爱科软件:首页 > 解决方案 > 网络安全子方案
网络安全子方案

在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的信息安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。

网络应分区而制,且基于区域间流量流向管理,关于安全区的建设在3.2小节已有介绍;还需要一套安全区间管理系统,用于管理内网安全。安全划分应以安全属性归类,以安全级别分区,各区具有自己独立的Vlan划分,Vlan划分应以不连续且无显眼注释。


下图介绍更详细分区办法:


网络分区分级管理办法如下:

一级核心安全区:涉密区

二级核心安全区:服务器区和安全管理区

三级内网终端区:无线办公区、有线办公区、虚拟化办公区

四级内网边界区:基础网络区、虚拟接入区

五级外网区:Internet、分支机构、供货商、客户、临时用户等

各安全间管理建议:级别越高安全管理系数越高,各区间应基于访问、查看、操作、修改、拷贝和协议连接等维度进行安全管理定义,定义单向访问还是双向访问。


网络安全制度建设

网络安全管理五套基本管理制度:

制度一(安全区间管理制度):根据自身业务特点定义各安全区间流量流向规则,如单向访问还是双向访问、可读还是可操作等。

制度二(网络设备管理制度):定义网络设备接入、运维管理制度。

制度三(上网行为管理制度):上网用户分级制,不同级别用户上网权限不同。

制度四(外网接入管理制度):管理外网接入用户制度,对外网可访问的服务器及访问范围严格制度化管理。


网络安全管理系统建设

网络安全管理上主要依赖三套工具系统完成管理,又细分为九个模块:

工具系统 模块

主要职能

部署工具

提升能力

威胁情报管理系统

网络威胁情报

主要是网络威胁数据和网络病毒威胁情报的实时监控、日志记录和统计报表,包括:网络攻击、APT攻击、DDOS攻击、网络入侵、防火墙穿透、网络病毒、木马、钓鱼网站、垃圾邮件等,输出网络威胁情报报表

IDS、病毒威胁发现设备、网络行为发现、防火墙、上网行为管理设备

提升网络入侵、上网安全、上网行为、网络病毒等风险管理能力,即识别能力

稳定性监控系统

网络设备运维

主要监控网络设备、网络安全设备的运行情况进行监控

日志审计系统、安全运维管理中心

提升网络设备运行稳定性安全检查能力和安全监控能力,即检测能力

网络流量管理系统

边界安全管理

主要对网络接入的边界安全,抵御外网攻击和入侵为主,安全接入为辅;中高端网络建议子方案拓扑图所示采用专业设备解决边界安全;小型和soho型网络建议用下一代防火墙代替所有设备做网络边界安全管理。

UTM或下一代防火墙
IPS

提升边界网络安全防御能力

VPN安全接入

VPN用户较多且具备分支机构的企业,建议使用带防火墙功能的专业VPN设备作安全接入;专业VPN可以将VPN用户定义为多个安全区,且可定义各区间互访规则,以及VPN区与内网各区间的安全访问。

专业VPN设备

提升接入控制能力,即防御能力

上网安全管理

对于用户上网安全应从四个方面管理(网络防病毒木马、防钓鱼、防垃圾邮件、)保障用户上网安全性。

网络防病毒或下一代防火墙

提升上网纵深防护能力,即防御能力

上网行为管理

对于用户上网行为应从六个方面(上网应用管理、上网流量管理、访问网站管理、上网言论管理、外发数据管理、邮件收发管理)进行细致化的行为管理,确保上网行为合规性。

上网行为管理

提升互联网访问控制能力,即防御能力

内网流量管理

对于内网之间流量进行监控和管理,在网络安全事件爆发时,可实现网络间隔离

下一代防火墙

提升安全区间访问控制能力,即防御能力

安全管理区管理

安全管理区以安全监控和管理设备为主,应注意监控和管理接口分开。

下一代防火墙

防止设备被破解和日志篡改的风险,提升安全监控能力,即检测能力

涉密区安全管理

涉密区与内网安全管理应与内网物理隔离,数据交互应以非网络方式传输。

网闸或光盘摆渡机

关键安全区隔离防护,提升防御能力。


网络安全管理服务

网络安全管理需要的服务有:网络安全架构咨询与设计服务、网络安全产品方案设计与实施服务、网络安全产品加固与优化服务、网络威胁情报服务、网络安全事件应急服务、网络应急保障服务等。

根据网络规模和信息安全级别设计自有安全安全服务体系,以及响应措施,能够有效提升网络事件响应能力、灾难恢复能力、应急保障能力。