瑞星:電信運營商整體安全解決方案
責編:gill |2016-10-10 15:40:38目前網絡安全形勢越來越嚴重,網絡攻擊的手段也越來越多,如基于網絡傳播的病毒、蠕蟲,含有惡意代碼的網頁,以及日益嚴重的間諜軟件等。傳統的解決方式在面對這些新的安全威脅已經顯的力不從心。作為國內網絡重中之重的電信網絡,需要一種新的有效安全管理方式來面對新的安全威脅。電信網絡安全管理和應用,勢在必行!
一、安全風險分析
XXX運營商系統網絡結構復雜,應用多種多樣,內部終端和服務器眾多,在對XXX運營商系統進行詳細分析后,XXX運營商中目前及今后將面臨以下安全風險:
- U盤等移動存儲設備成為病毒傳播的主要源頭
- 軟件漏洞威脅劇增
- 終端的安全防范薄弱
- 移動終端的安全防范薄弱
- 維護人員能力參差不齊精力有限
- 來自其它網絡的威脅同樣嚴重
- ARP欺騙和蠕蟲病毒等網絡威脅導致網絡設備壓力倍增,網絡傳輸不穩定
- 只采用桌面級殺毒軟件防護效果十分有限
- 重要服務器存在安全隱患
- 虛擬化帶來新的威脅
二、信息安全需求分析
- 網絡邊界安全需求
- 終端安全需求
- 移動終端安全需求
- 安全預警風險評估管理的需求
- 系統安全運維的需求
- 符合政策要求的需求
解決方案
通過瑞星國際領先的網絡安全防護產品和豐富的企業網絡安全設計經驗,為XXX運營商網絡系統提供一個技術領先、穩定可靠的全方位、多層次安全立體防御體系,有效抵御各種病毒和混合威脅的攻擊,提高安全防御水平。
三、綜合立體安全防護體系設計
本方案從“綜合立體防護”這一觀點出發,幫助XXX運營商建立一個覆蓋全網的、可伸縮、抗攻擊的防護網絡,在各局域網網關處部署瑞星導線式防毒墻,在局域網內部部署瑞星殺毒軟件行業專用版、瑞星虛擬化系統安全軟件、瑞星企業移動管理系統、瑞星運維管理審計系統和病毒預警系統,構建安全防護屏障。形成在操作系統層面有殺毒軟件防御病毒,在網絡傳輸層面有防毒墻過濾病毒,這兩個層面可以互相聯動,清除和阻斷病毒,控制病毒的傳播;同時,利用網絡預警系統的預警功能,預測傳播發展趨勢,掌握病毒傳播軌跡,真正做到防患于未然。
多層次防護體系的建立,實現了操作系統病毒有防御機制,主干及單位間網絡有病毒過濾設備,全網有病毒預警監測手段,形成整個網絡自上而下的防御監測系統,使病毒危害無法藏匿于網絡中。
圖1.瑞星安全防護體系部署示意圖
多層次的防護體系
圖 2?瑞星防護體系部署示意圖
如圖所示,瑞星公司為XXX運營商提供了全方位、多層次的、整體的網絡防護解決方案。
在網絡傳輸層面;在省公司、地市公司、區縣分公司、以及本級內相對獨立的單位等各局域網的入口處部署防毒墻產品(圖中為藍色的防毒墻圖標),形成病毒防御的第一道屏障,將來自其他網絡的病毒、木馬阻擋在企業局域網之外,防毒墻串接在各單位局域網的路由器(或防火墻)與核心交換機之間,一般采用橋接的方式,不改變網絡結構,支持高智能的Bypass功能,避免單點故障,此外,防毒墻還可以與網內的殺毒軟件實現聯動,控制局域網內不安全的終端向外訪問;
在操作系統層面;在局域網內部部署瑞星殺毒軟件行業專用版,實現對內網服務器、主機病毒的實時監測和查殺,形成病毒防御的第二道屏障。針對XXX運營商單位的具體情況,采用三級管理方式,可以實現集中式管理與分布式管理的有機結合,在省公司部署殺毒軟件行業專用版一級中心,在地市公司部署二級中心,在區縣分公司部署三級中心,在網內所有的終端和服務器上部署殺毒軟件行業專用版客戶端,由一級中心統一管理各二級中心,各二、三級中心管理本地的客戶端,實現統一的策略管理、升級管理和安裝管理等。
在運維管理層面;在省公司、地市公司、區縣分公司、以及本級內相對獨立的單位等各局域網的核心處部署運維管理審計系統產品,形成病毒防御的第一道屏障,將來自其他運維維護等維護阻擋在系統之外,運維管理審計系統并聯在各單位局域網中,一般采用并聯的方式,不改變網絡結構,支持高智能的Bypass功能,避免單點故障。
在全網的核心層面;在全網核心位置部署瑞星病毒預警系統,實現對全網的實時病毒監測、定位和預測,實現對全網的全局層面的監控,在省公司部署網絡安全預警系統的總中心(圖中為黃色框內設備,與分中心相同),部署一臺總中心和一臺病毒探針在核心交換機上,在各地市單位部署預警系統分中心,在中心交換機上旁路部署一臺病毒探針,總中心管理各分中心,同時,接收各分中心上報的數據,集中分析,形成全網的總覽數據展現給省公司的決策人員實時掌握病毒的發展態勢,做出決策,同時,各分中心可以監控本地網內的病毒疫情形勢,并做出快速反應。
防毒墻、殺毒軟件行業專用版和網絡安全預警系統三者之間實現聯動,共同防御,保證病毒在網內被全面、徹底地清除。
集中統一的管理和控制
瑞星防毒墻、瑞星殺毒軟件行業專用版和瑞星網絡安全預警系統三者結合,可以實現多層次的立體病毒防御,產品的多級管理關系和聯動關系整體示意圖如下。
圖 3?防毒墻、殺毒軟件、預警系統等聯動立體防御示意圖
如圖所示,紅色控制線表示了瑞星殺毒軟件行業專用版兩級管理關系,殺毒軟件一級中心直接管理省級單位和地市、區縣的三級中心,各級中心管理本地的服務器和終端的殺毒軟件客戶端,殺毒軟件的集中安全管理功能包括:遠程控制與管理、防毒策略的統一定制和分發、實時監控全網客戶端的防毒狀況、全網統一查殺毒、客戶端漏洞檢測與補丁分發、遠程提取客戶端診斷信息、管理員分級管理、客戶端分組管理、網內總體安全概要分析、病毒事件報警、病毒日志查詢和統計等;
藍色控制線表示了網絡安全預警系統對于分中心的統一管理和控制功能,這些功能包括:直接管理分中心,通過總中心可以直接登錄各分中心進行管理配置操作,事件統計查詢操作等;統一升級,通過總中心能夠一次為所有分中心的病毒探針進行病毒庫升級,極大地方便了管理人員的系統維護工作;數據包分析,通過總中心可以獲得各個分中心的探針網卡上的流量,分析網絡數據包或系統故障;統一各分中心數據,總中心分別從各分中心獲取實時數據與統計數據,并對全部分中心的數據進行統計分析,產生統計圖與統計報表;靈活的數據統計方式,總中心不僅可以對全部分中心的數據進行統計分析,產生統計圖與統計報表;而且可以對任意一個或幾個分中心的數據進行統計分析,產生統計圖與統計報表。
黃色控制線表示各局域網中殺毒軟件行業專用版與防毒墻的聯動功能,本部分將在下面的章節詳細介紹。
此外,對瑞星防毒墻可以統一管理,通過省公司的預警管理中心設為控制中心,將同局域網內的其他防毒墻設為子防毒墻,通過啟用防毒墻的集中管理功能,可以對防毒墻進行集中管理,大大減輕了防毒墻管理的工作量,在某個防毒墻出現故障時,通過集中管理可以迅速解決。
四、部署后可達到的效果
通過對XXX運營商中網絡建立多層次的、統一的整體網絡病毒防范體系,實現了集病毒預警、病毒主動防御和病毒實時檢測清除為一體的綜合的病毒防御機制,更好地實現綜合立體的病毒防御效果。
1、對于病毒的預警
- 及時的病毒發現
可以對網絡中的病毒狀況進行集中統一的病毒監測,構建完備、協調、高效的預警體系。在病毒發作、網絡攻擊的初期進行提前預警,進行科學的評估,采取各種有效的手段,努力把風險發生的可能性降到最小,在現代病毒安全事件中,檢測是現代網絡安全模型中重要的一部分,瑞星網絡預警系統可實時檢測網絡內的病毒攻擊;同時網絡蠕蟲病毒發作時,也會向網絡發送大量的病毒包,造成整體網絡堵塞和癱瘓,瑞星網絡預警系統可以在蠕蟲爆發的初期進行報警,采用有效的手段,可以避免對網絡造成的危害。
- 查找病毒源,定位風險,為有效處理病毒提供依據
瑞星網絡預警系統整理大量的互聯網真實IP地址所在地相關信息,同時也支持用戶自行導入和添加IP地址庫。在分析網絡安全事件時,可以單擊相關IP確定該IP地址的物理位置,查找病毒源,定位風險,為有效處理病毒提供依據,準確的定位。
- 發現未知病毒,解決新病毒爆發帶來的風險
瑞星網絡預警系統擁有網絡行為判斷技術,能夠有效的檢測未知病毒,解決新病毒爆發帶的風險,對網絡中出現的病毒情況(新病毒出現,病毒大規模爆發等)進行統一的報警,并具有多種預警方式(聲音提示、電子郵件等),并能夠進行快速應急響應。
- 安全事件的關聯分析
大量網絡安全事件,在無法人為的對其進行分析和整理時,就需要管理系統能夠將各類網絡安全事件歸納總結在一起,然后存入數據庫,方便進行管理查詢。網絡安全預警系統的管理中心所具有的大容量存儲空間完全能夠長時間存儲網絡安全事件。將各種安全事件集中到管理中心后,對于某些網絡安全事件來說,一臺或者兩臺探針無法探測或者發現針對整個網絡的安全事件。但是將網絡安全事件結合在一起后并進行歸納總結后,就有可能發現網絡安全事件的源頭。例如某個網段的攻擊探針發現該網絡被掃描,可以確定是公司內部一臺主機A所為。但同時,病毒探針發現另外一臺主機B通過遠程植入方式, 將木馬或者掃描程序植入主機A,管理中心即可根據這兩條網絡安全事件判斷掃描特定網絡的真正源頭是B而不是A, 從而確定真正的影響網絡的源頭。
- 總覽全網,整體把握全局的安全形勢
通過總中心管理全網各分中心,總覽全網的安全狀況,對于紅色的安全預警區域,只需點擊該位置,就可查看詳細情況,及時做出部署,防患于未然。
2、對于病毒的主動防御
- 在各局域網的接入處建立病毒過濾屏障,杜絕來源于其它單位的病毒干擾和各種入侵行為,防止病毒在全網蔓延;
- 利用防毒墻與殺毒軟件聯動功能,對終端實行安全檢查,不符合安全標準的終端將禁止訪問通過。
- 加強了對重要服務器的保護,通過架設瑞星防毒墻可以對重要服務器提供更為全面的保護。即使黑客已經入侵了服務器并取得了相應的系統權限。但由于有防毒墻的保護,相應的木馬程序黑客工具也不會被傳到服務器上,最終使得黑客“巧婦難為無米之炊”,無法開展進一步的入侵和破壞。
- 通過日志報表能夠及時發現網內的安全隱患,瑞星防毒墻具備完善的日志功能,系統不但擁有多種類型的日志可以隨時通過防毒墻實時顯示,而且還支持將日志記錄到Syslog服務器或遠程MySQL服務器。必要時,還可以通過電子郵件將日志發送到管理員指定郵箱。這些都可以幫助管理員及時發現網內的安全隱患以便采取措施。
- 減輕維護人員的工作壓力,部署瑞星防毒墻后,病毒在通過防毒墻時就已經被清除,根本不會進入終端操作系統,這就使得網內終端的安全響應事件會大幅下降,近而減輕了維護人員的工作壓力。另外通過防毒墻內顯示的相關信息,維護人員可以輕松的掌握網內整體安全情況。當網內出現ARP欺騙等病毒問題時,通過防毒墻可以很快速的找到病毒傳播源頭,避免了逐臺終端排查的巨大工作量,極大的提高了維護人員的工作效率。
3、對于病毒的實時檢測清除
- 實現了不通系統下跨平臺的集中統一管理。可以通過中央控管中心(系統中心)對網絡內的服務器、客戶機進行遠程策略設置、病毒查殺、遠程安裝等各種管理操作;實現跨地區、跨平臺的網絡防毒系統實施統一管理和監控。
- 實時監控客戶端防毒狀況,網絡管理員在管理控制臺上能實時地查看到每個客戶端的掃描狀態、實時監控的狀態、主動防御的狀態、感染了哪些病毒等信息:根據上述信息,管理員可實時跟蹤到每一個客戶端的防毒狀況,以便做出應對措施。
- 集中的病毒報警和報告。在管理服務器上能夠方便地查看全部范圍(或組范圍)的病毒報警和報告,包括感染節點的主機名、IP地址、病毒名稱、清除情況、被感染文件的路徑等。
- 統一的自動升級。面對當前病毒的種類層出不窮,病毒危害日益嚴重的形勢。能夠快速及時準確的查殺新型病毒極其變種,才是抑制病毒肆意妄為的有效手段。這就需要防病毒軟件的病毒庫能夠及時的升級。瑞星防毒墻和殺毒軟件行業專用版智能聯動,可以實現統一地自動升級,并同時支持多種升級方式。
- 客戶端防病毒策略強制保護。可以給網絡內所有的服務器、客戶機設置密碼保護,防止內部用戶修改防毒策略或刪除殺毒客戶端程序。
- 多層次的整體病毒防范。對XXX運營商中網絡系統內的各種不同操作系統的服務器、郵件/群件系統,服務器機群、客戶機進行多層次、全方位的病毒監控防范,監視所有病毒可能的來源途徑。如:Internet、網絡驅動器、網絡共享、移動存儲設備、光盤、軟盤和email等,徹底的斬斷病毒在服務器、客戶機內的寄生及傳播。
漏洞掃描與補丁分發管理,系統漏洞掃描與補丁分發管理的結合將更加徹底的清除各種漏洞、加固系統。許多病毒行為是借助系統的漏洞及缺陷等,不修補漏洞而單純反復的借助防病毒系統來清除借助此漏洞進行傳播及破壞的病毒程序將是徒勞的。漏洞掃描配合補丁分發功能對每臺客戶端的漏洞掃描結果有針對性的分發補丁程序、修補漏洞,才能真正解決系統的安全性,防止重復性的入侵及病毒感染。特別能夠有效的防止威金系列病毒在網絡中的傳播。