隨著四川省公安信息化建設的快速發展,信息化應用在公安機關打擊犯罪、維護社會穩定中發揮著不可替代的重要作用,各項公安業務工作對公安信息網的依賴程度日益加深,公安信息網已成為四川省各級公安機關和廣大民警履職盡責的重要工具。公安信息網在發揮巨大作用的同時,自身安全也變得越來越重要。公安信息網一旦遭到攻擊和非法入侵,不僅危害公安信息網和信息資源的安全,影響公安工作的正常開展,同時也會給國家利益和國家安全帶來嚴重威脅。
為了應對各種安全風險,保障公安網絡及其信息資源的安全,四川省公安選用了啟明星辰的全系安全產品來為其提供全面可靠的安全保障。
安全域劃分
根據IATF的縱深防御思想和IA原則,并結合四川省公安信息網絡的實際情況,啟明星辰對整個網絡進行了安全域劃分:將整個網絡劃分為邊界接入域、計算環境域、網絡設施域和支撐設施域四個安全域(如圖1),每個安全域又分為不同的安全區,譬如根據接入的現狀,將邊界接入域劃分為外聯網接入區、內部接入區、內聯網接入區和邊界接入平臺四個不同的接入區。
圖1 IATF安全域模型
在這四個安全域中,所面臨的風險和風險的危害程度是各不相同的,因此防護的重點也不一樣,需要根據每個安全域的特點,制定相應的安全策略,部署相應的安全產品。
邊界接入域:網絡邊界的綜合安全防護
邊界接入域所面臨的主要威脅包括非授權訪問,來自外部的入侵、蠕蟲病毒等,因此在邊界接入域上需要采取訪問控制(防火墻)、安全遠程接入(VPN)、防病毒和網絡入侵防御等多種安全防護措施,全面應對網絡安全風險。
圖2:邊界接入域外聯接入區的安全部署
針對邊界接入域的防護需求,在邊界接入域各接入區的邊界位置部署天清漢馬USG一體化安全網關提供綜合的安全防御(如圖2)。
天清漢馬USG一體化安全網關是國內領先的UTM產品,市場份額在07、08年連續兩年位居國內廠商之首。天清漢馬USG除具備防火墻的狀態檢測和訪問控制功能外,還具備VPN、網關防病毒、網絡入侵防御(IPS)、抗拒絕服務(DoS)攻擊等高級安全特性,能夠為網絡邊界提供立體化的縱深防御,并大大簡化網絡邊界的安全部署。天清漢馬USG采用了高性能的硬件架構和一體化的軟件設計,在開啟多種安全防護特性之后,仍然能夠確保高性能和低延遲,可謂是邊界防御的理想之選。
計算環境域:核心業務的安全防御和合規保障
計算環境域包含了公安信息網中核心的業務平臺和業務服務器,其所面臨的主要威脅是外界對應用系統的攻擊和入侵行為,尤其是SQL注入攻擊和跨站腳本(XSS)攻擊對Web業務系統所帶來的嚴重危害;另外,針對內部人員越權、濫用、操作失誤和抵賴等行為所帶來的安全風險,也需要進行積極的防范。
圖3:計算環境域服務器區的安全部署
以核心計算域核心服務器區的防護為例,針對外部的攻擊和入侵行為,通過部署千兆天清NDP入侵防御系統(IPS)來提供深層防御(如圖3)。天清IPS可以防御傳統防火墻發現不了的4-7層深層攻擊行為,如緩沖溢出、木馬后門、蠕蟲病毒等,能夠進一步提升對關鍵業務和數據的防御能力。針對日益泛濫的SQL注入攻擊、跨站腳本攻擊等Web攻擊行為,天清IPS采用了攻擊機理分析的檢測技術,同傳統的基于數據特征匹配和基于異常模型構建的檢測方式相比,基于攻擊機理分析的檢測技術有著更低的漏報率和誤報率,能夠對Web攻擊行為進行精確的判斷和阻斷,不會因為誤警而影響網絡的正常應用。
針對內部合規審計和管理的需求,通過部署啟明星辰天玥網絡安全審計系統,做到對重要數據庫和關鍵業務應用的行為審計。天玥網絡安全審計系統是針對業務環境下的網絡操作行為進行細粒度審計的合規性管理系統。它通過對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報,能夠幫助用戶實現事前規劃預防,事中實時監控和違規響應,事后合規報告和追蹤回放,從而加強內外部網絡行為監管、避免核心資產(數據庫、服務器、網絡設備等)損失、保障業務系統的正常運營。
網絡設施域:網絡行為和流量監控
網絡設施域內的各種網絡設備,承載著公安信息網內所有的業務和通信流量,面臨著漏洞利用、數據竊聽、通信鏈路故障等風險。除了通過各種措施保證備和鏈路的可靠性,還需要對網絡中的各種安全事件、網絡流量的分布情況進行監測,并根據監測到的信息來及時調整安全策略。
圖4:網絡基礎設施域的安全部署
針對網絡設施域的防護需求,在信息網的核心交換機上旁路部署天闐入侵檢測系統(IDS),來對全網的安全事件和流量信息進行監控(圖4)。
啟明星辰的天闐IDS連續六年(2003-2008年)蟬聯IDS市場排名第一,是名副其實的中國IT安全市場入侵檢測第一品牌。天闐IDS可以監視端口掃描、木馬后門攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲攻擊等各種入侵事件,并在發生嚴重入侵事件時通過屏幕提示、郵件告警、E-mail告警等多種方式向管理員提供報警;天闐IDS還可以對全網的流量情況進行全局分析,提供實時的流量統計圖,幫助網絡管理員直觀的掌握網絡中各種應用的分布情況。
支撐設施域:脆弱性評估和內網安全
支撐設施域范圍很廣,包含了信息網中所使用的業務應用運維系統、公秘鑰體系、安全管理體系等各種支撐體系。支撐域所面臨的風險主要有兩方面,一是支撐域中的各種終端、網絡設備、服務器可能會存在漏洞和脆弱性,這些漏洞和脆弱性能夠被不法分子利用來進入內部網絡,非法獲取內部信息資產;另一方面則來自于內部人員,員工的不規范操作、終端隨意接入、權限私自共享等行為,往往會導致傳輸泄密、網絡癱瘓、文件破壞等嚴重后果。
圖5:支撐設施域管理運維區的安全部署
對于資產的脆弱性風險,通過在支撐域中部署天鏡脆弱性掃描和管理系統,可以快速發現網絡中的各種資產,并對資產進行識別;對網絡中的核心服務器、各種終端、重要的網絡設備,包括服務器、交換機等進行安全漏洞檢測和分析;對于發現的漏洞,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而幫助客戶在弱點全面評估的基礎上實現安全自主掌控。
對于內部人員風險,通過在業務和運維終端上部署天珣內網風險控制和安全管理系統,能夠對全網的接入主機進行補丁自動分發和終端合規檢查,杜絕不安全的終端接入內網;使用天珣獨有的內核加密技術,可實時動態加解密,以及基于用戶角色的關鍵數據受控共享,結合完善的防非法外聯技術,能夠有效切斷數據非法傳播途徑,從根本上解決數據防泄密問題,保護用戶關鍵信息資產。支撐設施管理運維區的安全部署如圖5所示。
小結
啟明星辰擁有完整的安全產品線,涵蓋了從邊界綜合防御到服務器深層防御的安全防護類產品,從業務安全到終端安全的全流程安全審計類產品,從入侵檢測、漏洞掃描到掛馬監測的各種安全檢測類產品,能夠為客戶提供全方位的安全保障。在四川省公安的案例中,啟明星辰的安全專家對用戶的網絡進行了安全域劃分,明確了各安全域的防護需求和防護目標,并制定了各安全域的安全防護方案。在該方案中,啟明星辰的各種安全產品各司其職又互相加強,通過安全防護技術和安全管理手段的緊密結合,確保了用戶的安全無盲點。
