电力行业安全审计解决方案 - 无锡做网站,无锡网站制作(建设),无锡网站优化(SEO推广),无锡网络公司-无锡众鼎软件科技有限公司
 
  • ope体育平台制作
  • ope体育平台套餐
  • ope体育平台建设须知
  • ope体育平台方案
  • ope体育平台推广
  • SEO优化
  • 海外推广
  • 搜索引擎推广
  • 推广软件
  • 高端摄影
  • 成功案例
  • 机械设备
  • 纺织皮革
  • 饮食餐饮
  • 电器机电
  • 五金制品
  • 化工化学
  • 环保节能
  • 交通运输
  • 服装服饰
  • 装饰家居
  • 电子数码
  • 文化教育
  • 农林牧渔
  • 运动休闲
  • 企业管理
  • 冶金矿产
  • 精密模具
  • 网络架设
  • 网上商城
  • 电子政务
  • 其他
  • 域名主机
  • 虚拟主机
  • 数据库
  • 域名注册
  • 企业邮局
  • 众鼎资讯
  • 公司新闻
  • 行业资讯
  • 技术支持
  • 建站知识
  • ope体育平台优化
  • ope体育平台解决方案
  • 主机知识
  • 域名知识
  • 联系我们
  • 联系信息
  • 地图指示
  • ope体育平台解决方案

    电力行业安全审计解决方案

    2012-11-20 14:21:05 点击数:

    第一节 方案提出的背景

    1.   政府的政策法规:2006年3月1日,《中华人民共和国公安部第82号部长令》提到,为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益,根据《计算机信息网络国际联网安全保护管理办法》,制定本规定。根据规定所称互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法,使用单位依照规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。
     
    2.   随着公司Internet带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在企业网络使用情况的中发现,非法使用邮件、浏览非法Webope体育平台、下载音乐、电影等数字文件,或者在线观看收听流媒体的员工正在增加,令网络管理者头疼不已。
    互联网使用,尤其是不加监管的互联网使用却逐渐成为这些组织的效率杀手,甚至给这
    些组织带来一些不必要的麻烦。主要表现有以下几种:
    l  上班时间浏览与工作无关信息
    有关统计资料显示,企业员工平均每天有三分之一的上班时间是在网上浏览与工作无关信息;在员工从互联网下载各种信息中,只有25%的下载信息与其所从事的工作有关。企业缺乏有效的上网管理手段,将会导致企业的工作效率下降,这是与企业上网的初衷相违背的。
    l  给企业带来法律纠纷
    跟据国家相关法律的规定,在互联网上发布淫秽信息与及迷信、反动、分裂等言论均为违法行为,有些企业员工滥用公司的互联网进行了上述行为,将把企业拖进复杂的、难以脱身的法律纠纷当中。
    l  网络带宽的滥用阻碍了正常业务使用
    在一些上网用户比较多的企业中,有些用户不停地下载大容量的文件或者在线听音乐、看视频电影,这些行为都会严重占用网络带宽,造成网络堵塞,上网速度下降,影响其他员工的正常上网行为,使重要的网络业务无法得到有效的保障。
    l  通过互联网使企业的机密信息外泄
    由于互联网访问的方便性与匿名性,加上电子信息复制的快捷简易,使得企业内部用户通过互联网有意,或无意地泄露企业的机密信息非常方便并且难于追查和取证。这对企业参与公平的竞争威胁巨大。
    l  外来设备非法接入及管理
    由于笔记本电脑的使用日渐频繁,员工经常使用自己的笔记本电脑接入专网中,存在严重的使用隐患。对非法接入的机器进行管理,势在必行。
    l  互联网的滥用带来安全隐患
    互联网中存在大量的恶意站点,黑客、木马工具,病毒程序等,不加限制地访问这些站点、使用这些工具,会给企业带来安全隐患,影响企业网络的正常使用。
    如何对互联网的使用进行规范,提高互联网使用效率,同时避免对互联网使用的不良影响,关系到各机构的整体竞争力,是各机构在信息化建设过程中非常关键的一环。
    网络安全不仅仅来自企业的外部,企业的内部网络安全越来越得到重视,对网络的控制和监管对高速发展的xx企业已经是迫在眉睫的事情了。
     

    第二节 目前xx电力网络安全的现状分析

    电力企业的自身需要:
    需求分析 
    电力系统分为供电和电厂两部分,电厂网络通常分为办公网与生产网,两者是采用物理隔离。我们主要关注的是办公网(供电办公网应用与电厂办公网一样),电力的特点是在其办公网只允许一部分机器上网,出现的问题是:
    l  一部分员工更改IP地址上网。
    l  上网的非法应用非常多且难以管理,管理部门无法对本单位员工的上网行为进行统计、分析并制定出相应策略。
    l  根据公安部82令要求,电力单位要对非法上网带来的涉及法律及政治问题的追查提供日志作为依据。
    l  由于安全建设等级的提高,对于内部上网安全审计与健康体检,保证内部企业上网的安全性 
    [解决方案]
    l  上网行为管理系统通过上网行为监控与分析,对上网用户的上网行为、即时流量进行统计与分析,并通过丰富的日志、报表为管理部门及监管单位提供依据。
     
     


    第二章 任天行安全审计系统整体的部署方案

    第一节 安全建设总体目标

    Xx电力网络安全建设的总体目标用12个字概括:“优化网络环境,规范上网行为”。
    “优化网络环境”主要指优化电力业务主干网络环境和公司内部网网络环境,加大公司网络出口(边界)安全,有效防范病毒爆发,提高公司办公信息网的统一监管力度,优化网络安全的管理机制,实现高速上网、放心上网。
    “规范上网行为”主要指在有限人员编制的情况下,加强员工上网行为管理与监控,实现文明上网、安全上网。

    第二节 网络安全审计的部署需求

    通过安装互联网安全审计系统可以实现对整个公司用户上网行为的管理和监控,并把所有的上网行为以日志形式记录下来供网络管理员查询分析,并且通过安装互联网安全审计系统还可以过滤不良信息,净化公司网环境。

    第三节 任天行安全审计系统部署方案

    1、   方案说明
    Xx电力在网络安全审计系统建设方案中,需要对上网用户的网络行为进行审计,对不良信息进行屏蔽,需要保留用户上网日志至少60天。
        客户网络分为办公网和生产网,办公网及生产网物理隔离,我们主要对办公网进行管理。
       
    2、   网络部署拓扑图
    任天行网络安全审计设备接入方式为旁路监听方式,只需将任天行设备的监测网络接口接到交换机镜像端口上,通讯网络接口接入到空闲交换机的普通端口即可进行网络审计和信息过滤。
     
    整体拓扑如下:

    第四节 任天行安全审计系统功能概述

    l  实时封堵互联网不良信息
    系统实时拦截任何访问不良站点的网络行为,并返回警告页面信息给用户端。
    l  实时封堵即时通讯及网络游戏
    系统实时控制用户端进行QQ、MSN、ICQ、YahooMessenger通讯及文件传输的网络行为。
    l  P2P下载及下载文件类型控制
    由于终端客户机上网时可能下载一些与工作内容无关的大数据量的文件,比如AVI、MPEG等文件,这些文件在下载时极大地影响了整体的网络速度。网络管理者可以控制是否允许P2P下载、定义可以下载的文件类型,以确保正常的网络速度。比如:“电驴”和“BT软件”。
    l  URL地址关键字过滤
    根据上网请求URL之中的关键字进行智能模糊匹配过滤,与关键字匹配的网址将被限制访问。
    l  收发邮件控制
    可以设置WEBMAIL邮箱的URL控制列表,以实现禁止使用指定的WEBMAIL收发邮件。
    可以设置POP3、SMTP协议的邮件服务器控制列表,通过选择只封堵或只开放该列表中的邮件服务器来实现对收发邮件的控制。
    l  局域网内机器管理和帐号管理
    可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理;还可以设定部分或全部机器须用帐号上网,通过对帐号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。
    l  全面直观的网络控制策略
    管理人员可以根据实际需要实现灵活的网络控制策略,包括对全局、机器组、帐号组进行网络控制策略设置,以满足部分小组对网络使用的特殊需要。
    l  IP与MAC绑定
    允许您将特定机器或批量机器设置成绑定机器的IP地址和MAC地址。该功能杜绝了改动IP地址就不受控制策略限制的情况。
    l  内容审计功能
    通过设置内容审计条件,可实时获取局域网内用户进行各种网络访问的详细内容,可审计到的项有电子邮件、HTTP网页、TELNET远程登录、FTP文件传输、MSN及Yahoo Messenger即时通讯、网上发贴,此外,可通过设置源IP地址来进行以上各项的内容审计。
    l  实时查看上网情况
    可实时查看当天流量情况,查看正在进行网络活动的用户及活动情况,以获知当前网络流量比较大的用户及距当前某段时间内上网很活跃的用户。
    l  记录全面的互联网访问信息
    系统通过捕获并分析网络数据包,还原出完整的协议原始信息,并准确记录网络访问的关键信息。分析协议包括HTTP、HTTPS、SMTP、POP3、TELNET、FTP、QQ、MSN、OICQ等。日志记录保存在产品自身的存储设备中,用户可自行设定日志保留的月数及磁盘限额。
    l  代理模块功能
    w  可以实时监视和记录局域网上各个计算机上的屏幕快照;
    w  可以将所有计算机的屏幕快照归档保存,能方便快速查阅和回放所保存的历史记录;
    w  可以记录所有计算机各项应用程序运行的情况,并能产生统计图表让管理者查看用户的工作情况;
    w  阻止计算机运行某些指定的应用程序;
    w  记录用户对各种文档的操作;
    w  启用/禁用系统的外部硬件设备;
    l  日志备份与恢复
    可以通过将记录上传至指定的FTP服务器来备份日志。备份的方式有自动备份和临时手工备份。当因异常导致系统日志数据丢失时,还可从备份服务器中恢复以前的日志数据到系统中。
    l  丰富的日志报表和趋势分析图
    系统提供各种上网活动的排名、统计、趋势分析图。可对分组、对人员进行网络活动排名,对访问资源进行统计,对各网络活动进行访问趋势分析。
    l  自定义封堵站点及报表
    用户可自行设置需要封堵或策略控制的站点列表,还可选择各种报表输出和显示图样,以满足个性化需求。
    l  用户权限及角色管理功能
    任天行安全审计系统系统管理体系基于多用户多角色的设计模式,系统初始内置三种不同权限的角色,系统管理员、外发数据管理员、普通用户。系统管理员可执行任天行安全审计系统所有功能;外发数据管理员只能查看审计的内容;普通用户只能使用简单的数据查询功能。
    用户可以根据自己的管理状况,设置适合自己的角色,不同的角色可以设置有不同的权限,同时可以定义角色能够管理的审计对象(组)的范围。
    如按照公司的行政管理模式设置公司管理员、部门管理员,公司管理员可以管理整个公司的审计对象、查看整个公司的审计信息,部门管理员只能管理本部门的审计对象、查看本部门的审计信息。
    审计对象:任天行安全审计系统所指的审计对象是指任天行安全审计系统逻辑上能够审计的计算机,任天行安全审计系统可以设置多级组管理审计对象,并且在任天行安全审计系统内部可以按照多种方式来表示审计对象、并根据设定的策略规则进行报警和处置。
    查询记录可导出为TXT、HTML、EXCEL等格式。
    报表可以导出为TXT、HTML、EXCEL等格式;
     

    第三章 任天行安全审计系统整体方案的设计优势

    第一节 产品核心技术

    高性能的捕包机制
    系统采用旁路监听技术,无需改变现有网络结构和其它系统设置,对网络速度没有任何影响。采用具有自主知识产品的核心捕包技术,在操作系统级对底层分析引擎进行了修改和全面优化,并且对硬件的驱动程序进行了改造,大大提高了系统的数据捕获和处理能力,使系统在高数据带宽下的性能比采用WINDOWS和LINUX系统下流行开源代码完成数据捕获的网络内容分析产品性能高出一倍以上。
    高效数据还原技术
    系统利用网络侦听技术实现数据捕获,采用高效的并行协议还原算法将原始数据还原至网络层、传输层及应用层数据。能够还原分析的应用层协议要求有:FTP、TELNET、SMTP、POP3 、HTTP,MSN,YAHOOMESSENGER,游戏等。
    高效的过滤引擎
    采用URL过滤技术。过滤引擎接收传送过来的HTTP访问请求数据包,将HTTP访问请求与用户的静态或动态策略进行实时对比,判断用户是否具有该URL的访问权限;如为非法访问,则向用户发送屏蔽页面,阻断用户访问,同时记录控制范围内的用户所有的HTTP访问行为。URL网址过滤数据库可以自动进行更新。过滤引擎处理能力强,可扩展性高。
    有效的应用封堵技术
    基于旁路监听的设备由于并非串接在网络中,所以在封堵许多网络应用时,不能象网关型串接设备那样,简单地判断出包的应用类型后把包丢弃即可,而是通过发送伪造数据包以打断真实的通讯。这要求发送的伪造数据包足够真实,达到乱真的效果,同时速度很快,远在真实的数据包返回前,即已欺骗成功,打断了原有的网络通讯。任天行充分准确分析各种应用协议,解包,组包都在几毫秒以内,能有效地封堵现流行的各种网络应用。
    高效的关键字分析技术
    采用了高效的匹配算法,完成对内容关键字的匹配,提高过滤文件的效率。过滤文件的时间与文件的长短成正比。使得只需对内容扫描一遍,就可匹配完所有设定的关键字。通过该算法保证了系统可以配置足够多的关键字表达式,保证了系统关键字匹配的性能。
    高可用性的界面设计
    系统的用户操作全部通过浏览器方式完成,而这种B/S模式的用户界面存在以下优点:
    1、 对用户环境没有任何特殊要求,无须用户为满足产品使用进行任何环境的改变;
    2、 B/S结构模式的数据处理过程全部在服务器端完成,不会增加管理主机系统负载。
    通过超链接的作用,对数据记录的浏览能够实现非常灵活的跳转,用户可以在浏览过程中任意切换到关联内容中,通过这个特性,用户可以很容易的发现各种类型报警或者统计数据之间的关联性,从而更全面和深入地了解审计事件;
    自身安全性设计
    1)加密的数据通道
    系统使用SSL加密技术来确保系统在各个工作环节中所有的传输数据的安全性。这主要在三个方面:一、用户登陆管理界面时,我们使用SSL技术为用户建立一条加密通道,保证用户帐号,口令不被窃听;二、在任天行与管理中心平台进行通信连接时,采用SSL强加密算法对传输数据进行加密,确保传输数据在传输过程中不会被窃听、篡改或者伪造;
    2)防暴力攻击
    为了防止黑客采用暴力方法猜测用户账号和密码,我们采用图形校验码验证,且当连续3次尝试登陆失败,系统自动锁住一段时间的方法阻止暴力攻击。
    3)隐藏自身的IP地址
    系统的所有探测端口均屏蔽了自身的IP地址,使攻击者无法通过探测端口对任天行网络安全管理系统进行扫描和攻击,确保系统自身的安全性。
    4)采用多级用户管理
    在系统界面访问中,为了确保不会出现越权访问和操作,我们将提供灵活的权限分配机制,系统管理员可以灵活的为不同性质的用户自定义权限,不同用户具有不同权限,用户之间彼此制约,相互监督,确保系统操作的安全性。
    5)支持双因子认证
    提供可选模块webkey功能。

    第二节 审计协议丰富、内容审计功能强大

    任天行安全审计系统可以对基于各类标准协议如HTTP、HTTPS、SMTP、POP3、TELNET、FTP、WebMail、BBS、BT、EMULE、Lotus Notes、MSN、QQ、ICQ、Yahoo Message、AOL message、新浪UC、网易泡泡、搜Q、UU通、E话通、小蜜蜂、IMU、卡萌、Google Talk、Skype、WebChat、网页短信、Media Player、Real Player、QQ Live、PP live、联众在线游戏、中国游戏中心、边锋网络游戏、密传、 海天英雄传、 凯旋、 骑士、征服、天堂、三国演义、远航游戏中心、QQ网络游戏  浩方网络游戏、茶苑、CS[反恐精英]、热血江湖、问道、星战前夜、圣战、天之炼狱2、魔兽世界、通过Google、Baidu、MSN、Yahoo等搜索引擎进行搜索的关键字协议的行为进行审计。
    任天行安全审计系统能通过SMTP、POP3协议收发的邮件内容及附件进行审计,也可以对通过网页收发的邮件内容及附件进行审计,还可以对通过网页发送的其他数据内容进行审计;对于聊天:任天行安全审计系统能审计通过ICQ、MSN、YAHOO MESSENGER等聊天工具发送的即时信息内容,同时还能审计其他如FTP(等工具)上传文件的文件内容。通过内容关键字的设置,对匹配内容进行报警,并进行相应的阻断、记录。
    在捕包速度上,任天行产品有着绝对的优势,保证了网络出口的所有数据被完整记录和还原。计算机世界报 曾对内容审计产品(其中还包括3家国外知名产品)进行了专业测评:任天行产品表现优异,远远超过了其他产品,在计算机世界报  2005年10月10日 第38、39期 D9 将评测结果公布,标题为:《计算机世界》评测实验室测评:任天行G3000网络处理性能速度惊人,详情也可登陆计算机世界网进行查询http://www2.ccw.com.cn/05/0538/e/0538e04_5.asp

    第三节 内置强大过滤库

    集成国内最全的网页分类过滤库,针对每一类ope体育平台的访问行为进行控制,过滤不良网页;任天行安全审计系统拥有专业的分类URL过滤库,包含400万个站点以上记录。
    同时具备实时自动更新功能。(需要网络的支持)

    第四节 管理策略可精细定制

    l  时间段控制策略
    控制每一种上网行为的时间段,在允许的时间段内对应的上网行为可以正常进行,在禁止的时间段系统对对应的上网行为采用封堵策略;
    l  端口控制策略
    通过封堵指定端口限制对应的上网行为;
    l  网页浏览过滤策略
    网页分类过滤库过滤;
    过滤网页标题含有指定关键字的ope体育平台;
    禁止直接用IP地址访问网页;
    网页POST内容关键字报警;
    网页POST内容关键字封堵;
    l  文件传输控制策略
    限制可传输的文件的大小;
    禁止通过点对点传输工具传输文件;
    禁止下载或上传指定类型的文件;
    l  邮件控制策略
    只允许使用指定的邮件服务器收发邮件;
    定义敏感邮箱地址,禁止发送/接收来自敏感邮箱地址的邮件;
    禁止以WEBMAIL的形式接收/发送邮件;
    敏感邮箱账号报警;
    邮件内容关键字报警;
    邮件地址关键字报警;
    l  游戏、聊天控制策略
    对MSN,ICQ,QQ等聊天行为进行封堵;
    封堵各种常见的网络游戏;
    聊天账号,聊天内容报警;

    第五节 审计对象管理灵活

    自动解析所有审计对象的机器名、获得对象的IP地址、MAC地址;手动绑定审计对象的IP与MAC地址;根据用户组织结构或IP地址分配特点划分不同的审计对象组;系统启动后,对应组里的审计对象将被自动分配到该组中;
    通过使用“使用者”,系统管理员等可以以直观的人名来管理机器等信息;系统管理员可以对审计对象部分信息进行手动修改;系统可以在组中对审计对象进行添加、删除或更改机器组的操作;可以把审计对象分别添加到黑名单与白名单中,并应用不同的审计管理策略;系统可以在全局、本地、审计组以及单个审计对象四个级别部署对应审计控制策略;

    第六节 部署方式多样

    任天行安全审计系统支持单机部署(单探测引擎+数据管理中心);
    任天行安全审计系统同时支持分布式部署(多台任天行安全审计系统+管理中心),适合大型网络,可通过统一的管理中心制定统一的策略和进行管理。

    第七节 辅助功能齐全

    系统升级:可手动或者自动对系统进行升级,升级内容包括:lisence升级、系统模块、过滤库升级等。
    数据自动清除:根据用户设定的数据保留时间和硬盘的利用率进行数据的自动清除。如果用户设定三个月的数据保留时间,系统将清除三个月以前的数据,如果硬盘不能保存三个月的数据,则根据硬盘使用情况进行提前清除,保证系统正常运转。
    数据导出:如果用户需要备份较早的数据,则用户可以在界面上导出较早的数据,此数据的安全性由用户自行维护。
    系统返回原始状态:用户可以把系统设置恢复到出厂的状态。

    第八节 方便用户使用的个性化设置

    用户可以在任天行安全审计系统上自定义封堵提示信息、快捷方式等。满足用户个性化使用的需要。

     

    无锡众鼎软件科技有限公司 版权所有 Copyright © 2011 ICP备案号:苏ICP备102533624号
    电话:0510-66899765 66899763 传真:0510-85741233 网址:www.86tec.com 苏ICP备10220599号