信息安全 > 端点安全 > 端点安全方案 >

Symantec企业整体安全解决方案

安全性和产品的可客户化。
  • 易用性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
  • 某用户主要安全风险分析
随着计算机技术的高速发展,某用户基础性的网络建设已经相对成熟。但是在不断引入新的计算机、网络和应用技术的同时,也使得某用户内部的计算机系统日趋庞大复杂,业务形态越来越多,安全形势也日益严重。计算机网络系统的不完善,哪怕是任何缺陷和不安全因素,都将使企业面临巨大的风险,可以说,信息系统安全不再单纯是技术性的问题,而且直接关系到企业的生存和经营竞争的成败。 本节首先分析某用户网络存在的全局性安全问题。

3.1整体业务系统面临的威胁

目前,某用户整个网络的安全问题具有以下显著特征: 1、混合型威胁对业务的影响越来越深刻 混合型威胁整合了病毒传播和黑客攻击的技术,以多种方式进行传播和攻击。混合型威胁不需要人工干预,能够自动发现和利用系统漏洞,并自动对有系统漏洞的计算机进行传播和攻击。同时,混合型威胁传播速度极快,通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强,受感染的系统通常伴随着木马程序种植除了破坏被感染的机器,在传播过程中会形成DDoS攻击,阻塞网络。该类威胁既可影响常见的OA系统,也可影响核心的服务器。 2、缺乏统一有效的安全管理及技术保障体制 为了应对越来越复杂的网络安全环境,某用户在全省、市配备了安全管理人员。但各地的安全管理工作也是由相关人员兼职而非专职。人员的非专业化使得在应对紧急安全事件时,往往显得力不从心,或是过多依赖产品供应商,或是过多依赖系统集成商。同时,在技术保障方面,缺乏对技术人员有效的实战培训。 同时,在安全系统的管理中不可避免的存在以下问题:
  • 多个安全系统共存
一个完整的安全架构是由很多安全产品组成的,但是这些安全产品可能来自不同的厂家,遵循不同的标准,这就给安全产品之间的协同工作带来了很大的问题。
  • 多点管理多个安全产品
由于每个安全产品都是一套独立的系统,一般都是C/S结构的,也会有独立的管理端,这就造成在安全系统中有多个相互管理的管理客户端,造成管理人员要识别不同的安全事件必须奔波在多个管理客户端之间,进行多点管理。
  • 多种安全事件发生点
安全事件不是一个孤立的事件,它实际上是一个连续的过程,如从一个蠕虫病毒的传播来看,它必然先经过防火墙进入网络,然后驻留在某台机器上,再以这台机器为跳板向整个网络传播。实际上这个过程防火墙、入侵检测、防病毒都记录了它传播整个过程中的一个动作,但是作为管理人员来说需要看到的是贯穿这个过程的所有动作。
  • 多种复杂的安全报告
所有的安全产品都有自己的日志记录和报告系统,耗费管理人员大量的精力。 3、面向互联网提供业务缺少必要的保护 某用户的新业务越来越依赖互联网。Internet的开放性带来很多安全问题,如拒绝服务攻击、以面向互联网的业务为跳板攻击内部系统等。 4、业务系统的暴露 众多业务系统暴露在Internet上,而系统本身存在诸多弱点,如系统默认配置、弱口令、各类服务漏洞、木马和后门程序等可能会成为最严重和数量最多的弱点。 5、内部系统不规范访问     某用户建有覆盖全国的组织结构,在管理上通常以省为单位进行管理。理论上各省应该统一Internet的访问出口,但在实际操作过程中,这一点很难做到。这就引起了省级防范措施可能较好,而地市级防范措施较差,安全威胁由防范措施较差的地方引入,进而影响全局的安全防护。 8、安全产品的应用存在很大局限性。 在网络应用最广的就是基本防病毒解决方案,而防病毒软件仅能提供终端设备静态的事后杀毒控制,还远不能适用企业安全发展的需要。并且到目前为止,某用户网络中实现是基本级的终端防病毒解决方案。  
  • 安全威胁分析
安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。 威胁可能是对计算机系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能是偶发的、或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。 安全威胁包括安全威胁来源和安全威胁种类,因此必须对威胁来源和种类进行分析。

3.2.1安全威胁来源

根据前期风险评估结果,确认网络信息系统的安全威胁来源如下表所示:  
威胁来源 威胁来源描述
环境因素、意外事故或故障    由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害;意外事故或由于软件、硬件、数据、通讯线路方面的故障。
无恶意内部人员  内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或被攻击;内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致计算机系统故障或被攻击。
恶意内部人员    不满的或有预谋的内部人员对计算机系统进行恶意破坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
第三方    第三方合作伙伴和供应商,包括电信、移动、证券、税务等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商;包括第三方恶意的和无恶意的行为。
外部人员攻击    外部人员利用计算机系统的脆弱性,对网络和系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。

3.2.2安全威胁种类