- 相關推薦
網(wǎng)絡安全解決方案
網(wǎng)絡安全解決方案,不是狹義的病毒防護,而是一套立體、整體、綜合網(wǎng)絡措施。數(shù)據(jù)的安全,企業(yè)數(shù)據(jù)資料權限分配。對病毒的防范和查殺。網(wǎng)絡屏蔽,建立外網(wǎng)訪問機制。下面是公文小編整理的網(wǎng)絡安全解決方案,歡迎查看~!
網(wǎng)絡安全解決方案(詳細方案)
建立云桌面
云桌面對員工使用的是主機統(tǒng)一管理。根據(jù)級別劃定操作權限,規(guī)定資料可否拷貝帶走。病毒查殺和防范,改散養(yǎng)式為集中管理,統(tǒng)一防范、統(tǒng)一殺毒、統(tǒng)一升級。集中管理主機,避免個人誤操作致電腦崩潰。
云桌面是由云平臺主機和云終端組成。云平臺主機的存在,使用者就不需自配備電腦主機,而是大家共用主機。云終端由軟硬兩部分組成,硬件類似固話機大小,鼠標和鍵盤鏈接上面。軟件是統(tǒng)一登陸系統(tǒng),輸入賬號和密碼即可登陸云平臺。
也是sohomo,smart office,home office,mobile office智能辦公、家庭辦公,移動辦公的一部分。
組建安全網(wǎng)關辦公網(wǎng)絡
安全網(wǎng)關是利用硬設備和相應軟件,消除和防范網(wǎng)絡病毒。對惡意網(wǎng)站的自動過濾,防止Dos攻擊和IPS入侵,對蠕蟲病毒、郵件的檢測和防范,對虛擬網(wǎng)絡的`保護,強大防火墻作用。
電腦訪問互聯(lián)網(wǎng)經(jīng)過安全網(wǎng)關強制隔離。原理是利用安全網(wǎng)關接入外網(wǎng),路由器接入到安全網(wǎng)關上面,電腦通過路由器上網(wǎng)。企業(yè)內(nèi)部計算機資源與互聯(lián)網(wǎng)的互通被安全網(wǎng)關區(qū)隔。
網(wǎng)絡安全解決方案(電子政務方面)
一、前言
隨著計算機技術、網(wǎng)絡技術、通信技術的快速發(fā)展,基于網(wǎng)絡的應用已無孔不入地滲透到了社會的每一個角落,信息網(wǎng)絡技術是一把雙刃劍,它在促進國民經(jīng)濟建設、豐富人民物質(zhì)文化生活的同時,也對傳統(tǒng)的國家安全體系、政府安全體系、企業(yè)安全體系提出了嚴峻的挑戰(zhàn),使得國家的機密、政府敏感信息、企業(yè)商業(yè)機密、企業(yè)生產(chǎn)運行等面臨巨大的安全威脅。
政府各部門信息化基礎設施相對完善,信息化建設總體上處于較高水平。由于政務網(wǎng)系統(tǒng)網(wǎng)絡安全性與穩(wěn)定性的特殊要求,建立電子政務網(wǎng)安全整體防護體系,制定恰當?shù)陌踩呗裕訌姲踩芾恚岣唠娮诱⻊站W(wǎng)的安全保障能力,是當前迫在眉睫的大事。
本文以一個廳局級單位的網(wǎng)絡為例,分析其面臨的威脅,指出了部署安全防護的總體策略,探討了安全防護的技術措施。
二、網(wǎng)絡安全威脅分析
政府各部門的信息網(wǎng)絡一般分為:涉密網(wǎng)、非涉密內(nèi)網(wǎng)、外網(wǎng),按照國家保密局要求,涉密網(wǎng)與外網(wǎng)物理斷開。大部分單位建設有非涉密內(nèi)網(wǎng)和外網(wǎng)。以某局級單位的內(nèi)網(wǎng)為例,分析其潛在安全威脅如下:
局級政務網(wǎng)上與市政務網(wǎng)相聯(lián),下與區(qū)屬局級單位相聯(lián);在本局大樓內(nèi),聯(lián)接各處室、網(wǎng)絡中心、業(yè)務窗口、行政服務中心等部門;對外還直接或間接地聯(lián)到Internet。由于網(wǎng)絡結構比較復雜,連接的部門多,使用人員多,并且存在各種異構設備、多種應用系統(tǒng),因此政務網(wǎng)絡上存在的潛在安全威脅非常之大。
如果從威脅來源渠道的角度來看,有來自Internet的安全威脅、來自內(nèi)部的安全威脅,有有意的人為安全威脅、有無意的人為安全威脅。
如果從安全威脅種類的角度來看,有黑客攻擊、病毒侵害、木馬、惡意代碼、拒絕服務、后門、信息外泄、信息丟失、信息篡改、資源占用等。
安全威脅種類示意圖如下:
如果依據(jù)網(wǎng)絡的理論模型進行分析,有物理安全風險、鏈路傳輸安全風險、網(wǎng)絡互聯(lián)安全風險、系統(tǒng)安全風險、應用安全風險、以及管理安全風險。
如下圖所示:
三、總體策略
信息系統(tǒng)安全體系覆蓋通信平臺、網(wǎng)絡平臺、系統(tǒng)平臺、應用平臺,覆蓋網(wǎng)絡的各個層面,覆蓋各項安全功能,是一個多維度全方位的安全結構模型。安全體系的建立,應從設施、技術到管理整個經(jīng)營運作體系進行通盤考慮,因此必須以系統(tǒng)工程的方法進行設計。
從目前安全技術的總體發(fā)展水平與諸種因素情況來看,絕對安全是不可能的,需要在系統(tǒng)的可用性和性能、投資以及安全保障程度之間形成一定的平衡,通過相應安全措施的實施把風險降低到可接受的程度。
廳局級單位的網(wǎng)絡安全體系設計本著:適度集中,分散風險,突出重點,分級保護的總體策略。
根據(jù)中辦發(fā)[2003]27號文件精神,政府部門安全防護的總體策略是:
1、實行信息安全等級保護:根據(jù)系統(tǒng)中業(yè)務的重要性進行分區(qū),所有系統(tǒng)都必須置于相應的安全區(qū)內(nèi);對重點區(qū)域進行重點防護;采用不同強度的安全隔離設備使各安全區(qū)中的'業(yè)務系統(tǒng)得到有效保護,關鍵是將網(wǎng)絡中心與廣域網(wǎng)系統(tǒng)等實行有效安全隔離,隔離強度應接近或達到物理隔離;
2、建設和完善信息安全監(jiān)控體系;
3、建立信息安全應急響應機制;
4、加快信息安全人才培養(yǎng),增強公務人員信息安全意識;
5、加強對信息安全保障工作的領導,建立健全信息安全管理責任制。
四、主要技術措施
針對不同的安全風險種類,相應的技術措施如下表:
|
安全威脅種類 |
相應的技術措施 |
|
|
管理安全:管理員權限、口令、錯誤操作、資源亂用、內(nèi)部攻擊、內(nèi)部泄密。 |
管理體系、管理制度、管理措施、訪問控制、認證審計等技術。 |
|
|
|
||
|
應用安全:來自應用軟件、數(shù)據(jù)庫的漏洞,包括資源共享、Email、病毒等。 |
防火墻、物理隔離、入侵檢測、病毒防護、AAA認證技術、數(shù)據(jù)加密、內(nèi)容過濾、數(shù)據(jù)備份、災難恢復。 |
|
|
系統(tǒng)安全:操作系統(tǒng)的脆弱性、協(xié)議的脆弱性、漏洞、錯誤配置。 |
漏洞掃描、防火墻、物理隔離、入侵檢測、病毒防護、主機加固。 |
|
|
|
||
|
傳輸安全:在傳輸線路上竊取數(shù)據(jù)。 |
VPN加密技術。 |
|
|
網(wǎng)絡互聯(lián)安全:來自Internet、系統(tǒng)內(nèi)網(wǎng)絡、系統(tǒng)外網(wǎng)絡、內(nèi)部局域網(wǎng)、撥號網(wǎng)絡等的安全威脅。 |
防火墻、物理隔離、入侵檢測、AAA認證技術。 |
|
|
物理安全:地震、火災、水災、設備硬件損壞、電源故障、被盜等。 |
設備冗余、線路冗余、數(shù)據(jù)備份、異地備災中心等。 |
|
|
|
五、部署方案簡述
本方案針對局級政務內(nèi)網(wǎng)和外網(wǎng)進行整體安全設計。政務外網(wǎng)主要提供對社會公眾的信息發(fā)布平臺,可以通過邏輯隔離設備聯(lián)入互聯(lián)網(wǎng),政務內(nèi)網(wǎng)主要運行政務網(wǎng)內(nèi)部公文等OA系統(tǒng),縱向與上級單位和下級單位網(wǎng)絡相連,橫向通過物理隔離設備與政務外網(wǎng)相連。
在內(nèi)部網(wǎng)絡中,大量的工作站是病毒進行攻擊的主要目標之一。由于各工作站在日常工作中進行頻繁的郵件收發(fā)、數(shù)據(jù)傳輸拷貝、應用軟件執(zhí)行等操作,再加之內(nèi)部人員上網(wǎng)瀏覽、下載程序及利用軟盤、光盤進行文件復制等,使得病毒感染的可能性極大。當前的病毒傳染現(xiàn)狀是,一旦一臺工作站染毒,則會很快蔓延至整個網(wǎng)絡范圍,造成業(yè)務系統(tǒng)及辦公網(wǎng)絡的極大損害。因此,應在所有的工作站上部署客戶端防病毒產(chǎn)品。該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系統(tǒng),使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有最靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS、登錄域腳本、共享安裝以外,還支持純Web的部署方式,可以在安裝時設定的防病毒策略下,自動地進行日常所有的防毒、殺毒、更新、升級工作,極大地方便了管理員的操作,并提供最為及時有效的病毒防范機制。
桌面安全防護是近年來安全防護的又一重點內(nèi)容。桌面安全是在邊界安全(防火墻)基礎上發(fā)展起來的。它克服了邊界安全防護的固有的缺點:即只防外不防內(nèi)的缺點,能夠?qū)崿F(xiàn)一種主機駐留的安全系統(tǒng),實現(xiàn)對服務器、工作站的全方位保護,杜絕了一個端點系統(tǒng)的入侵而導致整個網(wǎng)絡蔓延的情況發(fā)生。另外它也一定程度上緩解了網(wǎng)絡效率和安全性設定之間的矛盾,多個防火墻并行運行。從一定程度上緩解了網(wǎng)關防火墻的壓力,能夠充分發(fā)揮局域網(wǎng)多個機器的團隊優(yōu)勢。
桌面安全系統(tǒng)通常是內(nèi)核模式應用,它位于操作系統(tǒng)OSI棧的底部,直接面對網(wǎng)卡,它們對所有的信息流進行過濾與限制,無論是來自Internet,還是來自內(nèi)部網(wǎng)絡。
桌面安全防護對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡進行保護一樣。對于Web服務器來說,桌面安全防護系統(tǒng)進行配置后能夠阻止一些非必要的協(xié)議,如HTTP 和 HTTPS之外的協(xié)議通過,從而阻止了非法入侵的發(fā)生,同時還具有入侵檢測及防護功能。
桌面安全防護系統(tǒng)克服了操作系統(tǒng)所具有的已知及未知的安全漏洞,如DoS(拒絕服務)、應用及口令攻擊。從而使操作系統(tǒng)得到強化。桌面安全防護系統(tǒng)對每個服務器都能進行專門的保護。系統(tǒng)管理員能夠?qū)⒃L問權限只賦予服務器上的應用所使用的必要的端口及協(xié)議。如HTTP, HTTPS, port 80, port 443等。
網(wǎng)絡入侵檢測系統(tǒng)部署在有敏感數(shù)據(jù)需要保護的網(wǎng)段上,通過實時偵聽網(wǎng)絡數(shù)據(jù)流,尋找網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)行為和未授權的網(wǎng)絡訪問時,網(wǎng)絡監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應,包括實時報警、事件登錄,或執(zhí)行用戶自定義的安全策略等。
此外網(wǎng)絡中心核心服務器區(qū)域的數(shù)據(jù)極其重要。由于人為的操作錯誤、系統(tǒng)軟件或應用軟件的缺陷、硬件的損毀、電腦病毒、黑客攻擊、自然災難等等諸多因素,都有可能造成數(shù)據(jù)的丟失,從而給用戶造成無可估量的損失。為此建議部署數(shù)據(jù)備份系統(tǒng)對數(shù)據(jù)進行經(jīng)常性的備份,一旦數(shù)據(jù)丟失,能夠快速恢復。
根據(jù)以上分析,局級單位的電子政務網(wǎng)絡典型的安全防護體系部署措施如下:
在外網(wǎng)與Internet邊界處部署百兆/千兆防火墻系統(tǒng),同時考慮到出口處的重要性和關鍵位置設備的高可用性,建議部署兩臺百兆/千兆防火墻構成雙機熱備系統(tǒng),這樣可避免單點故障帶來的網(wǎng)絡癱瘓;
在外網(wǎng)與政務內(nèi)網(wǎng)邊界處部署物理隔離網(wǎng)閘設備;
在內(nèi)網(wǎng)全網(wǎng)桌面部署桌面安全管理系統(tǒng);
在內(nèi)網(wǎng)全網(wǎng)部署網(wǎng)絡防病毒系統(tǒng);
在核心交換機上部署入侵檢測系統(tǒng)(IDS);
針對內(nèi)網(wǎng)關鍵數(shù)據(jù)庫服務器和應用服務器,應部署數(shù)據(jù)備份系統(tǒng);
在內(nèi)網(wǎng)與市級政務網(wǎng)相聯(lián)的邊界處,依據(jù)其接入的端口速率,部署千兆防火墻或百兆防火墻;
在每一個下局級單位的網(wǎng)絡邊界處,依據(jù)其接入的端口速率,部署百兆或千兆防火墻;
部署示意圖如下:
另外,安全解決方案或安全產(chǎn)品具有一定的靜態(tài)特性,而安全威脅是動態(tài)變化的。再安全的網(wǎng)絡設備離不開人的管理,再好的安全策略最終要靠人來實現(xiàn)。只有由專業(yè)人員來提供的安全服務才能適應這種動態(tài)變化的特性。因此我們認為,保障政務網(wǎng)絡安全運行的關鍵,主要起決于是否能夠提供優(yōu)質(zhì)的安全管理和安全服務。對此,政務網(wǎng)絡應選擇一支專業(yè)素質(zhì)高、服務經(jīng)驗豐富的技術隊伍來進行外包安全服務。
網(wǎng)絡安全解決方案未來趨勢
網(wǎng)絡安全解決方案趨向于大數(shù)據(jù)、云安全解決方案,就是通過海量的用戶客戶端異常情況,獲取病毒數(shù)據(jù),推送至云平臺,經(jīng)過復雜解析和處理,把最終解決方案匯集到每個用戶終端。
利用大數(shù)據(jù),有效整合再分析,推送到廣大用戶客戶端,再經(jīng)客戶端交叉、網(wǎng)狀大數(shù)據(jù),反饋給云平臺。
【網(wǎng)絡安全解決方案】相關文章:
erp解決方案04-22
oa解決方案05-31
行業(yè)解決方案04-21
智慧養(yǎng)老解決方案04-21
信息安全解決方案01-10
移動辦公解決方案03-28
網(wǎng)站建設解決方案04-23
電子商務解決方案04-21
智慧社區(qū)醫(yī)療解決方案09-02