网络安全整体解决方案
目 录
某央企国资委上市公司全球VPN解决方案.....................................................2
某北京国资委上市公司邮件整体安全解决方案................................................4
某中国500强企业负载均衡解决方案..............................................................6
某北京高教网络流量控制解决方案..................................................................7
互联网核心应用加速解决方案.........................................................................8
XX企业上网行为管理与审计解决方案..........................................................10
某企业端点安全(防病毒)解决方案............................................................12
某央企信息安全平台......................................................................................13
信息安全基础平台的管理...............................................................................15
整体网络安全拓扑..........................................................................................16
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某央企国资委上市公司全球VPN解决方案
用户需求:
1.
2.
3.
4. 分支机构、合作伙伴如何安全有效的,实时的接入企业总部,及时交换企业信息; 移动出差人员如何安全有效的,及时的将客户需求反馈到总部; 如何保障移动办公用户的安全性,资源分配合理性; 集团中层与财务人员远程连接到内部网络需要通过VPN加密连接,使用域登录帐户和CA
数字证书认证;
5. 其它集团人员使用AD域登录加动态令牌认证;
6. 限制中层、财务、其它人员访问的内部资源。
方案特点:
分支与集团通过IPSec VPN建立虚拟的局域网,使用上如同在一个网络环境内。同时移动办公人员、在外地的业务人员以及财务人员又可以通过SSL VPN方式与集团随时随地的建立安全有效的访问连接。
提高工作效率:利用无线或有线网络,可应用于各种设备,包括家用PC、笔记本电脑、PDA。在不同网络环境下让用户轻松远程访问内网的各种应用,包括Windows、Linux、Macintosh,极大地提高用户的工作效率。
降低IT开销和成本:网络管理员只需轻松部署和管理一个安全访问网关,内部和外部用户就可经由VPN远程访问所有网络资源——包括基于Web的应用、客户机/服务器应用以及基于主机的应用,从而大幅降低IT成本。
终端设备都可实现轻松访问:让用户可在任何网络环境下通过任何设备透明地访问集团内部各种网络资源。只需一个网关就可支持所有用户访问,而且,用户利用私有或公共场所电脑在多个平台所获得的访问效果是一样的。
强健可靠的移动解决方案:为移动PDA和智能手机提供了最强健可靠的安全访问解决方案,用户在办公室、家里或移动IP地址间切换时,可持续访问应用,无需重新验证。
可访问所有的应用平台:利用其独特的融合了SSL应用层控制能力与第3层隧道技术的架构,让用户可快速、轻松地访问所有应用,包括基于Web的应用、客户机/服务器应用、基于服务器的应用和基于主机的应用。
解决方案:
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
方案描述:
分支机构的财务信息和客户需求通过IPSec VPN把反馈信息安全的传输到总部。大量的出差在外的业务人员和移动办公人员通过SSL VPN访问企业总部。及时沟通和资源的共享成为集团业务发展的重要因素,分支机构和移动人员通过高效、安全、可靠的IPSec,SSL VPN方式将他们的信息反馈的公司总部。
用户数据都经过加密传输,加上强健的CA数据认证、动态密码,即使在知道域帐号的情况下用户也不必担心安全问题。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某北京国资委上市公司邮件整体安全解决方案
用户需求:
1. 禁止公司内部人员利用公司邮件系统发送个人信件;
2. 阻止员工通过邮件服务器发送公司管制性或机密文件,以至会伤害公司声誉,降低经营竞争
力;
3. 禁止员工滥发大容量的影音娱乐邮件占用带宽,公司的网络流量居高不下;
4. 防止病毒经由email群组快速窜流传染等,对企业网络系统造成破坏;
5. 符合银监会或证监会对公司信息管理和控制系统及审计的相关要求;
6. 要求对公司所有外发邮件进行归档备份;
7. 可以根据邮件的发件人、日期、主题、正文或者附件中的关键字查找邮件。
方案特点:
l
l
l
l 可以有效的禁止公司内部员工使用公司的邮件服务器在工作时间发送与工作无关的邮件; 可以有效的预防公司内部员工使用公司邮件服务器发送未经许可的机密邮件; 可以有效的禁止员工滥发大容量的影音娱乐邮件占用带宽及邮件服务器资源; 可以有效的将病毒邮件阻挡在邮件服务器以外,保证内网用户不受来自病毒邮件的感染和传
播;
l 可以任意条件查找用户所需的重要邮件以及防止重要邮件的丢失;
l 符合证监会对上市公司的要求或者银监会对金融公司的要求;
l 保证邮件服务器的安全。
解决方案:
方案描述:
外域邮件服务器发到公司本域邮件服务器流程:
外域邮件经过防火墙和交换机后到达邮件网关,邮件网关将对邮件进行多层分析,如果这是一份正常邮件,邮件网关将这封邮件投递到邮件服务器上。
如果这是垃圾邮件或病毒邮件,邮件网关将这封邮件放在邮件网关的隔离区,用户可以登录到邮件网关上查询这封邮件,并对这封邮件进行放行或下载以及删除等操作。
公司本域邮件服务器发到外域邮件服务器流程:
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
内网用户发送邮件到邮件服务器后,邮件服务器将这封邮件投递到邮件归档服务器,邮件归档服务器将这封邮件进行归档备份后再投递到邮件审计服务器上,邮件经过邮件审计服务器时,邮件审计服务器将这封邮件和规则进行匹配,如果没有相应的规则这封邮件将被放行,如果符合规则当中的任意一条规则这封邮件将暂时存储在邮件审计服务器中,直到有相应的部门管理人员对这封邮件进行审核,审核通过这份邮件将直接投递到外域邮件服务器中,如果审核不通过这封邮件将有部门管理者对这份邮件做出删除或退回的处理。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某中国500强企业负载均衡解决方案
用户需求:
1.
2.
3.
4. 要求稳定性高,要提供不间断的服务; 多台应用服务器使用一个IP地址或域名为外网提供服务; 系统处理资源要充分,能有灵活的扩展能力; 需要对每套系统的处理能力和资源使用效率进行管理和监测,以便能及时进行调整,一方面
避免资源的浪费,另一方面确保可用。
方案特点:
负载均衡系统能将传入的请求传播到多台服务器上,即可以使用多台服务器共同分担对外的网络请求服务。网络负载均衡技术保证即使是在负载很重的情况下,服务器也能做出快速响应;负载均衡对外只需提供一个IP地址(或域名);当负载均衡中的一台或几台服务器不可用时,服务不会中断。网络负载均衡自动检测到服务器不可用时,能够迅速在剩余的服务器中重新指派客户机通讯。这项保护措施能够帮助你为关键的业务程序提供不中断的服务,并可以根据网络访问量的增加来相应地增加网络负载均衡服务器的数量。
解决方案:
服
务
器
A 服务器B 服务器C
方案描述:
网络负载均衡可以让客户端用一个逻辑Internet名称和虚拟IP地址(又称群集IP地址)访问群集,同时保留每台计算机各自的名称。
这三台服务器中,一台服务器名称为A,IP地址为192.168.0.6;另一台名为B,IP地址为192.168.0.7;还有一台名为C,IP地址为192.167.0.8。规划负载均衡专用虚拟IP地址为192.168.0.9。当正式应用时,客户机只需要使用IP地址192.168.0.9来访问服务器,负载均衡会根据每台服务器的负载情况自动选择192.168.0.6、192.168.0.7或者192.168.0.8对外提供服务。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某北京高教网络流量控制解决方案
用户需求:
1.
2.
3.
4.
5. 保障在正常的工作时间,员工不能或限制使用P2P下载,影响网速; 远程移动办公和分支机构需要实时与内部交换数据,保障有足够的带宽使用; 保障重要应用例如视频会议、WEB、OA等正常使用; 提供详细的数据流量报告,掌握带宽的利用率; 根据时间段合理灵活的限制P2P下载。
方案特点:
一个高教10M网络接入环境,需要花费一大笔钱去购买这条线路。但是如果局域网内有3个员工在使用P2P下载,10M的带宽很快会被P2P下载跑满。企业一些重要的应用,比如OA、视频会议等会受到严重影响。
通过部署“应用层流量控制网关”对网络流量进行合理整形,将网内无节制的P2P下载类流量、网络电视类流量、Web视频流量控制在一个合理范围,以缓解网络出口压力、提高用户正常网络应用的访问质量;
限制IM聊天、游戏等在线娱乐,到休息时间放行,根据时间段灵活的限制,提高工作效率; 保障重要应用例如视频会议、WEB、OA等正常使用;
实时监控应用层流量,精确细分服务类型,网络可视性管理工具,为决策支持提供帮助;
对一些增值服务应用,通过带宽优先策略,保证服务品质。
解决方案:
方案描述:
流量控制系统以透明桥接模式部署在防火墙与核心交换机之间,制定符合实际需求的策略,将持续消耗大量带宽的P2P下载类和网络电视类流量控制在一个合理的范围,进行流量调峰和带宽整形。目的是使网络顺畅、出口不再拥堵,让用户的正常应用如HTTP、e-Mail、网络游戏、股票证券等始终有充裕的带宽可用,显著提高其网络效率。依靠专业的“流量控制系统”从根本上解决网络拥堵速度缓慢的问题,提高企业网络的服务能力和用户满意度。同时在不扩容出口带宽的前提下,发展和承载更多的用户入网,既保证基础投资又可降低运营成本,提升企业的竞争力。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
互联网核心应用加速解决方案
用户需求:
1. 合理有效降低带宽成本;
2. 提高网络传输效率;
3. 增加客户满意度。
方案特点:
降低带宽成本:通过透明缓存HTTP和P2P内容,内容加速系统减少了ISP运营商为了支持订阅用户需要的互联网骨干带宽总量。对于有线电视网络,内容加速系统还能够有效的延缓ISP运营商对增加CMTS上行端口和端点分离的需求,减少了大量的资金投入和占用。
提高网络效率:内容加速系统自动按需缓存内容,在网络使用高峰期减少HTTP下载和P2P下载对互联网骨干的流量压力,帮助ISP运营商获得更高的网络带宽使用效率。同时,内容加速系统还有效的改进对HTTP、P2P和非P2P应用的网络响应速度,增强了用户体验。
增加客户满意度:通过减轻HTTP下载和P2P下载对互联网骨干带宽的压力,内容加速系统改善了网络质量,减少了技术支持电话、客户投诉数量和客户流失率。对于经常使用P2P下载和在线视频的用户,他们可以用更快的速度透明的从内容加速系统中访问到已缓存的内容,而无需占用互联网骨干带宽。
管理服务器
方案描述:
通过端口镜像或无源分光获取用户上网下载行为,并智能判断需要缓存的内容,对于命中缓存的下载行为直接重新定向到本地的缓存服务器集群。用户无需安装客户端或修改配置,透明下载,透明缓存。
内容加速解决方案主要由五部分组成:监控模块、缓存模块、管理模块、调度模块和BT模块,这五种系统模块采取松散耦合的系统架构,多个功能模块可以根据实际情况分布在多台设备上。
管理模块:承担对整个系统的配置管理和状态监视,并对缓存服务器集群存储的内容进行查询、统计等管理。
调度模块:整个系统的调度中心,负责接收监控模块的缓存指令,根据智能的算法在缓存集群中选取合适的服务器进行内容缓存;并指挥监控模块将用户的下载请求重定向到对应的缓存服务器。 可以与管理模块集成在一台设备上。
监控模块:独立形式部署,或者与运营商现有的绿色上网监控服务器集成起来,通过端口镜像或无源分光的方式,从用户上网流量当中获取下载访问请求,重定向符合条件的请求到缓存服务器
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
集群,若请求的内容系统还没有缓存,则向调度模块发出缓存的指令。
缓存模块:负责下载、存储、提供缓存的HTTP文件,支持断点续传,支持音视频缓存。 负责下载、存储、提供缓存的BT文件,多进程,多线程,大容量并发下载。 支持跨协议缓存机制。
BT模块:负责提供用户BT下载在内网用户和缓存集群中资源的调配。 可以与管理模块集成在一台设备上。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
XX企业上网行为管理与审计解决方案
用户需求:
1.
2.
3.
4. 对员工上网进行规范,严禁在工作时间聊天、P2P下载等; 对员工上网进行认证,与AD域结合做到单点登录; 审计邮件和外传数据,防止员工把重要数据外传; 防止员工浏览不良网站,上班时间做一些与工作无关的事情,影响工作效率等。
方案特点:
有效的统计方法,得知网络使用状况:使IT管理者完全撑控企业网络的使用情况,有限的出口带宽的占用情况,用户最常发生的网络访问行为,用户最常访问的网站等,而不是靠部分员工的抱怨或简单记录的一些IP访问情况。
做到细致的访问控制:有效管控内网员工的各种网络访问行为;内网员工在上班时间使用QQ、MSN等聊天,浏览各种网站(甚至色情、反动网站),BBS、论坛发贴(包括不负责任的反动言论等),在线炒股、网络游戏娱乐等,不仅降低了工作效率,甚至通过Email泄漏机构机密信息,给机构带来直接经济损失,还可能引起不必要的法律纠纷。
有效管理带宽流量,保障业务系统的带宽需求:IT管理者一方面有效的撑控企业现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为做到有效管控。
对用户网络行为进行有效监控和审计
避免内网员工可能通过MSN、Email邮件等方式将企业的信息资产通过邮件及附件发送到公网,造成内部信息的泄漏;还可能通过向公网BBS、论坛发贴的方式,不仅泄露机构信息,也可能发表不良言论、网络造谣等,不仅泄露机构的信息资产,还难免招致法律问题。
解决方案:
方案描述:
对于内网员工访问各种网页的行为,通过内置URL库,关键字过滤等方式进行管控。不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制,通过深度内容检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势,通过P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
基于Web与AD/LDAP集成的用户认证功能,又支持内建帐户、支持POP3、NNTP等认证方式,使得对上网用户的管理变得十分灵活方便。通过对基于LDAP、POP3的单点登录功能,简化用户的操作,方便用户的使用。
通过各种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,实现人性化要求。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某企业端点安全(防病毒)解决方案
用户需求:
1. 保护应用数据的安全。
2. 解决部署了杀毒软件还是受到病毒影响的问题。
3. 有效的防范各种安全威胁。
方案特点:
端点安全防护,以企业版杀毒软件为主,提供应用程序控制、移动设备控制、简单网络准入控制(NAC)等功能。
不同于单机版杀毒软件,端点安全防护要求具有以下功能:
l 杀毒能力强、扫描速度快,杀毒时不影响日常工作。
l 管理员可以集中监控所有客户端状态,以及远程杀毒、除毒,做到不接触客户端完成所有
安全防护工作。
l 能够应对员工滥用QQ,游戏,P2P下载等影响工作效率的行为。
l 防御U 盘、光驱、无线网络等造成的核心数据遗失问题。
l 评估客户端计算机的安全状态(是否启用杀毒软件,个人防火墙状态,Windows 补丁是
否最新等),对于不符合要求的计算机,强制断网或要求其更新计算机以符合安全要求,
避免问题计算机成为企业内部的威胁传播源。
解决方案:
方案描述:
管理服务器:在企业数据中心部署了Management Server(管理服务器)负责企业全部端点状态监控的管理中心(Enterprise Management server)和企业所有端点的引擎和样本更新的升级服务器。管理服务器与升级服务器保持实时的特征库更新,使企业可以防范最新的安全威胁、间谍软件、广告软件、蠕虫病毒等。
客户端计算机:网络内部计算机,包括台式机、服务器和笔记本。计算机客户端需要接受管理中心服务器管理并获得样本升级,保障服务器与PC的数据安全。
移动办公计算机:即使用户出差在外地时,不接受管理中心管理,但是会保持之前由管理中心下发的安全策略,并且客户端不能随意修改,以保证安全性。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某央企信息安全平台
用户需求:
企业业务系统的安全威胁主要来自两方面:
网络安全威胁。应用系统主要部署于铁道部信息中心,与其它部门的设备部署于同一局域网内,各铁路局、站点段的网络拓扑情况不明,部分关键业务在因特网上运行。经过分析,发现存在确认网络边界,对访问进行控制的需求;对于流转的数据,存在收集、分析并针对入侵行为做出检测与防御的需求;对于终端设备、服务器存在防范病毒攻击的需求等。总之,需要构建一个安全的网络环境。
应用安全威胁。需要保证操作者,设备身份的真实性;对于敏感数据的传输,需要保证机密性;对于关键数据,要确保完整性;对关键的操作,确保不可抵赖性。总之,需要确保应用的可用性。
方案特点:
信息安全基础平台实施和建设依据下述理论模型。
图示 1 信息安全平台建设理论模型
信息安全平台建设理论:在统一安全策略指导下的,采用合理的技术标准,制定可行的安全管理规范,根据用户需求的个性实施,选用规范的、一流的安全设备,构造可信的信息安全平台。其中:
l 统一的安全策略是可信安全平台运行的指导与依据;
l 安全的技术标准、安全的管理规范是可信安全平台运行的两个基本因素;
l 针对于用户需求的合理实施是可信安全平台建设的精华;
l 规范的、一流的设备是可信的安全平台的重要依托。
信息安全基础平台的统一安全策略设计:
建设统一的账户管理策略、统一的认证策略,为今后建设统一的授权策略和统一的审计策略打下基础。
信息安全基础平台的采用的安全技术保证:
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
采用PKI体系的技术标准,配合VLAN技术、防火墙技术、防病毒技术、加密技术实现。 信息安全基础平台的安全管理规范:
建立安全管理小组,明确安全服务的规范,制定规范的安全业务管理流程,形成规范化的管理文档。
信息安全基础平台的功能:
信息安全基础平台在面对安全威胁时,要能够实现事前的预防,事中的保护和响应,事后的恢复,实现动态的安全管理过程。
方案描述:
针对需求,信息安全基础平台的建设包括网络安全部分、信息安全部分。在采用设备的基础上,配合以针对性的开发,形成了一个完整的、联动的体系,体系中没有孤立的设备,是一个立体化的防护体系。
1.1.1 采用UTM防火墙
采用UTM防火墙(主备设计),将企业应用系统与铁道部信息中心其它部门的应用系统进行逻辑隔离。在必要时开启网关防毒、防间谍软件、防入侵功能模块,保护应用服务器避免来自网络的威胁。
同时采用防火墙的负载均衡模块,为SSL VPN接入网关提供负载均衡功能。
1.1.2 采用分布式主机防毒服务器
通过分布式主机防毒,确保所有采用WINDOWS系统的主机、智能设备不受病毒、木马、蠕虫、恶意代码的威胁。配合UTM防火墙、应用层安全传输网关,建立了三层立体防毒体系,确保了网关、服务器、主机和智能终端的安全。
所有病毒包(含策略更新)由服务器向智能设备进行分发,智能设备自动安装、自动更新病毒库。
1.1.3 采用入侵检测设备
采用入侵检测设备,旁路设计,监测网络中的数据流,并与防火墙进行联动。
1.1.4 建设数字证书服务器系统
建设数字证书服务器系统,解决强身份认证的问题,确保登录安全系统和应用系统的个人和设备身份的真实性,作为燃油配送系统信息安全平台的底层基础设施,根密钥存储于加密机,个人证书存储于USB KEY。
个人证书统一制作发放,智能设备证书开发单独的模块,完成向智能设备自动分发和安装功能。
1.1.5 建设应用层传输加密机(SSL VPN)
建设应用层传输加密机,确保铁路燃油系统业务数据信息在铁路内网、外网传输时均在应用层进行安全传输。并对用户的访问权限给予细粒度的访问控制。
同时SSL VPN是用户进入应用系统的安全门户,增强了应用系统认证的强度。
1.1.6 采用目录服务器(LDAP)统一存放用户的帐户信息
数字证书服务器系统发放的证书和CRL列表统一存储于目录服务器,应用层传输加密机中维护的帐号信息也统一来自目录服务器,应用系统的用户名帐号信息也存储于目录服务器。
LDAP服务器作为用户身份、帐号、策略信息的统一存储数据库。
1.1.7 采用电子签名中间件
在核心业务系统的关键表单中嵌入电子签名中间件,所有的关键操作进行电子签名,并将签名结果存入独立的数据库,为事后的追溯提供了依据。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
1.1.8 内外网数据交换模块的开发
铁道部信息中心是内外网隔离的系统,为完成内外网数据的同步。目前证书服务器部署于内网,新增加的账户信息、CRL列表要同步到外网的LDAP服务器,确保外网设备的正常使用。
病毒库的更新在公网进行,需要将更新的病毒库数据同步到内网,确保内网的终端及时更新。 开发内外网数据交换同步模块,完成数据查询、传输、校验等功能。
1.1.9 智能终端认证模块的开发
智能终端的认证是相对于难以解决的问题,尤其是CS架构的应用系统。为解决智能终端身份真实性的问题,首先由数字证书服务器发放了设备证书,证书中有详尽的设备信息,同时开发的认证模块实现终端登录时的基于证书的认证功能。
1.1.10 内网设备安全管理模块的开发
铁道部信息中心是内外网隔离的系统,位于外网的企业的IT管理人员无法管理内网的安全设备和应用系统设备。
开发管理模块,穿越内外网,进行新的路由配置,实现内网所有安全设备和应用设备的管理。
1.2 信息安全基础平台的管理
信息安全基础平台建设成功后,项目提交近200个过程文档和最终文档,为安全管理环节打下良好基础。
同时,根据上述的安全模型,根据应用和设备的特点,确定了专门的信息安全管理人员,指定了信息安全管理制度,规定了信息安全管理流程。比如,对设备的管理,建立了巡检制度,专人负责进行每日、每周的例行巡检,确保平台的正常运行。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
整体网络安全拓扑
方案中所使用的技术种类:
l
l
l
l
l
l
l
l
l
l
l SSl VPN+动态令牌+CA数字证书认证 IPSec VPN 邮件网关 邮件审计 邮件归档备份 应用负载均衡 防火墙 带宽流量控制 上网行为管理与审计 内容加速 终端安全防护
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
网络安全整体解决方案
目 录
某央企国资委上市公司全球VPN解决方案.....................................................2
某北京国资委上市公司邮件整体安全解决方案................................................4
某中国500强企业负载均衡解决方案..............................................................6
某北京高教网络流量控制解决方案..................................................................7
互联网核心应用加速解决方案.........................................................................8
XX企业上网行为管理与审计解决方案..........................................................10
某企业端点安全(防病毒)解决方案............................................................12
某央企信息安全平台......................................................................................13
信息安全基础平台的管理...............................................................................15
整体网络安全拓扑..........................................................................................16
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某央企国资委上市公司全球VPN解决方案
用户需求:
1.
2.
3.
4. 分支机构、合作伙伴如何安全有效的,实时的接入企业总部,及时交换企业信息; 移动出差人员如何安全有效的,及时的将客户需求反馈到总部; 如何保障移动办公用户的安全性,资源分配合理性; 集团中层与财务人员远程连接到内部网络需要通过VPN加密连接,使用域登录帐户和CA
数字证书认证;
5. 其它集团人员使用AD域登录加动态令牌认证;
6. 限制中层、财务、其它人员访问的内部资源。
方案特点:
分支与集团通过IPSec VPN建立虚拟的局域网,使用上如同在一个网络环境内。同时移动办公人员、在外地的业务人员以及财务人员又可以通过SSL VPN方式与集团随时随地的建立安全有效的访问连接。
提高工作效率:利用无线或有线网络,可应用于各种设备,包括家用PC、笔记本电脑、PDA。在不同网络环境下让用户轻松远程访问内网的各种应用,包括Windows、Linux、Macintosh,极大地提高用户的工作效率。
降低IT开销和成本:网络管理员只需轻松部署和管理一个安全访问网关,内部和外部用户就可经由VPN远程访问所有网络资源——包括基于Web的应用、客户机/服务器应用以及基于主机的应用,从而大幅降低IT成本。
终端设备都可实现轻松访问:让用户可在任何网络环境下通过任何设备透明地访问集团内部各种网络资源。只需一个网关就可支持所有用户访问,而且,用户利用私有或公共场所电脑在多个平台所获得的访问效果是一样的。
强健可靠的移动解决方案:为移动PDA和智能手机提供了最强健可靠的安全访问解决方案,用户在办公室、家里或移动IP地址间切换时,可持续访问应用,无需重新验证。
可访问所有的应用平台:利用其独特的融合了SSL应用层控制能力与第3层隧道技术的架构,让用户可快速、轻松地访问所有应用,包括基于Web的应用、客户机/服务器应用、基于服务器的应用和基于主机的应用。
解决方案:
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
方案描述:
分支机构的财务信息和客户需求通过IPSec VPN把反馈信息安全的传输到总部。大量的出差在外的业务人员和移动办公人员通过SSL VPN访问企业总部。及时沟通和资源的共享成为集团业务发展的重要因素,分支机构和移动人员通过高效、安全、可靠的IPSec,SSL VPN方式将他们的信息反馈的公司总部。
用户数据都经过加密传输,加上强健的CA数据认证、动态密码,即使在知道域帐号的情况下用户也不必担心安全问题。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某北京国资委上市公司邮件整体安全解决方案
用户需求:
1. 禁止公司内部人员利用公司邮件系统发送个人信件;
2. 阻止员工通过邮件服务器发送公司管制性或机密文件,以至会伤害公司声誉,降低经营竞争
力;
3. 禁止员工滥发大容量的影音娱乐邮件占用带宽,公司的网络流量居高不下;
4. 防止病毒经由email群组快速窜流传染等,对企业网络系统造成破坏;
5. 符合银监会或证监会对公司信息管理和控制系统及审计的相关要求;
6. 要求对公司所有外发邮件进行归档备份;
7. 可以根据邮件的发件人、日期、主题、正文或者附件中的关键字查找邮件。
方案特点:
l
l
l
l 可以有效的禁止公司内部员工使用公司的邮件服务器在工作时间发送与工作无关的邮件; 可以有效的预防公司内部员工使用公司邮件服务器发送未经许可的机密邮件; 可以有效的禁止员工滥发大容量的影音娱乐邮件占用带宽及邮件服务器资源; 可以有效的将病毒邮件阻挡在邮件服务器以外,保证内网用户不受来自病毒邮件的感染和传
播;
l 可以任意条件查找用户所需的重要邮件以及防止重要邮件的丢失;
l 符合证监会对上市公司的要求或者银监会对金融公司的要求;
l 保证邮件服务器的安全。
解决方案:
方案描述:
外域邮件服务器发到公司本域邮件服务器流程:
外域邮件经过防火墙和交换机后到达邮件网关,邮件网关将对邮件进行多层分析,如果这是一份正常邮件,邮件网关将这封邮件投递到邮件服务器上。
如果这是垃圾邮件或病毒邮件,邮件网关将这封邮件放在邮件网关的隔离区,用户可以登录到邮件网关上查询这封邮件,并对这封邮件进行放行或下载以及删除等操作。
公司本域邮件服务器发到外域邮件服务器流程:
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
内网用户发送邮件到邮件服务器后,邮件服务器将这封邮件投递到邮件归档服务器,邮件归档服务器将这封邮件进行归档备份后再投递到邮件审计服务器上,邮件经过邮件审计服务器时,邮件审计服务器将这封邮件和规则进行匹配,如果没有相应的规则这封邮件将被放行,如果符合规则当中的任意一条规则这封邮件将暂时存储在邮件审计服务器中,直到有相应的部门管理人员对这封邮件进行审核,审核通过这份邮件将直接投递到外域邮件服务器中,如果审核不通过这封邮件将有部门管理者对这份邮件做出删除或退回的处理。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某中国500强企业负载均衡解决方案
用户需求:
1.
2.
3.
4. 要求稳定性高,要提供不间断的服务; 多台应用服务器使用一个IP地址或域名为外网提供服务; 系统处理资源要充分,能有灵活的扩展能力; 需要对每套系统的处理能力和资源使用效率进行管理和监测,以便能及时进行调整,一方面
避免资源的浪费,另一方面确保可用。
方案特点:
负载均衡系统能将传入的请求传播到多台服务器上,即可以使用多台服务器共同分担对外的网络请求服务。网络负载均衡技术保证即使是在负载很重的情况下,服务器也能做出快速响应;负载均衡对外只需提供一个IP地址(或域名);当负载均衡中的一台或几台服务器不可用时,服务不会中断。网络负载均衡自动检测到服务器不可用时,能够迅速在剩余的服务器中重新指派客户机通讯。这项保护措施能够帮助你为关键的业务程序提供不中断的服务,并可以根据网络访问量的增加来相应地增加网络负载均衡服务器的数量。
解决方案:
服
务
器
A 服务器B 服务器C
方案描述:
网络负载均衡可以让客户端用一个逻辑Internet名称和虚拟IP地址(又称群集IP地址)访问群集,同时保留每台计算机各自的名称。
这三台服务器中,一台服务器名称为A,IP地址为192.168.0.6;另一台名为B,IP地址为192.168.0.7;还有一台名为C,IP地址为192.167.0.8。规划负载均衡专用虚拟IP地址为192.168.0.9。当正式应用时,客户机只需要使用IP地址192.168.0.9来访问服务器,负载均衡会根据每台服务器的负载情况自动选择192.168.0.6、192.168.0.7或者192.168.0.8对外提供服务。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某北京高教网络流量控制解决方案
用户需求:
1.
2.
3.
4.
5. 保障在正常的工作时间,员工不能或限制使用P2P下载,影响网速; 远程移动办公和分支机构需要实时与内部交换数据,保障有足够的带宽使用; 保障重要应用例如视频会议、WEB、OA等正常使用; 提供详细的数据流量报告,掌握带宽的利用率; 根据时间段合理灵活的限制P2P下载。
方案特点:
一个高教10M网络接入环境,需要花费一大笔钱去购买这条线路。但是如果局域网内有3个员工在使用P2P下载,10M的带宽很快会被P2P下载跑满。企业一些重要的应用,比如OA、视频会议等会受到严重影响。
通过部署“应用层流量控制网关”对网络流量进行合理整形,将网内无节制的P2P下载类流量、网络电视类流量、Web视频流量控制在一个合理范围,以缓解网络出口压力、提高用户正常网络应用的访问质量;
限制IM聊天、游戏等在线娱乐,到休息时间放行,根据时间段灵活的限制,提高工作效率; 保障重要应用例如视频会议、WEB、OA等正常使用;
实时监控应用层流量,精确细分服务类型,网络可视性管理工具,为决策支持提供帮助;
对一些增值服务应用,通过带宽优先策略,保证服务品质。
解决方案:
方案描述:
流量控制系统以透明桥接模式部署在防火墙与核心交换机之间,制定符合实际需求的策略,将持续消耗大量带宽的P2P下载类和网络电视类流量控制在一个合理的范围,进行流量调峰和带宽整形。目的是使网络顺畅、出口不再拥堵,让用户的正常应用如HTTP、e-Mail、网络游戏、股票证券等始终有充裕的带宽可用,显著提高其网络效率。依靠专业的“流量控制系统”从根本上解决网络拥堵速度缓慢的问题,提高企业网络的服务能力和用户满意度。同时在不扩容出口带宽的前提下,发展和承载更多的用户入网,既保证基础投资又可降低运营成本,提升企业的竞争力。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
互联网核心应用加速解决方案
用户需求:
1. 合理有效降低带宽成本;
2. 提高网络传输效率;
3. 增加客户满意度。
方案特点:
降低带宽成本:通过透明缓存HTTP和P2P内容,内容加速系统减少了ISP运营商为了支持订阅用户需要的互联网骨干带宽总量。对于有线电视网络,内容加速系统还能够有效的延缓ISP运营商对增加CMTS上行端口和端点分离的需求,减少了大量的资金投入和占用。
提高网络效率:内容加速系统自动按需缓存内容,在网络使用高峰期减少HTTP下载和P2P下载对互联网骨干的流量压力,帮助ISP运营商获得更高的网络带宽使用效率。同时,内容加速系统还有效的改进对HTTP、P2P和非P2P应用的网络响应速度,增强了用户体验。
增加客户满意度:通过减轻HTTP下载和P2P下载对互联网骨干带宽的压力,内容加速系统改善了网络质量,减少了技术支持电话、客户投诉数量和客户流失率。对于经常使用P2P下载和在线视频的用户,他们可以用更快的速度透明的从内容加速系统中访问到已缓存的内容,而无需占用互联网骨干带宽。
管理服务器
方案描述:
通过端口镜像或无源分光获取用户上网下载行为,并智能判断需要缓存的内容,对于命中缓存的下载行为直接重新定向到本地的缓存服务器集群。用户无需安装客户端或修改配置,透明下载,透明缓存。
内容加速解决方案主要由五部分组成:监控模块、缓存模块、管理模块、调度模块和BT模块,这五种系统模块采取松散耦合的系统架构,多个功能模块可以根据实际情况分布在多台设备上。
管理模块:承担对整个系统的配置管理和状态监视,并对缓存服务器集群存储的内容进行查询、统计等管理。
调度模块:整个系统的调度中心,负责接收监控模块的缓存指令,根据智能的算法在缓存集群中选取合适的服务器进行内容缓存;并指挥监控模块将用户的下载请求重定向到对应的缓存服务器。 可以与管理模块集成在一台设备上。
监控模块:独立形式部署,或者与运营商现有的绿色上网监控服务器集成起来,通过端口镜像或无源分光的方式,从用户上网流量当中获取下载访问请求,重定向符合条件的请求到缓存服务器
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
集群,若请求的内容系统还没有缓存,则向调度模块发出缓存的指令。
缓存模块:负责下载、存储、提供缓存的HTTP文件,支持断点续传,支持音视频缓存。 负责下载、存储、提供缓存的BT文件,多进程,多线程,大容量并发下载。 支持跨协议缓存机制。
BT模块:负责提供用户BT下载在内网用户和缓存集群中资源的调配。 可以与管理模块集成在一台设备上。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
XX企业上网行为管理与审计解决方案
用户需求:
1.
2.
3.
4. 对员工上网进行规范,严禁在工作时间聊天、P2P下载等; 对员工上网进行认证,与AD域结合做到单点登录; 审计邮件和外传数据,防止员工把重要数据外传; 防止员工浏览不良网站,上班时间做一些与工作无关的事情,影响工作效率等。
方案特点:
有效的统计方法,得知网络使用状况:使IT管理者完全撑控企业网络的使用情况,有限的出口带宽的占用情况,用户最常发生的网络访问行为,用户最常访问的网站等,而不是靠部分员工的抱怨或简单记录的一些IP访问情况。
做到细致的访问控制:有效管控内网员工的各种网络访问行为;内网员工在上班时间使用QQ、MSN等聊天,浏览各种网站(甚至色情、反动网站),BBS、论坛发贴(包括不负责任的反动言论等),在线炒股、网络游戏娱乐等,不仅降低了工作效率,甚至通过Email泄漏机构机密信息,给机构带来直接经济损失,还可能引起不必要的法律纠纷。
有效管理带宽流量,保障业务系统的带宽需求:IT管理者一方面有效的撑控企业现有带宽资源的使用情况和利用率,同时对于各种P2P等非业务相关的网络访问行为做到有效管控。
对用户网络行为进行有效监控和审计
避免内网员工可能通过MSN、Email邮件等方式将企业的信息资产通过邮件及附件发送到公网,造成内部信息的泄漏;还可能通过向公网BBS、论坛发贴的方式,不仅泄露机构信息,也可能发表不良言论、网络造谣等,不仅泄露机构的信息资产,还难免招致法律问题。
解决方案:
方案描述:
对于内网员工访问各种网页的行为,通过内置URL库,关键字过滤等方式进行管控。不仅可以对员工使用WEB、FTP、EMAIL等常用服务进行控制,通过深度内容检测技术,根据应用数据包四层到七层的特征码,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥和P2P工具版本泛滥的趋势,通过P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
基于Web与AD/LDAP集成的用户认证功能,又支持内建帐户、支持POP3、NNTP等认证方式,使得对上网用户的管理变得十分灵活方便。通过对基于LDAP、POP3的单点登录功能,简化用户的操作,方便用户的使用。
通过各种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同的目标行为进行灵活权限控制,实现人性化要求。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某企业端点安全(防病毒)解决方案
用户需求:
1. 保护应用数据的安全。
2. 解决部署了杀毒软件还是受到病毒影响的问题。
3. 有效的防范各种安全威胁。
方案特点:
端点安全防护,以企业版杀毒软件为主,提供应用程序控制、移动设备控制、简单网络准入控制(NAC)等功能。
不同于单机版杀毒软件,端点安全防护要求具有以下功能:
l 杀毒能力强、扫描速度快,杀毒时不影响日常工作。
l 管理员可以集中监控所有客户端状态,以及远程杀毒、除毒,做到不接触客户端完成所有
安全防护工作。
l 能够应对员工滥用QQ,游戏,P2P下载等影响工作效率的行为。
l 防御U 盘、光驱、无线网络等造成的核心数据遗失问题。
l 评估客户端计算机的安全状态(是否启用杀毒软件,个人防火墙状态,Windows 补丁是
否最新等),对于不符合要求的计算机,强制断网或要求其更新计算机以符合安全要求,
避免问题计算机成为企业内部的威胁传播源。
解决方案:
方案描述:
管理服务器:在企业数据中心部署了Management Server(管理服务器)负责企业全部端点状态监控的管理中心(Enterprise Management server)和企业所有端点的引擎和样本更新的升级服务器。管理服务器与升级服务器保持实时的特征库更新,使企业可以防范最新的安全威胁、间谍软件、广告软件、蠕虫病毒等。
客户端计算机:网络内部计算机,包括台式机、服务器和笔记本。计算机客户端需要接受管理中心服务器管理并获得样本升级,保障服务器与PC的数据安全。
移动办公计算机:即使用户出差在外地时,不接受管理中心管理,但是会保持之前由管理中心下发的安全策略,并且客户端不能随意修改,以保证安全性。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
某央企信息安全平台
用户需求:
企业业务系统的安全威胁主要来自两方面:
网络安全威胁。应用系统主要部署于铁道部信息中心,与其它部门的设备部署于同一局域网内,各铁路局、站点段的网络拓扑情况不明,部分关键业务在因特网上运行。经过分析,发现存在确认网络边界,对访问进行控制的需求;对于流转的数据,存在收集、分析并针对入侵行为做出检测与防御的需求;对于终端设备、服务器存在防范病毒攻击的需求等。总之,需要构建一个安全的网络环境。
应用安全威胁。需要保证操作者,设备身份的真实性;对于敏感数据的传输,需要保证机密性;对于关键数据,要确保完整性;对关键的操作,确保不可抵赖性。总之,需要确保应用的可用性。
方案特点:
信息安全基础平台实施和建设依据下述理论模型。
图示 1 信息安全平台建设理论模型
信息安全平台建设理论:在统一安全策略指导下的,采用合理的技术标准,制定可行的安全管理规范,根据用户需求的个性实施,选用规范的、一流的安全设备,构造可信的信息安全平台。其中:
l 统一的安全策略是可信安全平台运行的指导与依据;
l 安全的技术标准、安全的管理规范是可信安全平台运行的两个基本因素;
l 针对于用户需求的合理实施是可信安全平台建设的精华;
l 规范的、一流的设备是可信的安全平台的重要依托。
信息安全基础平台的统一安全策略设计:
建设统一的账户管理策略、统一的认证策略,为今后建设统一的授权策略和统一的审计策略打下基础。
信息安全基础平台的采用的安全技术保证:
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
采用PKI体系的技术标准,配合VLAN技术、防火墙技术、防病毒技术、加密技术实现。 信息安全基础平台的安全管理规范:
建立安全管理小组,明确安全服务的规范,制定规范的安全业务管理流程,形成规范化的管理文档。
信息安全基础平台的功能:
信息安全基础平台在面对安全威胁时,要能够实现事前的预防,事中的保护和响应,事后的恢复,实现动态的安全管理过程。
方案描述:
针对需求,信息安全基础平台的建设包括网络安全部分、信息安全部分。在采用设备的基础上,配合以针对性的开发,形成了一个完整的、联动的体系,体系中没有孤立的设备,是一个立体化的防护体系。
1.1.1 采用UTM防火墙
采用UTM防火墙(主备设计),将企业应用系统与铁道部信息中心其它部门的应用系统进行逻辑隔离。在必要时开启网关防毒、防间谍软件、防入侵功能模块,保护应用服务器避免来自网络的威胁。
同时采用防火墙的负载均衡模块,为SSL VPN接入网关提供负载均衡功能。
1.1.2 采用分布式主机防毒服务器
通过分布式主机防毒,确保所有采用WINDOWS系统的主机、智能设备不受病毒、木马、蠕虫、恶意代码的威胁。配合UTM防火墙、应用层安全传输网关,建立了三层立体防毒体系,确保了网关、服务器、主机和智能终端的安全。
所有病毒包(含策略更新)由服务器向智能设备进行分发,智能设备自动安装、自动更新病毒库。
1.1.3 采用入侵检测设备
采用入侵检测设备,旁路设计,监测网络中的数据流,并与防火墙进行联动。
1.1.4 建设数字证书服务器系统
建设数字证书服务器系统,解决强身份认证的问题,确保登录安全系统和应用系统的个人和设备身份的真实性,作为燃油配送系统信息安全平台的底层基础设施,根密钥存储于加密机,个人证书存储于USB KEY。
个人证书统一制作发放,智能设备证书开发单独的模块,完成向智能设备自动分发和安装功能。
1.1.5 建设应用层传输加密机(SSL VPN)
建设应用层传输加密机,确保铁路燃油系统业务数据信息在铁路内网、外网传输时均在应用层进行安全传输。并对用户的访问权限给予细粒度的访问控制。
同时SSL VPN是用户进入应用系统的安全门户,增强了应用系统认证的强度。
1.1.6 采用目录服务器(LDAP)统一存放用户的帐户信息
数字证书服务器系统发放的证书和CRL列表统一存储于目录服务器,应用层传输加密机中维护的帐号信息也统一来自目录服务器,应用系统的用户名帐号信息也存储于目录服务器。
LDAP服务器作为用户身份、帐号、策略信息的统一存储数据库。
1.1.7 采用电子签名中间件
在核心业务系统的关键表单中嵌入电子签名中间件,所有的关键操作进行电子签名,并将签名结果存入独立的数据库,为事后的追溯提供了依据。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
1.1.8 内外网数据交换模块的开发
铁道部信息中心是内外网隔离的系统,为完成内外网数据的同步。目前证书服务器部署于内网,新增加的账户信息、CRL列表要同步到外网的LDAP服务器,确保外网设备的正常使用。
病毒库的更新在公网进行,需要将更新的病毒库数据同步到内网,确保内网的终端及时更新。 开发内外网数据交换同步模块,完成数据查询、传输、校验等功能。
1.1.9 智能终端认证模块的开发
智能终端的认证是相对于难以解决的问题,尤其是CS架构的应用系统。为解决智能终端身份真实性的问题,首先由数字证书服务器发放了设备证书,证书中有详尽的设备信息,同时开发的认证模块实现终端登录时的基于证书的认证功能。
1.1.10 内网设备安全管理模块的开发
铁道部信息中心是内外网隔离的系统,位于外网的企业的IT管理人员无法管理内网的安全设备和应用系统设备。
开发管理模块,穿越内外网,进行新的路由配置,实现内网所有安全设备和应用设备的管理。
1.2 信息安全基础平台的管理
信息安全基础平台建设成功后,项目提交近200个过程文档和最终文档,为安全管理环节打下良好基础。
同时,根据上述的安全模型,根据应用和设备的特点,确定了专门的信息安全管理人员,指定了信息安全管理制度,规定了信息安全管理流程。比如,对设备的管理,建立了巡检制度,专人负责进行每日、每周的例行巡检,确保平台的正常运行。
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111
整体网络安全拓扑
方案中所使用的技术种类:
l
l
l
l
l
l
l
l
l
l
l SSl VPN+动态令牌+CA数字证书认证 IPSec VPN 邮件网关 邮件审计 邮件归档备份 应用负载均衡 防火墙 带宽流量控制 上网行为管理与审计 内容加速 终端安全防护
北京领信全程科技有限公司
Add: 北京市海淀区中关村南大街甲10号银海大厦南612室 100081
Tel: 86-10-62191085, 6214372, 62143563 Fax: 86-10-62191085, 6214372, 62143563-111