AG亚游APP下载网络信息安全整体解决
方案
目录
一、完善、优化AG亚游APP下载内部网络架构 (4)
1、域结构管理模式 (4)
2、网络拓扑结构设计 (4)
3、三层交换与VLAN结合 (5)
4、AG亚游APP下载网管软件 (6)
二、构建全方位的数据泄漏防护系统 (12)
1、文档安全管理系统 (13)
2、AG亚游APP下载U盘认证系统 (14)
3、打印监控系统 (15)
三、建立一体化的本地/异地备份与容灾体系 (17)
四、建立防火墙、防入侵及一体化安全网关解决方案 (20)
1、趋势科技防毒墙-服务器版(SP): (21)
2、Juniper 防火墙: (22)
随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网AG亚游APP下载外部网和全球互联网的AG亚游APP下载级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时,基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决AG亚游APP下载面临的这些问题,我们可以从几方面入手:首先,完善、优化AG亚游APP下载内部网络架构;其次,构建全方位的数据泄漏防护系统;再次,建立一体化的本地/异地备份与容灾体系;最后,建立防火墙、防入侵及一体化安全网关解决方案,达到净化AG亚游APP下载内部网络环境提升员工工作效率的目的。
一、完善、优化AG亚游APP下载内部网络架构
在规划和设计AG亚游APP下载总体网络架构时,应从AG亚游APP下载应用为最基本出发点,将AG 亚游APP下载当前和各类应用和将来会上的应用都必需全部考虑进来,特别是要为AG亚游APP下载业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到AG亚游APP下载网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策,以及决定AG亚游APP下载互联网总出口带宽的大小和AG亚游APP下载网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性,可以随意增加或缩减单元。另外还应当考虑AG亚游APP下载当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化AG亚游APP下载内部网络架构。
1、域结构管理模式
在很多小型AG亚游APP下载公司内部的网络还是采用对等网模式(工作组),在这种工作模式下任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
在由Windows 9x构成的对等网中,数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理,导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外,还可以对属于域的所有计算机的操作权限(安装/卸载软件、更改IP地址、更改计算机设置等)进行有效的控制,以达到集中化管理的目的。
2、网络拓扑结构设计
组网方式:树形组网方案
该方案引入二级联网方式,骨干层交换机采用了高性能的千兆级二层交换机,连接服务器、路由器与网络打印机。二级交换机采用24+2口交换机,其中的两个端口为1000M,用于接入骨干交换机,其余10/100M
端口连接相对分散的桌面用户。
方案特点:二级联网方式更好的将数据通过骨干交换机分散处理,它与服务器之间通过1000M高速交换端口连接,以满足大容量数据传输的要求。骨干交换机和二级分交换机的连接则采用了快速以太网通道(FEC)技术,有效的扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起,在全双工工作模式下达到400-800M的带宽,FEC技术能够充分利用现有设备实现高速数据传递。同时该方案具有结构简单灵活,非常便于扩充。而且所需电缆长度很短,减少了安装费用,易于布线和维护工作。
3、三层交换与VLAN结合
很多AG亚游APP下载在网络设计初期采用二层交换技术的网络架构,核心交换机采用二层交换技术,在原先只有几
十到100多台工作站的情况下,网络性能较理想。但是随着网络规模在不断扩大,工作站增加到200台左右时,网络性能明显下降。另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风暴,而且一旦发生广播风暴,很难查找故障点,甚至导致网络瘫痪,网络维护工作量很大。如果我们采用三层交换技术的网络架构,同时在局域网内划分若干VLAN(虚拟网)后,网络性能将大为改善。这是因为三层交换技术就是“二层交换技术 + 路由转发”。它解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。再配合VLAN技术将将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。这样有三个好处:一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。
注:骨干交换机应该采用高带宽的千兆以上交换机。因为它是网络的枢纽中心,重要性突出。在大中型AG亚游APP下载中核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。即两台核心交换机正常情况下都参与工作,当其中的任何一台发生故障时,另外一台可以自动、无缝地接管它的工作,无需人工干预故障切换。全面提高网络对突发事故的自动容错能力,最小化网络的失效时间。
4、AG亚游APP下载网管软件
AG亚游APP下载网络架构在经过以上三个步骤的部署以后比较完善了,但是还缺乏有效的AG亚游APP下载网络管理软件来对网络设备进行管理,针对这种情况我们可以配置一套“方正网略网络架构管理系统”,它在整合了传统网管软件功能的同时,重点突出了方便、实用的特点,帮助AG亚游APP下载管理人员维护好自身的网络。通过对网络设备的管理、网络状态的分析、设备性能的监测以及各种故障事件的诊断和快速修复,为AG亚游APP下载提供一个稳定可靠的网络环境。
方正网略 NetInWay Pro 充分考虑了当前AG亚游APP下载级网管软件的用户需求,将系统分为以下四大功能模块,每个模块的功能如下:
☆ IP 管理(网络IP资源保护、非法IP接入阻断、定期统计 IP 使用情况,回收长期不使用 IP)☆设备管理(网络拓扑自动生成、远程查询网络设备的资源使用情况和网络设备连接状况)
☆性能分析(网络流量的图形化显示、实时监控设备端口的PPS、对内网有害流量进行阻断)
☆故障管理(检测IP故障、设备故障、流量故障、蠕虫故障)
NetInWay Pro 版本采用了简单明了的用户界面,如下图所示。在此用户界面中,把主要功能(IP 管理、设备管理、性能分析、故障管理)包含在同一界面中,方便用户使用。
现在对方正网略 NetInWay Pro做个简单介绍:
1、IP 管理
全面了解整个网络的设备运行情况、IP 地址资源使用情况,对 IP 地址资源进行有效的管理。对接入网络的计算机进行认证和管理,禁止未认证的计算机私自接入网络, 保障网络的安全运行。
方便的 IP 地址资源分配管理、实时的 IP 故障监测与报警、有效的故障响应策略,使AG亚游APP下载真正感受和掌握网络资源的运动脉搏!
对于新入网的设备,在入网申请到IP 地址的时候,系统将记录并根据此设备的使用情况。如果此设备想占用网络中已经被使用的IP,系统将产生报警,如下图所示:
2、设备管理
NetInWay Pro 提供了对网络重要设备的系统信息、流量信息进行监控和管理的功能,
设备管理的主要功能如下:
☆支持网络视图功能,自动搜索网络拓扑结构,并生成网络拓扑结构图;
☆网络设备(路由器、交换机、服务器、打印机等)进行实时状态监控;
☆远程查询服务器的CPU、内存以及硬盘的利用率和内存中的运行进程信息;
☆远程查询网络设备的连接状态、Hop数目、连接路径情况等信息;
☆监控网络设备端口的PPS,及时检测和阻断蠕虫或内网异常流量猛增设备。
在设备管理中,网络拓扑结构采用图示方式表示,拓扑结构自动发现,AG亚游APP下载网络架构一目了然;同时可以迅速的看出网络的状态(正常或故障等)。对于超过临界值或请求PPS 无应答时,节点颜色将变红,并被隔离。及时把握网络拓扑和节点的改变;图形化的网络统计数据显示, 有助于规划长期网络发展。
同时,NetInWay Pro 还可以全天候24 小时监控数千个网络设备的运行状态,如应答时间、损失率、生存时间等,如检测到故障,将实时报警并通知管理者。
3、性能分析
NetInWay Pro 性能分析是以SNMP 为基础,执行网络监控。监控信息是以日、周、月、年为周期记录日志。性能分析包括:网络流量监控和实时网络利用率查询。
性能分析模块对网络设备和链路情况进行实时监测,及时发现和处理网络故障;对出现故障的节点进行隔离,引导管理员快速定位、排除网络故障;自动生成带宽使用情况的图表,用于长期趋势分析和制定带宽使用计划,并可优化自身的网络应用,根据所提供的精确而及时的数据作出软硬件升级计划的决定。
4、故障管理
NetInWay Pro 故障管理完成网络故障(IP 故障、设备故障、流量故障、WDI 故障)的及时发现和报警,具体功能如下:
☆故障浏览及定期刷新
☆故障分类、排序、统计
☆故障报警,并通知管理员
☆浏览故障的用户权限管理
☆条件查询历史故障功能
NetInWay Pro 提供了各种详细报告(IP 状态报告书、设备状态报告书、流量分析报告书、故障情况报告书)的多种模板。
在完成了上述四个步骤的部署之后就完成了AG亚游APP下载网络架构的完整设计方案,接下来将对AG 亚游APP下载网络信息安全整体解决方案的其他部分进行阐述。
二、构建全方位的数据泄漏防护系统
近年来,泄密案件日益成为AG亚游APP下载管理者的梦魇。各种数据泄露事件越演越烈,不仅给AG亚游APP下载带来严重的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。
为防止数据外泄,AG亚游APP下载往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品,以为可以高枕无忧了。其实,这种想法是错误而且极其危险的。
FBI和CSI对484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自公司内部。在损失金额上,由于内部人员泄密导致了 6056.5 万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
因此,AG亚游APP下载在加强网络安全建设和信息安全管理的基础上,必须采用先进的数据泄露防护(DLP)体系防止AG亚游APP下载敏感资料泄密。
在经过之前几个月时间对各种防泄密产品的了解、测试,建议采用巨石数据泄露防护系统。它基于“事前防范,事中控制,事后审计”的基本思路,以密码技术为支撑、以身份认证为基础、以数据安全为核心、以监控审计为依据,通过对数据的创建、流转、销毁的全过程监控,从数据存储、网络传输等层面着手,覆盖数据安全的各个方面,构建全方位的数据泄漏防护系统。
各子系统功能简介:
文档安全管理系统实现功能
HS-Key是HS-DLP体系的基础核心软件,用于对AG亚游APP下载的机密文件资料进行加密保护,有效防止员工主动泄密或无意间的数据泄露。
HS-Key通过文件加密、权限管理、流程管理,以及与AD域和AG亚游APP下载现有的管理系统的紧密结合,来达到AG亚游APP下载对文件安全性和管理人性化的双重要求。
文档安全管理系统功能特点:
文档安全管理系统实施部署图:
AG亚游APP下载U盘认证系统实现功能
U盘的安全认证可以有效防止非法U盘在AG亚游APP下载(或政府)内部的使用而导致的泄密问题。UCS系统采用了先进的WDM驱动技术、加密技术和磁盘读写权限控制技术,集U盘身份识别、数据加密和权限控制功能为一体,是目前功能最强大、安全性最高的U盘认证系统之一。
AG亚游APP下载U盘认证系统功能特点:
AG亚游APP下载U盘认证系统实施部署图:
打印监控系统实现功能
Web方式的打印监控系统,支持打印内容监控,提供全方位的打印监控和打印管理功能。十几种报表类型从费用、负荷等全方面反映打印情况。完善的设定,可以让AG亚游APP下载在发生数据泄密时追溯到源头。
打印监控系统主要功能特点:
在AG亚游APP下载内部部署了HS-DLP体系套件之后,所有敏感、机密的数据都被透明加密与外部之间设了一道安全屏障。即使数据被员工以打印的方式带出,也可以通过打印监控系统执行倒查机制找出泄密的源头。这样就可以从多方面、最大限度的杜绝敏感、机密数据泄漏事件的发生几率,降低AG亚游APP 下载的损失。
三、建立一体化的本地/异地备份与容灾体系
随着AG亚游APP下载对于数据可用性的依赖性越来越高,数据已成为AG亚游APP下载最为宝贵的财富。要保证AG亚游APP下载业务持续的运作和成功,就要保护基于计算机的信息。但是由于自然灾难或是人为错误引发的业务宕机给AG亚游APP下载造成无可估量的损失,不能被AG亚游APP下载所接受。因此,为AG亚游APP下载的信息系统建立起有效的备份与容灾体系,在发生各类灾难时快速响应、全力保证业务连续性,成为保证AG亚游APP下载连续运营的关键。
美国飞康CDP备份/容灾一体化解决方案,彻底改变了传统的数据备份及灾难恢复方式,全面整合了数据备份、系统恢复、灾难恢复、本地及异地容灾等多项功能。无论AG亚游APP下载的应用服务器发生任何意外,例如,恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障,甚至整个机房毁于意外,都可以完整保护整个信息系统,彻底解决所有传统备份与容灾难题。帮助AG亚游APP下载最大程度的使数据丢失最少(RPO),业务中断时间最短(RTO)。
飞康CDP备份/容灾一体化解决方案的特点:
☆ 1分钟立即验证并恢复备份
传统备份机制只能从备份纪录中确认备份工作执行成功,却不能保证数据能够用于正确恢复。飞康CDP在主机端就能快速转换为快照磁盘并浏览快照内容,通过iSCSI及FC与应用服务器连结,一分钟内就能检查快照磁盘里的文件内容,并直接加载数据库系统进行数据比对和恢复验证,完全不需要耗时的数据回存过程,或占用服务器本身的磁盘空间,影响系统运行。
☆ 5分钟恢复中断的业务系统
传统备份机制保护下的服务器,一旦发生黑客/病毒攻击、打补丁造成系统不稳定、系统崩溃,就必须经过繁复且冗长的回存过程,才能让系统恢复正常运行。利用飞康CDP的SAN Boot功能,可以在意外发生后,通过安装在应用服务器上的FC HBA或iSCSI HBA,在应用服务器重新开机后接手本机硬盘,5分钟内就能恢复系统正常运行,无需重新安装操作系统和数据恢复过程。
☆ 10钟让故障服务器恢复运行
当服务器因主板等硬件故障或遭遇自然灾害,导致整台服务器无法运行时,必须送修或更换备机,相当耗时费力。飞康CDP利用虚拟服务器(如VMware)作为恢复平台,采用P2V恢复机制,将CDP管理器内的磁盘快照,通过iSCSI直接提供给虚拟机使用,无需冗长的文件系统转换过程,更不用考虑硬件与驱动程序的兼容性,10分钟内就能从虚拟机上启动系统,快速恢复服务。
四、建立防火墙、防入侵及一体化安全网关解决方案
由于在现今的网络环境下,计算机病毒有不可估量的威胁性和破坏力,因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,因此计算机病毒的防范是网络安全性建设中重要的一环。AG亚游APP下载应该构造全网统一的防病毒体系。除了部署全网统一集中管理的网络版杀毒软件之外,还要在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制。两者相辅相成是保护内部网安全的最主要、同时也是最有效、最经济的措施。
对于为什么在部署了网络版杀毒软件之后还要设置防火墙,可以这么理解:杀毒软件之所以能杀毒,纯粹是根据病毒样本的代码特征来识别是否是病毒,但是对于未知的病毒或变种的病毒,由于这些病毒木马的特征没有被杀毒软件所掌握,因此杀毒软件对它们既不能报警,也无法剿杀。所以我们就需要设置防火墙来守护AG亚游APP下载网络的大门(出入口)。
举个直观的例子:AG亚游APP下载内部网络就好比是座城堡,网络管理员是这个城堡的最高统帅,杀毒软件和防火墙是负责安全的警卫,各有分工。杀毒软件负责对进入城堡的人进行身份鉴别,如果发现可疑人物就隔离或者直接杀除;而防火墙则是门卫,掌管网络的各扇门(端口),对每一个进出城堡的
人都进行检查,一旦发现没有出入证的人就向网络管理员确认。因此,任何木马或间谍软件,或许可能在杀毒软件的眼皮底下偷偷记录用户帐号和密码,可是由于防火墙把门看得死死的,再多的信息也传不出去,从而保护了AG亚游APP下载网络的安全。
另外,对于黑客的攻击,杀毒软件是没有任何办法的,因为黑客的操作不具有任何特征码,杀毒软件自然无法识别,而防火墙可以把AG亚游APP下载内部网络的每个端口都隐藏起来,让黑客找不到入口,自然也就保证了AG亚游APP下载网络的安全。
针对上述情况,我们可以在AG亚游APP下载服务器上部署趋势科技防毒墙-服务器版(SP),监控和查杀网络内部的病毒、木马。同时在网关处设置瞻博(Juniper SSG-320M-SH)硬件防火墙对进出的信息进行安全过滤,以此构建安全、无毒的局域网络。
趋势科技防毒墙-服务器版(SP)的产品架构:
ServerProtect 是通过一个3 层的结构为网络提供病毒防护:管理控制台、信息服务器、标准服务器。管理员可以利用管理控制台配置信息服务器(IS),然后利用信息服务器控制IS 域内的标准服务器。产品主要功能与特性:
☆三层式架构执行远程管理
☆内建完整的说明功能
☆工作管理导向作业
☆支持趋势EPSAG亚游APP下载安全防护策略
☆智能型处理行动
☆智能型扫描服务
☆目录或文件写保护功能
☆趋势TSC系统病毒清除程序
☆集中式局域网管理
Juniper 防火墙介绍:
Juniper提供了可扩展的网络安全解决方案,适用于包括宽带移动用户、中小型AG亚游APP下载Internet边界、大型AG亚游APP下载的内部网络安全域划分和控制,以至电子商务网站的服务器保护等等。Juniper全功能防火墙采用实时检测技术,可以防止入侵者和拒绝服务(denial-of-service)的攻击。同
时,Juniper与国际各大品牌厂商合作提供多种领先的安全技术的集成,包括深层检测功能(Juniper)、防病毒(卡巴斯基)、垃圾邮件过滤(赛门铁克)、和网页过滤(美讯智)4种,并且可以提供试用的临时许可license,可以让用户在一定时间内下载特征库及使用该内容安全更新。过了试用期后,用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾邮件和网页过滤的定时更新。Juniper 防火墙功能特点:
深层检测功能:深层检测功能(Deep Inspection,简称DI)是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击(包括网络蠕虫、木马和恶意软件)进行检测的功能,其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面,对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配,并且作出相应的保护动作。
防病毒:防病毒也是一项内容保护不可缺少的部分。深层检测(DI)是对应用层控制字段信息进行攻击特征匹配(一般是蠕虫病毒或缓冲区溢出等攻击),而防病毒是针对文件里的携带的攻击(包括间谍软件、广告软件、网络钓鱼软件和键盘侧录软件)进行匹配的技术,而文件的传递一般依靠web、FTP的下载和上传,以及email附件等。通过和业界领先的防病毒厂家的卡巴斯基(Kaspersky)公司合作,Juniper的防火墙为AG亚游APP下载提供防病毒的一体化解决方案,即卡巴斯基(Kaspersky)病毒扫描引擎完全集成在防火墙的操作系统里,并且通过操作系统的升级而升级。
垃圾邮件过滤:垃圾邮件过滤功能也是内容安全的一个重要的组成部分。Juniper的垃圾邮件过滤功能通过不断更新的IP地址和垃圾邮件发送者列表,有效地高精确性地屏蔽垃圾邮件发送者和网络钓鱼者。当然用户也可以自己定义垃圾邮件的白名单和黑名单,手工地对垃圾邮件进行屏蔽。
网页过滤:对于放在网络边界为用户提供Internet访问的边界防火墙而言,还必须对AG亚游APP下载员工对Internet访问的网站进行控制。Juniper的网页过滤功能包括Surfcontrol和Websense都实时对Internet上的站点进行分类,如:新闻类、盗版软件类、军事类、财经等等。通过允许用户能和不能访问某一类型的网站,可以提高AG亚游APP下载员工的工作效率,并避免诸如员工到非法恶意软件站点下载等情况而导致的法律纠纷。
虚拟专用网(VPN)功能:Juniper防火墙中整合了一个全功能VPN解决方案,它们支持站点到站点VPN 及远程接入VPN应用。
流量管理功能:流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。
独特的安全区功能:将局域网划分成逻辑上安全的区域,通过安全策略来控制访问权限,为不同等级的用户提供不同的网络访问权限。
以上内容就是AG亚游APP下载网络信息安全整体解决方案。就我个人观点,在AG亚游APP下载网络安全方面要坚持多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。所以在这套解决方案中有多处保护措施是重叠的,这样可以最大化的保障AG亚游APP下载网络安全。
在局域网络系统建成之后,应该达到如下的目标:建立一套完整可行的网络安全与网络管理策略;将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信;建立网站各主机和服务器的安全保护措施,保证他们的系统安全;对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志;备份与灾难恢复——强化系统备份,实现系统快速恢复;加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。