一�����、網(wǎng)絡(luò)現(xiàn)狀及安全需求描述
1�����、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)無需做任何調(diào)整��,冗余及VLAN劃分等網(wǎng)絡(luò)基礎(chǔ)建設(shè)都已全部完成�����,只需考慮網(wǎng)絡(luò)安全方面內(nèi)容進(jìn)行改造����。
2、網(wǎng)絡(luò)現(xiàn)有內(nèi)����、外兩套網(wǎng)絡(luò)�,外網(wǎng)與互聯(lián)網(wǎng)連接�����,內(nèi)網(wǎng)不允許訪問互聯(lián)網(wǎng)����,但需要和外網(wǎng)做數(shù)據(jù)交換。
3��、網(wǎng)絡(luò)中有WEB 服務(wù)器��,數(shù)據(jù)庫服務(wù)器���,應(yīng)用服務(wù)器等�����,訪問量較大,且服務(wù)器運(yùn)維人員較雜��。
4����、需考慮移動(dòng)辦公需求��。
5�����、有專線接入外網(wǎng)區(qū)域����。
二�、網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D
1、外網(wǎng)拓?fù)鋱D
2����、內(nèi)網(wǎng)拓?fù)鋱D
三、網(wǎng)絡(luò)安全整改需要添加的安全設(shè)備和管理系統(tǒng)
根據(jù)網(wǎng)絡(luò)劃分及層次����,我們進(jìn)行逐條分析,然后后續(xù)描述安全設(shè)備及安全管理平臺(tái)起到的作用���。
(一)解決安全需求一:網(wǎng)絡(luò)現(xiàn)有內(nèi)����、外兩套網(wǎng)絡(luò),外網(wǎng)與互聯(lián)網(wǎng)連接���,內(nèi)網(wǎng)不允許訪問互聯(lián)網(wǎng)�,但需要和外網(wǎng)做數(shù)據(jù)交換���。
需要使用安全隔離控制設(shè)備�,如安全網(wǎng)閘���,它可以把內(nèi)����、外網(wǎng)的數(shù)據(jù)進(jìn)行控制交互�。但是部署了網(wǎng)閘還不能防止惡意或污染的數(shù)據(jù)攻擊,還內(nèi)��、外網(wǎng)交互之間部署相關(guān)的安全設(shè)備����,如下描述:
(1)首先內(nèi)網(wǎng)邊界處部署邊界防火墻���,可以進(jìn)行數(shù)據(jù)控制交換�;
(2)其次在防火墻之上再連接安全網(wǎng)閘,網(wǎng)閘可以控制交換內(nèi)�、外網(wǎng)的數(shù)據(jù)。
(3)最后���,在內(nèi)網(wǎng)防火墻與網(wǎng)閘之間部署防毒墻設(shè)備��,由于在網(wǎng)閘上使用惡意病毒過濾模塊�,會(huì)影響該網(wǎng)閘的處理數(shù)據(jù)能力及性能����,所以,單獨(dú)串接防毒墻設(shè)備����,可以把內(nèi)、外網(wǎng)交換的數(shù)據(jù)清除或清洗�。
(二)解決安全需求二:網(wǎng)絡(luò)中有WEB 服務(wù)器,數(shù)據(jù)庫服務(wù)器�,應(yīng)用服務(wù)器等,訪問量較大���。
該企業(yè)訪問量大�����,說明業(yè)務(wù)是在快速發(fā)展中���。為了迎接未來大數(shù)據(jù)�、云計(jì)算的安全挑戰(zhàn)�����,該企業(yè)通過部署如下安全設(shè)備�,可以適當(dāng)解決相關(guān)安全威脅的問題。設(shè)備與部署��,如下描述:
(1)部署抗DDOS的安全設(shè)備:在路由器的出口外�����,部署抗DDOS的安全設(shè)備�,可以防護(hù)各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的拒絕服務(wù)攻擊����,如SYNFlood、UDP Flood��、UDP DNS QueryFlood���、(M)Stream Flood�����、ICMPFlood�����、HTTP Get Flood以及連接耗盡等常見的攻擊行為�����。
(2)部署帶寬控制設(shè)備:在路由器的后面部署帶寬控制設(shè)備���,可以顆粒度的帶寬控制,確保該單位的相關(guān)業(yè)務(wù)應(yīng)用能夠正常運(yùn)行��。
(3)部署負(fù)載均衡設(shè)備:在帶寬控制設(shè)備之后部署負(fù)載均衡設(shè)備��,可以確保兩條外網(wǎng)專線的帶寬分發(fā)保證��,還可以解決反向代理的問題���。
(4)部署下一代防火墻:在負(fù)載均衡設(shè)備之后部署下一代防火墻����,因?yàn)橄乱淮阑饓梢越鉀Q應(yīng)用層、網(wǎng)絡(luò)層��、傳輸層等等安全控制的問題��,同時(shí)它還可以集成入侵防御�����、惡意病毒等模塊�。加上本安全防護(hù)方案,需要使用相關(guān)的功能功能模塊�,如入侵防御、惡意病毒等功能模塊���。如果設(shè)備影響性能���,建議單獨(dú)買入侵防御系統(tǒng)和防病毒網(wǎng)關(guān)。
(5)部署數(shù)據(jù)庫審計(jì)系統(tǒng):在服務(wù)器區(qū)部署數(shù)據(jù)庫審計(jì)系統(tǒng)���,對內(nèi)部的開發(fā)人員����、系統(tǒng)管理員等訪問、操作��、刪除數(shù)據(jù)庫系統(tǒng)的都可以進(jìn)行審計(jì)與記錄��。它還可以根據(jù)設(shè)置的規(guī)則�����,智能的判斷出違規(guī)操作數(shù)據(jù)庫的行為���,并對違規(guī)行為進(jìn)行記錄、報(bào)警���。
(三)解決安全需求三:服務(wù)器運(yùn)維人員較雜�����。
由于服務(wù)器運(yùn)維人員較雜���,就是目前管理起來很混亂。建議進(jìn)行如下安全控制部署:
(1)在外網(wǎng)區(qū)內(nèi)部署一套運(yùn)維審計(jì)系統(tǒng):通過該系統(tǒng)可以統(tǒng)一進(jìn)行對服務(wù)器或網(wǎng)絡(luò)�����、安全設(shè)備的運(yùn)維人員進(jìn)行精細(xì)化的管理,同時(shí)�����,通過該系統(tǒng)���,對運(yùn)維人員的所有操作都可以進(jìn)行記錄和錄屏�,可以滿足合規(guī)的相關(guān)要求���。
(2)部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng):無論內(nèi)部用戶還是運(yùn)維人員�,連接網(wǎng)絡(luò)都首先要通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)允許才能連接內(nèi)部的網(wǎng)絡(luò)��,最后���,運(yùn)維人員才能登陸運(yùn)維審計(jì)系統(tǒng)�����,才可以對相關(guān)的服務(wù)器或網(wǎng)絡(luò)設(shè)備進(jìn)行操作�。
(四)解決安全需求四:需考慮移動(dòng)辦公需求
云計(jì)算��、大數(shù)據(jù)、物聯(lián)網(wǎng)等相繼出現(xiàn)與發(fā)展�,未來移動(dòng)互聯(lián)是趨勢,所以企業(yè)一方面:應(yīng)用系統(tǒng)需要往移動(dòng)互聯(lián)的業(yè)務(wù)擴(kuò)展�;另一方面,內(nèi)部也需要移動(dòng)辦公的需要��,要制定移動(dòng)辦公的安全解決方案���。從如下進(jìn)行解決:
(1)部署遠(yuǎn)程接入辦公平臺(tái):在服務(wù)器區(qū)部署遠(yuǎn)程接入辦公平臺(tái)���,該系統(tǒng)作為移動(dòng)辦公接入用����,主要用于員工在外網(wǎng)通過VPN方式接入訪問相關(guān)的業(yè)務(wù)系統(tǒng),同時(shí)根據(jù)不同用戶設(shè)置不同權(quán)限�����。
(五)解決安全需求四:其它方面的安全防護(hù)與管理���。
(1)部署網(wǎng)絡(luò)版殺毒軟件:前面的下一代防火墻中含有惡意防范的模塊�,在橫向可以解決網(wǎng)絡(luò)層面的病毒防范���。同時(shí)在終端與服務(wù)器上都需要安裝殺毒軟件�。在終端及服務(wù)器上統(tǒng)一部署網(wǎng)絡(luò)版的殺毒軟件,病毒更新及清除�����,可以統(tǒng)一在網(wǎng)絡(luò)版的服務(wù)端進(jìn)行相關(guān)操作�����。
(2)部署漏洞掃描安全評估系統(tǒng):在內(nèi)網(wǎng)中部署漏洞掃描安全評估系統(tǒng)�,可以及時(shí)掌握內(nèi)網(wǎng)服務(wù)器、終端等漏洞情況��,能夠快速地進(jìn)行制定安全防御的措施����。
(3)部署統(tǒng)一補(bǔ)丁管理服務(wù)器:在內(nèi)網(wǎng)部署統(tǒng)一補(bǔ)丁管理服務(wù)器,可以對漏洞掃描安全評估系統(tǒng)掃描出的相關(guān)漏洞�����,通過補(bǔ)丁管理服務(wù)器進(jìn)行統(tǒng)一更新��,確保操作系統(tǒng)的安全��、穩(wěn)定運(yùn)行。
(4)部署PKI/CA數(shù)字證書管理系統(tǒng):根據(jù)相關(guān)的應(yīng)用系統(tǒng)防范要求����,一方面,可以滿足�����,如針對國家信息安全等級(jí)保護(hù)“等保要求“中���,”兩種身份鑒別方式的要求“��;另一方面��,可以提高應(yīng)用系統(tǒng)或其它系統(tǒng)的安全身份鑒別的防御能力。(5)部署安全管理中心系統(tǒng):在內(nèi)網(wǎng)中部署安全管理中心系統(tǒng)對服務(wù)器�、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等采集各個(gè)設(shè)備的資源監(jiān)控����、日志告警,具備事件關(guān)聯(lián)功能�,提供報(bào)表和告警。方便統(tǒng)一安全監(jiān)控與管理�����。
(6)部署桌面管理系統(tǒng):在內(nèi)網(wǎng)中部署桌面管理系統(tǒng)用于對辦公局域網(wǎng)計(jì)算機(jī)設(shè)備行為管理和相關(guān)數(shù)據(jù)統(tǒng)計(jì),并能進(jìn)行終端的行為管理����,及時(shí)更新最新補(bǔ)丁供終端下載更新等,可用來減少潛在的安全隱患����,起到減少安全隱患、預(yù)防安全事件發(fā)生的作用����。
(7)部署IT集中運(yùn)行監(jiān)控系統(tǒng):在內(nèi)網(wǎng)中部署IT集中運(yùn)行監(jiān)控系統(tǒng),它主要監(jiān)控服務(wù)器主機(jī)���、數(shù)據(jù)庫�、中間件�����、網(wǎng)絡(luò)設(shè)備�、虛擬化平臺(tái)的以下信息:性能監(jiān)控、日志收集��、故障監(jiān)控。當(dāng)監(jiān)控到某臺(tái)設(shè)備無法響應(yīng)監(jiān)控系統(tǒng)的訪問時(shí)�,將告警信息通知相關(guān)管理員,管理員再聯(lián)系維護(hù)人員進(jìn)行處理����,起到盡早發(fā)現(xiàn)并處置故障的作用。
18028990096/13725734438/13580762200
