《中石油客户终端安全与行为审计解决方案培训资料》由会员分享,可在线阅读,更多相关《中石油客户终端安全与行为审计解决方案培训资料(42页珍藏版)》请在金锄头文库上搜索。
1、中石油客户终端安全与行为审计 解决方案 H3CH3C 技术有限公司技术有限公司 安全产品行销部安全产品行销部 20062006 年年 0707 月月 2828 日日 H3C 技术有限公司 ttp:/www.H3C.com 第 2 页 中石油安全解决方案 一、一、 细致入微的个人终端防护细致入微的个人终端防护4 1.1.中石油进行安全终端防护刻不容缓 4 1.1.1.萨班斯法案与上市企业需求概述4 1.1.2.中石油终端安全现状5 1.2.“终端接入安全体系”解决方案的组成部分.6 1.2.1.CAMS安全策略服务器.7 1.2.2.修复服务器(与防病毒系统联动) .8 1.2.3.安全联动设备
2、8 1.2.4.安全客户端8 1.2.5.“终端接入安全体系”与微软SMS联动方案9 1.3.应用模型 11 1.3.1.安全准入应用模型11 1.3.2.安全准入工作流程12 1.4.功能特点 14 1.4.1.安全状态评估14 1.4.2.用户权限管理15 1.4.3.用户行为监控15 1.5.“终端接入安全体系”解决方案的部署.16 1.5.1.接入层准入控制16 1.5.2.汇聚层准入控制18 1.5.3.Portal(Web)认证准入控制.20 1.5.4.“终端接入安全体系”应用模式21 1.6.XLOG 日常行为审计22 1.6.1.XLOG技术特点.23 1.6.2.全面的日志
3、收集23 1.6.3.强大的日志审计功能23 1.6.4.组网应用24 1.7.终端安全防护与行为监控总结 25 二、二、 全面的应用体系防护全面的应用体系防护 IPS 27 2.1.中石油网络应用防护体系概述 27 2.2.IPS 产品部署方案27 2.3.IPS 产品技术特色28 2.3.1.虚拟软件补丁28 2.3.2.威胁抑制引擎(TSE).29 H3C 技术有限公司 ttp:/www.H3C.com 第 3 页 2.3.3.无处不在的安全保护30 三、三、 防火墙部署需求分析防火墙部署需求分析32 3.1.防火墙部署解决方案 32 3.1.1.数据中心防火墙部署33 3.1.2.In
4、ternet边界安全防护35 3.1.3.大型网络内部隔离38 3.2.防火墙部署方案特点 41 H3C 技术有限公司 ttp:/www.H3C.com 第 4 页 一、一、细致入微的个人终端防护细致入微的个人终端防护 1.1. 中石油进行安全终端防护刻不容缓中石油进行安全终端防护刻不容缓 基于萨班斯法案的严格限制,以及结合中石油的独特特点,我们认为在中石油 内部实施内部控制体系,刻不容缓。 中国石化从 2002 年下半年开始调研、准备工作,编制内控制度,建立统一的内 控体系。2004 年 10 月,中国石化内部控制手册由公司董事会正式审议通过, 2005 年 1 月开始在股份公司全面实施。该
5、手册依照萨班斯法案所推荐和要求对照的 美国 COSO(反虚假财务报告委员会的赞助组织委员会)报告的理论体系建立内部 控制体系,内容涉及共 13 大类业务、43 个流程、862 个控制点。总部专门召开电视 电话会议推行该手册,要求各企业根据实际情况制定实施细则,在组织多层次培训 的同时,派出检查小组,对 65 家企业内控制度的执行情况进行全面检查。针对萨班 斯法案不断细化的规则和新出台的指引、准则,中国石化对内部控制手册进行 更新,修订了 2006 年版的内部控制手册,经董事会审议通过,于 2006 年 1 月 1 日起正式下发执行。 1.1.1. 萨萨班斯法案与上市企班斯法案与上市企业业需求概
6、述需求概述 中石油跨全球企业 萨班斯法案在美国的中国上市公司开始生效 各国相关法规都将越来越严格,加强公司治理尤其是 IT 治理将是企业的根 本之道。 加强企业内部控制和风险管理将是全球的趋势 目前大量的网络应用已经贯穿中石油的日常业务模型,对于网络应用我们把它 理解为一个请求、连接到交互的过程,然后到完,这是会话的过程,这是双向的。 所谓会话行为就是做的一种操作类型,比方说访问网页,首发邮件、传送邮件、即 时通讯和文件传输等,这属于网络行为,会话内容就是网页的内容、邮件的内容、 文件的内容,即时通讯的内容。对于安全审计类要求是会话行为审计,对于网络行 H3C 技术有限公司 ttp:/www.
7、H3C.com 第 5 页 为的审计实际上也是萨班斯法案的一部分,为了避免因为信息而造成的经济损失, 日常行为审计成为了企业尤其是上市公司信息化建设的重要组成部分 对法规不熟悉、时间短促、内控基础薄弱是中国上市公司面临的最大问题。中 石油也不例外,直到 2005 年年初,中石油才开始着手布置萨班斯法案项目。但是在 实施过程中,大量的问题和矛盾暴露出来,涉及制度完善、流程改造、企业文化等 各方面。短时间内完全建立完善的内控环境是不可能的。但从根本上来说,公司治 理和 IT 治理的问题迟早需要去面对和解决。 1.1.2. 中石油中石油终终端安全端安全现现状状 终端安全是个入手简单,想做好却很难的工
8、程,这也是这么多年中石油没有着 手建设这方面的一个重要原因。本次安全体系建设中石油考虑的很周全,除了我们 经常能够想到的安全管理制度以外、终端的认证问题、终端的安全监控、日后审计 等均在考虑范围内。 中石油终端安全管理问题比较复杂,除了前面提到的地域分散意外,还有技术 水平不高,难于监管等问题,这些都构成了终端安全难以实现的重要因素,基于上 述原因,本次安全方案设计主要着中的是通过安全产品的监控实现对员工日常行为 的监控,并通过技术手段实现对安全管理制度的补充,以及强化,通过技术手段保 障安全管理制度的执行。 在终端防护方面我司有专门的安全解决方案“端点准入防御”能够提供一个全 程的安全解决方
9、案。 “终端接入安全体系”端点准入防御方案包括两个重要功能:安全防护和安全监控。 安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对 达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上 网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相 应的应对措施,实时保障网络安全。 H3C 技术有限公司 ttp:/www.H3C.com 第 6 页 1.2. “终端接入安全体系终端接入安全体系”解决方案的组成部分解决方案的组成部分 “终端接入安全体系”解决方案的实现思路,是通过将网络接入控制和用户终端安 全策略控制相结合,以用户终端对企业安
10、全策略的符合度为条件,控制用户访问网 络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达 到以上目的,提出了包括检查隔离修复监控的整体解决思路。 1.检查:检查: 检查网络接入用户的身份; 检查网络接入用户的访问权限; 检查网络接入用户终端的安全状态; 2.隔离:隔离: 隔离非法用户终端和越权访问; 隔离存在重大安全问题或安全隐患的用户终端; 3.修复:修复: 帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常 使用网络; 4.监控:监控: 实时监控在线用户的终端安全状态,及时获取终端安全信息 对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网 络
11、安全管理提供依据; 通过制定新的安全策略,持续保障网络的安全。 为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安 全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对 用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进 行工作。”终端接入安全体系”解决方案的组成部分见下图: H3C 技术有限公司 ttp:/www.H3C.com 第 7 页 1.2.1. CAMS 安全策略服安全策略服务务器器 “终端接入安全体系”方案的核心是整合与联动,而 CAMS 安全策略服务器是”终端接入安全 体系”方案中的管理与控制中心,兼具用户管理、安全策
12、略管理、安全状态评估、安全联动控制 以及安全事件审计等功能。 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括 用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对 终端用户的隔离方式配置等。 用户管理。企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检 查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服 务等级,方便管理员对网络用户制定差异化的安全策略。 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动 设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务 器
13、的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到 端的安全准入控制。 日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可 以为管理员追踪和监控网络的整个网络的安全状态提供依据。 H3C 技术有限公司 ttp:/www.H3C.com 第 8 页 1.2.2. 修复服修复服务务器器(与防病毒系与防病毒系统联动统联动) 在”终端接入安全体系”方案中,修复服务器可以是第三方厂商提供的防病毒服务 器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区 中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允 许防病毒客户
14、端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端 的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升 级。 目前的”终端接入安全体系”解决方案中,我们的认证体系可以和瑞星、金山、江 民、Symantec 等国内外大型防病毒厂商产品实现联动,同时由于开发式的系统设计, 我们可以很方便的整合其他的防病毒产品实现全网认证与防病毒体系的完美结合。 1.2.3. 安全安全联动设备联动设备 安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离 不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设 备可以是交换机或 BAS 设备,分别实现
15、不同认证方式(如 802.1x 或 Portal)的端 点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下 功能: 强制网络接入终端进行身份认证和安全状态评估。 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔 离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解 除用户隔离的指令后也可以在线解除对用户终端的隔离。 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策 略,为用户提供个性化的网络服务,如提供不同的QoS、ACL、VLAN等。 1.2.4. 安全客安全客户户端端 H3C 客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安 全状态评估以及安全策略实施的主体,其主要功能包括: 提供802.1X、Portal等多种认证方式,可以与 H3C 技术有限公司 ttp:/www.H3C.com 第 9 页 S3000、S3500、S5000、S3900、S5600等系列交换机、华为MA5200F等 设备配合实现接入层、汇聚层的端点准入控制。 检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安 装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的 接口,实现与第三方防病毒软件产品客户端的联动,检查
