|
(转载自中国计算机报)
内联网是人民银行信息化建设极为重要的基础设施,是在充分利用人民银行已有的网络资源基础上,采用 TCP/IP 协议标准建立的人民银行内部信息网络。内联网的安全建设是人民银行信息化建设的重要内容。为了提高网络的安全性、可靠性,更好地为银行货币政策和各项业务服务,确保业务数据和办公公文安全、可靠地在网上传输,安徽人行决定投入资金采购防火墙。
业务高性能不间断
我们与东软根据内联网的安全需求,共同进行了深入分析和讨论,在前期沟通交流的基础上,东软提供了详细的安全规划及部署与实施方案。第一,要求按照安全等级将网络分割成不同区域。如市业务网与县级网之间,由于管理权限的不同造成不同部门对不同网段具备不同程度的可操作性。因此,应该将内联网本身看成被保护的网络资源,需要通过具有先进架构、高性能的网络安全设备进行防护。第二,要提供对重要服务器的重点保护。业务数据、办公公文、存储资源等是人行业务正常运作的重要物质基础,也是关键电子数据的载体。该系统是否正常运行直接决定人行业务对外提供服务的质量。因此要求对这部分信息资产进行必要的访问保护,同时确保不间断运行。第三,要求对内网服务器网段的流量进行深层次的行为分析与日志审计,便于实时分析报警和事后取证追溯。由于访问控制设备通常无法提供接近应用层的协议分析,因此要部署合理的网络监控设备提供入侵分析和日志审计功能,形成完备的日志记录。
指定NP架构
一个优秀的安全解决方案应该能够提供完整的产品集成、人性化的安全管理。东软NetEye网络安全解决方案通过边界访问控制和关键流量行为分析多种机制,为人行业务网络构建了包括访问控制、内容过滤、协议分析、入侵检测、日志记录等多种功能模块的网络安全体系。在产品选择上,我们指定了拥有先进技术架构的NP防火墙,是基于如下考虑:首先,NP架构的优越性在于它采用芯片内嵌的通信处理单元代替依赖于总线的物理网卡,所有通信接口均集成到网络处理器(NP)中,有效回避了PCI总线所带来的瓶颈问题。所有网络通信均在NP芯片中完成,大大提升了对数据的处理能力,使得NP防火墙处理能力达到线速。其次,NetEye NP防火墙中的关键器件均采用通信领域专用的嵌入式处理器,超低功耗,无需风扇也可以稳定运行,可保证机器长时间稳定工作。而且,NetEye NP防火墙整体系统从硬件到软件完全由东软自主设计研制,消除了工控机必须使用的BIOS中的安全隐患,确保设备的自身安全。
依赖于东软NetEye NP新品的先进技术,安徽人行网络安全体系可以达到以下几个目标:第一,不允许跨业务系统的访问流量出现,保证不同业务系统资源之间的屏蔽性;第二,可对业务系统各服务器资源所承受的访问请求提供应用级的协议分析,并作出详细的日志记录;第三,对所保护的各类服务器资源,防火墙将通过隐藏或替换服务器的标识信息达到防止服务器信息泄漏的目的;第四,实现了情况复杂的OA网络与业务网络的逻辑隔离,保护业务网络不受来自OA网络的侵袭。
期望系统安全
网络安全是一个系统的、全局的管理问题,网络上的任何漏洞,都会导致全网的安全问题。我们期待未来安全厂商应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个好的安全措施往往是多种方法适当综合的应用结果。这些环节在网络中的地位和作用,也只有从系统整体的角度去分析,才能制定有效的措施。
东软为安徽人行内联网系统所制定的网络安全解决方案,是围绕安徽人行内联网系统安全而展开的,通过把市区县网络分成不同安全级别,采取必要的访问控制和协议分析、日志监控等措施,可使安徽人行内联网系统获得较高的安全保障,提高了安徽人行内联网业务系统平稳运行能力。
高校网
应用联动体系
北京城市学院高校网络主要由计算机实验室、教学楼、学校信息资源服务器群、图书馆等网络组成。网络出口一方面连接CERNET,另一方面连接Internet,主要面临以下层面的安全风险:外联服务要求应在网络出口处安装防火墙对访问加以控制,但是,由于已经配备的防火墙不支持TOPSEC(天融信发起的)联动体系,可能与需要配备IDS系统无法组成有效的联动;由于校园网络中大量使用了网络设备,如交换机、路由器等,这些设备的自身安全性也会直接关系到学校业务系统和各种网络应用的正常运转;校园网采用的操作系统(主要为Windows 及UNIX)本身在安全方面考虑较少。
解决方案:网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。在防火墙上通过设置安全策略增加对服务器的保护,必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。根据网络具体流量情况,该方案采用了天融信NGFW4000防火墙,它支持TOPSEC联动协议。
功能:纯防火墙Vs. 多功能平台
单一才专业
方正信息安全防火墙产品经理 鲁青松
防火墙的内涵已今非昔比。随着网络复杂性的增加和技术的发展,各种技术都附加给防火墙:VPN、支持多种网络接入方式、提供带宽管理、地址转换、内容过滤等功能,这些也成为业界防火墙产品的标准配备。也有一些产品提供入侵检测和防病毒功能等,而且大有把防火墙变为一个多功能系统的趋势。那么,具备什么功能的防火墙才是用户的最佳选择?
从表面上看,多功能产品是一个很好的选择,但我们应该从多方面来评估。在一个高性能、高安全、结构复杂的网络中,功能单一的防火墙更为适合。如果是在一个对性能要求很高的网络中,处于关键位置的防火墙设备由于其功能的增加,如防病毒功能,一些数据包要经过病毒扫描引擎的处理,就加重了处理器的负担,甚至无法满足用户的正常应用。安全性方面,多功能设备物理风险性很大,同时我们应该把入侵检测、防病毒功能分担给更专业的单一设备来实现。管理方面,多功能设备管理配置的灵活性下降,在安全事件的应急处理方面显得薄弱。
方正信息安全公司也更专注于专业防火墙的研发,智能IP识别技术(Intelligent IP Identifying)是方正安全自行研发的新一代防火墙技术。智能IP识别技术通过在防火墙的内核中直接对通过防火墙的数据进行高效的归类分析,对于不同应用的数据包自动识别,动态更新防火墙防护策略,并采用零拷贝流分析、特有快速搜索算法等技术,针对网络流2~7层数据进行高效识别,扩展了防火墙的防护功能。
虽然在一些简单的小型网络中,多功能防火墙确实是用户的首选,它有很高的功能价格比,性能也能满足小型网络的需求,基本上可以说一机安全。但单一功能的防火墙应该才是专业防火墙的发展方向。高性能高安全是其发展的重要方向,多媒体支持功能和应用过滤功能都对防火墙提出更高要求。专业防火墙可以全面地支持H.323、uPnP等多媒体协议,支持Netmeeting、MSN、 Realplay、Mediaplay、IPTV等关键多媒体应用,同时不降低用户网络安全级别和性能。同时,防火墙对2~7层协议的支持,抵御越来越多的应用层的攻击,具备强大的应用过滤能力,也是安全厂商努力的方向。当然,单一的安全设备毕竟不能解决全面的安全问题,那么防火墙和其他安全设备的协同工作和统一有效的管理也成为不可缺少的一环。
UTM经济实用
Fortinet中国区技术总监 李宏凯
网络攻击的方式已经从传统的简单网络层数据攻击升级到多层次的复合型攻击。混合型攻击基本都会嵌入部分黑客程序和木马。入侵用户后,迅速在内部网络形成DoS/DDoS攻击流的蠕虫病毒最为显著。目前,复合型攻击方式的出现使得防病毒和IDS/IDP 的防御分割点逐渐消失,任何单一的检测方式都无法完善地解决各种威胁,提供网络级和应用级防护的综合网关也应运而生。
综合安全网关也称统一威胁管理(UTM)设备,它集成多种安全技术于一身,包括防火墙、VPN、IDP、网关防病毒等威胁管理安全设备。它可以防御流行的混合型数据攻击的威胁,进行改良的信息包检查,识别应用层信息,具有命令入侵检测和阻断、蠕虫病毒防护以及高级的数据包验证机制。 这些特性使IT管理人员可以很容易地控制如即时信息传输、BT多线程动态应用下载、Skype等新型软件的应用,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时,它支持动态的行为特征库更新,具备7层的数据包检测能力,克服了深度包检测的技术弱点。UTM由于具有集成的维护平台、单一服务体系结构、集中的安全日志管理等特征,降低了安全管理的复杂度。此外,它还具有组合式的安全保护、应用的灵活性、良好的扩展性、降低成本等优势。对于企业用户来说,UTM在安全防御效果和安全维护成本上都具有优势,尤其是对中小型企业、具有分支机构的企业等,UTM将是更合适的选择。 |
