电力业:NBAD内网安全管理方案

概述

电力行业是技术密集和装备密集型产业,其独特的生产与经营方式决定了其信息化发展的模式。由于行业的特殊性,电力行业对IT设备提出了高安全性、高可靠性、高稳定性的要求。各个电力企业已经加快了自己信息化的进程,办公自动化(OA)、MIS系统、电力市场和营销系统、电力调动系统(EMS)、配电管理系统(DMS)、呼叫中心(Call Center)以及电力自动化管理系统已经有不同程度的应用。但是,电力行业和其他行业不同之处是,各个省市独立规划和运作,所以各个省市的电力企业IT系统建设面临着多样性、复杂性。

因此在确保电力企业正常工作和关键业务的安全、高效运行的同时,如何保障上述业务应用的可用性和安全性,这是电力企业在网络管理和运维中亟待解决一大问题。

在越来越依赖于IT系统,同时网络威胁日益增长的今天,电力企业网络管理和操作人员今天都面对一个严峻的挑战和课题,就是怎样在事实上存在各种威胁的网络环境中保证网络安全高效运行。一般而言,电力企业的网络安全管理方面普遍面临以下的问题和挑战:

1、网络威胁防御手段陈旧,无法应对新型网络威胁

现在的网络安全防御体系是由防火墙和IPS来组建的,在当时部署的条件下,是可以满足网络安全管理需要的,但是随着网络攻击技术的不断发展,防火墙和IPS这种基于特征码的传统安全设备,已无法防御新型的无特征的攻击。现阶段,信息中心IT管理员一是无法检测网络中的新型安全威胁,做到防患于未然,二是出现问题后没有手段应对,无计可施。所以在面对新型攻击时,网络安全防御处于不设防的状态,存在很大的安全隐患。

2、应对网络威胁时,防御系统响应速度慢,缺乏主动性

在发现网络攻击时,管理人员通常在查询大量复杂凌乱的安全报告后,仍然无法准确定位问题所在,还需要逐个楼层,逐个房间去检查,解决问题效率低下。

3、网络威胁预防机制存在空白点

中国古代医学说,"善治不病之人为上医",意思是"善于治疗没有发病但已身患疾病的人为水平高的医生",强调了预防的重要性,网络安全管理也是同样的道理,需要一个完善的威胁预防机制。传统网络安全设备只能防御已知的带有特征的威胁,对新型无特征的威胁的防御就成为了现有网络威胁预防机制的一个空白点。

目前用户内网普遍存在的问题

方正管理发现内网中普遍存在以下5个典型问题:

1. 发现内网有部分主机存在网络攻击行为,使内网信息安全面临严重威胁;攻击行为主要是由于主机感染病毒所致,在这些攻击行为中,又以ARP类的攻击对信息安全的危害最大,不仅仅会导致网络访问故障,更有可能导致关键数据被窃取;ARP类的攻击是一种新型的实施精确攻击的网络威胁,通常以破坏信息传递和窃取信息为目的,传统的防火墙和IDS/IPS/UTM等安全手段对于这类威胁完全不起作用。

2. 安全防御过于依赖被动式的特征码检测技术,还有很多新型病毒和未知特征的病毒由于病毒库更新不及时或反病毒厂商尚未发布相应更新,导致现有的基于特征码的安全设备(如:防火墙,IPS等)无法发现,等到发现网络出现问题时,病毒已在内网中泛滥,网络恢复正常要花费很长时间和代价,网络瘫痪造成业务停止带来巨大损失。

3. 发现部分主机存在滥用网络和恶意下载等行为,肆意侵占大量网络资源,造成网络拥堵、时快时慢,并且会严重干扰正常的网络通信和关键业务系统的工作,特别是对视频会议、IP电话等实时性应用的影响巨大,造成语音不畅、视频抖动、马赛克等。

4. 对内网用户身份缺乏统一管理和认证,就象公共安全一样,身份信息的集中统一管理是安全的第一步,也是最重要的一步。没有身份管理就没有真正意义上的安全可言。

5. 缺乏网络异常行为审计,正常的上网行为就象守法公民一样,都会有一定的行为模式,信息安全规范(ISO27001/ISO27002)要求:1)要对网络异常进行实时监控,并进行有效管理;2)要进行网络行为审计,提取日志记录,留存证据。

内网管理解决方案

方正管理是国内内网安全管理的先行者,针对企事业单位的安全管理需求,凭借着强大的研发团队和在安全管理方面近5年多的实践经验,推出业界领先的方正NBAD内网安全管理系统。方正管理致力于为全国网络用户提供先进的内网安全管理解决方案。

为了解决在内网中出现的问题,我们建议在内网中部署方正管理的方正 NBAD内网安全管理系统,该系统易于部署和使用,不改变系统原有的网络结构和配置,不影响网络系统及应用系统的运行性能,为用户提供了强大的安全管理解决方案。

1)内网威胁探测

威胁探测器是一款基于高性能ASIC芯片架构以全线速计算效能达成内网集中式身份管理和攻击抑制的高性能安全设备。内网威胁探测器是工作在7层网络模型中第2层的设备,主要作用是对网络2层的资源(如:MAC地址和IP地址的对应关系)进行管理,防御针对第2层的攻击(如:ARP欺骗)。简单来说,管理好了MAC和IP地址,就管理好了网内用户的身份,进而可以有效的防御2层攻击,自动将其定位并隔离在网络之外。

主要功能:MAC/IP 地址管理

·身份安全管理 – 自动学习网内MAC、IP及使用者计算机名称,快速建立一一对应的网络使用者数据库。加强了网络管理人员(以下简称"管理人员" )对网络使用者的身份安全管理;

·绑定管理 – MAC、IP绑定的网络存取安全策略,以防止网内用户私自攥改IP和MAC地址,造成地址冲突问题和管理问题,避免个人计算机与重要设备、服务器的网络地址冲突给管理人员带来的管理困扰,同时保障重要设备或服务器服务运行;

·数据管理 – 系统支持单条MACIP数据录入,并提供整个数据库的导入、导出、清除等管理服务,增强了管理人员对网络中MACIP数据的管理能力。

异常侦测管理

·IP Scan 扫描侦测 – ARP病毒发作前一般会执行 IP scan扫描,通过对扫描进行侦测,在测试过程中对发现的问题用户进行定位并隔离在网络之外;·

·ARP异常侦测 – 即使ARP病毒已经发作不再执行扫描动作,此功能依然可定位并隔离正在发动ARP攻击的问题用户;

·DNS钓鱼侦测 – 检测用户浏览器是否因感染木马而被劫持。

2)内网威胁分析

内网威胁分析系统是按照信息安全规范ISO27001/27002的精神而推出的,旨在为内网构建一个类似于疾病防控体系一般的威胁防控体系和行为审计系统,工作在7层网络模型中第3层,第4层,主要作用是对网内第3层的数据流量,第4层的使用端口进行收集和分析,根据分析的结果来判断网络是否有异常状况,并能定位和隔离发生异常流量的主机。另外,分析系统还能存储大量的网络行为日志,凡做过必留下痕迹,为日后可能的危机处理提供证据。

主要功能:

流量分析

·用户分析 – 通过一个列表,管理人员可了解网内每个用户流量的大小和在网络中的流量排名,从而找到具有潜在威胁的用户;

·协议分析 – 管理人员对流量排行榜上的某个用户进行协议分析,以了解该用户可能正在使用哪些应用,从而确认是否存在风险;

·实时分析 – 管理人员可以对网内流量进行实时的分析,了解流量传输的最新情况。

异常分析

·侦测网络流量异常,并通过邮件通知管理人员;

·能够侦测已知常见蠕虫病毒,并自动对问题用户进行封锁;

·对于用户进行超流分析,超过规定流量执行封锁并能根据封锁时间设定进行自动解锁。

3)内网威胁管理

内网威胁管理系统是一个网络安全设备管理器,不仅仅用于NBAD内网安全管理系统中功能组件的统一管理和维护,还可以与各种品牌的网络设备互动,进行联合防御。它通过一个单一的网页页面,对分散部署的NBAD安全设备进行管理。在威胁发生时,管理人员只需要查看其提供的威胁报告就能了解网络中发生了哪些问题,而不用忙于在多个设备的管理界面之间不断切换。并且,系统还支持根据事先定义的安全策略并联合其他网络设备自动对威胁采取措施,做到第一时间响应,降低了风险扩大的可能性,同时提高了效率。

主要功能:

集中管理

·集中管理部署在网络中的威胁检测器(Sensor),威胁分析器(Analyzer);

·通过一个单一界面查看、分析、管理网络威胁事件;

智能管理

·发现网络威胁事件后通过预定策略进行自动处理;

·问题解决后,自动恢复封锁主机的网络连接。

联合防御

·攻击源定位,通过查看交换机的CAM表,对攻击源进行定位;

·与其他网络设备进行交互,可实施端口关闭、限速等联合防御措施。

新颖性、先进性和实用性分析

NBAD局域网资源暨威胁管理系统是针对于内网资源及信息安全管理的一整套解决方案,是目前国内唯一通过ASIC硬件架构实现的内网信息安全管理体系架构,秉承ISO27001/27002的基本精神,基于用户现有的网络结构,融和用户先前分散部署的安全设备,帮助用户构建一个主动式的完善的内网信息安全防控体系。其主要特性如下:

·现有安全产品全部采用特征码识别技术,有赖于经常升级特征库,在应对未知(新型)威胁和无特征威胁时(如ARP攻击),起不到任何作用。这些威胁特别是无特征威胁恰恰是内网信息安全最大的安全隐患。现有安全产品在应对这类威胁时力不从心。NBAD解决方案基于全新的异常行为识别模式,在内网构建一个完善的类似于疾病防控体系一般的内网威胁防御体系,特别适合于应对未知的和无特征的威胁。确保网络健康高效运行。

·通过全网IP地址和mac地址的集中身份管理、统一策略,大幅度提升了用户的整体安全管理水平,并解决以往由交换机端口实现的分散身份管理带来的管理混乱的问题,提高了灵活性,大幅提升信息化管理水平。准确的身份管理是信息安全的第一步,也是最重要的一步。

·防御措施全部在网络底层或网络边缘由硬件实现,不需要安装任何客户端软件,不影响现有主机和业务系统的性能。·

·全部产品采用旁接设计,既不会改变用户现有网络结构,也不会对现有的网络设备和应用系统的正常使用造成任何不必要的危害,即便在最极端的设备死机或掉电的情况下,也不会影响用户的网络稳定和其他任何业务的正常使用。

·通过与现有设备的信息交互,能够整合现有设备,实现全网联合防御。

·对网络资源和信息安全进行严格规范的管理,并可生成完善的报表,提供科学的决策依据,进一步提升信息化管理水平。

建立信息安全流程和体系架构是信息安全管理的发展趋势,NBAD局域网资源暨威胁管理系统作为一个创新的体系,能够极大的提高原有设备的效能,对异常行为进行主动干预和自动的规范化处理,变被动防御为主动管理,是用户现有安全体系的重要的、有力的补充。

识别技术对比分析

特征码识别技术的局限性:

·依赖于特征码库的逐条逐包比对,运算量巨大,系统响应速度慢,处理能力有限;

·依赖于特征库的定期升级,如果升级不及时,就将完全失去防御能力;

·适合在网关处部署,不适合在数据量巨大的内网中部署,并且在内网中不易升级病毒库;

·只能被动识别特征库中已经存在的病毒和攻击,对于新出现的病毒和未来可能的威胁无法识别,更无法防御;

·对于无任何病毒特征的攻击行为(如ARP和NDS钓鱼等),没有防范能力。

行为判别技术的特点:

·无需逐包检查,只对网络异常行为进行审计和管理,简单高效;

·无需升级病毒库,使用简便,无需维护;

·强大的数据处理能力,适合全网部署,极大地提高全网安全性;

·主动进行全网异常监测和隔离管理,从网络底层入手主动应对现有及未来的各种威胁;

·特别适合识别各类没有特征的攻击行为。

总结:

药品永远滞后于病毒,非典、禽流感和目前的猪流感再三证明了被动式病毒识别的巨大安全漏洞。相反,在这些新型病毒面前,主动侦测、主动防御的疾病防控体系却成为了公共卫生安全最为重要的保障。信息安全同样如此,建设一个主动的威胁防控体系是至关重要的。而在这个体系中,行为识别技术起到了类似于疾病防控体系中温度感应识别相同的作用,为迅速发现威胁并隔离威胁提供预警。

用户收益分析

网络系统部署方正NBAD内网安全管理解决方案后,可实现的系统功能和用户收益如下:

·方正NBAD Sensor作为已有传统的安全设备(如:防火墙,IPS)的有效补充,基于独有的攻击行为识别技术进行判断,彻底杜绝以前不能解决的各种攻击问题,能够主动并及时解除出现重大泄密事故的隐患,保证内网的安全和稳定;

·同时可对感染新型病毒及使用新型攻击软件的电脑进行有效的自动隔离,避免其影响全网的运行,通过对IP/MAC资源的维护,加强了对内部用户的管理;

·方正NBAD Analyzer对网络的异常流量带宽进行有效的检测和隔离,避免少数人的不当使用造成网络堵塞导致的业务停止事故,对异常行为进行主动干预和自动的规范化处理,能够生成可定制的各种报表供清查问题时的审计工作之用;

·方正NBAD Manager单一平台对全网进行有效监控,24小时不间断工作,能够与原来部署的防火墙、IPS等设备配合进行联合防御,实现检测、阻断、恢复操作自动化,网络安全管理变被动为主动,网络安全等于上了双保险。

·方正NBAD解决方案全线产品全部基于网络旁接设计,既不会改变用户现有网络结构,也不会对现有的网络设备和应用系统的正常使用造成任何不必要的危害,即便在最极端的设备死机或掉电的情况下,也不会影响用户的网络稳定和其他任何业务的正常使用。

结论

通过在现有网络安全体系中增加方正 NBAD内网威胁管理系统,能够有效的检测和防御新型威胁,保证网络的健康高效运行,改善和保障了整体网络应用的服务质量,是之前部署的防火墙、IPS等安全设备的有效补充,最终为网络中的用户提供主动式的、智能化的、可视化的局域网安全管理服务,使得网络管理员能够轻松的预防、防御网络中的威胁,保证自己的网络运行效率,为局域网安全管理提供有力的武器,达到预防能力强、防御全面化、响应速度快的内网信息安全管理的总体目标。