典型企业网边界安全解决方案
(完整版)典型企业网络边界安全解决方案
典型中小企业网络边界安全解决方案意见征询稿Hillstone Networks Inc.2010年9月29日目录1 前言 (4)1.1 方案目的 (4)1.2 方案概述 (4)2 安全需求分析 (6)2.1 典型中小企业网络现状分析 (6)2.2 典型中小企业网络安全威胁 (8)2.3 典型中小企业网络安全需求 (10)2.3.1 需要进行有效的访问控制 (10)2.3.2 深度应用识别的需求 (11)2.3.3 需要有效防范病毒 (11)2.3.4 需要实现实名制管理 (11)2.3.5 需要实现全面URL过滤 (12)2.3.6 需要实现IPSEC VPN (12)2.3.7 需要实现集中化的管理 (12)3 安全技术选择 (13)3.1 技术选型的思路和要点 (13)3.1.1 首要保障可管理性 (13)3.1.2 其次提供可认证性 (13)3.1.3 再次保障链路畅通性 (14)3.1.4 最后是稳定性 (14)3.2 选择山石安全网关的原因 (14)3.2.1 安全可靠的集中化管理 (15)3.2.2 基于角色的安全控制与审计 (16)3.2.3 基于深度应用识别的访问控制 (17)3.2.4 深度内容安全(UTMPlus®) (17)3.2.5 高性能病毒过滤 (18)3.2.6 灵活高效的带宽管理功能 (19)3.2.7 强大的URL地址过滤库 (21)3.2.8 高性能的应用层管控能力 (21)3.2.9 高效IPSEC VPN (22)3.2.10 高可靠的冗余备份能力 (22)4 系统部署说明 (23)4.1 安全网关部署设计 (24)4.2 安全网关部署说明 (25)4.2.1 部署集中安全管理中心 (25)4.2.2 基于角色的管理配置 (29)4.2.3 配置访问控制策略 (30)4.2.4 配置带宽控制策略 (31)4.2.5 上网行为日志管理 (33)4.2.6 实现URL过滤 (35)4.2.7 实现网络病毒过滤 (36)4.2.8 部署IPSEC VPN (37)4.2.9 实现安全移动办公 (38)5 方案建设效果 (38)1前言1.1方案目的本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
边界防护解决方案
边界防护解决方案一、概述边界防护解决方案是一种综合性的网络安全方案,旨在保护企业的网络边界免受恶意攻击和未经授权的访问。
该方案通过使用多层次的安全措施,包括防火墙、入侵检测和防御系统(IDS/IPS)、虚拟专用网络(VPN)等,来确保企业网络的安全性和可靠性。
二、方案组成1. 防火墙防火墙是边界防护解决方案的核心组成部分。
它通过监控和控制进出企业网络的数据流量,实现对网络流量的过滤和审查。
防火墙可以根据预设的规则,拦截恶意的网络流量,阻止未经授权的访问,并提供日志记录和报警功能。
2. 入侵检测和防御系统(IDS/IPS)入侵检测和防御系统是一种主动防御措施,用于检测和阻止网络中的恶意行为和攻击。
IDS负责检测网络中的异常行为和攻击行为,而IPS则负责阻止这些攻击并提供实时保护。
IDS/IPS可以根据预先定义的规则和模式进行行为分析,从而及时发现并应对潜在的威胁。
3. 虚拟专用网络(VPN)虚拟专用网络是一种通过公共网络建立安全连接的技术。
它通过加密和隧道技术,为远程用户提供安全的访问企业内部网络的方式。
VPN可以有效防止数据在传输过程中被窃取或篡改,并提供身份验证和访问控制功能,确保只有经过授权的用户可以访问企业网络。
三、方案优势1. 提供全面的安全保护边界防护解决方案通过多层次的安全措施,为企业网络提供了全面的安全保护。
防火墙可以过滤恶意流量,IDS/IPS可以检测和阻止入侵行为,VPN可以保护远程连接的安全性。
这些措施的综合应用,有效地保护了企业网络的边界安全。
2. 提高网络性能和可靠性边界防护解决方案可以帮助企业提高网络性能和可靠性。
防火墙可以对流量进行优化和管理,减少网络拥堵和延迟。
IDS/IPS可以及时发现和阻止潜在的攻击行为,保证网络的稳定运行。
VPN可以提供安全的远程访问方式,方便员工在任何时间、任何地点访问企业网络。
3. 简化管理和维护边界防护解决方案可以简化网络管理和维护工作。
典型企业网络边界安全解决方案
内部威胁
01
02
03
内部人员泄露
员工在离职或跳槽时带走 企业敏感信息,或在授权 范围内滥用权限。
误操作
员工在不知情的情况下将 敏感信息泄露给外部人员 或发布不当言论。
非法入侵
内部人员通过未经授权的 方式访问敏感信息或破坏 系统。
威胁对企业网络的影响
数据泄露
敏感信息的泄露可能给企 业带来严重的声誉损失、 经济损失和法律风险。
和攻击方式。
企业网络边界安全展望
• 随着网络安全技术的不断发展,企业网络边界安全将面临更多 的挑战和机遇。未来,企业需要更加注重网络安全的防御和检 测能力,加强网络安全意识和培训,提高技术水平和应急响应 能力。同时,企业也需要不断探索新的安全技术和方案,以应 对不断变化的网络威胁和攻击方式。
未来研究方向
04
解决方案实施与部署
实施准备
安全风险评估
对企业网络进行全面的安全风险评估,识别潜在的安全威胁和漏 洞。
制定实施计划
根据安全风险评估结果,制定详细的实施计划,包括时间表、预算 和责任人。
人员培训与意识提升
对网络管理员和员工进行安全培训,提高他们的安全意识和技能。
设备配置
防火墙配置
01
在企业网络边界和内部网络配置防火墙,过滤不必要的流量和
分布式拒绝服务攻击( DDoS)
攻击者通过控制多个计算机或 网络僵尸来同时发送请求,从 而耗尽目标服务器的资源。
网络钓鱼
恶意软件(Malware)
攻击者通过伪造信任网站的方 式诱骗用户输入敏感信息,如 用户名、密码等。
攻击者在用户不知情的情况下 安装恶意软件,如木马、蠕虫 、病毒等,窃取用户敏感信息 。
系统崩溃
边界安全解决方案
边界安全解决方案
《边界安全解决方案:保护网络安全的有效方法》
随着互联网的发展和普及,网络安全已成为企业和个人面临的一项重大挑战。
在网络攻击层出不穷的今天,建立有效的边界安全解决方案对于保护企业网络和个人隐私至关重要。
边界安全解决方案是指通过防火墙、入侵检测系统(IDS)、
虚拟专用网络(VPN)等技术手段,保护网络边界,防范网
络攻击的方法。
首先,防火墙是边界安全的基础设施,可以根据设定的规则,对数据包进行过滤和识别,防止来自未经授权的访问。
其次,入侵检测系统通过监控网络流量和识别异常行为,及时发现和应对潜在的威胁。
此外,VPN可以在公共网
络上建立一个加密隧道,确保数据在传输过程中不会被窃取或篡改。
边界安全解决方案的重要性不言而喻。
首先,它可以有效防止网络攻击和黑客入侵,保障企业重要数据的安全。
其次,它能够避免敏感信息泄露,保护个人隐私。
此外,边界安全解决方案还可以帮助企业遵守法规和行业标准,避免因安全漏洞而导致的法律风险。
对于企业和个人用户而言,选择合适的边界安全解决方案至关重要。
首先,需要对自身的网络规模和特点进行充分了解,选择适合的防护设备和软件。
其次,要及时更新安全补丁和规则,及时发现和应对新型威胁。
同时,加强员工的网络安全意识培训,提高对潜在威胁的辨识能力和应对能力。
总之,边界安全解决方案是保护网络安全的有效方法之一,它通过多种技术手段保护网络边界,防范各类网络攻击和威胁。
企业和个人用户应该重视网络安全问题,选择合适的边界安全解决方案,确保数据和隐私的安全无忧。
边界防护解决方案
边界防护解决方案引言概述:边界防护解决方案是指通过建立网络边界来保护企业的信息系统免受外部威胁的一种安全策略。
在当今信息化时代,企业面临着越来越多的网络安全威胁,如黑客攻击、病毒传播、网络钓鱼等。
因此,采取有效的边界防护措施,保障企业网络安全已成为一项重要任务。
一、网络隔离1.1 物理隔离物理隔离是指通过物理设备将企业内部网络与外部网络进行隔离,防止外部攻击对内部网络的侵入。
常见的物理隔离设备包括防火墙、路由器和交换机等。
这些设备能够对网络流量进行监控和过滤,确保惟独经过授权的流量才干进入内部网络,从而提高网络安全性。
1.2 逻辑隔离逻辑隔离是指通过虚拟化技术将企业内部网络划分为多个逻辑区域,每一个区域之间相互隔离,提供更加细粒度的访问控制。
逻辑隔离可以通过虚拟局域网(VLAN)和虚拟专用网络(VPN)等技术实现。
通过逻辑隔离,企业可以根据不同的安全级别对网络资源进行分类管理,提高网络的可用性和安全性。
1.3 安全策略管理安全策略管理是指制定和执行一系列安全策略来保护企业的网络边界。
安全策略包括访问控制、身份认证、加密通信等措施。
企业可以通过建立安全策略管理系统,对网络流量进行实时监控和分析,及时发现和应对潜在的安全威胁,保障网络安全。
二、入侵检测与谨防2.1 入侵检测系统(IDS)入侵检测系统是一种用于监测和识别网络入侵行为的安全设备。
IDS可以通过监控网络流量和系统日志等方式,检测到潜在的入侵行为,并及时发出警报。
IDS 可以分为主机型IDS和网络型IDS两种类型,主机型IDS主要监测主机上的入侵行为,网络型IDS则监测整个网络的入侵行为。
2.2 入侵谨防系统(IPS)入侵谨防系统是在入侵检测系统的基础上,增加了阻断入侵行为的功能。
IPS 可以根据入侵检测到的行为,自动采取相应的谨防措施,如封锁攻击源IP、断开与攻击者的连接等,从而保护企业网络免受入侵的威胁。
2.3 威胁情报与漏洞管理威胁情报与漏洞管理是指通过获取和分析最新的威胁情报和漏洞信息,及时采取相应的防护措施。
典型企业网络边界安全解决方案
典型企业网络边界安全解决方案随着信息化时代的到来,企业网络安全问题日益突出。
企业网络边界安全解决方案成为了企业保护网络安全的重要手段。
本文将为大家介绍典型的企业网络边界安全解决方案。
一、防火墙防火墙是企业网络边界安全的第一道防线。
它可以对网络流量进行监控和过滤,阻止未经授权的访问和恶意攻击。
企业可以根据自身需求选择传统防火墙、应用层防火墙或下一代防火墙等不同类型的防火墙设备,以实现对网络流量的精细化控制和保护。
二、入侵检测系统(IDS)和入侵防御系统(IPS)入侵检测系统和入侵防御系统可以监控和检测企业网络中的异常流量和攻击行为,并采取相应的防御措施。
通过部署IDS和IPS 设备,企业可以及时发现和应对网络入侵事件,提高网络边界的安全性。
三、虚拟专用网络(VPN)虚拟专用网络是一种通过公共网络进行加密通讯的技术,可以为企业提供安全的远程访问和通信环境。
企业可以通过部署VPN设备,实现对外部网络的安全连接和通信,保护企业内部网络不受未经授权的访问和攻击。
四、安全网关安全网关是企业网络边界安全的重要组成部分,它可以对企业网络流量进行深度检测和过滤,阻止恶意攻击和威胁传播。
安全网关可以集成防火墙、IDS/IPS、反病毒、反垃圾邮件等多种安全功能,为企业提供全面的网络边界安全保护。
五、安全策略和管理企业网络边界安全解决方案的有效性不仅取决于安全设备的部署,更取决于企业的安全策略和管理。
企业需要建立完善的安全管理制度,包括安全策略制定、安全培训和意识教育、安全事件响应等方面,以确保企业网络边界安全的持续有效性。
六、综合安全解决方案随着网络安全威胁的不断演变和复杂化,企业网络边界安全解决方案也在不断发展和完善。
目前,一些厂商提供了综合的安全解决方案,集成了防火墙、IDS/IPS、VPN、安全网关等多种安全功能,为企业提供了更全面、更高效的网络边界安全保护。
总之,企业网络边界安全解决方案是保护企业网络安全的重要手段,通过合理部署和使用安全设备,建立完善的安全策略和管理制度,可以有效提高企业网络边界的安全性,保护企业的核心业务和敏感数据不受未经授权的访问和攻击。
企业如何确保网络边界安全不被轻易突破
企业如何确保网络边界安全不被轻易突破在当今数字化时代,企业的运营和发展越来越依赖于网络。
然而,网络在带来便捷和高效的同时,也带来了诸多安全隐患。
其中,网络边界安全是企业网络安全防护的第一道防线,若这道防线被轻易突破,企业将面临数据泄露、业务中断、声誉受损等严重后果。
那么,企业该如何确保网络边界安全不被轻易突破呢?首先,企业需要清晰地界定网络边界。
网络边界并非是一个固定不变的概念,它会随着企业业务的拓展、新的应用系统上线、远程办公需求增加等因素而发生变化。
因此,企业要定期对网络架构进行梳理,明确内部网络与外部网络的连接点,包括员工使用的办公终端、移动设备、服务器、物联网设备等。
同时,对于与合作伙伴、供应商等第三方的连接也要有清晰的定义和管理策略。
强化访问控制是确保网络边界安全的关键措施之一。
访问控制就像是网络边界的“门禁系统”,决定了谁能够进入以及能够访问哪些资源。
企业应该实施基于身份的访问控制策略,不再仅仅依赖于传统的基于IP 地址或网段的访问控制。
通过采用多因素身份验证,如密码、指纹、令牌等,增加身份验证的强度,降低被破解的风险。
对于不同的用户角色和部门,应赋予不同的访问权限,遵循最小权限原则,即只授予用户完成其工作所需的最低权限。
防火墙是网络边界安全防护的重要设备。
传统的防火墙主要基于端口和协议进行访问控制,但在面对日益复杂的网络攻击时,其防护能力显得有些不足。
因此,企业应部署下一代防火墙,它能够深度检测数据包的内容,识别应用程序,并根据用户、应用、内容等进行更精细的访问控制。
同时,防火墙的规则配置要定期审查和更新,以适应业务的变化和新出现的安全威胁。
入侵检测和防御系统(IDS/IPS)能够实时监测网络流量,发现并阻止潜在的入侵行为。
IDS 主要用于检测入侵行为并发出警报,而 IPS 则能够在检测到入侵时直接采取阻断措施。
企业应在网络边界部署IDS/IPS 系统,对进出网络的流量进行实时监控和分析。
企业网络安全关键问题和解决方案
企业网络安全关键问题和解决方案随着信息技术的迅猛发展,企业网络安全问题也越来越受到重视。
随着网络攻击手段的不断升级,企业需要采取一系列有效的措施来保护其关键信息资产和业务数据的安全。
本文将探讨企业网络安全的关键问题,并提出相应的解决方案。
一、社交工程攻击社交工程攻击是指黑客通过对企业员工的社交关系进行渗透,获取敏感信息的一种攻击手段。
这种攻击方式的典型案例是钓鱼邮件和诈骗电话。
企业应加强员工的安全意识教育,并且采用双重认证等技术手段来减少社交工程攻击的风险。
二、密码安全企业内部的密码安全是网络安全的重要组成部分。
弱密码、常用密码和多个账号使用相同密码,都是导致密码安全问题的常见原因。
企业应制定密码安全策略,要求员工使用强度高的密码,并定期更改密码。
此外,引入多因素身份认证技术是提高密码安全性的有效手段。
三、恶意软件攻击恶意软件攻击是企业面临的主要威胁之一。
黑客利用恶意软件感染企业系统,窃取敏感信息或者破坏系统稳定性。
为了防止恶意软件攻击,企业应该安装有效的杀毒软件和防火墙,定期更新操作系统和应用程序的补丁,以及进行系统安全审计。
四、外部入侵黑客通过攻击企业网络的外部边界来获取敏感信息和入侵企业系统。
加强企业的边界安全是解决外部入侵的关键。
采用防火墙、入侵检测系统和入侵防御系统是加强边界安全的有效手段。
此外,企业还可以通过安全审计和日志分析等手段发现和应对外部入侵威胁。
五、内部威胁企业员工或合作伙伴的行为也可能成为企业网络安全的威胁。
内部威胁主要包括意外泄漏和恶意行为。
为了减少内部威胁,企业需要制定和实施合适的安全政策和权限控制机制。
此外,加强员工的安全意识教育和监控系统的部署也是减少内部威胁的有效措施。
六、应急响应及时有效地响应网络安全事件是保护企业网络安全的关键。
企业应设立紧急响应团队,建立完善的安全事件应急预案。
同时,企业还可以引入安全信息与事件管理系统,实现对网络安全事件的及时监控和响应。
企业如何有效管理和控制网络边界安全
企业如何有效管理和控制网络边界安全在当今数字化的商业环境中,企业的网络安全如同守护城堡的城墙,而网络边界安全则是这道城墙的关键防线。
网络边界是企业内部网络与外部网络的交界之处,包括与互联网的连接、与合作伙伴的网络接口、远程办公的接入点等。
有效的管理和控制网络边界安全对于保护企业的信息资产、维持业务的正常运营以及维护企业的声誉至关重要。
首先,企业需要清晰地定义网络边界。
这意味着明确哪些设备、系统和网络属于企业内部,哪些属于外部。
通过绘制详细的网络拓扑图,企业可以直观地了解网络的架构和连接情况,从而确定边界的范围。
在定义网络边界时,要考虑到各种接入方式,如有线网络、无线网络、VPN 等,确保没有遗漏的角落。
访问控制是网络边界安全的核心策略之一。
企业应该实施严格的访问控制措施,只允许经过授权的用户、设备和应用程序访问内部网络资源。
这可以通过多种方式实现,如防火墙、入侵检测系统/入侵防御系统(IDS/IPS)、访问控制列表(ACL)等。
防火墙可以根据预设的规则过滤网络流量,阻止未经授权的访问。
IDS/IPS 则能够实时监测和阻止网络攻击。
ACL 可以在网络设备上设置,精确控制特定端口和协议的访问权限。
对于远程办公和移动设备的接入,企业需要特别关注。
随着移动办公的普及,员工经常通过笔记本电脑、手机等设备在外部网络访问企业内部资源。
为了确保安全,企业可以采用虚拟专用网络(VPN)技术。
VPN 为远程连接建立了一个加密的通道,使得数据在传输过程中得到保护。
同时,企业应该对移动设备进行管理,例如要求安装安全软件、设置设备密码、进行设备加密等。
身份认证和授权也是网络边界安全的重要环节。
企业应该建立完善的身份认证系统,确保用户的身份真实可靠。
多因素认证是一种有效的方式,结合密码、指纹、令牌等多种认证因素,大大提高了认证的安全性。
在用户通过身份认证后,还需要根据其角色和职责进行授权,明确其能够访问的资源和操作权限。
定期的安全审计和监测对于发现和预防网络边界安全问题至关重要。
边界防护解决方案
边界防护解决方案一、概述边界防护解决方案是一种综合性的网络安全解决方案,旨在保护企业网络的边界,防止未经授权的访问和恶意攻击。
该解决方案采用多层次的安全措施,包括网络防火墙、入侵检测系统、虚拟专用网络等,以确保企业网络的安全性和可靠性。
二、网络防火墙网络防火墙是边界防护解决方案的核心组件之一。
它通过设置访问控制策略,过滤和监控进出企业网络的数据流量,以防止未经授权的访问和恶意攻击。
网络防火墙可以根据规则对数据包进行检查和过滤,只允许符合规则的数据通过,并阻挠不符合规则的数据。
此外,网络防火墙还可以提供虚拟专用网络(VPN)功能,以加密和隔离远程访问。
三、入侵检测系统入侵检测系统(IDS)是边界防护解决方案中的另一个重要组成部份。
它可以监控企业网络中的流量和活动,及时发现并报告潜在的入侵行为。
IDS可以根据预先定义的规则和模式对网络流量进行分析,以识别可能的攻击行为。
一旦发现异常活动,IDS会即将发出警报,并采取相应的措施,如阻挠攻击源IP地址或者关闭受攻击的服务端口。
四、虚拟专用网络虚拟专用网络(VPN)是边界防护解决方案中的另一个重要组件。
它通过加密和隧道技术,为远程用户提供安全的访问企业网络的方式。
VPN可以在公共网络上建立一个加密的通信通道,使远程用户可以通过互联网安全地访问企业内部资源。
同时,VPN还可以提供身份验证和访问控制功能,以确保惟独经过授权的用户才干访问企业网络。
五、数据备份与恢复数据备份与恢复是边界防护解决方案中的一个重要环节。
它可以匡助企业保护关键数据免受意外删除、硬件故障或者恶意攻击的影响。
数据备份可以定期将企业数据复制到备份设备或者远程服务器上,以防止数据丢失。
而数据恢复则可以在发生数据丢失或者损坏的情况下,快速恢复数据,确保业务的连续性和可靠性。
六、安全培训与意识安全培训与意识是边界防护解决方案中的一个重要环节。
它可以提高企业员工对网络安全的认识和理解,增强他们的安全意识和防范能力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
典型中小企业网络边界安全解决方案Hillstone Networks Inc.目录1 前言 (4)1.1 方案目的 (4)1.2 方案概述 (4)2 安全需求分析 (6)2.1 典型中小企业网络现状分析 (6)2.2 典型中小企业网络安全威胁 (8)2.3 典型中小企业网络安全需求 (10)2.3.1 需要进行有效的访问控制 (10)2.3.2 深度应用识别的需求 (11)2.3.3 需要有效防范病毒 (11)2.3.4 需要实现实名制管理 (11)2.3.5 需要实现全面URL过滤 (12)2.3.6 需要实现IPSEC VPN (12)2.3.7 需要实现集中化的管理 (12)3 安全技术选择 (13)3.1 技术选型的思路和要点 (13)3.1.1 首要保障可管理性 (13)3.1.2 其次提供可认证性 (13)3.1.3 再次保障链路畅通性 (14)3.1.4 最后是稳定性 (14)3.2 选择山石安全网关的原因 (14)3.2.1 安全可靠的集中化管理 (15)3.2.2 基于角色的安全控制与审计 (16)3.2.3 基于深度应用识别的访问控制 (17)3.2.4 深度内容安全(UTMPlus®) (17)3.2.5 高性能病毒过滤 (18)3.2.6 灵活高效的带宽管理功能 (19)3.2.7 强大的URL地址过滤库 (21)3.2.8 高性能的应用层管控能力 (21)3.2.9 高效IPSEC VPN (22)3.2.10 高可靠的冗余备份能力 (22)4 系统部署说明 (23)4.1 安全网关部署设计 (24)4.2 安全网关部署说明 (25)4.2.1 部署集中安全管理中心 (25)4.2.2 基于角色的管理配置 (29)4.2.3 配置访问控制策略 (30)4.2.4 配置带宽控制策略 (31)4.2.5 上网行为日志管理 (33)4.2.6 实现URL过滤 (35)4.2.7 实现网络病毒过滤 (36)4.2.8 部署IPSEC VPN (37)4.2.9 实现安全移动办公 (38)5 方案建设效果 (38)1前言1.1方案目的本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2方案概述本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
典型中小型企业的网络结构可表示如下:典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:●实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性;●实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。
●保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;●保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为;●保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;●实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;●实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;●对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性;2安全需求分析2.1典型中小企业网络现状分析中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。
具体的组网结构可参考下图:典型中小企业组网结构示意图2.2典型中小企业网络安全威胁在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括:【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露;【恶意代码传播】大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。
【防范ARP欺骗】大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密;【恶意访问】对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。
【身份与行为的脱节】常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。
【拒绝服务攻击】大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。
这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象;【不安全的远程访问】对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。