发布时间 : 星期三 文章电力信息网络安全防护系统设计方案更新完毕开始阅读
25、策略编辑器支持灵活的过滤规则,方便批量选取特征签名和定制特征签名的响应方式。
26、能够与其他厂商的网管软件或安全管理软件进行无缝集成。
27、具有良好的报告功能,支持报告的多种显示方式,导出报告方式应至少包括文本、PDF、HTML格式。报表可定时生成。
28、报告内容应包括摘要性质的图表和详细的事件描述。
29、特征库和检测引擎可集中在线自动更新,更新支持手动、自动。
30、更新的攻击特征可按照一定规则自动应用,无需管理员手动在检测策略中添加或调整。
8.3入侵检测/入侵防护(IDS/IPS)在公司系统网络中的部署
1、 部署说明:
1、在服务器区2台三层交换机上分别部署1台IDS模块,用于检测、审计和监视用 户对服务器的访问,并与防火墙模块形成联动,阻止非法访问。
2、在省公司与“INTERNET、华东公司、国网公司、各地市公司信息网”相连的网络边界防火墙系统之后部署入侵防护产品(IPS),用于检测、审计、监视来自互联网、华东公司和国网公司各地市公司等网络的入侵攻击,并实时阻断。
3、在“综合数据网络”之前部署入侵防护产品(IPS),用于检测、审计、监视来自互联网、华东公司、国网公司等网络的入侵攻击,并实时阻断,以保护各地市公司的网络免遭入侵攻击。
4、在“合肥城域网”之前部署入侵防护产品(IPS),用于检测、审计、监视来自合肥地区各单位的网络的入侵攻击,并实时阻断,以保护省公司的网络免遭入侵攻击。
省公司入侵检测/入侵防护(IDS/IPS)部署
40
网络入侵检测/入侵防护控制中心OA服务器服务器群省公司入侵检测/防护系统部署图交换机入侵检测模块新大楼核心交换机老大楼核心交换机入侵检测/防护32 Gbps环楼层无线接入楼层有线接入IPS系统可供外网访问的DNS,Mail,IMS服务器群合肥城域网万兆以太网IPS系统千兆以太网百兆以太网防火墙系统综合数据网Internet华东网络IPS系统地市客户端路由CR国网网络 XX电力信息网省公司入侵检测/防护产品部署
2、
市公司IDS/IPS部署
部署说明:在地市公司2台核心交换机上连接IDS设备,通过交换机和IDS配置,用于监视、检测和审计用户对服务器区的数据访问。
部署数量:每个地市公司部署1台入侵防护(IDS/IPS)设备。
41
县公司省公司IDSDMZ 区服务器银行新增IDS服务器群市公司办公区域市公司入侵检测IDS部署图
9.内网客户端管理系统 9.1问题分析与解决思路
9.1.1 IP地址管理问题
采用计算机管理IP地址和用户信息,如管理项目不统一,不便于统一管理范围的扩大化和信息共享。经调查,内部网络存在IP地址、计算机名乱用、冒用的危险。一些用户自行购置的计算机和网络设备,不登记即自行安装上网,信息中心缺乏有效的监控手段,使得上网设备的IP地址冲突现象时有发生,合法设备无法正常工作,影响业务工作的开展。对违反规定或禁止上网的计算机及网络设备,希望能从技术手段上限制其上网,并通过管理制度做出相应的处罚措施。
在上面的这些问题中,核心问题是IP地址的改动和盗用,主要表现为:
(1)IP地址非正常改动:恶意的改动可能基于不可告人的目的,如:逃避服务器的记录、让服务器或某些重要任务的机器无法上网;而非恶意的改动也会造成同样的后果。
(2)IP地址盗用:将非法节点接入网络,盗窃网上的资源,甚至对主机发动攻击。
42
本方案将对计算机及网络设备IP地址进行有效的管理,可以对计算机和网络设备的IP地址、MAC地址以及主机名进行绑定,通过被动侦听、主动扫描相结合的方式发现非法节点,并且可以阻断非法节点的网络通讯,对非法节点信息进行报警和日志记录等。
9.1.2 用户资产信息管理问题
目前在内网管理中,管理人员对所管辖网络的资源占用和用户情况难以准确掌握,实际接入的计算机数量难以进行精确的统计,对面临的危害难以做出动态的评估和有效的防范。
作为用户与设备基础管理功能,希望建立起台帐信息,对所有接入计算机和网络设备的用户信息进行登记注册,这些登记的信息主要包括:用户姓名、单位名称、工作岗位、用户工号、联系电话、使用地点、主要用途、资产编号、设备品牌、设备类型、设备序列号等信息,在发生安全事件时能够以最快速度定位到具体的用户。对于未进行登记注册的微机,自动将其隔离在系统之外。同时,应该能够做到动态地搜索各专用微机的硬件信息和安装软件信息,并能够对这些信息进行统计和分析,生成相应的基础信息报告。需要搜索的硬件信息主要包括:计算机类型、CPU型号、CPU主频、内存大小、磁盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、鼠标型号、键盘型号、显卡型号、声卡型号以及各外围设备的情况;同时应该对各计算机所安装的软件自动进行搜索,并与预先指定的软件进行比较,警示那些未按要求安装软件的用户,并及时报警,利用短消息手段,通知信息安全管理部门和相关的系统管理员。
另外,系统还应该与安全策略紧密结合,自动收集与安全相关的一些系统信息,包括:操作系统版本信息、操作系统补丁信息等,同时针对这些收集的信息进行统计和分析,给出安全状况报告。例如,要求全网安装最新的操作系统安全补丁,如有计算机未按照要求安装安全补丁,可能会影响到整个系统的安全状况。在对这些系统安全信息进行收集后,可迅速统计分析出那些不符合安全管理策略的微机,对其进行更新,从而保证各微机的安全性。
目前,大多的IP地址是按网段分配的,信息中心对所管辖网络的IP地址等资源占用难以掌握,网上的计算机设备、网络设备的数量难以准确统计,具体设备的基础软硬件信息也难于收集和进行有效的管理,一些实时运行的网络设备和重要服务器的运行状况不能集中监控,日常管理难度和工作量都很大。
本方案实施后,客户端管理功能将自动扫瞄计算机的硬件信息和软件信息,登记管理计算机的基本信息,并支持统计查询。硬件信息包括计算机类型、CPU型号、主频、内
43