《中小企业信息网络安全解决方案》由会员分享,可在线阅读,更多相关《中小企业信息网络安全解决方案(3页珍藏版)》请在金锄头文库上搜索。
1、中小企业信息网络安全解决方案中小企业的信息安全建设可以根据各自的条件采用不同的策略。緑盟科技针对中小企业信息安全的特点制左出三种中小企业安全方案。见下表:分类防护措施说明经济型(适用于主机数100用户以下)访问控制系统+防病毒最基本的安全措施:防火墙系统与网络防病毒系统,通常可以抵挡住70%的攻击行为;入侵检测系统网络入侵检测系统可以帮助用户动态发现内部和外部的入侵企图,及时阻断,也便于查找攻击破坏源,缩短响应时间,降低攻击损失程度:定期脆弱性评估、维护服务简单而有必要的的安全服务内容能发现更多的安全隐想:做到提前预知与防护:标准型(适用于主机数100-300用户)访问控制系统+防病毒(含垃圾
2、邮件防护模块)最基本的安全措施,通常已经建设但需要增加必要的模块:如防垃圾邮件模块:入侵检测系统+风险评估系统(64地址用户即可)根据实际情况可进行分布式部署入侵检测系统与中心节点的风险评估系统,建立动态、实时、周期性防护体系:日常咨询服务+紧急响应必要的安全咨询服务于紧急响应来解决日常安全问题和突发安全事件,是中小企业中对实时性要求较高的企业不可缺少的一部分:增强型(适用于主机数300-800用户)咨询服务+整体风险评估便于进行全方位的安全架构设计;发现更多的未知安全隐患;访问控制系统(含VPN模块)+防病毒(含垃圾邮件防护模块)充分考虑系统的可扩展性,保护用户投资:分布式入侵检测系统(或多
3、网段检测)+风险评估系统(一个C类地址即可)可进行分布式部署发现多个网段的异常信息流与内部关键字信息定制;建立怎期严格的安全评估策略:专用抗拒绝服务系统保护用户实时发布系统和对外网站系统的电子商务平台等,便于提升服务质量:日常咨询+紧急响应便于处理日常问题或突发事件的产生:安全制度+安全培训必要的安全管理描施与安全基础培训能增强整体安全水准,提高安全意识;以上三种方案可以满足绝大多数中小企业用户现阶段信息网络安全建设的需要。下面我们通过一个简单的案例来了解一下信息网络安全建设的实例:国内一知名电子设备制造企业,有员工1000人左右,内部主机总数约400台。整个网络采用分层的单出口结构,接入层采
4、用一台CISCO设备,通过一条至电信部门的10M专线与广域网相连。主要应用为内部办公、网站发布、邮件系统、财务办公、部分电子商务以及客户关系管理系统、人事管理系统等。企业总部设在广州,在南京有一分支机构。网络曾经过多次改造扩建,目前初具规模,设备主要采用CISCO设备,服务器系统大多数采用Windows系列,提供服务的服务器目前有5台,正打算扩展部分服务系统;此外还有内部服务器系统,主要做用户文件管理与共享;内部网络各子网分布在不同的楼层,在交换设备上作了VLAN的划分,各子网间不允许互访。财务网络采用独立网段,与其它子网逻辑隔离:不允许进行外部访问,只可以通过电话线路拨号上网。分支机构和部分
5、出差移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。(如上图所示)该企业由于内部网上病毒危害较大,采购了一套国外网络防病毒系统;网络管理人员对服务器系统大约2个月左右进行升级一次,此外在路由设备上作了基本的地址转换等访问控制规则设置。实际情况是仅采取以上描施仍然没有达到预期效果,发生了多起严重的安全事件:蠕虫爆发造成了网络阻塞;垃圾邮件占用了邮件服务器过多的空间:web服务时常中断,在采用监听工具查找时,发现了经常被外部扫描窥探的痕迹;内部员工在上班时间利用网络做大流量文件传输,严重占用了网络带宽资源,经常会影响到正常的业务信息查询等工作:此外还有内部员工岀于好奇作一些尝试性的攻击
6、破坏,使得内部服务器区的服务器经常性的需要进行备份恢复处理等等。为此,该公司信息管理人员深感安全防护已经成为迫在眉睫的工作。在对网络实际情况进行了详细的分析之后决立为英选择“增强型方案“在经过整体分析后,整体安全需求及解决方法描述如下表:安全需求需求说明解决方法边界安全服务器以及内部网络和外部网络连接处的入口,保证服务器区以及内部资源不被非法访问:在防火墙系统中设VPN模块,防止各种非授权访问,也满足了分支机构的访问和移动办公的安全访问需要:对于财务网络还设豊了代理服务器多重保护:抗拒绝服务不仅仅能对内部各服务器系统进行抗拒绝服务保护,还能够对防火墙系统进行防护;设置专业防拒绝服务的专用黑洞系
7、统、:入侵检测对于分布环境下重要网段的攻击检测,发现来源于内部或外部的攻击,进行记录和阻断:也便于发现网络内部的异常信息流,如访问非法网站、内部异常扫描、非利用基于网络的分布式入侵检测技术,在服务器区以及在内部网络各子网接入部分部署入侵检测系统:在后期建设中随着网络规模的扩大,在各子网中也可以部署入侵检测系统,并且采用同一控制台进行集中统一管理:主流业务的大流量传输等:对于蠕虫大规模爆发时即可以査岀源地址,便于及时进行处理;安全检查保证动态网络在变化时的风险检测,同时评估安全风险变化和安全工程的作用:部署专业级风险评估系统,周期性对网络内部进行评估检测,提供专家级补救建议:安全服务保证网络遇到
8、各种突发安全事件时能得到妥善处理;在日常维护中提供专家级咨询服务:并有利于提髙整体安全意识等,满足动态性安全需要:在进行安全项目实施前作一次脆弱性安全评估,确泄整体安全策略;提供一年内安全咨询、紧急响应、安全通告、专业安全培训、安全制度的更新完善;项目所采取的安全系统考虑到了现阶段的需求,并充分考虑到今后的扩展性,整个安全系统的投入仅占信息网络整体建设的8%。此项目的设计与实施得到了该信息中心的髙度认可,网络至今运行稳左可靠,过去所遇到的问题和未发现的严重安全隐患均得到了有效的解决。网络管理人员和各类业务人员参加培训之后对安全体系的认识有了显著的提高,岀台了并种安全制度,完善了安全策略措施,该企业的领导对信息化的进一步建设也表示出了从未有过的信心。
