《中小企业网络安全解决方案》由会员分享,可在线阅读,更多相关《中小企业网络安全解决方案(16页珍藏版)》请在金锄头文库上搜索。
1、瑞华中小企业网络安全解决方案2009-10-26e 路有我 网络更安全网络现状分析伴随网络的普及,安全日益成为影响网络效能的重要问题,而 Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受病毒和黑客的入侵,已成为所有用户信息化健康发展所要考虑的重要事情之一。尤其是证券行业、企业单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对用户机构信息安全构成威胁。为保证网络系统的安全,有必要对其网络进行专门安全防护设计。网络的发展加剧了病毒的快速传播企业网络分
2、析?企业网络面临的安全问题? 系统漏洞、安全隐患多? 可利用资源丰富? 病毒扩散速度快? 企业用户对网络依赖性强? 网络使用人员安全意识薄弱2? 网络管理漏洞较多? 内部网络无法管控? 信息保密性难以保证? 基础网络应用成为黑客和病毒制造者的攻击目标? 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网?可能带来的损失? 网络安全/病毒事故导致信息外泄和数据破坏,导致巨大财产损失? 网络安全/病毒事故导致内部网络瘫痪,无法正常工作? 网络带宽的不断加大,员工的行为无法约束,使工作效率大大下降。? 系统漏洞的不断增加,攻击方式多样化发展,通过漏洞辐射全网快速传播,导致网 络堵塞,业务无法正常
3、运行。? 病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与境外服务器 连接,将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。? 网络行为无法进行严格规划和审计,致使网络安全处于不可预知和控制的状态。瑞华中小网络安全解决方案华中小网络安全解决方案面对以上的问题,瑞华公司根据对典型中小网络的分析,制定整体的网络安全防护体系,对网络边界和网络内部进行了合理化的方案制定,做到最大限度的保障用户网络安全和内部业务的正常运行。对所有通过的数据进行检测,包括 HTTP、FTP、SMTP、POP3 等协议传输的数据,内部网络的规范应用进行管控,而且还提供了对外服务器的保护、防止
4、黑客对这些网络的攻击等等。下面是部署典型中小网络结构拓扑图:方案设计思路?划分安全域控制网络的安全的一种方法就是把网络化分成单独的逻辑网络域,如组织内部的网络 域,和外部网络域,每一个网络域由所定义的安全边界来保护。这种边界的实施可通过在相 连的两个网络或多个网络之间安全网关来控制其间访问和信息流。网关要经过配置,以过滤 两个区域或多个网络之间的通信量和根据组织的访问控制方针来堵塞未授权访问。?边界防护的技术对策u从外部传入计算机病毒、蠕虫和特洛伊木马等重大威胁 使用防毒墙中的防病毒模块进行病毒、木马的分析和查杀。u修改传输中的数据 使用防火墙的状态检测来完成发现对传输中数据的非授权访问,另外
5、也将阻止未授权用户在一个远程会话过程中的插入。u从外部攻击 web 服务器、导致内部服务器瘫痪,业务终止。 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为黑客攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服 务,就会面临着黑客各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服 务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规 则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界 只能接触到防
6、火墙上的特定服务,从而防止了绝大部分外界攻击。u非法用户侵入网络和 ARP 攻击等重大威胁使用防火墙的 IP 和 MAC 地址绑定可以有效的避免 arp 攻击导致网络瘫痪的发生。从而 避免了外部用户非法接入现象的发生。?局域网病毒防护u单一的防毒策略,导致局域网病毒无限制蔓延 使用瑞星网络级防病毒体系可以部署多层次病毒防线,截断病毒可能传播的各种渠道,如服务器、客户端等,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范u局域网用户无法在线升级,无法统一管理,导致整个网路没有规范性。 没有集中管理的防病毒系统是不完整的防毒系统。只有构建了统一的防病毒集中管理系统,才能保证了整个防毒产品
7、可以从病毒监控管理中心及时得到更新,同时又使系统管理人 员可以在任何时间通过管理控制台对整个防毒系统进行集中管理,使整个系统中任何一个节 点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。u局域网用户系统漏洞日益增加,蠕虫病毒的不断泛滥等重大威胁 使用瑞星网络版杀毒软件可以统一修复局域网用户的系统漏洞及其不安全设置。u无法确定内部机器中毒范围,定义机器进行处理 通过管理控制台全面直观地展现整个网络中的安全情况:网络内存在哪些病毒,哪些客户端存在病毒,客户端的升级情况和比例,防病毒系统系统的运行情况(系统中心升级情况, 日志记录是否超大,授权数是否超出)。并针对这些分析给出指导性
8、的操作建议。让网络管 理员能够轻松地掌握网络中的总体安全情况并及时调整防毒策略。?内部网络管理互联网控制网关是面向企业用户的软硬件一体化的控制管理网关,它提供强大的网页过 滤功能,屏蔽员工对非法网站的访问;提供了基于时间、用户、应用的精细管理控制策略, 控制员工在上班时间干与工作无关的事情。如:网络游戏、炒股、观看在线视频,以及无节 制的网络聊天等等,从而保障工作效率;提供了对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免了企业机密信息泄露;此外网康 ICG 还提供应用层的带宽 管理,有效阻止、限制 P2P 等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。企业管理最头
9、疼的事推荐产品防火墙:联想网御防火墙拥有创新的 VSP、USE、MRP 等安全关键技术,采用了独创的较为先进技术- 深度核过滤技术,即基于 OS 内核的深度内容过滤技术。其产品在众多领域已经部署了 4 万台以上,市场 占有率名列前茅。今年 6 月,联想网御发布了万兆级安全网关产品金刚安全网关 KingGuard。该款产 品成为迄今为止业界处理性能最高的万兆安全网关产品,它首创在信息安全产品中应用矩阵式并行计算系统Windrunner。网络防病毒软件:瑞星中小企业版杀毒软件具备优秀的病毒查杀引擎,实现全方位、多 层防护,针对服务器、工作站等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个 节
10、点,实现病毒的全面防范。上网行为管理系统:网康 ICG 集上网行为管理和网络安全防御于一体,全面解决中小企 业在网页过滤。内容审计。应用管理、流量控制、用户管理和安全防御等多方面的网络管理 问题。产品具有部署方便、灵活,易于操作等特点。方案实施后达到的效果? 瑞星网络版防病毒实施后达到的效果通过对网络建立统一的整体网络病毒防范体系,在网络内部建立统一的病毒防范策略, 从而达到对整个网络达到以下病毒防范效果:u建立防病毒中央控管系统 可以实时记录防护体系内每台计算机上的查杀病毒情况、主动防御信息、漏洞情况、安全状况等,为超级管理员分析整个网络中的安全情况提供了大量的依据。通过管理控制台发布查杀病
11、毒、升级等各项命令,统一设置网络安全的各种策略,实现对整个防护系统的自动 控制,保障整个网络安全。u实时监控客户端防毒状况 网络管理员在管理控制台上能实时地查看到每个客户端的下列信息:l扫描状态l实时监控的状态l主动防御的状态l版本信息l感染了哪些病毒 根据上述信息,管理员可实时跟踪到每一个客户端的防毒状况,以便做出应对措施。u支持集中的病毒报警和报告 在管理服务器上能够方便地查看全部范围(或组范围)的病毒报警和报告,包括感染节点的主机名、IP 地址、病毒名称、清除情况、被感染文件的路径等。u快速响应 建立及时、快速的病毒响应、处理机制,能够迅速抑制病毒在网络中的传播。从发现病毒及病毒行为到上
12、报控制台报警信息更迅速,能够快速的定位病毒来源,病毒名称,以便网络管理员能够迅速觉察并进行处理。u统一的自动升级 为了满足不同用户的升级需求,瑞星制定了多种升级方式,网络智能升级、手动升级、代理升级。u客户端病毒防护效果 对客户端进行全面的升级防护,统一升级、统一管理。实施保持客户端病毒库处于最新状态,全面监控客户端的运行状况。包括:病毒日志、不安全设置、系统漏洞等等。u主动防御更可靠 系统加固:针对系统的薄弱环节进行加固,防止系统被病毒破坏。木马入侵拦截:最大程度保护用户访问网页时的安全,阻止绝大部分挂马网页对用户的侵害。木马行为防御:基于病毒行为的防护,可以阻止未知病毒的破坏。u漏洞扫描与
13、补丁分发管理瑞星漏洞信息管理工具给网络管理员提供了一个便捷的途径,使网络管理员在短时间内 做好整个网络系统的安全防范工作。是网络更加彻底的清除各种漏洞、加固了系统。许多病 毒行为是借助系统的漏洞及缺陷等,不修补漏洞而单纯反复的借助防病毒系统来清除借助此 漏洞进行传播及破坏的病毒程序将是徒劳的。漏洞扫描配合补丁分发功能对每台客户端的漏 洞扫描结果有针对性的分发补丁程序、修补漏洞,才能真正解决系统的安全性,防止重复性 的入侵及病毒感染。特别能够有效的防止威金系列病毒在网络中的传播。? 防火墙实施后达到的效果u防火墙是网络安全的屏障: 防火墙系统可以说是网络的第一道防线。一个防火墙(作为阻塞点、控制
14、点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的 不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击 内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理 员。u防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管 理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散 在各个主机上,
