根据国网公司“双网双机、分区分域、等级防护、多层防御”的信息安全总体防护策略,切实加强网络与信息安全保障工作,加强信息系统“分区、分域、分级”建设,鞍山供电公司已初步完成了双网隔离建设,将信息内网与外网进行有效隔离。为了使已知的业务风险可控,需要在公司信息外网布署安全审计系统,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,以一致的、条理清晰的方式组织有限的网络资源,有效监控业务系统访问行为或敏感信息传播,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求。
计算机信息安全可通过信息安全体系结构模型来反映计算机信息系统安全需求和体系结构的共性要素,即安全手段、系统单元及国际标准化组织(ISO)制定的开放系统互连参考模型(OSI)。
安全审计系统(Security Audit System)是在一个特定企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。对于任何一个安全体系来说,审计追查手段必不可少。
同时,根据安全模型 P2DR 理论,网络信息系统在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)、检测工具(如漏洞评估、入侵检测等系统)的同时,必须通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到"最安全"和"最低风险"的状态。
鞍山供电公司于2009年完成了国网公司统一布署的双网隔离建设,覆盖范围包括:公司本部大楼,营销裙楼,综合楼等办公楼。互联网总出为100M宽带,核心层至接入层铺设光纤通道,配置可网管的网络交换机,其中核心交换机安装在本部大楼信息中心机房,接入层交换机安装在各接入层分支节点。
省公司本部以及每个子公司分别部署一台网康NSICG设备,进行分布管理,有效地帮助用户管理上网行为,管控策略包括:
1、通过总部的集中管理服务器和日志服务器,管理各地部署的所有设备。监测各分支设备运行状态,强制性策略分级下发、以保障公司所有单位均满足国家政策法规的上网管理要求。
2、通过NSICG的URL预分类库、关键字过滤技术,过滤病毒、违反法律等非法信息。对于外发非法内容,基于关键字拦截,增强内部控制机制。
3、通过应用流量管理、屏蔽非法应用(主要为P2P和P2P streaming类协议)增大带宽有效利用率,提高访问速度,提高员工工作效率;定义并保障关键业务流的带宽;保障视频会议等业务应用的顺畅。
4、开启网络防护报警功能,对异常的流量进行自动管控,以实现网络无人值守时的自我防护,保障互联网出口带宽的畅通。
5、对部分出口带宽较小的分支机构,开启Web缓存功能,加速Web访问速度。
网康互联网控制网关以旁路方式接入到XXX的网络中,对XXX内部员工的互联网上网行为进行审计。
网康互联网控制网关具有自己的技术特色。细粒度的网络内容安全审计可对网站访问、邮件收发、远程终端访问、数据库访问、论坛发帖等进行关键信息监测、还原;全面的网络行为安全审计可对网络行为,如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P 下载、网络游戏等,提供全面的行为监控,方便事后追查取证;综合流量分析安全审计可对网络流量进行综合分析,为网络带宽资源的管理提供可靠策略支持,因此,通过传统安全手段与安全审计技术相结合,在功能上互相协调、补充,或可构建一个立体的安全保障管理体系。
本次布署实施信息外网安全审计系统,实施方案完善、合理,改进措施技术先进,实施过程中做到了统一指挥、安全管理,公司信息外网的可靠性得到提高,网络性能明显改善,网络的可管理性和对网络病毒的防御能力得到增强,取得了很好的效果。
首先满足了国家法规及信息安全达标的要求。国家82号令要求上网企业至少保留60天的上网记录,国资委要求关系国计民生的重点企业,其信息化建设必须满足对应的等级保护要求。开启审计策略后,大量的内容信息有了全面的日志。设备长期运行,获得详尽的互联网活动审计日志,能够记录用户的所有上网行为,为改变网络环境提供了有效的数据。并能基于此记录,统计分析出内网的总体现状,用户、应用的行为模型一目了然。
其次避免了因访问非法网站带来的法律风险。有些员工利用内部网络访问反动、色情、违反法律等网站,给企业带来很大的法律风险。通过强大的URL分类数据库,对大量的高风险类网站和娱乐类网站进行封堵,有效过滤与工作无关的网址。高风险和不良信息网站被禁止访问,大大降低了病毒、蠕虫的感染机率。业务数据的保密性得到保障,通过企业网外发信息进行审计(包括POST审计和邮件审计),来保证企业内部信息外发的安全。
第三递进式统计查找功能,方便快速定位问题,保障了业务正常运行。在华电网络使用高峰时,互联网带宽几乎被占满,并且网络中充斥着大量病毒、攻击,伪造IP等,对外不断发起连接并大量发包(尤其是小字节数据包),造成的网络中断事故时有发生,关键业务流量无法保证,异常流量无法有效定位,员工经常抱怨网页打不开,办公系统无法正常运转。异常流量、异常IP被监控,随时报警功能让网络安全事故得以及时解除。迅雷、bt、电驴、在线视频等流量被有效地控制,带宽资源得到合理分配,关键业务不再受到影响,最大化体现带宽价值,用户能够明显看出总带宽流量在平滑,优化,网页图片打开速度明显变快。