企业网络安全方案设计(共8篇)
企业网络安全方案的设计企业网络安全方案设计
摘 要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员信息安全课程设计
企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
信息安全课程设计
企业网络安全方案的设计
图说明 图一 企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.标准化原则 信息安全课程设计
企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
图说明 图二 网络与信息安全防范体系模型 信息安全课程设计
企业网络安全方案的设计3.企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
五、整体网络安全方案
1.网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。信息安全课程设计
企业网络安全方案的设计
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
图说明 图四 防火墙
此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控信息安全课程设计
企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式): 信息安全课程设计
企业网络安全方案的设计
图说明
图五
邮件系统保护 6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。
图说明
图六
关键网段的防护 7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目信息安全课程设计
企业网络安全方案的设计标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示: 信息安全课程设计
企业网络安全方案的设计
图说明
图七
内网综合保护 9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计
企业网络安全方案的设计流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本设计以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的信息安全课程设计
一、企业网络安全现状
随着科学技术的发展,现代信息网络开放性、共享性以及互联程度的扩大,大多数的企业其内部网络已经普及。企业网络的普及给企业的运营带来了极大的便利,同时,由于网络安全性能始终无法得到有效的提升,企业网络安全问题越来越受到企业人员的关注与重视。对于企业而言,有何充分有效的利用信息化优势的同时,对本企业的信息进行更好的保护已经成为了大多数企业面临的一个重要的难题。
企业内部网络遭受安全威胁主要是来自企业外部人员以及企业内部人员的恶意入侵和攻击。企业外部人员通过植入各种病毒从而获取企业内部的机密资料与信息,进而获得相应的报酬。而企业的内部人员在对网络进行攻击时,可以利用网络中的某些软件的漏洞或是其软件的“后门”来对企业的网络进行攻击。除此之外,还可以通过使用非授权访问、冒充企业网络的合法用户等手段来破坏企业网络中数据的完整性、对其系统的正常运行进行干扰等一系列的行为来破坏企业网络的安全。
二、企业网络安全需求
(一)办公网设备实体安全需求
企业办公网内的设备实体主要就是交换机、员工的个人电脑等设备。对于这些设备的管理存在一定的安全隐患,同时,如果这些设备出现安全性的问题,就会对企业造成极其严重的后果。通常情况下,企业办公网的核心设备和其服务器都在一个机房内,大多数企业所使用的蓄电池的蓄电量较小,如果碰到长时间停电的状况,相关设备就会停止工作。除此之外,绝大多数的企业在机房管理方面没有建立相对完善的管理制度,对机房的进出人员没有限制,关于交换机机柜的管理措施不严谨,对于安放交换机的会议室应该在不投入使用时需要对其上锁,等等。此类人为的安全隐患都可以造成企业网络的中断,进而影响企业正常的运作与办公,甚至有可能造成相关服务器的数据丢失,给企业带来极大的损失。
(二)个人办公电脑系统安全需求
一般来说,企业中的重要文件、报表等信息都存储在员工的个人电脑中,有利于相关员工的调取与施工,进而提升其工作效率。但是,这样也存在一定的安全风险。个人电脑一旦遭到攻击,就会使企业相关的信息遭到泄露,近年来盛行的移动办公更会出现这种情况。因此,对于涉及企业重要信息的计算机应该采取特殊、专门的安全措施来进行重点的保护,确保其中的信息安全。除此之外,还可以对这些计算机设置密码,可以有效地避免公司内部心机不纯的人盗取企业的重要资料。
(三)病毒防护需求
随着计算机网络技术的成熟与发展,与此相关的计算机病毒技术也在不断的提升,其破坏能力也在逐步的加强,病毒的顽固性也随之提升。因此,为了能够避免病毒的入侵,企业中的计算机必须配备相应的杀毒软件。同时对计算机和企业内部网络进行实时的病毒安全防护,以此来确保企业整个网络业务数据的安全性,避免其遭到破坏,是企业能够维持正常的运转。由于信息技术的发展,相关的网络病毒更新的速度以及新病毒出现的时间越来越快,因此,需要定期的就病毒防御系统进行更新。同时还要加强相关员工对计算机进行杀毒的意识,培养其进行定期杀毒的习惯。
三、企业网络安全解决方案
(一)边界防火墙部署
企业为了保障内部网络的安全,可以采用边界防火墙的措施来对其进行保护。边界防火墙主要设置在网络主交换机的地方,并且使用路由器与外界进行连接。边界防火墙的设置会在企业的内部网络与外部网络之间筑建起一道相对安全的墙,防火墙在设置后,对于进入系统内部的信息会事先进行查看与分析,其满足相关的安全条件后才能进入系统的内部。
使用边界防火墙可以有效地隔离企业的内部与外部网络,使企业内部网络避免遭受外部不安全因素的攻击与入侵。能够根据源地址的相关信息对访问的数据进行自动的过滤,对不符合标准的予以拒绝;还能够关闭一些不安全的服务;同时设置了完善的访问系统的规则,将没有合法权限的拒之门外;除此之外还能够对外部的信息进行严密的监测,对不合法的请求直接拒绝。
(二)漏洞扫描
企业内部网路是一个常用性的安全系统,需要对其采取适当的方法措施,并定期对其进行安全性能的评估。因此,需要使用漏洞扫描系统,对网络中存在的漏洞进行及时的扫描与修复,安装漏洞补丁等,进而提升企业网络的防护能力,增强网络的安全性。进行漏洞扫描的软件需要具备网络监控及自动响应的功能,能够找出网络经常发生问题的根源,创建一定的过程来检查网络安全威胁因素,对漏洞进行分析与相应,尽可能的减少网站的安全漏洞,增强企业网络的耐攻击性等功能。
四、结语
企业网络安全是企业发展,提升其市场竞争力的前提条件。对于企业网络安全的保障需要不断地对其进行检测与控制,管理等多方面的控制。可以采用相关的措施来对企业网络信息系统进行管理与控制,随着科学技术的发展,在未来,企业有可能会在网络信息安全方面面临更加巨大的挑战与机遇。
摘要:随着计算机信息技术的发展和经济全球化的加快,信息全球化已经成为当前社会的发展趋势。近年来,我国企业内部的网络已经实现了信息与资源的共享。但是由于其中包含了很多企业内部的重要信息,因此其网络安全问题就受到了企业的重视。因此,企业必须针对这个问题制定一套相对完善的网络安全解决方案来对企业内部网络中的重要信息进行保护。
关键词:企业网络安全,方案,设计
参考文献
[1]于治新.企业网络安全风险分析及可靠性设计与实现[D].吉林大学,2013.
[2]韩洪锋.浅谈企业网络安全策略[J].福建电脑,2010(01).
关键词:信息安全;网络;VPN
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Enterprise Network Security Solution
Lu Wenshuo
(National Computer Network Emergency Response Technical Team Coordination Centre,Guangdong Sub-center,Guangzhou510665,China)
Abstract:With the rapid development of information technology,management of the computer application system dependent enhancement,computer applications increased dependence on the network.Computer networks and computer application systems running on a higher network security requirements.Information security should be done to prevent the overall consideration of a comprehensive information system covering all levels,for the network,system,application,data do comprehensive prevention.
Keywords:Information security;Network;VPN
一、引言
隨着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
二、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
(一)标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
(二)系统化原则。信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
(三)分步实施原则。由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
三、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
(一)网络安全基础设施。证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(Authentication)、数据的机密性(Confidentiality)、数据的完整性(Integrity)、不可抵赖性(Non-Repudiation)。
(二)边界防护和网络的隔离。VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)桌面安全防护。对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
四、方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
五、结论
老师布置了一个题目《中小企业网络设计方案》,好迷茫,不会做,有谁帮帮我
1.需求分析
1.1.网络环境及信息点需求 1.2.网络应用需求
1.2.1.资源共享功能:
网络内的各个桌面用户可共享数据库、共享打印机、共享资源,实现办公自动化系统中的各项功能。1.2.2.数据存贮: 网络存贮功能。
1.2.3.通信服务功能:
最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。
1.2.4.多媒体功能: 视频会议、视频培训等。1.2.5.企业应用:
企业应用系统如电子商务运营平台、ERP(企业资源计划)、CRM(客户关系管理)、SCM(供应链管理)等
1.2.6.企业电子邮箱。
1.2.7.远程VPN拨入访问功能:
系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。
2.设计原则
2.1.实用性和经济性
系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。
2.2.先进性和成熟性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。
2.3.可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,TP-LINK网络作为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
2.4.安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,TP-LINK网络充分考虑安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d等。
2.5.可扩展性和易维护性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
3.设计方案
3.1.总公司网络设计方案 3.1.1.网络总体设计 3.1.1.1.网络拓扑
3.1.1.2.网络区域分布(VLAN划分)
经理办公室(包括总经理、多名副总经理、总经理助理、秘书等)仓储部 客服部 商务部 财务部 会议室 ……
3.1.2.网络布线系统
3.1.2.1.主干子系统(包括接入方式、接入网络运营商、接入带宽等)3.1.2.2.网络中心子系统(DNS解决方案)(为了节省投入不作网络冗余设计)3.1.2.3.垂直子系统 3.1.2.4.水平子系统 3.1.2.5.工作间子系统
3.1.3.技术要求及设备选型
3.1.3.1.网关型上网行为管理系统的技术要求及选型 3.1.3.2.核心交换机的技术要求及选型 3.1.3.3.路由器的技术要求及选型
3.1.3.4.服务器的技术要求、选型及部署(包括操作系统选择)服务器部署拓扑图
3.1.3.5.接入交换机的技术要求及选型
3.1.4.网络安全 3.1.4.1.网络平台安全 3.1.4.2.服务器群安全 3.1.4.3.应用安全 3.1.4.4.防病毒解决方案
意见征询稿
Hillstone Networks Inc.2010年9月29日
典型中小型企业网络边界安全解决方案
目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42
典型中小型企业网络边界安全解决方案
4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42
典型中小型企业网络边界安全解决方案 前言
1.1 方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2 方案概述
本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部/ 42
典型中小型企业网络边界安全解决方案
集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性; 实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。/ 42
典型中小型企业网络边界安全解决方案
保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;
保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为; 保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;
实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;
实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性; 安全需求分析
2.1 典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支/ 42
典型中小型企业网络边界安全解决方案
机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图:
典型中小企业组网结构示意图 / 42
典型中小型企业网络边界安全解决方案
2.2 典型中小企业网络安全威胁
在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括: 【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露; 【恶意代码传播】
大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。【防范ARP欺骗】
大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问/ 42
典型中小型企业网络边界安全解决方案
数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密; 【恶意访问】
对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。【身份与行为的脱节】
常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。【拒绝服务攻击】
大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击/ 42
典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象; 【不安全的远程访问】
对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。【缺乏集中监控措施】
典型中小型企业的特点是,集中管理,分布监控,但是在安全方面目前尚缺乏集中的监控手段,对于各分支机构员工的上网行为,访问业务的行为,以及总部重要资源的受访问状态,都没有集中的监控和管理手段,一旦发生安全事件,将很难快速进行察觉,也很难有效做出反应,事后也很难取证,使得企业的安全管理无法真正落地。
2.3 典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题,山石网科认为,应当进行有针对性的设计和建设,最大化降低威胁,并实现有效的管理。
2.3.1 需要进行有效的访问控制
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。/ 42
典型中小型企业网络边界安全解决方案
中小企业的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的,特别是针对中小企业员工对互联网的访问行为,应当采取有效的控制措施,杜绝过度占用带宽的访问行为,保障正常的业务和上网访问。
对于中小企业重要的应用服务器和数据库资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
2.3.2 深度应用识别的需求
引入的安全控制系统,应当能够支持深度应用识别功能,特别是对使用动态端口的P2P和IM应用,能够做到精准鉴别,并以此为基础实现基于应用的访问控制和QOS,提升控制和限制的精度和力度。
对于分支机构外来用户,在利用分支机构互联网出口进行访问时,基于身份识别做到差异化的控制,提升系统总体的维护效率。
2.3.3 需要有效防范病毒
在访问控制的技术上,需要在网络边界进行病毒过滤,防范病毒的传播;在互联网出口上要能够有效检测出挂马网站,对访问此类网站而造成的病毒下发,能够快速检测并响应;同时也能够防范来自其他节点的病毒传播。
2.3.4 需要实现实名制管理
应对依托IP地址进行控制,QOS和日志的缺陷,应实现基于用户身份的访问控制、QOS、日志记录,应能够与中小企业现有的安全准入系统整合起来,当员工接入办公网并对互联网访问时,/ 42
典型中小型企业网络边界安全解决方案
先进行准入验证,验证通过后将验证信息PUSH给网关,网关拿到此信息,在用户发出上网请求时,根据IP地址来索引相关的认证信息,确定其角色,最后再根据角色来执行访问控制和带宽管理。
在日志记录中,也能够根据确定的身份来记录,使得日志可以方便地追溯到具体的员工。
2.3.5 需要实现全面URL过滤
应引入专业性的URL地址库,并能够分类和及时更新,保障各个分支机构在执行URL过滤策略是,能够保持一致和同步。
2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口,作为专线的备份链路,在不增加链路投资的前提下,使分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时,容易遭到窃听和篡改的风险,为此需要设备提供IPSEC VPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.3.7 需要实现集中化的管理
集中化的管理首先要求日志信息的集中分析,各个分支机构既能够在本地查看详细的访问日志,总部也能够统一查看各个分支机构的访问日志,从而实现总部对分支机构的有效监管。
总部能够统一对各个分支机构的安全设备进行全局性配置管理,各个分支机构也能够在不违背全局性策略的前提下,配置符合本节点特点的个性化策略。
由于各个厂商的技术壁垒,不同产品的功能差异,因此要实现集中化管理的前提就是统一品牌,/ 42
典型中小型企业网络边界安全解决方案
统一设备,而从投资保护和便于维护的角度,中小企业应当选择具有多种功能的安全网关设备。安全技术选择
3.1 技术选型的思路和要点
现有的安全设备无法解决当前切实的安全问题,也无法进一步扩展以适应当前管理的需要,因此必须进行改造,统一引入新的设备,来更好地满足运行维护的要求,在引入新设备的时候,必须遵循下属的原则和思路。
3.1.1 首要保障可管理性
网络安全设备应当能够被集中监控,由于安全网关部署在中小企业办公网的重要出口上,详细记录了各节点的上网访问行为,因此对全网监控有着非常重要的意义,因此系统必须能够被统一管理起来,实现日志行为,特别是各种防护手段形成的记录进行集中的记录与分析。
此外,策略也需要分级集中下发,总部能够统一下发集中性的策略,各分支机构可根据自身的特点,在不违背全局性策略的前提下,进行灵活定制。
3.1.2 其次提供可认证性
设备必须能够实现基于身份和角色的管理,设备无论在进行访问控制,还是在QOS,还是在日志记录过程中,依据必须是真实的访问者身份,做到精细化管理,可追溯性记录。
对于中小企业而言,设备必须能够与中小企业的AD域管理整合,通过AD域来鉴别用户的身份和角色信息,并根据角色执行访问控制和QOS,根据身份来记录上网行为日志。/ 42
典型中小型企业网络边界安全解决方案
3.1.3 再次保障链路畅通性
对于多出口链路的分支机构,引入的安全设备应当支持多链路负载均衡,正常状态下设备能够根据出口链路的繁忙状态自动分配负载,使得两条链路都能够得到充分利用;在某条链路异常的状态下,能够自动切换负载,保障员工的正常上网。
目前中小企业利用互联网的主要应用就是上网浏览,因此系统应提供强大的URL地址过滤功能,对员工访问非法网站能够做到有效封堵,这就要求设备应提供强大的URL地址库,并能够自动升级,降低管理难度,提高控制精度。
中小企业的链路是有限的,因此应有效封堵P2P、IM等过度占用带宽的业务访问,保障链路的有效性。
3.1.4 最后是稳定性
选择的产品必须可靠稳定,选择产品形成的方案应尽量避免单点故障,传统的网络安全方案总是需要一堆的产品去解决不同的问题,但这些产品接入到网络中,任何一台设备故障都会造成全网通信的故障,因此采取集成化的安全产品应当是必然选择。
另外,安全产品必须有多种稳定性的考虑,既要有整机稳定性措施,也要有接口稳定性措施,还要有系统稳定性措施,产品能够充分应对各种突发的情况,并保持系统整体工作的稳定性。
3.2 选择山石安全网关的原因
基于中小企业的产品选型原则,方案建议采用的山石网科安全网关,在多核Plus G2硬件架构的基础上,采用全并行架构,实现更高的执行效率。并综合实现了多个安全功能,完全能够满足中小企业安全产品的选型要求。/ 42
典型中小型企业网络边界安全解决方案
山石网科安全网关在技术上具有如下的安全技术优势,包括:
3.2.1 安全可靠的集中化管理
山石网科安全管理中心采用了一种全新的方法来实现设备安全管理,通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责,从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率,减少开销并降低运营成本。
利用山石网科安全管理中心,可以为特定用户分配适当的管理接入权限(从只读到全面的编辑权限)来完成多种工作。可以允许或限制用户接入信息,从而使用户可以作出与他们的角色相适应的决策。
山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性,同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标,山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时,只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。
山石网科安全管理中心还带有一种高性能日志存储机制,使IT部门可以收集并监控关键方面的详细信息,如网络流量、设备状态和安全事件等。利用内置的报告功能,管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。
山石网科安全管理中心采用了一种3层的体系结构,该结构通过一条基于TCP的安全通信信道-安全服务器协议(SSP)相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路,就不需要在不同分层之间建立VPN隧/ 42
典型中小型企业网络边界安全解决方案 道,从而大大提高了性能和灵活性。
山石网科安全管理中心提供统一管理功能,在一个统一界面中集成了配置、日志记录、监控和报告功能,同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡,对于安全网关这类安全设备的大规模部署非常重要。
3.2.2 基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷,山石网科采用RBNS(基于身份和角色的管理)技术让网络配置更加直观和精细化,不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。
另外,在采用了RBNS技术后,使得审计记录可以直接反追溯到真实的访问者,更便于安全事件的定位。
在本方案中,利用山石网科安全网关的身份认证功能,可结合AD域认证等技术,提供集成化的认证+控制+深度检测+行为审计的解决方案,当访问者需跨网关访问时,网关会根据确认的访问者身份,自动调用邮件系统内的邮件组信息,确定访问者角色,随后根据角色执行访问控制,限制其访问范围,然后再对访问数据包进行深度检测,根据角色执行差异化的QOS,并在发现非法的访问,或者存在可疑行为的访问时,记录到日志提供给系统员进行事后的深度分析。/ 42
典型中小型企业网络边界安全解决方案
3.2.3 基于深度应用识别的访问控制
中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上,新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。
Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。
3.2.4 深度内容安全(UTMPlus®)
山石网科安全网关可选UTMPlus®软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到及时响应。
由于中小企业包含了多个分支机构,一旦因某个节点遭到恶意代码的传播,病毒将会很快在企业的网络内传播,造成全网故障。在使用了山石网科安全网关后,并在全网各个节点的边界部署后,将在逻辑上形成不同的隔离区,一旦某个节点遭遇到病毒攻击/ 42
典型中小型企业网络边界安全解决方案
后,不会影响到其他节点。并且山石支持硬件病毒过滤技术,在边界进行病毒查杀的时候,对性能不会造成过多影响。
3.2.5 高性能病毒过滤
对于中小企业而言,在边界进行病毒的过滤与查杀,是有效防范蠕虫、木马等网络型病毒的有效工具,但是传统病毒过滤技术由于需要在应用层解析数据包,因此效率很低,导致开启病毒过滤后对全网的通信速度形成很大影响。
山石安全网关在多核的技术上,对病毒过滤采取了全新的流扫描技术,也就是所谓的边检测边传输技术,从而大大提升了病毒检测与过滤的效率。
流扫描策略
传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的,并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。
文件接受扫描文件发送延迟
山石网科扫描引擎是基于流的,病毒过滤扫描引擎在数据包流到达时进行检查,如果没有检查到病毒,则发送数据包流。由此,用户将看到明显的延迟改善,并且他们的应用程序也将更快响应。/ 42
典型中小型企业网络边界安全解决方案
文件接收扫描文件发送延迟
流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑,流扫描技术适合网关病毒过滤解决方案。
基于策略的病毒过滤功能
山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过滤扫描,哪些用户或者用户组进行扫描,以及哪些服务器和应用被保护。
3.2.6 灵活高效的带宽管理功能
山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高优先级保证它们的带宽使用;对于P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。
将山石网科的角色鉴别以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42
典型中小型企业网络边界安全解决方案
控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。
结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP地址内部应用类型的流量进行有效管控。
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。
总之,通过采取山石网科产品所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42
典型中小型企业网络边界安全解决方案
3.2.7 强大的URL地址过滤库
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性,当时设备被部署到网络中后,各个设备均采用统一标准的过滤地址库,在进行URL访问日志中也可以保持日志内容的一致性。
3.2.8 高性能的应用层管控能力
安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。
山石网科安全网关具有丰富的应用层管控能力,包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等,能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤,防止潜在的安全风险。/ 42
典型中小型企业网络边界安全解决方案
此外,山石网科安全网关均采用多核系统架构,在性能上具有很高的处理能力,能够实现大并发处理。
3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎,这保证了在CPU核数增加时,IPSec的性能得到相应提高,不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps,达到和防火墙一样的性能和设备极限。
山石网科安全网关设备支持标准IPSec协议,能够保障与第三方VPN进行通讯,建立隧道并实现安全的数据传输。
3.2.10 高可靠的冗余备份能力
山石网科安全网关能够支持设备级别的HA解决方案,如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制,保证在设备切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断会话,为企业提供真正意义的网络冗余/ 42
典型中小型企业网络边界安全解决方案
解决方案。山石网科安全甚至还能够提供VPN传输的状态同步,并包括SA状态的同步。系统部署说明
对于中小企业,在设计边界安全防护时,首要进行的就是安全区域的划分,划分安全域是信息安全建设常采用的方法,其好处在与可以将原本比较庞大的网络划分为多个单元,根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计,保障了安全建设的针对性和差异性。
安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则,可操作性不强,在实际划分过程中有很多困难。在本方案中,建议按照资产重要性以及支撑的业务类型,纵向上可划分为总部及分支机构域,从资产角度可根据业务类型的不同,将总部/ 42
典型中小型企业网络边界安全解决方案
信息网络划分为ERP域、OA域、网站域、终端域和运维域等,而分支机构的域相对简单,由于只有终端,因此不再细分。
4.1 安全网关部署设计
划分安全域后,可在所有安全域的边界,特别是重要的业务系统安全域的边界配置安全网关即可,配置后形成的边界安全部署方案可参考下图:
部署要点: 通过总部配置的山石网科安全管理中心,集中监管各个分支机构边界部署的山石网科安全网关,对日志进行集中管理;同时各个分支机构本地也部署管理终端,在本地对网关进行监管; / 42
典型中小型企业网络边界安全解决方案
纵向链路的出口分别部署安全网关,实现对中小企业网的纵向隔离,对分支机构的上访行为进行严格控制,杜绝非法或非授权的访问;
安全网关启用源地址转换策略,在终端上网过程中进行转换,保障内网用户上网的要求,同时启用相应的日志,对上网行为进行有效记录;
安全网关在分支机构上网出口的链路上,运用深度应用识别技术,有效鉴别出哪些是合法的HTTP应用,哪些是过度占用带宽的P2P和IM应用,对P2P和IM通过严格的带宽限制功能能进行及限制,并对HTTP执行保障带宽策略,保障员工正常上网行为;
安全网关与中小企业的AD域认证整合,在确认访问者身份的基础上,进行实名制的访问控制,QOS控制,以及上网行为审计;
安全网关内置全面的URL地址库,用以对员工的访问目标地址进行分类,对于非法网站进行封堵,且URL地址库能够自动升级,保障了该功能的持续性和完整性;
安全网关运用IPSEC VPN技术,实现与总部的加密传输,作为现有专线的备份链路,在不增加投资的前提下提升系统的可靠性。
安全网关运用SSL VPN技术,对移动办公用户配发USB KEY,当其需要远程访问企业网时,利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道,从而实现了安全可靠的远程访问。
4.2 安全网关部署说明
4.2.1 部署集中安全管理中心
通过在总部部署山石网科安全管理中心,然后对分布在各个分支机构边界的安全网关进行配置,/ 42
典型中小型企业网络边界安全解决方案
使网关接受管理中心的集中管理来实现,并执行如下的集中监管。
设备管理
设备管理包括域管理和设备组管理,域和设备组都是用来组织被管理设备的逻辑组,域包含设备组。通过域的使用,可以实现设备的区域化管理;而通过设备组的使用,可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备,普通管理员可以执行设备组的操作,将设备从设备组中删除。
设备基本信息监管
显示设备的基本信息,例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。
通过客户端可查看的设备属性信息包括:设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。/ 42
典型中小型企业网络边界安全解决方案
日志浏览
山石网科安全管理中心接收设备发送的多种日志信息,经过系统处理后,用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览:
●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志
流量监控
山石网科安全管理中心可以实时监控以下对象的流量,并在客户端通过饼状图或者柱状图直观显示:
●设备接口(TOP 10)/ 42
典型中小型企业网络边界安全解决方案
●指定接口TOP 10 IP,进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用,进而可以查看指定应用的TOP 10 IP的流量
柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。
攻击监控
山石网科安全管理中心可以实时监控以下对象的攻击情况,并在客户端通过饼状图或者柱状图直观显示:
●设备接口遭受攻击(TOP 10)
●指定接口发起攻击TOP 10 IP,进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型,进而可以查看发起指定攻击类型的TOP 10 IP
VPN监控
山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量,并在客户端通过饼状图或者柱状图直观显示。/ 42
典型中小型企业网络边界安全解决方案
4.2.2 基于角色的管理配置
对于中小企业办公网而言,终端使用者的身份不尽相同,因此其访问权限,对资源的要求等也不尽相同,实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS(基于身份和角色的管理)策略来实现。RBNS包含三个部分:用户身份的认证、用户角色的确定、基于角色控制和服务。
在访问控制部分,通过RBNS实现了基于用户角色的访问控制,使得控制更加精准; 在QOS部分,通过RBNS实现了基于角色的带宽控制,使得资源分配更加贴近中小企业办公网的管理模式; 在会话限制部分,通过RBNS实现了基于角色的并发限制,对于重要用户放宽并发连接的数量,对于非重要用户则压缩并发连接的数量; 在上网行为管理部分,通过RBNS实现了基于角色的上网行为管理;
在审计部分,通过RBNS实现实名制审计,使审计记录能够便捷地追溯到现实的人员。
在整合了AD域以及邮件系统后的实名制管理与控制方案后,在员工上网访问过程中实现精细化的管理,大大降低了单纯依靠IP地址带来的安全隐患,也降低了配置策略的难度,还提升了日志的可追溯性; / 42
典型中小型企业网络边界安全解决方案
整合后实名制监管过程示意图
4.2.3 配置访问控制策略
山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别,并根据安全策略配置规则,保证应用的正常通信或对其进行指定的操作,如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术,使设备能够适应复杂的网络环境,即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下,也能有效的获取应用层信息,从而保证安全策略的有效实施。
山石网科安全网关,作用在中小企业的互联网出口链路上,通过访问控制策略,针对访问数据包,根据数据包的应用访问类型,进行控制,包括: / 42
典型中小型企业网络边界安全解决方案
限制不被许可的访问类型:比如在只允许进行网页浏览、电子邮件、文件传输,此时当终端用户进行其他访问(比如P2P),即使在网络层同样使用TCP 80口进行访问数据包的传送,但经过山石网科安全网关的深度应用识别后,分析出真实的应用后,对P2P和IM等过度占用带宽的行为进行限制;
限制不被许可的访问地址:山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网;
基于身份的访问控制:传统访问控制的基础是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特别是根据不同IP地址配置不同强度的访问控制规则时,通过修改IP地址可以获得较宽松的访问限制,及时采用了IP+MAC绑定,但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合,可实现基于“实名制”下的访问控制,将大大提升了访问控制的精度。
4.2.4 配置带宽控制策略
针对外网的互联网出口链路,承载了员工上网的访问,因此必须应采取带宽控制,来针对不同访问的重要级别,提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理
基于山石网科的多核 Plus G2安全架构,StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统
/ 42
典型中小型企业网络边界安全解决方案
中可容纳多于40,000的QoS队列。结合应用QoS,山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个角色产生的不同流量,用户可以基于应用分类结果指定流量的优先级。
对应用控制流量和区分优先级
山石网科提供专有的智能应用识别(Intelligent Application Identification)功能,简称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类;Hillstone 山石网科还支持用户自定义的流量,并对自定义流量进行分类;同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。
带宽利用率最大化
除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽的利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制,允许某一类的网络使用者享有弹性QoS,另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。
实时流量监控和统计
山石网科 QoS解决方案提供各种灵活报告和监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备
/ 42
典型中小型企业网络边界安全解决方案
提供带宽使用情况的历史记录,为将来分析提供方便。同时用户还可以自己定制想要的统计数据。
4.2.5 上网行为日志管理
通过山石网科安全网关,在实现分支机构员工上网访问控制和QOS控制的基础上,对行为进行全面记录,来控制威胁的上网行为,并结合基于角色的管理技术,实现“实名制”审计,在本方案中将配置执行如下的安全策略:
网络应用控制策略规则
网络应用控制策略规则,是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:
策略规则名称 – 上网行为管理策略规则的名称。
优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为,比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作,比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。
/ 42
典型中小型企业网络边界安全解决方案
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
例外设置
对于特殊情况下不需要上网行为管理策略规则进行控制的对象,可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。
/ 42
典型中小型企业网络边界安全解决方案
分级日志管理模式示意图
4.2.6 实现URL过滤
山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库,包含数千万条域名的分类web页面库,并能够实时同步更新,该地址库将被配置在所有分支机构出口的山石安全网关上,对员工访问的目标站点进行检查,保障健康上网。
山石网科提供的URL过滤功能包含以下组成部分: 黑名单:包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单:包含允许访问URL。不同平台白名单包含的最大URL条数不同。
关键字列表:如果URL中包含有关键字列表中的关键字,则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。
/ 42
典型中小型企业网络边界安全解决方案
不受限IP:不受URL过滤配置影响,可以访问任何网站。
只允许用域名访问:如果开启该功能,用户只可以通过域名访问Internet,IP地址类型的URL将被拒绝访问。
只允许访问白名单里的URL:如果开启该功能,用户只可以访问白名单中的URL,其它地址都会被拒绝。
4.2.7 实现网络病毒过滤
随着病毒技术的发展,网络型病毒(比如蠕虫、木马等)已经被广泛应用了,这种病毒的特点是没有宿主就可以传播,在网络中快速扫描,只要发现网络有许可的行为,就能够快速传播,其危害除了对目标主机造成破坏,在传播过程中也产生大量的访问,对网络流量造成影响,对此传统在主机上进行病毒查杀是不足的,对此问题就产生了病毒过滤网关,该系统类似于防火墙,采用“空中抓毒“技术,工作在网络的关键节点,对经过网关的数据包进行过滤,在判断为是病毒的时候进行阻断,防止病毒利用网络进行传播。
这里建议中小企业可利用安全网关的病毒过滤技术,对各个安全域在实行访问控制的同时,进行有效的病毒过滤,杜绝某个安全域内(比如终端区域)的主机感染了病毒,该病毒无法穿越病毒过滤网关,从而无法在全企业网蔓延,造成更大的破坏。
山石网科的病毒过滤能够有效解析出上十万种病毒,能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力,其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力,全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和最大可扫描文件
/ 42
典型中小型企业网络边界安全解决方案
方面提供高升级性。
病毒过滤系统同样也大大提升了服务器的安全性,在当前访问控制的基础上,进一步保障了关键业务的安全性。
4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术,作用于中小企业,可实现总部与分支机构之间通过互联网的纵向互联,并作为现有专线的备份链路,在不增加额外投资的基础上,提升了系统总体的安全效率。(当然需要总部的互联网出口也部署有标准IPSEC VPN系统)
在通过互联网实现纵向互联的过程中,通过IPSEC VPN技术,将实现如下的保护: 机密性保护:在传输过程中对数据进行加密,从而防范了被篡改的风险;
完整性保护:在传输过程中,通过HASH算法,对文件进行摘要处理,当到达接收端时再次进行HASH,并与发送端HASH后形成的摘要进行批对,如果完全相同则证明数据没有
/ 42
典型中小型企业网络边界安全解决方案
被篡改,从而保障了传输过程的完整性; 抗抵赖:IPSEC VPN运用了数字签名技术,采用对称密钥算法防范传输数据被抵赖的风险; 抗重放:IPSEC VPN运用系列号,一旦某个数据包被处理,序列号自动加一,防范攻击者在收取到数据包,以自己的身份重新发送的风险; 山石网科安全网关IPSec VPN支持的主要技术包括: 标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通,只要对端采用标准IPSEC协议,即可实现互联互通; 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
支持静态IP对端、动态IP对端、拨号VPN对端,可以很好地使用各个分支机构实际的网络环境; 支持VPN上的应用控制,在隧道内针对中小企业,提供更完善的访问控制。
4.2.9 实现安全移动办公
山石网科安全网关支持的SSL VPN技术,针对移动办公人员,在不需要配置任何客户端的情况下,实现安全可靠的接入。通过USB KEY的方式,配发证书,移动办公人员必须在提交KEY证书后,安全网关方可允许其通过互联网接入到企业网内,实现安全快捷的访问。方案建设效果
本方案利用山石网科安全网关,作用于中小企业各个分支机构的互联网出口,对员工上网行为进行有效控制和记录,对比现有的安全手段,将在如下层面提升安全性:
/ 42
典型中小型企业网络边界安全解决方案
总体部署效果示意图
【实现集中监控】
在采取了统一品牌的山石网科安全网关后,通过部署在总部的安全管理中心,实现对分布在各个分支机构互联网出口的安全设备的集中管理,重点对日志进行集中的收集和分析,确保在发生安全事件后能够快速传递到总部,以便采取必要的保障措施。【实现有效访问控制】
通过严格的访问控制,限制了内、外部用户对企业各种资源的访问,限制员工对ERP和OA的访问,限制互联网用户对企业网站的访问,由于这些人员只能通过许可的方式,因此大大降低了重要信息资产的暴露程度,提升了系统的安全性; 【有效保护关键资产】
/ 42
典型中小型企业网络边界安全解决方案
对于中小企业而言,关键的信息资产就是各类应用服务器,和数据库,由于本方案采取安全域划分的方式,将这些关键资产集中起来进行有效防护,因此大大提升了系统的总体安全性; 【有效防范攻击】
山石安全网关支持超过3,000种的攻击检测和防御,支持攻击特征库离线在线更新,定期自动更新多种方式。
山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护,当其他主机访问业务系统时,发起对服务器的访问,山石入侵防御系统会在线分析这些数据包,并从中剥离出哪些是正常访问的数据包,哪些是存在攻击行为的数据包,在此基础上对攻击包采取有效的封堵行为,从而保障了安全可靠的访问,进一步保护了易程公司关键的应用服务器。
【有效过滤病毒】
与防范攻击的作用类似,科山石安全网关内置的过滤网关部署在重要的安全域边界,当重要的服务器接受访问时,病毒过滤网关深入分析数据包,检测出是否携带病毒,或者数据包本身就是由一些恶意病毒(比如木马、蠕虫等)引发的,并采取有效的查杀,或者将数据包直接丢弃。
【基于角色的控制与资源保障】
/ 42
典型中小型企业网络边界安全解决方案
中小企业的上网人员是多个层面多种角色的,因角色不同,在访问控制和资源保障部分,需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合,在控制(比如访问控制、日志审计)和资源保障(比如QOS)方面能够根据用户身份以及对应的角色来进行配置,解决了传统以IP地址为依据时,IP地址容易被伪造的问题; 【上网行为实名制审查】
国家相关监管部门要求提供上网的机构,应当对上网人员的行为进行记录,以备在员工进行违规访问(比如发布发动言论,访问非法网站)时,能够进行追溯。而目前中小企业员工均通过NAT来上网,这样单纯在互联网上无法准确定位访问者,即使有些分支机构采取了NAT和上网行为管理设备,但这些设备对行为之记录到IP地址,很难对应到具体的人员。
对此山石安全网关能够在身份识别和角色确定的基础上,对上网人员的行为(访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等)进行有效记录,从而做到实名制审计。【有效封堵P2P和IM】
P2P和IM的特点是,运用动态端口进行访问,对此传统访问控制的基础是地址、协议和端口,这种控制方法根本无法从根本上封堵P2P和IM。
山石安全网关支持的深度应用识别,通过协议分析能够有效鉴别出真实的应用,再此基础上进行控制,方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】
目前中小企业的URL过滤库采用手工方式维护,这种方式无论从实效性、全面性上都存在明显不足,山石网科安全网关内置了一套完整的URL地址库,具有超过2000万条域名的分类Web页面库,并实时保持同步更新,当中小企业办公网用户访问了不健康、反动、不安全的网站时,系统会根据不同的策略,进行报警、日志、阻断等动作,实现健康上网。
/ 42
典型中小型企业网络边界安全解决方案 【对专线形成补充】
目前中小企业各个分支机构与总公司之间,通过专线实现纵向链接,并支撑纵向的业务访问,而总公司和各个分支机构都有互联网的通道,该通道也可作为专线的备份链路,并且从节约投资的角度,甚至可以用互联网通道取代专线,降低系统总体成本。
山石安全网关支持的IPSEC VPN技术,可以在互联网通道上提供安全保护,数据传输过程中采用加密、完整性校验措施,保障了数据的安全性。【实现安全移动办公】
通过SSL VPN解决了远程办公的安全隐患,使移动人员能够安全、可靠地访问企业网资源。
1、宣传阶段(5月28日-31日)
在公司层面内对安全系统知识进行宣贯学习,建立安全管理系统、安全技术系统两个方面的认识,在员工潜意识内形成安全管理系统的基本框架,能够按照公司方向进行改进和提升现场安全管理水平。
2、学习阶段(6月1日-22日)
按照安全管理系统和国家法规要求培训的内容形成安全知识题库,约300-400题。安全管理知识涉及法律法规、安全管理制度、设备操作规程、职业健康、应急救援等管理内容;安全技术知识涉及安全距离、用电规范、设备防护、化学品储存量、设备防护等。
题库为竞赛参考内容,竞赛题目80%为题库内题,剩余20%为安全常见内容,能够具体体现车间内安全学习情况。
3、现场竞赛方案(6月27日左右)
以车间为单位成立竞赛队伍,每队3人,车间办公室一人、班组长一人、员工一人。
公司内部竞争,每厂选出2支队伍参与公司级别竞赛,合计六支队伍进行比赛。内部竞争原则:班组长安全管理考试得分平均分,占比50%。五月份6S得分,占比50%。合计得分前两名的参与公司级竞赛。
竞赛题目如下:
1)、必答题:每队三题,每人必答一题,不得代替回答。每题10分。合计18题。
2)、抢答题:共计12题,每题10分。三人共同答题,一人作答。答对加10分,答错不得分。如回答错误,由主持人安排其他队伍抢答。
3)、风险题:分10分、30分、50分三种。每队共两次机会。按顺序每队进行风险题分值选择,选定后回答相应问题,答对加分,答错扣分,共12题。
4)、竞赛结果按照最终得分分值进行排名,若前三名出现分值相同时,分值相同队伍加赛一轮抢答题,确定最终排名。
现场人员安排:
1)、裁判人员:
综合评定风险题及回答不准确时本题得分值判定。
2)、主持人:
3)、各参赛队伍选出一名队长,负责本队安排。4)、比赛地点为
5)、比赛现场按照公司要求统一着夏季工作服。
4、奖品奖励。
4.1、第一名:洗护用品 3套 4.2、第二名:个人用小风扇3个 4.3、第三名:洗衣液
3袋
1 企业网络模块化构成
随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。
我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能[3]。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。
2 企业园区网安全设计
这里的企业园区网可以看成是企业的内部网络,包括核心网络、分布层网络、接入层网络、服务器网络和边界分布网络五个模块。下面将从每个模块入手,着重分析每个网络模块的安全设计和安全措施。
2.1 核心网络模块安全
这里的核心网络模块和其他任何网络体系结构中的核心模块一样。它主要是将信息流尽可能快速的从一个网络传送和交换至另一个网络。
设计说明:核心网络设备建议采用性能较高的第三层交换设备,并采用冗余热备份的结构,以保证核心网络的可靠性和稳定性。
主要设备:第三层交换-将生产网络数据从一个模块传送和交换至另一个模块;所缓解的威胁:分组窃听-使用限制窃听有效性的交换基础设施。
2.2 分布层网络模块安全
分布层网络模块设计的目标是向接入层交换机提供路由、服务质量(Qos)和访问控制等分布层服务。数据请求从这些交换机传至核心,响应则以相反途径进行。
设计说明:除了标准网络设计基础外,也应对交换机的配置实施优化,以便增加企业用户的安全性。入侵检测不在该模块中实施,它在包含最可能因其内容而遭攻击的资源(服务器、远程接入、互联网等)的模块中实施。分布层模块是针对内部发起攻击的第一道防御。通过使用访问控制,它可以减少一个部门访问另一部门服务器上保密信息的机会。
主要设备:第三层交换机-集中接入层网络中的第2层交换机并提供高级服务;所缓解的威胁:未授权访问-针对服务器模块资源的攻击受到特定子网第3层过滤的限制;IP电子欺骗-RFC 2827过滤中止了大多数电子欺骗企图;分组窃听-限制了窃听有效性的交换基础设施。
2.3 接入层网络模块安全
接入层网络主要包括最终用户工作站、IP电话及其相关的第2层接入的网络设备。其主要目的是向最终用户提供服务。
设计说明:因为用户设备一般来说是网络中最大规模的元素,从安全角度来说,接入层网络提供了主要的访问控制功能。
主要设备:第2层交换机———向电话和用户客户端提供第2层服务;用户客户端-向网络上的授权用户提供数据服务;IP电话-向网络上的用户提供IP电话服务。
所缓解的威胁:分组窃听使用交换基础设施和缺省VLAN服务限制窃听的有效性;病毒和木马应用-基于客户端的病毒搜索可预防大多数病毒及多数木马。
2.4 服务器网络模块安全
服务器模块的主要目标是向最终用户和设备提供应用服务。服务器网络上的信息流由第3层交换机中的主机入侵检测进行检查。
设计说明:服务器网络通常会成为内部攻击的主要目标,因此仅依靠有效口令不能提供全面的攻击保护。使用基于主机和网络的IDS、专用VLAN、访问控制以及及时的系统更新(保持病毒库以及最新补丁同步),可以实现对攻击的全面响应。在这里NIDS既可以采用三层交换机上自带的IDS功能模块,也可以采用另外购置NIDS产品,通过交换机端口镜像的方法进行监控。
主要设备:第3层交换机-向服务器提供第3层服务器并用NIDS检查通过服务器网络的数据;公司和部门服务器-为整个系统提供各种应用服务;内部邮件服务器-提供smtp和pop3服务。
所缓解的威胁:未授权访问-通过使用基于主机的IDS和访问控制缓解;应用层攻击-操作系统、设备和应用与最新安全版本保持同步,而且由基于主机的IDS保护;IP电子欺骗-使用防止源地址电子欺骗的RFC 2827;分组窃听-交换基础设施限制窃听的有效性;信任关系利用-专用VLAN防止同一子网上的主机进行通信;端口重定向-基于主机的IDS可防止安装端口重定向代理。
2.5 边界分布网络模块安全
此模块的目的是在边界集中来自外部各元素的连接,比如广域网联接、VPN连接等。信息流从边界网络的过滤和路由送到核心网络。
设计说明:边界分布模块在整体功能方面与分布层网络模块有些类似。这两个模块都采用接入控制来过滤信息流,均使用第3层交换机来获得高性能,但边界分布模块可添加附加安全功能,其为从边界网络模块发送到园区网络模块的所有信息流提供了最后一道防线,这可以减少电子欺骗分组、错误路由升级和对网络层访问控制的配置。
主要设备:第3层交换机-集中边界连接,并提供高级服务。
所缓解的威胁:未授权接入-过滤具体控制了对特定边缘子网及园区内网的访问;IP电子欺骗-RFC 2827过滤限制了本地发起的电子欺骗攻击;网络侦察-过滤可以限制不重要的流量进入园区网,从而限制黑客对网络进行侦察的能力;分组窃听-交换基础设施限制窃听的有效性。
3 企业边界网络安全设计
企业边界网络是介于企业内部网络和外部网络(互联网、其他单位网络、ISP等),两个不同安全等级网络区域之间的网络,是安全防范的重点部分。目前企业的发展很大程度上依赖互联网的信息和应用,而外部网络的种种安全隐患也会威胁到各个企业内部的信息安全。因此如何做好这部分网络的安全设计,做好信息安全与应用的平衡,是我们设计的重点。各个企业的外部网络可能各有不同,我们在这里把它们归结为四类,包括公司互联网模块、VPN及远程接入模块、电子商务模块、广域网模块。
3.1 公司互联网模块安全
公司互联网模块为内部用户提供了到互联网服务的连接并使互联网用户能够访问公共服务器上的信息。信息也可以从此模块流向VPN接入模块。
此网络模块的核心是防火墙,它为互联网公共服务和内部用户提供安全保护。状态检查会检查所有方向的信息流,从而确保只有合法信息流穿过防火墙。模块中的其他部分也围绕安全性和缓解攻击进行。从ISP的客户边缘路由器开始,ISP的出口对超过预定门限的非重要信息进行速率限制,从而缓解(D)DoS攻击。同样在ISP路由器的出口,RFC1918和2827过滤可缓解本地网络和专用地址范围的源地址电子欺骗。在企业网络的第一个路由器入口,基本过滤会根据预期信息流(IP和地址服务)来限制信息流,并对大多数基本攻击提供了过滤器。此处也提供RFC1918和2827过滤,作为对ISP过滤的验证。
3.2 VPN和远程接入模块安全
这个网络模块的功能是为三种独立的外部用户提供验证和连接,分别为:(下转第2125页)(上接第2098页)
远程接入VPN、拨号接入用户、点到点VPN。远程接入VPN是指VPN信息流从公司互联网模块的接入路由器发送到属于VPN服务一部分的特定IP地址和协议,可采用多种不同隧道和安全协议(如IPSec、PPTP、L2TP)。拨号接入是为传统的拨号用户提供接入路由器服务,通过CHAP、AAA、OTP的方式进行验证。点到点VPN是指站点间的IP信息流通过有安全有效负载(ESP)保护的GRE隧道传输。
来自三种服务的信息流在由路由器送到边界分布模块前,被防火墙集中到一个专用接口上。该防火墙必须配置适当类型的限制型访问控制,从而只允许每种服务中的适当信息流通往防火墙的内部接口。一个NIDS应用位于模块的公共边,检测对VPN接入设备的网络“侦察”活动。第二个NIDS位于防火墙之后,可发现穿过模块其余部分的攻击。
3.3 电子商务模块安全
电子商务模块是企业与外界网络进行数据交换,提供相关应用和信息服务的网络。这里的外界网络可以是Internet,也可以是其他企事业的内部网络。这一部分的设计,要在接入和安全两方面必须有所平衡。
该模块的核心是为Web、应用和数据库服务提供两对防火墙。部分附加的保护由ISP边界路由器提供。服务器本身也必须全面保护-安装主机IDS软件。
3.4 广域网模块
这部分网络主要是负责中心站点与远程站点之间信息流传输。对信息保密性非常关心的部分机构可在其广域网链路上对高度机密的信息路加密;在接入路由器上进行访问控制和策略路由等。
4 结束语
该文主要从技术因素的角度阐述了如何进行安全的网络结构设计。结合企业网络的实际情况,采用模块化的设计理念,把企业网络分成两个部分:企业园区网络和企业边界网络,具体又可分为核心网络、分布层网络、接入层网络、边界分布网络、广域网等多个功能模块。同时从各个网络模块主要实现的功能出发,详细分析如何选择合理的网络设备和安全设备、如何进行安全策略的配置,消除的各个部分安全威胁。
参考文献
[1]高虹,王志国.企业网络安全问题分析及应对措施[J].科技信息,2008(23).
[2]杨恒广.浅谈企业网络安全[J].科技信息(科学-教研),2008(7).
关键词:企业信息化;网络安全;系统安全;安全解决方案
中图分类号:TP393
1 项目来源
重钢集团公司按照国家“管住增量、调整存量、上大压小、扶优汰劣”的原则,将重庆市淘汰落后产能、节能减排与重钢环保搬迁改造工程结合起来。随着重庆市经济和城市化快速发展,重庆钢铁(集团)有限责任公司拟退出主城区,进行环保搬迁。重钢环保搬迁新厂区位于长寿区江南镇,主要生产设施包括码头、原料场、焦化、烧结、高炉、炼钢、连铸、宽厚板轧机、热连轧机和各工艺配套设施以及全厂的公辅设施等,生产规模为630万吨。
2 系统目标
重钢股份公司在搬迁的长寿区建立了全新的信息化机房,结合自身实际,决定部署一套符合自身需要的信息化平台。整个平台包含:财务系统、人力资源管理系统、门户.OA系统、各产线的MES系统、以及企业的原料,物流系统等。
3 系统实现
重钢信息系统全由公司自主研发,服务器端采用:中间服务器操作系统win2003server+Oracle Developer6i Runtimes,数据库服务器:Unix Ware+ORACLE 10g。开发端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根据业务需求,公司统一按国家标准部署了装修一个中心机房,选择了核心数据库服务器小型机、其他小型机服务器、FC-SAN存储柜、SAN交换机,磁带库、PC服务器、网络安全管理设备,机柜、应用服务器软件、数据备份管理软件、UPS电源。等硬件基础设施对此系统项目进行集成。在信息化建设实施过程中,本人主要参与了整个系统项目集成方案设计和实施。
4 项目特点
4.1 网络设计
中心机房通过防火墙等网络设备提供网络互联、网络监测、流量控制、带宽保证、防入侵检测等技术,抗击各种非法攻击和干扰,保证网络安全可靠。同时网络建设选择了骨干线路采用16芯单模光纤,接入层线路采用8芯单模光纤,桌面线路采用六类非屏蔽网络线;光纤骨干线部分采用万兆+千兆光纤双链路连接,接入层光纤采用千兆链路接口至桌面。整个网络体系满足千兆以上数据传输及交换要求。
4.2 系统设计
本系统采用业界流行的三层架构,客户端,应用服务器层,后台数据库层。
4.2.1 应用层设计特点
在应用层选择上,重钢选择了citrix软件来实现企业的虚拟化云平台,原先安装在客户端的应用程序客户端程序安装在Citrix服务器上,客户端不再需要安装原有的Client端软件,Client端设备只需通过IE就可以进行访问。这样就把原先的C/S的应用立刻转化为B/S的访问形式,而且无需进行任何的开发和修改源代码的工作。同时使用Citrix的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。Citrix是通过自己的专利技术,把软件的计算逻辑和显示逻辑分开,这样客户端只需上传一些鼠标、键盘的命令,服务器接到命令之后进行计算,将计算完的结果传送给客户端,注意:Citrix所传送的不是数据流,而是将图像的变化部分经过压缩传给客户端,只有在客户端和服务器端才可以看到真实的数据,而中间层传输的只是代码,并且Citrix还对这些代码进行了加密。对于网络的需求,只需要10K~20K的带宽就可以满足需要,尤其是在ERP中收发邮件,经常遇到较大邮件,通常在窄带、无线网络条件下基本无法访问,但通过Citrix就可以很快打开邮件,进行文件的及时处理。
4.2.2 数据库层技术特点
在数据库层的选择上,重钢选择了oracle软件。利用oracle软件本身的技术特点,我们设计系统采用ORACLE RAC+DATAGUARD的部署方式。RAC技术是通过CPU共享和存储设备共享来实现多节点之间的无缝集群,用户提交的每一项任务被自动分配给集群中的多台机器执行,用户不必通过冗余的硬件来满足高可靠性要求。
RAC的优势在于:在Cluster、MPP体系结构中,实现一个共享数据库,支持并行处理,均分负载,保证故障时数据库的不间断运行;支持Shared Disk和Shared Nothing类型的体系结构;多个节点同时工作;节点均分负载。当RAC群组的一个A节点失效时,所有的用户会被重新链接到B节点,这一切对来说用户是完全透明的,从而实现数据库的高可用性。
Data Guard是Oracle公司提出的数据库容灾技术,它提供了一种管理、监测和自动运行的体系结构,用于创建和维护一个或多个备份数据库。与远程磁盘镜像技术的根本区别在于,Data Guard是在逻辑级,通过传输和运行数据库日志文件,来保持生产和备份数据库的数据一致性。一旦数据库因某种情况而不可用时,备份数据库将正常切换或故障切换为新的生产数据库,以达到无数据损失或最小化数据损失的目的,为业务系统提供持续的数据服务能力。
4.2.3 数据备份保护特点
备份软件采用HP Data Protector软件。HP Data Protector软件能够实现自动化的高性能备份与恢复,支持通过磁盘和磁带进行备份和恢复,并且没有距离限制,从而可实现24x7全天候业务连续性,并提高IT资源利用率。Data Protector软件的采购和部署成本比竞争对手低30-70%,能够帮助客户降低IT成本,提升运营效率。许可模式简单易懂,有助于降低复杂性。广泛的可扩展性和各种特性可以实现连续的备份和恢复,使您凭借一款产品即可支持业务增长。此外,该软件还能够与领先的HP StorageWorks磁盘和磁带产品系列以及其它异构存储基础设施完美集成。作为增长迅猛的惠普软件产品组合(包括存储资源管理、归档、复制和设备管理软件)的重要组成部分,Data Protector软件还能与HP BTO管理解决方案全面集成,使客户能够将数据保护作为整个IT服务的重要环节进行管理。该解决方案将软硬件和屡获殊荣的支持服务集于一身,借助快速安装、日常任务自动化以及易于使用等特性,Data Protector软件能够大大简化复杂的备份和恢复流程。借助集中的多站点管理,可以轻松实施多站点变更,实时适应不断变化的业务需求。
5 结束语
企业信息化平台系统集成不是简单的机器设备堆叠,需要根据企业自身使用软件特点,企业使用方式,选择合适的操作系统,应用软件作为企业生产软件部署的基础,另外要合理利用各软件提供的技术方式,对系统的稳定性,安全性,冗余性进行部署,从而达到高可用和可扩展的整体系统平台。
参考文献:
[1]肖建国.《信息化规划方法论》.
[2]雷万云.信息化与信息管理实践之道[M].北京:清华大学出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
[4]周金银.《企业架构》.
作者简介:刘航(1984-),男,重庆人,助理工程师,研究方向:企业信息化。
【企业网络安全方案设计】推荐阅读:
服装企业网络营销方案范文06-11
种子企业网络调查09-06
企业网络环境需求分析07-15
00910网络经济与企业管理07-13
企业微博的营销推广技巧网络营销07-03
网络经济下企业家创新性运营模式研究论文06-24
企业安全防护方案06-01
企业安全隐患排查治理方案06-26
化工企业安全月活动方案09-06
工作方案:企业安全工作安排06-26
