网络窃密、监听和防泄密技术课件-002.ppt

1、第18章 面向核心内部网络的安全体系设计方案 第18章 面向核心内部网络的安全体系设计方案 18.1 背景和需求背景和需求18.2 核心设计思想核心设计思想18.3 网络架构设计网络架构设计18.4 网络安全防御体系详细设计网络安全防御体系详细设计18.5 基于全网虚拟化的基于全网虚拟化的“云云”架构设计架构设计18.6 敏感数据管控机制设计敏感数据管控机制设计18.7 其他通用安全机制其他通用安全机制第18章 面向核心内部网络的安全体系设计方案 18.1 18.1 背背景景和和需需求求 18.1.1 背景背景在战略和商业竞争日益激烈的今天，防止敏感信息泄露已经成为保证国家和企业/机构生存发展

2、的首要任务。各单位在建设核心内部网络时，通常会将“99.9999%防泄密”作为核心需求放在第一位，业务性能放在第二位，而将建设投入成本放在第三位考虑。因此，网络管理部门有条件进行大胆设计和大规模部署先进的安全设备及技术，实施强有力的安全策略和控制手段。第18章 面向核心内部网络的安全体系设计方案 内部网络建设的目的，是为了存储和处理敏感信息，为重大事务和决策提供支持，需要经常输入输出各种数据。因此，如果期望通过单纯的物理隔离手段实现防泄密需求，即内网与外界完全不发生任何形式的网络通信行为，通过人工刻录光盘/转移存储介质的手段来交换内外数据，在理论上是安全的，但在实践中却表现出效率低下、可控性差

3、等问题，不仅需要浪费大量光盘资源，增加存储介质管理和人工记录等无谓工作量，还增加了新的泄密隐患，极大影响了正常工作的开展，无法满足大型核心内部网络的业务效能需求，降低了核心内网的应用价值。第18章 面向核心内部网络的安全体系设计方案 18.1.2 18.1.2 基本需求基本需求面向核心内部网络的安全体系的设计需求包括两大方面的内容：1 1网络安全防御网络安全防御网络安全防御需求设计基于“高效的一体化智能防御能力”构想，力求使网络信息系统在部署软件安全系统、硬件安全设备、安全智能、安全管理平台和安全专家等措施之后，能够实现“全面系统”、“高度协同”、“精确灵敏”、“高效可控”这四个不同阶段的目标

4、能力：第18章 面向核心内部网络的安全体系设计方案 网络中的任何一个区域、设备、逻辑层次都必须具有一定的防御能力；网络中的所有组件能够无缝连接，实现信息共享、协同防御；精确识别新型威胁，快速、有效地进行反应，并能自动调整和修改完善网络防御态势(包括安全策略、规则、安全级别等)；能够针对关键业务的特殊安全需求或应用需求，对安全防御的具体措施、分布、协同方式、策略、重点等，按照分级、分区域、分层次、分对象等多种方式，进行优化配置和控制。第18章 面向核心内部网络的安全体系设计方案 网络安全防御方案应能够对企业/机构网络中各区域、各模块、各逻辑层次中的所有对象，包括终端、移动设备、无线设备、网络基础

5、设施、数据中心、内部服务器集群、电子商务、外网连接、远程拨入用户、企业/机构分支(远程)网络、远程数据中心、通信、系统、应用、数据、人员等等，实施全面高效的防御，保证整个企业/机构网络，尤其是关键业务的安全稳定运行。第18章 面向核心内部网络的安全体系设计方案 2 2敏感数据全程管控敏感数据全程管控针对敏感信息的全程管控，必须达到“窃密者进不来进来了接触不到接触到了看不懂看懂了偷不走偷走了能及时发现和追捕”的水平，具体包括如下内容：建立统一安全管理的计算机和用户认证系统，只有经过认证的计算机才能接入业务网络中，只有经过认证的用户才能使用业务网络中的合法计算机终端。建立统一安全管理的计算机终端安

6、全管理体系，对计算机的资源进行有效的集中管理，包括计算机的外设控制、网络控制和应用程序控制，并提供详细的审计信息。第18章 面向核心内部网络的安全体系设计方案 建立统一安全管理的数据存储、使用和交换的安全保密环境，数据的存储和传输必须是经过加密的。此外，数据的使用和传输范围需要得到有效的范围控制，不能随意传输出指定的使用范围。遵循分域分级管理的原则，将计算机划分到不同的保密子网，从而区分业务系统计算机和其他内部单位的横向业务。第18章 面向核心内部网络的安全体系设计方案 18.2 18.2 核心设计思想核心设计思想18.2.1 18.2.1 数据在数据在“云云”中中许多典型的核心内部网络在设计

7、上都采用了类P2P的架构，普通终端具有太高权限，如图18-1所示，双向箭头表示“敏感信息可以发生流动的路径”，该架构具有两大特点：(1)敏感信息分散存储。敏感信息存储位置不定，在操作终端存储器、数据中心、服务器集群以及其他存储介质中都有可能因为业务流程等原因存储着大量不同密级的敏感信息。(2)在网络策略未实施有效隔离的情况下，彼此信任的内网单元之间，包括各终端、数据中心及服务器，可任意交换敏感信息，同时对信息流动过程缺乏有效的监督和控制机制。第18章 面向核心内部网络的安全体系设计方案 作为必须受到严密保护的对象，任何敏感信息在内网中发生泄露都意味着防御体系存在重大缺陷。目前对于任何类型的存储

8、处理敏感信息的单个计算机设备，只要其防御能力低于某个水平，黑客都有办法瘫痪其防御措施，完成泄密工作。因此，对于典型的核心内网，其泄密风险来源于敏感信息分布的不确定性和低可控性，每个具有敏感信息存储和交换能力的单元都存在发生泄密事件的可能，其数量越多，网络可能发生泄密的总体概率越大。如果要保证这类网络的高等级安全性，机构必须投入巨资，制定严格的管理制度并配属警卫力量，对每一处设备都实施全面严密的技术和管理制度保护，实施难度极大。第18章 面向核心内部网络的安全体系设计方案 图18-1 典型内部网络数据分布模型 第18章 面向核心内部网络的安全体系设计方案 为克服典型核心内网在设计上的弊端，在本章

9、设计的新型安全体系方案中将应用“云计算”及“云安全”模型，在“云”中实现对所有敏感信息全生命周期的管理、应用、实时监视和强力控制。敏感信息的存储、管理、使用和输入/输出三个功能分别集中于数量确定、严密防御并实施详细监察审计的“云内关键模块”中，缩小泄密可能发生的区域、时间和方式等的范围，使整个内网所面临的威胁和泄密发生的可能性都成为可以准确预测和控制的因素。图18-2表示的是理想状况下的场景，双向箭头表示“敏感信息可以流动的路径”，普通服务器集群和终端间的连接线代表“终端和服务器集群之间只传输操作和控制信息，任何终端不在本地保存和处理任何敏感信息”。第18章 面向核心内部网络的安全体系设计方案

10、 图18-2 面向核心内网的安全体系设计方案的数据分布模型 第18章 面向核心内部网络的安全体系设计方案 从图18-2中可以看到，由于将敏感信息的存储、处理和对外输入/输出分别集中于“云”中的数据中心、服务器集群和安全交换网三个区域，数量众多的终端计算机只作为“远程人机界面”而不再具有存储、处理和流通敏感信息的能力，这样就将可能发生泄密(指通常形式的数据窃密，不包括电磁辐射截获、远距屏幕侦查照相、人员偷窥等间谍手法)的区域减少到三个重点区域。第18章 面向核心内部网络的安全体系设计方案 从安全防御实践的角度，防御方可以适当减少对终端安全组件的投入，降低单纯依靠行政手段来控制人员行为所带来的不确

11、定性，优化了工作氛围。最重要的是，网络管理部门可以将总量有限的安全防御资源，特别是安全专家资源和网络带宽资源，集中于对这三个重点区域的防御、监察和审计中，提高每个区域防御力量的总强度，使网络管理部门对网络发生泄密事故的可能性、破坏程度及恢复时间等都能实现精度较高的预测和控制。第18章 面向核心内部网络的安全体系设计方案 18.2.2 18.2.2 强化内部管控和安全系统的自我防护强化内部管控和安全系统的自我防护面向核心内网的安全体系设计方案包括三个方面的内容：(1)敏感信息的安全。安全监视、管理和保护机制必须涵盖敏感信息整个生命周期的各个阶段，包括存储、访问、管理和输入输出过程。(2)安全防御

12、体系的防御效能。防御效能可概括为“敏捷有效”，其中“敏”代表对整个网络安全态势、安全威胁的实时感知，“捷”代表针对威胁的迅速反应，“有效”代表反应的正确性和力度。(3)安全防御体系自身的安全性。安全体系中的部分关键组件建立在由国外长期垄断核心技术的系统平台上，必须保证不会因为这些系统平台的安全缺陷导致的安全体系失效。第18章 面向核心内部网络的安全体系设计方案 在实现上，设计方案将可信计算技术、分布式网络监听及分析技术、桌面虚拟化技术、数据丢失防护(DLP)技术等结合起来，使安全控制措施融合到网络基础设施和业务信息系统的构建中，并从以下四个方面分别实现高度的安全感知和控制能力：(1)多级隔离能

13、力。网络中不同逻辑层次的对象，包括子网、终端、操作系统、应用、数据和人员，根据内部级别、权限、业务流程等决定因素，实施同类型或不同类型对象间的有效隔离。(2)全网监视能力。网络中各个区域，包括业务子网、存储子网、管理子网和交换子网，其中的所有单元，包括各种存储控制器、服务器、工作站、网络设备、安全设备等，其各种事务的执行、功能调用、数据访问和人员操作都能够实施全面、实时的监视。第18章 面向核心内部网络的安全体系设计方案(3)深层控制能力。网络中各个逻辑层次的对象，从硬件、网络、操作系统、应用、数据到人员，无论是否掌握核心技术，都能够实施迅速的强力控制手段。(4)中心管理能力。处于网络中心位置

14、的网络管理部门是唯一得到最高级别授权，同时具备所有以上三种能力，能够执行独立/联合审计、调查任务的核心部门，对所有安全事故负有全部责任。除集中动态管理对象间隔离策略，实时采集全网各种信息，完成短、中、长期安全分析外，还具有对网络中所有设备、应用、系统、敏感信息和安全事件的最高级远程管理控制权限。第18章 面向核心内部网络的安全体系设计方案 综上所述，本章核心内部网络安全体系设计方案的总体设计思路是，在充分运用冗余设计和优化技术保证网络、信息系统和数据的生存性、可用性和性能的基础上，实施“云安全”与“全虚拟化”策略，通过大规模部署监听探针和防御代理，同时将所有敏感信息的存储、访问、传输和全网监察

15、控制权限分别集中于数量严格受控，受到实时多方监察和审计，承担全部责任的多个“云内关键模块”处，最大限度地强化中心管控能力、弱化终端功能及普通内部操作人员权限，提高对安全事件的发现和控制能力，缩短反应时间，缩小责任追查范围。第18章 面向核心内部网络的安全体系设计方案 18.3 18.3 网络架构设计网络架构设计18.3.1 18.3.1 网络总体架构设计网络总体架构设计本小节进行核心内网的总体架构设计，它立足于通过改变网络体系架构设计的基本模型，初步解决如何实现敏感信息安全分布的问题。如图18-3所示，将整个核心内网划分为四大部分。(1)存储子网：包含本地和远程数据中心。其中，内网中所有敏感信

16、息，按照密级，分级、分层、加密存储于数据中心，可通过采用虚拟存储技术提高存储效能。第18章 面向核心内部网络的安全体系设计方案 图18-3 网络总体架构简图第18章 面向核心内部网络的安全体系设计方案(2)安全交换子网：作为整个核心内网对外交换信息的唯一通道，综合采用防火墙、IPS、网闸、数据丢失防护(敏感内容过滤)、监听、审计、VPN、动态加密等技术，一方面满足业务部门对外大数据量交换需求，另一方面，执行对数据通信的全过程、深层次监控，保证网络安全的同时重点承担防止敏感信息外泄的任务。(3)业务子网：包含园区网络基础设施和所有操作终端，由接入层、分布层和核心层组成，按照单位机构设置、业务流程

17、、地理位置等再进一步划分成小规模子网。内部部署基于主机和基于网络的分布式监听设备、各种安全组件等。第18章 面向核心内部网络的安全体系设计方案(4)统一安全管理与虚拟化基础设施子网：包含服务器集群(Server Farm)，即数据庞大的服务器集群(不同单位服务器集群大小不同，但部署方式与任务一致)。作为整个核心内网的核心和骨干，此部分对上为业务子网提供虚拟化操作系统平台和不同类型的业务应用，对下访问和管理存储子网。同时，它凭借强大的计算能力，配合网络专家和安全专家，承担网络管理维护、网络安全管理、网络行为审计和监察等任务。其中，存储子网、安全交换子网和统一安全管理与虚拟化基础设施子网共同构成“

18、云”，为业务子网提供应用服务及安全保证。值得重点强调的是，图中三个粗箭头明确表达了内网中敏感信息的访问关系和流通渠道。统一安全管理与虚拟化基础设施子网承担了两方面重要任务：第18章 面向核心内部网络的安全体系设计方案(1)作为内网中的核心层/骨干网，承担存储子网、安全交换网和业务网之间的数据通信枢纽功能，该三个子网中的任意二者都不能直接通信；(2)作为内网“云安全”架构的核心，控制各子网中的监听探针、安全代理、数据丢失防护代理和各种安全组件，执行网络安全监视、网络安全管理和敏感信息检查过滤功能，确保由“云”提供的应用服务、“云”内流通的数据都是安全并得到授权的。第18章 面向核心内部网络的安全

19、体系设计方案 18.3.2 18.3.2 网络安全防御体系架构设计网络安全防御体系架构设计网络安全防御体系的设计以“可灵活配置的安全组件”的模式，融合网络访问控制(NAC)、通信保密(VPN)、IDS/IPS、传统/Web应用防火墙等不同防御层次的安全设备，并逐步将监视探针和防御代理模块以嵌入式或旁路部署的形式，大规模、分布式地部署到网络中所有对象中去。通过统一安全管理平台，将安全专家、管理技术人员、安全策略、安全法规、分析/决策智能、安全计算和存储能力等，与网络管理、安全组件管理、监视探针管理、防御代理管理等管理系统融合到一起，大幅度提高网络安全管理的效能，实现对新型威胁和非法活动的精确识别

20、，全面、有力、快速、主动、智能、可控的高效安全防御能力。新型安全体系将能够准确识别、防御并快速适应来自网络内外各个逻辑层次的深度威胁，在优化的管理和协同控制下，保障关键业务的运行。第18章 面向核心内部网络的安全体系设计方案 如图18-4所示，网络安全防御体系将以上描述的所有元素根据各自的功能和相互协作关系分层融合到一起，形成一种类似于SOA模式的、组件化的、互操作性和可扩展性极强的体系架构，其中包括三个层次的内容：(1)分布安全层。它实现对全网范围的全面深度覆盖，包含部署于各逻辑层次、区域、模块的网络对象内部/附近的监测探针和防御代理，网络监听与协议分析设备，NetFlow设备及主机/服务器

21、杀毒软件等。(2)安全组件层。它以独立安全设备/系统/解决方案(组件)的形式，提供对网络中不同角度、领域或层次的防御功能，包括VPN、IDS/IPS、VPN、防火墙等。第18章 面向核心内部网络的安全体系设计方案(3)基础设施层。它是整个安全防御体系的核心，包括三大部分：统一安全组件管理平台、统一网络监听管理平台。这两个平台实现了单个对象级的功能集成。它们以“全局安全信息总线”的形式，为覆盖整个网络的、来自不同厂商和类型的所有安全组件、监视探针设备和防御代理系统，包括网络基础设施和服务器等，提供标准化的安全数据(日志、事件、告警、报告等)格式和访问接口。安全专家和技术人员、大型安全计算和存储设

22、施、数据分析和辅助决策智能，以及安全策略/法规/最佳实践等。第18章 面向核心内部网络的安全体系设计方案 统一安全管理平台。它是对以上两个部分进行二次集成产生的综合系统，以高度中心化的管理界面，为安全专家和管理技术人员提供对整个网络的全局性态势描述和全面管理控制能力。它综合运用智能分析、辅助决策、自动改进等功能，在实现精确识别威胁的同时，提供了强大的全网协同防御能力，大幅度降低管理部门的工作压力，提高管理效率，更使有限的安全专家资源能专注于对特殊事件、新型威胁、关键业务系统等重点对象的处理，及时有效反应，满足企业/机构在关键业务运行、未来发展、法规遵从等方面的特殊需求。第18章 面向核心内部网

23、络的安全体系设计方案 图18-4 网络安全防御体系架构的逻辑模型 第18章 面向核心内部网络的安全体系设计方案 18.4 18.4 网络安全防御体系详细设计网络安全防御体系详细设计从逻辑模型上理解，网络安全防御体系是个基于统一平台和组件的三层结构，它从功能和相互关系的角度对各种网络对象进行了分类描述。从实现的角度来说，新型安全体系是一种类似于“云安全”的大规模分布式计算结构，可采取“三步走”的策略螺旋构建。(1)“全面系统”阶段。此阶段可采用在网络中所有对象(组件)，包括各区域，各层，各模块中的网络基础设施、终端、服务器、存储网络、网络边缘等，分别部署独立的安全设备、监视探针和防御代理系统来实

24、现。第18章 面向核心内部网络的安全体系设计方案(2)“高度协同”阶段。此阶段的实现过程是将不同的安全组件、监视探针和防御代理等，根据不同的网络规模和通信带宽特点，按照“全网统一信息集成和管理”或“分区域信息集成、全网统一安全管理”的模式，集成到统一的管理平台中，并在带宽、计算能力、存储能力有可靠保证的区域，如服务器集群、数据中心或第三方安全机构等位置部署这些统一安全管理平台，实现初步的数据融合、数据分析、辅助决策和全面的集中管理控制。(3)“精确灵敏”、“高效可控”阶段。这两个阶段主要体现在对数据融合、数据分析、辅助决策和集中控制机制的优化上，因此，主要实现手段是进一步改进各个统一安全管理平

25、台的工作机制、用户界面、互操作水平、智能化程度、自动化程度、辅助决策和协调控制能力等，关键在软件上下功夫。第18章 面向核心内部网络的安全体系设计方案 18.4.1 18.4.1 设计中应用的安全设备与技术介绍设计中应用的安全设备与技术介绍在具体实现时，需要进行选择和部署的安全设备和技术有以下几个方面：(1)信任和身份识别，防止非法设备/用户采用不安全设备或受感染设备的合法用户接入网络。包括网络安全接入、认证和授权系统等。(2)深度威胁防御，近实时发现可疑活动、精确识别威胁，多设备协同防御。包括主机安全防御系统(主机IPS、杀毒软件、主机防火墙、主机安全代理等)、嵌入式/独立设备防火墙、IDS

26、/IPS/UTM、分布式网络监听和网络分析系统等。(3)安全连接(传输安全)，即VPN解决方案。包括VPN集中器、支持VPN的路由器、支持VPN的其他设备等。第18章 面向核心内部网络的安全体系设计方案(4)数据丢失防护，对数据进行定位、分级、监控和保护。包括数据加密、终端控制、边界内容防护、数据监控系统等。(5)网络(安全)管理和事故追查，对独立安全设备进行分别管理和维护，了解网络安全状态，审计并追查事故。包括漏洞管理系统、审计系统、各安全组件的管理系统等。(6)统一安全管理平台。包括统一监视探针和防御代理平台、统一安全组件管理平台和统一安全管理平台。第18章 面向核心内部网络的安全体系设计

27、方案 1 1防御代理防御代理防御代理软件是一个基于行为的终端安全/入侵防御工具，能够帮助建立基于主机的主动防御能力，为终端(包括PC、笔记本计算机、服务器和嵌入式服务化终端、新型智能移动设备等)提供针对已知和未知新型威胁的主机防火墙、入侵检测和入侵防护功能。它既可以独立工作，也能够依靠“云安全”中心的支持，实施更高精确度的判断和防御。它工作在网络终端，可以关联相关的和可疑的行为，防范新的攻击，甚至在安全补丁或者“签名”更新网络的防病毒软件或者其他安全软件之前即可实施防范。除了提供实时入侵防范的第一道防线之外，因为它安装在终端之中，所以它可以获得很多无法在网络边缘获得的状态信息。第18章 面向核

28、心内部网络的安全体系设计方案 安全代理在独立完成访问控制功能时，采取的步骤如下：(1)实时发现接受访问请求的资源，包括网络资源负载、系统功能调用、系统核心状态变化、应用执行、文件/设备/注册表访问、配置更新等；(2)采集访问行为的详细情况数据；(3)分析判断系统状态，包括IP/MAC地址、DNS后缀、VPN客户端状态和接入安全状态等；(4)参考并分析安全规则、本地安全策略，包括基于异常、基于特征模式或基于行为的规则定义以及访问控制矩阵等；(5)根据安全规则中定义的每一项策略执行相应的安全控制措施，包括允许、拒绝、询问、改变内部状态或持续监视等。第18章 面向核心内部网络的安全体系设计方案 作为

29、一个“防御代理”，该软件支持由远程控制的防御功能。除检测、分析和制止网络行为外，防御代理还可以跟踪某一台计算机或者一个工作组所安装的应用、使用网络连接的应用、服务器和台式机所连接的所有远程IP 地址的身份信息、远程系统上的所有应用的状态，包括针对用户的安装信息和是否存在试图运行的恶意应用等。管理员可以对任何单一计算机上的具体应用进行详细分析，搜集关于该应用行为的信息，根据该应用的“正常”行为创建一种控制策略。第18章 面向核心内部网络的安全体系设计方案 在安全体系中，安全代理是“云安全”模式中的“监测端和执行端”，不再依赖于传统的基于特征签名的识别手段，而使用灵活的基于策略和基于行为的监测机制

30、，在强大的安全运算中心的支持下，准确识别并防御病毒、蠕虫、间谍软件、广告软件、Rootkit和各种各样的针对已知/未知漏洞的新型“零日攻击”方式等。此外，安全代理还能完成数据丢失防护的功能，基于广泛、细粒度的数据安全策略对终端中存储的敏感信息、文件、目录等进行法规遵从检查和深层保护。如移动存储设备监控、应用程序间的敏感信息传输、P2P软件、即时通信应用等。安全代理能够针对不同的应用分别预定义“非法行为”范畴，运用基于策略的分析智能，关联并报告系统功能调用和应用行为情况，识别非法行为并有效阻断。第18章 面向核心内部网络的安全体系设计方案 2 2监控与分析系统监控与分析系统它是实现智能主动防御能

31、力的关键，每台设备都可以作为全网/区域的安全数据(事件、日志、报告)的中央存储库和智能分析系统，通过接收和采集由不同厂商的网络设备和安全组件，包括路由器、交换机、防火墙、VPN集中器及各类终端设备中的监视探针/防御代理等产生的网络流量和安全数据(事件、报告、报警)等，并进行智能分析，精确识别、关联、分析和判断各种威胁，为安全专家集中显示经过了高度提炼和优化的威胁信息，包括IP/MAC 地址、交换机端口、攻击路径视图等。此外，更能通过统一安全管理平台或自行实现与防火墙、IPS等设备联动，进行短/中/长期安全形势预测，提供审计和法规遵从性报告等。通常，因为网络总体带宽、各网络基础设施日志报告功能的

32、设置和各安全组件安全警戒状态等因素不同，监听与分析系统的工作负载(即接收和处理的安全数据量)相差很大。同时，不同的安全组件、网络设备等发送的安全数据，其格式也各具标准。监听与分析系统的部署有两种方式：第18章 面向核心内部网络的安全体系设计方案(1)对于中小规模网络/区域，可进行独立本地化部署。也就是说，在整个网络中只部署一台设备，从所有网络基础设施、安全组件、监听探针和防御代理中搜集安全信息(事件、日志等)；(2)对于大型网络/区域，可进行基于全局控制器的“多设备分布式本地部署，中心统一安全管理”的模式。在网络/区域中部署多台监听与分析设备，每台设备在具备独立处理和本地管理能力的同时也接受全

33、局控制器的远程管理并向其发送安全报告。在需要部署多台监听与分析系统的大型网络中，每台全局控制器起到了中心控制台的作用。它具有以下功能：第18章 面向核心内部网络的安全体系设计方案 执行对所有本地监听与分析设备的全局认证；统一安全规则和报告生成；统一安全管理和维护；降低远程数据通信量。对于大型企业/机构，我们推荐采用多设备分布式监控的方案，具体可以采取以下模式：第18章 面向核心内部网络的安全体系设计方案(1)初始部署一台，此后逐台增加独立设备。当网络中全部对象发送的安全数据总量超过单台监视与分析设备的处理能力时，增加第二台设备，改变当前网络中对象与监听分析设备的关联关系，进行负载转移。在网络扩

34、大后，再逐台增加新的监听与分析设备，保证每台设备的处理负载维持在一定水平之内。但每台设备独立处理信息和维护管理，不进行多设备集成和中心化管理。第18章 面向核心内部网络的安全体系设计方案(2)中心控制远程设备。在网络对象总数不多，但存在需要进行远程安全监控的对象时，如果将监听与分析系统部署在主园区网络中，将使得来自远程对象的日志、SNMP、事件等信息必须通过WAN链路实时传播，不但传输质量(丢包、延时等)无法保证，更占用了宝贵的WAN带宽资源。因此，可以在远程站点分布部署一台/多台(根据远程网络规模而定)监听与分析设备，对远程站点中的大量安全数据进行本地化处理后，再将总结性的、带宽需求和实时需

35、求较小的安全报告提交给位于中心的全局控制器。全局控制器也可根据管理部门的需求实时主动抓取远程监听与分析设备采集的数据。第18章 面向核心内部网络的安全体系设计方案(3)中心控制大型园区网中分布部署的多台设备。在园区网络中存在多个需要网络隔离/业务数据隔离，对安全需求/安全规则定义不同，或者存在特殊的需要独立监控的区域时，可以在这些区域根据处理负载需求分别部署具有相应处理能力的监听与分析设备，各设备根据所在区域的不同需求分别定义安全策略，采集该区域所有的安全数据、分析处理并执行反应措施。各设备在具备独立处理、管理和报告能力的同时，也可接受全局控制器的中心化统一安全管理。第18章 面向核心内部网络

36、的安全体系设计方案 3 3WebWeb应用防火墙应用防火墙专门用于应对与Web 2.0和社交网络应用相关的安全挑战，能够保护Web应用中的敏感信息。这类属于全代理模式的防火墙既可作为独立产品提供，也可集成到网关来控制对应用的访问，检查HTML和XML Web流量，识别攻击模式并加强企业解决Web 安全性和法规遵从的能力。第18章 面向核心内部网络的安全体系设计方案 4 4内容过滤模块内容过滤模块/防火墙防火墙通过在路由器中集成或独立部署内容过滤模块/防火墙，能够防止用户访问含有恶意软件、反动内容、黄色内容等的网站，控制对敏感信息的访问，并执行数据丢失防护策略。第18章 面向核心内部网络的安全体

37、系设计方案 18.4.2 18.4.2 安全设备与技术部署位置参考方案安全设备与技术部署位置参考方案以上简要介绍了安全防御能力的螺旋实现步骤以及可供选择的安全组件。接下来，以Cisco企业复合网络模型(该模型的具体内容请参见Cisco相关教材)中的不同模块区域来划分，如图18-5所示，概要性地介绍各种安全设备的参考部署位置。应指出的是，该部署只是一个典型配置，表示不同的安全组件“可以”而不是“一定要”部署在该处。具体的解决方案应根据自身需求，灵活地进行选择和部署。当然，也可根据形势的发展，在关键位置部署其他的新型安全设备和技术。第18章 面向核心内部网络的安全体系设计方案 图18-5 安全设备

38、与技术部署位置参考方案 第18章 面向核心内部网络的安全体系设计方案 1 1服务器集群、数据中心服务器集群、数据中心(1)接入、认证授权和补丁管理服务器。(2)统一安全管理平台、统一安全组件管理平台。控制全网范围内的网络基础设施和安全组件，进行事件分析，发现、拦截和阻断攻击，监控、配置和管理所有安全设备和敏感信息。(3)统一网络监听管理平台。随时获取全网范围内的所有监听数据，进行智能关联和分析，结合网络拓扑，分析出当前正在发生的攻击路径，给出响应建议方案，也可自动协调全网防御能力对攻击进行阻断和歼灭。(4)数据丢失防护监控系统。(5)数据存储加密技术。(6)漏洞扫描和审计服务器。第18章 面向

39、核心内部网络的安全体系设计方案 2.2.网络接入层网络接入层 (1)结合防火墙模块与交换机的VLAN和三层隔离特性，在内部各主要部门间及内外网络间进行安全区域划分，实现内部业务系统逻辑隔离，并在策略允许的情况下实现可控的互访，保护关键业务系统。(2)网络接入控制(NAC)、IPSEC/SSL VPN接入及主机防护代理。通过配置安全接入和认证授权服务器，实现主机入网健康检查和访问授权；对服务器及客户机进行安全加固、病毒保护、限制非法应用、限制端口使用等；与IPS进行联动，自动拦截攻击。第18章 面向核心内部网络的安全体系设计方案 3 3分布层分布层(1)并联配置IDS，检测基于网络的攻击事件，协

40、调设备进行联动。(2)IPS设备支持并联和串联模式，可以监控安全区域内部业务，进行异常流量及行为监控，识别安全风险，可以与网络设备防火墙、交换机、路由器等进行联动，自动将配置推送给设备，完成攻击拦截工作。(3)独立/分布式网络监听和分析系统。随时获取子网范围内的安全数据和通信数据，进行智能关联和分析，进而结合网络拓扑图，分析出当前正在发生的攻击路径，并给出响应方案，也可调用网络设备对攻击进行拦截和阻断。第18章 面向核心内部网络的安全体系设计方案 4 4边缘分布模块边缘分布模块(1)支持嵌入式安全模块的路由器和防火墙，集成SSL/IPSec VPN，实现安全的网络访问和应用传输，以及高级的应用

41、控制。(2)并联配置IDS，检测基于网络的攻击事件，并且协调设备进行联动。(3)IPS设备支持并联和串联模式，可以监控外部访问情况，进行异常流量及行为监控，识别安全风险，可以与网络设备防火墙、交换机、路由器等进行联动，自动推送配置给设备实现攻击的拦截工作。第18章 面向核心内部网络的安全体系设计方案(4)Web应用防火墙。保护Web应用中的敏感信息。既可作为独立产品提供，也可集成到网关来控制对应用的访问，检查HTML和XML Web流量，识别攻击模式并加强企业/机构解决Web安全性和法规遵从的能力。(5)内容过滤模块/防火墙。通过在路由器中集成或独立部署内容过滤模块/防火墙，能够防止用户访问含

42、有恶意软件、反动内容、黄色内容等的网站，控制对敏感信息的访问，并执行数据丢失防护策略。(6)独立/分布式网络监听和分析系统。随时获取内网与外网的安全数据和通信数据，进行智能关联和分析，进而结合网络拓扑图，分析出当前正在发生的攻击路径，并给出响应方案，也可调用网络设备对攻击进行拦截和阻断。第18章 面向核心内部网络的安全体系设计方案 18.4.3 18.4.3 详细设计方案详细设计方案将18.3节与18.4.2小节的内容相结合，我们最终给出网络安全防御体系的详细设计方案，如图18-6所示。第18章 面向核心内部网络的安全体系设计方案 图18-6 网络安全防御体系的详细设计 第18章 面向核心内部

43、网络的安全体系设计方案(1)弱化终端作用，将“云中心”以外的各工作站功能限制在类似于瘦客户机的“远程用户界面”范畴内，所有敏感信息全部集中存储在位于“云中心”的集群服务器和存储网络中，用户对敏感信息的任何操作都发生在服务器空间中，不传输至终端。而普通个人数据的处理，及外网浏览等仍在本地执行。同时，所有终端都去掉USB、蓝牙、IEEE1394等通信端口，将数据传输通道集中于网口。(2)综合采用“云计算”(SAAS)和“云安全”的模式，所有终端的操作系统补丁管理、防御代理软件管理、工具软件安装、业务系统应用等，均通过内部网络，按照安全策略和用户权限，以相关服务的形式，从“云中心”获得。第18章 面

44、向核心内部网络的安全体系设计方案(3)统一安全管理平台中所有的子平台、系统等，在逻辑上是分离的，但在部署上都是通过从大型集群服务器和存储网络中划分相应的资源来实现。值得强调的是，为保证整体的安全性、可靠性和可用性，无相互关联需求的各平台和系统间必须坚持严格隔离的原则。(4)在部署安全接入系统(NAC)的基础上，引入基于硬件芯片的可信计算技术。可信任平台芯片可以用来加强用户登录认证，防止未经授权的软件修改，以及全面加密硬盘和可擦写媒体的数据。它将替代传统方案中的“用户名+口令”的设备接入验证方式，保证只有安装了TPM安全芯片，并赋予了合法编码的入网单元，包括工作站、服务器、网络基础设施、存储网络

45、、管理平台等，才能获得最基本的“接入网络”的权限，杜绝拥有合法访问权限的内部员工/黑客将外来/私有设备随意接入网络。计算机一旦嵌入了该技术，即可在启动操作系统时发现内核已改，并根据用户需求进行阻止和恢复。这样，不仅能从硬件安全基础提升安全性，也能避免非法软件自运行的发生。第18章 面向核心内部网络的安全体系设计方案(5)根据各企业/机构、同一企业/机构不同部门或人员在内部级别和安全防护级别上的差异，在构建统一身份认证、授权和访问控制系统(SSO)的基础上，可选用各种双因素、多因素身份验证技术，包括USB Key、智能卡、视网膜检验、指纹识别、声音识别、PIN码等等，越关键的区域，需要考察的凭证

46、越多，技术越复杂。第18章 面向核心内部网络的安全体系设计方案(6)在包括工作站、服务器、管理平台、移动设备等的各种主机操作系统上，安装防御代理软件，融合安全接入代理、主机IPS、杀毒软件、主机防火墙、主机审计软件、主机数据丢失防护(DLP)等诸多主机安全防护功能于一体。该软件除具有独立的全方位行为监视/审计能力、端口控制能力、基于策略的关联分析能力和深入系统底层的威胁阻断/歼灭能力外，更能作为“云安全”和“统一安全管理”体系在主机上的“监视数据采集和防御措施执行端”，在位于“云中心”的安全计算集群强大的存储、计算、分析智能和安全专家的支持下，通过统一安全管理系统，实现对全网所有主机的一致防御

47、能力，并因此具有“云安全”模型中“基于大规模安全数据采集和集群计算的分析准确判断新型威胁的能力”和“统一安全管理”体系中“全网协同防御”的能力。第18章 面向核心内部网络的安全体系设计方案(7)为实现从网络层到应用层的深度防御，根据具体的网络拓扑，在网络边界和内部网络中关键模块的核心交换机和路由器处，以前期风险分析为指导，部署独立/嵌入式模块的防火墙、IDS/IPS和Web防火墙。(8)在全网范围内大规模部署网络监听探针，并根据网络规模和具体安全需求，部署单一的网络监听与分析设备，或以“分布部署、两级报告、全局中心化管理”模式，在各区域部署本地网络监听与分析设备的同时，在“云中心”(数据中心)

48、部署中心化的全局网络监听与分析系统。第18章 面向核心内部网络的安全体系设计方案 一方面，可以利用其对于所有网络流量的统计分析和解码分析能力，配合网络通信专家和安全专家，实现对网络各区域、各模块、各设备通信的实时监控、历史纪录和深度分析能力，对“云安全”体系无法自动解决的高级安全问题进行人工处理；另一方面，网络监听与分析设备也可实现新型安全防御体系模型中“统一安全组件管理平台”的部分功能，根据具体需求，接收全网/区域中各类安全组件的事件、日志、告警等数据，与从网络监听探针中采集的详细网络通信流量进行深度关联，在自动适应模式下，实时分析全网安全状态并动态调整各安全组件的防御态势，包括安全规则、策

49、略、安全级别、参数配置等。第18章 面向核心内部网络的安全体系设计方案(9)为实现高级别的数据丢失防护(DLP)功能，部署对敏感信息的深度保护能力：涉及敏感信息的内部网络业务系统通信，基于TPM安全芯片，全部通过VPN封装，防止非法监听和中间人攻击；移动设备、终端、服务器、数据中心等，基于TPM安全芯片，全部部署静态和动态加密技术，可由不同的具体系统实现，防止遭受离线攻击、脱机攻击和存储设备盗窃；在网络边界，部署敏感信息过滤设备，防止敏感信息外流。第18章 面向核心内部网络的安全体系设计方案 18.5 18.5 基于全网虚拟化的基于全网虚拟化的“云云”架构设架构设计计在核心内网总体架构设计的基

50、础上，本节通过应用虚拟化技术，设计实现类似“云计算”的工作机制，主要解决两个问题：(1)基于虚拟化技术构建网络基础设施和系统运行平台，为安全防御体系提供源于强力底层控制的可靠运行保证；(2)使网络基础设施和系统运行平台稳定、高效运行，提供满足核心内网日常业务活动所需要的各种应用服务和终端能力。第18章 面向核心内部网络的安全体系设计方案 18.5.1 18.5.1 全网虚拟化设计原理全网虚拟化设计原理通过采用虚拟化技术，可以在管理效率、安全控制能力、访问性能和资源利用等多个方面实现突破。虚拟化技术允许管理人员在单一文件内对运行在某一特定虚拟机上的应用程序进行批处理，可以对应用程序进行封装或隔离