（网络窃密、监听和防泄密技术）第18章面向核心内部网络的安全体系设计方案.pptVIP

　　　18.1 背?景?和?需?求 　　内部网络建设的目的，是为了存储和处理敏感信息，为重大事务和决策提供支持，需要经常输入输出各种数据。因此，如果期望通过单纯的物理隔离手段实现防泄密需求，即内网与外界完全不发生任何形式的网络通信行为，通过人工刻录光盘/转移存储介质的手段来交换内外数据，在理论上是安全的，但在实践中却表现出效率低下、可控性差等问题，不仅需要浪费大量光盘资源，增加存储介质管理和人工记录等无谓工作量，还增加了新的泄密隐患，极大影响了正常工作的开展，无法满足大型核心内部网络的业务效能需求，降低了核心内网的应用价值。 18.1.2 基本需求　　面向核心内部网络的安全体系的设计需求包括两大方面的内容：　　1．网络安全防御　　网络安全防御需求设计基于“高效的一体化智能防御能力”构想，力求使网络信息系统在部署软件安全系统、硬件安全设备、安全智能、安全管理平台和安全专家等措施之后，能够实现“全面系统”、“高度协同”、“精确灵敏”、“高效可控”这四个不同阶段的目标能力： 　　① 网络中的任何一个区域、设备、逻辑层次都必须具有一定的防御能力；　　② 网络中的所有组件能够无缝连接，实现信息共享、协同防御；　　③ 精确识别新型威胁，快速、有效地进行反应，并能自动调整和修改完善网络防御态势(包括安全策略、规则、安全级别等)；　　④ 能够针对关键业务的特殊安全需求或应用需求，对安全防御的具体措施、分布、协同方式、策略、重点等，按照分级、分区域、分层次、分对象等多种方式，进行优化配置和控制。 　　网络安全防御方案应能够对企业/机构网络中各区域、各模块、各逻辑层次中的所有对象，包括终端、移动设备、无线设备、网络基础设施、数据中心、内部服务器集群、电子商务、外网连接、远程拨入用户、企业/机构分支(远程)网络、远程数据中心、通信、系统、应用、数据、人员等等，实施全面高效的防御，保证整个企业/机构网络，尤其是关键业务的安全稳定运行。 　　2．敏感数据全程管控　　针对敏感信息的全程管控，必须达到“窃密者进不来—进来了接触不到—接触到了看不懂—看懂了偷不走—偷走了能及时发现和追捕”的水平，具体包括如下内容：　　① 建立统一安全管理的计算机和用户认证系统，只有经过认证的计算机才能接入业务网络中，只有经过认证的用户才能使用业务网络中的合法计算机终端。　　② 建立统一安全管理的计算机终端安全管理体系，对计算机的资源进行有效的集中管理，包括计算机的外设控制、网络控制和应用程序控制，并提供详细的审计信息。 　　③ 建立统一安全管理的数据存储、使用和交换的安全保密环境，数据的存储和传输必须是经过加密的。此外，数据的使用和传输范围需要得到有效的范围控制，不能随意传输出指定的使用范围。　　④ 遵循分域分级管理的原则，将计算机划分到不同的保密子网，从而区分业务系统计算机和其他内部单位的横向业务。 　18.2 核心设计思想　　18.2.1 数据在“云”中　　许多典型的核心内部网络在设计上都采用了类P2P的架构，普通终端具有太高权限，如图18-1所示，双向箭头表示“敏感信息可以发生流动的路径”，该架构具有两大特点：　　(1) 敏感信息分散存储。敏感信息存储位置不定，在操作终端存储器、数据中心、服务器集群以及其他存储介质中都有可能因为业务流程等原因存储着大量不同密级的敏感信息。　　(2) 在网络策略未实施有效隔离的情况下，彼此信任的内网单元之间，包括各终端、数据中心及服务器，可任意交换敏感信息，同时对信息流动过程缺乏有效的监督和控制机制。 　　作为必须受到严密保护的对象，任何敏感信息在内网中发生泄露都意味着防御体系存在重大缺陷。目前对于任何类型的存储处理敏感信息的单个计算机设备，只要其防御能力低于某个水平，黑客都有办法瘫痪其防御措施，完成泄密工作。　　因此，对于典型的核心内网，其泄密风险来源于敏感信息分布的不确定性和低可控性，每个具有敏感信息存储和交换能力的单元都存在发生泄密事件的可能，其数量越多，网络可能发生泄密的总体概率越大。如果要保证这类网络的高等级安全性，机构必须投入巨资，制定严格的管理制度并配属警卫力量，对每一处设备都实施全面严密的技术和管理制度保护，实施难度极大。 图18-1 典型内部网络数据分布模型 　　为克服典型核心内网在设计上的弊端，在本章设计的新型安全体系方案中将应用“云计算”及“云安全”模型，在“云”中实现对所有敏感信息全生命周期的管理、应用、实时监视和强力控制。敏感信息的存储、管理、使用和输入/输出三个功能分别集中于数量确定、严密防御并实施详细监察审计的“云内关键模块”中，缩小泄密可能发生的区域、时间和方式等的范围，使整个内网所面临的威胁和泄密发生的可能性都成为可以准确预测和控制的因素