企业网络信息安全整体解决方案.docx
《企业网络信息安全整体解决方案.docx》由会员分享,可在线阅读,更多相关《企业网络信息安全整体解决方案.docx(27页珍藏版)》请在冰豆网上搜索。
企业网络信息安全整体解决方案
企业网络信息安全整体解决方案
技术白皮书
一、完善、优化企业内部网络架构4
1、域结构管理模式4
2、网络拓扑结构设计4
3、三层交换与VLAN结合5
4、企业网管软件6
二、构建全方位的数据泄漏防护系统13
1、文档安全管理系统14
2、企业U盘认证系统15
3、打印监控系统17
三、建立一体化的本地/异地备份与容灾体系18
四、建立防火墙、防入侵及一体化安全网关解决方案21
1、趋势科技防毒墙-服务器版(SP):
22
2、Juniper防火墙:
23
随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简
单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网
的企业级计算机处理系统和世界范围内的信息共享。
在计算机连接能力连接范围大幅度提高的同时,基
于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。
为了
解决企业面临的这些问题,我们可以从几方面入手:
首先,完善、优化企业内部网络架构;其次,构建
全方位的数据泄漏防护系统;再次,建立一体化的本地/异地备份与容灾体系;最后,建立防火墙、防入
侵及一体化安全网关解决方案,达到净化企业内部网络环境提升员工工作效率的目的。
一、完善、优化企业内部网络架构
在规划和设计企业总体网络架构时,应从企业应用为最基本出发点,将企业当前和各类应用和将来
会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。
这些方
面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策,以
及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。
同时网络架构应当具有很高的灵活
性和可扩展性,可以随意增加或缩减单元。
另外还应当考虑企业当前的技术条件是否满足对网络进行可
控和可管理的要求。
下面我们就分几方面来优化企业内部网络架构。
1、域结构管理模式
在很多小型企业公司内部的网络还是采用对等网模式(工作组),在这种工作模式下任何一台电脑只
要接入网络,其他机器就都可以访问共享资源,如共享上网等。
尽管对等网络上的共享文件可以加访问
密码,但是非常容易被破解。
在由Windows9x构成的对等网中,数据的传输是非常不安全的。
同时也无法对网络内部的计算机进
行集中化的管理,导致数据泄漏。
这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络
的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为
DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联
入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是
否正确。
如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。
不能登录,用
户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,
这样就在一定程度上保护了网络上的资源。
域控制器的功能除了上面说到的可以做身份验证之外,还可
以对属于域的所有计算机的操作权限(安装/卸载软件、更改IP地址、更改计算机设置等)进行有效的
控制,以达到集中化管理的目的。
2、网络拓扑结构设计
组网方式:
树形组网方案
该方案引入二级联网方式,骨干层交换机采用了高性能的千兆级二层交换机,连接服务器、路由器与网
络打印机。
二级交换机采用24+2口交换机,其中的两个端口为1000M,用于接入骨干交换机,其余10/100M
端口连接相对分散的桌面用户。
方案特点:
二级联网方式更好的将数据通过骨干交换机分散处理,它与服务器之间通过1000M高速交换
端口连接,以满足大容量数据传输的要求。
骨干交换机和二级分交换机的连接则采用了快速以太网通道
(FEC)技术,有效的扩展了网络的带宽。
这项技术能够把2-4个物理链路聚合在一起,在全双工工作模
式下达到400-800M的带宽,FEC技术能够充分利用现有设备实现高速数据传递。
同时该方案具有结构简
单灵活,非常便于扩充。
而且所需电缆长度很短,减少了安装费用,易于布线和维护工作。
3、三层交换与VLAN结合
很多企业在网络设计初期采用二层交换技术的网络架构,核心交换机采用二层交换技术,在原先只有几
十到100多台工作站的情况下,网络性能较理想。
但是随着网络规模在不断扩大,工作站增加到
200台
左右时,网络性能明显下降。
另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风
暴,而且一旦发生广播风暴,很难查找故障点,甚至导致网络瘫痪,网络维护工作量很大。
如果我们采
用三层交换技术的网络架构,同时在局域网内划分若干VLAN(虚拟网)后,网络性能将大为改善。
这是
因为三层交换技术就是“二层交换技术+路由转发”。
它解决了二层交换技术不能处理不同IP子网之间
的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。
再配合VLAN技术将将局域
网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。
这样有三个好
处:
一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度
上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。
二是隔离广播信息,划分VLAN后,广
播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。
三
是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所
连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境
没有任何改变。
注:
骨干交换机应该采用高带宽的千兆以上交换机。
因为它是网络的枢纽中心,重要性突出。
在大中型
企业中核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
即
两台核心交换机正常情况下都参与工作,当其中的任何一台发生故障时,另外一台可以自动、无缝地接
管它的工作,无需人工干预故障切换。
全面提高网络对突发事故的自动容错能力,最小化网络的失效时
间。
4、企业网管软件
企业网络架构在经过以上三个步骤的部署以后比较完善了,但是还缺乏有效的企业网络管理软件来对网
络设备进行管理,针对这种情况我们可以配置一套“方正网略网络架构管理系统”,它在整合了传统网
管软件功能的同时,重点突出了方便、实用的特点,帮助企业管理人员维护好自身的网络。
通过对网络
设备的管理、网络状态的分析、设备性能的监测以及各种故障事件的诊断和快速修复,为企业提供一个
稳定可靠的网络环境。
方正网略NetInWayPro充分考虑了当前企业级网管软件的用户需求,将系统分为以下四大功能模块,
每个模块的功能如下:
☆IP管理(网络IP资源保护、非法IP接入阻断、定期统计IP使用情况,回收长期不使用
☆设备管理(网络拓扑自动生成、远程查询网络设备的资源使用情况和网络设备连接状况)
☆性能分析(网络流量的图形化显示、实时监控设备端口的PPS、对内网有害流量进行阻断)
☆故障管理(检测IP故障、设备故障、流量故障、蠕虫故障)
IP
)
NetInWayPro版本采用了简单明了的用户界面,如下图所示。
在此用户界面中,把主要功能(IP管理、
设备管理、性能分析、故障管理)包含在同一界面中,方便用户使用。
现在对方正网略NetInWayPro做个简单介绍:
1、IP管理
全面了解整个网络的设备运行情况、IP地址资源使用情况,对IP地址资源进行有效的管理。
对接入网
络的计算机进行认证和管理,禁止未认证的计算机私自接入网络,保障网络的安全运行。
方便的IP地址资源分配管理、实时的IP故障监测与报警、有效的故障响应策略,使企业真正感受和
掌握网络资源的运动脉搏!
对于新入网的设备,在入网申请到IP地址的时候,系统将记录并根据此设备的使用情况。
如果此设备想
占用网络中已经被使用的IP,系统将产生报警,如下图所示:
2、设备管理
NetInWayPro提供了对网络重要设备的系统信息、流量信息进行监控和管理的功能,
设备管理的主要功能如下:
☆支持网络视图功能,自动搜索网络拓扑结构,并生成网络拓扑结构图;
☆网络设备(路由器、交换机、服务器、打印机等)进行实时状态监控;
☆远程查询服务器的CPU、内存以及硬盘的利用率和内存中的运行进程信息;
☆远程查询网络设备的连接状态、Hop数目、连接路径情况等信息;
☆监控网络设备端口的PPS,及时检测和阻断蠕虫或内网异常流量猛增设备。
在设备管理中,网络拓扑结构采用图示方式表示,拓扑结构自动发现,企业网络架构一目了然;同时可
以迅速的看出网络的状态(正常或故障等)。
对于超过临界值或请求
PPS无应答时,节点颜色将变红,
并被隔离。
及时把握网络拓扑和节点的改变;图形化的网络统计数据显示
有助于规划长期网络发展。
同时,NetInWayPro还可以全天候24小时监控数千个网络设备的运行状态,如应答时间、损失率、生
存时间等,如检测到故障,将实时报警并通知管理者。
3、性能分析
NetInWayPro性能分析是以SNMP为基础,执行网络监控。
监控信息是以日、周、月、年为周期记录日
志。
性能分析包括:
网络流量监控和实时网络利用率查询。
性能分析模块对网络设备和链路情况进行实时监测,及时发现和处理网络故障;对出现故障的节点进行
隔离,引导管理员快速定位、排除网络故障;自动生成带宽使用情况的图表,用于长期趋势分析和制定
带宽使用计划,并可优化自身的网络应用,根据所提供的精确而及时的数据作出软硬件升级计划的决定。
4、故障管理
NetInWayPro故障管理完成网络故障(IP故障、设备故障、流量故障、WDI故障)的及时发现和报警,
具体功能如下:
☆故障浏览及定期刷新
☆故障分类、排序、统计
☆故障报警,并通知管理员
☆浏览故障的用户权限管理
☆条件查询历史故障功能
NetInWayPro提供了各种详细报告(IP状态报告书、设备状态报告书、流量分析报告书、故障情况报
告书)的多种模板。
在完成了上述四个步骤的部署之后就完成了企业网络架构的完整设计方案,接下来将对企业网络信息安
全整体解决方案的其他部分进行阐述。
二、构建全方位的数据泄漏防护系统
近年来,泄密案件日益成为企业管理者的梦魇。
各种数据泄露事件越演越烈,不仅给企业带来严重
的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。
为防止数据外泄,
企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品,以为可以高枕无忧了。
其实,这种想法是错误而且极其危险的。
FBI和CSI对484家公司进行了网络安全专项调查,调查结果显示:
超过85%的安全威胁来自公司内部。
在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成
损失的12倍。
因此,企业在加强网络安全建设和信息安全管理的基础上,必须采用先进的数据泄露防护(DLP)体系
防止企业敏感资料泄密。
在经过之前几个月时间对各种防泄密产品的了解、测试,建议采用巨石数据泄露防护系统。
它基于
“事前防范,事中控制,事后审计”的基本思路,以密码技术为支撑、以身份认证为基础、以数据安全
为核心、以监控审计为依据,通过对数据的创建、流转、销毁的全过程监控,从数据存储、网络传输等
层面着手,覆盖数据安全的各个方面,构建全方位的数据泄漏防护系统。
各子系统功能简介:
采用透明加解密技术,在不知不觉中自动完成文件加密。
科学、完善的解密审批流程,防止机密文件非法外泄。
文档安全管理系统
HS-Key
数据存储安全
精确控制外发出去的文件的使用权限,不再“覆水难收”
精细的文件权限控制,确保加密文件的合法使用
企业U盘认证系统
HS-UCS
完善的U盘认证体系,防止未认证的
U盘在企业内部使用。
支持打印内容监控,提供全方位的打印监控和打印管理功能
文件打印安全
打印监控系统HS-PrtMon
十几种报表类型从费用、负荷等全方面反映打印情况。
文档安全管理系统实现功能
HS-Key是HS-DLP体系的基础核心软件,用于对企业的机密文件资料进行加密保护,有效防止员工主
动泄密或无意间的数据泄露。
HS-Key通过文件加密、权限管理、流程管理,以及与AD域和企业现有的管理系统的紧密结合,来
达到企业对文件安全性和管理人性化的双重要求。
文档安全管理系统功能特点:
功能特点
文件自动加密,无需人工干预
精细权限控制,控制文件流转
集成管理系统,完美融合流程
开放策略管理,轻松扩展需求
解密审批流程,贴合企业管理
外发文件控制,覆水亦可收回
强制或不强制,部门区别对待
黑白名单功能,加强安全管理
离网工作控制,外出亦可控制
日志审计功能,追溯安全责任
说明
HS-Key采用透明加解密技术,可以在用户没有感觉的情况下,完成文件的自动加密。
既可控制文件内容复制、拖拽、打印、截屏等操作。
也可对文件(本
地磁盘网络磁盘移动磁盘文件等)和文件夹的操作进行分权限/分
级/分用户控制。
可与Windows域用户完美结合。
同时可以和企业的OA/PDM/ERP等管
理系统进行紧密的集成,进行组织架构的导入同步,工作流程融合
等。
用户可根据需求,任意添加需加密监控的应用程序和文件类型,无需二次开发即可适应未来环境,为用户节约投资成本。
加密文件或邮件附件,必须经过解密审批流程或者邮件解密流程方能正常完成解密外发。
可以对外发离开企业的文件的读写权限、打开次数、打开时间、复制截屏等操作权限进行精确控制。
可以根据不同部门的加密需求选择是否强制加密,如技术部门可以强制进行全盘加密,销售部门可以有选择的加密。
可对信任的邮箱设置为白名单,加密文件发往白名单邮箱时自动解密,发往黑名单邮件时自动拒绝发送;可对与工作无关的聊天程序、游戏等程序做控制,禁止运行和启动,实现应用程序黑白名单的管理效果。
有效控制离网工作电脑的使用权限,并可配合加密狗来实现指定的管控功能。
提供完善的事后追查和操作日志检索功能,对于所有可能造成文件泄密的途径都可进行追踪和筛查。
文档安全管理系统实施部署图:
企业U盘认证系统实现功能
U盘的安全认证可以有效防止非法U盘在企业(或政府)内部的使用而导致的泄密问题。
UCS系统采用了先进的
WDM驱动技术、加密技术和磁盘读写权限控制技术,集U盘身份识别、数据加密和权限控制功能为一体,是目前功
能最强大、安全性最高的U盘认证系统之一。
企业U盘认证系统功能特点:
功能特点
说明
安全U盘制作
将任何的普通U盘转换为一个具有身份标识,并且具有加密功能的
U
盘。
该U盘插入到普通未授权的计算机中,
U盘内容无法读取。
U盘智能识别
可自动识别普通U盘和授权认证U盘,XX认证的U盘无法在电脑上
使用;
U盘身份识别
经过认证的U盘使用时,必须再次输入密码,
验证通过后方能正常使用;
U盘统一管理
所有经过认证的U盘在使用时,都可以通过总控台进行监控和记录;
外网限制使用
当安全U盘带回家中,由于无法进行身份认证,所以无法正常使用。
U盘使用权限控制
控制指定的计算机对于U盘的只读禁止使用权限。
企业U盘认证系统实施部署图:
打印监控系统实现功能
Web方式的打印监控系统,支持打印内容监控,提供全方位的打印监控和打印管理功能。
十几种报表
类型从费用、负荷等全方面反映打印情况。
完善的设定,可以让企业在发生数据泄密时追溯到源头。
打印监控系统主要功能特点:
功能特点
打印事件记录
打印内容保存
客户端认证
说明
记录每次打印的服务器、打印机、文档名、用户、计算机、打印字节数、打印页数、打印时间、纸张大小、色彩、打印费用等信息。
·完整保存每次打印任务的全部内容为Tiff图像格式;·可设定某打印机是否需要保存内容及保存的分辨率;·可设定某些用户的打印内容不要保存,哪怕是打印到设定为需要保存内容的打印机上;·非PCL和PostScript打印机提供打印内容保存,可在打印机上重新打印还原;
·支持客户端打印时弹窗输入用户名和密码认证;·支持客户端一机多用户(多人共用一台电脑)的打印监控和计费;·支持按照打印项目进行认证、监控和计费;·设定固定配额和按照年、季、月、周、日打印配额;
用户配额
打印事件提醒
查询与报表
集中管理、认证计费
打印签核
·置透支方案,按照比例或金额设定透支上限;·可设定在打印开始、打印成功和打印失败时提醒打印人;·提醒方式支持Windows系统消息;
·打印日志查询,可按时间段、文档名、用户名、计算机名和打印机名;
·汇总统计报表,提供交叉表和主从表分析,提供表格形式的汇总报表,支持导出成Excel
格式;
·任务分析报表,具体有文件类型打印统计、打印的页数统计、纸张大小统计、打印色彩
统计和打印方式统计;
·负荷分析报表,具体有打印机日志统计、打印服务器日志统计、计算机打印日志统计和
用户打印统计;
·时间分析报表,具体有24小时、天、周、季和年度分布分布;
·任意多台打印机均可纳入管理,实现集中管理、集中认证计费,方便用户对打印资源的
集中管理和成本控制;
·多级权限管理,灵活分配不同功能、不同角色的管理帐户;
·用户的打印任务必须经过管理员查看打印内容,批准后才送往打印机,适合敏感信息和
高成本打印机的全面监控打印内容存储备份(附加模块)。
打印内容存储备份可以时时将保存的打印内容进行自动存贮备份,便于打印安全存档和防灾。
在企业内部部署了HS-DLP体系套件之后,所有敏感、机密的数据都被透明加密与外部之间设了一道
安全屏障。
即使数据被员工以打印的方式带出,也可以通过打印监控系统执行倒查机制找出泄密的源头。
这样就可以从多方面、最大限度的杜绝敏感、机密数据泄漏事件的发生几率,降低企业的损失。
三、建立一体化的本地/异地备份与容灾体系
随着企业对于数据可用性的依赖性越来越高,数据已成为企业最为宝贵的财富。
要保证企业业务持
续的运作和成功,就要保护基于计算机的信息。
但是由于自然灾难或是人为错误引发的业务宕机给企业
造成无可估量的损失,不能被企业所接受。
因此,为企业的信息系统建立起有效的备份与容灾体系,在
发生各类灾难时快速响应、全力保证业务连续性,成为保证企业连续运营的关键。
美国飞康CDP备份/容灾一体化解决方案,彻底改变了传统的数据备份及灾难恢复方式,全面整合了
数据备份、系统恢复、灾难恢复、本地及异地容灾等多项功能。
无论企业的应用服务器发生任何意外,
例如,恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障,甚至整个机房毁于意外,
都可以完整保护整个信息系统,彻底解决所有传统备份与容灾难题。
帮助企业最大程度的使数据丢失最
少(RPO),业务中断时间最短(RTO)。
飞康CDP备份/容灾一体化解决方案的特点:
☆1分钟立即验证并恢复备份
传统备份机制只能从备份纪录中确认备份工作执行成功,却不能保证数据能够用于正确恢复。
飞康
CDP在主机端就能快速转换为快照磁盘并浏览快照内容,通过iSCSI及FC与应用服务器连结,一分钟内就
能检查快照磁盘里的文件内容,并直接加载数据库系统进行数据比对和恢复验证,完全不需要耗时的数
据回存过程,或占用服务器本身的磁盘空间,影响系统运行。
☆5分钟恢复中断的业务系统
传统备份机制保护下的服务器,一旦发生黑客/病毒攻击、打补丁造成系统不稳定、系统崩溃,就必
须经过繁复且冗长的回存过程,才能让系统恢复正常运行。
利用飞康CDP的SANBoot功能,可以在意外发
生后,通过安装在应用服务器上的FCHBA或iSCSIHBA,在应用服务器重新开机后接手本机硬盘,5分钟
内就能恢复系统正常运行,无需重新安装操作系统和数据恢复过程。
☆10钟让故障服务器恢复运行
当服务器因主板等硬件故障或遭遇自然灾害,导致整台服务器无法运行时,必须送修或更换备机,相
当耗时费力。
飞康CDP利用虚拟服务器(如VMware)作为恢复平台,采用P2V恢复机制,将CDP管理器内的磁
盘快照,通过iSCSI直接提供给虚拟机使用,无需冗长的文件系统转换过程,更不用考虑硬件与驱动程序
的兼容性,10分钟内就能从虚拟机上启动系统,快速恢复服务。
四、建立防火墙、防入侵及一体化安全网关解决方案
由于在现今的网络环境下,计算机病毒有不可估量的威胁性和破坏力,因为病毒在网络中存储、传
播、感染的方式各异且途径多种多样,因此计算机病毒的防范是网络安全性建设中重要的一环。
企业应
该构造全网统一的防病毒体系。
除了部署全网统一集中管理的网络版杀毒软件之外,还要在内部网与外
部网之间,设置防火墙实现内外网的隔离与访问控制。
两者相辅相成是保护内部网安全的最主要、同时
也是最有效、最经济的措施。
对于为什么在部署了网络版杀毒软件之后还要设置防火墙,可以这
升级会员 