隨著四川省公安信息化建設的快速發(fā)展,信息化應用為公安機關打擊犯罪、維護社會穩(wěn)定發(fā)揮著不可替代的作用,公安人員在各項公安業(yè)務工作對公安信息網(wǎng)的依賴程度日益加深。公安信息網(wǎng)已成為四川省各級公安機關和廣大民警履職盡責的重要工具。公安信息網(wǎng)在發(fā)揮重要作用的同時,自身安全也變得越來越重要。公安信息網(wǎng)一旦遭到攻擊或非法入侵,不僅危害公安信息網(wǎng)和信息資源的安全,影響公安工作的正常開展,還會給國家利益和國家安全帶來嚴重威脅。

為了應對各種安全風險,保障公安網(wǎng)絡及其信息資源的安全,四川省公安選用了啟明星辰的全系安全產(chǎn)品來為其提供全面、可靠的安全保障。

安全域劃分

遵循IATF的縱深防御思想和IA原則,結(jié)合四川省公安信息網(wǎng)絡的實際情況,啟明星辰對整個網(wǎng)絡進行了安全域劃分。啟明星辰將整個網(wǎng)絡劃分為邊界接入域、計算環(huán)境域、網(wǎng)絡設施域和支撐設施域四個安全域;每個安全域又分為不同的安全區(qū),如根據(jù)接入的現(xiàn)狀將邊界接入域劃分為外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)和邊界接入平臺四個不同的接入?yún)^(qū)。

在這四個安全域中,所面臨的風險和風險的危害程度是各不相同的,防護的重點也不一樣,需要根據(jù)每個安全域的特點制定相應的安全策略,部署相應的安全產(chǎn)品。

邊界接入域

網(wǎng)絡邊界的綜合安全防護

邊界接入域所面臨的主要威脅包括非授權(quán)訪問、來自外部的入侵、蠕蟲病毒等,因此在邊界接入域上需要采取訪問控制(防火墻)、安全遠程接入(VPN)、防病毒和網(wǎng)絡入侵防御等多種安全防護措施,全面應對網(wǎng)絡安全風險。

針對邊界接入域的防護需求,啟明星辰在邊界接入域各接入?yún)^(qū)的邊界位置部署天清漢馬USG一體化安全網(wǎng)關,以提供綜合的安全防御。

天清漢馬USG一體化安全網(wǎng)關是國內(nèi)領先的UTM產(chǎn)品,市場份額在2007年和2008年連續(xù)兩年位居國內(nèi)廠商前茅。天清漢馬USG除具備防火墻的狀態(tài)檢測和訪問控制功能外,還具備VPN、網(wǎng)關防病毒、網(wǎng)絡入侵防御(IPS)、抗拒絕服務(DoS)攻擊等高級安全功能,能夠為網(wǎng)絡邊界提供立體化的縱深防御,并大大簡化網(wǎng)絡邊界的安全部署。天清漢馬USG采用了高性能的硬件架構(gòu)和一體化的軟件設計,在開啟多種安全防護功能之后,仍然能夠確保高性能和低延遲,可謂是邊界防御的理想之選。

計算環(huán)境域

核心業(yè)務安全防御和合規(guī)保障

計算環(huán)境域包含了公安信息網(wǎng)中核心的業(yè)務平臺和業(yè)務服務器,其所面臨的主要威脅是外界對應用系統(tǒng)的攻擊和入侵行為,尤其是SQL注入攻擊和跨站腳本(XSS)攻擊對網(wǎng)絡業(yè)務系統(tǒng)所帶來的嚴重危害。另外,內(nèi)部人員越權(quán)、濫用、操作失誤和抵賴等行為所帶來的安全風險,也需要進行積極的防范。

以核心計算域核心服務器區(qū)的防護為例,針對外部的攻擊和入侵行為,可以通過部署千兆天清NDP入侵防御系統(tǒng)(IPS)來提供深層防御。天清IPS可以防御傳統(tǒng)防火墻發(fā)現(xiàn)不了的4~7層深層攻擊行為,如緩沖溢出、木馬后門、蠕蟲病毒等,能夠進一步提升對關鍵業(yè)務和數(shù)據(jù)的防御能力。針對日益泛濫的SQL注入攻擊、跨站腳本攻擊等網(wǎng)絡攻擊行為,天清IPS采用了攻擊機理分析的檢測技術。與傳統(tǒng)的基于數(shù)據(jù)特征匹配和基于異常模型構(gòu)建的檢測方相比,基于攻擊機理分析的檢測技術有著更低的漏報率和誤報率,能夠?qū)W(wǎng)絡攻擊行為進行精確的判斷和阻斷,不會因為誤警而影響網(wǎng)絡的正常應用。

針對內(nèi)部合規(guī)審計和管理的需求,通過部署啟明星辰天玥網(wǎng)絡安全審計系統(tǒng),可以做到對重要數(shù)據(jù)庫和關鍵業(yè)務應用的行為審計。天玥網(wǎng)絡安全審計系統(tǒng)是對業(yè)務環(huán)境下的網(wǎng)絡操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡行為進行解析、分析、記錄、匯報,能夠幫助用戶實現(xiàn)事前規(guī)劃預防、事中實時監(jiān)控和違規(guī)響應,以及事后合規(guī)報告和追蹤回放,從而加強內(nèi)外部網(wǎng)絡行為監(jiān)管,避免核心資產(chǎn)(數(shù)據(jù)庫、服務器、網(wǎng)絡設備等)損失,保障業(yè)務系統(tǒng)的正常運營。

網(wǎng)絡設施域

網(wǎng)絡行為和流量監(jiān)控

網(wǎng)絡設施域內(nèi)的各種網(wǎng)絡設備,承載著公安信息網(wǎng)內(nèi)所有的業(yè)務和通信流量,面臨著漏洞利用、數(shù)據(jù)竊聽、通信鏈路故障等風險。除了通過各種措施保證通信鏈路的可靠性以外,還需要對網(wǎng)絡中的各種安全事件、網(wǎng)絡流量的分布情況進行監(jiān)測,并根據(jù)監(jiān)測到的信息及時調(diào)整安全策略。

針對網(wǎng)絡設施域的防護需求,啟明星辰在信息網(wǎng)的核心交換機上旁路部署天闐入侵檢測系統(tǒng)(IDS),來對全網(wǎng)的安全事件和流量信息進行監(jiān)控。

啟明星辰的天闐IDS連續(xù)六年(2003~2008年)蟬聯(lián)國內(nèi)IDS市場領先地位,是名副其實的中國IT安全市場入侵檢測知名品牌。天闐IDS可以監(jiān)視端口掃描、木馬后門攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡蠕蟲攻擊等各種入侵事件,并在發(fā)生嚴重入侵事件時通過屏幕提示、郵件告警、E-mail告警等多種方式向管理員提供報警。天闐IDS還可以對全網(wǎng)的流量情況進行全局分析,提供實時的流量統(tǒng)計圖,幫助網(wǎng)絡管理員直觀地掌握網(wǎng)絡中各種應用的分布情況。

支撐設施域

脆弱性評估和內(nèi)網(wǎng)安全

支撐設施域范圍很廣,包含了信息網(wǎng)中所使用的業(yè)務應用運維系統(tǒng)、公用秘鑰體系、安全管理體系等各種支撐體系。支撐域所面臨的風險主要有兩方面:一方面是支撐域中的各種終端、網(wǎng)絡設備、服務器可能存在的漏洞和脆弱性,這些漏洞和脆弱性能夠被不法分子利用以進入內(nèi)部網(wǎng)絡,非法獲取內(nèi)部信息資產(chǎn);另一方面來自于內(nèi)部人員,員工的不規(guī)范操作、終端隨意接入、權(quán)限私自共享等行為,往往會導致傳輸泄密、網(wǎng)絡癱瘓、文件破壞等嚴重后果。

對于資產(chǎn)的脆弱性風險,通過在支撐域中部署天鏡脆弱性掃描和管理系統(tǒng),可以快速發(fā)現(xiàn)網(wǎng)絡中的各種資產(chǎn),并對資產(chǎn)進行識別;對網(wǎng)絡中的核心服務器、各種終端、重要的網(wǎng)絡設備,包括服務器、交換機等進行安全漏洞檢測和分析;對于發(fā)現(xiàn)的漏洞,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而幫助客戶在弱點全面評估的基礎上實現(xiàn)安全自主掌控。

對于內(nèi)部人員風險,通過在業(yè)務和運維終端部署天珣內(nèi)網(wǎng)風險控制和安全管理系統(tǒng),能夠?qū)θW(wǎng)的接入主機進行補丁自動分發(fā)和終端合規(guī)檢查,杜絕不安全的終端接入內(nèi)網(wǎng)。使用天珣獨有的內(nèi)核加密技術,可實時動態(tài)加解密,以及基于用戶角色的關鍵數(shù)據(jù)受控共享,結(jié)合完善的防非法外聯(lián)技術,能夠有效切斷數(shù)據(jù)非法傳播途徑,從根本上解決數(shù)據(jù)防泄密問題,保護用戶關鍵信息資產(chǎn)。

小結(jié)

啟明星辰擁有完整的安全產(chǎn)品線,涵蓋了從邊界綜合防御到服務器深層防御的安全防護類產(chǎn)品,從業(yè)務安全到終端安全的全流程安全審計類產(chǎn)品,從入侵檢測、漏洞掃描到掛馬監(jiān)測的各種安全檢測類產(chǎn)品,能夠為客戶提供全方位的安全保障。在四川省公安系統(tǒng)的案例中,啟明星辰的安全專家對用戶的網(wǎng)絡進行了安全域劃分,明確了各安全域的防護需求和防護目標,并制定了各安全域的安全防護方案。在該方案中,啟明星辰的各種安全產(chǎn)品既各司其職又互相加強,通過安全防護技術和安全管理手段的緊密結(jié)合,確保了用戶安全無盲點。