《烟草公司网络安全方案建议书》由会员分享,可在线阅读,更多相关《烟草公司网络安全方案建议书(12页珍藏版)》请在金锄头文库上搜索。
1、公司方案建议书? 2020创明科技目录一.前言 .2二.现状 .22.1防火墙与 IPS 需求分析 .32.2流量控制需求分析 .3三.解决方案 .43.1方案设计 .43.2产品部署 .43.3方案价值 .5四.推荐产品介绍 .64.1绿盟冰之眼安全网关 .64.2绿盟冰之眼网络入侵保护系统 .74.3西默流量控制系统 .94.3.1西默流控价值. 94.3.2硬件平台 .94.3.3功能特点 .10五.结论.11一.前言随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务
2、、网上银行、网络办公等,对社会的各行各业产生了巨大深远的影响,信息安全的重要性也在不断提升。近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS 攻击、垃圾邮件、网络资源滥用(P2P 下载、 IM 即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、带宽滥用、提高保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。二.现状说起网络安全,相信许多人已经不陌生了。可能都曾遇到过下面这些情况:没有及时安装新发布的一个安全补丁,造成服务
3、器宕机,网络中断;蠕虫病毒爆发,造成网络瘫痪,无法网上办公,邮件收不了,网页打不开;有的员工使用BT 、电驴等P2P 软件下载电影或MP3 ,造成上网速度奇慢无比;有的员工沉迷在QQ 或 MSN 上聊天,或者玩反恐精英、传奇等网络游戏,或者看在线视频,不专心工作;由于员工电脑被植入间谍软件,导致公司机密资料被窃;部分员工电脑成为僵尸网络的“肉机”,向外网发起DOS 攻击,引起公安部门注意并上门进行调查。根据调查数据显示,以上事件呈逐年上升趋势,给企业造成越来越大的直接和间接损失。2.1防火墙与IPS 需求分析绝大多数人在谈到网络安全时,首先会想到“防火墙”,企业一般采用防火墙作为安全保障体系的
4、第一道防线,防御黑客攻击。xx 烟草前几年已经部署过防火墙,但由于使用时间过长,且目前为止已经重复维修过两次,本次需要重新购置防火墙替换原来的旧设备; 但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要,xx 烟草部署了防火墙的安全保障体系仍需要进一步完善。传统防火墙的不足主要体现在以下几个方面:防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对 WEB 服务的 Code Red 蠕虫等。有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。作为网络访问控制设备,受限于功能设计,防火墙难以识
5、别复杂的网络攻击并保存相关信息,以协助后续调查和取证工作的开展。鉴于此, xx 烟草需更换原有防火墙和 IPS 一起组建单位的边界防护体系,保障单位信息系统安全和安全运行。2.2流量控制需求分析目前, xx 烟草缺少针对带宽管理及内部流量进行有效分析流量控制设备,当网络出现速度慢,想要查看网络流量分布情况,哪些 IP 或者协议占用大量带宽资源的时候,通过现有网络设备无法实现,网络带宽经常被点对点应用例如BT 、迅雷等下载工具占用,这些程序由于端口可变, 非常难于察觉和管理,如果放任不管, 就会抢占大量的带宽和链接;时下流行的 pps 、风行、在线视频等流媒体也充斥着我们的网络,通过查看,我们带
6、宽的80% 左右都被这些应用所占用,不但单位的带宽没有得到有效利用,也严重影响了我们的员工的办公效率;并且一些下载常常伴随着病毒、木马等攻击,一旦被我们的员工下载到我们的内部网络会对我们的网络造成严重的冲击,严重的时候有可能导致单位内部网络的瘫痪。签于此,我们需要一台流量控制产品来有效管理单位的带宽,实时查看流量分布情况,并进行有效监督。三.解决方案3.1方案设计针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击,以及网络资源滥用( P2P下载、IM即时通讯、网络游戏、在线视频、在线炒股),通过部署防火墙、IPS流控来组建一套安全防护体系,提供了完善的安全防护方案。防火墙作为安全
7、防护体系的第一道防线;网络入侵保护系统(以下简称“IPS ”)作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。用此产品弥补防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御;流量控制产品则实时查看流量情况,动态调整带宽,监测异常流量、通过此三类产品的部署,实现xx 烟草有效的安全防护体系,保障网络安全有效的运行。3.2产品部署产品部署图防火墙做为 xx 烟草安全防护的第一道防线,可有效防止三层以下的网络攻击;入侵防御实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D
8、DoS 等恶意流量,保护xx 烟草信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。流量控制阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT 产出率和收益率。上网行为监管通过流控产品的上网行为管理全面监测和管理IM 即时通讯、 P2P 下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。3.3 方案价值1、让用户省钱解决用户最紧急、最重要的安全问题,同时满足合规性要求;解决方案通过合理的方案设计、产品组合提升企业ROI (投资回报率);2、让用户省力解决方
9、案通过统一的集中策略管理、全中文操作界面、丰富的中文报表、自动化规则库升级,让用户简单易用、轻松管理,减轻管理人员的工作负担;3、 让用户放心方案推荐的安全产品都经过众多用户的实际环境使用和长时间的稳定性验证,专业的方案和产品保证客户业务连续、稳定、可靠运行,让用户放心;4、让用户省心提供专家级产品实施及技术支持服务保障,让网管人员省心;四.推荐产品介绍4.1 绿盟冰之眼安全网关绿盟冰之眼安全网关(ICEYE SG )是绿盟自主研发的面向应用的下一代多功能安全网关产品,实现防火墙、vpn 、抗 DDOS 攻击等功能,满足用户多种防护需要。冰之眼安全网关具有以下特点:“多核 +ASIC ”的高性
10、能硬件平台冰之眼安全网关采用多核 +ASIC ”硬件平台整合技术,使硬件平台更加安全、可靠和高效;独特的“多核”处理技术大大提高了针对应用业务安全防护的处理能力;ASIC 芯片提供网络处理的硬件加速,提高网关产品的网络处理能力。冰之眼安全网关实现多业务并行处理,极大得提高了处理速度,很好地解决了网关类产品的性能瓶颈问题。高性能的防火墙绿盟安全网关采用智能状态检测技术,支持路由、透明、混合模式部署,可实现基于源/目的 IP 地址、协议 / 端口、时间、用户、vlan 、 vpn 、安全区的访问控制。绿盟安全网关支持基于策略的双向NAT 、动态 /静态 NAT 、端口 PAT ,支持静态路由、动态路由、策略路由、支持 DNS 、 DHCP 、vlan trunk 。丰富的VPN特性冰之眼安全网关集成IPSec和SSL等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的接入;支持网状、星型等多种V
