“和谐”内网保护神——ProVisa内网安全管理系统
- 2023-08-20 05:04:55
- 来源:互联网
- 在手机上看
扫一扫立即进入手机端
随着网络承载的业务日益丰富,网络的部署也日益复杂和庞大,网络的稳定性和可靠性要求也越来越高。网络从没有像今天一样面临多重安全挑战,为此网络需要由内网安全到边界安全构成整体安全防护体系。
从事故发生根源看,内网安全先于网络边界安全,大多数网络安全事件都是先由内网爆发引起,后影响到网关。但一直以来,大部分人的网络安全防护理念还停留在网关处,如:防火墙,IPS,防毒墙,这些重要的安全设备集中于机房,网络出口,但在这些设备的监控下,互联网的威胁非但没有减少,相反却日渐频繁与复杂。
究其原因,是网络内部的安全一直没有得到重视。如今,网络管理员每日的工作量大多都集中在终端的维护上,如果不对这些终端的系统安全,网络安全进行严格的管理和控制,不对终端的操作行为、网络行为进行规范与审计,这样网络中的安全隐患将完全不可预知和控制。若想使问题从根本上得到缓解,减少安全隐患,降低各种不可控的威胁与意外的频发,以及对员工进行安全规范和操作实现监管,做到明确的人员责任定位,我们就需要在边界防护之前做好准备。
实现内网安全的防护,需要按阶段、系统化的设计与实践,需要从终端接入到应用管理到服务整个环节考虑周全,每一步都需要进行严格的管控和策略规范。ProVisa内网安全管理系统经过5年多的设计和研发,从系统及网络的基本特性,安全事件频发原理,网管员疑难点汇总等用户的实际情况出发,在各种威胁接入网络之前做好充分的准备,形成主动的防御体系,使各种网络威胁在内网毫无可乘之机。
ProVisa整体防护按照以下四个步骤进行设计部署,实现严格的内网安全策略:
第一步:终端入网前的强制安全准入策略。安全准入又分为两个阶段:第一阶段,身份认证。ProVsia采用多种方式有效便捷的对终端的身份进行认证,域认证结合方式,五元素绑定方式,USBKEY多因素绑定方式等多种认证方式确保了认证的准确性,对于不认证的客户端进行及时发现并强制隔离。第二阶段,安全检测。对认证通过的终端进行再次多重安全检测,对终端的安全性进行评估。不符合安全规范的终端将被强制进入修复区,修复完毕后方可正常接入和使用内网或外网。与此同时,对于正常接入网络的终端,ProVisa会为其打上了XX公司XX人员的标记,今后此终端的一切系统行为和网络行为将被详细记录,明确责任定位。
第二步:网络特征绑定和安全性保障。守护好终端的网络安全是守护整体网络安全基础,对于正常接入网络的终端,已经进行第一步实名制的身份绑定和系统安全性检查,已确立了身份和系统安全。第二步,就需要对其的进行网络特征的绑定和网络安全性保障。这需要进行几方面的策略:
l部署统一的终端防火墙策略。解决终端防火墙无法统一管理的难题,解决利用恶意端口传播病毒和网络攻击的可能。
l进行ARP,蠕虫等网络型病毒的防护策略。利用ARP原理及特征分析,主动防御,行为识别等技术。
l异常流量的控制策略。如广播风暴,流量阀值告警。
ProVisa采用以上安全策略,利用中间层驱动技术和启发式分析技术,实现了对网络病毒,内网攻击的有效抑制。特别值得一提的是,ProVisa采用自防御联动系统(Self Protection Association System),可以实时阻断ARP欺骗和各种网络工具的干扰(如:p2p终结者,网络执法官等)。自防御又称主动防御,是目前国际前沿的安全技术,自防御可以针对各种网络型威胁进行预先的行为定义,不需要用恶意程序的特征码来进行阻止。实际上,特征码总是来不及防御各种恶意威胁的新变种,如ARP病毒变种,蠕虫变种,这些病毒类型都可能存在成千上万的变种版本,用特征码防御是不现实的。然而通过分析这些网络型病毒的行为模式,并将这些行为进行识别和阻止,可以从根本上阻止这类威胁的爆发,由根源上杜绝此类攻击的发生。智能联动技术是一项人性化的设计,当用户中了ARP病毒或蠕虫后,ProVisa可以不需要人为干预,自动对中毒终端下发专杀工具,并进行及时查杀。ProVisa自防御联动系统,不仅对复杂多样的网络威胁进行深层次扫描和阻止,而且可以对中毒机器可以进行自动的病毒清除,系统化解决了ARP欺骗,蠕虫爆发等内网难题。
ProVisa的自防御联动系统采用主动防御与智能联动结合技术,对网络病毒、恶意流量、人为误操作、ARP欺骗、IP/MAC地址欺骗、DOS攻击、恶意下载等引起的系统和网络异常起到了根本性的控制,能够迅速侦测出网络出现各种异常。定位出异常点的位置,并且马上做出反应,自动将问题解决。
第三步:上网行为管理。内网的安全得到控制后,对终端互联网的行为也一样需要进行控制。一方面,针对所有P2P软件,在线视频,在线游戏进行控制,可以有效的提高员工生产力,节省互联网出口带宽。另一方面ProVisa针对所有终端的流量,进行实时监控,由于ProVisa是对内网终端系统底层进行监控,所以不论是内网之间的流量,还是内网到外网的流量,都可以精确区分,并支持图表方式显示。此外,ProVisa针对带宽管理还可以设置多级策略:首先,当客户发生流量突增时,可以及时进行警告,当流量超过一定能够阀值时,系统会自动对其进行限制,对于一些过大的异常网络流量还可以采取更严格隔离策略,以保证其他用户正常的网络访问。
第四步:文档安全管理。内网的防护建设齐备后,企业的关键数据或机密文档也需要建立相应的安全管理。ProVisa通过256位内容加密和一次一密的超前加密技术,确保了重要数据及文档进行文档安全性。ProVisa可以保护超过340种格式的文件,支持office、PDF、wps、autocad等文档类型管理及控制插件;支持BMP、JPEG、TIF、GIF 、等图形文件类型;支持Microsoft VC++等各种类型源代码文件;支持HTML、TXT等文件类型。
ProVisa还可以基于用户或用户组设置不同的文档权限,文档所有者可以对被授权者进行只读、打开次数、可打印、打印次数、可编辑、可复制、可另存、文档有效时间、文档有效日期等策略设置,有效的阻断了文档的非法再次传播。优秀的防屏幕捕获技术与精密的文档加密技术相结合,更加有效的防范了关键数据及机密文档的被盗被泄。与此同时,文档所有者还可以实时跟踪文档的被使用情况,通过组合检索方式,了解到电子文档在何时、被何人、做过何种操作。
经过ProVisa四个步骤的安全防御策略,对所有终端进行了严格身份认证及安全检测,对局域网进行了网络特征绑定、主动防御和上网行为策略,对内外网准入和互联网的访问做了精细管控,对关键数据及机密文档进行了有效安全管理,为企业内网面对更多未知威胁做好了充足的准备。ProVisa内网安全管理系统,真正实现了先于网络边界防护的防御体系,使内部网络变得更加可控,即使有来自互联网的威胁进入内网,也不会对内部网络造成任何影响。
目前,国内政府机关、保密部门、科研机构、金融及企事业单位中的网络都具备相当的规模,其自身却存在不容忽视的上述安全风险隐患。针对这些情况,北京网域万通推出了ProVisa网络整体安全防护产品和方案,为政府企业解除内忧外患,为政府企业网络站岗放哨,为政府企业管理保驾护航。