微信咨詢

電話咨詢

4006-288-838

13927455457

在線客服
企業安全解決方案,企業網絡安全方案,企業防火墻方案,企業VPN組網方案,企業上網行為管理設備
企業網絡安全解決方案

中科網威官網 - 首頁 - 行業解決方案

中科網威企業網絡安全應用方案

一、企業網絡信息安全狀況

  隨著近年來網絡安全事件不斷地發生,安全問題也已成為IT業的一個熱點,安全問題對于企業用戶的發展也越來越重要。安全問題已經成為影響企業用戶業務平臺的穩定性和業務的正常提供的一個問題,所以提升企業自身網絡安全性也已經成為增強企業競爭力的重要方面之一。隨著網絡的高速發展,網絡的安全問題日益突出,近兩年間,黑客攻擊、網絡病毒等屢屢曝光,國家相關部門也一再三令五申要求切實做好網絡安全建設和管理工作。

經過調查,我們發現,目前一般企業集團存在以下幾方面網絡問題:

  • 機房網絡管理成本過高,并且造成了人力資源上的浪費;

  • 存在服務器存儲數據丟失的問題或誤操作;

  • 計算機病毒泛濫,給高效率工作造成極大的不便;

  • 網絡攻擊嚴重,嚴重影響了日常的工作;

本方案基于以上企業出現的問題從網絡安全方面提出實際解決措施。


1、外部網絡安全:外部安全主要指來自外部的一些威脅和破壞,主要是以下幾個方面:

1) 網絡拒絕服務攻擊

2) 外部黑客木馬入侵

這里是通常所說的黑客威脅,當前大多數電信網絡設備和服務都存在著被入侵的痕跡,甚至各種后門。這些是對網絡自主運行的控制權的巨大威脅,使得企業在重要和關鍵應用場合沒有信心,損失業務,甚至造成災難性后果。

3) 網絡病毒感染

病毒對信息系統的正常工作運行產生很大影響,據統計,信息系統的60%癱瘓是由于感染病毒引起的。


2、內部網絡安全

最新調查顯示, 70%以上的員工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業蒙受巨大的的損失。不滿的內部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉服務器、小程序、腳本和系統的弱點。對于已經離職的不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經離開的員工能造成更大的損失,例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入數據庫、刪除數據等等。這些都是企業內部網絡中潛存的威脅。


3、企業內外網絡之間的連接安全

企業內部網絡與外部網絡連接如沒有采取一定的安全防護措施,內部網絡就容易遭到來自外網的攻擊。內部局域網不同部門或用戶之間如果沒有采用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,在企業內部已發生的網絡安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。

隨著企業的發展壯大及移動辦公的普及,很多企業集團逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。


二、中科網威企業網絡安全解決方案

針對企業不同的VLAN劃分情況,在某些情況下,企業某些部門的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內,就可以限制局部網絡安全問題對全局網絡造成的影響。

將分散系統整合成一個異構網絡系統,數據存儲系統整合成網絡數據中心,通過存儲局域網的形式對系統的各種應用提供數據支持。隨著信息的訪問方式多樣化,信息的處理速度和信息的交換量都成倍數的增長。使整個信息系統對數據的依賴程度越來越高。采取以數據為核心,為數據訪問和數據處理采用整體防護解決方案也是系統必然的選擇。基于聯動聯防和網絡集中管理、監控技術,本方案將所有網絡安全和數據安全產品有機的結合在一起,在漏洞預防、攻擊防護、安全審計幾方面給用戶提供整體的解決方案,能夠極大地提高系統防護效果,降低網絡管理的風險和復雜性。

下圖是網絡安全產品對一個完整的企業網絡攻擊及防護安全方案圖:

圖片1.png

1、網絡系統安全

(1) 數據安全傳輸(VPN安全接入)

一般企業中心內部網絡存在兩套網絡系統,其中一套為內部網絡,主要運行的是內部辦公、業務系統等;另一套是與INTERNET相連,通過ADSL或光纖接入,并與企業系統內部的總部、分支機構網絡互連。通過公共線路建立跨越INTERNET的企業集團內部局域網,并通過網絡進行數據交換、信息共享。而INTERNET本身就缺乏有效的安全保護,如果不采取相應的安全措施,易受到來自網絡上任意主機的監聽而造成重要信息的泄密或非法篡改,產生嚴重的后果。

在本解決方案中對網絡傳輸安全部分推薦采用VPN設備來構建內聯網,由VPN設備實現網絡數據傳輸的加密保護。中科網威公司IPSEC/SSL VPN多合一VPN網關,為企業移動辦公人員提供遠程VPN安全接入訪問,中科網威VPN設備獨有的“點點通”智能 VPN 管理平臺,能為 VPN 組網提供了最靈活、最易用的全自動組網方式。ANYSEC-VPN安全網關集IPSEC/SSL VPN、上網行為管理、防火墻、動態VPN支持、流量控制管理于一體的專業安全接入產品,適用于大中小型規模企業數據互聯,它用于滿足移動用戶、分支機構、供應商、合作伙伴等對IT資源(如基于Web的應用、企業OA/ERP系統、郵件系統、文件服務器、FTP服務器、遠程控制、C/S應用系統等)的遠程安全接入的需求。

圖片2.png

VPN遠程安全接入圖


(2)網絡訪問控制安全(下一代防火墻)

由于企業廣域網網絡部分通過公共網絡建立,其在網絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問,如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等,因此,采取相應的安全措施是必不可少的。通常,對網絡的訪問控制最成熟的是采用下一代防火墻技術來實現的,中科網威下一代防火墻(NGFW)是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網絡流量中的用戶、應用和內容,并借助全新的高性能單路徑異構并行處理引擎,NGFW能夠為用戶提供有效的應用層一體化安全防護,幫助用戶安全地開展業務并簡化用戶的網絡安全架構。中科網威下一代防火墻基于2-7層訪問應用控制,識別2000多種應用和上千種網絡行為動作,具備20000多條漏洞特征庫、木馬插件等惡意內容特征庫,可以全面識別各種應用層和內容級別的各種安全威脅。可為企業、電信運營商和數據中心、高端行業用戶提供高水平的卓越性能的內網安全防火墻方案。


(3)入侵檢測防護

網絡安全不可能完全依靠單一產品來實現,網絡安全是個整體的,必須配相應的安全產品。作為必要的補充,入侵檢測系統(IDS)可與防火墻形成互補。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽而不是過濾數據包,因此,入侵檢測系統的應用不會對網絡系統性能造成多大影響。


(4)Web應用防護(WEB防火墻)

建議在企業網站服務器部署WEB應用防火墻ANYSEC-WAF,為企業提供網站安全防護增值服務。Web應用防護系統是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。在提供Web應用實現深度防御的同時,實現Web應用安全防護,黑客漏洞攻擊防護,惡意掃描及探測防護,DDOS/CC攻擊防御,URL自學習保護、Web漏洞掃描、服務器防護、網頁防篡改,數據庫防篡改,網站訪問統計,Web負載均衡等常見及最新的安全問題,為Web應用提供全方位的安全防護解決方案。通過WEB應用威脅防御、網頁防篡改、抗拒絕服務攻擊和WEB應用優化等多項功能,保障網站應用服務系統的運行質量,幫助企業網站管理者準確地了解網站的運行狀況并進行有針對性的調整。


2、網絡病毒防護

因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣,所以我們利用全方位的企業防毒產品,對企業采用“層層設防、集中控制、以防為主、防殺結合”的策略。具體而言,就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件,通過全方位、多層次的防毒系統配置,使網絡沒有薄弱環節成為病毒入侵的缺口。

在網絡骨干接入處,安裝具有防病毒功能的防火墻,由防毒墻實現網絡接入處的病毒防護。由于是安裝在網絡接入處,因此,對主要網絡協議進行殺毒處理(SMTP、FTP、HTTP)。

在服務器上安裝單獨的服務器殺毒軟件產品,對服務器進行病毒保護。

由于內部存在幾十個網絡客戶端,如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。可在服務器上安裝客戶端防病毒產品(客戶端殺毒軟件的工作模式是服務器端、客戶端的方式)的服務器端,由客戶端通過網絡與服務器端連接后進行網絡化安裝。對產品升級,可通過在服務器端進行設置,自動通過INETRNET進行升級,再由客戶端到服務器端進行升級,大大簡化升級過程,并且整個升級是自動完成,不需要人工操作。通過這種方法,可以達到層層設防的作用,最終實現病毒防護。


3、安全審計

由于企業是一個比較龐大的網絡系統,因而對整個網絡(或重要網絡部分)運行進行記錄、分析是非常重要的,它可以讓用戶通過對記錄的日志數據進行分析、比較,找出發生的網絡安全問題的原因,并可作為以后的法律證據或者為以后的網絡安全調整提供依據。


(1)網絡安全審計

企業網絡安全審計系統可以為企業提供用戶網絡行為審計和取證增值服務。中科網威公司自主研發的上網行為管理審計產品可有效保證海量審計數據不丟失;可實現網絡數據查詢操作的瞬時返回,真正實現即查即顯;中科網威上網行為管理是集上網行為管控、流量控制、安全審計、安全防護一體的高性能互聯網安全管理系統,同時管理有線網絡和無線網絡,做到全網全終端統一管控,全面識別與管控網絡中與工作無關的應用,提高工作效率,具備多項專業的流量管理功能,合理分配帶寬資源,提高帶寬利用率。高達2000萬條全球規模最大的中文URL數據庫,提供強大的URL過濾。上網行為管理監控審計功能對內網進行全面細致的網絡中科網威上網行為管理內置了強大的報表中心,可對全網的上網行為和流量進行采集和統計、分析用戶網絡行為。


(2)IT運維審計系統(堡壘機)

企業部署IT運維審計(堡壘機)系統,可以為運維人員提供統一的運維操作審計。中科網威運維堡壘機(又稱IT運維管理系統)是針對管理“IT管理員”的設備,可對企業IT運維人員在運維操作過程中進行統一身份認證、統一授權、統一審計、統一監控,消除了傳統運維過程中的盲區,實現了運維簡單化、操作可控化、過程可視化,它通過Web方式對主機、服務器、網絡設備、安全設備、數據庫、應用等實施統一認證、授權、審計、分析;具有與身份認證系統無縫結合接口,支持用戶密碼、手機動態口令雙因子認證。實現對操作過程的全程監控與審計錄像回放,以及對違規操作行為的實時阻斷,保證只有合法用戶才能使用其擁有運維權限的關鍵資源。為組織在操作風險控制、內控安全及規范性等提供一套完善、有效的審計手段。


(3)運維監控網管系統(中科網警)

企業部署運維監控網管系統,可為企業運維人員提供統一的運維設備狀態報警。中科網威自主研發的運維審計系統(中科網警系統)產品以高性能、高穩定性和實用設計為原則,運行于安全可靠的Linux操作系統,采用多層高性能架構設計,可管理上萬個監控對象。全中文WEB架構,全面支持IP網絡上的SNMP、WMI、SYSLOG和IPMI協議以及自有的SECROS協議,動力環境監控的Modbus協議,提供非常豐富IT網絡監控和動力環境監控功能,操作簡單,是追求高穩定性和高性價比的企業用戶、政府、事業單位的首選網管產品。


4、數據安全防護應用

隨著信息的訪問方式多樣化,信息的處理速度和信息的交換量都成倍數的增長。使整個信息系統對數據的依賴程度越來越高。采取以數據為核心,為數據訪問和數據處理采用整體防護解決方案也是系統必然的選擇。

1)數據存儲——基于RAID的存儲技術防止系統硬件故障。

2)雙機容錯——提供系統應用級的故障處理,適用于高可靠性需求。

3)數據備份——基于時間對文件和數據庫級別的系統故障提供解決方案。

企業內部存在大量的數據,而這里面又有許多重要的、機密的商業信息。而整個數據的安全保護就顯得特別重要,對數據進行定期備份是必不可少的安全措施。在采取數據備份時應該注意以下幾點:

存儲介質安全:在選擇存儲介質上應選擇保存時間長,對環境要求低的存儲產品,并采取多種存儲介質備份。如同時采用硬盤、光盤備份的方式。

數據安全:即數據在備份前是真實數據,沒有經過篡改或含有病毒。

備份過程安全:確保數據在備份時是沒有受到外界任何干擾,包括因異常斷電而使數據備份中斷的或其它情況。

備份數據的保管:對存有備份數據的存儲介質,應保存在安全的地方,防火、防盜及各種災害,并注意保存環境(溫度、濕度等)的正常。同時對特別重要的備份數據,還應當采取異地備份保管的方式,來確保數據安全。

4)災難恢復——對整個主機系統提供保障和系統的快速故障修復能力。


pk10赛车直播网址