中石油客户终端安全与行为审计j解决方案-06.docx
《中石油客户终端安全与行为审计j解决方案-06.docx》由会员分享,可在线阅读,更多相关《中石油客户终端安全与行为审计j解决方案-06.docx(43页珍藏版)》请在三一办公上搜索。
1、中石油客户终端安全与行为审计解决方案H3C技术有限公司安全产品行销部2006年07月28日中石油安全解决方案一、 细致入微的个人终端防护41.1.中石油进行安全终端防护刻不容缓41.1.1.萨班斯法案与上市企业需求概述41.1.2.中石油终端安全现状51.2.“终端接入安全体系”解决方案的组成部分61.2.1.CAMS安全策略服务器71.2.2.修复服务器(与防病毒系统联动)81.2.3.安全联动设备81.2.4.安全客户端81.2.5.“终端接入安全体系”与微软SMS联动方案91.3.应用模型111.3.1.安全准入应用模型111.3.2.安全准入工作流程121.4.功能特点141.4.1.
2、安全状态评估141.4.2.用户权限管理151.4.3.用户行为监控151.5.“终端接入安全体系”解决方案的部署161.5.1.接入层准入控制161.5.2.汇聚层准入控制181.5.3.Portal(Web)认证准入控制201.5.4.“终端接入安全体系”应用模式211.6.XLOG日常行为审计221.6.1.XLOG技术特点231.6.2.全面的日志收集231.6.3.强大的日志审计功能231.6.4.组网应用241.7.终端安全防护与行为监控总结25二、 全面的应用体系防护IPS272.1.中石油网络应用防护体系概述272.2.IPS产品部署方案272.3.IPS产品技术特色282.3
3、.1.虚拟软件补丁282.3.2.威胁抑制引擎(TSE)292.3.3.无处不在的安全保护30三、 防火墙部署需求分析323.1.防火墙部署解决方案323.1.1.数据中心防火墙部署333.1.2.Internet边界安全防护353.1.3.大型网络内部隔离383.2.防火墙部署方案特点41 一、 细致入微的个人终端防护1.1. 中石油进行安全终端防护刻不容缓基于萨班斯法案的严格限制,以及结合中石油的独特特点,我们认为在中石油内部实施内部控制体系,刻不容缓。中国石化从2002年下半年开始调研、准备工作,编制内控制度,建立统一的内控体系。2004年10月,中国石化内部控制手册由公司董事会正式审议
4、通过,2005年1月开始在股份公司全面实施。该手册依照萨班斯法案所推荐和要求对照的美国COSO(反虚假财务报告委员会的赞助组织委员会)报告的理论体系建立内部控制体系,内容涉及共13大类业务、43个流程、862个控制点。总部专门召开电视电话会议推行该手册,要求各企业根据实际情况制定实施细则,在组织多层次培训的同时,派出检查小组,对65家企业内控制度的执行情况进行全面检查。针对萨班斯法案不断细化的规则和新出台的指引、准则,中国石化对内部控制手册进行更新,修订了2006年版的内部控制手册,经董事会审议通过,于2006年1月1日起正式下发执行。1.1.1. 萨班斯法案与上市企业需求概述u 中石油跨全球
5、企业u 萨班斯法案在美国的中国上市公司开始生效 u 各国相关法规都将越来越严格,加强公司治理尤其是IT治理将是企业的根本之道。 u 加强企业内部控制和风险管理将是全球的趋势 目前大量的网络应用已经贯穿中石油的日常业务模型,对于网络应用我们把它理解为一个请求、连接到交互的过程,然后到完,这是会话的过程,这是双向的。所谓会话行为就是做的一种操作类型,比方说访问网页,首发邮件、传送邮件、即时通讯和文件传输等,这属于网络行为,会话内容就是网页的内容、邮件的内容、文件的内容,即时通讯的内容。对于安全审计类要求是会话行为审计,对于网络行为的审计实际上也是萨班斯法案的一部分,为了避免因为信息而造成的经济损失
6、,日常行为审计成为了企业尤其是上市公司信息化建设的重要组成部分对法规不熟悉、时间短促、内控基础薄弱是中国上市公司面临的最大问题。中石油也不例外,直到2005年年初,中石油才开始着手布置萨班斯法案项目。但是在实施过程中,大量的问题和矛盾暴露出来,涉及制度完善、流程改造、企业文化等各方面。短时间内完全建立完善的内控环境是不可能的。但从根本上来说,公司治理和IT治理的问题迟早需要去面对和解决。1.1.2. 中石油终端安全现状终端安全是个入手简单,想做好却很难的工程,这也是这么多年中石油没有着手建设这方面的一个重要原因。本次安全体系建设中石油考虑的很周全,除了我们经常能够想到的安全管理制度以外、终端的
7、认证问题、终端的安全监控、日后审计等均在考虑范围内。中石油终端安全管理问题比较复杂,除了前面提到的地域分散意外,还有技术水平不高,难于监管等问题,这些都构成了终端安全难以实现的重要因素,基于上述原因,本次安全方案设计主要着中的是通过安全产品的监控实现对员工日常行为的监控,并通过技术手段实现对安全管理制度的补充,以及强化,通过技术手段保障安全管理制度的执行。在终端防护方面我司有专门的安全解决方案“端点准入防御”能够提供一个全程的安全解决方案。“终端接入安全体系”端点准入防御方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全
8、要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。1.2. “终端接入安全体系”解决方案的组成部分“终端接入安全体系”解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,提出了包括检查隔离修复监控的整体解决思路。1. 检查:l 检查网络接入用户的身份;l 检查网络接入用户的访问权限;l 检查网络接入用户终端的安全状态;2. 隔
9、离:l 隔离非法用户终端和越权访问;l 隔离存在重大安全问题或安全隐患的用户终端;3. 修复:l 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;4. 监控:l 实时监控在线用户的终端安全状态,及时获取终端安全信息l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;l 通过制定新的安全策略,持续保障网络的安全。为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。”终端接入
10、安全体系”解决方案的组成部分见下图:1.2.1. CAMS安全策略服务器“终端接入安全体系”方案的核心是整合与联动,而CAMS安全策略服务器是”终端接入安全体系”方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。l 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。l 用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级
11、,方便管理员对网络用户制定差异化的安全策略。l 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。l 日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态提供依据。1.2.2. 修复服务器(与防病毒系统联动)在”终端接入安全体系”方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网
12、络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。目前的”终端接入安全体系”解决方案中,我们的认证体系可以和瑞星、金山、江民、Symantec等国内外大型防病毒厂商产品实现联动,同时由于开发式的系统设计,我们可以很方便的整合其他的防病毒产品实现全网认证与防病毒体系的完美结合。1.2.3. 安全联动设备安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场
13、合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:l 强制网络接入终端进行身份认证和安全状态评估。l 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。l 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的QoS、ACL、VLAN等。1.2.4. 安全客户端H3C 客户端是
14、安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:l 提供802.1X、Portal等多种认证方式,可以与 S3000、S3500、S5000、S3900、S5600等系列交换机、华为MA5200F等设备配合实现接入层、汇聚层的端点准入控制。l 检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到CAMS安全策略服务器,执行端点准入的判断
15、与控制。l 安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。l 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。1.2.5. “终端接入安全体系”与微软SMS联动方案1.2.5.1. 特性简介端点准入防御(”终端接入安全体系”)解决方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,可以
16、对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。企业网中,对系统补丁的管理问题一直难以解决。我们经常见到的情况是,新的补丁发布,却无人理会,任由系统漏洞的存在。即使采用了微软的WSUS、SMS等补丁管理工具,此类工具也无法强制用户进行系统补丁升级,给企业网络安全带来诸多隐患;更严重的情况是,用户刚装好操作系统,还没来得及打补丁就被病毒感染或受到攻击。如果能将微软的补丁管理系统与的”终端接入安全体系”端点准入防御方案集成,就可以彻底解决系统补丁管理的问题。这个集成方案就被称为补丁联动方案,该方案需要”终端接入安全体系”与软件
17、补丁更新服务器协同工作:软件补丁更新服务器负责对端点用户的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少的补丁,”终端接入安全体系”则负责决定何时发起补丁状态检查操作,并负责控制补丁状态检查不合格的端点用户只能访问隔离区内的资源,待端点用户的计算机的补丁状态检查合格后才解除对该用户计算机的隔离。注1:隔离区是指端点用户在通过安全认证之前允许访问的一组主机的集合。一般地,隔离区可能包含防病毒软件安装升级服务器(防病毒管理中心)、软件补丁更新服务器和”终端接入安全体系”管理代理服务器。隔离区具体包含哪些主机一般在接入设备上配置。注2:补丁状态检查是指对接入用户/端点用户的计算机进行
18、软件补丁是否符合安全要求的检查,检查不合格时列举出所有缺少的软件补丁。注3:补丁更新是指从补丁服务器下载软件补丁到客户机,并进行安装与生效处理的全过程。1.2.5.2. 系统架构与基本交互流程1.2.5.3. 系统架构“终端接入安全体系”是一个融合网络设备、用户终端和第三方安全产品的客户端准入安全框架,与补丁管理服务器的联动主要通过”终端接入安全体系”客户端与补丁升级客户端之间的API接口实现,其部署图如下:系统结构图在接入用户的终端需要同时安装”终端接入安全体系”客户端和补丁客户端。”终端接入安全体系”客户端负责完成与”终端接入安全体系”策略服务器的交互;补丁客户端是微软发布的与相应的补丁服
19、务器配合的SUS(WSUS)或SMS客户端。”终端接入安全体系”客户端与补丁客户端通过微软提供的API接口完成补丁检查与安全准入的融合。这种方式下,”终端接入安全体系”系统与微软补丁系统是相互独立的,可以不依赖于对方而完成自有功能。但可以通过API来实现两个系统之间的联动,弥补各自的不足,完善补丁管理和安全准入方案。1.2.5.4. 特性的优点(1) 联动的松散耦合性:充分利用微软成熟的补丁管理工具,”终端接入安全体系”不需要管理各种Windows环境的用户机器缺少哪些补丁等繁琐事务;(2) 补丁更新的安全性:用户机器的补丁状态不符合安全要求时,其访问范围控制在隔离区,即补丁更新是在隔离区进行
20、的;(3) 补丁更新的自动性:补丁更新过程是自动完成的(机器需要重启时会提示用户确认),无需用户手工下载和安装补丁程序;(4) 补丁更新的即时性:用户机器的补丁状态检查不合格后马上转入补丁自动更新过程;补丁更新的强制性:不完成补丁更新的用户机器只能访问隔离区内的网络资源,要访问更多资源,只有完成补丁更新。1.3. 应用模型1.3.1. 安全准入应用模型“终端接入安全体系”解决方案安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。1.3.2. 安全准入工作流程l
21、 身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前”终端接入安全体系”解决方案支持802.1x和Portal认证。l 安全检查:身份认证通过后进行终端安全检查,由CAMS安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。l 安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。l 安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。l 动态授权:如果用户身份验证、安全检查都通过,则CAMS安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限
22、、用户带宽限制参数、用户优先级等QOS参数、用户组播权限等等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。l 实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向CAMS安全策略服务器上报安全事件,由CAMS安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。具体部署方式如下:1、 在区域二中部署中心认证服务器一台,推荐中石油使用基于CA证书的认证系统,这样在安全性会比简单的用户名密码要高;2、 在服务器与客户端上均部署终端安全认证体系客户端,保
23、证服务器系统能够强制进行系统补丁和病毒库的升级;终端客户端进行强制病毒库、系统补丁的升级,在用户接入网络的同时对其日常网络使用行为进行监控;3、 在终端部署支持802.1x认证的交换设备与终端用户认证体系进行联动;4、 在区域二部署日志服务器XLOG一台,进行日常用户行为访问的记录;5、 通过用户终端行为记录以及网络行为监控,记录用户日常网络使用行为,并作为日后审计的依据。6、 在中心认证服务器上部署安全策略,对违规行为进行定义,下发到客户端,提高客户端对于重要安全策略的响应,最大限度的减少误操作给中石油带来的经济、信息损失。1.4. 功能特点“终端接入安全体系”解决方案已实现以下功能规格,在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 石油 客户 终端 安全 行为 审计 解决方案 06
链接地址:https://www.31ppt.com/p-1645675.html