搜索
北信源终端安全管理解决方案•一、证券安全运营需求•二、证券系统安全体系•三、安全管理•四、安全服务•五、成功经验介绍目录一、证券安全运营需求证券网络现状重要性:与证券业务密切相关庞大性:全国两级级联的大型网络危险性:以windows操作系统为主的网络,用户对于网络安全认识相对有限复杂性:信息化程度较高的网络,承载着大量应用证券网络面临威胁外部植入威胁:1.病毒和恶意程序影响网络正常运行;2.黑客行为影响正常交易。内部威胁:1.用户违规行为带来的危险;2.用户越权使用造成的威胁。证券网络保护原则分级、分类保护原则最小授权原则动态调整原则力求保密性、完整性和可用性均衡力求投资最优化二、证券系统安全体系2.1总体构架2.2物理安全2.3网络安全2.4应用安全2.5主机防泄密2.6备份和恢复2.7集中报警安全体系2.1安全整体构架keywords兼容性主机资源消耗网络资源消耗通用性保密性2.2物理安全机房安全通信线路安全设备安全介质安全2.3网络安全2.3.1边界安全2.3.2内部安全2.3.1网络边界安全防护网络准入控制外联控制防火墙数据流分析移动设备控制移动存储设备控制设备准入控制访客隔离区工作区域安全修复区1.防止由于网络终端造成的行情网和办公网等各子网之间的直接连接;2.内部重要信息的输出审计;3.违规网站连接审计和控制。——设备外联控制————移动设备控制——1.移动设备接入认证管理;2.移动设备行为控制;3.移动设备安全控制;4.移动设备数据交换控制;5.移动设备数据交换审计;——防火墙——1.抵御常见的攻击的能力:包括IP地址欺骗、DoS攻击(如TCPSYNFlood等)、中间人攻击、碎片攻击等。2.内外网间的访问控制;3.地址及端口转换(NAT、PAT)功能4.建立三个以上网络区域的能力:外网、内网、一个或多个DMZ区——数据分析——1.协议级数据捕获和分析。2.数据审计和回放;1.辅助入侵攻击事件的检测;2.辅助非授权访问的检测;3.辅助数据资源的窃取检测;4.辅助对服务器访问的检测;5.辅助网络流量和网络异常行为;入侵检测抓包分析工具——移动存储设备控制——1.移动存储设备接入认证管理;2.移动存储数据读写控制;3.移动存储设备分组管理;4.移动存储设备使用行为审计;5.移动存储设备数据加密控制;6.移动存储设备销毁。2.3.2网络内部安全防护网络结构安全身份识别和访问控制恶意代码防范节点加固节点控制异常行为检测和控制——网络结构安全——1.具有清晰的层次,以便于进行网络逻辑隔离、访问控制、结构调整和应急处理。2.采用安全域的概念进行网络逻辑和物理划分,同一安全域应尽可能地只支持单一的业务、服务或流程,形成清晰的安全域边界3.根据各部门的工作职能、重要性、所涉及信息等级等因素,划分不同的子网或网段。4.合理设计网络带宽,按照对业务服务的重要次序制定带宽分配优先级别——身份鉴别和访问控制——身份鉴别:1.唯一性标识2.用户鉴别3.鉴别失败处理访问控制:1.连接控制2.协议控制3.数据控制——节点加固——主机加固•补丁加固;•弱口令;•防病毒软件的安装和正常运行。网络设备加固管理•严格限制对控制台(CONSOLE)端口的访问;•使用强口令并定期更新;•采用权限分级策略;•限制远程管理,并采用带加密保护的远程访问方式。如用SSH代替telnet——补丁加固————主机控制——主机控制注册表主机防火墙安装软件网络配置弱口令用户权限主机硬件进程控制——恶意代码防范——1.全面部署网络版防病毒软件;2.使用专用工具配合进行恶意代码查杀;3.对IE等主要恶意代码传播手段重点监控;——异常行为检测和控制——1.异常连接;2.异常流量;3.异常进程或模块;4.违规软件或操作。5.注册表异常篡改;6.交换机端口快速定位——主机审计——1.对指定目录读写的控制及审计;2.共享目录审计;3.硬件变化审计;4.违规软件进程审计;5.网络连接审计;6.注册表操作审计;7.特殊行为审计;2.4应用安全数据库安全业务系统安全2.5主机防泄密移动存储设备监控审计主机数据审计2.5.1主机防泄密防护1.注册介质在内网具有唯一标志符。2.移动存储介质按需求可以划分为可信区和普通区,分区容量可自定义。3.可信区在已安装客户端并具有访问权限的计算机上可以读写,在未安装客户端的计算机上将不被识别并弹出可定制化的消息框提醒;普通区凭密码认证可在所有计算机上使用。4.系统支持注册移动存储介质和授权计算机形成“多对多”的使用方式。5.支持注册后的移动存储介质依据授权信息进行细粒度、多层次的访问控制;支持禁止、读、写、加密写等访问权限的细化。6.管理员可以按所有的网络终端结点进行任意分组,不同组可以执行不同的介质访问策略。7.未注册存储介质接入内网时将在客户端产生嗡鸣器报警并弹出可定制化的消息框提醒,服务器端并有响应的报警。8.移动存储介质上的数据都以密文方式保存。9.加密方式是扇区级加密,加解密过程自动完成。2.5.2主机数据防泄密1.打印输出监控审计2.网络输出监控审计3.邮件审计监控审计4.软盘审计监控审计5.光盘审计监控审计2.6备份与恢复主要应用系统热备双链路备份数据定期备份异地灾备2.7集中报警中心报警数据汇总后进行图形化分级展示;使用短信、声音等多种报警方式,反应更迅速;集中报警中心是针对大型网络安全管理所设计的,利用该平台可以对整个网络的注册设备进行统一的管理控制及监测。——集中报警中心——三、安全管理安全管理3.1建立网络安全管理机构3.2网络安全管理机制的制定和完善3.3制定管理制度3.4用技术手段保障管理的有效性3.5加强培训以保障管理机制执行3.6安全应急响应无论什么样先进的网络安全保障系统,使用者、控制者最终都是人。所以做好网络安全保障首要的事情是建立网络安全管理机构,以领导、协调网络安全保障工作和处理应急响应事件。3.1建立网络安全保障管理机构管理机构组成图信息中心防病毒厂商安全服务商公共机构第三方机构信息中心信息中心安全厂商安全服务商信息中心1.机构内各组织的网络安全保障工作的协调管理;2.网络安全保障责任的分配;3.系统内部各单位间的保障组织的合作。机构管理机构应注意的问题1.需求分析:只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,正确的安全分析需求是保证网络系统的安全的根源。2.风险管理:风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估,以可以接受的投资,进行最大限度的网络安全防范工作。3.2管理机制的制定和完善3.制定安全防范策略:根据组织和部门的安全防范需求和风险评估的结论,制定切实可行的计算机网络安全防范策略。4.定期安全审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络安全防范是一个动态的过程,安全的需求可能会发生变化;为了在安全需求发生变化时,策略和控制措施能够及时反映这种变化,必须进行定期安全审核。网络安全保障管理机制的实行过程A.制定计划B.进行实施C.监控审评D.维护改进1.网络管理员管理制度3.3制定防病毒管理制度a)日常管理责任b)策略管理责任c)应急响应事件责任2.网络一般用户管理制度3.账户及口令管理制度4.设备管理规章制度a)入网设备防病毒管理制度b)服务器管理制度c)便携机管理制度d)介质管理管理制度需要注意的问题:•减少从第三方的系统下载软件;•组建一支队伍,监测和调查安全事件;•各类安全规则库必须随时更新;•重要的数据必须备份,并每月检查一次;3.4用技术手段保障管理的有效性通过技术手段可保障管理制度有效贯彻执行,通过技术手段,可以对以下的管理进行加强:1.进行有效的网络边界控制;2.保证系统补丁、防病毒软件安装执行情况;3.监督最先安全事件源;4.建立广域安全防护监控体系。安全机制运行参考图安全组件网络组件控制平台应急响应服务/代码级服务管理日志报警高级警告自动处理手动处理安全管理需求分析安全管理策略实施安全管理制度/策略调整信息中心厂商产品改进管理反馈报警反馈产品反馈安全管理机制的执行需要很多技术手段,有些技术手段属于专业反病毒、防黑客等技术范畴,专业安全服务商可以了解相关技术细节,更能准确的通过技术培训提高下属网管网络安全知识和应对手段。3.5加强培训以保障管理机制执行具体的培训可以分为以下几种:1.针对普通人员的培训2.针对网管(或网络安全员)的培训3.针对突发事件的培训3.6建立有效的病毒应急响应机制建立应急响应中心安全事件分级制定应急响应处理预案应急响应流程应急响应的事后处理建立应急响应中心为了在安全突发事件中协调各方关系,分清职责,统一处理安全事件,应建立安全事件应急响应中心。安全应急响应中心组织机构的建立可参考网络安全管理机构。应急响应中心特别要注意以下几个方面:1.设立总负责人,负责协调管理应急事件2.建立应急相应小组(小组成员可包括单位相关人员和安全服务商的相关人员)3.分清各方职责4.联系方式必须准确有效安全事件分级分级应参考以下几个标准:1.危害程度2.扩散范围3.扩散速度4.防治复杂程度根据安全事件的具体情况,制定相应的安全应急响应处理预案,此预案可包括以下几点:注意:制定好的应急预案应进行测试后方投入使用制定应急响应处理预案1.安全事件预案库2.应急响应启动标准3.应急处理流程应急响应具体流程应急响应具体流程如下:1.接收初步的资料2.查明原因并总结特征3.确认是否为大规模安全事件4.消息发布5.进行事件库升级或程序升级,同时放到部中心网站6.启动应急响应处理预案启动应急响应预案流程图安全应急响应组织资料初步接收查明原因是否为大规模安全事件结束启动相应的预案YN应急事件来源总协调人安全联合防范组织技术支撑系统通常的安全应急反应预案流程图人员到位应急处理启动应急响应预案工具到位分离关键的主机和网段数据备份和配置备份分离威胁源数据恢复清除威胁源文档提交漏洞加固经验总结相关处理安全问题解决结束应急响应的事后处理事后处理过程可参考如下步骤:1.提交安全应急响应事后报告2.找出网络安全的薄弱点3.教训总结4.视情况启动处罚程序四、安全服务安全服务4.1定制开发服务4.2厂商提供的应急响应服务4.3标准安全服务定制开发服务是最高级的服务,即服务商可根据专门用户的专门要求开发和修改程序编码。此服务可以提供最高效的升级和服务,根据用户的需求切实定制功能和策略,把相关事故的危害减到最低。4.1定制开发服务应急响应服务包括应急事件处理、安全事件调查和分析等突发性事件的远程及本地服务。当网络系统内某处遭受安全事件侵袭时,应迅速启动紧急响应机制,确保在第一时间内通知全网或相关区域和人员,尽快做好预防措施。4.2厂商提供的应急响应服务1.安全通告服务:A)安全漏洞和补丁通报:为用户实时提供世界上最新出现的安全漏洞和安全升级通告。B)安全技术行业动态通报:追踪和整理世界信息安全技术最新动态,产品和行业情况、安全厂商情况、安全标准与法规等内容2.防病毒评估服务:为用户提供病毒风险评估和相关改进建议4.3标准安全服务3.安全维护服务:进行安全规则库升级或人员值守等等日常维护服务4.安全培训服务:分人员、分阶段的对用户提供相关的安全知识培训5.安全咨询服务:为用户设计安全策略并针对实际情况为用户设计各项安全管理制度。6.安全平台构建服务:帮助用户构建安全的软件或硬件平台a五、成功经验1.决网络统一管理问题:系统可将某部网络变成一个真正的可统一管理的级联网络;上级可对下级进行统一的管理和监控,下级数据可统一上报至上级汇总管理。2.解决网络管理问题:第一次获得了监控管理终端上硬件资产和安装、执行软件的能力,以及可进行全网统一的软件自动分发安装,远程终端维护管理和审计等,可有效解决网管终端管理的问题。3.解决网络安全的根本问题:提供从网络边界管理、补丁加固、密码监控以及进程、端口、访问区域、流量、安装软件的监控管理,全方位的监控终端使用的各个环节,最大程度上保证客户端系统的健壮性,保证网络终端的安全,从而保证网络的安全。在某部成功部署后,