网络边界安全建设方案
Network protection solutions

  概述:
  近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,很大程度地困扰着用户,给企业的信息网络造成严重的破坏。
  在企业日益依赖网络进行商业活动的今天,保证企业网络边界的安全,已成为企业首要考虑的安全问题。服务器遭受攻击、网页被恶意篡改、用户反馈网站访问速度慢、服务器由于用户访问量增大而不堪重负等等,这些安全问题直接影响到企业正常业务的开展,如果处理不好,会给公司的形象带来负面影响,影响用户对企业的信心。

  需求分析:
  基于企业网络边界面临的安全问题,企业网络边界安全方面的需求归纳起来主要包括以下几点:
  1、网络层安全
  防止来自网络的各种网络攻击,保证公司网络、服务器的正常运转。
  2、网络边界的防护安全
  网络安全是整体的、动态的,不是单一产品能够完全实现。防火墙是网络安全基础防护措施之一,可以对网络访问进行有效控制。但防火墙不可能完全防止来自内部网络的攻击和那些绕过防火墙带来的攻击,乃至被允许通过防火墙正常访问带来的攻击以及一些新的攻击手段。所以,确保网络安全还必须采用具有网络入侵检测功能的安全网关系统,并做出相应反映(记录、报警、阻断)。同时通过防火墙与网络入侵安全网关系统的共同作用,使网络的安全性得到更好的保障。
  3、对外提供服务的应用系统的可靠性安全
  企业为用户提供的公司网站访问,业务平台访问,供应商/合同伙伴应用平台访问,VPN平台等等,随着企业业务的不断发展,为用户提供服务的应用服务器承担的处理任务越来越多,单台服务器的处理能力很有限,伴随着企业应用系统的“多米诺”现象的出现,保障企业应用系统的可靠性显得越来越重要。

  解决方案:
  大型企业的网络规模很大,结构相对复杂,不仅有总部,还有各地的分支机构,既要保护网络边界的安全,同时又要保护企业内网的安全。
  针对大型企业网络特点,奥诚公司提供如下混合防护的解决方案:
  1. 在总部互联网出入口处在线部署冰之眼NIPS,实现路由防护,提供互联网的从网络层、应用层到内容层的深度安全防护;
  2. 在总部内部网段之间以及与分支机构网络之间在线部署冰之眼NIPS,提供透明接入的、独立多路NIPS一进一出的、交换式NIPS多进多出的全方位、立体式的安全防护体系,实现内网的安全区域划分和控制;
  3. 在企业服务器区旁路部署冰之眼NIPS,相当于入侵检测系统,监测、分析服务器区的安全状况,保护服务器安全;
  4. 通过一个冰之眼安全中心,实现对全网NIPS设备的集中管理、安全信息的集中分析和处理,有效解决企业面临的安全问题,提高投资回报率。

  产品介绍:
  绿盟网络入侵保护系统 (NSFOCUS Network Intrusion Prevention System,简称:NSFOCUS NIPS) 是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。
  绿盟网络入侵保护系统采用先进的体系架构集成领先的入侵保护技术,包括以全面深入的协议分析技术为基础,协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎,能够协助客户:
  1、网络防护
  具有实时的、主动的网络防护功能,内置基于状态检测的防火墙,保护网络边界和内部网络,同时为网络设备的漏洞提供防护,具有流量管理功能;对于可能出现的异常流量,提供抗拒绝服务攻击功能。
  2、应用防护
  提供对应用层的防护功能,针对操作系统,应用软件以及数据库、提供深度的内容检测技术,过滤报文里的恶意流量和攻击行为,保护存在的漏洞,防止操作系统和应用程序损坏或宕机。
  3、内容管理
  对企业内部网络资源提供内容管理,可以有效检测并阻断间谍软件,包括木马后门、恶意程序和广告软件等,并可以对即时通讯、P2P下载、网络游戏、在线视频、网络流媒体等内容进行监控并阻断。
  绿盟网络入侵保护系统包括从百兆到千兆处理性能的多种型号,可以满足从中小企业到大型企业和电信运营商的各种组网需求。

  服务保障:
  企业信息安全建设的国际化原则是“七分管理,三分技术”,但对于企业网络边界的安全建设,奥诚建议采用“七分技术,三分管理”的原则。
  管理手段的利用,可让技术产品的功效得到更大的发挥,让信息安全建设落地。企业网络边界部署了相关安全产品后,企业网络边界的安全建设就高枕无忧了吗?答案是否定的。很多企业的信息安全建设都是项目型的,项目验收,标志着这一块的安全建设也就告一段落。企业信息安全建设除了需进行PDCA循环(规划、实施、检查、改进)建设,还应进行主动的CAPD,C(Check)A(Acion)P(Plan)D(Do)(检查、改进、规划、实施)。主要包括以下几个方面:
  1、IPS安全策略定期检查
  企业应规定IT人员定期(按季度或月)对防火墙安全策略进行整理、检查,明确每条安全策略的作用。以便对一些不合理、测试应用策略进行清除,保证安全策略的合理性、安全性。
  2、策略变更流程
  边界安全设备充当着企业网络边界的守护者的角色,策略的变更需要有制度、流程的规范。
  3、审计日志是否正常记录
审计日志作为边界安全设备事后审查的依据,其重要性不言而喻,企业需定期检查日志记录服务运行是否正常,日志是否正常记录,存储日志的磁盘空间是否足够等等。
  4、边界安全设备工作状态监控
  配置相应的监控手段,对设备的CPU、内存性能、和网络带宽等等指标进行监控,保证系统的健康运行。比如对网络带宽进行监控,可分析高峰期带宽的使用情况,带宽被哪些应用占用,哪些用户占用了大量带宽,这些指标可为管理决策提供充足的依据,管理层可根据这些指标决策带宽是否应该合理扩容,员工的上网管理行为是否应该加以约束等等。
  5、定期安全巡检
  要求设备供应商配合IT人员进行定期的安全巡检,是将安全隐患扼杀于发生之初的有效手段。再利用定期的安全扫描服务,及时发现网络边界存在的安全漏洞,加以修补,将企业网络边界风险降低到更小。

首页_凯旋门信誉平台 | 公司简介 | 安全服务_凯旋门信誉网址 | 运营数据管理整体解决方案_凯旋门直营网站 | 安全整体解决方案_凯旋门棋牌 | 加入我们_凯旋门游戏娱乐
地址:中国·四川·成都市锦绣路1号东3号楼1612号 邮编:610041 总机:028-85241336 传真:028-85241226-606 E-mail:aocheng@scaocheng.com | 蜀ICP备16006205号-1