一天,甘肅省定西地區(qū)臨洮縣某金融機(jī)構(gòu)儲(chǔ)蓄網(wǎng)點(diǎn)的工作人員發(fā)現(xiàn)打印出的報(bào)表儲(chǔ)蓄余額與實(shí)際不符。經(jīng)過(guò)對(duì)賬發(fā)現(xiàn),2003年5日13時(shí)發(fā)生了11筆交易、總計(jì)金額達(dá)83.5萬(wàn)元的異地賬戶系虛存(有交易記錄但無(wú)實(shí)際現(xiàn)金)。當(dāng)工作人員幾天之后進(jìn)一步與開(kāi)戶行聯(lián)系時(shí),發(fā)現(xiàn)存款已經(jīng)分別于6日、11日被人從蘭州、西安兩地取走37.81萬(wàn)元,他們意識(shí)到了問(wèn)題的嚴(yán)重性,并立即向公安機(jī)關(guān)報(bào)了案。天網(wǎng)恢恢,疏而不漏,犯罪分子最終被公安機(jī)關(guān)抓獲歸案,83.5萬(wàn)元也完璧歸趙。案子雖然破了,但留給我們的卻是深深的思索:
1、該金融機(jī)構(gòu)網(wǎng)絡(luò)是否太不完善了,竟能被人這么輕易的攻破?其實(shí),該單位網(wǎng)絡(luò)的防范措施不可謂不嚴(yán):使用專用網(wǎng)絡(luò),和互聯(lián)網(wǎng)物理隔絕;網(wǎng)絡(luò)使用了安全防火墻系統(tǒng);從前臺(tái)分機(jī)到主機(jī),其中有數(shù)道密碼保護(hù)。
2、罪犯使用什么高超的技術(shù)手段,竟然能夠突破重重屏障?經(jīng)審訊,原為該單位系統(tǒng)維護(hù)人員的作案人員,談不上精通電腦和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),僅僅在辦公桌上架設(shè)了一條電纜線連接在了不遠(yuǎn)處的郵政儲(chǔ)蓄專用網(wǎng)絡(luò)上,利用筆記本電腦侵入網(wǎng)絡(luò)后,非法遠(yuǎn)程登錄訪問(wèn)業(yè)務(wù)用機(jī),破譯對(duì)方密碼之后進(jìn)入操作系統(tǒng),以營(yíng)業(yè)員身份向自己預(yù)先在其他省份利用假身份證開(kāi)設(shè)的幾個(gè)活期賬戶存入了多筆資金。
那么,究竟是什么導(dǎo)致了案件的發(fā)生……
原因與分析
1、對(duì)內(nèi)部網(wǎng)絡(luò)安全管理的重要性認(rèn)識(shí)不足
絕大多數(shù)的企業(yè)/政府機(jī)構(gòu),以前網(wǎng)絡(luò)安全工作的重點(diǎn)防范來(lái)自Internet的攻擊或者病毒,僅僅建立Internet邊界安全控制系統(tǒng),如:防火墻,IDS,IPS。但是統(tǒng)計(jì)數(shù)據(jù)表明,許多安全問(wèn)題根本不是從外部引發(fā)的,是由于員工或者外來(lái)人員直接將計(jì)算機(jī)接入企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)引發(fā)的。正是這些有意、無(wú)意的破壞,給整個(gè)企業(yè)的安全帶來(lái)了極大的危害!
邊界安全設(shè)備如:防火墻、IDS、防病毒網(wǎng)關(guān),不能完全阻斷病毒、黑客的侵入,例如對(duì)于通過(guò)MSN、QQ等通道進(jìn)來(lái)了攻擊或者網(wǎng)絡(luò)病毒根本無(wú)能為力,對(duì)于員工上網(wǎng)被非法安裝間諜件這類安全事件更是無(wú)能為力。
2、需要保護(hù)的對(duì)象太多/應(yīng)用環(huán)境復(fù)雜
歷史上,網(wǎng)絡(luò)安全重點(diǎn)保護(hù)的是網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī))、服務(wù)器系統(tǒng)(數(shù)據(jù)庫(kù)、網(wǎng)站),而當(dāng)前網(wǎng)絡(luò)病毒、黑客、間諜件的攻擊對(duì)象是企業(yè)內(nèi)部的桌面計(jì)算機(jī),如何保護(hù)數(shù)以千計(jì)的計(jì)算機(jī)安全是很困難的,因?yàn)槭褂米烂嬗?jì)算機(jī)的人員大多數(shù)是非計(jì)算機(jī)專業(yè)人員,對(duì)安全設(shè)置、補(bǔ)丁管理認(rèn)識(shí)不足。
3、技術(shù)手段限制
目前絕大多數(shù)企業(yè)或者政府機(jī)構(gòu),尚未建立起對(duì)網(wǎng)絡(luò)上所有的計(jì)算機(jī)設(shè)備的進(jìn)行實(shí)時(shí)安全漏洞監(jiān)控的管理系統(tǒng),不能及時(shí)發(fā)現(xiàn)被攻擊的電腦,從而及時(shí)提醒或者幫助桌面計(jì)算機(jī)用戶加強(qiáng)計(jì)算機(jī)的安全設(shè)置。
4、資源投入限制
一方面,由于安全、攻擊過(guò)于頻繁,需要保護(hù)的對(duì)象太多,而企業(yè)又不能為保障安全投入無(wú)限的資源和費(fèi)用,使得企業(yè)信息部門(mén)疲于應(yīng)付;另一方面,對(duì)眾多的計(jì)算機(jī)設(shè)備,又很難進(jìn)行分類安全管理,例如:對(duì)不同的部門(mén)、不同的人員的桌面計(jì)算機(jī)采取不同的安全策略和管理策略。
解決之道
美國(guó)Carnegie Mellon大學(xué)的Internet安全專業(yè)研究中心指出:“目前有很多手段可以來(lái)解決安全問(wèn)題,絕大多數(shù)的安全攻擊事件可以通過(guò)預(yù)先部署這些安全措施、或修補(bǔ)漏洞等手段來(lái)避免。但問(wèn)題是:發(fā)生被攻擊事件的用戶往往沒(méi)有部署這些防范措施。”看來(lái),部署一套“安全、可控”的終端安全管理系統(tǒng)成為我們的當(dāng)務(wù)之急。
國(guó)際信息系統(tǒng)安全管理最佳實(shí)踐指南“BS7799”指出,要建立能夠持續(xù)動(dòng)態(tài)改進(jìn)的安全管理體系(PDCA模型)。PDCA(“Plan-Do-Check-Act”)模型圖如下,其核心思想是要建立一個(gè)能夠不斷發(fā)現(xiàn)信息系統(tǒng)中的安全隱患、問(wèn)題,通過(guò)不斷的改進(jìn)、提高,到達(dá)保護(hù)信息系統(tǒng)安全的這一最終目標(biāo)。
![]("/uploadfile/200703/20070320171046830.gif")
經(jīng)過(guò)長(zhǎng)期的評(píng)估和論證,我們最終選擇了深圳市聯(lián)軟科技有限公司開(kāi)發(fā)的 LeagView系統(tǒng)來(lái)解決。聯(lián)軟依據(jù)PDCA模型,在結(jié)合眾多用戶的管理經(jīng)驗(yàn)基礎(chǔ)之上,提出“建立可控的網(wǎng)絡(luò)安全系統(tǒng)整體解決方案”,研發(fā)出了LeagView安全接入管理系統(tǒng),從管理、技術(shù)、評(píng)估等多個(gè)方面解決大型企業(yè)/政府機(jī)構(gòu)所面臨的復(fù)雜的全面安全管理難題。
可控的網(wǎng)絡(luò)安全系統(tǒng)整體解決方案內(nèi)容包括:
1.建立全面的網(wǎng)絡(luò)接入控制系統(tǒng)
建立外部網(wǎng)絡(luò)安全接入控制系統(tǒng),采用防火墻、IDS、IPS、防病毒網(wǎng)關(guān)對(duì)來(lái)自外部網(wǎng)絡(luò)的訪問(wèn)和信息進(jìn)行控制。
建立內(nèi)部網(wǎng)絡(luò)設(shè)備準(zhǔn)入控制機(jī)制,對(duì)直接接入內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)設(shè)備進(jìn)行控制。
2.建立分級(jí)安全管理體系,實(shí)現(xiàn)分級(jí)管理
不同安全級(jí)別的信息資產(chǎn)采取不同的管理策略
從組織、流程、技術(shù)上考慮分級(jí)管理問(wèn)題
3.建立完整的安全管理流程
建立安全評(píng)估、事件報(bào)警、事件處理、處理跟蹤、配置變更、報(bào)告流程
將安全管理納入信息系統(tǒng)的服務(wù)管理(ITSM)體系中
4.采取更完善的內(nèi)部網(wǎng)絡(luò)安全措施
建立補(bǔ)丁管理系統(tǒng)
加強(qiáng)防病毒、防間諜件措施,加強(qiáng)桌面計(jì)算機(jī)的安全設(shè)置檢查
建立網(wǎng)絡(luò)流量異常分析,異常進(jìn)程分析系統(tǒng),盡早、快速發(fā)現(xiàn)接入內(nèi)部網(wǎng)絡(luò)的異常計(jì)算機(jī)設(shè)備
5.建立集中式的安全操作管理平臺(tái)
實(shí)現(xiàn)高效率安全管理,解決資源不足問(wèn)題
實(shí)現(xiàn)集中安全策略設(shè)定、集中維護(hù)/監(jiān)控、集中問(wèn)題處理
下圖是“可控的網(wǎng)絡(luò)安全系統(tǒng)整體解決方案”組成圖,LeagView安全接入管理系統(tǒng)與傳統(tǒng)的邊界安全接入控制系統(tǒng)、防病毒系統(tǒng),以及與企業(yè)IT服務(wù)管理平臺(tái)一起,構(gòu)筑成安全控制、安全評(píng)估、安全部署系統(tǒng),實(shí)現(xiàn)分級(jí)管理和流程管理,構(gòu)建“可控的網(wǎng)絡(luò)安全系統(tǒng)”。
![]("/uploadfile/200703/20070320171125983.jpg")
方案詳述
作為業(yè)界領(lǐng)先的“LeagView安全接入管理系統(tǒng)”,是“可控的網(wǎng)絡(luò)安全系統(tǒng)”中的關(guān)鍵組成部分。LeagView是一個(gè)和網(wǎng)絡(luò)系統(tǒng)緊密集成的桌面管理系統(tǒng),一方面實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)的桌面電腦的安全控制,另一方面實(shí)現(xiàn)桌面電腦的集中式管理、控制和維護(hù)。
LeagView具有很多其他國(guó)內(nèi)、外其他產(chǎn)品所不具備的優(yōu)勢(shì):
大部分桌面電腦管理軟件是為了做配置管理而配置管理,與安全方面的結(jié)合不太緊密。而LeagView實(shí)現(xiàn)了多種不同力度的安全準(zhǔn)入控制方式,擁有最完善的準(zhǔn)入控制解決方案,讓系統(tǒng)管理員根據(jù)重要性進(jìn)行選擇。
構(gòu)建一體化的網(wǎng)絡(luò)安全防御體系
LeagView以網(wǎng)絡(luò)準(zhǔn)入控制為基礎(chǔ),在補(bǔ)丁包自動(dòng)升級(jí)、主機(jī)安全漏洞檢查、主機(jī)安全加固、防病毒軟件強(qiáng)制安裝與更新、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)異常檢測(cè)、非授權(quán)外連、網(wǎng)絡(luò)行為審計(jì)等幾個(gè)方面加強(qiáng)網(wǎng)絡(luò)內(nèi)部的安全性,與防火墻、防病毒軟件一起構(gòu)建成一個(gè)完整的網(wǎng)絡(luò)安全防御體系。
及時(shí)發(fā)現(xiàn)接入網(wǎng)絡(luò)中的所有設(shè)備
很多桌面電腦管理軟件只能發(fā)現(xiàn)安裝了自身客戶端代理的桌面電腦,而不能發(fā)現(xiàn)未安裝客戶端代理的桌面電腦。而LeagView可以發(fā)現(xiàn)任何接入網(wǎng)絡(luò)的設(shè)備,不管是否安裝了客戶端代理。LeagView對(duì)設(shè)備發(fā)現(xiàn)的及時(shí)性保證外來(lái)電腦、移動(dòng)電腦接入網(wǎng)絡(luò)時(shí)也能被及時(shí)發(fā)現(xiàn)并通知系統(tǒng)管理員。
設(shè)備快速查找定位
LeagView允許用戶依據(jù)各種信息對(duì)設(shè)備進(jìn)行快速定位,快速查找定位的信息可以是該設(shè)備上的任何一項(xiàng)信息;設(shè)備快速查找定位既可以用于對(duì)設(shè)備的定位分析,也可以用于資產(chǎn)統(tǒng)計(jì)和定位,例如:可以查找出所有AMD Duron CPU,主頻小于2.0GHz的桌面電腦。
完整的配置信息
LeagView不僅能夠采集到桌面電腦固定的軟硬件配置信息,而且能夠進(jìn)一步獲取桌面電腦的網(wǎng)絡(luò)連接信息、客戶端用戶信息,LeagView的管理不是孤零零的設(shè)備管理,而是結(jié)合人的管理。
產(chǎn)品功能高度集成
LeagView為系統(tǒng)管理員提供了管理、維護(hù)大批量桌面電腦的多種方法、手段和工具,并且這些功能高度集成。
例如:系統(tǒng)管理員可以定義所有沒(méi)有安裝防病毒軟件桌面電腦,如果其位于開(kāi)放辦公室,則限制其上Internet網(wǎng)。對(duì)于該類電腦,系統(tǒng)管理員既可以通過(guò)LeagView的遠(yuǎn)程協(xié)助功能幫助其安裝防病毒軟件,也可以定義任務(wù)自動(dòng)幫助其安裝該防病毒軟件。LeagView可以實(shí)現(xiàn)與網(wǎng)絡(luò)設(shè)備、防火墻設(shè)備、HTTP服務(wù)器、防病毒軟件之間的集成與聯(lián)動(dòng),既強(qiáng)化了產(chǎn)品功能,又方便管理員管理、控制桌面電腦。
使用簡(jiǎn)單、實(shí)施方便
LeagView采用Web管理界面,使系統(tǒng)管理員的管理工作不受地理位置限制。LeagView客戶端代理即可以通過(guò)Web方式安裝,又可以有管理員集中推送部署,除去系統(tǒng)管理員手工一臺(tái)一臺(tái)機(jī)器安裝的麻煩,方便實(shí)施。
松緊有度、自主定義
許多管理系統(tǒng)對(duì)桌面電腦“一管就死、一放就亂”。在許多崇尚自由和創(chuàng)新企業(yè)文化的企業(yè)/機(jī)構(gòu),如果對(duì)桌面電腦管理過(guò)于嚴(yán)格,往往會(huì)很難推行下去。
LeagView的許多功能允許系統(tǒng)管理員自主定義,例如管理員可以定義客戶端代理是否支持遠(yuǎn)程協(xié)助、遠(yuǎn)程監(jiān)控、上網(wǎng)審計(jì)、上網(wǎng)過(guò)濾等。代理的客戶界面、代理的功能描述甚至包括代理的圖標(biāo)均可以由系統(tǒng)管理員自主定義,此外在LeagView各種安全和控制策略中,管理員可以定義其應(yīng)用范圍。
通過(guò)自定義代理的功能、安全策略,使得企業(yè)可以非常方便地定義對(duì)桌面電腦的管理嚴(yán)格程度。
高性價(jià)比
LeagView具有桌面電腦資產(chǎn)管理、桌面電腦安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等三個(gè)方面的功能,與國(guó)外同類產(chǎn)品比較,具有非常高的性能價(jià)格比。
全中文web管理界面
聯(lián)軟IT安全運(yùn)維管理系統(tǒng)支持全中文的WEB管理界面,管理員可以在任何能夠聯(lián)網(wǎng)的地方訪問(wèn)“IT安全運(yùn)維管理系統(tǒng)”,完成管理維護(hù)工作。
