军工企业内网安全策略可视化管理解决方案


一、需求背景 


当前,军民融合已上升至国家战略,“十三五”期间将得到大力推进,国有军工企业发展迎来重大机遇,同时也将面临来自民营企业的有力竞争。在加快技术创新步伐的同时,发展数字化及信息化制造是国有军工企业加快实现工业化和现代化的必然选择。


国有军工企业既承担了国家经济建设的任务,又背负着军队装备研制、生产的重要使命。网络安全不仅关系到企业自身安全,更关系到国家安全,信息化与网络安全必须要做到协调一致、齐头并进。


二、需求分析


军工企业内网承载着大量的涉密信息系统,必须依据国家保密标准《涉及国家秘密的信息系统分级保护技术要求》确定系统等级,按照不同等级进行安全域划分,不同的安全域设定不同安全保护策略,不同的安全域间、业务系统间、用户组间设置严格的网络访问控制策略, 防止信息泄露。


网络访问控制策略是军工企业网络安全的基础,是整个安全防御体系的第一道防线。然而,军工企业网络访问控制策略管理大都是基于人工、静态的方式,现有的网络管理系统与安全管理系统无法对网络访问控制策略所定义的安全域与安全访问路径进行感知、分析与展示,网络访问控制策略管理维护工作复杂、效率低,且容易造成安全风险,具体表现在以下几个方面:


1. 大量的网络访问控制策略构成了不同的安全域、业务系统与用户间复杂的访问控制关系与访问路径,人工分析的方式无法从全局角度的对网络访问控制策略进行分析,容易出现策略宽松、路径冗余等问题,从而造成非授权访问的风险。


2. 网络访问控制策略的新增、变更、废止全生命周期管理缺少有效的技术手段,随着管理人员的变化与策略的不断调整,网络访问控制策略条数逐年增加,策略冗余、错误与无效的问题普遍存在,一方面影响设备的运行效率,另一方面有可能造成安全访问控制漏洞。


3. 策略的实际配置是否客观的实现了网络访问控制策略基线的设定目标只能通过人工方式确认核查,在策略数量多、网络规模大的场景下容易出现错误,并且没能够实现对策略基线的动态监控,当发生策略基线变更或策略基线违规等情况时,不能直观告警,随着虚拟化与云计算技术的引入,重要信息系统的安全边界与访问路径变得更不可见,以上问题将变得更加突出。


三、解决方案


针对军工企业内网网络访问控制策略管理的需求,安博通提出了安全策略可视化管理解决方案,通过部署安博通自主研发的安全策略可视化平台,对军工企业内网防火墙、路由器、交换机等设备的网络访问控制策略进行集中采集、解析、分析与可视化展示,帮助军工企业实现网络访问控制策略的可视化与精细化管理,收敛网络访问控制权限,落地最小特权原则,在缩小网络攻击面的同时,大幅提升网络访问控制策略管理的效率。


 blob.png


方案部署模式极其简单,不影响现网结构与网络转发路径:


 blob.png


四、方案功能与价值


 安全域基础架构可视化


实现网络中防火墙、路由器、交换机等设备安全策略信息的自动提取与解析,其中包括对数据安全产生影响的路由信息、访问控制策略、NAT策略,并运用可视化技术,实现网络安全域基础架构与访问关系的可视化分析与展示。


安全路径可视化分析与查询


结合业务流程、应用架构、数据架构等现状,分析各核心业务系统关键数据的合规访问基线策略,实现在安全域基础架构图层分析与展示基于业务的合规路径,预警网络风险,实现核心业务攻击面的可视化分析,为用户缩小网络系统攻击面提供依据。


策略基线矩阵设定与监控


通过针对行业用户网络安全策略体系与业务系统分析,建立安全域间的安全策略矩阵、系统间的安全策略矩阵、用户与系统间的安全策略矩阵,实现安全策略合规矩阵的可视化管理,并通过对合规基线持续监测,实现违反策略基线行为的自动可视化告警。


 blob.png


策略挖掘与优化


挖掘“屏蔽策略”、“冗余策略”、“无效策略”与“可合并策略“优化策略配置。


blob.png


访问控制策略生命周期管理


结合工作流与用户权限,实现访问控制策略变更申请、分析、设计、验证与审批全生命周期管理。

 

blob.png