【IT168 专稿】从去年开始，中国UTM市场就出现了“井喷”，增长率超过80%。用户对UTM产品的认知度和美誉度经历了一波大的“触底反弹”，很多企业已经开始认可将UTM产品作为解决网络边界安全的首选产品。事实上，从功能的专业性而言，UTM完全可以满足这些行业用户的需求。

    为了应对各种安全风险，保障公安网络及其信息资源的安全，四川省公安选用了启明星辰的全系安全产品来为其提供全面可靠的安全保障。

    安全域的划分

    根据IATF的纵深防御思想和IA原则，并结合四川省公安信息网络的实际情况，启明星辰对整个网络进行了安全域划分：将整个网络划分为边界接入域、计算环境域、网络设施域和支撑设施域四个安全域（如图1），每个安全域又分为不同的安全区，譬如根据接入的现状，将边界接入域划分为外联网接入区、内部接入区、内联网接入区和边界接入平台四个不同的接入区。

图1 IATF安全域模型

    在这四个安全域中，所面临的风险和风险的危害程度是各不相同的，因此防护的重点也不一样，需要根据每个安全域的特点，制定相应的安全策略，部署相应的安全产品。

    边界接入域：网络边界的综合安全防护

    边界接入域所面临的主要威胁包括非授权访问，来自外部的入侵、蠕虫病毒等，因此在边界接入域上需要采取访问控制（防火墙）、安全远程接入（VPN）、防病毒和网络入侵防御等多种安全防护措施，全面应对网络安全风险。

图2：边界接入域外联接入区的安全部署

    针对边界接入域的防护需求，在边界接入域各接入区的边界位置部署天清汉马USG一体化安全网关提供综合的安全防御（如图2）。

    天清汉马USG一体化安全网关是国内领先的UTM产品，市场份额在07、08年连续两年位居国内厂商之首。天清汉马USG除具备防火墙的状态检测和访问控制功能外，还具备VPN、网关防病毒、网络入侵防御（IPS）、抗拒绝服务（DoS）攻击等高级安全特性，能够为网络边界提供立体化的纵深防御，并大大简化网络边界的安全部署。天清汉马USG采用了高性能的硬件架构和一体化的软件设计，在开启多种安全防护特性之后，仍然能够确保高性能和低延迟，可谓是边界防御的理想之选。

    计算环境域：核心业务的安全防御和合规保障

    计算环境域包含了公安信息网中核心的业务平台和业务服务器，其所面临的主要威胁是外界对应用系统的攻击和入侵行为，尤其是SQL注入攻击和跨站脚本（XSS）攻击对Web业务系统所带来的严重危害；另外，针对内部人员越权、滥用、操作失误和抵赖等行为所带来的安全风险，也需要进行积极的防范。

图3：计算环境域服务器区的安全部署

    以核心计算域核心服务器区的防护为例，针对外部的攻击和入侵行为，通过部署千兆天清NDP入侵防御系统（IPS）来提供深层防御（如图3）。天清IPS可以防御传统防火墙发现不了的4-7层深层攻击行为，如缓冲溢出、木马后门、蠕虫病毒等，能够进一步提升对关键业务和数据的防御能力。针对日益泛滥的SQL注入攻击、跨站脚本攻击等Web攻击行为，天清IPS采用了攻击机理分析的检测技术，同传统的基于数据特征匹配和基于异常模型构建的检测方式相比，基于攻击机理分析的检测技术有着更低的漏报率和误报率，能够对Web攻击行为进行精确的判断和阻断，不会因为误警而影响网络的正常应用。

    针对内部合规审计和管理的需求，通过部署启明星辰天玥网络安全审计系统，做到对重要数据库和关键业务应用的行为审计。天玥网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报，能够帮助用户实现事前规划预防，事中实时监控和违规响应，事后合规报告和追踪回放，从而加强内外部网络行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。

    网络设施域：网络行为和流量监控

    网络设施域内的各种网络设备，承载着公安信息网内所有的业务和通信流量，面临着漏洞利用、数据窃听、通信链路故障等风险。除了通过各种措施保证备和链路的可靠性，还需要对网络中的各种安全事件、网络流量的分布情况进行监测，并根据监测到的信息来及时调整安全策略。

图4：网络基础设施域的安全部署

    针对网络设施域的防护需求，在信息网的核心交换机上旁路部署天阗入侵检测系统（IDS），来对全网的安全事件和流量信息进行监控（图4）。

    启明星辰的天阗IDS连续六年（2003-2008年）蝉联IDS市场业内知名，是名副其实的中国IT安全市场入侵检测知名品牌。天阗IDS可以监视端口扫描、木马后门攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件，并在发生严重入侵事件时通过屏幕提示、邮件告警、E-mail告警等多种方式向管理员提供报警；天阗IDS还可以对全网的流量情况进行全局分析，提供实时的流量统计图，帮助网络管理员直观的掌握网络中各种应用的分布情况。

    支撑设施域：脆弱性评估和内网安全

    支撑设施域范围很广，包含了信息网中所使用的业务应用运维系统、公秘钥体系、安全管理体系等各种支撑体系。支撑域所面临的风险主要有两方面，一是支撑域中的各种终端、网络设备、服务器可能会存在漏洞和脆弱性，这些漏洞和脆弱性能够被不法分子利用来进入内部网络，非法获取内部信息资产；另一方面则来自于内部人员，员工的不规范操作、终端随意接入、权限私自共享等行为，往往会导致传输泄密、网络瘫痪、文件破坏等严重后果。

图5：支撑设施域管理运维区的安全部署

    对于资产的脆弱性风险，通过在支撑域中部署天镜脆弱性扫描和管理系统，可以快速发现网络中的各种资产，并对资产进行识别；对网络中的核心服务器、各种终端、重要的网络设备，包括服务器、交换机等进行安全漏洞检测和分析；对于发现的漏洞，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而帮助客户在弱点全面评估的基础上实现安全自主掌控。

    对于内部人员风险，通过在业务和运维终端上部署天珣内网风险控制和安全管理系统，能够对全网的接入主机进行补丁自动分发和终端合规检查，杜绝不安全的终端接入内网；使用天珣独有的内核加密技术，可实时动态加解密，以及基于用户角色的关键数据受控共享，结合完善的防非法外联技术，能够有效切断数据非法传播途径，从根本上解决数据防泄密问题，保护用户关键信息资产。支撑设施管理运维区的安全部署如图5所示。

    利用这个安全体系，不仅可以有效地阻挡病毒、黑客等恶意攻击，而且还可以通过一体化的日志审计系统，及时掌握网络的安全状况和安全等级，适时地做出有效的防御方法。