面向网络空间的终端安全管理体系.ppt

面向网络空间的终端安全管理体系 北信源VRVSpecSEC傅贵 目录 1 信息安全趋势分析 Intranet 保护网络与基础设施的安全 1 网络设备2 通讯设备3 通讯线路4 可用性5 机密性6 完整性7 可管理性 保护区域边界的安全 保护计算环境的安全 操作系统数据库系统终端系统 边界进出数据流的有效控制与监视 保护网络基础设施保护区域边界保护内部计算环境 安全趋势分析 终端安全现状分析 安全需求多样化OS和文件安全 文件病毒 蠕虫病毒 木马病毒身份认证安全 密码认证 证书认证 指纹认证 双因素认证桌面终端安全 资产管理 外设管理 进程管理 非法外联数据安全管理 文档加密 介质管理 敏感信息消除安全审计管理 终端操作和访问行为审计与分析网络边界动态化网络的边界 数据传输网络构建设备的边界 路由器 交换机 服务器 PC机人员的边界 移动办公 异地漫游安全产品联动化单个产品无法解决所有安全问题1 1 2的联动防护 主机防病毒 终端安全市场分析 文档加密管理存储介质管理介质信息消除敏感信息检查 前沿安全动态分析 网络空间安全的解读 网络空间安全被认为是计算机网络上的信息安全 是指网络上的硬件 如骨干网设备 终端设备 线路 辅助设备等 软件 如操作系统 应用系统 用户系统等 及其运行的数据 提供的应用服务不因偶然的 恶意的原因而遭到破坏 更改 泄露和失控 当网络病毒和木马 计算机黑客 以及信息战等越来越严重的影响到公众利益和国家利益的时候 网络空间安全 CyberspaceSecurity 也继国防安全 政治安全 经济安全 金融安全之后成为国家安全体系中的一项重要内容 受到包括美国 欧洲和中国政府的高度关注 网络空间安全的应对对于整体安全建设而言 需要研究和开发全新的安全体系结构 包括一些新的安全理念 安全技术 以便从根本上为IT基础设施提供整体安全性保障 对于终端安全建设而言 需要建立完整的终端安全管理体系 包括终端安全理念和模型 终端安全技术 以及终端安全建设思路等 2 终端安全管理体系建设新思路 设计参考依据 国家安全标准及政策法规的要求 中华人民共和国保守国家秘密法 信息安全技术信息系统安全等级保护技术要求 GB T22239 2008 信息安全技术终端计算机系统安全等级技术要求 GA T671 2006 信息安全技术信息安全风险评估规范 GB T20984 2007 互联网安全保护技术措施规定 公安部第82号令 行业安全规范的指导要求证券行业 证券公司风险控制指标管理办法 关于加强对投资者网上交易安全保护的通知 金融行业 商业银行内部控制指引 银行业信息系统灾难恢复管理规范 电力行业 电力二次系统安全防护规定 电监会5号令 电信行业 移动终端信息安全测试方法 YD T1700 2007 移动终端信息安全技术要求 YD T1699 2007 行业自身发展的实际需要为了保证行业业务系统的安全稳定运营 必须确保其信息安全保障水平与网络系统的建设同步进行 面向网络空间的终端安全管理体系 针对网络空间中终端计算机面临的各方面的问题 北信源公司于2010年8月推出了面向网络空间的终端安全管理体系 VRVSpecSEC VRVSpecSEC终端安全管理体系以AP DR模型为依据 以终端安全策略配置为核心 以终端安全检查与评估为依据 而实现的可动态组合配置的终端安全管理体系 VRVSpecSEC终端安全管理体系覆盖了终端的资产管理 数据安全管理 行为安全管理 服务管理等层面 辅以统一管控与联动平台 而形成的终端安全管理和运营中心 VRVSpecSEC终端安全管理体系模型 Specification 安全产品的符合性开发 遵循国家 行业安全政策和法律法规而研发 Policy 基于策略的安全配置 通过统一的策略中心为终端计算机配置和下发各种安全策略 Evaluation 终端检查与评估 通过对终端系统的安全性策略检查 确保终端计算机的安全准入 Component 组件化的应用模式 通过提供模块化的产品组合 为各种功能扩展提供灵活的选择空间 Security 安全体系建设 通过上述体系模型最终构建成为面向网络空间的 完整的终端安全管理体系 为整体信息安全体系建设打下坚实的基础 行为管控 桌面安全 安全审计 数据安全 终端安全准入管理 未知终端准入控制终端用户身份认证安全准入控制 终端行为管理 桌面安全管理 软件与进程管理外设管理加固管理流量管理非法外联 数据安全管理 安全管理 终端安全接口规范 终端安全资产管理 终端安全检查评估 终端安全应急响应 终端安全事件取证 聊天行为上网行为网络应用P2P下载OS操作文件操作 文档加密移动介质管理数据销毁敏感信息检查备份与恢复 安全审计管理 即时通讯上网访问邮件审计OS及文件操作数据库审计 安全准入 VRVSpecSEC终端安全管理体系架构 VRVSpecSEC终端安全管理体系支撑模型 VRV终端安全技术体系 安全准入控制技术 VRV终端安全管理体系 VRV终端安全运维体系 可信网络认证技术 桌面终端安全技术 信息安全管理制度 管理制度的落实 信息安全管理组织 移动存储 文档安全技术 日常运维制度 日常运维流程 安全应急响应 行业用户最佳安全实践 终端云安全技术 企业用户最佳安全实践 国家信息安全标准与政策法规 VRVSpecSEC终端安全管理体系产品架构 3 VRVSpecSEC终端安全管理体系设计与实现 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 VRVSpecSEC终端安全管理体系设计与实现 实现对终端用户的双因素身份认证 实现登录key与OS用户的权限绑定 实现登录key授权权限的的划分管理 实现用户登录行为的安全审计 要采取两种或以上技术对管理用户进行身份认证 要根据管理用户的角色分配权限 实现管理用户的权限分离 等级保护 主机安全 终端身份认证 采用用户名 密码认证的方式 实现计算机入网的身份认证和安全检测 与市场主流交换机完全兼容 1 802 1X接入认证系统 实现对未知终端的隔离与控制 实现对授权终端基于防病毒策略的安全检查准入控制 实现对授权终端基于补丁策略的安全检查准入控制 实现终端通过有线 无线多种接入方式的准入控制 实现终端在异地漫游状态下的准入控制 对非授权设备私自联到内部网络的行为进行检查 并阻断 等级保护 边界完整性检查 安全准入控制 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 聊天行为 OS操作行为 文件操作 上网行为 P2P下载 网络应用使用 VRVSpecSEC终端安全管理体系设计与实现 记录并留存用户访问的互联网地址或域名 在公共信息服务中发现 停止传输违法信息 能够记录并留存发布的信息内容及发布时间 应当至少保存60天记录备份 公安部第82号令 内部员工随意上网浏览各种非法网站 视频聊天 玩网络游戏 炒股票 P2P软件下载电影和视频文件 不仅造成工作效率低下 甚至影响行业业务系统的正常运行 网络行为管控 实现对网址信息过滤 防止对非授权网站的访问 实现对网络游戏软件 股票软件 聊天软件等应用的管理和控制 实现对p2p软件 网络视频的控制 优化网路带宽 实现与终端软件联动 完成对文件操作 OS操作行为的管理和授权 上网行为管控 VRVBMG 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 资产管理 异常监控 违规外联 外设管理 终端加固 VRVSpecSEC终端安全管理体系设计与实现 实现终端信息资产的统计与管理 实现终端电脑外设接口的控制与管理实现终端OS 应用系统的补丁分发与自动安装管理 实现对终端异常进程 异常流量等的监控 实现对终端非法外联的控制 编制与信息系统相关的资产清单 包括资产责任部门 重要程度和所处位置等内容 等级保护 资产管理 对内部网络用户私自联到外部网络的行为进行检查 并阻断 等级保护 边界完整性检查 桌面安全管理 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 移动介质管理 数据备份与恢复 数据安全销毁 敏感信息检查 文档信息加密 VRVSpecSEC终端安全管理体系设计与实现 采用加密或其他有效措施实现系统管理数据 鉴别信息和重要业务数据传输 存储保密性 等级保护 数据安全 文档透明加密 应用指纹识别 文档水印显示 用户权限申请 文档外发 文档操作授权 自定义密钥 密级管理 离网管理 实现文档透明加密 实现文档操作授权 实现文档外发安全管理 文档安全管理 邮件透明加密 策略 要根据所承载数据和软件的重要程度对介质进行分类和标识管理 等级保护 介质管理 实现移动存储设备的使用权限控制 实现移动存储设备读写权限控制 实现移动存储设备识别管理 移动介质管理 未经专业销密 不得将涉密计算机和涉密移动存储介质淘汰处理 计算机保密规定 对需要送出维修或销毁的介质 首先清除其中的敏感数据 防止信息的非法泄漏 等级保护 介质管理 00擦除1次 FF擦除1次 00 FF各10次 随机擦除数十次 00 FF各10次 00擦除1次 FF擦除1次 00擦除1次 介质信息消除 实现存储介质数据信息的永久擦除 实现存储介质数据信息不可恢复 符合国家保密局BMB21 2007标准的要求 要根据所承载数据和软件的重要程度对介质进行分类和标识管理 等级保护 介质管理 光盘刻录监控 实现用户权限控制 未授权用户无法使用刻录软件 实现刻录软件权限控制 其他刻录软件无法刻录 实现数据光盘的加密刻录 只有使用密钥才可正常读取 实现刻录行为的安全审计 包括刻录计算机IP MAC 刻录时间 源文件绝对路径 目的文件绝对路径等信息 敏感信息检查 实现计算机应用信息 常规安全检查 深度安全检查三级架构检查 实现多种违规操作行为的检查取证 如重装系统 格式化硬盘等 适合多种运行环境 如硬盘安装 光盘和U盘单独运行等 上网信息检查 已删除敏感信息检查 U盘使用信息检查 基本信息检查 系统进程 服务和端口 上网记录 连接状态 已装软件等常规安全检查 违规上网 敏感信息 U盘使用记录 系统账户安全等深度安全检查 扇区检查 已删文件检查等 行为安全管控设计与实现 桌面安全管理设计与实现 数据安全管理设计与实现 安全审计管理设计与实现 安全准入控制设计与实现 终端安全管理体系建设 邮件审计 上网行为审计 即时通讯审计 OS及文件操作审计 文件输出审计 VRVSpecSEC终端安全管理体系设计与实现 要求对主机系统的操作行为进行审计 等级保护 安全审计 实现终端用户对文件的操作行为审计 实现终端用户对OS的操作行为审计 实现终端用户对外设的操作行为审计 实现与上网行为管理系统的联动 完成终端用户上网访问行为的审计 完成终端用户邮件发送 外网发贴 bbs论坛内容的审计 完成终端用户即时通信行为的审计 主机安全审计 数据库安全审计 审计范围应覆盖到服务器和重要客户端上的每个OS用户和数据库用户 等级保护 安全审计 外联单位 总部 分支机构 路由器 移动办公 ERP系统 MES系统 防火墙 终端 终端 数据库 无线区域 审计中心 VRVSpecSEC终端安全管理体系建设示意图 安全准入控制防护 BT下载 上网 游戏等行为安全防护 数据安全管理防护 综合安全审计防护 数据安全管理防护 统一管控和联动平台 终端安全管理防护 看不懂 进不来 改不了 跑不了 可审查 打不垮 建设效果 4 部分案例介绍 行业案例 公安部金盾工程 一机两用 系统 公安部全网安全管理通告平台 级联部署架构 部署管理服务器数百台 终端计算机远远超过百万台 实现全网范围内的违规外联监控 使用补丁分发功能 增强终端安全性 将各软件功能集成在一个客户端中 减少资源占用 建设设备资产统一管理平台 建立了公安部信息安全管理 检查和考核的制度办法 建设内容 建设成果 行业案例 国家电网桌面终端管理系统 国家电网信息管理综合监管平台 综合监管平台结构图 全网范围内部署了数十万多个计算机终端 制作并分发了十万个以上的移动存储介质 制定了国家电网内网终端防护和移动存储介质使用标准 建立了整个国家电网公司终端资产管理平台和终端安全管理体系 按照国家电网公司要求建立起统一部署 分级管理的级联架构 通过桌面标准化改造 提高了终端安全性 加强了用户安全防范意识 建设成果 终端安全管理 完成了终端资产统计管理 终端注册管理 终端外设管理和终端异常监控管理 终端加固管理 实现了计算机终端漏洞自动检测与补丁分发管理 移动存储管理 实现了全网中移动存储介质的统一配发和使用管理 违规外联管理 完成了系统内授权终端的非法外联其他网络的监控和阻断管理 主机审计管理 对所有注册终端的操作行为实现了统一审计和查询 行业案例 国税总局桌面安全防护系统 建设成果 国税总局综合安全管理平台 税务系统桌面安全防护系统 国税系统配发到县级单位 地税系统则配发到省级单位 在国税总局全网范围部署百余台服务器 几十万个计算机终端 建立了税务系统全网综合安全信息管理和监控平台 制定了全网计算机终端安全管理策略和违规外联规范 按照税务系统安全防护体系要求建立了统一部署 分级管理的架构模式 行业案例 奥运会 世博会安保项目 部署架构 采用集中管理的星型结构模式 在指挥中心和控制机房分别部署1台管理服务器 形成双机热备模式 涉及30多个比赛场馆