《集团公司网络安全解决方案.doc》由会员分享,可在线阅读,更多相关《集团公司网络安全解决方案.doc(23页珍藏版)》请在金锄头文库上搜索。
1、集团公司网络安全设计方案一.方案概述集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据IT规划规定,为有效保障公司网络畅通、数据安全,集团公司需要构建一个严密的整体的网络安全系统。 该系统涉及四个重要方面:(一)设计网络系统优化方案及建立网络系统连续完善机制(二)建立智能化数据容灾系统(三)建立高效全面的病毒防止系统(四)建立科学合理的管理制度体系二.方案实现目的通过该系统的建设实现以下功能目的 (1) 实现集团对网络病毒的统一防护, 让网络管理人员可以清楚的管理到内部病毒防 护系统的部署情况, 有病毒爆发时可以及时拟定病毒发作范围, 并可以直接进行隐 患
2、清除工作,集团可以统一部署和执行安全防护策略.(2) 对集团机房较为重要的服务器和应用系统进行容灾备份, 当服务器故障时, 可以有 效的快速启动替代系统, 并在故障清除后快速恢复系统和数据.(3) 对于集团数据库系统, 因关联使用的用户多且分布各不同下属单位, 应使用有效措 施来防范数据库的使用安全, 防范数据被恶意使用或篡改,.(4) 因集团机房部署不同部门和下属公司的服务器, 各部门都需要运维自己的服务器, 有必要对服务器的使用进行安全审计和使用记录, 防范来自使用服务器带来的风险.三.安全产品推荐选型项目品牌型号实现目的公司版防病毒趋势OfficeScan全网病毒统一防护和统一安全管理服
3、务器容灾备份NOVELLPlateSpin Forge对服务器进行实时灾备,服务器故障时实现紧急替代和快速恢复数据库审计安恒DAS-AC1000对数据库使用进行安全审计,防护对数据库的恶意侵入和篡改保垒机齐治SHTERM-L4对使用机房内服务器的人员的使用行为进行规范管理和审计记录,防范服务器内部使用风险.四.方案简述(1)网络拓扑图(2)信息安全设备物理分布图(3)产品说明:1、IT运维堡垒机接在核心互换机上,通过细粒度的安全管控策略,保证公司的服务器、网络设备、数据库、安全设备等安全可靠运营,减少人为安全风险,避免安全损失,保障公司效益;管理员可直观方便的监控各种访问行为,可以及时发现违规
4、操作、权限滥用等。2、数据库审计设备接在核心互换机上,全面记录数据库访问行为,辨认越权操作等违规行为,并完毕追踪溯源;检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议;为数据库安全管理与性能优化提供决策依据;提供符合法律法规的报告,满足等级保护、公司内控等审计规定。3、OfficeSan服务器接入核心互换机上,OfficeScan可以根据大同公司的自己的规定进行策略部署,并针对未来而设计的弹性架构,可让您透过插件来自定义您的威胁防护与数据保护。4、Forge设备部署在核心互换机,可同时对25台服务器做备份,一旦一台或多台生产服务器出现故障,该应用即刻在Forge上运营接管业务。五.方案子
5、系统介绍趋势科技网络版防病毒软件 OfficeScan趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端(Officescan服务器端)。透过Officescan服务器端的Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设立全公司的防毒策略(每一台计算机都安装了Officescan客户端防病毒软件),并且也能迅速响应各种紧急事件。综合性的防护能力:免受病毒,特洛伊,蠕虫和现在的间谍软件的袭击,同时具有防火墙和入侵检测的能力;支持防护策略的自动/手动配置:有效控制病毒扩散(通过主控服务器,在设定的时间段内,关闭所有客户机的共享文献,特定端口,保护
6、文献或文献夹不被病毒修改);防火墙策略应用程序的备用服务器:客户计算机也许无法连接到防毒墙网络版服务器,但仍可连接到您指定的备用防毒墙网络版服务器上,以提供防火墙策略更新。集成专杀工具:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具,导致数量巨大;防御间谍软件和其他类型的灰色软件:防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害,涉及众所周知的类型 间谍软件;临界间谍软件/灰色软件例外列表:防毒墙网络版也许将特定类型的文献辨认为灰色软件,尽管您计算机上合法的
7、应用程序也许需要使用这些文献。为防止防毒墙网络版将这些文献辨认为灰色软件,可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。实时更新病毒日记:方便而简朴的配置管理与实时报告;自动更新:先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动;支持客户端自行上互联网更新防毒组件;灵活的更新代理设立:通过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽。对低带宽网络环境特别有效;检测为安装防病毒软件的计算机:支持网段扫描侦测尚未安装OfficeScan的用户机;强大的数据库管理:支持将纪录数据导入SQL服务器方便数据分析与管理;灵活的客户端迁移:
8、支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装;定位病毒源头病毒:客户机的排行榜功能,帮助网管了解毒源、善后解决、报告领导;支持多种Web Server: IIS 和 Apache;部署建议:Officescan可以针对Windows全系列防范病毒。趋势科技网络版防病毒软件的组织架构为:通过一台Officescan服务器去远程的控制和管理局域网内部,甚至广域网中Officescan客户端。Officescan客户端可以通过多种方式安装到计算机上:通过网页远程自动下载安装;通过制作Officescan客户端安装包安装;通过共享文献夹方式安装通过集成Windows域自动安装
9、客户端通过微软SMS安装;如此部署OfficeScan就可认为网络内部计算机提供综合性的安全防护,免受病毒,特洛伊,蠕虫和现在的间谍软件的袭击,以及具有防火墙和入侵检测的能力。从主线上相应用层的病毒文献以及网络层的病毒数据包进行防护,同时防护各种对于计算机的袭击。1、 Novell PlateSpin Forge服务器灾备保护产品方案Novell PlateSpin Forge是一个整合式的系统恢复硬件设备,通过采用内置虚拟化技术来保护实际物理和虚拟服务器工作负载。在生产服务器停止运转或发生故障时,工作负载可在PlateSpin Forge恢复环境中快速通电,并继续正常运营,直到生产环境恢复。
10、u 采用单台PlateSpin Forge 设备可保护和恢复最多达25个物理和虚拟工作负载。使用PlateSpin Forge,客户可以保护多个地理位置分散的多达25台服务器的工作负载,并在服务器出现故障时予以快速恢复。通过使用PlateSpin Forge综合恢复平台,客户可以更好地保护更多的工作负载,但无需支付高昂的复制硬件或冗余操作系统授权许可费用。PlateSpin Forge不需要通过成本高昂的一对一硬件和软件冗余保护数据中心资产,从而实现了革命性的业务连续性。生产服务器可备份到虚拟机,而成本只是传统劫难恢复解决方案的一部分,并且可以更快、更轻松地实现恢复。 除了标准文献类复制外,高
11、速块级复制允许公司客户保护高级业务工作负载(如电子邮件和数据库服务器)。有效增长传输可保证仅源数据文献变化被复制到PlateSpin Forge远程恢复环境中,从而减少了广域网的使用并使各大组织可以在最少数据丢失情况下有效满足数据恢复点目的(RPO)。u 快速容易的故障恢复计划和过程的完整性使用PlateSpin Forge可实现对服务器工作负载以多达28个历史恢复点的方式进行保护备份,只需单击测试恢复按钮,即可快速容易地测试备份和恢复计划的完整性。在进行故障恢复测试时,可选择保护备份的任一快照并且在一个隔离的专用内部网中启动运营。这允许用户快速确认恢复计划和相关业务服务,而又不至于中断生产服
12、务器工作负载。一旦确认故障恢复计划,PlateSpin Forge将屏弃测试过程中在恢复工作负载快照上发生的任何变化,并恢复工作负载复制。u 基于WEB浏览器方式的多种监控、报告和操作报警进行控制。PlateSpin Forg提供基于Web方式的单一管理界面,便于IT运营专家随时查看其保护计划状况并管理、监控和报告所有工作负载保护事宜。在生产服务器停机或发生故障时,PlateSpin Forge将以电子邮件方式自动警示管理员。通过个人计算机、Blackberry 或其它移动装置点击电子邮件内的链接可执行上下文相操作。多种报告功能可使管理员和业主清楚地掌握保护资源的使用方式。用户可报告实际对抗目
13、的恢复时间和恢复点目的、复制窗口和数据传输速率。保护日记显示成功的复制和恢复测试,从而提供了满足定制服务级协议或合规性所需的审计能力。PlateSpin Forge提供一个始终存在仪表盘,可让IT操作专家随时观测其保护计划状况,并管理、监控和报告所有的工作负载保护和恢复事宜u 一键故障恢复和灵活的劫难恢复方案单击运营恢复工作负载,可根据需要将其恢复到相同或不同的硬件。在生产服务器停机或发生故障时,通过单击故障恢复可快速恢复受保护的工作负载仅重新连接会话,并且 PlateSpin Forge将验收工作负载。当生产环境恢复时,该工作负载可继续在PlateSpin Forge恢复设备上正常运营。一旦
14、生产环境联机,PlateSpin Forge还可提供灵活的工作负载恢复方案。假如原始生产服务器修好并且硬件无损坏,用户可通过一个虚拟到物理(V2P)工作负载转移操作将工作负载从虚拟恢复环境移回到原始硬件服务器。假如原始硬件不能修好,用户可通过一个V2P转移操作将工作负载转移到新的硬件服务器上。还可容易将工作负载移到生产虚拟环境中。灵活的硬件独立式恢复意味着新硬件可认为不同品牌、型号或配置。2、 齐治运维操作管理系统通过Shterm的部署,可以有效的解决运维部门当前运维过程中存在的各种问题: 以堡垒方式,形成统一的运维入口,实现运维操作的唯一途径; 引入主从帐号管理概念,使用户认证与系统授权分开
15、,从而有效解决系统帐号共享使用,带来的身份不唯一的问题; 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设立,有效规避了非授权访问带来的问题; 密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险; 能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,可以快速定位故障因素和负责人; 可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的规定。(1)总设计思绪由于操作的风险来源于各个方面,所以必须要从可以影响到操作的各个层面去减少风险。齐治运维操作管理系统(Shterm)采用操作代理(网关)方式实现集中管理,对身份、访问、审计、自动化操作等统一进行有效管理,真正帮助用户最小化运维操作风险。集中管理是前提:只有集中以后才可以实现统一管理,只有集中管理才干把复杂问题简朴化,分散是无法谈得上管理的,集中是运维管理发展的必然趋势,也是唯一的选择。身份管理是基础:身份管理解决的是维护操作者的身份问题。身份是用来辨认和确认操作者的,由于所有的操作都是用户发起的,假如我们连操作的用户身份都无
