我们身边的第一种常见的安全威胁就是WEB攻击,也就是我们俗称的网页篡改,网页篡改是破坏性非常大的一种黑客活动,越是受关注的、点击率高的网站越容易遭受网页篡改,尤其是一些政治性的网页篡改,往往带来严重的后果
据统计,80%的政府网站曾遭受过网页篡改攻击;仅仅在2010年,中国境内政府网站被篡改数量为4635个,按照比例来算,也就是2010年1/10的中国政府网站被黑;
其中常见的安全威胁就是蠕虫病毒,危害:该病毒的某些变种使用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用。
第二种常见的安全威胁是带宽滥用,其中又以P2P流量滥用最为常见,该流量中经常混杂着蠕虫病毒等不安全因素,轻则影响用户IT系统的使用,重则造成整个系统的瘫痪;并且还会引其版权纠纷;那我们熟知的还有其他很多安全威胁,如钓鱼网站、垃圾邮件等。
从1984年政务网开始逐步建设,时至今日,政务网已经蓬勃发展。应该说外网到现在取得了成绩,但也仍存在一些问题:
1. 部分地区没有正式的外网,仅有过度网,部分地区没有覆盖到地市和区县
2. 上下统一,网络与信息安全保护机制以及运维管理机制,需进一步加强
这些问题直接影响到中央政务部门跨地区业务的顺利开展,制约了国家政务外网整体效能的发挥,因此发改委和财政部联合发文加快推荐外网相关方面的建设,新的政策导向要求,网络进一步拉通、业务应用逐步开通、政务安全的要求也逐步细化。
但受限于信息化技术水平的限制,电子政务外网安全方面存在各种各样的问题,在区县级电子政务外网更为严重,比如说:网络的随意接入、区县政府对于安全防护体系存在如下不足:防护理念不足、防护技术不足、防护措施不足、防护规范不足、防护能力不足。
那在这种需求和背景下,H3C提出了基于“融合”理念的解决之道,如图:
我们看到,一个完整的IT系统安全包括桌面安全、网络安全、应用安全和数据安全;华三通过对网络的深刻理解,创新型的提出了终端与网络融合、安全与管理融合以及网络与安全融合三方面的融合之道;那下面我们来看一下融合之道的第一个内容:终端与网络的融合;
华三是通过一套名叫EAD的准入控制系统来做到终端与网络融合的,首先,当一台终端发出接入到网络中的请求时,EAD会对其要求进行身份认证,如果是非法用户,则直接拒绝入网,这样就解决了内网随意接入的问题;其次,当终端通过了身份认证后,只是一个合法用户,还不是一个合格用户,EAD会对终端要求进行安全认证,确保有无安全隐患或是否符合安全策略,如果安全不合格,则直接打入到隔离区;只有当经过了安全认证的终端,才有资格访问在权限之内的内网资源;并且EAD配合用户行为审计组件,对用户的上网行为进行记录和监控,以便日后审计;这样就保证了只有合法的,本身合规的用户、主机才可以接入政府内网;
融合之道的第二个内容是多层次的安全防护融合;我们知道,网络中的安全威胁是来自多方位的,并且每隔一段时间都有新的威胁出现,单一功能的安全设备无法防御所有的威胁,必须采用多类型安全设备进行立体防护;
在这里,我们一般采用FW+IPS的组合来实现2~7层的立体防护,FW工作在2~4层,主要抵御网络层的安全威胁;IPS工作在4~7层,能够精确识别并阻断网络中木马、蠕虫、病毒等攻击,并能对网络中P2P、FTP流量限速,对突发可疑流量进行控制,主要抵御应用层的安全威胁,这样经过FW和IPS的组合防御后,才能保证进入到政务网中的流量是安全可靠的;
如果是在政务3~4级市场,用户预算不足或规模较小,我们可以采用部署UTM+相应特征库的方式来达到同样的效果;
融合之道第三个内容是特性融合;华三是一个网络安全综合厂商,可以把很多安全特性融入到基础网络设备中去,比如ACL、QOS、DDOS攻击防范, ARP攻击防范等;在一定程度上简化网络结构,保护用户投资;这点是单纯做网络或单纯做安全的厂家无法做到的;
融合之道第四个内容是硬件融合;当我们将政务网中的安全逐步加固时,会发现网络中逐渐出现了新的问题,如网络中各种设备越来越多、结构越来越复杂、单点故障越来越多,并且网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难,管理工作越来越繁琐麻烦,在这种背景下,华三首先提出了“网络安全一体化”的理念,这种部署方式有如下几个优势:一是将原有的多级级联网络结构扁平化成单级或二级,简化网络结构和管理难度;二是降低单点故障,增强整个系统的稳定性;三是性能上支持未来平滑扩展;
其次,华三实现了安全设备集中管理,通过部署统一安全管理平台对网络中所有安全设备进行管理,包括配置文件及软件、上传及分发、设备WEB配置等内容;
除了设备管理统一管理之外,统一安全管理平台还可对全网中安全设备的策略进行统一部署,如安全策略的收集、定制和分发,对安全设备上的安全策略符合度进行审核,能实时、全面地了解全网安全状况。