式部署,统一集中管理功能;
? 支持大规模虚拟机、双机热备网站系统部署架构;
? 支持服务器冗余及负载均衡分布部署,支持web服务端、发布端一对多,多对多等各类灵活网站架构;
4) 安全可靠增量发布
    ? 支持网页文件自动上传功能和增量发布,无需人工干涉;
? 支持异地文件快速同步功能和断点续传功能,极大的增加网站可维护性;
? 支持网页自动同步新增、修改、删除、下载等功能;
5) 日志事件报警
    ? 自动检测文件***记录,并实时记入日志,支持导出excel报表;
? 支持服务运行状态记录,并实时记入日志,支持导出excel报表;
? 支持多种告警方式,日志告警、邮件告警或定制其他告警方式;
? 自身操作审计日志记录,详细记录操作管理员的操作管理行为;
6) 操作管理安全、方便
    ? 支持多用户分权管理功能,方便操作;
? 系统C/S结构,确保高可靠性;
? 支持多个策略管理,策略设置支持即时生效,无需重启;
? 数据传输采用加密传输,安全可靠;
? 支持网页格式类型分类,便于分类管理;
? 系统全中文界面,操作、配置方便,网络管理人员仅需十分钟即可熟练完成系统初始配置,大大提高工作效率;
7) 网站动态自适应***防护
    ? 支持SQL注入***防护;
? 支持跨站脚本***防护;
? 支持对系统文件的访问防护;
? 支持特殊字符构成的URL利用防护;
? 支持对危险系统路径的访问防护;
? 支持构造危险的COOKIE***防护;
? 各类***的变种防护;
? 支持自定义检测库;
? 规则库支持在线升级功能;
4.1.3 Niordsec内网安全平台系统介绍
    我们把内部网络在逻辑上划分为3个主要构成部分,核心服务器区域、可信终端区域以及外部风险区域,如下图所示。NiordSec内网安全平台的架构和最后的应用部署都是基于这样的划分。
内网逻辑示意图
clip_p_w_picpath015
核心服务器区域
保存了企业的核心信息,是需要重点管理和保障的区域,例如业务数据库、文件服务器等。
可信终端区域
企业内部合法可信的终端,包含了企业的生产系统、行政系统和其他系统,是需要管理和控制的区域。
外部风险区域
对内网管理存在安全风险的区域,例如外来主机、外部网络等。
我们认为只有对三个区域进行全面的管理,才能保障内网的安全!
1 、系统功能
    按照上图的划分,NiordSec内网安全平台在这几个区域上分别构架了一个功能模块,来实现对内网信息的安全防护。在可信终端区域包括,双因子身份认证,行为日志审计、外部设备控制、文件安全保护、网络管理控制以及员工行为监控等等,我们认为这些模块的作用,足以证明安装了NiordSec客户端的机器上,所有的行为是可以控制和审计的,是可信的;在核心服务器区域,包括服务资源操作审计、数据库操作审计以及身份认证模块,这些功能模块的叠加能够使所有用户对服务资源的访问都接受控制和审计;对于外部风险区域,非法主机接入控制模块能够阻断所有非法或不合法用户的进入,保证内部网络的纯洁性。
系统结构图
p_w_picpath
按照上面的体系结构,下面我们对每个功能模块进行详细描述。
2、用户(计算机)管理
    NiordSec内网安全平台对终端提供两种管理模式:基于终端计算机和基于终端用户的管理,这两种管理模式在部署时进行选择。
(1)基于终端计算机的管理。这种管理模式没有改变Windows操作系统登录流程,终端安装NiordSec内网安全平台后,会产生一个唯一标识该终端的标识码,且该标识码在整个使用周期内不能被修改。NiordSec内网安全平台提供的所有监视、控制和管理功能都是基于这个标识码进行。
(2)基于终端用户的管理。这种管理模式替代了Windows操作系统的登录流程,终端用户在进入Windows操作系统之前,都必须输入安全管理中心统一分配的平台用户名和密码到NiordSec服务器进行认证,如果认证成功,则允许进入操作系统,否则,则拒绝进入操作系统。为了避免网络和NiordSec服务器的故障所带来的登录风险,NiordSec内网安全平台提供了还提供了缓存登录以及本地登录等多种辅助措施。在这种基于终端用户的管理模式下,NiordSec内网安全平台提供的所有监视、控制和管理功能是基于用户身份进行的。
两种管理模式的比较:
(1)基于终端计算机的管理模式仅依赖终端标识码进行管理,创建、注册、捆绑终端标识码的整个过程都是自动完成,对用户而言整个过程完全透明,无需建立另外的用户信息,所以管理起来相当简单。但是这种模式不会对终端计算上登录的多个用户区别对待,适用于“一机一人”的情况。
(2)基于终端用户的管理模式改变了Windows操作系统登录的流程,增强了登录操作系统的安全性。对于登录终端的不同用户,可以对其实行不同的策略进行监控和管理,适用于“一机多人”的情况。但是这种管理模式增加了安全管理中心的工作量,在使用之前必须为所有用户分配对应的NiordSec平台登录用户名。
3、远程监控和桌面管理
    远程监控和桌面管理功能提供实时监视和控制终端计算机的运行状况,包括:当前屏幕监视、当前运行进程监控、CPU使用情况监视、内存使用情况监视、硬盘使用情况监视、桌面锁定和解锁、终端计算机注销重启关机、终端共享文件管理以及帐号管理等功能。
(1)屏幕监控。实时监视终端用户的计算机屏幕状态,并提供了远程控制开关选项,支持从NiordSec控制台对终端用户进行远程协助。提供抓屏功能,为终端用户的操作行为保留现场。
(2)运行进程监视。实时监视终端用户当前运行的进程的详细信息,并且允许安全管理员可以从进程列表中选择特定进程进行远程终止。
(3)CPU状态监视。实时监视终端用户的CPU使用状态,包括具体CPU占用值和占用比例。
(4)内存状态监视。实时监视终端用户的内存使用状态,包括具体内存占用值和占用比例。
(5)硬盘状态监视。实时监视终端用户的硬盘使用状态,包括不同磁盘驱动器的使用大小及其所占比例。
(6)桌面锁定和解锁。从NiordSec控制台可以对终端桌面进行锁定,在锁定状态下,终端计算机不能进行任何操作,安全管理员发送解锁指令后,终端才能恢复正常工作。
(7)终端计算机注销重启关机。从NiordSec控制台可以对终端计算机发送注销、重启和关机指令。
(8)终端共享文件管理。能够枚举共享文档属性、类型和当前连接情况,能够删除共享文件夹,对文档共享情况进行控制,解决了终端用户随意共享文件或忘记取消文件共享所带来的文件泄密隐患。
(9)终端帐号管理。能够枚举目标主机中所有的帐号和分组情况;能够新增用户、删除用户;能够锁定某个帐号,并对帐号进行解锁;能够修改帐号的密码,能够对帐号的权限进行管理(例如可以将管理员帐号的权限降低为普通用户权限)。
4、外部设备管理
通过终端用户外设管理功能,系统能够充分保护网络中终端主机的安全性,保证数据不被恶意的盗窃,防止外接设备随意连接到计算机,保证秘密信息不被窃取。外部设备管理主要从端口控制、存储设备、打印设备和设备属性等四个层次进行保护,如表1:
设备管理层次
防护对象
端口控制
串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器。
存储设备
USB存储介质(U盘、活动硬盘等)、光驱、软驱、磁带。
打印设备
本地、远程、虚拟打印机。
设备属性
设备管理属性、网络适配器属性。
(1)端口控制。提供对串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器等端口的控制。控制策略分为两种:允许使用和禁止使用。在允许使用的策略下,以上端口都能够正常被使用;在禁止使用的策略下,上述端口将被禁用。
(2)存储设备。提供对USB存储设备、光驱、软驱以及磁带机的控制。
l USB存储设备
对所用的USB接口的存储设备进行控制,包括U盘、活动硬盘等,不包括USB鼠标、USB键盘等非存储设备。根据移USB存储设备使用策略,可以允许或者禁止移动存储介质的使用。
l 光驱设备
根据光驱使用策略,可以允许或者禁止使用光驱设备。
l 软驱设备
根据软驱设备使用策略,可以允许或者禁止使用软驱设备。
l 磁带机设备
根据磁带机设备使用策略,可以允许或者禁止使用磁带机设备。
除了对USB存储设备提供控制功能外,还对拷贝至存储设备的文件进行详细的日志记录,如记录“谁在什么时候拷贝了什么文件”。
(3)打印设备。本系统控制的打印机设备包括本地打印机、网络打印机和虚拟打印机。控制策略包括禁止使用打印操作和允许使用打印操作。在允许打印操作的情况下,对打印文件进行日志记录。
(4)设备属性控制。对网络适配器属性和设备管理器进行控制。
l 网络适配器属性
通过网络适配器属性设置,终端用户可以任意修改网络配置。本系统提供了控制修改网络适配器属性的选项,在禁止修改的策略下,终端用户无权打开网络适配器属性页面。
l 设备管理器
通过Windows设备管理器,终端用户可以设置终端设备属性。本系统提供了控制操作设备管理器的策略,在禁止使用的策略下,终端用户无权打开设备管理器属性页面。
5、网络操作控制
    网络操作是终端用户最频繁的操作之一,与工作无关的网络操作行为不仅仅影响了工作效率,同时也是信息泄密的一种途径。本系统从IP控制、端口控制、URL控制、邮件控制等几个方面来进行管理。
(1)IP控制。从IP地址这一级对网络连接进行控制,通过设置IP地址黑名单和白名单两种方式来进行管理。如果选取IP黑名单控制方式,则凡是访问目的IP地址在黑名单之内的将被禁止连接;如果选择IP白名单控制方式,则只允许访问IP白名单内的目标IP地址,除此之外的网络请求将被拒绝。
(2)端口控制。从远程连接端口进行控制,通过设置端口白名单和黑名单两种方式来进行管理。如果采取端口白名单控制策略,则白名单之内的端口予以开放,白名单之外的端口予以禁止;如果采取端口黑名单控制策略,则黑名单之内的连接将被拒绝,黑名单之外的连接予以开放。
(3)URL控制。对访问的目标URL地址进行控制,通过设置URL白名单和URL黑名单两种方式进行管理。如果采取URL白名单控制策略,则白名单之内的URL地址可以进行访问;如果采取URL黑名单策略,则黑名单之内的网络连接将被禁止,黑名单之外的URL予以开放。如安全管理员添加 “sina.com” 至URL黑名中,则目的网址中包含“sina.com”的网站将不能被访问。
(4)邮件控制。本系统提供对邮件发送软件和web邮件两种发送方式的控制。
邮件发送软件
邮件发送软件是通过标准的邮件协议进行邮件的发送和接收,如Foxmail、Outlook等软件。本系统提供允许发送、禁止发送和禁止发送带附件的邮件三种控制方式。
web邮件
web邮件是通过http协议进行邮件的发送和接收。本系统提供允许进入web邮箱和禁止进入web邮箱两种控制方式。在禁止进入web邮箱的控制策略下,用户无法打开web邮箱。
(5)网络进程控制。提供对网络操作进行的控制,通过设置网络进程白名单和网络进程黑名单两种策略来进行管理。在网络进程白名单的策略下,只有白名单内网络进程才允许访问网络,其余进程的网络操作将被禁止;在网络进程黑名单的控制策略下,黑名单之内的进程将被禁止访问网络。
(6)网络操作分时段控制。为了控制方式更加灵活,本系统提供了分时段控制机制。如定义上述的控制策略只在上班时间(安全管理员可以自定义上班时间断,如8:00-12:00, 14:00-18:00,)生效,其余时间段网络控制策略失效。
(7)日志记录。本系统对网络操作行为的日志进行了详细记录,主要包括了HTTP协议日志、FTP协议日志、邮件协议日志和其他日志。安全管理员可以对日志选项进行灵活设置,如是否记录以及日志等级等。
HTTP协议日志
HTTP协议日志主要包括访问者、访问时间、访问的URL地址等信息。
FTP协议日志
FTP协议日志主要包括访问者、文件传输时间、传输的文件名等信息。
邮件日志
邮件日志主要包括用户信息、发件人信息和收件人信息、邮件主题信息以及邮件附件信息等信息。
6、进程行为控制
    “NiordSec内网安全平台”通过设置进程的签名白名单、签名黑名单、名称白名单以及名称黑名单几种方式来对进程行为进行控制。
(1)进程签名白名单控制。用户只能运行管理员进行签名认可的程序,其它程序全部禁止使用。这是最严格地用户进程控制方式,也是最安全的进程控制方式,即使用户更改了应用程序名也无法运行。在签名白名单控制的策略,进程被分为两种类型:微软类程序和非微软类程序。微软类程序是指微软公司发行的程序,考虑不同windows版本的差异,采用公司签名验证代替程序本身的签名验证。
(2)进程签名黑名单控制。用户不能运行黑名单中出现的程序,其它程序可以运行。同样,在签名黑名单控制的策略,进程被分为两种类型:微软类程序和非微软类程序。
(3)进程名称白名单控制。通过程序的名称进行认证,在名称白名单列表中的程序予以运行,其余将被禁止运行。
(4)进程名称黑名单控制。通过程序的名称进行认证,在名称黑名单列表中的程序将被禁止运行,其余的程序予以运行。
(5)进程分时段控制。为了控制方式更加灵活,本系统提供了对进程的分时段控制机制。如定义上述的控制策略只在上班时间(安全管理员可以自定义上班时间断,如8:00-12:00, 14:00-18:00,)生效,其余时间段的进程行为控制策略失效。
(6)日志记录。对终端用户运行的程序进行日志记录,包括操作者、运行时间、运行的进程名称等信息。
7、文件安全管理
    文件安全管理功能提供共享文件访问控制、文件访问日志记录、移动存储设备透明加解密、文件保险柜以及文件安全锁等功能。
(1)共享文件访问控制。提供了两种方式的共享文件访问控制策略:控制其他主机访问终端主机的共享文件和控制终端主机访问其他主机的共享文件。在禁止访问其他主机共享文件的策略下,终端主机将不能访问任何主机的共享文件;在禁止其他主机访问终端主机的策略下,任何主机都不能访问该终端主机的共享文件。
(2)文件访问日志记录。对访问本地文件和访问其他主机共享文件的操作进行日志记录。记录的操作日志包括文件的新建、打开、删除、重命名以及修改等操作。
(3)移动存储设备透明加解密。对移动存储设备的数据流动进行透明的加密和解密。在设置加解密的策略下,终端用户从本机拷贝文件至移动存储设备时数据将被透明加密,该密文数据只能在内网中的主机上才能打开。脱离内网环境,移动存储设备上的数据将不能解开。
(4)文件保险柜。用户通过文件保险柜设置向导设置属于自己的安全目录,一个用户可以拥有多个安全目录。文件保险柜具有以下特点:
透明加密
当文件拷贝至安全目录或者在安全目录中新建文件,所有操作的文件都是透明加密存储在硬盘上,使用时透明解密,对用户的操作没有任何影响。
访问控制
安全目录提供访问控制功能,特定的用户只能进入属于自己的安全目录,任何访问其他用户安全目录的操作(包括打开、删除、重命名等)将被拒绝。
操作日志记录
根据日志记录策略,可以对安全目录内的文件读、写操作进行日志记录。日志内容包括执行操作的用户信息、操作的文件信息、操作的进程信息等。日志上传至日志服务器,管理员可以进行审计分析。
临时文件安全
有些程序(如MS office系列程序)在运行时会产生临时文件,这些临时文件在某些突发(比如掉电)情况下会造成泄密。文件保险柜可以使临时文件直接产生在安全目录中,使得所产生的临时文件不但以密文形式存在而且受到访问控制的保护。通过这种方式能够有效地保证临时文件的安全性,防止通过临时文件泄密。
(5)文件安全锁。在一台主机多个用户的情况下,用户可以根据需要将含有秘密信息的文件夹上锁,从而使得只有该用户才能打开该文件夹,而非法用户不能打开,保证秘密信息不外泄。文件保险柜和安全目录锁的区别在于前者文件是加密存储,而后者是明文存储。
8、软件、硬件资产管理
    终端资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
(1)硬件资产管理。
安装硬件信息
本系统在用户登入后,记录下终端的所有硬件安装信息,记录的硬件类型包括:键盘、鼠标、主板、操作系统、CPU、内存、硬盘、网卡、声卡等。
变动硬件信息
检测终端发生变动的硬件信息,并且提供对照信息,变动的硬件信息以不同的颜色进行标记,方便管理员进行浏览对比。
(2)软件资产管理
安装软件信息
本系统在用户登入后,记录下终端的所有软件安装信息并且进行日志记录。
变动软件信息
检测终端发生变动的软件信息,并且记录日志。
(3)资产统计
提供丰富的统计工具,管理员能够方便地了解内网中的所有资产情况。
9、应用服务器保护
    服务器保护功能基于应用代理技术,实现了对内部业务服务器群细粒度的统一身份认证,各类业务应用服务器、数据库服务器都在保护的范围之内。服务器保护功能包括受保护服务器群统一身份认证和操作日志记录两大子功能。
(1)统一身份认证。根据用户安全策略,终端用户向受保护服务器群发起的网络连接被转发到认证服务器。对返回的认证结果进行如下处理:
如果认证成功,则建立终端用户与受保护服务器群之间的连接。
如果认证失败,则拒绝终端用户的访问请求。
(2)操作日志记录。终端用户到受保护服务器群的所有请求操作和数据都被截获,进行分析,形成日志传输到日志数据库。目前进行分析的协议包括:
HTTP协议——记录访问的目标网页。
FTP协议——记录上传和下载的文件信息。
SMTP协议——记录发送的邮件信息。
数据库通信协议——支持各种数据库连接协议,并且可以对数据库访问
的下列操作进行日志记录:
数据库查询操作
数据库插入记录操作
数据库更新记录操作
数据库删除记录操作
数据库创建表操作
数据库删除表操作
10、非法接入控制
    本系统中对“非法主机”的定义是指没有安装NiordSec内网安全平台的主机,主要目的是防止将外部主机接入到内网中从而带来安全隐患。对于这种外部接入行为,本系统提供了两种控制措施:接入预警和禁止接入。
(1)接入预警。对接入的非法主机进行预警,安全管理员可以根据预警信息找到外部接入的主机,并且采取相应的安全措施。
(2)禁止接入。对接入的非法主机采取隔离措施,使其网络设备不能正常工作,从而无法成功接入到内部网络中。
考虑到内部网络中可能存在一些特殊的主机无法安装NiordSec内网安全平台(如Linux平台的服务器),但是为了业务的需要又必须接入到内网中,本系统提供了两种白名单控制方式:单个主机白名单和IP段白名单。
(1)单个主机白名单。通过设置单个主机的IP地址或者MAC地址,从而确保未安装本系统的主机的合法性。
(2)IP段白名单。如果存在多个主机需要设置,会给管理员增加较大的工作负担。本系统提供了合法IP段白名单设置功能,处于这个IP段内的主机都将视为合法主机。
11、IP(MAC)管理
    对终端主机的IP地址、MAC地址进行管理是保证网络正常运行的有效方式之一。终端主机随意修改IP地址和MAC地址可能会导致网络混乱,同时也可能是出于伪造他人身份进行非法操作的意图。同时,ARP***是目前最常见的局域网***,其直接会导致局域网瘫痪。本系统提供了两种关于IP(MAC)管理的措施:IP地址和MAC绑定以及ARP病毒免疫。
(1)IP地址和MAC绑定。终端主机安装NiordSec内网安全平台时,自动将终端主机的IP地址和MAC地址注册到NiordSec服务器。如果终端主机试图改变IP地址或MAC地址,本系统提供了两种控制方式:
恢复
恢复正确的IP地址和MAC地址,终端主机还可以正常的使用网络。
禁止网络
立即禁止终端主机的所有网络行为,直至其修改为正确的IP地址和MAC地址。
(2)ARP病毒免疫。该功能能够有效地杜绝ARP病毒***,一旦内部网络中出现了ARP***,首先会***行为进行预警,然后将ARP***所导致的MAC地址混乱的现象进行清理,通过将其设置为静态MAC地址从而避免了ARP***所带来的影响。
12、软件(补丁)分发
对于一个中大规模的内部网络,在安装软件或补丁时要求管理员逐台主机进行安装,那将会导致工作效率非常低。软件(补丁)分发功能提供了有效的方式来分发和安装软件和补丁程序,大大提高了管理员的工作效率。该功能提供了三种软件分发模式:文件传输、执行软件和安装软件。
(1)文件传输。如果设定文件传输模式,那么管理员选定的文件将被传输到终端主机的指定目录。
(2)执行软件。如果设定软件执行模式,那么管理员选定的软件将被传输到终端主机的指定目录,并且开始执行。
(3)安装软件。如果设定安装软件模式,那么管理员选定的软件将被传输到终端主机的指定目录,并且开始进行安装。如果终端用户强行退出安装,重新启动后又将提示终端用户进行安装,直到终端用户成功安装了该软件。
本系统提供了对分发结果进行查询统计;能够即时终止、编辑软件分发任务;能够针对指定的操作系统进行软件分发;能够针对特定的计算机分组范围进行软件分发。
13、即时消息
即时消息功能为终端用户和管理员提供了一个交流通道,方便他们及时进行沟通。这个交流通道是双向的,由终端用户即时消息和管理员公告两个组件组成。
(1)终端用户即时消息。终端用户可以利用该组件向管理员发送消息,该消息会显示在管理控制台的预警平台上,管理员可以及时进行处理。同时,该消息也会保存到NiordSec服务器,方便管理员不在线的情况可以进行事后处理。
(2)管理员公告。管理员可以针对某一个特定用户、一个特定的组或者是整个网络发送管理员公告。
灵活的安装方式
本系统提供了多种安装方式,完全适应在一个大规模网络环境中快速有效地进行安装部署,包括:光盘安装、web安装、远程推送安装和windows域安装等方式。
(1)光盘安装。执行安装光盘中的安装软件,逐台终端主机进行安装,这种安装方式效率较低。
(2)web安装。通过访问NiordSec服务器安装网页进行安装,这种方式较光盘安装方式略为方便。
(3)远程推送安装。该安装方式支持在管控中心远程推送平台上直接向终端主机进行推送安装,不需要逐台终端主机进行点击安装,同时还支持多台终端主机同时进行远程推送安装。
(4)windows域安装。借助windows域提供的软件部署功能进行安装,这种安装方式要求目标网络必须已经部署了windows域环境。
14. 动态策略控制
    本系统的策略是终端主机控制规则的集合。策略的修改、添加、删除、发布都由管理中心控制台实施,通过策略服务器下发至终端主机,然后终端主机执行其相应的策略。
按照终端对象分类,策略可以分为两类:用户策略和机器策略。
(1)用户策略。如果选择了基于终端用户的管理模式,那么用户策略将会生效。用户策略是管理用户的规则集合,不论该用户在哪台终端主机上登录,其执行的都是同样的用户策略。
(2)机器策略。机器策略针对终端主机生效,如果选择了基于终端用户的管理模式,那么机器策略只有在本地登录方式下才生效。
按照网络连通性分类,策略可以分为两类:在线策略和离线策略。
(1)在线策略。如果终端主机能够连接到NiordSec服务器,则执行在线策略。
(2)离线策略。如果终端主机不能够连接到NiordSec服务器,则执行离线策略。
按照策略继承关系分类,策略可以分为两类:独立策略和继承策略。
(1)独立策略。独立策略指组、计算机或者用户取消了与上级部门继承的策略,从而拥有自己特有的策略。
(2)继承策略。继承策略指组、计算机或者用户没有设置自己特有的策略,而是选择继承上一级部门的策略。
安全管理员在管理中心制定完策略后,终端主机获取策略的方式有定时获取和即时获取两种模式。
(1)定时获取策略。终端主机会定时从NiordSec服务器获取最新策略信息,如果存在最新策略,则下载最新策略并开始执行。定时周期可以由管理员自定义,默认时间为5分钟。
(2)即时获取策略。安全管理员制定完策略后,可以向终端主机下达即时获取策略的指令。终端主机接收到该指令后,会马上从NiordSec服务器获取最新策略并开始执行。
15. 日志审计
    完整、精确的日志记录是成功进行审计的基础,是事后追查追踪的依据,同时也是预测安全发展态势的指南。本系统日志记录依据下列原则:
日志分级——本系统每产生的一条日志都有个安全等级字段(Grade),安全等级由安全管理员在制定安全策略时指定。日志安全等级的目的是提高日志审计的效率,同时突出了预警的概念。本系统日志分为两个等级:普通日志和预警日志。
日志数据完整性——在线日志和离线日志。无论在哪种情况下,都必须保证日志数据的完整性。
(1)离线日志处理。终端用户在离线状态下,控制策略依然有效,终端代理产生的日志将缓存在本地,该日志受到严格保护,终端用户不能对其进行访问。当终端处于在线状态时,缓存的日志将被上传至日志服务器,保证日志在各种情况下的完整性。
(2)日志查询。安全管理员能够方便地定制查询本系统产生的所有日志,可以灵活地设置查询条件,包括:用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。
16. 强制文档安全
    从企业对涉密文档的防泄密需求来看,文档的强制加密模块能够针对企业所关心的文档类型或者进程,进行设定,例如对.doc文档设定加密策略,那么全网范围内,所有的.doc文档,不管采用什么程序(office2003、office xp、office 2007、wordpad)进行编辑,.doc在存储介质中都是以密文存在,通过U盘拷贝、发送mail、qq传递等,接受方都无法打开。但是本地计算机读取的时候,进行透明解密,因此在本机打开没有任何问题,这样就能够有效的防止恶意对企业的机密文件进行泄漏,也可以防止U盘丢失等问题。
可信文档安全子系统主要包括以下功能
通过指定文档类型、或者处理进程,能够达到所有存储介质上存在的该类型文件全部加密,有效防止机密信息泄露。
17、单点登录
    主要包括一下功能:
登录应用程序注册和信息采集。系统注册,用户将鼠标移至指定登录窗口或网页的用户名框和密码框,并填入相应的登录信息。信息采集,获取指定的窗口的句柄,并由此获取子窗口(控件)句柄或网页表单信息。
登录信息绑定。用户根据登录应用程序注册和采集的信息填入实际登录用户用户名、密码等登录信息,完成登录信息与登录控件的绑定过程。
系统自动登录。后台程序不断的轮询窗口信息,与预先采集的登录窗口信息进行匹配,从而查找登录窗口或网页,并根据窗口进程名查找相匹配的用户名和密码输入控件或表单信息,以及登录按钮窗口信息。单点登录模块会自动根据采集的信息将用户名和密码填入相应的控件或表单中,向登录按钮发送“点击鼠标”消息,完成提交,最终实现自动登录过程。
18、应用部署
    依据办公网络实际情况的不同,NiordSec内网安全平台的控制台支持多级管理、广域网部署。在系统平台实际应用中,一般有以下两种应用部署方式:局域网部署和广域网部署。每种方式均支持分级管理。广域网的部署逻辑结构和局域网类似,因此我们以局域网为例讲解系统的部署结构,如下图所示。
应用部署示意图
clip_p_w_picpath019 
一个内网只需要一台服务器,执行认证、审计等功能,控制台可以根据需求,进行分级分域管理,管理员控制台的权限,可以按照部门设置划分,也可以从功能维度上进行划分。
五、产品报价清单
p_w_picpath 
-----------------------------END---------------------------