· 送手机是骗局(海融天宇公告) · 冒充海融天宇送手机是骗局(郑重 · 网巡NetPatrolPatrol上网行为管 · 中国驻美使馆谈网络安全:诉诸麦 · 中央网络安全和信息化领导小组第 · 2015中国网络安全论坛召开 中央

网络安全建设案例

网络整体安全建设方案,全面建设网络安全防御标准,建设企业内网外网的各方面防御机制,多重防御

远大集团信息安全建设项目解决方案

概述

企业打造网络信息安全的目的就是要保护企业的核心数据,尤其近两年的安全防御调查也表明,企业核心数据泄露发生的越来越频繁,每一次的数据泄露都会对企业造成很大的损失和不良的社会影响,如何更高效更安全的保护企业的核心数据是对企业信息管理人员提出的严峻考验。

安全建设及改造的必要性及原因

常用的网络安全产品有、防火墙、漏洞扫描、防病毒、IDS、IPS、上网行为管理、数据加密、数据容灾、数据保护、数据审计等,同时对计算机终端进行安全管理和准入管理。在完善信息化安全体系建设的过程中,为保证企业网络设备及终端的正常规范使用,保障核心业务数据的合理利用,保障生产系统的正常运行,这些设备在企业信息安全防御中起到了很大的作用。

网络网安全提出的原因

自2004年来,以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发为起点,到计算机文件泄密、数据的销毁、服务器系统瘫痪等诸多客户端安全事件在各地网络中频繁发生,让网络管理人员头痛不已,同时也给企业巨大的损失。

 国内外的经验

通过对大多数知名的国家机关、企事业单位的调研得知已建立了网络安全管理系统,例如中国银行、中国科学院、国家统计局、中国循环经济委员会、等等。建立完善的企业网络安全管理体系,是有效保障了企业核心数据的最有效的防御方法。

与其它生产系统的关系

企业网络信息安全管理方案主要对象企业内外网的安全防护以及需要接入内部网络的外网计算机。方案中强化了对网络计算机客户端安全、行为以及事件的管理,对防火墙、IDS、防病毒系统管理的整合,加强对数据库的保护和审计,对企业核心数据的容灾和备份,以及对使用核心业务人员的准入等等,为企业打造一个更加科学更加安全的网络环境和一个实时可控的网络安全管理平台,


本次方案主要建议远大集团主要关注以下几个方面:

多链路的负载均衡

目前远大集团外网接入线路共有四条,其中一条为企业专线,其余三条线路都可提供上网服务,为保障远大集团出口多链路的高可用性和访问效率,不但能够充分利用这三条链路(按照预设的算法分担到不同的链路上,一旦一条链路不通的情况下,能够无缝切换到另外一条可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。方案推荐使用深信服公司的负载均衡设备详细功能见产品介绍。

企业边界的防护,
企业的办公离不开网络,网络在代给企业便捷的同时也对企业的安全造成了最大的挑战,为更好的保护企业的边界网络,以保障企业的网络安全,随着病毒快速传播性和病毒攻的复杂化以及黑客攻击手段多样化和未知性,购买一款强大的下一代放火墙将是企业保障边界网络安全的最佳选择。本次方案推荐使用深信服品牌的下一代防火墙。深信服防火墙产品集成了上网行为管理功能,可以对内网用户访问外网时起来控制作用,深信服防火墙自带的上网行为管理如下:

1、网页过滤功能:可以阻止员工访问与工作无关的网站,比如木马类,病毒类,色性类,游戏类等等,减少员工访问这些网站对企业内网造成的拥堵及病毒爆发。
2、应用控制功能:可以管理员工对网络软件的使用规范,比如工作期间不能看电影,打游戏,用P2P类的软件下载,以及使用其他聊天软件传输文件等设备。保障了企业的网络通畅运行,屏蔽大量的下载对网络带宽的占用,提高网络的使用效率。
3、带宽管理功能:可以对远大集团的内网用户使用网络时的带宽进行合理的划分,可以按部门划分的同时也可以按应用划分,比如上网浏览和发邮件时可以用到20M带宽,而下载看电影听音乐时最多所有人只能用到5M带宽。提高了企业员工的工作效率,减少应其他应用占用带宽对企业核心业务的影响。

企业外网接入保护
远大集团的财务人员分散在全国各地的办公,如何安全的让财务人员在合法合规的情况下更安全的接入集团的财务系统,如何保障财务人员接入集团业务时计算机的安全性,在财务人员使用中的稳定性和可视化管理,本次方案建议购买深信服品牌的SSL VPN设备来做到最有效和更安全的管理。

核心主干网络的完善

企业内网的稳定性和高速的转发是决定一个企业网络稳定的重要条件,方案中推荐增加一台CISCO的核心交换机,保障内网数据的大容量转发以及稳定性的问题,Catalyst 4507R是一个拥有七个插槽的机架式交换机,可以支持冗余的交换引擎和最多五个接口模块。前两个插槽为一个或者两个Supervisor Engine IV卡预留。Supervisor Engine IV 可以部署一个64Gbps 的无阻塞交换结构,并集成了对第二层、第三层和第四层交换的支持。这款交换机支持多种先进的功能,包括IP路由、服务质量(QoS)和访问控制列表(ACL)。 提高内网中的访问控制功能,减少内网冲突造成的网络隐患。

企业核心数据自身安全
企业在网络安全的规范和建设中往往只注重来自外部的威胁,却忽视了系统本身的漏洞,在高成本的安全建设中最重要的数据安全也要一并解决,随着应用系统的长久运行,无论是硬件平台还是软件平台都有可能面临损坏的风险,为保障核心数据的完整性和安全性本次方案建议采用爱数的数据备份容灾设备,一是为了保障在硬件存储器出现损坏时的数据安全,二是为了弥补通过人为备份数据代来的不完整性。推荐采用爱数容灾备份设备。

业务服务器的安全风险

方案中重点针对现运行的WEB应用系统。Web业务的集中化部署、发布、存储以及数据中心承载着了Web业务的核心数据以及机密信息。对于恶意攻击者而言,Web业务对外发布数据中心是最具吸引力的目标。而之前,的安全建设以各区域安全隔离为主,隔离来自internet、intranet、extrane等区域的安全风险,实现网络级的访问控制。而安全隐患迁移到了应用层,UAP云平台资源池数据中心面临的应用层安全威胁是基于L3-L4层的传统防火墙完全无法理解的。
1、利用业务开发时期没有对代码的安全进行评估,使得系统可轻易通过web攻击实现对web服务器、数据库的攻击造成数据库信息被窃取的问题
2、利用服务器操作系统漏洞、应用软件漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题
3、来自其他安全域的病毒、木马、蠕虫的交叉感染,使得数据中心成为“养马场“
4、由于访问控制权限不当、系统误配置导致的敏感信息跨区域传播的问题
5、利用协议漏洞对服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题
为解决这一问题,方案中推荐使用F5的WEB 防护设备进行保护。

核心数据的安全

  随着计算机网络技术在企业构中的广泛应用,企业业务系统的安全问题日益突出,信息安全威胁也在持续增长。我们已有的安全防护体系(防火墙、IPS、IDS、WAF、防病毒、漏洞扫描等)只能对已知漏洞和已知木马来进行防护,攻击者利用未知的漏洞来控制合法用户终端窃取机密数据。比如目前常用到的攻击手段“零日攻击”“APT攻击”“SQL注入攻击”为保障核心数据的安全本次方案推荐使用Imperva公司的SecureSphere数据库安全审计设备

数据库服务器入侵防御

为更加全面及安全的保护数据库服务器,方案中采用部署一台绿盟的IPS防火墙设备来与边界的防火墙做差异化防御,数据库服务器经过多重设备的安全防御后安全的保障会更好一些,只所以要采用绿盟的IPS设备是因为绿盟在安全领域的入侵防御做的最好,同时绿盟也是军用产品的指定厂商,在安全防御方面部署完绿盟后会更有效。