一、項(xiàng)目背景

　　XXXX是國家的重要政府部門，轄內(nèi)現(xiàn)有共30個(gè)司局，辦公人員總數(shù)約1500人。經(jīng)過多年的建設(shè)，XXXX已經(jīng)形成了比較完善的內(nèi)網(wǎng)、縱向網(wǎng)和外網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)。其中：

　　★ 內(nèi)網(wǎng)是XXXX機(jī)關(guān)內(nèi)部辦公網(wǎng)，是涉密網(wǎng)絡(luò)，與互聯(lián)網(wǎng)物理隔離。

　　★ 縱向網(wǎng)是以XXXX為中心節(jié)點(diǎn)，連接覆蓋全國的各省、自治區(qū)、直轄市、副省級(jí)省會(huì)城市、計(jì)劃單列市的XXXX所屬各級(jí)單位和部門。縱向網(wǎng)是涉密網(wǎng)絡(luò)，與互聯(lián)網(wǎng)物理隔離。

　　★ 外網(wǎng)是XXXX工作人員訪問互聯(lián)網(wǎng)，及時(shí)了解國際、國內(nèi)重要信息，并與外界進(jìn)行必要的溝通、聯(lián)系的重要渠道。

　　由于XXXX本身職能的特殊性，對信息系統(tǒng)的安全性要求很高，因此在XXXX網(wǎng)絡(luò)中部署了很多信息安全產(chǎn)品來加強(qiáng)整體安全性。這些安全產(chǎn)品雖然確實(shí)可以解決一些較為緊迫的安全問題，如病毒泛濫、黑客攻擊等，但是仍然不夠完善，網(wǎng)絡(luò)中仍然存在一定的安全風(fēng)險(xiǎn)，例如：缺乏內(nèi)網(wǎng)安全管理機(jī)制，不能對內(nèi)部用戶濫用網(wǎng)絡(luò)系統(tǒng)資源或外界人員繞過邊界安全控制設(shè)施進(jìn)行的各種非法操作行為進(jìn)行有效的監(jiān)控和審計(jì);缺乏集中的安全管理平臺(tái)和流程化的安全事件處理機(jī)制，現(xiàn)有的各種安全防護(hù)機(jī)制彼此孤立，不能夠有效互動(dòng)和統(tǒng)一協(xié)調(diào)地工作。

　　在充分認(rèn)識(shí)到安全管理方面的不足之后，XXXX決定通過部署專業(yè)的安全產(chǎn)品來加強(qiáng)內(nèi)網(wǎng)桌面計(jì)算機(jī)系統(tǒng)的安全管理和實(shí)現(xiàn)集中的網(wǎng)絡(luò)信息安全監(jiān)控。

　　二、信息系統(tǒng)描述

　　XXXX辦公網(wǎng)包括相對獨(dú)立的內(nèi)網(wǎng)、縱向網(wǎng)和外網(wǎng)三部分，各網(wǎng)絡(luò)核心交換機(jī)和服務(wù)器主機(jī)均放置于主樓的主機(jī)房，各網(wǎng)絡(luò)的用戶接入交換機(jī)和信息點(diǎn)分布于各個(gè)辦公樓層中。此次網(wǎng)絡(luò)信息安全管理和監(jiān)控平臺(tái)的建設(shè)主要針對內(nèi)網(wǎng)進(jìn)行。

　　內(nèi)網(wǎng)是XXXX機(jī)關(guān)內(nèi)部辦公網(wǎng)，目前網(wǎng)絡(luò)覆蓋整個(gè)XXXX的各個(gè)辦公樓層。內(nèi)網(wǎng)是涉密網(wǎng)絡(luò)，與互聯(lián)網(wǎng)物理隔離。

　　內(nèi)網(wǎng)網(wǎng)絡(luò)骨干采用ATM技術(shù)，為雙星型結(jié)構(gòu)。由兩臺(tái)三層交換機(jī)作為核心，兩臺(tái)核心交換機(jī)采用串行雙連接模式，核心數(shù)據(jù)交換能力為2*622M。每個(gè)樓層設(shè)備間配備一臺(tái)樓層交換機(jī)，通過622M光纖線路與一臺(tái)核心交換機(jī)單路相連。同時(shí)樓層交換機(jī)作為骨干網(wǎng)的邊緣，通過LANE技術(shù)實(shí)現(xiàn)ATM網(wǎng)到以太網(wǎng)的過渡。終端用戶通過100M雙絞線連接樓層交換機(jī)的以太網(wǎng)端口。內(nèi)網(wǎng)所有服務(wù)器集中部署在中央機(jī)房，單鏈路100M連接核心交換機(jī)。

　　內(nèi)網(wǎng)采用靜態(tài)地址，按樓層、司局、服務(wù)器和管理網(wǎng)段等進(jìn)行劃分。

　　內(nèi)網(wǎng)目前部署了防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)等安全設(shè)備和軟件。

　　內(nèi)網(wǎng)現(xiàn)有用戶數(shù)約1200人。

　　三、用戶需求分析

　　終端安全管理需求

　　XXXX網(wǎng)絡(luò)經(jīng)過了長期的發(fā)展，計(jì)算機(jī)的硬件配置多樣化，操作系統(tǒng)多樣化，應(yīng)用系統(tǒng)多樣化。隨著網(wǎng)絡(luò)系統(tǒng)的不斷發(fā)展，基于微軟操作系統(tǒng)漏洞的病毒和攻擊層出不窮，不斷爆發(fā)的網(wǎng)絡(luò)病毒的危害性越發(fā)凸顯出來，嚴(yán)重影響了XXXX網(wǎng)絡(luò)應(yīng)用。針對以上具體情況，加強(qiáng)XXXX內(nèi)網(wǎng)的計(jì)算機(jī)終端安全、統(tǒng)一計(jì)算機(jī)終端的管理已經(jīng)勢在必行。

　　具體來說，在終端安全管理方面的需求主要包括：

　　★ 及時(shí)發(fā)現(xiàn)終端設(shè)備的操作系統(tǒng)和重要應(yīng)用軟件的漏洞并自動(dòng)分發(fā)安全補(bǔ)丁，減少被攻擊的可能。

　　★ 有效管理終端資產(chǎn)，保障終端設(shè)備正常運(yùn)行，提供非法改變報(bào)警。

　　★ 防范內(nèi)網(wǎng)終端設(shè)備非法外聯(lián)。

　　★ 防范外來的移動(dòng)終端非法接入內(nèi)網(wǎng)。

　　★ 防范內(nèi)部涉密重要信息的泄露。

　　★ 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中占用大量網(wǎng)絡(luò)帶寬或產(chǎn)生異常網(wǎng)絡(luò)流量的終端，并及時(shí)阻斷。

　　★ 對移動(dòng)存儲(chǔ)設(shè)備的使用進(jìn)行管理，防止通過移動(dòng)存儲(chǔ)設(shè)備泄密或染毒。

　　★ 通過批量設(shè)置計(jì)算機(jī)的安全保護(hù)措施提高桌面計(jì)算機(jī)的安全性。

　　★ 進(jìn)行批量的軟件分發(fā)和安裝，提高運(yùn)行維護(hù)效率。

　　★ 特定計(jì)算機(jī)的IP地址保護(hù)。

　　★ 在全網(wǎng)制訂統(tǒng)一的安全策略并實(shí)時(shí)評(píng)估計(jì)算機(jī)的安全狀態(tài)是否符合管理規(guī)定，阻斷安全風(fēng)險(xiǎn)大的計(jì)算機(jī)與網(wǎng)絡(luò)連接，并向管理員報(bào)警。

　　★ 出現(xiàn)安全問題后，可以快速有效的定位有問題的IP/MAC/主機(jī)名，找出網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點(diǎn)，及時(shí)、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。

　　內(nèi)網(wǎng)網(wǎng)絡(luò)和信息安全監(jiān)控需求

　　主流的安全產(chǎn)品如防火墻、入侵檢測、防病毒軟件等都是從某一局部去解決安全問題，相互之間是獨(dú)立、分散管理的，這種狀況不僅增加了管理成本和難度，而且無法對安全問題、安全隱患進(jìn)行綜合分析，不符合安全整體架構(gòu)思想，無法為用戶提供動(dòng)態(tài)、全局的安全狀態(tài)分析。

　　鑒于XXXX內(nèi)網(wǎng)信息系統(tǒng)中已經(jīng)部署了很多的安全產(chǎn)品，如何從整體安全的角度出發(fā)，為信息安全管理提供決策依據(jù)和管理手段，解決采用多種相互獨(dú)立的安全產(chǎn)品及安全技術(shù)所帶來的管理混亂局面，降低網(wǎng)絡(luò)安全管理的復(fù)雜性就顯得尤為重要。

　　因此在XXXX內(nèi)網(wǎng)中需要通過一定的技術(shù)手段，建立全網(wǎng)的集中安全管理與監(jiān)控平臺(tái)，實(shí)現(xiàn)以下基本需求：

　　★ 在核心位置對整個(gè)網(wǎng)絡(luò)系統(tǒng)中各類設(shè)備和軟件所產(chǎn)生的安全事件信息進(jìn)行集中分析，改變信息孤立，管理困難的局面，從而實(shí)時(shí)地掌握網(wǎng)絡(luò)中各個(gè)部門、各個(gè)網(wǎng)段、各個(gè)應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)和處理安全事故，將風(fēng)險(xiǎn)影響程度降到最低，并減少響應(yīng)時(shí)間。

　　★ 分析和評(píng)估構(gòu)成網(wǎng)絡(luò)系統(tǒng)的各類關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)和價(jià)值，并通過對這些關(guān)鍵資產(chǎn)的實(shí)時(shí)監(jiān)控，以及對資產(chǎn)所產(chǎn)生的事件進(jìn)行風(fēng)險(xiǎn)分析和處理，從而維護(hù)網(wǎng)絡(luò)中各種資產(chǎn)的安全性和網(wǎng)絡(luò)整體安全性。

　　★ 在規(guī)范統(tǒng)一的平臺(tái)上有機(jī)整合各種安全產(chǎn)品及技術(shù)，建立完善的安全預(yù)警、響應(yīng)、處理、恢復(fù)及防護(hù)機(jī)制，使網(wǎng)絡(luò)中所部署的各類安全系統(tǒng)能夠有效互動(dòng)和統(tǒng)一協(xié)調(diào)地工作，最大化發(fā)揮安全系統(tǒng)的效能。

　　★ 將技術(shù)因素與管理因素同時(shí)結(jié)合到企業(yè)的安全管理中，深入保護(hù)用戶應(yīng)用。

　　★ 實(shí)時(shí)了解自身安全狀況和安全動(dòng)態(tài)，及時(shí)發(fā)出預(yù)警信息。

　　★ 安全事件發(fā)生后，確診網(wǎng)絡(luò)故障的原因或感染源/攻擊源。

　　★ 不斷積累和豐富專家?guī)臁⒅R(shí)庫，協(xié)助安全管理員去監(jiān)控，分析，解決問題。

　　★ 最終的目標(biāo)是最大程度的減少發(fā)生網(wǎng)絡(luò)安全事故、減少由于網(wǎng)絡(luò)安全事故造成的損失或者避免發(fā)生網(wǎng)絡(luò)安全事故。

　　符合政策要求的需求

　　國信辦于2003年頒布的中辦[2003]27號(hào)文件(《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》)：

　　四、建設(shè)和完善信息安全監(jiān)控體系

　　信息安全監(jiān)控是及時(shí)發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊，防止有害信息傳播，對網(wǎng)絡(luò)和系統(tǒng)實(shí)施保護(hù)的重要手段。基礎(chǔ)信息網(wǎng)絡(luò)的運(yùn)營單位和各重要信息系統(tǒng)的主管部門或運(yùn)營單位要根據(jù)實(shí)際情況建立和完善信息安全監(jiān)控系統(tǒng)，提高對網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密的防范能力，防止有害信息傳播。”

　　安全總體建議

　　建議在XXXX內(nèi)網(wǎng)中建立一套集中的安全管理平臺(tái)，靈活地結(jié)合XXXX自身業(yè)務(wù)流的特點(diǎn)，識(shí)別和管理組成XXXX內(nèi)部IT基礎(chǔ)架構(gòu)的關(guān)鍵信息資產(chǎn)，指導(dǎo)用戶制訂全局安全策略，通過有效整合XXXX內(nèi)部安全資源，依據(jù)智能的輔助決策系統(tǒng)和安全知識(shí)庫內(nèi)容，實(shí)施以風(fēng)險(xiǎn)控制為核心的安全事件管理、安全風(fēng)險(xiǎn)管理、安全報(bào)警響應(yīng)、專家建議以及終端安全管理等一系列安全管理活動(dòng)，從而保證XXXX內(nèi)網(wǎng)信息系統(tǒng)正常運(yùn)行和持續(xù)性發(fā)展。

　　該平臺(tái)主要包括兩個(gè)方面的功能：

　　★ 終端安全管理

　　對局域網(wǎng)內(nèi)部終端的網(wǎng)絡(luò)行為進(jìn)行全面集中監(jiān)管，檢測和維護(hù)桌面系統(tǒng)的安全。

　　★ 網(wǎng)絡(luò)和信息安全監(jiān)控

　　集中監(jiān)控、分析和管理XXXX網(wǎng)絡(luò)信息系統(tǒng)整體安全態(tài)勢，對潛在的攻擊征兆進(jìn)行預(yù)警，對安全事件提供及時(shí)的響應(yīng)和處理，實(shí)現(xiàn)閉環(huán)的、持續(xù)改進(jìn)的安全管理。

　　推薦采用天融信公司的網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)(TSM)，它是根據(jù)天融信可信網(wǎng)絡(luò)架構(gòu)(TNA)的思想，構(gòu)建的開放型的安全管理平臺(tái)，由TopAnalyzer安全信息管理系統(tǒng)、TopDesk終端管理系統(tǒng)、報(bào)表管理系統(tǒng)、認(rèn)證管理系統(tǒng)以及資產(chǎn)管理系統(tǒng)等組件共同構(gòu)成。

　　五、安全管理平臺(tái)部署

　　在XXXX網(wǎng)絡(luò)中，我們通過部署天融信公司的網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)(TSM)，結(jié)合XXXX內(nèi)網(wǎng)信息系統(tǒng)業(yè)務(wù)流的特點(diǎn)，識(shí)別和管理組成內(nèi)部IT基礎(chǔ)架構(gòu)的關(guān)鍵信息資產(chǎn)，制訂統(tǒng)一的信息安全策略，在規(guī)范統(tǒng)一的平臺(tái)上有機(jī)整合系統(tǒng)內(nèi)部各種安全資源，實(shí)施集中的終端安全管理、安全事件管理、安全風(fēng)險(xiǎn)管理等一系列安全管理活動(dòng)，并通過統(tǒng)一的安全報(bào)表、安全報(bào)警響應(yīng)以及安全事件處理流程，實(shí)現(xiàn)XXXX內(nèi)網(wǎng)桌面計(jì)算機(jī)系統(tǒng)的安全管理和集中的網(wǎng)絡(luò)信息安全監(jiān)控，保證XXXX內(nèi)網(wǎng)信息系統(tǒng)正常運(yùn)行和持續(xù)性發(fā)展。

　　TSM安全管理系統(tǒng)在XXXX網(wǎng)絡(luò)中的部署方式如下圖所示：

　　TSM包括五個(gè)主要功能組件：TopAnalyzer、TopDesk、資產(chǎn)管理系統(tǒng)、認(rèn)證管理系統(tǒng)以及報(bào)表管理系統(tǒng)。其中TopAnalyzer和TopDesk是TSM的兩個(gè)核心組件，資產(chǎn)、認(rèn)證、報(bào)表這三個(gè)系統(tǒng)作為基本組件和數(shù)據(jù)庫系統(tǒng)以及基于WEB的門戶管理系統(tǒng)共同構(gòu)成了TSM的系統(tǒng)支撐平臺(tái)。

　　六、安全建設(shè)效果

　　天融信終端安全管理系統(tǒng)TopDesk負(fù)責(zé)對局域網(wǎng)內(nèi)部終端的網(wǎng)絡(luò)行為進(jìn)行全面集中監(jiān)管，保障XXXX內(nèi)部網(wǎng)絡(luò)用戶終端的桌面系統(tǒng)安全。TopDesk依據(jù)統(tǒng)一的企業(yè)安全策略，進(jìn)行對終端桌面的安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管和安全狀態(tài)檢測，采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制，通過和TopAnalyzer及TSM其他組件的互動(dòng)，實(shí)現(xiàn)對XXXX網(wǎng)絡(luò)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，從而有效地保護(hù)XXXX內(nèi)網(wǎng)信息系統(tǒng)安全和涉密數(shù)據(jù)安全。

　　天融信安全信息管理系統(tǒng)TopAnalyzer負(fù)責(zé)監(jiān)控、分析和管理XXXX網(wǎng)絡(luò)信息系統(tǒng)整體安全態(tài)勢。TopAnalyzer通過采用不同技術(shù)和手段收集和整合網(wǎng)絡(luò)中各類安全事件，采用實(shí)時(shí)關(guān)聯(lián)分析技術(shù)和智能推理技術(shù)，實(shí)現(xiàn)對安全事件的深度分析，對安全事件提供及時(shí)智能的響應(yīng)和處理，對潛在的攻擊征兆進(jìn)行預(yù)警，最終對XXXX網(wǎng)絡(luò)和信息資產(chǎn)實(shí)現(xiàn)閉環(huán)的、持續(xù)改進(jìn)的集中安全監(jiān)管。

　　資產(chǎn)管理系統(tǒng)負(fù)責(zé)集中管理企業(yè)內(nèi)部所有的信息資產(chǎn)。

　　認(rèn)證管理系統(tǒng)負(fù)責(zé)提供基于角色的用戶管理和系統(tǒng)平臺(tái)的單點(diǎn)登陸功能。

　　報(bào)表管理系統(tǒng)負(fù)責(zé)生成和統(tǒng)一管理系統(tǒng)產(chǎn)生的各類分析報(bào)表。

　　數(shù)據(jù)庫系統(tǒng)用于存放系統(tǒng)收集的海量安全事件信息和報(bào)警信息等。

　　WEB門戶系統(tǒng)負(fù)責(zé)提供TopAnalyzer服務(wù)器和認(rèn)證用戶(使用WEB瀏覽器)間的交互。

文章作者：計(jì)世網(wǎng)