一天,甘肃省定西地区临洮县某金融机构储蓄网点的工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现,2003年5日13时发生了11笔交易、总计金额达83.5万元的异地账户系虚存(有交易记录但无实际现金)。当工作人员几天之后进一步与开户行联系时,发现存款已经分别于6日、11日被人从兰州、西安两地取走37.81万元,他们意识到了问题的严重性,并立即向公安机关报了案。天网恢恢,疏而不漏,犯罪分子最终被公安机关抓获归案,83.5万元也完璧归赵。案子虽然破了,但留给我们的却是深深的思索:
1、该金融机构网络是否太不完善了,竟能被人这么轻易的攻破?其实,该单位网络的防范措施不可谓不严:使用专用网络,和互联网物理隔绝;网络使用了安全防火墙系统;从前台分机到主机,其中有数道密码保护。
2、罪犯使用什么高超的技术手段,竟然能够突破重重屏障?经审讯,原为该单位系统维护人员的作案人员,谈不上精通电脑和计算机网络技术,仅仅在办公桌上架设了一条电缆线连接在了不远处的邮政储蓄专用网络上,利用笔记本电脑侵入网络后,非法远程登录访问业务用机,破译对方密码之后进入操作系统,以营业员身份向自己预先在其他省份利用假身份证开设的几个活期账户存入了多笔资金。
那么,究竟是什么导致了案件的发生……
原因与分析
1、对内部网络安全管理的重要性认识不足
绝大多数的企业/政府机构,以前网络安全工作的重点防范来自Internet的攻击或者病毒,仅仅建立Internet边界安全控制系统,如:防火墙,IDS,IPS。但是统计数据表明,许多安全问题根本不是从外部引发的,是由于员工或者外来人员直接将计算机接入企业内部网络系统引发的。正是这些有意、无意的破坏,给整个企业的安全带来了极大的危害!
边界安全设备如:防火墙、IDS、防病毒网关,不能完全阻断病毒、黑客的侵入,例如对于通过MSN、QQ等通道进来了攻击或者网络病毒根本无能为力,对于员工上网被非法安装间谍件这类安全事件更是无能为力。
2、需要保护的对象太多/应用环境复杂
历史上,网络安全重点保护的是网络设备(路由器、交换机)、服务器系统(数据库、网站),而当前网络病毒、黑客、间谍件的攻击对象是企业内部的桌面计算机,如何保护数以千计的计算机安全是很困难的,因为使用桌面计算机的人员大多数是非计算机专业人员,对安全设置、补丁管理认识不足。
3、技术手段限制
目前绝大多数企业或者政府机构,尚未建立起对网络上所有的计算机设备的进行实时安全漏洞监控的管理系统,不能及时发现被攻击的电脑,从而及时提醒或者帮助桌面计算机用户加强计算机的安全设置。
4、资源投入限制
一方面,由于安全、攻击过于频繁,需要保护的对象太多,而企业又不能为保障安全投入无限的资源和费用,使得企业信息部门疲于应付;另一方面,对众多的计算机设备,又很难进行分类安全管理,例如:对不同的部门、不同的人员的桌面计算机采取不同的安全策略和管理策略。
解决之道
美国Carnegie Mellon大学的Internet安全专业研究中心指出:“目前有很多手段可以来解决安全问题,绝大多数的安全攻击事件可以通过预先部署这些安全措施、或修补漏洞等手段来避免。但问题是:发生被攻击事件的用户往往没有部署这些防范措施。”看来,部署一套“安全、可控”的终端安全管理系统成为我们的当务之急。
国际信息系统安全管理最佳实践指南“BS7799”指出,要建立能够持续动态改进的安全管理体系(PDCA模型)。PDCA(“Plan-Do-Check-Act”)模型图如下,其核心思想是要建立一个能够不断发现信息系统中的安全隐患、问题,通过不断的改进、提高,到达保护信息系统安全的这一最终目标。
经过长期的评估和论证,我们最终选择了深圳市联软科技有限公司开发的 LeagView系统来解决。联软依据PDCA模型,在结合众多用户的管理经验基础之上,提出“建立可控的网络安全系统整体解决方案”,研发出了LeagView安全接入管理系统,从管理、技术、评估等多个方面解决大型企业/政府机构所面临的复杂的全面安全管理难题。
可控的网络安全系统整体解决方案内容包括:
1.建立全面的网络接入控制系统
建立外部网络安全接入控制系统,采用防火墙、IDS、IPS、防病毒网关对来自外部网络的访问和信息进行控制。
建立内部网络设备准入控制机制,对直接接入内部网络的计算机设备进行控制。
2.建立分级安全管理体系,实现分级管理
不同安全级别的信息资产采取不同的管理策略
从组织、流程、技术上考虑分级管理问题
3.建立完整的安全管理流程
建立安全评估、事件报警、事件处理、处理跟踪、配置变更、报告流程
将安全管理纳入信息系统的服务管理(ITSM)体系中
4.采取更完善的内部网络安全措施
建立补丁管理系统
加强防病毒、防间谍件措施,加强桌面计算机的安全设置检查
建立网络流量异常分析,异常进程分析系统,尽早、快速发现接入内部网络的异常计算机设备
5.建立集中式的安全操作管理平台
实现高效率安全管理,解决资源不足问题
实现集中安全策略设定、集中维护/监控、集中问题处理
下图是“可控的网络安全系统整体解决方案”组成图,LeagView安全接入管理系统与传统的边界安全接入控制系统、防病毒系统,以及与企业IT服务管理平台一起,构筑成安全控制、安全评估、安全部署系统,实现分级管理和流程管理,构建“可控的网络安全系统”。
方案详述
作为业界领先的“LeagView安全接入管理系统”,是“可控的网络安全系统”中的关键组成部分。LeagView是一个和网络系统紧密集成的桌面管理系统,一方面实现对接入网络的桌面电脑的安全控制,另一方面实现桌面电脑的集中式管理、控制和维护。
LeagView具有很多其他国内、外其他产品所不具备的优势:
大部分桌面电脑管理软件是为了做配置管理而配置管理,与安全方面的结合不太紧密。而LeagView实现了多种不同力度的安全准入控制方式,拥有最完善的准入控制解决方案,让系统管理员根据重要性进行选择。
LeagView以网络准入控制为基础,在补丁包自动升级、主机安全漏洞检查、主机安全加固、防病毒软件强制安装与更新、网络访问控制、网络异常检测、非授权外连、网络行为审计等几个方面加强网络内部的安全性,与防火墙、防病毒软件一起构建成一个完整的网络安全防御体系。
及时发现接入网络中的所有设备
很多桌面电脑管理软件只能发现安装了自身客户端代理的桌面电脑,而不能发现未安装客户端代理的桌面电脑。而LeagView可以发现任何接入网络的设备,不管是否安装了客户端代理。LeagView对设备发现的及时性保证外来电脑、移动电脑接入网络时也能被及时发现并通知系统管理员。
设备快速查找定位
LeagView允许用户依据各种信息对设备进行快速定位,快速查找定位的信息可以是该设备上的任何一项信息;设备快速查找定位既可以用于对设备的定位分析,也可以用于资产统计和定位,例如:可以查找出所有AMD Duron CPU,主频小于2.0GHz的桌面电脑。
完整的配置信息
LeagView不仅能够采集到桌面电脑固定的软硬件配置信息,而且能够进一步获取桌面电脑的网络连接信息、客户端用户信息,LeagView的管理不是孤零零的设备管理,而是结合人的管理。
产品功能高度集成
LeagView为系统管理员提供了管理、维护大批量桌面电脑的多种方法、手段和工具,并且这些功能高度集成。
例如:系统管理员可以定义所有没有安装防病毒软件桌面电脑,如果其位于开放办公室,则限制其上Internet网。对于该类电脑,系统管理员既可以通过LeagView的远程协助功能帮助其安装防病毒软件,也可以定义任务自动帮助其安装该防病毒软件。LeagView可以实现与网络设备、防火墙设备、HTTP服务器、防病毒软件之间的集成与联动,既强化了产品功能,又方便管理员管理、控制桌面电脑。
使用简单、实施方便
LeagView采用Web管理界面,使系统管理员的管理工作不受地理位置限制。LeagView客户端代理即可以通过Web方式安装,又可以有管理员集中推送部署,除去系统管理员手工一台一台机器安装的麻烦,方便实施。
松紧有度、自主定义
许多管理系统对桌面电脑“一管就死、一放就乱”。在许多崇尚自由和创新企业文化的企业/机构,如果对桌面电脑管理过于严格,往往会很难推行下去。
LeagView的许多功能允许系统管理员自主定义,例如管理员可以定义客户端代理是否支持远程协助、远程监控、上网审计、上网过滤等。代理的客户界面、代理的功能描述甚至包括代理的图标均可以由系统管理员自主定义,此外在LeagView各种安全和控制策略中,管理员可以定义其应用范围。
通过自定义代理的功能、安全策略,使得企业可以非常方便地定义对桌面电脑的管理严格程度。
高性价比
LeagView具有桌面电脑资产管理、桌面电脑安全管理、网络准入控制等三个方面的功能,与国外同类产品比较,具有非常高的性能价格比。
全中文web管理界面
联软IT安全运维管理系统支持全中文的WEB管理界面,管理员可以在任何能够联网的地方访问“IT安全运维管理系统”,完成管理维护工作。