中铁行包快递公司企业网络安全应用案例
作者: CBISMB
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2007-05-09 15:51
关键字: 物流,网络安全
浏览: 0
点赞: 0
收藏: 0
用户背景
对于中铁行包快递有限责任公司企业网络(以下简称中铁网络)的信息化部门来说,保证信息网络的安全畅通,早已不仅仅是信息部门自己的事。信息化、网络化已经成为现代物流企业的核心,并且是区别传统物流和现代物流企业的分水岭,因此,从某种程度上来看,保护好物流企业的信息系统,也就是保护了企业未来的核心竞争力。
然而,整个网络安全防护体系的建设,却并不是想象中那么简单。据参与该项目建设的工程师介绍:中铁行包整个信息网络系统相对比较复杂和分散,由行包营业部计算机管理系统、按路局划分的14个行包区域中心(建立在行包分公司)、全国行包中心系统(建立行包总公司及铁道部)三级构成,覆盖行包公司所有行包营业部的计算机,其中包括:建立行包公司所辖的68个行包营业部;在全路14个行包管理分公司;行包总公司;铁道部信息技术中心。
可以想象,如此庞大和分散的一个网络,在病毒的安全防护上存在相当大的挑战。据中铁公司系统运维部的负责人刘先生介绍,由于没有统一的管理系统,当网络中的某些主机“中毒”时,往往只能临时选用“解毒药”,采购一些单机版的杀毒软件进行查杀,如果不行就再换一种。参与项目建设的技术负责人回忆道:“去年年初,当我初次接触到这个项目时,在不同的网络终端上,看到的是各种各样品牌的杀毒软件,在加上同一品牌的不同版本,真称得上是琳琅满目、五花八门。”
用户需求
首先,由于中铁网络节点太多,且分布较散,要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过控制台方式实现远程异地管理远程防病毒软件,监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)。能实现病毒集中报警,准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动,协同管理工作。
其次,整个网络体系缺少全网病毒代码统一自动更新功能。构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。对于中铁网络这样分散多端点的企业来说,这一点尤为重要。
第三,防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识,应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。原来的中铁网络缺少完善的安全制度和安全培训机制,而单机版、多样化的反病毒方式,也不可能获得专业厂商的培训支持。
最后,由于网络中关键部位缺少防护,比如在Internet出口等进出网络的关键部位没有部署相关的防病毒模块,也没有制定相关的防护措施,来自Internet的病毒可以毫无阻碍地进入中铁企业网络;此外,在电子邮件网关上,目前很多病毒以邮件上压缩的附件方式进入内联网,而中铁企业在邮件网关上目前也没有部署相关防病毒插件。
技术解决方案
赛门铁克提出了以Symantec Client Security(以下简称SCS)产品为核心的解决方案,该方案结合了集成化防护、先进的主动防御技术和各种安全功能,使包括远程用户在内的联网客户端免受攻击,同时也减轻了协同运作上的问题。
和普通单一的防病毒软件相比,SCS集成了防病毒、客户端防火墙和入侵检测三种功能, 而且这三个功能模块之间可以相互连动,如当防病毒模块或入侵检测模块检测到病毒流量和入侵行为时,SCS可以自动配置客户端防火墙,通过客户端防火墙自动阻挡病毒和入侵行为,御敌于大门之外,使得整体的防御更加牢不可破。
对于各种已知和未知混合型的威胁,赛门铁克从“主动防御、主动响应”的观点出发,在SCS中加入了特有的“通用漏洞利用阻截技术”和“行为阻截技术”,使得SCS在不打补丁的情况下(虽然我们强烈建议及时安装最新的补丁程序)也可以有效防范未知的病毒和安全威胁。
除了这些安全防护上独特的技术优势外,SCS在个人隐私控制和管理方面也令人称道,例如SCS可以防止计算机中的个人隐私包括敏感信息、个人信息、机密信息等重要信息的泄露,同时也可以防止网络中其他人员或恶意程序通过各种方法窃取计算机中重要信息或非法植入木马。在管理方面,SCS可以通过统一的管理平台管理所有的安全策略(包括AV、IDS、客户端防火墙的策略)。让管理人员不再疲于应对。所有这些,使得SCS成为应对目前混合式威胁不断蔓延的最佳“对症良药”。
具体来看,在新的网络防病毒体系中,防病毒机制实现一级单位、二级单位、三级单位三级管理,在三级网络中分别部署防病毒服务器,原则上三级单位只部署客户端防病毒产品,由所属的二级分发管理。
一级单位设立全网的根服务器,承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作;一级单位和二级单位分别部署一级服务器,作为自己所在局域网络的防病毒管理控制台,一级管理控制台管理一级单位内部所有防病毒产品、二级管理控制台除了管理所在二级单位的防病毒产品外还管理下属所有三级的防病毒服务器;三级单位部署防病毒服务器,接受二级控制台的管理,承担所在三级单位的软件分发、升级和病毒防护策略的分发。
其中两级控制主要体现在:一级控制台承担全网的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作,一级单位具备接管二级单位防病毒管理工作的能力。一级单位负责二级单位被隔离文件的提交和返回相应的病毒定义码和扫描引擎。一级单位具备通过二级单位广域网的病毒管理服务器进行集中监控和管理的能力,在必要时可以直接管理二级单位的病毒管理服务器;二级控制台承担的防病产品升级工作,除了管理所在二级的防病毒产品外还管理下属三级单位的防病毒服务器。
三级管理主要体现在:一级管理、二级管理和三级管理分别负责本地局域网络的防病毒系统日常维护工作。同时进行网络防病毒状态的监控和对病毒事件做出相应的响应。根据职能设定的不同,还可包括日志文件的维护,报表管理和报警管理等职能。
应用效果
有了这样一套完整易用的端点安全防护体系,不仅令中铁网络在频发的病毒威胁面前安然无惧,更为其在未来以信息化为主的业务竞争创造了致胜先机。
据用户信息化部门的负责人介绍:选择最专业和最知名的厂商,不仅是为了选择更好的技术或更好的产品,更重要的是,通过前一段时间应用杀毒软件让他们认识到,安全产品不同于普通IT产品,真正的价值并不在于产品本身,而是随后的专业化服务与应急响应。一些相对较小的品牌虽然价格也相对便宜,但在管理、服务、培训、维护等方面却存在缺陷,而这种缺陷在构筑信息安全的一体化防线时,无疑是致命的。
在接触了赛门铁克的技术人员之后,原有的一些困惑开始逐渐清晰起来。按照赛门铁克的观点,“刮骨疗毒”和“固本培元”并不是非此即彼的矛盾,只要能够抓住关键环节,梳理好体系建设的“层次”,就完全可以做到鱼与熊掌兼得。
对于中铁行包快递有限责任公司企业网络(以下简称中铁网络)的信息化部门来说,保证信息网络的安全畅通,早已不仅仅是信息部门自己的事。信息化、网络化已经成为现代物流企业的核心,并且是区别传统物流和现代物流企业的分水岭,因此,从某种程度上来看,保护好物流企业的信息系统,也就是保护了企业未来的核心竞争力。
然而,整个网络安全防护体系的建设,却并不是想象中那么简单。据参与该项目建设的工程师介绍:中铁行包整个信息网络系统相对比较复杂和分散,由行包营业部计算机管理系统、按路局划分的14个行包区域中心(建立在行包分公司)、全国行包中心系统(建立行包总公司及铁道部)三级构成,覆盖行包公司所有行包营业部的计算机,其中包括:建立行包公司所辖的68个行包营业部;在全路14个行包管理分公司;行包总公司;铁道部信息技术中心。
可以想象,如此庞大和分散的一个网络,在病毒的安全防护上存在相当大的挑战。据中铁公司系统运维部的负责人刘先生介绍,由于没有统一的管理系统,当网络中的某些主机“中毒”时,往往只能临时选用“解毒药”,采购一些单机版的杀毒软件进行查杀,如果不行就再换一种。参与项目建设的技术负责人回忆道:“去年年初,当我初次接触到这个项目时,在不同的网络终端上,看到的是各种各样品牌的杀毒软件,在加上同一品牌的不同版本,真称得上是琳琅满目、五花八门。”
用户需求
首先,由于中铁网络节点太多,且分布较散,要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过控制台方式实现远程异地管理远程防病毒软件,监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)。能实现病毒集中报警,准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动,协同管理工作。
其次,整个网络体系缺少全网病毒代码统一自动更新功能。构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。对于中铁网络这样分散多端点的企业来说,这一点尤为重要。
第三,防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识,应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。原来的中铁网络缺少完善的安全制度和安全培训机制,而单机版、多样化的反病毒方式,也不可能获得专业厂商的培训支持。
最后,由于网络中关键部位缺少防护,比如在Internet出口等进出网络的关键部位没有部署相关的防病毒模块,也没有制定相关的防护措施,来自Internet的病毒可以毫无阻碍地进入中铁企业网络;此外,在电子邮件网关上,目前很多病毒以邮件上压缩的附件方式进入内联网,而中铁企业在邮件网关上目前也没有部署相关防病毒插件。
技术解决方案
赛门铁克提出了以Symantec Client Security(以下简称SCS)产品为核心的解决方案,该方案结合了集成化防护、先进的主动防御技术和各种安全功能,使包括远程用户在内的联网客户端免受攻击,同时也减轻了协同运作上的问题。
和普通单一的防病毒软件相比,SCS集成了防病毒、客户端防火墙和入侵检测三种功能, 而且这三个功能模块之间可以相互连动,如当防病毒模块或入侵检测模块检测到病毒流量和入侵行为时,SCS可以自动配置客户端防火墙,通过客户端防火墙自动阻挡病毒和入侵行为,御敌于大门之外,使得整体的防御更加牢不可破。
对于各种已知和未知混合型的威胁,赛门铁克从“主动防御、主动响应”的观点出发,在SCS中加入了特有的“通用漏洞利用阻截技术”和“行为阻截技术”,使得SCS在不打补丁的情况下(虽然我们强烈建议及时安装最新的补丁程序)也可以有效防范未知的病毒和安全威胁。
除了这些安全防护上独特的技术优势外,SCS在个人隐私控制和管理方面也令人称道,例如SCS可以防止计算机中的个人隐私包括敏感信息、个人信息、机密信息等重要信息的泄露,同时也可以防止网络中其他人员或恶意程序通过各种方法窃取计算机中重要信息或非法植入木马。在管理方面,SCS可以通过统一的管理平台管理所有的安全策略(包括AV、IDS、客户端防火墙的策略)。让管理人员不再疲于应对。所有这些,使得SCS成为应对目前混合式威胁不断蔓延的最佳“对症良药”。
具体来看,在新的网络防病毒体系中,防病毒机制实现一级单位、二级单位、三级单位三级管理,在三级网络中分别部署防病毒服务器,原则上三级单位只部署客户端防病毒产品,由所属的二级分发管理。
一级单位设立全网的根服务器,承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作;一级单位和二级单位分别部署一级服务器,作为自己所在局域网络的防病毒管理控制台,一级管理控制台管理一级单位内部所有防病毒产品、二级管理控制台除了管理所在二级单位的防病毒产品外还管理下属所有三级的防病毒服务器;三级单位部署防病毒服务器,接受二级控制台的管理,承担所在三级单位的软件分发、升级和病毒防护策略的分发。
其中两级控制主要体现在:一级控制台承担全网的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作,一级单位具备接管二级单位防病毒管理工作的能力。一级单位负责二级单位被隔离文件的提交和返回相应的病毒定义码和扫描引擎。一级单位具备通过二级单位广域网的病毒管理服务器进行集中监控和管理的能力,在必要时可以直接管理二级单位的病毒管理服务器;二级控制台承担的防病产品升级工作,除了管理所在二级的防病毒产品外还管理下属三级单位的防病毒服务器。
三级管理主要体现在:一级管理、二级管理和三级管理分别负责本地局域网络的防病毒系统日常维护工作。同时进行网络防病毒状态的监控和对病毒事件做出相应的响应。根据职能设定的不同,还可包括日志文件的维护,报表管理和报警管理等职能。
应用效果
有了这样一套完整易用的端点安全防护体系,不仅令中铁网络在频发的病毒威胁面前安然无惧,更为其在未来以信息化为主的业务竞争创造了致胜先机。
据用户信息化部门的负责人介绍:选择最专业和最知名的厂商,不仅是为了选择更好的技术或更好的产品,更重要的是,通过前一段时间应用杀毒软件让他们认识到,安全产品不同于普通IT产品,真正的价值并不在于产品本身,而是随后的专业化服务与应急响应。一些相对较小的品牌虽然价格也相对便宜,但在管理、服务、培训、维护等方面却存在缺陷,而这种缺陷在构筑信息安全的一体化防线时,无疑是致命的。
在接触了赛门铁克的技术人员之后,原有的一些困惑开始逐渐清晰起来。按照赛门铁克的观点,“刮骨疗毒”和“固本培元”并不是非此即彼的矛盾,只要能够抓住关键环节,梳理好体系建设的“层次”,就完全可以做到鱼与熊掌兼得。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。
