APT***防护计划–选用整合产品进行全方位防护51CTO博客 - AG环亚娱乐

APT***防护计划–选用整合产品进行全方位防护51CTO博客

2019年04月12日09时35分14秒 | 作者: 碧萱 | 标签: 进行,防护,办理 | 浏览: 1627

本计划是 @网路游侠 应51CTO“网络007 大破骇客杀机之稿件搜集”而写的稿,也是算是一个相对全面的安全解决计划。当然,还有许多需求进步的当地,如APT监测体系、数据彻底清除等,但因为客户承受度问题,暂时在计划没有表现。另:许多产品游侠写了1个产品,可是实际上市面上的产品大都都是分隔的。各有利弊吧。

文章布景:

一、网络现状

假定军情六处现在有计算机500台,没有分域办理,一切计算机在1个网络中,出口布置有防火墙,以抵挡互联网常见***,内部网络中的计算机装置有单机版防病毒软件,并定时更新。

网络中有约50台效劳器,部分选用了虚拟化。

正是因为这样的粗放型办理方法,导致病毒、***、蠕虫众多,并发生过******到内部网络的安全事故——对,在《007:大破天幕杀机》中各位现已看到!

二、脆弱性与要挟剖析

因为现在的网络完全是10年前的网络结构,因而咱们主张将网络依照不同的使用分为如下三个区域:

  • 互联网区:100台计算机,用做材料查询、网络信息发布等用处。(本区域也有用劳器,但因为做信息发布,不存储灵敏信息,因而不独自剖析。)

  • 工作网区:400台计算机,存有很多灵敏信息,并严厉操控不能在互联网发布。

  • 效劳器区:从属于工作网区,但因功用不同,独立剖析。

不同的安全区域施行严厉的拜访操控战略,特别是互联网区,物理上与工作网区、效劳器区分隔。

下面剖析脆弱性与要挟:

1、互联网区

  • 来自于互联网的***、病毒、蠕虫。

  • U盘、移动硬盘等移动存储介质带来的歹意软件、信息外泄。

  • 打印带来的安全问题。

  • 主机IP和MAC简单被篡改带来运维和安全危险。

  • 刻录机带来的安全危险。

  • 凶相毕露的***带来的各种要挟。

  • 自带设备(BYOD)带入内部网络带来的安全危险(***、病毒等)。

  • 跟着手机、平板电脑的盛行而带来的移动设备办理(MDM)问题。

  • 长途工作带来的安全问题。

2、工作网区

  • 来自于互联网区的要挟,工作网区一起存在,一起:

  • 重要文档在流经过程中的安全问题,如不具有某文档阅览权限的人有或许触摸、翻开、仿制、打印该文档。

  • 自带设备(BYOD)带入内部网络,并主动***内部主机、效劳器,并将重要材料仿制到BYOD设备,在联网时回传到***指定地址。

  • 同上,U盘、移动硬盘、光盘也有或许在外部感染***,并经过上述方法***内部计主机、效劳器,然后”轮渡”到外部。

  • 对效劳器、使用体系的资源占用、呼应无实时监控手法。

  • 主机、使用体系登录安全问题。

3、效劳器区

  • 来自于互联网区、工作网区的要挟,效劳器区一起存在,一起:

  • 办理员权限过大,可经过在交换机镜像或ARP诈骗的方法捕获内部人员的帐号、口令。

  • 办理员可直接在效劳器上读取OA、E-Mail等的灵敏信息。

  • 办理员可直接触摸到中心数据库,简单发生误操作,或歹意操作。

  • 蠕虫、病毒,往往会扫描效劳器,进行”额定照料”。

  • 低权限办理员有或许使用此权限,”提权”后进行越权、高危操作。

三、解决计划

1、办理手法

加强安全基础常识训练,如补丁、口令等常识。

完善办理制度,并确认可执行的战略。

2、技术手法(产品布置与安全战略)

2.1 互联网区

因为本区域联通互联网,不存储任何灵敏信息,因而最重要的是确保网络的连通性,以确保网络联通为主,布置如下:

  • 下一代防火墙:布置在互联网出口和中心交换机之间,敞开安全防护模块,用以抵挡******、完成网络病毒过滤、反垃圾邮件、反钓鱼邮件,一起进行上网行为办理,对歹意、不合法网站进行URL过滤,一起敞开网络流量操控,确保事务流量。对长途工作用户,采纳***拨入方法确保数据传输安全。

  • 终端安全办理体系:文件操作审计、打印办理、光驱刻录办理、IP地址办理、不合法接入操控、不合法外联办理、移动存储介质办理、财物办理、软硬件装置办理、文档加密、ARP防护。

  • 网络防病毒软件:拟定一致的防病毒战略,完成整网病毒防备。

  • 日志归纳审计办理体系:Windows/Linux效劳器日志搜集与剖析;路由器、交换机、下一代防火墙日志搜集与剖析;数据库操作日志搜集与剖析。一起旁路布置该设备,以完成网络数据库审计的功用。

  • 补丁办理体系:主张选用微软WSUS,进行补丁办理。

  • 缝隙扫描体系:对网络设备、使用体系、Windows、Linux等的定时缝隙扫描。

  • CA效劳器:合作USB-KEY,完成开机登录、OA登录、电子邮件签名、文档签名等功用。

  • WEB使用防火墙:对SQL注入、XSS跨站***等进行防备。

  • 主机***防护PC版:完成主机层面的***防护。

2.2 工作网区与效劳器区

重要灵敏信息悉数存储在本区域,因而防护等级较高,布置如下:

  • 下一代防火墙:布置在互联网出口和中心交换机之间,敞开安全防护模块,用以抵挡******、完成网络病毒过滤、反垃圾邮件、反钓鱼邮件,一起进行上网行为办理,对歹意、不合法网站进行URL过滤,一起敞开网络流量操控,确保事务流量。对长途工作用户,采纳***拨入方法确保数据传输安全。

  • 终端安全办理体系:文件操作审计、打印办理、光驱刻录办理、IP地址办理、不合法接入操控、不合法外联办理、移动存储介质办理、财物办理、软硬件装置办理、文档加密、ARP防护。

  • 网络防病毒软件:拟定一致的防病毒战略,完成整网病毒防备。

  • 日志归纳审计办理体系:Windows/Linux效劳器日志搜集与剖析;路由器、交换机、下一代防火墙日志搜集与剖析;数据库操作日志搜集与剖析。一起旁路布置该设备,以完成网络数据库审计的功用。

  • 运维安全审计与办理体系(内控堡垒主机):telnet、SSH、Windows长途桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等使用协议的认证、授权、审计、账号办理。以录像方法存储内部办理员、第三方运维人员的各种操作。

  • 网络运维监控体系:支撑对网络设备、安全设备、效劳器、中间件、数据库等的流量、运转状况监控

  • 补丁办理体系:主张选用微软WSUS,进行补丁办理。

  • 缝隙扫描体系:对网络设备、使用体系、Windows、Linux等的定时缝隙扫描。

  • CA效劳器:合作USB-KEY,完成开机登录、OA登录、电子邮件签名、文档签名等功用。

  • 主机加固体系:对Windows、Linux效劳器进行加固。

  • 网络***检测体系:选用旁路抓包方法,对整网流量进行监控,对内网的蠕虫、***、***行为进行有用监控。

  • 主机***防护PC版:完成主机层面的***防护。

  • 主机***防护效劳器版:对效劳器进行***防护。

四、产品清单

1、互联网区

2、工作网区与效劳器区

五、计划特征

  • 选用整合型产品,在确保功能的一起,削减毛病点。

  • 对主机、网络、使用层的APT进行全方位防护。

  • 在确保安全的前提下供给快捷办法,如***,一起供给MDM。

  • BYOD防护(终端安全办理、HIPS等)。

  • 移动存储介质、打印、刻录管控,含文档加密。

  • 日志归纳办理可对效劳器、网络设备、安全设备运维日志进行一致办理。

  • 运维审计(堡垒机)可对网络设备、效劳器、数据库等进行一致运维办理。

作者:张百川(网路游侠)www.youxia.org 转载请注明来历!谢谢

您亦可加QQ:55984512(@qq.com)与我联络、讨论。


版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表AG环亚娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章