一天,甘肅省定西地區臨洮縣某金融機構儲蓄網點的工作人員發現打印出的報表儲蓄余額與實際不符。經過對賬發現,2003年5日13時發生了11筆交易、總計金額達83.5萬元的異地賬戶系虛存(有交易記錄但無實際現金)。當工作人員幾天之后進一步與開戶行聯系時,發現存款已經分別于6日、11日被人從蘭州、西安兩地取走37.81萬元,他們意識到了問題的嚴重性,并立即向公安機關報了案。天網恢恢,疏而不漏,犯罪分子最終被公安機關抓獲歸案,83.5萬元也完璧歸趙。案子雖然破了,但留給我們的卻是深深的思索:
1、該金融機構網絡是否太不完善了,竟能被人這么輕易的攻破?其實,該單位網絡的防范措施不可謂不嚴:使用專用網絡,和互聯網物理隔絕;網絡使用了安全防火墻系統;從前臺分機到主機,其中有數道密碼保護。
2、罪犯使用什么高超的技術手段,竟然能夠突破重重屏障?經審訊,原為該單位系統維護人員的作案人員,談不上精通電腦和計算機網絡技術,僅僅在辦公桌上架設了一條電纜線連接在了不遠處的郵政儲蓄專用網絡上,利用筆記本電腦侵入網絡后,非法遠程登錄訪問業務用機,破譯對方密碼之后進入操作系統,以營業員身份向自己預先在其他省份利用假身份證開設的幾個活期賬戶存入了多筆資金。
那么,究竟是什么導致了案件的發生……
原因與分析
1、對內部網絡安全管理的重要性認識不足
絕大多數的企業/政府機構,以前網絡安全工作的重點防范來自Internet的攻擊或者病毒,僅僅建立Internet邊界安全控制系統,如:防火墻,IDS,IPS。但是統計數據表明,許多安全問題根本不是從外部引發的,是由于員工或者外來人員直接將計算機接入企業內部網絡系統引發的。正是這些有意、無意的破壞,給整個企業的安全帶來了極大的危害!
邊界安全設備如:防火墻、IDS、防病毒網關,不能完全阻斷病毒、黑客的侵入,例如對于通過MSN、QQ等通道進來了攻擊或者網絡病毒根本無能為力,對于員工上網被非法安裝間諜件這類安全事件更是無能為力。
2、需要保護的對象太多/應用環境復雜
歷史上,網絡安全重點保護的是網絡設備(路由器、交換機)、服務器系統(數據庫、網站),而當前網絡病毒、黑客、間諜件的攻擊對象是企業內部的桌面計算機,如何保護數以千計的計算機安全是很困難的,因為使用桌面計算機的人員大多數是非計算機專業人員,對安全設置、補丁管理認識不足。
3、技術手段限制
目前絕大多數企業或者政府機構,尚未建立起對網絡上所有的計算機設備的進行實時安全漏洞監控的管理系統,不能及時發現被攻擊的電腦,從而及時提醒或者幫助桌面計算機用戶加強計算機的安全設置。
4、資源投入限制
一方面,由于安全、攻擊過于頻繁,需要保護的對象太多,而企業又不能為保障安全投入無限的資源和費用,使得企業信息部門疲于應付;另一方面,對眾多的計算機設備,又很難進行分類安全管理,例如:對不同的部門、不同的人員的桌面計算機采取不同的安全策略和管理策略。
解決之道
美國Carnegie Mellon大學的Internet安全專業研究中心指出:“目前有很多手段可以來解決安全問題,絕大多數的安全攻擊事件可以通過預先部署這些安全措施、或修補漏洞等手段來避免。但問題是:發生被攻擊事件的用戶往往沒有部署這些防范措施。”看來,部署一套“安全、可控”的終端安全管理系統成為我們的當務之急。
國際信息系統安全管理最佳實踐指南“BS7799”指出,要建立能夠持續動態改進的安全管理體系(PDCA模型)。PDCA(“Plan-Do-Check-Act”)模型圖如下,其核心思想是要建立一個能夠不斷發現信息系統中的安全隱患、問題,通過不斷的改進、提高,到達保護信息系統安全的這一最終目標。
![]("/uploadfile/200703/20070320171046830.gif")
經過長期的評估和論證,我們最終選擇了深圳市聯軟科技有限公司開發的 LeagView系統來解決。聯軟依據PDCA模型,在結合眾多用戶的管理經驗基礎之上,提出“建立可控的網絡安全系統整體解決方案”,研發出了LeagView安全接入管理系統,從管理、技術、評估等多個方面解決大型企業/政府機構所面臨的復雜的全面安全管理難題。
可控的網絡安全系統整體解決方案內容包括:
1.建立全面的網絡接入控制系統
建立外部網絡安全接入控制系統,采用防火墻、IDS、IPS、防病毒網關對來自外部網絡的訪問和信息進行控制。
建立內部網絡設備準入控制機制,對直接接入內部網絡的計算機設備進行控制。
2.建立分級安全管理體系,實現分級管理
不同安全級別的信息資產采取不同的管理策略
從組織、流程、技術上考慮分級管理問題
3.建立完整的安全管理流程
建立安全評估、事件報警、事件處理、處理跟蹤、配置變更、報告流程
將安全管理納入信息系統的服務管理(ITSM)體系中
4.采取更完善的內部網絡安全措施
建立補丁管理系統
加強防病毒、防間諜件措施,加強桌面計算機的安全設置檢查
建立網絡流量異常分析,異常進程分析系統,盡早、快速發現接入內部網絡的異常計算機設備
5.建立集中式的安全操作管理平臺
實現高效率安全管理,解決資源不足問題
實現集中安全策略設定、集中維護/監控、集中問題處理
下圖是“可控的網絡安全系統整體解決方案”組成圖,LeagView安全接入管理系統與傳統的邊界安全接入控制系統、防病毒系統,以及與企業IT服務管理平臺一起,構筑成安全控制、安全評估、安全部署系統,實現分級管理和流程管理,構建“可控的網絡安全系統”。
![]("/uploadfile/200703/20070320171125983.jpg")
方案詳述
作為業界領先的“LeagView安全接入管理系統”,是“可控的網絡安全系統”中的關鍵組成部分。LeagView是一個和網絡系統緊密集成的桌面管理系統,一方面實現對接入網絡的桌面電腦的安全控制,另一方面實現桌面電腦的集中式管理、控制和維護。
LeagView具有很多其他國內、外其他產品所不具備的優勢:
大部分桌面電腦管理軟件是為了做配置管理而配置管理,與安全方面的結合不太緊密。而LeagView實現了多種不同力度的安全準入控制方式,擁有最完善的準入控制解決方案,讓系統管理員根據重要性進行選擇。
LeagView以網絡準入控制為基礎,在補丁包自動升級、主機安全漏洞檢查、主機安全加固、防病毒軟件強制安裝與更新、網絡訪問控制、網絡異常檢測、非授權外連、網絡行為審計等幾個方面加強網絡內部的安全性,與防火墻、防病毒軟件一起構建成一個完整的網絡安全防御體系。
及時發現接入網絡中的所有設備
很多桌面電腦管理軟件只能發現安裝了自身客戶端代理的桌面電腦,而不能發現未安裝客戶端代理的桌面電腦。而LeagView可以發現任何接入網絡的設備,不管是否安裝了客戶端代理。LeagView對設備發現的及時性保證外來電腦、移動電腦接入網絡時也能被及時發現并通知系統管理員。
設備快速查找定位
LeagView允許用戶依據各種信息對設備進行快速定位,快速查找定位的信息可以是該設備上的任何一項信息;設備快速查找定位既可以用于對設備的定位分析,也可以用于資產統計和定位,例如:可以查找出所有AMD Duron CPU,主頻小于2.0GHz的桌面電腦。
完整的配置信息
LeagView不僅能夠采集到桌面電腦固定的軟硬件配置信息,而且能夠進一步獲取桌面電腦的網絡連接信息、客戶端用戶信息,LeagView的管理不是孤零零的設備管理,而是結合人的管理。
產品功能高度集成
LeagView為系統管理員提供了管理、維護大批量桌面電腦的多種方法、手段和工具,并且這些功能高度集成。
例如:系統管理員可以定義所有沒有安裝防病毒軟件桌面電腦,如果其位于開放辦公室,則限制其上Internet網。對于該類電腦,系統管理員既可以通過LeagView的遠程協助功能幫助其安裝防病毒軟件,也可以定義任務自動幫助其安裝該防病毒軟件。LeagView可以實現與網絡設備、防火墻設備、HTTP服務器、防病毒軟件之間的集成與聯動,既強化了產品功能,又方便管理員管理、控制桌面電腦。
使用簡單、實施方便
LeagView采用Web管理界面,使系統管理員的管理工作不受地理位置限制。LeagView客戶端代理即可以通過Web方式安裝,又可以有管理員集中推送部署,除去系統管理員手工一臺一臺機器安裝的麻煩,方便實施。
松緊有度、自主定義
許多管理系統對桌面電腦“一管就死、一放就亂”。在許多崇尚自由和創新企業文化的企業/機構,如果對桌面電腦管理過于嚴格,往往會很難推行下去。
LeagView的許多功能允許系統管理員自主定義,例如管理員可以定義客戶端代理是否支持遠程協助、遠程監控、上網審計、上網過濾等。代理的客戶界面、代理的功能描述甚至包括代理的圖標均可以由系統管理員自主定義,此外在LeagView各種安全和控制策略中,管理員可以定義其應用范圍。
通過自定義代理的功能、安全策略,使得企業可以非常方便地定義對桌面電腦的管理嚴格程度。
高性價比
LeagView具有桌面電腦資產管理、桌面電腦安全管理、網絡準入控制等三個方面的功能,與國外同類產品比較,具有非常高的性能價格比。
全中文web管理界面
聯軟IT安全運維管理系統支持全中文的WEB管理界面,管理員可以在任何能夠聯網的地方訪問“IT安全運維管理系統”,完成管理維護工作。
