一、網絡現狀

假設軍情六處目前有計算機500臺，沒有分域管理，所有計算機在1個網絡中，出口部署有防火墻，以抵御互聯網常見攻擊，內部網絡中的計算機安裝有單機版防病毒軟件，并定期更新。

網絡中有約50臺服務器，部分采用了虛擬化。

正是因為這樣的粗放型管理方式，導致病毒、木馬、蠕蟲泛濫，并產生過黑客滲透到內部網絡的安全事故——對，在《007：大破天幕殺機》中各位已經看到!

二、脆弱性與威脅分析

由于目前的網絡完全是10年前的網絡結構，因此我們建議將網絡按照不同的應用分為如下三個區域：

互聯網區：100臺計算機，用做資料查詢、網絡信息發布等用途。(本區域也有服務器，但由于做信息發布，不存儲敏感信息，因此不單獨分析。)

辦公網區：400臺計算機，存有大量敏感信息，并嚴格控制不能在互聯網發布。

服務器區：從屬于辦公網區，但因功能不同，獨立分析。

不同的安全區域實施嚴格的訪問控制策略，特別是互聯網區，物理上與辦公網區、服務器區分開。

下面分析脆弱性與威脅：

1、互聯網區

來自于互聯網的木馬、病毒、蠕蟲。

U盤、移動硬盤等移動存儲介質帶來的惡意軟件、信息外泄。

打印帶來的安全問題。

主機IP和MAC容易被篡改帶來運維和安全風險。

刻錄機帶來的安全風險。

虎視眈眈的黑客帶來的各種威脅。

自帶設備(BYOD)帶入內部網絡帶來的安全風險(木馬、病毒等)。

隨著手機、平板電腦的流行而帶來的移動設備管理(MDM)問題。

遠程辦公帶來的安全問題。

2、辦公網區

來自于互聯網區的威脅，辦公網區同時存在，同時：

重要文檔在流轉過程中的安全問題，如不具備某文檔閱讀權限的人有可能接觸、打開、復制、打印該文檔。

自帶設備(BYOD)帶入內部網絡，并自動攻擊內部主機、服務器，并將重要資料復制到BYOD設備，在聯網時回傳到黑客指定地址。

同上，U盤、移動硬盤、光盤也有可能在外部感染木馬，并通過上述方式攻擊內部計主機、服務器，然后"輪渡"到外部。

對服務器、應用系統的資源占用、響應無實時監控手段。

主機、應用系統登錄安全問題。

3、服務器區

來自于互聯網區、辦公網區的威脅，服務器區同時存在，同時：

管理員權限過大，可通過在交換機鏡像或ARP欺騙的方式捕獲內部人員的帳號、口令。

管理員可直接在服務器上讀取OA、E-Mail等的敏感信息。

管理員可直接接觸到核心數據庫，容易產生誤操作，或惡意操作。

蠕蟲、病毒，往往會掃描服務器，進行"額外照顧"。

低權限管理員有可能利用此權限，"提權"后進行越權、高危操作。

三、解決方案

1、管理手段

加強安全基礎知識培訓，如補丁、口令等知識。

完善管理制度，并確定可執行的策略。

2、技術手段(產品部署與安全策略)

2.1 互聯網區

由于本區域聯通互聯網，不存儲任何敏感信息，因此最重要的是保證網絡的連通性，以確保網絡聯通為主，部署如下：

下一代防火墻：部署在互聯網出口和核心交換機之間，開啟安全防護模塊，用以抵御黑客攻擊、實現網絡病毒過濾、反垃圾郵件、反釣魚郵件，同時進行上網行為管理，對惡意、非法網站進行URL過濾，同時開啟網絡流量控制，保證業務流量。對遠程辦公用戶，采取VPN撥入方式保證數據傳輸安全。

終端安全管理系統：文件操作審計、打印管理、光驅刻錄管理、IP地址管理、非法接入控制、非法外聯管理、移動存儲介質管理、資產管理、軟硬件安裝管理、文檔加密、ARP防護。

網絡防病毒軟件：制定統一的防病毒策略，實現整網病毒防范。

日志綜合審計管理系統：Windows/Linux服務器日志收集與分析;路由器、交換機、下一代防火墻日志收集與分析;數據庫操作日志收集與分析。同時旁路部署該設備，以實現網絡數據庫審計的功能。

補丁管理系統：建議采用微軟WSUS，進行補丁管理。

漏洞掃描系統：對網絡設備、應用系統、Windows、Linux等的定期漏洞掃描。

CA服務器：配合USB-KEY，實現開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。

WEB應用防火墻：對SQL注入、XSS跨站攻擊等進行防范。

主機入侵防護PC版：實現主機層面的入侵防御。

2.2 辦公網區與服務器區

重要敏感信息全部存儲在本區域，因此防護級別較高，部署如下：

下一代防火墻：部署在互聯網出口和核心交換機之間，開啟安全防護模塊，用以抵御黑客攻擊、實現網絡病毒過濾、反垃圾郵件、反釣魚郵件，同時進行上網行為管理，對惡意、非法網站進行URL過濾，同時開啟網絡流量控制，保證業務流量。對遠程辦公用戶，采取VPN撥入方式保證數據傳輸安全。

終端安全管理系統：文件操作審計、打印管理、光驅刻錄管理、IP地址管理、非法接入控制、非法外聯管理、移動存儲介質管理、資產管理、軟硬件安裝管理、文檔加密、ARP防護。

網絡防病毒軟件：制定統一的防病毒策略，實現整網病毒防范。

日志綜合審計管理系統：Windows/Linux服務器日志收集與分析;路由器、交換機、下一代防火墻日志收集與分析;數據庫操作日志收集與分析。同時旁路部署該設備，以實現網絡數據庫審計的功能。

運維安全審計與管理系統：telnet、SSH、Windows遠程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等應用協議的認證、授權、審計、賬號管理。以錄像形式存儲內部管理員、第三方運維人員的各種操作。

網絡運維監控系統：支持對網絡設備、安全設備、服務器、中間件、數據庫等的流量、運行狀態監控

補丁管理系統：建議采用微軟WSUS，進行補丁管理。

漏洞掃描系統：對網絡設備、應用系統、Windows、Linux等的定期漏洞掃描。

CA服務器：配合USB-KEY，實現開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。

主機加固系統：對Windows、Linux服務器進行加固。

網絡入侵檢測系統：采用旁路抓包方式，對整網流量進行監控，對內網的蠕蟲、木馬、攻擊行為進行有效監控。

主機入侵防護PC版：實現主機層面的入侵防御。

主機入侵防護服務器版：對服務器進行入侵防護。

四、產品清單

1、互聯網區

　　2、辦公網區與服務器區

　　五、方案特色

采用整合型產品，在保證性能的同時，減少故障點。

對主機、網絡、應用層的APT進行全方位防護。

在保證安全的前提下提供便捷措施，如VPN，同時提供MDM。

BYOD防護(終端安全管理、HIPS等)。

移動存儲介質、打印、刻錄管控。

日志綜合管理可對服務器、網絡設備、安全設備運維日志進行統一管理。

運維審計可對網絡設備、服務器、數據庫等進行統一運維管理。