交换机集中配置管理

为消除信息安全短板,提升整体安全管理水平,计划在现有网络环境下提升交换机基础安全防护级别,通过部署网络边界基础管理系统,实现接入层交换机可管可控、通信状况统一监测,以巩固提高公司基础网络安全防护水平。
对所有交换机品牌与型号信息统计分类,梳理清楚接入层交换机具体规模;制定录入配置模版,通过在网络边界基础管理系统按类型向交换机远程分发配置命令;实时提取交换机当前配置信息;审计操作和分发过程;对不同账户实行不同的权限控制。
自动采集接入层边界运行状态及发生的事件并集中分析展示,将原本模糊的网络运维工作通过图形化的方式直观地展现给信息管理部门,协助管理人员掌握内网边界发生的安全事件,建立标准化、规范化的处置流程,实现统一管理的目标。
实施和运维过程自动化程度较高,系统兼容性强,系统实施维护工作简单,易于日常管理运维;
功能切实可行,监测方式满足实际运维需求,对于服务器及交换机监测方法具有针对性,解决问题的方法彻底有效;
安装使用方便,采用静默安装及卸载方式,特别是对关键服务器无影响。

地址管理

影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害较大的因素。现实中,许多网络应用是基于IP的,比如流量统计、账号控制、网络权限控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,没有上网权限的人把自己所用电脑的IP地址更改为有权限上网的IP地址,可能导致网络上传输的数据就可能被破坏、甚至盗用;局域网发生IP地址冲突,影响合法用户的正常使用;规避或影响各项安全管理系统的正常审计等。
IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行违规IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),已将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出违规盗用者。防止网络中用户通过违规途径进入和使用网络,盗用网络资源。
现有绑定工作基于各级信息人员上报信息和管理员对交换机检查完成,中间部分环节需要完善与提高。建议在发现设备阶段通过程序自动检测实现,提高时效性和准确性;控制设备阶段通过网页操作完成,提高工作效率、降低运维成本和使用门槛,同时提供全面的审计信息,规范操作行为;检查各级运维人员工作成果阶段通过集中展示,对关键指标进行分析判定完成情况。

办公网财务计算机基础安全提升

各单位可通过终端安全软件及时监测预警终端存在的安全隐患,对终端用户安全状态进行统计,提高了公司终端安全防护能力。财务办公计算机管理方式和防护标准应高于一般性质的设备,“永恒之蓝”等后门漏洞所产生的危害和造成的影响较为严重,如财务计算机出现中毒和扩散情况,将对公司的日常运行产生重大影响。油田公司财务科信息中心缺少针对财务计算机及所在网络统一管理和监测的技术手段,现有系统数据不能集中分析,运行状态不能及时获取,只能被动参与运维和事件处置工作。
为消除信息安全短板,提升整体安全管理水平,计划在现有网络环境下提升财务计算机基础安全防护级别,通过技术手段实现财务交换机可管可控、计算机统一监测,以巩固提高公司财务部门计算机安全防护水平。
部署网络边界基础管理平台和终端软件运行监测系统,通过网络与终端管理技术的结合,实现所有交换机100%支持管控、接入设备100%发现和物理定位、安全软件100%安装运行升级。
1、优化了基础网络环境,将接入层交换机纳入边界管理系统做统一监测,对交换机的实施管控。2、强化软件安装行为管理,实现了安全软件100%安装,100%运行。3、完善软硬件资产统计在网资产全部发现和统计是开展违规行为治理工作的前提条件。4、监测边界运行状态,集中监测资产统计信息变化,监测全网接入层交换机通信状态,在资产统计工作基础上,自动监测和控制网络边界使用,限制未知设备由边界进入网络。

交换机管理

明确内部网络边界位置等同于明确管理范围,建立清晰的内网管理边界,管理接合点是控制边界进出的唯一途径,构筑网络边界城墙,是有效掌握边界范围、控制边界向外扩展的唯一技术手段。需要在信息内网建立接入设备的唯一身份标识,建立内网接入设备的身份识别库,同时监测私接网络行为,发现后立即报警、定位、处置。

厘清边界:将网内所有的接入交换机纳入管理,发现并管理之前不在管理范围内的交换机,保证网络边界管理无死角。
守护边界:梳理网内的无线路由和私接交换机,并逐步清理,保证网络边界不被随意扩展。
管住边界:保证违规行为及时阻止并及时隔离不合规设备,实现违规设备不入网,在网设备违规及时发现并强制离网。
提升高内网桌管软件注册率
杜绝违规外联事件发生。

 

隐形边界的发现和治理

隐形边界特指可能随时导致形成网络出入口的设备或终端,常见途径包括违规使用不受控的HUB、小路由器入网,终端使用智能手机、3G上网卡、随身WiFi等设备的行为,尤其终端使用新型入网设备,具有涉及范围广,设备种类繁多,一种技术难以对所有联网行为有效等特点,因而造成网络边界任意扩大且不受控,一旦连接建立成功,则对内网构成极大威胁。城强科技生产的网络边界安全防护系统,能够在交换机与内网终端两个位置同时开展治理隐形网络工作。

交换机集中配置管理

为消除信息安全短板,提升整体安全管理水平,计划在现有网络环境下提升交换机基础安全防护级别,通过部署网络边界基础管理系统,实现接入层交换机可管可控、通信状况统一监测,以巩固提高公司基础网络安全防护水平。
对所有交换机品牌与型号信息统计分类,梳理清楚接入层交换机具体规模;制定录入配置模版,通过在网络边界基础管理系统按类型向交换机远程分发配置命令;实时提取交换机当前配置信息;审计操作和分发过程;对不同账户实行不同的权限控制。
自动采集接入层边界运行状态及发生的事件并集中分析展示,将原本模糊的网络运维工作通过图形化的方式直观地展现给信息管理部门,协助管理人员掌握内网边界发生的安全事件,建立标准化、规范化的处置流程,实现统一管理的目标。
实施和运维过程自动化程度较高,系统兼容性强,系统实施维护工作简单,易于日常管理运维;
功能切实可行,监测方式满足实际运维需求,对于服务器及交换机监测方法具有针对性,解决问题的方法彻底有效;
安装使用方便,采用静默安装及卸载方式,特别是对关键服务器无影响。

交换机管理

厘清边界:将网内所有的接入交换机纳入管理,发现并管理之前不在管理范围内的交换机,保证网络边界管理无死角。
守护边界:梳理网内的无线路由和私接交换机,并逐步清理,保证网络边界不被随意扩展。
管住边界:保证违规行为及时阻止并及时隔离不合规设备,实现违规设备不入网,在网设备违规及时发现并强制离网。
提升高内网桌管软件注册率
杜绝违规外联事件发生。

IP/MAC绑定管理

IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行违规IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),已将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出违规盗用者。防止网络中用户通过违规途径进入和使用网络,盗用网络资源。为了防止资源浪费和地址违规使用,采用IP/MAC绑定功能,系统可通过页面直接对需要的IP/MAC进行绑定以及解绑、绑空等操作,并对规定时间内的数据进行统计展示,形成报表模式。系统中的IP/MAC绑定功能大大的提高了中石化在地址上的管理,并在人工成本上大大缩减。

交换机集中管理

厘清边界:将网内所有的接入交换机纳入管理,发现并管理之前不在管理范围内的交换机,保证网络边界管理无死角。
守护边界:梳理网内的无线路由和交换机的接入,并逐步清理,保证网络边界不被随意扩展。
管住边界:保证违规行为及时阻止并及时隔离不合规设备,实现违规设备不入网,在网设备违规及时发现并强制离网。

地址管理

影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害较大的因素。现实中,许多网络应用是基于IP的,比如流量统计、账号控制、网络权限控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,没有上网权限的人把自己所用电脑的IP地址更改为有权限上网的IP地址,可能导致网络上传输的数据就可能被破坏、甚至盗用;局域网发生IP地址冲突,影响合法用户的正常使用;规避或影响各项安全管理系统的正常审计等。
IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行违规IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),已将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出违规盗用者。防止网络中用户通过违规途径进入和使用网络,盗用网络资源。
现有绑定工作基于各级信息人员上报信息和管理员对交换机检查完成,中间部分环节需要完善与提高。建议在发现设备阶段通过程序自动检测实现,提高时效性和准确性;控制设备阶段通过网页操作完成,提高工作效率、降低运维成本和使用门槛,同时提供全面的审计信息,规范操作行为;检查各级运维人员工作成果阶段通过集中展示,对关键指标进行分析判定完成情况。

交换机管理

厘清边界:将网内所有的接入交换机纳入管理,发现并管理之前不在管理范围内的交换机,保证网络边界管理无死角。
守护边界:梳理网内的无线路由和交换机的接入,并逐步清理,保证网络边界不被随意扩展。
管住边界:保证违规行为及时阻止并及时隔离不合规设备,实现违规设备不入网,在网设备违规及时发现并强制离网。
管住所有空闲端口:对网内近30%端口进行实时监控,阻止外来陌生设备随意接入内网,建立内网设备入网流程