| 信息安全服务
|
HUAAN 联合业内权威信息安全厂商的安全产品及方案,为客户提供企业级信息安全服务。
- 购买,升级企业信息安全产品
- 企业信息安全风险评估
- 涉密信息访问控制
- 入侵检测(IDS)
- 身份认证锁
- 网络安全物理隔离
- 配置、优化VPN网关服务
- 配置、优化路由器安全策略服务
- 配置、优化防火墙安全策略服务
- 数据库安全规划及备份
- 提供信息安全培训
|
| 安全体系模型 |
在过去的几年内,随着蠕虫病毒的泛滥,我们发现,传统的安全以企业边界和核心资产为对象保护方法逐渐显示出严重的缺陷,目前面临的主要挑战包括:
- 原有的边界保护方案针对来自外部的威胁,在网络边界上部署防火墙、入侵检测等安全产品,对于移动PC等带来的蠕虫问题无法解决。
- 网络边界模糊化导致边界保护更加困难,现在边界已经大大地扩展了,网络不再是局限于防火墙所圈定的范围。远程拨号用户,VPN用户,分支机构,合作伙伴,供应商,无线局域网等等已经大大地扩展了网络的边界。
- SQL slammer、MSRPC、Welchia、Sasser等病毒证明,蠕虫威力足以破坏整个网络的可用性,从而让你重点保护下的资产失去作用。
- 以微软windows为代表的各种操作系统不断发现漏洞,通常在漏洞被披露的1~2周之内,相应的蠕虫病毒就产生了,这对安全补丁工作提出了极大的要求,在目前企业安全人员严重不足的情况下,在短时间内完成成百上千台计算机补丁的部署带来巨大的工作量。
- 终端状况的不可知带来了巨大的风险,时至今日SQL slammer仍然是目前网络上的第一威胁证明了必须通过持续的集中管理和监控保证整个企业安全环境都在掌控之中。 个人计算机在企业网络中的多重角色与属性,决定了企业信息安全模型从单机使用者角度“自愿安全”需求,到企业信息资产角度的“强制安全”需求的转变。企业可能已经制订了安全策略,但如果缺乏强制执行的手段,最终导致安全策略虚设。
|
| 安全管理解决方案 |
企业安全管理中最为薄弱的是终端管理的环节,安全管理解决方案实现了以集中管理为基础的终端保护,以资产管理为核心的管理系统,它从企业内终端安全出发,核心思想是集中管理和强制,提供了基于browser/serve和client/server相结合的全面终端安全管理解决方案,该方案具体提供了以下的功能:
- 资产管理
- 补丁管理
- 文件分发
- 主机防火墙
- 主机入侵防护
- 完整性检查和自动修复
- 强制认证
|
|
| 系统由六个主要的部分组成:安全代理、中心策略管理服务器、管理员控制台、强制认证网关、功能服务器(分发服务器,补丁服务器,日志收集服务器)和数据库。 |
|
- 资产管理
客户端程序已经安装后,可以收集到各种信息资产,存放在服务器的数据库中,并不断跟踪终端的变化,从而保证管理员随时得到最新的信息,资产管理收集的信息包括各种硬件信息-IP地址、CPU、内存等,包括各种软件信息-安装的软件产品、补丁。
系统支持将计算机划分为特定的组,每个组可以拥有自己的策略,策略包括了补丁安装列表、文件安装列表、完整性检查策略。
- 补丁管理
系统建立一个专门的检查机制用于检测补丁安装情况,安氏为每个补丁建立了一套特征,通过该特征可以检查补丁是否安装,目前这种机制能够检查Windows平台上的操作系统、IE、Office、SQL Server等主流软件补丁安装情况,保证仅仅安装需要安装的补丁。系统允许用户创建自己的补丁和补丁检查特征。
- 文件分发
支持从管理员控制台上传至CPMS,再由CPMS分发到主分发服务器,由主分发服务器分发到所有从分发服务器,然后客户端可以检测并选择需要安装的文件。
- 主机防火墙
适用于多适配器环境,包括多条复杂的规则匹配条件。能够保存应用程序网络连接状态表,提供双向的状态检测功能,当发现未经学习的应用程序试图访问网络时,对其可执行映像路径、大小、版本、校验和等信息进行登记,记录的信息将由代理控制服务上报至中心策略管理服务器。
- 主机入侵防护
捕获进、出主机的网络数据包,进行基于签名的检测,并根据检测结果做出一定的响应。支持检测已知和未知的溢出攻击,可以通过捕获溢出成功后Shell Code在堆、栈上的执行,并及时终止攻击。对Agent主机上运行的所有或未授权进程的执行情况进行监控记录。
- 完整性检查和自动修复
支持自定义的完整性检查,允许指定检查某个程序的时间、大小、是否运行、HASH等信息,保证企业的安全措施例如防毒、主机防火墙等系统有效保护用户并更新到最新版本。当某条规则规定的条件不满足时将自动执行完整性修复,手段包括执行本地某个文件或从指定URL下载并执行某个文件。
- 强制认证
强制认证模块是运行在强制认证网关中的一个访问控制模块。它作为外部的安全强制手段,保证被保护信息资产的安全。该模块根据安全代理提供的安全状态,被访问的地址及服务,及中心策略管理服务器提供的验证信息决定采取通过或阻止网络连接的动作。
|
|
企业信息安全集中强制管理系统,它以企业全局信息安全为出发点,主要解决企业中大量使用的个人计算机带来的安全问题。适合部署在各种规模的企业网络中,保护各种类型的终端和服务器。 |
| 防火墙产品 |
|
随着信息技术的发展,防火墙产品在近两年得到了突飞猛进的发展。信息安全已经得到了各个行业的高度重视,特别是防火墙产品的应用,已经延伸到银行、保险、证券、邮电、军队、海关、税务等行业以及政府等部门。因此,防火墙产品已成为国内安全产品竞争的焦点。
在防火墙产品竞争中,一方面国外的网络安全产品积极介入中国市场;另一方面,国内许多刚刚起步的网络安全产品厂商基本上都以防火墙作为生产的首选产品。与国外产品相比,国外防火墙产品的优势在于技术成熟和知名度。因此,在国内高端防火墙市场中,国外产品始终占据一定优势。国内防火墙产品以自主研发居多,主要集中在低端领域。特别在我国加入WTO以后,全球信息产业的高新技术竞争更为激烈,国外产品将可获准进入更多的领域,国产品牌将面临更加激烈的竞争。因此,对于关系国家信息安全和增强综合国力的核心信息技术,以及制约我国信息产业发展的关键技术,一定要取得重点突破。 |
|
2004年,包括CheckPoint、Cisco、NAI、Trend Micro、NetScreen、Gauntlet、Watch Guard、IBM、Norton等国外防火墙产品均已进入国内市场,国内防火墙有天融信、天网、东大阿尔派、 联想 网御、北信源、青鸟、网眼、清华得实、清华紫光、清华顺风、Kill、中网、上海华依、东方龙马、实达朗新、中科网威、中网、中科安胜、 海信 、四川能士等等。公安部信息系统安全产品质量监督检测中心2001年9月公布的许可销售的防火墙产品,共有103个厂家的100多款产品。
按照一般产品分类,目前的防火墙产品可以分为软件防火墙、硬件防火墙和软硬一体化防火墙;从适用对象来划分可分为企业级防火墙与个人防火墙;从产品等级划分,又可分为包过滤型、应用网关型和服务代理型防火墙。
国内品牌以企业级硬件防火墙居多。在产品等级上,包过滤型防火墙最为普遍。国外产品类别较全,有以Cisco为典型的硬件型、以Checkpoint为典型的软件型,也有以 阿尔卡特 为代表的软硬一体化型。同时,大多品牌还包括包过滤型、应用网关型和服务代理型产品,Netscreen的产品还覆盖企业应用型和家用型。 |
|
在购买时的考虑因素方面,大型用户主要考虑产品功能、性能、稳定性和安全水平,价格是次要因素。中小企业考虑较多的是价格、品牌、服务和是否有成功的案例,而在性能方面只要满足一般安全需求即可。
在价格方面,中小企业有20%的用户计划购买10万元以上的防火墙产品,这些用户主要集中在生产效益较好以及部分中型企业;有80%的中小型企业计划购买10万元左右的防火墙产品。
随着信息技术的发展,防火墙产品在近两年得到了突飞猛进的发展。信息安全已经得到了各个行业的高度重视,特别是防火墙产品的应用,已经延伸到银行、保险、证券、邮电、军队、海关、税务等行业以及政府等部门。因此,防火墙产品已成为国内安全产品竞争的焦点。
在防火墙产品竞争中,一方面国外的网络安全产品积极介入中国市场;另一方面,国内许多刚刚起步的网络安全产品厂商基本上都以防火墙作为生产的首选产品。与国外产品相比,国外防火墙产品的优势在于技术成熟和知名度。因此,在国内高端防火墙市场中,国外产品始终占据一定优势。国内防火墙产品以自主研发居多,主要集中在低端领域。特别在我国加入WTO以后,全球信息产业的高新技术竞争更为激烈,国外产品将可获准进入更多的领域,国产品牌将面临更加激烈的竞争。因此,对于关系国家信息安全和增强综合国力的核心信息技术,以及制约我国信息产业发展的关键技术,一定要取得重点突破。 |
|
我们发现防 病毒 功能仍是首选,这可能是2001年病毒发作次数太多太猛的原因。但鉴于防火墙产品中的防病毒技术无法与专用的防病毒软件相抗衡,国内屈指可数的防火墙的防病毒模块并不随防火墙捆绑销售,用户需要付费购买。目前,用户对其他功能的需求在技术上大多能够实现。
调查资料表明,用户对入侵 检测、用户身份鉴别认证、远程管理的需求将会增大,这主要表现为安全和方便。代理功能、状态检测、NAT、负载均衡、内容过滤等功能对用户的实际应用将产生较大影响,使其不再局限于单纯的网络存取控制,而是要求功能完整,性能良好。 |
|
针对中型企业网络的一种安全解决方案,该方案适用于25--50个用户左右的网络应用,通过Cisco Secure PIX 506E防火墙实现内外网络的安全隔离,并采用集成的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。
用户特点:
- 有一定数量的网络用户,通常在25—50个用户左右
- 用户有联网的需求,且有较大的网络数据吞吐流量
- 通常采用较高速率的专线连接Internet
- 有清晰的网络分层体系结构
- 为保障网络安全,除需要布署防火墙产品以外,还有防护网络病毒、限制对互联网带宽的不合理使用等需求
- 对防火墙产品性能有较高要求
方案示意图:
方案特点:
- 该方案可以为中型网络提供企业级的一体化网络安全
- 通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的管理功能
- 可以实现NAT和DHCP功能,保障内部合法用户的联网需求
- 内置图形化Web管理界面,简单并易于管理
- 可以和合作伙伴的产品无缝地结合起来,完成深层次的网络安全性管理,如:防止网络病毒的入侵,阻止员工访问非授权的网站等功能
- Cisco Secure PIX 506E是一种可靠的、即插即用的专用安全防火墙工具,提供了无与伦比的高水平网络安全性。作为专用的工具,这些防火墙不提供WAN接口,也不支持除RIP之外的任何路由协议。该产品安装在一个WAN路由器和内部网络之间,提供了基于自适应安全算法(ASA)的高级状态访问控制。能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪单个连接。分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。这使得机构的内部和授权外部用户能够进行透明访问,同时保护内部网络免受未授权访问。PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。这种专有的控制软件消除了通用操作系统的缺陷,提供了惊人的性能。
|
产品列表: |
产品 |
描述 |
PIX-506E
|
PIX 506E (Chassis, software, two 10BaseT ports),20M 明文吞吐量,支持Cisco AVVID,支持VPN |
Websense 25 users |
丰富的软件帮助您管理 现存的 互联网使用策略,业界最全面、最精确的数据库,超过81种目录、400万个站点的记录,按文件名和类型进行过滤,动态数据库更新,本地化语言分类,可选URL关键词过滤 |
OfficeScan 25 users |
将管理与部署功能集中到服务器端,透过Web接口的管理界面,管理员可以从网络上任何地点来管理和部署公司的防病毒策略,并能够响应各种紧急事件 |
|
安全体系模型 |
在过去的几年内,随着蠕虫病毒的泛滥,我们发现,传统的安全以企业边界和核心资产为对象保护方法逐渐显示出严重的缺陷,目前面临的主要挑战包括:
- 原有的边界保护方案针对来自外部的威胁,在网络边界上部署防火墙、入侵检测等安全产品,对于移动PC等带来的蠕虫问题无法解决。
- 网络边界模糊化导致边界保护更加困难,现在边界已经大大地扩展了,网络不再是局限于防火墙所圈定的范围。远程拨号用户,VPN用户,分支机构,合作伙伴,供应商,无线局域网等等已经大大地扩展了网络的边界。
- SQL slammer、MSRPC、Welchia、Sasser等病毒证明,蠕虫威力足以破坏整个网络的可用性,从而让你重点保护下的资产失去作用。
- 以微软windows为代表的各种操作系统不断发现漏洞,通常在漏洞被披露的1~2周之内,相应的蠕虫病毒就产生了,这对安全补丁工作提出了极大的要求,在目前企业安全人员严重不足的情况下,在短时间内完成成百上千台计算机补丁的部署带来巨大的工作量。
- 终端状况的不可知带来了巨大的风险,时至今日SQL slammer仍然是目前网络上的第一威胁证明了必须通过持续的集中管理和监控保证整个企业安全环境都在掌控之中。 个人计算机在企业网络中的多重角色与属性,决定了企业信息安全模型从单机使用者角度“自愿安全”需求,到企业信息资产角度的“强制安全”需求的转变。企业可能已经制订了安全策略,但如果缺乏强制执行的手段,最终导致安全策略虚设。
|
|
| |
