【正文】 在這種大規(guī)模的分布式的部署模式中，對防火墻的關(guān)鍵性的要求主要集中在管理特性上，要求防火墻必須支持完善的集中管理模式，通過統(tǒng)一的管理中心，可以實現(xiàn)對全網(wǎng)部署的防火墻的集中管理，并且可以支持分級管理。流量管理的需求：對于用戶應用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應用的網(wǎng)絡(luò)帶寬，同時應該提供完善的 QOS 機制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。在某個漏洞被發(fā)現(xiàn)后，IPS 能夠在第一時間（即廠商公布安全公告之前）獲得該漏洞的詳細信息，并且利用這一時間差及時制作可以防御該漏洞的數(shù)字疫苗，使得用戶的網(wǎng)絡(luò)免遭這種“零時差攻擊”（Zeroday Attack）。32 / 44IPS 實時更新、發(fā)布的數(shù)字疫苗（DV，Digital Vaccine）是網(wǎng)絡(luò)免疫的保障與基礎(chǔ)。此外，為防止大量的 P2P、IM 流量侵占帶寬，TSE 還支持對 100 多種點到點應用的限速功能，保證關(guān)鍵應用所需的帶寬。 TSE 的核心架構(gòu)由以下部件有機融合而成：? 定制的 ASIC? FPGA(現(xiàn)場可編程門陣列)? 20G 高帶寬背板? 高性能網(wǎng)絡(luò)處理器該核心架構(gòu)提供的大規(guī)模并行處理機制，使得 IPS 對一個報文從 2 層到 7 層所有信息的檢測可以在 215 微秒內(nèi)完成，并且保證處理時間與檢測特征數(shù)量無線性關(guān)系。這種專門設(shè)計的過濾器可應對最大范圍的攻擊和應對最大彈性的規(guī)避。請注意，很多 IPS 的客戶網(wǎng)絡(luò)上都使用了Microsoft RPC DCOM 協(xié)議，所有的客戶都可以通過這一組過濾器來阻擋這種類型的攻擊，沒有誤報，并且不需要管理員進行任何參數(shù)的調(diào)整。在針對應用層的防護我司采用的是國際領(lǐng)先的 IPS 產(chǎn)品來實現(xiàn)。26 / 44. 終端安全防護與行為監(jiān)控總結(jié)在針對薩班斯法案而進行的網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)中，我們可以通過產(chǎn)品的組合實現(xiàn)對用戶行為審計的功能，包括的系統(tǒng)組件如下：? 身份認證系統(tǒng)：CAMES(可以視同認證中間件服務器，同內(nèi)網(wǎng)的域認證、CA認證結(jié)合使用)? 聯(lián)動服務器：防病毒廠商病毒庫升級服務器(瑞星、金山、江民、Symantec)? 系統(tǒng)補丁服務器：微軟 SMS? 日志服務器：Xlog? 網(wǎng)流信息獲取組件：Netscreem通過上述組件的集合，可以實現(xiàn)針對用戶日常上網(wǎng)安全性的保障，同時對于系統(tǒng)內(nèi)部用戶的網(wǎng)絡(luò)行為進行審計，監(jiān)控其訪問內(nèi)容，以及訪問方式等，并通過強認證27 / 44體系將網(wǎng)絡(luò)設(shè)備，主機設(shè)備與個人的網(wǎng)絡(luò)使用行為相結(jié)合，保證審計信息的正確性。如果在 Inter 出口不需要做 NAT 轉(zhuǎn)換，則可以通過 FLOW 格式或 NetStream V5 格式的日志記錄用戶的上網(wǎng)行為。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些 Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果。? 日志記錄包含以下內(nèi)容：開始時間、結(jié)束時間、源 IP 地址、目的 IP 地址、源端口號、目的端口號、協(xié)議類型（目前區(qū)分 TCP、UDP 和 ICMP 三種協(xié)議）、輸入包個數(shù)、輸出包個數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；? 日志記錄包含以下內(nèi)容：開始時間、結(jié)束時間、源 IP 地址、目的 IP 地址、目的端口號、摘要信息（目前支持 HTTP 協(xié)議、FTP 協(xié)議、SMTP 協(xié)議報文）。 日志包含兩種格式日志， 和 。. 強大的日志審計功能用戶行為審計系統(tǒng)可根據(jù)用戶需要，通過各種條件的組合對網(wǎng)絡(luò)日志進行快速分析。. XLOG 日常行為審計XLog 用戶行為審計系統(tǒng)是公司推出的一種高性能、可擴展的網(wǎng)絡(luò)分析系統(tǒng)，通過與多種網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，用來對終端用戶的上網(wǎng)行為進行事后審計，追查用戶的非法網(wǎng)絡(luò)行為，滿足相關(guān)部門對用戶網(wǎng)絡(luò)訪問日志進行審計的硬性要求。23 / 44. 監(jiān)控模式監(jiān)控模式同警告模式的實現(xiàn)流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不會彈出窗口，向用戶提示終端的不合格項。隔離模式要求安全聯(lián)動設(shè)備必須支持動態(tài) ACL 特性，能夠?qū)崟r應用CAMS 安全策略服務器下發(fā)的 ACL 規(guī)格，并應用于用戶連接。3. 其余同接入層準入控制。簡化了客戶端分發(fā)工作。? 隔離區(qū)的設(shè)置、第三方服務器的設(shè)置、CAMS自助服務器和CAMS安全代理服務器的設(shè)置等信息同接入層準入控制。? 使用MA5200F/G 系列設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開啟Portal認證功能。Web 認證同 認證相比，具有應用簡單的優(yōu)勢。. 實施效果實施效果同接入層準入控制相同，但是網(wǎng)絡(luò)改造費用降低、系統(tǒng)部署簡單。尤其是在對用戶原有企業(yè)網(wǎng)絡(luò)進行改造，實施”終端接入安全體系” 解決方案時，可以將原有匯聚層設(shè)備替換為支持”終端接入安全體系”解決方案的匯聚層設(shè)備，實現(xiàn)”終端接入安全體系”解決方案的應用。4. 用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。2. 合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受S30/39/50系列交換機中的ACL控制。如果合格則解除隔離，進入步驟7。18 / 443. CAMS通知接入設(shè)備（S30/39/50系列或其他支持”終端接入安全體系” 解決方案的交換機），將該用戶的訪問權(quán)限限制到隔離區(qū)內(nèi)。? 防病毒服務器（可選）必須部署于隔離區(qū)，可以與補丁服務器、CAMS安全代理共用一臺主機，可以選擇瑞星殺毒軟件2022網(wǎng)絡(luò)版、金山毒霸2022企業(yè)版以及江民KV 2022網(wǎng)絡(luò)版。? CAMS中配置用戶的服務策略、接入策略、安全策略，CAMS驗證用戶身份的合法性，并基于用戶角色（服務）向安全客戶端下發(fā)安全評估策略（如檢查病毒庫版本、補丁安裝情況等），完成身份和安全評估后，由CAMS確定用戶的ACL、VLAN 以及病毒監(jiān)控策略等。. “終端接入安全體系”解決方案的部署. 接入層準入控制將接入層設(shè)備作為安全準入控制點，對試圖接入網(wǎng)絡(luò)的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統(tǒng)補丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等安全威脅在企業(yè)擴散的風險。. 用戶行為監(jiān)控? 終端強制或提醒修復：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動升級）。? 支持匿名認證：安全客戶端和CAMS提供匿名認證用戶，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。? “危險”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(如感染不能殺除的病毒)，CAMS可以在線隔離并通知用戶。當前支持的強AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。? 終端運行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動服務列表等。? 安全客戶端版本檢測：可以檢測安全客戶端H3C Client的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò)。13 / 44用戶終端 安全聯(lián)動設(shè)備 安全策略服務器 修復服務器身份認證請求發(fā)起身份認證R a d i u s / 身份信息R a d i u s / 身份認證成功 ， 下發(fā)隔離 A C L安全認證請求安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補丁等信息 ）安全狀態(tài)不合格 （ 缺少補丁等 ）根據(jù)安全認證結(jié)果 ， 修復系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補丁等信息 ）安全認證成功 ， 下發(fā)監(jiān)控策略R a d i u s / 安全認證成功 ， 下發(fā)工作 A C L安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)具體部署方式如下：在區(qū)域二中部署中心認證服務器一臺，推薦中石油使用基于 CA 證書的認證系統(tǒng)，這樣在安全性會比簡單的用戶名密碼要高；在服務器與客戶端上均部署終端安全認證體系客戶端，保證服務器系統(tǒng)能夠強制進行系統(tǒng)補丁和病毒庫的升級；終端客戶端進行強制病毒庫、系統(tǒng)補丁的升級，在用戶接入網(wǎng)絡(luò)的同時對其日常網(wǎng)絡(luò)使用行為進行監(jiān)控；在終端部署支持 認證的交換設(shè)備與終端用戶認證體系進行聯(lián)動；在區(qū)域二部署日志服務器 XLOG 一臺，進行日常用戶行為訪問的記錄；14 / 44通過用戶終端行為記錄以及網(wǎng)絡(luò)行為監(jiān)控，記錄用戶日常網(wǎng)絡(luò)使用行為，并作為日后審計的依據(jù)。? 安全隔離：不合格的終端將被安全聯(lián)動設(shè)備通過ACL策略限制在隔離區(qū)進行安全修復。. 應用模型. 安全準入應用模型“終端接入安全體系” 解決方案安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網(wǎng)絡(luò)隔離，并幫助終端進行安全修復，以達到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。”終端接入安全體系” 客戶端與補丁客戶端通過微軟提供的 API 接口完成補丁檢查與安全準入的融合。注 2：補丁狀態(tài)檢查是指對接入用戶/端點用戶的計算機進行軟件補丁是否符合安全要求的檢查，檢查不合格時列舉出所有缺少的軟件補丁。10 / 44這個集成方案就被稱為補丁聯(lián)動方案，該方案需要”終端接入安全體系” 與軟件補丁更新服務器協(xié)同工作：軟件補丁更新服務器負責對端點用戶的計算機進行補丁狀態(tài)檢查、判斷是否合格以及不合格時自動更新所缺少的補丁，”終端接入安全體系”則負責決定何時發(fā)起補丁狀態(tài)檢查操作，并負責控制補丁狀態(tài)檢查不合格的端點用戶只能訪問隔離區(qū)內(nèi)的資源，待端點用戶的計算機的補丁狀態(tài)檢查合格后才解除對該用戶計算機的隔離。企業(yè)網(wǎng)中，對系統(tǒng)補丁的管理問題一直難以解決。? 安全策略實施，接收安全策略服務器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復通知與實施（自動或手工升級補丁和病毒庫）等功能。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服務，如提供不同的QoS、ACL、VLAN 等。不論是哪種接入設(shè)備或采用哪種認證方式，安全聯(lián)動設(shè)備均具有以下功能：? 強制網(wǎng)絡(luò)接入終端進行身份認證和安全狀態(tài)評估。網(wǎng)絡(luò)版的防病毒服務器提供病毒庫升級服務，允許防病毒客戶端進行在線升級；補丁服務器則提供系統(tǒng)補丁升級服務，在用戶終端的系統(tǒng)補丁不能滿足安全要求時，用戶終端可連接至補丁服務器進行補丁下載和升級。? 日志審計。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。? 安全策略管理。為達到以上目的，提出了包括檢查——隔離——修復——監(jiān)控的整體解決思路。在終端防護方面我司有專門的安全解決方案“端點準入防御”能夠提供一個全程的安全解決方案。但從根本上來說，公司治理和 IT 治理的問題遲早需要去面對和解決。對于安全審計類要求是會話行為審計，對于網(wǎng)絡(luò)行5 / 44為的審計實際上也是薩班斯法案的一部分，為了避免因為信息而造成的經(jīng)濟損失，日常行為審計成為了企業(yè)尤其是上市公司信息化建設(shè)的重要組成部分對法規(guī)不熟悉、時間短促、內(nèi)控基礎(chǔ)薄弱是中國上市公司面臨的最大問題。針對薩班斯法案不斷細化的規(guī)則和新出臺的指引、準則，中國石化對《內(nèi)部控制手冊》進行更新，修訂了 2022 年版的《內(nèi)部控制手冊》，經(jīng)董事會審議通過，于 2022 年 1 月1 日起正式下發(fā)執(zhí)行。中國石化從 2022 年下半年開始調(diào)研、準備工作，編制內(nèi)控制度，建立統(tǒng)一的內(nèi)控體系。2022 年 10 月，中國石化《內(nèi)部控制手冊》由公司董事會正式審議通過，2022 年 1 月開始在股份公司全面實施。. 薩班斯法案與上市企業(yè)需求概述? 中石油跨全球企業(yè)? 薩班斯法案在美國的中國上市公司開始生效 ? 各國相關(guān)法規(guī)都將越來越嚴格，加強公司治理尤其是 IT 治理將是企業(yè)的根本之道。中石油也不例外，直到 2022 年年初，中石油才開始著手布置薩班斯法案項目。. 中石油終端安全現(xiàn)狀終端安全是個入手簡單，想做好卻很難的工程，這也是這么多年中石油沒有著手建設(shè)這方面的一個重要原因。“終端接入安全體系 ”端點準入防御方案包括兩個重要功能：安全防護和安全監(jiān)控。1. 檢查：? 檢查網(wǎng)絡(luò)接入用戶的身份；? 檢查網(wǎng)絡(luò)接入用戶的訪問權(quán)限；? 檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；2. 隔離：? 隔離非法用戶終端和越權(quán)訪問；? 隔離存在重大安全問題或安全隱患的用戶終端；3. 修復：? 幫助存在安全問題或安全隱患的用戶終端進行安全修復，以便能夠正常使用網(wǎng)絡(luò)；4. 監(jiān)控：? 實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息? 對非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進行定位統(tǒng)計，為網(wǎng)絡(luò)安全管理提供依據(jù)；? 通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。? 安全聯(lián)動控制。安全策略服務器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。目前的”終端接入安全體系”解決方案中，我們的認證體系可以和瑞星、金山、江民、Symantec 等國內(nèi)外大型防病毒廠商產(chǎn)品實現(xiàn)聯(lián)動，同時由于開發(fā)式的系統(tǒng)設(shè)計，我們可以很方便的整合其他的防病毒產(chǎn)品實現(xiàn)全網(wǎng)認證與防病毒體系的完美結(jié)合。? 隔離不符合安全策略的用戶終端。. 安全客戶端H3C 客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：? 、Portal等多種認證方式，可以與 9 / 44S3000、S3500、S5000