隨著網(wǎng)絡(luò)承載的業(yè)務(wù)日益豐富�,網(wǎng)絡(luò)的部署也日益復(fù)雜和龐大,網(wǎng)絡(luò)的穩(wěn)定性和可靠性要求也越來(lái)越高����。網(wǎng)絡(luò)從沒(méi)有像今天一樣面臨多重安全挑戰(zhàn)��,為此網(wǎng)絡(luò)需要由內(nèi)網(wǎng)安全到邊界安全構(gòu)成整體安全防護(hù)體系���。
從事故發(fā)生根源看,內(nèi)網(wǎng)安全先于網(wǎng)絡(luò)邊界安全����,大多數(shù)網(wǎng)絡(luò)安全事件都是先由內(nèi)網(wǎng)爆發(fā)引起,后影響到網(wǎng)關(guān)��。但一直以來(lái)�����,大部分人的網(wǎng)絡(luò)安全防護(hù)理念還停留在網(wǎng)關(guān)處����,如:防火墻,IPS���,防毒墻����,這些重要的安全設(shè)備集中于機(jī)房,網(wǎng)絡(luò)出口�����,但在這些設(shè)備的監(jiān)控下����,互聯(lián)網(wǎng)的威脅非但沒(méi)有減少,相反卻日漸頻繁與復(fù)雜�����。
究其原因�����,是網(wǎng)絡(luò)內(nèi)部的安全一直沒(méi)有得到重視����。如今����,網(wǎng)絡(luò)管理員每日的工作量大多都集中在終端的維護(hù)上,如果不對(duì)這些終端的系統(tǒng)安全,網(wǎng)絡(luò)安全進(jìn)行嚴(yán)格的管理和控制����,不對(duì)終端的操作行為、網(wǎng)絡(luò)行為進(jìn)行規(guī)范與審計(jì)�����,這樣網(wǎng)絡(luò)中的安全隱患將完全不可預(yù)知和控制��。若想使問(wèn)題從根本上得到緩解���,減少安全隱患�,降低各種不可控的威脅與意外的頻發(fā)�,以及對(duì)員工進(jìn)行安全規(guī)范和操作實(shí)現(xiàn)監(jiān)管,做到明確的人員責(zé)任定位����,我們就需要在邊界防護(hù)之前做好準(zhǔn)備。
實(shí)現(xiàn)內(nèi)網(wǎng)安全的防護(hù)�����,需要按階段�����、系統(tǒng)化的設(shè)計(jì)與實(shí)踐,需要從終端接入到應(yīng)用管理到服務(wù)整個(gè)環(huán)節(jié)考慮周全�����,每一步都需要進(jìn)行嚴(yán)格的管控和策略規(guī)范���。ProVisa內(nèi)網(wǎng)安全管理系統(tǒng)經(jīng)過(guò)5年多的設(shè)計(jì)和研發(fā)��,從系統(tǒng)及網(wǎng)絡(luò)的基本特性��,安全事件頻發(fā)原理�����,網(wǎng)管員疑難點(diǎn)匯總等用戶的實(shí)際情況出發(fā)��,在各種威脅接入網(wǎng)絡(luò)之前做好充分的準(zhǔn)備�����,形成主動(dòng)的防御體系,使各種網(wǎng)絡(luò)威脅在內(nèi)網(wǎng)毫無(wú)可乘之機(jī)��。
ProVisa整體防護(hù)按照以下四個(gè)步驟進(jìn)行設(shè)計(jì)部署,實(shí)現(xiàn)嚴(yán)格的內(nèi)網(wǎng)安全策略:
第一步:終端入網(wǎng)前的強(qiáng)制安全準(zhǔn)入策略��。安全準(zhǔn)入又分為兩個(gè)階段:第一階段��,身份認(rèn)證���。ProVsia采用多種方式有效便捷的對(duì)終端的身份進(jìn)行認(rèn)證�,域認(rèn)證結(jié)合方式����,五元素綁定方式,USBKEY多因素綁定方式等多種認(rèn)證方式確保了認(rèn)證的準(zhǔn)確性���,對(duì)于不認(rèn)證的客戶端進(jìn)行及時(shí)發(fā)現(xiàn)并強(qiáng)制隔離���。第二階段,安全檢測(cè)�����。對(duì)認(rèn)證通過(guò)的終端進(jìn)行再次多重安全檢測(cè)�,對(duì)終端的安全性進(jìn)行評(píng)估。不符合安全規(guī)范的終端將被強(qiáng)制進(jìn)入修復(fù)區(qū)���,修復(fù)完畢后方可正常接入和使用內(nèi)網(wǎng)或外網(wǎng)�。與此同時(shí),對(duì)于正常接入網(wǎng)絡(luò)的終端�����,ProVisa會(huì)為其打上了XX公司XX人員的標(biāo)記��,今后此終端的一切系統(tǒng)行為和網(wǎng)絡(luò)行為將被詳細(xì)記錄�����,明確責(zé)任定位���。
第二步:網(wǎng)絡(luò)特征綁定和安全性保障�。守護(hù)好終端的網(wǎng)絡(luò)安全是守護(hù)整體網(wǎng)絡(luò)安全基礎(chǔ)���,對(duì)于正常接入網(wǎng)絡(luò)的終端���,已經(jīng)進(jìn)行第一步實(shí)名制的身份綁定和系統(tǒng)安全性檢查,已確立了身份和系統(tǒng)安全��。第二步��,就需要對(duì)其的進(jìn)行網(wǎng)絡(luò)特征的綁定和網(wǎng)絡(luò)安全性保障���。這需要進(jìn)行幾方面的策略:
l部署統(tǒng)一的終端防火墻策略�����。解決終端防火墻無(wú)法統(tǒng)一管理的難題�����,解決利用惡意端口傳播病毒和網(wǎng)絡(luò)攻擊的可能�����。
l進(jìn)行ARP����,蠕蟲(chóng)等網(wǎng)絡(luò)型病毒的防護(hù)策略��。利用ARP原理及特征分析�,主動(dòng)防御,行為識(shí)別等技術(shù)����。
l異常流量的控制策略��。如廣播風(fēng)暴�,流量閥值告警����。
ProVisa采用以上安全策略,利用中間層驅(qū)動(dòng)技術(shù)和啟發(fā)式分析技術(shù)�����,實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)病毒��,內(nèi)網(wǎng)攻擊的有效抑制�����。特別值得一提的是����,ProVisa采用自防御聯(lián)動(dòng)系統(tǒng)(Self Protection Association System),可以實(shí)時(shí)阻斷ARP欺騙和各種網(wǎng)絡(luò)工具的干擾(如:p2p終結(jié)者���,網(wǎng)絡(luò)執(zhí)法官等)����。自防御又稱主動(dòng)防御,是目前國(guó)際前沿的安全技術(shù)�����,自防御可以針對(duì)各種網(wǎng)絡(luò)型威脅進(jìn)行預(yù)先的行為定義�,不需要用惡意程序的特征碼來(lái)進(jìn)行阻止�����。實(shí)際上����,特征碼總是來(lái)不及防御各種惡意威脅的新變種,如ARP病毒變種�����,蠕蟲(chóng)變種���,這些病毒類型都可能存在成千上萬(wàn)的變種版本�����,用特征碼防御是不現(xiàn)實(shí)的�。然而通過(guò)分析這些網(wǎng)絡(luò)型病毒的行為模式,并將這些行為進(jìn)行識(shí)別和阻止�,可以從根本上阻止這類威脅的爆發(fā),由根源上杜絕此類攻擊的發(fā)生�。智能聯(lián)動(dòng)技術(shù)是一項(xiàng)人性化的設(shè)計(jì),當(dāng)用戶中了ARP病毒或蠕蟲(chóng)后�,ProVisa可以不需要人為干預(yù),自動(dòng)對(duì)中毒終端下發(fā)專殺工具����,并進(jìn)行及時(shí)查殺。ProVisa自防御聯(lián)動(dòng)系統(tǒng)�����,不僅對(duì)復(fù)雜多樣的網(wǎng)絡(luò)威脅進(jìn)行深層次掃描和阻止���,而且可以對(duì)中毒機(jī)器可以進(jìn)行自動(dòng)的病毒清除��,系統(tǒng)化解決了ARP欺騙��,蠕蟲(chóng)爆發(fā)等內(nèi)網(wǎng)難題�。
ProVisa的自防御聯(lián)動(dòng)系統(tǒng)采用主動(dòng)防御與智能聯(lián)動(dòng)結(jié)合技術(shù)��,對(duì)網(wǎng)絡(luò)病毒、惡意流量���、人為誤操作���、ARP欺騙、IP/MAC地址欺騙��、DOS攻擊�、惡意下載等引起的系統(tǒng)和網(wǎng)絡(luò)異常起到了根本性的控制��,能夠迅速偵測(cè)出網(wǎng)絡(luò)出現(xiàn)各種異常���。定位出異常點(diǎn)的位置���,并且馬上做出反應(yīng),自動(dòng)將問(wèn)題解決�。
第三步:上網(wǎng)行為管理。內(nèi)網(wǎng)的安全得到控制后�,對(duì)終端互聯(lián)網(wǎng)的行為也一樣需要進(jìn)行控制。一方面�,針對(duì)所有P2P軟件,在線視頻���,在線游戲進(jìn)行控制�����,可以有效的提高員工生產(chǎn)力�,節(jié)省互聯(lián)網(wǎng)出口帶寬。另一方面ProVisa針對(duì)所有終端的流量��,進(jìn)行實(shí)時(shí)監(jiān)控����,由于ProVisa是對(duì)內(nèi)網(wǎng)終端系統(tǒng)底層進(jìn)行監(jiān)控,所以不論是內(nèi)網(wǎng)之間的流量�����,還是內(nèi)網(wǎng)到外網(wǎng)的流量���,都可以精確區(qū)分��,并支持圖表方式顯示��。此外��,ProVisa針對(duì)帶寬管理還可以設(shè)置多級(jí)策略:首先��,當(dāng)客戶發(fā)生流量突增時(shí)����,可以及時(shí)進(jìn)行警告,當(dāng)流量超過(guò)一定能夠閥值時(shí)�����,系統(tǒng)會(huì)自動(dòng)對(duì)其進(jìn)行限制��,對(duì)于一些過(guò)大的異常網(wǎng)絡(luò)流量還可以采取更嚴(yán)格隔離策略���,以保證其他用戶正常的網(wǎng)絡(luò)訪問(wèn)����。
第四步:文檔安全管理����。內(nèi)網(wǎng)的防護(hù)建設(shè)齊備后��,企業(yè)的關(guān)鍵數(shù)據(jù)或機(jī)密文檔也需要建立相應(yīng)的安全管理�����。ProVisa通過(guò)256位內(nèi)容加密和一次一密的超前加密技術(shù),確保了重要數(shù)據(jù)及文檔進(jìn)行文檔安全性�����。ProVisa可以保護(hù)超過(guò)340種格式的文件�����,支持office��、PDF����、wps、autocad等文檔類型管理及控制插件�����;支持BMP��、JPEG����、TIF、GIF ��、等圖形文件類型;支持Microsoft VC++等各種類型源代碼文件�;支持HTML、TXT等文件類型�。
ProVisa還可以基于用戶或用戶組設(shè)置不同的文檔權(quán)限,文檔所有者可以對(duì)被授權(quán)者進(jìn)行只讀�����、打開(kāi)次數(shù)����、可打印、打印次數(shù)�����、可編輯���、可復(fù)制、可另存��、文檔有效時(shí)間�、文檔有效日期等策略設(shè)置,有效的阻斷了文檔的非法再次傳播���。優(yōu)秀的防屏幕捕獲技術(shù)與精密的文檔加密技術(shù)相結(jié)合��,更加有效的防范了關(guān)鍵數(shù)據(jù)及機(jī)密文檔的被盜被泄�����。與此同時(shí)��,文檔所有者還可以實(shí)時(shí)跟蹤文檔的被使用情況�,通過(guò)組合檢索方式,了解到電子文檔在何時(shí)�、被何人、做過(guò)何種操作�����。
經(jīng)過(guò)ProVisa四個(gè)步驟的安全防御策略�,對(duì)所有終端進(jìn)行了嚴(yán)格身份認(rèn)證及安全檢測(cè),對(duì)局域網(wǎng)進(jìn)行了網(wǎng)絡(luò)特征綁定�、主動(dòng)防御和上網(wǎng)行為策略,對(duì)內(nèi)外網(wǎng)準(zhǔn)入和互聯(lián)網(wǎng)的訪問(wèn)做了精細(xì)管控��,對(duì)關(guān)鍵數(shù)據(jù)及機(jī)密文檔進(jìn)行了有效安全管理����,為企業(yè)內(nèi)網(wǎng)面對(duì)更多未知威脅做好了充足的準(zhǔn)備�����。ProVisa內(nèi)網(wǎng)安全管理系統(tǒng)��,真正實(shí)現(xiàn)了先于網(wǎng)絡(luò)邊界防護(hù)的防御體系��,使內(nèi)部網(wǎng)絡(luò)變得更加可控��,即使有來(lái)自互聯(lián)網(wǎng)的威脅進(jìn)入內(nèi)網(wǎng)�,也不會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)造成任何影響�。
目前,國(guó)內(nèi)政府機(jī)關(guān)�����、保密部門(mén)�����、科研機(jī)構(gòu)���、金融及企事業(yè)單位中的網(wǎng)絡(luò)都具備相當(dāng)?shù)囊?guī)模,其自身卻存在不容忽視的上述安全風(fēng)險(xiǎn)隱患����。針對(duì)這些情況����,北京網(wǎng)域萬(wàn)通推出了ProVisa網(wǎng)絡(luò)整體安全防護(hù)產(chǎn)品和方案���,為政府企業(yè)解除內(nèi)憂外患���,為政府企業(yè)網(wǎng)絡(luò)站崗放哨,為政府企業(yè)管理保駕護(hù)航�。
關(guān)鍵詞標(biāo)簽:ProVisa,內(nèi)網(wǎng)安全管理
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置