新泽西州政府利用基于Protego CS-MARS的思科安全防御解决方案
新泽西州政府用Protego CS-MARS企业威胁防御设备加强其安全措施,改进网络可用性、威胁响应能力和网络安全状态
挑战
确保机构和部门网络的可访问性和完整性
针对安全威胁采取及时准确的对策
隔离受到感染的网络成员,提供具体的安全事件信息
以最低限度的成本和中断时间防范和制止攻击
改进安全措施并保存相关文档
解决方案
利用现有的思科基础设施和独立安全解决方案,保护不同的机构间和部门级网络的接入点和应用
Protego CS-MARS可以通过汇总和关联独立的安全事件,发现威胁并减少误报
CS-MARS可以通过集成网络信息验证安全事件和提供完整的攻击信息及事件细节
CS-MARS可以提供内置的定制规则、报告和趋势功能
CS-MARS的操作人员可以轻松地向思科交换机、路由器和IDS发出防御命令,从而防范、控制或者制止攻击。
获益
最大限度地延长网络和系统的正常运行时间
迅速针对未知的、复杂的攻击和网络治理异常采取对策
经济有效地加强安全治理和运营
立即隔离发生故障的站点,避免影响网络中的其他成员
简化调查、审核、解决和报告流程
履行国土安全职责
网络安全和国土安全防御
联邦和州的网络安全和国土防御计划都针对如何为州、联邦部门和机构选择、区分和保护要害基础设施和资源制定一项国家级政策提供了指导原则。这个目标需要联邦、州和地方政府,以及私营机构之间开展密切的合作,共同采取措施减少安全漏洞/损失并提高响应能力和/永续性。
国土安全法案要求政府机构之间共享安全信息和资源。联邦信息安全治理法案(FISMA)规定所有联邦机构的信息系统都满足国家科学技术研究所(NIST)在系统治理、操作控制和技术安全控制方面提出的标准和最佳实践。
显然,加强网络安全方面的信息保障和IT安全已经成为一项全国性的重要任务。它需要制定和实施安全政策,部署安全控制,设法评估和消除安全漏洞,检测和解决安全事件,以及衡量治理和改进效果。
新泽西州信息技术办公室
新泽西州是全美人口密度最高的州,也是一个重要的工业中心,生产化学、医药、机械和电子产品。该州的信息技术办公室(OIT)为超过40个机构和15个部门提供技术支持,其中包括:执法、国土防御、环境保护、公共设施和教育。该州的所有机构和部门都通过一个由OIT治理的WAN连接到一起。该网络包括超过2500台思科交换机和路由器。它们将5万名用户连接到超过1500个地点,每年处理超过25亿件事务。
网络防御是基于策略的,覆盖从网络周边和核心的所有环节。这种标准的深入防御战略每秒钟可能会生成数千个安全事件,由安全人员对其进行分析、调查并采取措施。尽管有些事件属于误判和网络异常,但是的确有很多是实实在在的安全威胁,例如蠕虫、病毒和综合性攻击。安全人员必须迅速、正确地采取对策――这可能意味着将受到感染的机构或者系统移除到网络之外,以便进行正确的补救和控制。
OIT希望获得一种可以自动地、集中地执行安全治理的解决方案。它应当可以减少误报、发现真正的威胁、加快响应速度、符合法规要求,并集成思科的基础设施。
机遇:更好地协调安全操作和更加有效地保护资源
通过已有的思科交换机、路由器、防火墙、入侵检测和VPN解决方案获取安全信息
辨别和区分真正的安全威胁和误报,以便采取适当的对策
定制关联规则,发现独特的安全问题和网络性能瓶颈
降低与诊断、调查、补救和审核有关的运营成本
考虑因素:利用现有的资源发挥思科网络和安全系统的作用
安全信息治理解决方案必须支持和集成对于思科基础设施的投资
在中断网络连接之前,必须获得准确、有效、及时的安全信息
在不添加人员的情况下,执行可扩展的、自动的安全事件辨别和制止流程
符合州和联邦政府的安全审核/法规要求,确保州“最佳实践”
Protego解决方案:CS-MARS-企业威胁防御设备
新泽西州信息技术办公室(OIT)决定用Protego CS-MARS加强其信息安全措施――集中治理安全信息,自动针对事件采取对策,符合联邦政府和州的安全法规。CS-MARS是第一个能够通过在同一个高性能平台中整合网络信息、ContextCorrelation、SureVector分析和AutoMitigate功能,补充已有的安全对策的企业级威胁防御设备。它可以有效地防范安全事件。现在,各种机构可以借助这个非常便于扩展的、直观的解决方案,在网络中断或者系统遭到攻击之前防范、分析甚至制止复杂的威胁――只需按下一个按钮。OIT按照思科的SAFE蓝图部署了一个层次化的安全架构。该州的网络天天会产生数百万个网络事件和安全事件。
OIT在它的核心网络中用CS-MARS 200从数百个设备中搜集数据,这些设备包括思科交换机和IOS路由器,思科IDS传感器,PIX防火墙,思科安全代理,思科VPN集中器,以及重要的Windows和Solaris服务器。
该设备可以获取和分析网络和安全数据。ContextCorrelation逻辑可以通过删除误报和已经解决的威胁减少原始事件数据并实现区别处理。通过减少误报,OIT通过已有的入侵检测系统获得了更好的效果。
基于Web的控制台让多个操作人员可以发现热点,查找准确的攻击路径、组件和原始事件细节。效率的提升使得同样的人员可以治理更多的信息。该设备还可以加快工作流程,包括警报、调查、事件治理、复杂查询、趋势分析、审核和报告等。
CS-MARS AutoMitigate可以找出现有的瓶颈设备和攻击路径,让OIT的工作人员可以通过正确的设备命令抵御威胁。因为该设备可以监控NetFlow,所以它能够实时地发现新的蠕虫,并让OIT团队可以及时消除威胁,保持服务的正常提供。
基于Protego逻辑和嵌入式Oracle 的Protego CS-MARS每秒能够处理超过10000个事件,并且具有很高的可扩展性。该系统可以利用超过1TB的在线存储和不断的存档支持对当前和过去事件的分析。这个企业级威胁防御设备系列是完全集成化的,只需要最低限度的部署资源和业界最低的总拥有成本(TCO)。
成果:Protego可以帮助技术办公室提高网络可用性、制止攻击和自动执行安全操作,从而让州政府的行政机构可以为居民提供更好的服务。
“深入防御已经成为现实需要,防御的复杂性也在不断提高。Protego让我们能够以极快的速度,利用现有的资源,更加精确地解决严重的信息安全问题。”
“这个解决方案可以立即投入使用,并且能够与我们的思科网络和安全设备集成。”
“MARS不仅是一个能够监控事件处理流程和达到报告要求的高效系统,还能够让更少的人员从控制台更加准确地发现整个企业面临的威胁,并轻松地制止攻击。”
“通过这个集成化设备,我们可以大幅度降低拥有成本和运营费用。”
Jim Hammond
网络服务经理
新泽西州技术办公室