搜索
面向网络空间的终端安全管理体系——北信源VRVSpecSEC傅贵4.部分案例介绍1.信息安全趋势分析2.终端安全管理体系建设新思路目录3.VRVSpecSEC终端安全管理体系1.信息安全趋势分析Intranet1.保护网络基础设施2.保护区域边界3.保护内部计算环境安全趋势分析终端安全现状分析•安全需求多样化–OS和文件安全:文件病毒、蠕虫病毒、木马病毒–身份认证安全:密码认证、证书认证、指纹认证、双因素认证–桌面终端安全:资产管理、外设管理、进程管理、非法外联–数据安全管理:文档加密、介质管理、敏感信息消除–安全审计管理:终端操作和访问行为审计与分析•网络边界动态化–网络的边界:数据传输网络构建–设备的边界:路由器、交换机、服务器、PC机–人员的边界:移动办公、异地漫游•安全产品联动化–单个产品无法解决所有安全问题–1+12的联动防护密码认证证书认证双因素认证主机防病毒终端安全市场分析文档加密管理存储介质管理介质信息消除敏感信息检查资产管理外设管理补丁管理非法外联OS和文件保护桌面终端安全管理终端身份认证数据安全管理前沿安全动态分析•网络空间安全的解读:–网络空间安全被认为是计算机网络上的信息安全,是指网络上的硬件(如骨干网设备、终端设备、线路、辅助设备等)、软件(如操作系统、应用系统、用户系统等),及其运行的数据、提供的应用服务不因偶然的、恶意的原因而遭到破坏、更改、泄露和失控。–当网络病毒和木马、计算机黑客,以及信息战等越来越严重的影响到公众利益和国家利益的时候,网络空间安全(CyberspaceSecurity)也继国防安全、政治安全、经济安全、金融安全之后成为国家安全体系中的一项重要内容,受到包括美国、欧洲和中国政府的高度关注。•网络空间安全的应对–对于整体安全建设而言,需要研究和开发全新的安全体系结构,包括一些新的安全理念、安全技术,以便从根本上为IT基础设施提供整体安全性保障。–对于终端安全建设而言,需要建立完整的终端安全管理体系,包括终端安全理念和模型、终端安全技术,以及终端安全建设思路等。2.终端安全管理体系建设新思路设计参考依据•国家安全标准及政策法规的要求–《中华人民共和国保守国家秘密法》–《信息安全技术信息系统安全等级保护技术要求》(GB/T22239-2008)–《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)–《信息安全技术信息安全风险评估规范》(GB/T20984-2007)–《互联网安全保护技术措施规定》(公安部第82号令)•行业安全规范的指导要求–证券行业:《证券公司风险控制指标管理办法》、《关于加强对投资者网上交易安全保护的通知》–金融行业:《商业银行内部控制指引》、《银行业信息系统灾难恢复管理规范》–电力行业:《电力二次系统安全防护规定》(电监会5号令)–电信行业:《移动终端信息安全测试方法》(YD/T1700-2007)、《移动终端信息安全技术要求》(YD/T1699-2007)•行业自身发展的实际需要–为了保证行业业务系统的安全稳定运营,必须确保其信息安全保障水平与网络系统的建设同步进行。面向网络空间的终端安全管理体系•针对网络空间中终端计算机面临的各方面的问题,北信源公司于2010年8月推出了面向网络空间的终端安全管理体系(VRVSpecSEC)。•VRVSpecSEC终端安全管理体系以AP²DR模型为依据,以终端安全策略配置为核心,以终端安全检查与评估为依据,而实现的可动态组合配置的终端安全管理体系。•VRVSpecSEC终端安全管理体系覆盖了终端的资产管理、数据安全管理、行为安全管理、服务管理等层面,辅以统一管控与联动平台,而形成的终端安全管理和运营中心。VRVSpecSEC终端安全管理体系模型•Specification:–安全产品的符合性开发:遵循国家、行业安全政策和法律法规而研发。•Policy:–基于策略的安全配置:通过统一的策略中心为终端计算机配置和下发各种安全策略。•Evaluation:–终端检查与评估:通过对终端系统的安全性策略检查,确保终端计算机的安全准入。•Component:–组件化的应用模式:通过提供模块化的产品组合,为各种功能扩展提供灵活的选择空间。•Security:–安全体系建设:通过上述体系模型最终构建成为面向网络空间的、完整的终端安全管理体系,为整体信息安全体系建设打下坚实的基础。VRVSpecSec北信源终端安全管理组件化终端安全(Component)行业规范(Specification)策略(Policy)评估(Evaluation)行为管控桌面安全安全审计数据安全终端安全准入管理未知终端准入控制终端用户身份认证安全准入控制终端行为管理桌面安全管理软件与进程管理外设管理加固管理流量管理非法外联数据安全管理安全管理终端安全接口规范终端安全资产管理终端安全检查评估终端安全应急响应终端安全事件取证聊天行为上网行为网络应用P2P下载OS操作文件操作文档加密移动介质管理数据销毁敏感信息检查备份与恢复安全审计管理即时通讯上网访问邮件审计OS及文件操作数据库审计安全准入VRVSpecSEC终端安全管理体系架构VRVSpecSEC终端安全管理体系支撑模型VRV终端安全技术体系安全准入控制技术VRV终端安全管理体系VRV终端安全运维体系可信网络认证技术桌面终端安全技术信息安全管理制度管理制度的落实信息安全管理组织移动存储/文档安全技术日常运维制度日常运维流程安全应急响应行业用户最佳安全实践终端云安全技术企业用户最佳安全实践国家信息安全标准与政策法规VRVSpecSEC终端安全管理体系产品架构VRVSpecSEC产品体系架构北信源信息安全管理通告平台软件产品终端安全管理系列电子文档安全管理光盘刻录监控审计数据安全KDSEC敏感信息保密检查……………….硬件产品硬件接入网关上网行为管理网关安全登录认证key安全管理U盘介质信息消除机……………….定制产品IntelvPro管理系统政务终端护理系统3.VRVSpecSEC终端安全管理体系设计与实现行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端安全管理体系建设•未知终端准入控制•终端用户认证管理•终端安全准入控制VRVSpecSEC终端安全管理体系设计与实现实现对终端用户的双因素身份认证;实现登录key与OS用户的权限绑定;实现登录key授权权限的的划分管理;实现用户登录行为的安全审计;要采取两种或以上技术对管理用户进行身份认证;要根据管理用户的角色分配权限,实现管理用户的权限分离。《等级保护-主机安全》终端身份认证采用用户名、密码认证的方式,实现计算机入网的身份认证和安全检测,与市场主流交换机完全兼容。1.802.1X接入认证系统专有硬件产品,置于网络节点,进行HTTP、DNS的重定向,实现客户端安装检测,从而达到未注册终端无法使用网络。2.北信源接入认证网关分布式ARP干扰,不同VLAN和网段均可实现。3.ARP干扰隔离技术专有技术,采用私有协议,能够实现未注册终端强制隔离出网。4.虚拟隔离强制注册技术实现对未知终端的隔离与控制;实现对授权终端基于防病毒策略的安全检查准入控制;实现对授权终端基于补丁策略的安全检查准入控制;实现终端通过有线、无线多种接入方式的准入控制;实现终端在异地漫游状态下的准入控制;对非授权设备私自联到内部网络的行为进行检查,并阻断。《等级保护-边界完整性检查》安全准入控制行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端安全管理体系建设•聊天行为•OS操作行为•文件操作•上网行为•P2P下载•网络应用使用VRVSpecSEC终端安全管理体系设计与实现记录并留存用户访问的互联网地址或域名”,“在公共信息服务中发现、停止传输违法信息,能够记录并留存发布的信息内容及发布时间”,“应当至少保存60天记录备份”《公安部第82号令》内部员工随意上网浏览各种非法网站、视频聊天、玩网络游戏、炒股票、P2P软件下载电影和视频文件,不仅造成工作效率低下,甚至影响行业业务系统的正常运行。网络行为管控网络带宽管理访问控制管理网址过滤管理外发内容内容审计身份认证准入管理网络应用监控网络状态监控实现对网址信息过滤,防止对非授权网站的访问;实现对网络游戏软件、股票软件、聊天软件等应用的管理和控制;实现对p2p软件、网络视频的控制,优化网路带宽;实现与终端软件联动,完成对文件操作、OS操作行为的管理和授权上网行为管控VRVBMG行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端安全管理体系建设•资产管理•异常监控•违规外联•外设管理•终端加固VRVSpecSEC终端安全管理体系设计与实现补丁及文件分发终端IP绑定管理信息资产管理违规外联监控进程运行管理软件安装管理用户密码管理终端消息通知外设端口控制远程协助管理主机运维管理实现终端信息资产的统计与管理;实现终端电脑外设接口的控制与管理实现终端OS、应用系统的补丁分发与自动安装管理;实现对终端异常进程、异常流量等的监控;实现对终端非法外联的控制;编制与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。《等级保护-资产管理》对内部网络用户私自联到外部网络的行为进行检查,并阻断。《等级保护-边界完整性检查》桌面安全管理行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端安全管理体系建设•移动介质管理•数据备份与恢复•数据安全销毁•敏感信息检查•文档信息加密VRVSpecSEC终端安全管理体系设计与实现采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输、存储保密性;《等级保护-数据安全》文档透明加密应用指纹识别文档水印显示用户权限申请文档外发文档操作授权自定义密钥密级管理离网管理实现文档透明加密;实现文档操作授权;实现文档外发安全管理;文档安全管理邮件透明加密策略标签认证扇区加密USB接口控制数据区权限控制分组管理控制文件过滤控制灾难恢复其他USB设备控制信息审计要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护-介质管理》实现移动存储设备的使用权限控制;实现移动存储设备读写权限控制;实现移动存储设备识别管理。移动介质管理未经专业销密,不得将涉密计算机和涉密移动存储介质淘汰处理。《计算机保密规定》对需要送出维修或销毁的介质,首先清除其中的敏感数据,防止信息的非法泄漏。《等级保护-介质管理》1.00擦除1次。2.FF擦除1次。3.00、FF各10次,随机擦除数十次,00、FF各10次。4.00擦除1次,FF擦除1次,00擦除1次。介质信息消除实现存储介质数据信息的永久擦除;实现存储介质数据信息不可恢复;符合国家保密局BMB21-2007标准的要求;要根据所承载数据和软件的重要程度对介质进行分类和标识管理。《等级保护-介质管理》光盘刻录监控实现用户权限控制,未授权用户无法使用刻录软件;实现刻录软件权限控制,其他刻录软件无法刻录;实现数据光盘的加密刻录,只有使用密钥才可正常读取;实现刻录行为的安全审计,包括刻录计算机IP、MAC、刻录时间、源文件绝对路径、目的文件绝对路径等信息;敏感信息检查实现计算机应用信息、常规安全检查、深度安全检查三级架构检查;实现多种违规操作行为的检查取证,如重装系统、格式化硬盘等;适合多种运行环境,如硬盘安装、光盘和U盘单独运行等;上网信息检查已删除敏感信息检查U盘使用信息检查1.基本信息检查:系统进程、服务和端口、上网记录、连接状态、已装软件等2.常规安全检查:违规上网、敏感信息、U盘使用记录、系统账户安全等3.深度安全检查:扇区检查、已删文件检查等行为安全管控设计与实现桌面安全管理设计与实现数据安全管理设计与实现安全审计管理设计与实现安全准入控制设计与实现终端安全管理体系建设•邮件审计•上网行为审计•即时通讯审