项目背景
集团现状简述
办公信息数据交互在B市某重型企业生产过程中起到了越来越重要的作用,也使得企业信息化设备极易遭受各种网络攻击。今年六月已遭受过一次勒索病毒攻击,现已查明攻击者对各办公电脑之间数据共享磁盘进行加密勒索,导致五台PC端设备的数据无法恢复。而最近又因为弱口令安全问题被监管单位通报,该单位充分认识到网络安全的重要性,通过网安大队介绍我司工作人员到达现场进行问题隐患排查。
需求分析
黑客攻击无孔不入,网络缺乏有效的安全手段
由于业务需要,单位网络连接互联网,业务或办公数据在网络上传输,而网络设备、主机系统都存在不同程度的安全漏洞,攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,严重影响单位网络的正常运行。远程用户访问单位内部财务系统及北斗系统,单位机密信息在互联网上传输可能被窃听。
攻击方法日新月异,终端安全令人堪忧
已经被攻破的内网主机中可能被植入木马或者其它恶意的程序,成为攻击者手中所控制的“肉鸡”,攻击者可能以此作为跳板通过共享端口等方式进一步攻击内网其它机器,窃取商业机密,员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件、随意使用U盘,都可能给攻击者带来可乘之机。
安全日志无法统一分析
网络安全法实施后,要求企业必须存储相关网络日志,并最低存储180天,如何满足国家网络安全法的要求,也是集团必须考虑的问题。因此,必须采用集中的日志收集和存储系统,集中采集各种网络设备、安全设备的日志,实现对网络日志的集中存储和深度挖掘分析,从海量的日志中快速发现定位真正的安全隐患,并满足国家相关法律法规的要求。
规划建议
集团安全建设目标
以风险管理为核心,预防为主,技术手段为支撑,围绕信息和信息系统生命周期,逐步建立由信息安全策略体系、信息安全组织体系、信息安全技术体系、信息安全构成的安全保障体系,保障网内数据安全,本次方案建设由于客户预算有限,所以尽可能地用最少的预算建设。
集团安全建设方案
建设方案如下图所示:
边界网络安全设计
明御安全网关
明御安全网关是一体化设备,具备完整的NGFW & UTM功能。由于组网采用双核心冗余设计,故本案使用两台硬件明御安全网关组成HA,部署在核心交换上层,对进出网络的全部流量做安全分析与风险拦截。同时明御安全网关配置以下模块,集中实现边界访问控制、入侵防御、防病毒。
下一代防火墙模块:通过明御安全网关对区域提供边界访问控制,严格控制进出该安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。
IPS入侵防御模块:对外部网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断。网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
防病毒模块:当前,互联网病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网 接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从网络边界入手,切断传播途径,实现网关级的过滤控制。
上网行为管理模块:为满足单位内部网络行为管理和内容审计的专业管理系统。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。
主机安全设计
主机安全及管理系统
主机安全及管理系统由管理控制中心和监控端组成,管理控制中心部署在独立提供的服务器或PC机(Linux 系统)上,监控端软件安装在需要被监控的主机设备上。管理控制中心主要功能为把多个监控端信息集中于一体,便于集中管理、应急和配置安全策略,聚合监控端情报信息。
在部署明御®主机安全及管理系统时,首先架设管理控制中心,然后在主机上安装监控软件,通过配置管理控制中心的IP地址+端口信息,即可实现管理控制中心与监控端的安全连接。
EDR部署图:
勒索病毒防护过程:
勒索病毒处理流程
(1) 确认感染勒索病毒,被加密前部署EDR;
(2) 开启专利级勒索防御双重引擎;
(3) 一键应用“永恒之蓝勒索挖矿防御”批量配置模板;
(4) 观察进程启动日志、勒索加密阻断日志,定位病毒源;
(5) 批量查杀病毒并复查;
(6) 配置定期巡检与漏洞扫描进行系统加固;
管理中心安全设计
明御综合日志审计平台
旁路部署综合日志审计平台,可以全面收集网络设备(路由器、交换机等)、网络安全设备(防火墙、入侵检测系统,补丁系统等)、应用系统等运行日志和安全事件日志,平台对日志进行归并、关联分析等操作把海量日志中有价值的信息提取出来,并且平台提供统计、查询及审计报表,为管理人员提供直观的日志查询、分析、展示界面,并长期妥善保存日志数据以便需要时查看,使管理员能够在综合日志审计平台上就可以了解整个数据中心的安全态势。
全面的智能收集功能:不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控;可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。
标准化日志:各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。
创新的日志解析能力:解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关。
管理制度设计
对安全策略体系进行规划。约束和指导人员信息安全工作的规章制度、管理办法和工作流程,网络和安全管理员进行安全操作的技术标准和规范,文档结构如下图所示:
信息安全方针是纲领性的安全策略主文档,阐述了安全策略的目的、适用范围、信息安全目标、信息安全的管理意图等,是信息安全各个方面所应遵守的原则方法和指导性策略。是安全方面工作的最高指导文件。
(1)《信息安全组织体系和职责》:规定业务系统和财务系统安全组织机构的职责和工作。
(2)《信息安全岗位人员管理办法》:加强内部人员安全管理,依据最小特权原则清晰划分岗位,在所有岗位职责中明确信息安全责任,要害工作岗位实现职责分离,关键事务双人临岗,重要岗位要有人员备份,定期进行人员的安全审查。
(3)《信息安全工作人员安全管理办法》:工作人员在录用、调动、离职过程中的信息安全管理,提出对信息安全培训及教育、奖励和考核的要求。
(4)《信息安全培训及教育管理办法》:业务系统和财务系统各层面信息安全培训的要求和主要内容。
(5)《信息安全第三方人员安全管理办法》:必须加强第三方访问和外包服务的安全控制,在风险评估的基础上制定安全控制措施,并与第三方系统和外包服务系统签署安全责任协议,明确其安全责任。
(6)《安全检查及考核管理办法》建立安全检查制度和安全处罚制度,对违反规章制度的处室和人员按照规定进行处罚。
(7)《信息安全体系管理办法》:建设完整安全体系,实现从设计、实施、修改和维护生命周期的安全体系自身保障。
(8)《信息安全策略管理办法》:安全策略本身应规范从创建、执行、修改、到更新、废止等整个生命周期的维护保障。
(9)《信息安全安全现状评估管理办法》:信息安全体系的建设和维护,要通过及时获知和评价信息安全的现状,通过对于安全现状的评估,实施信息安全建设工作,减少和降低信息安全风险,提高信息安全保障水平。
(10)《信息安全信息资产管理办法》:必须加强信息资产管理,建立和维护信息资产清单,维护最新的网络拓扑图,建立信息资产责任制,对信息资产进行分类管理和贴标签。
(11)《信息安全IT设备弱点评估及加固管理办法》:增强主机系统和网络设备的安全配置,应定期进行安全评估和安全加固。
(12)《信息安全病毒防护管理办法》:加强北斗系统和财务系统病毒防治工作,提升北斗系统和财务系统病毒整体防护能力,降低并防范病毒对于北斗系统和财务系统业务造成的影响。
(13)《信息安全补丁管理办法》:按照补丁跟进和发布、补丁获取、补丁测试、补丁加载、补丁验证、补丁归档这一流程进行补丁安全管理。
(14)《信息安全账号口令及权限管理办法》:加强用户账号和权限管理,按照最小特权原则为用户分配权限,避免出现共用账号的情况。
(15)《信息安全应急响应管理办法》:制定各业务系统的应急方案,及时发现、报告、处理和记录。
预期成果
防御已知和未知类型勒索病毒
面对使传统杀毒软件束手无策的未知类型勒索病毒,明御®主机安全及管理系统采用诱饵引擎,在未知类型勒索病毒试图加密时发现并阻断其加密行为,有效守护主机安全。
管控全局终端安全态势
服务器、PC和虚拟机等终端安装了客户端软件后,上传病毒木马、违规外联、安全配置等威胁信息到管理控制中心。用户在管理控制中心可以看到所有安装了客户端软件的主机,包括服务器、PC和虚拟机的安全态势,并进行统一任务下发,策略配置。
全方位的主机防护体系
通过主机安全及管理系统包含传统杀毒软件的病毒查杀、漏洞管理、性能监控功能,在系统防护方面还可做到系统登录防护、系统进程防护、文件监控,还支持网络防护、Web应用防护、勒索挖矿防御、外设管理等多个功能点。
安全日志确保溯源
通过全面的细粒度日志审计,详细地记录运维管理行为、数据库操作行为及信息系统中的资产日志,为安全事件分析、安全事件追溯以及安全取证等提供了最为直接的依据。