精华内容
下载资源
问答
  • 大型企业网络安全解决方案
  • 启明星辰-企业网络安全解决方案启明星辰-企业网络安全解决方案启明星辰-企业网络安全解决方案
  • 大型企业级网络边界安全解决方案,描述了网络安全部署规划,防范措施,日志管理,设备管理等
  • 瑞星中小企业网络安全解决方案瑞星中小企业网络安全解决方案瑞星中小企业网络安全解决方案
  • 企业网络安全管理策略.doc 网络安全管理制度.doc H3C网络管理解决方案.doc OpManager网络管理综合解决方案.pdf 计算机信息系统安全管理制度.doc 某公司信息安全管理制度.pdf 随着企业信息化水平的逐步提高,网络...
  • 企业网络安全解决方案

    千次阅读 2007-02-27 10:19:00
    原文 :http://tech.csai.cn/itrun/200702031501401505.htm小企业网络安全解决方案当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。企业信息设施在提高企业效益的同时,也...
      
     
    
    小企业网络安全解决方案
    当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。企业信息设施在提高企业效益的同时,也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相关报导也一直层不穷,给中小企业所造成的损失不可估量。由于涉及企业形象的问题,所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面:
    1. 外网安全——骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。
    2. 内网安全——最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
    3. 内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。
    中小企业网络安全需求分析
    目前的中小企业由于人力和资金上的限制,网络安全产品不仅仅需要简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。归结起来,应充分保证以下几点:
    1. 网络可用性:网络是业务系统的载体,防止如DOS/DDOS这样的网络攻击破坏网络的可用性。
    2. 业务系统的可用性:中小企业主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
    3. 数据机密性:对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。
    4. 访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
    5. 网络操作的可管理性:对于网络安全系统应具备审计和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。易用的功能。
    UTM( 统一威胁管理)更能满足中小企业的网络安全需求
    网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。于是,UTM产品应运而生,并且正在逐步得到市场的认可。UTM安全、管理方便的特点,是安全设备最大的好处,而这往往也是中小企业对产品的主要需求。
    中小企业的资金流比较薄弱,这使得中小企业在网络安全方面的投入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能,可以有效地降低成本投入。且由于UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务要求。网络安全方案可行性更强。
    UTM 产品更加灵活、易于管理,中小企业能够在一个统一的架构上建立安全基础设施,相对于提供单一专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更为重要的是,用户可以随时在这个平台上增加或调整安全功能,而任何时候这些安全功能都可以很好地协同工作。
    整体网络安全系统架构
    随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如,那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合中小企业的网络特征,我们建议采用基于三星Ubigate IBG ISM(集成安全模块)的UTM整体安全网络架构方案。
     
     
    展开全文
  • 企业网络安全应急响应终极解决方案 从国家标准 到企业自己组建相应的设备人员。
  • 大型企业网络安全整体解决方案 大型企业网络安全整体解决方案
  • 网络安全解决方案

    千次阅读 2017-01-13 13:52:43
    计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态...

      随着信息化技术的飞速发展,用户经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。

    第1章 网络安全应用需求

      网络安全,是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒,计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。从网络运行和管理者角度说,他们往往对网络安全具有以下应用需求:

    • 访问控制:通过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
    • 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
    • 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
    • 设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。
    • 完整的安全策略、政策。
    • 有效的手段监视、评估网络系统和操作系统的安全性

    第2章 智和网管平台网络安全实现效果

    2.1. 应用效果

      1. 准入控制:支持设备身份识别与访问策略管理

      2. MAC-IP和黑白名单控制

      3. 用户和权限管理:支持多级网络/区域的组织结构,而且可以对不同的用户分配管理不同的网络/区域。用户登陆后只能看到自己权限下的网络和设备;

      4. 日志管理:支持追溯管理员的操作内容、操作对象以及操作时间

      5. 自动发现网络、设备、设备组件、以及设备间的物理连接关系;

      6. 支持ACL访问控制列表策略;

      7. 支持端口远程控制策略;

      8. 管理网络设备的端口、带宽、吞吐量、流量、丢包率、错误包、运行状况等;

      9. 图形化监视网络链路的故障、流量、网络数据,管理Windows、Linux、Unix服务器的运行状态等,监视各种数据库服务器、Web服务器、邮件服务器、J2EE服务器、应用系统等。

    2.2. 方案价值

      有效防范和应对各种网络安全问题,加强网络安全技术平台建设,实现对网络安全运行情况的全方位监控,提高网络安全事件的异常发现能力和分析能力,确保骨干通信网络和重要信息系统安全可靠。在健全和完善网络信息化系统的同时,智和网管平台能有针对性地监视网络性能,具备强大的应急处置能力和协调处理能力,确保在网络安全紧急事件发生时能够主动预防,准确判断、快速反映和有效应对,尽可能避免或减少网络安全突发事件对经济社会发展带来的影响和破坏。

    第3章 关于可开发可扩展的智能网管平台-智和网管平台

      智和网管平台(SugarNMS)由北京智和信通技术有限公司自主研发,完美兼容主流/国产系统及数据库,提供C/S和B/S两种客户端界面,兼容PC以及移动设备。已实现包括设备拓扑、故障管理、性能管理、配置管理以及安全管理等在内的超过1000种基础网管功能,从用户角度出发,实现产品的智能化、自动化,满足用户不断发展的设备管控,功能扩展以及开发集成的需求。

      智和网管平台以“管控万物,无所不能,无处不在”为理念,采用了设备统一接入模型,可以管理网络设备、计算机、服务器、智能设备、物联网、工业设备等所有联网设备;适用于国防、电信、电力、金融、电力、电力、企业、工业、制造等多种领域。

     

      智和网管平台以“管控万物,无所不能,无处不在”为理念,追求实现网管平台的无限拓展开发。从用户角度出发,实现产品的智能化、自动化操作,满足用户不断发展的设备管控,功能扩展以及开发集成的需求。

     

    第4章 综合网管解决方案

      智和网管平台,全面满足用户设备拓扑、故障管理、性能管理、配置管理以及安全管理的网管需求,真正解决了用户的设备管控、功能实现、运营维护以及拓展集成难题。智和网管平台可稳定运行于全平台,智能管控超过500种设备,为用户提高管理效率,降低管理成本以及管理风险。

     

    4.1. 国产化网络管理

      智和网管平台是国内首家国产化网络管理平台,已有成熟网络管理功能,既支持Windows、Linux平台,也支持国产化平台,并能智能管控国产化设备,真正实现100%的国产化网络、设备以及软件综合管理方案。

    4.2. 全平台运行,多端响应

      智和网管平台支持B/S和C/S构架,能够稳定运行于Windows端、Linux/Unix端,支持通过PC端、Pad端以及手机端对平台进行访问。

     

    4.3. 全设备监控管理

      智和网管平台全面监控网络设备、主机/服务器、中间件应用、Web服务。

    4.4. 智和网管平台基础功能解决方案

    自动发现:在自动发现的过程中可搜索到网络设备,并识别设备类型和厂商型号,生成设备的面板图或搜索设备资源,如:板卡、端口、CPU、内存、磁盘等,并发现设备之间的链路关系。

    拓扑管理:以具象化拓扑图方式展示网络设备及其连接关系,用户可编辑。通过拓扑图可以对设备、设备资源、连接进行管理。

     

    设备管理:通过拓扑视图中,用户可以方便的管理设备及其配置参数。

    设备资源管理:支持在拓扑图的基础上,进一步展示设备细节,包括设备的物理组件,服务器上的服务(Web服务器、中间件应用服务、数据库服务器、邮件服务器)或者用户定义的其他监控对象。

     

    连接管理:用户可以通过拓扑视图编辑连接,选择连接实时显示的性能数据项。

    故障管理:可以收集多种故障信息,并及时的展现出来,通过设备、资源、连接可以查看到故障信息,也可以通过统一的故障管理界面管理故障。

    性能管理:全面采集或接收设备资源的多种新能数据,通过曲线图、柱状图或表格等形象化的展示出来,按天、星期、月 查看性能指标变化。

     

    事件管理:可以设备/服务器主动发送的消息,集中处理后,及时的通知用户,并可以通过集中的管理界面进行管理。

    安全管理:支持多级网络/区域的组织结构,且可以对不同的用户分配管理不同的网络/区域。用户登陆后只能看到自己权限下的网络和设备。黑白名单功能用来检测用户所关心的设备(通过IP或MAC来识别)是否在网络中出现及出现时间,一提醒用户是否进行下一步的操作。

    配置管理:支持同时对每多台设备进行配置/备份和软件升级,以减少管理员的工作量,提高系统的可用性。

    统计报表:支持多项数据的统计功能,让用户对网络有一个全面直观的了解放。支持将软件中的统计图表导出或打印,以便备份或对比查看。

    4.5. 电力行业网管开发集成解决方案

      智和网管平台(www.zhtelecom.com)充分利用软件已有功能,提供多种开发模式和可拓展的框架模块供用户选择,简化复杂的网管基础技术研究。开发人员可以选择进行模块式或者代码式的开发形式,以便在最短的时间内满足用户各种定制需求,提高研发效率。同时智和信通提供全套开发资料以及完善的培训服务,用户可以随心定制出符合自身需求的网管平台,并对平台功能不断更新,以满足日益变化的管理需求。

     

    平台组件和开发模式

        在通用网管功能的基础上,开发人员可以选择进行模块式或者代码式的开发形式,以便在最短的时间内满足用户各种定制需求,提高研发效率。同时智和信通提供全套开发资料以及完善的培训服务,用户可以随心定制出符合自身需求的网管平台,并对平台功能不断更新,以满足日益变化的管理需求。

     

    开发特性

    • 快速开发:充分利用已有软件功能,提供可复用可扩展的框架模块,实现平台快速开发。
    • 全面开发:提供全面的开发模式,从平台的界面到功能、管控设备均可根据用户需求自定义开发,从而完全开发出一款专属于用户自己的网管软件。
    • 深入开发:客户端完全开发代码,用户可根据滋生需要更改服务端插件开发,用户可以自定义修改数据库在不改变现有表的基础上进行修改。
    • 愉悦开发:完全满足用户个性化需求的开发模式,通过一周的标准培训即可上手,并在培训中解决80%的开发问题,让开发过程愉悦简单。

    代码级开放开发服务

      智和网管平台提供代码级开放模式,研发人员深入客户端源代码,实现用户个性化需求。同时提供完善的开发文档、实施培训以及技术支持服务,让用户从开发起始到平台使用全无后顾之忧。

    • 开放源代码:深入客户端底层,开放客户端源代码,用户可根据代码进行界面、功能、设备的开发集成。
    • 开发文档:提供《智和网管平台入门指南》,详细介绍开发过过程,以及过程中可能面临的问题。
    • 开发培训:一周的标准培训即可掌握软件开发集成的操作,同时在培训中解决80%的开发集成问题。
    • 技术支持服务:从需求分析到培训,开发过程中,提供完善的技术支持,在产品实施后,提供完善的售后服务体系。

    第五章 应用案例-北京XX科技有限公司

      北京XX科技有限公司需要在BTA传统桌面安全管理的基础上,进一步实现网络安全策略联动,根据设置的安全策略,对网络设备如交换机、路由器、PC机能采取远程控制动作,如关闭端口、开通端口、控制网络访问、设置ACL等。

    用户需求:

    1. 服务器准入基准表生成:根据提供的交换机列表扫描交换机MAC表,获取IP、MAC、交换机端口对应信息,生成服务器准入基准表;
    2. 服务器准入控制:根据生成的基准表完成服务器准入控制,即时发现接入的非法设备并产生告警、端口关闭等相关动作;
    3. 基准表的变更:在基准表中手工增加新设备信息;
    4. 新发现未识别服务器的处理:对于新发现未识别的服务器,管理员基于此类告警,确定服务器是否合法,若合法可以进行审批加入MAC准入控制清单;
    5. 服务器准入基准表的管理:支持扩展字段,支持MAC准入控制清单的查询,比如根据IP、主机名等;
    6. 告警方式:根据收到的未识别设备告警,支持单独告警、告警+延时端口关闭、直接关端口+延时自动恢复等策略。

    解决方案:

      智和安全策略网管通过SNMP、Telnet从设备上搜集各种信息数据,并根据安全策略,向设备发出控制命令,通过MAC-IP安全策略、ACL安全策略、端口控制策略、身份识别等手段实现对网络访问的受控访问。最终与Cisco、华为、华三、中兴、迈普的网络设备顺利对接。

     

    展开全文
  • 中小企业信息网络安全解决方案

    千次阅读 2008-12-08 10:43:00
    中小企业信息网络安全解决方案2005-12-08 14:29 作者: 高级工程师 尹智庆 来源: 绿盟科技 中小企业信息网络安全解决方案2005-12-08 14:29 作者: 高级工程师 尹智庆 来源: 绿盟科技 国内中小企业信息化已经得到了...
    中小企业信息网络安全解决方案
    
    2005-12-08 14:29         作者:     高级工程师 尹智庆         来源:     绿盟科技    

    中小企业信息网络安全解决方案
    2005-12-08 14:29         作者:     高级工程师 尹智庆         来源:     绿盟科技    


    国内中小企业信息化已经得到了迅速的发展,而且发挥着越来越重要的作用,由于受资金、安全意识方面的限制,信息安全建设相对严重滞后。目前,很多企业已经建立了防火墙+防病毒的安全体系,是否就能取得较好的安全效果呢?事实表明,这样的安全措施还是不够的。蠕虫的爆发、网站遭到破坏、内部信息资外泄……中小企业会遇到许多 “成长中的烦恼”,如何做到利用最有效的投资获取最大的安全效果呢?

      中小企业在业务中对于信息技术和网络的依赖程度越来越高,必须引起对信息安全的重视。然而,由于企业将主要的精力集中在各种业务应用的开展上,再加之受限于资金、技术、人员以及安全意识等多方面因素,信息安全建设往往相对滞后。部分企业已经采用了“防火墙+防病毒”的基本安全措施,但很多中小企业什么安全保护措施都没有,不能不让人为此担忧。

      随着网络技术的迅速发展,各种依托网络开展的攻击技术也得到了蔓延。黑客攻击手段越来越丰富,各类破坏力较大的攻击工具、文摘在网上唾手可得;中小企业的安全现状常常使得他们成了黑客攻击破坏的首选 “试验品”。另外病毒的发展已经远远超过人们预期的想象,破坏性越来越严重;加上企业内部信息安全管理制度的疏漏,为一些不法人员提供了大量的犯罪途径。中小企业迅速建立完善的信息安全体制已经势在必行。

      中小企业的信息安全建设可以根据各自的条件采用不同的策略。绿盟科技针对中小企业信息安全的特点制定出三种中小企业安全方案。

      经济型(适用于主机数100用户以下)

      防护措施

      访问控制系统+防病毒:最基本的安全措施:防火墙系统与网络防病毒系统,通常可以抵挡住70%的攻击行为;

      入侵检测系统:网络入侵检测系统可以帮助用户动态发现内部和外部的入侵企图,及时阻断,也便于查找攻击破坏源,缩短响应时间,降低攻击损失程度;

      定期脆弱性评估、维护服务:简单而有必要的的安全服务内容能发现更多的安全隐患;做到提前预知与防护;

      标准型(适用于主机数100-300用户)

      访问控制系统+防病毒(含垃圾邮件防护模块):最基本的安全措施,通常已经建设但需要增加必要的模块;如防垃圾邮件模块;

      入侵检测系统+风险评估系统(64地址用户即可):根据实际情况可进行分布式部署入侵检测系统与中心节点的风险评估系统,建立动态、实时、周期性防护体系;

      日常咨询服务+紧急响应:必要的安全咨询服务于紧急响应来解决日常安全问题和突发安全事件,是中小企业中对实时性要求较高的企业不可缺少的一部分;

      增强型(适用于主机数300-800用户)

      咨询服务+整体风险评估

      便于进行全方位的安全架构设计;发现更多的未知安全隐患;

      访问控制系统(含VPN模块)+防病毒(含垃圾邮件防护模块)

      充分考虑系统的可扩展性,保护用户投资;

      分布式入侵检测系统(或多网段检测)+ 风险评估系统(一个C类地址即可)

      可进行分布式部署发现多个网段的异常信息流与内部关键字信息定制;建立定期严格的安全评估策略;

      专用抗拒绝服务系统

      保护用户实时发布系统和对外网站系统的电子商务平台等,便于提升服务质量;

      日常咨询+紧急响应

      便于处理日常问题或突发事件的产生;

      安全制度+安全培训

      必要的安全管理措施与安全基础培训能增强整体安全水准,提高安全意识;

    以上三种方案可以满足绝大多数中小企业用户现阶段信息网络安全建设的需要。

      下面我们通过一个简单的案例来了解一下信息网络安全建设的实例:

      国内一知名电子设备制造企业,有员工1000人左右,内部主机总数约400台。整个网络采用分层的单出口结构,接入层采用一台CISCO 设备,通过一条至电信部门的10M专线与广域网相连。主要应用为内部办公、网站发布、邮件系统、财务办公、部分电子商务以及客户关系管理系统、人事管理系统等。


      
    [中小企业信息网络安全解决方案]


      企业总部设在广州,在南京有一分支机构。网络曾经过多次改造扩建,目前初具规模,设备主要采用CISCO设备,服务器系统大多数采用 Windows系列,提供服务的服务器目前有5台,正打算扩展部分服务系统;此外还有内部服务器系统,主要做用户文件管理与共享;内部网络各子网分布在不同的楼层,在交换设备上作了VLAN的划分,各子网间不允许互访。财务网络采用独立网段,与其它子网逻辑隔离;不允许进行外部访问,只可以通过电话线路拨号上网。分支机构和部分出差移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。(如上图所示)

      该企业由于内部网上病毒危害较大,采购了一套国外网络防病毒系统;网络管理人员对服务器系统大约2个月左右进行升级一次,此外在路由设备上作了基本的地址转换等访问控制规则设置。

      实际情况是仅采取以上措施仍然没有达到预期效果,发生了多起严重的安全事件:蠕虫爆发造成了网络阻塞;垃圾邮件占用了邮件服务器过多的空间;web服务时常中断,在采用监听工具查找时,发现了经常被外部扫描窥探的痕迹;内部员工在上班时间利用网络做大流量文件传输,严重占用了网络带宽资源,经常会影响到正常的业务信息查询等工作;此外还有内部员工出于好奇作一些尝试性的攻击破坏,使得内部服务器区的服务器经常性的需要进行备份恢复处理等等。为此,该公司信息管理人员深感安全防护已经成为迫在眉睫的工作。绿盟科技在对网络实际情况进行了详细的分析之后决定为其选择“增强型方案”,在方案设计时主要遵循以下几个重要原则:

      统一性与整体性原则

      一个完整网络系统的各个环节,包括设备、软件、数据、人员等,在网络安全中的地位和影响作用,只有从系统整体的角度去看待、分析,才可能得到有效、可行的安全措施。因此,整体安全保障体系建设应遵循统一性、整体性原则,便于今后系统的扩展。

      技术与管理相结合原则

      信息网络系统是一个相对复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

      动态防护原则

      要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。

      积极防御原则

      消极防御只能是被动挨打,所以应在技术和管理上创建一个灵活机动、适应性强的安全保障体系,做到积极防御。

      多重保护原则

      任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。

      分阶段实施原则

      要根据实际安全需求情况,以及建设内容的重要程度和建设成本等,实行分阶段建设的原则,做到安全体系的建设既能够满足现阶段相当一段时间内安全的需要,又能够充分利用有限的资金和资源。

      在经过整体分析后,整体安全需求及解决方法描述如下表:

      边界安全

      服务器以及内部网络和外部网络连接处的入口,保证服务器区以及内部资源不被非法访问;

      在防火墙系统中设VPN模块,防止各种非授权访问,也满足了分支机构的访问和移动办公的安全访问需要;对于财务网络还设置了代理服务器多重保护;

      抗拒绝服务

      不仅仅能对内部各服务器系统进行抗拒绝服务保护,还能够对防火墙系统进行防护;

      设置专业防拒绝服务的专用黑洞系统、;

      入侵检测

      对于分布环境下重要网段的攻击检测,发现来源于内部或外部的攻击,进行记录和阻断;也便于发现网络内部的异常信息流,如访问非法网站、内部异常扫描、非主流业务的大流量传输等;对于蠕虫大规模爆发时即可以查出源地址,便于及时进行处理;

      利用基于网络的分布式入侵检测技术,在服务器区以及在内部网络各子网接入部分部署入侵检测系统;在后期建设中随着网络规模的扩大,在各子网中也可以部署入侵检测系统,并且采用同一控制台进行集中统一管理;

      安全检查

      保证动态网络在变化时的风险检测,同时评估安全风险变化和安全工程的作用;

      部署专业级风险评估系统,周期性对网络内部进行评估检测,提供专家级补救建议;

      安全服务

      保证网络遇到各种突发安全事件时能得到妥善处理;在日常维护中提供专家级咨询服务;并有利于提高整体安全意识等,满足动态性安全需要;

      在进行安全项目实施前作一次脆弱性安全评估,确定整体安全策略;提供一年内安全咨询、紧急响应、安全通告、专业安全培训、安全制度的更新完善;

      其建设后的示意图如下:


      
    [中小企业信息网络安全解决方案]


      项目所采取的安全系统考虑到了现阶段的需求,并充分考虑到今后的扩展性,整个安全系统的投入仅占信息网络整体建设的8%。此项目的设计与实施得到了该信息中心的高度认可,网络至今运行稳定可靠,过去所遇到的问题和未发现的严重安全隐患均得到了有效的解决。网络管理人员和各类业务人员参加培训之后对安全体系的认识有了显著的提高,出台了各种安全制度,完善了安全策略措施,该企业的领导对信息化的进一步建设也表示出了从未有过的信心。

      绿盟科技做为国内最为专业的安全服务公司和安全产品提供商,在成功为金融、电信、政府等领域提供了大量的专业安全产品和服务解决方案后,在众多的中小型企业信息安全建设中也同样得到了用户的高度认可。绿盟科技还将继续不断的探索,为更多的中小型企业提供更为先进的产品和更为优质的服务。

    展开全文
  • 大连新船重工网络安全方案(全套).doc
  • 发电厂网络概述 火电厂网络架构中涉及的系统主要包括:火电机组分散控制系统DCS、火电机组辅机控制系统DCS\PLC...电力行业在安全方面是考虑地比较早的,形成了“安全分区、网络专用、横向隔离、纵向认证”的总体原则。

    发电厂网络概述

    火电厂网络架构中涉及的系统主要包括:火电机组分散控制系统DCS、火电机组辅机控制系统DCS\PLC、火电厂级信息监控系统、调速系统和自动发电控制功能AGC、励磁系统和自动电压控制功能AVC、梯级调度监控系统、网控系统、继电保护、故障录波、电能量采集装置、电力市场报价终端等系统。

    电力行业在安全方面是考虑地比较早的,形成了“安全分区、网络专用、横向隔离、纵向认证”的总体原则。

    区域一般分为:生产控制大区(控制区+非控制区),管理信息大区。
    也有情况下,电厂会将区域分为4个区:实时控制区(安全I区)、非控制生产区(安全II区)、生产管理区(安全III区)、管理信息区(安全IV区)。
    《电力二次系统安全防护总体方案》将火电厂的网络拓扑绘制如下:
    这里写图片描述

    安全现状

    火电厂在主控和辅控系统中,仍然以国外设备为主,主要有 艾默生、ABB、西门子、施耐德等品牌,国产品牌也有一些机组的应用,主要以国电智深、和利时、新华为主。

    火力发电厂工控系统存在以下安全隐患:

    1. MIS与厂级SIS网络互联,控制网络面临来自上层信息网的潜在威胁。
    2. 监控层各现场车间与 SIS 层通讯多采用 OPC 协议,按照《电力二次系统安全防护总体方案》要求,需要配置防火墙做逻辑隔离,然而目前很多电厂采用的防火墙不支持OPC协议的动态端口机制,安全策略无法配置,导致防火墙形同虚设。
    3. 控制网络内部的操作系统大多采用Windows操作系统,长期不更新导致存在大量漏洞,也无相关人员维护。
    4. 厂内对第三方集成商或者内部仪表工程师的笔记本电脑、U盘的接入没有相应的技术措施和管理措施。可能导致病毒由此进入系统中。
    5. 一些控制设备存在较严重的漏洞,一旦被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏控制系统。
    6. 出现系统故障后,不清楚网络状况, 不能判断是否有网络入侵行为 、病毒、业务访问异常等问题, 不能定位安全问题 。

    相关标准规范

    • 《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
    • 《GB/T 22239-2008信息安全等级保护基本要求》
    • 《电力二次系统安全防护总体方案》(电监安全[2006]34号)

    各厂商解决方案

    匡恩

    针对火力发电工控系统安全现状,匡恩网络做了深入调查和研究,提供了全生命周期的安全解决方案。
    这里写图片描述
    匡恩网络结合火电站运营的真实需求和潜在需求而总结的成果,经过实践证明,该解决方案能为火力发电行业工控系统提供完整的安全防御体系。
    1. 目标系统的威胁管理,帮助客户了解网络整体安全威胁和风险,提供全网安全防护建议,进而帮助用户构建合理有效的工控系统,对火力发电行业工控系统网络进行安全检查、漏洞分析和风险评估。
    2. 目标系统的监控审计,通过特定的安全策略,快速识别出火力发电行业工控系统网络非法操作、异常事件、外部攻击,并实时发出报警。
    3. 目标系统的智能保护,帮助用户有效提高工控网络整体安全系数,保证生产的安全有序进行,降低工控网络攻击带来的各种损失。对工控专有协议进行深度分析,层层拆解数据包、深入剖析数据包结构与内容,确保数据包的合法性,从而实现工控网络的深度防护。
    4. 目标系统的数采隔离,对数采系统所采集的数据进行深度分析,确保数据合法性,一旦发现非法行为,将进行记录隔离
    5. 模拟火力发电行业工控系统,通过不断的在系统上进行深入的漏洞挖掘、攻击研究,提供工控网络安全标准制定的仿真分析环境、标准草案的离线验证环境、事故和漏洞根源分析试验环境、保护及补偿性措施验证环境,完成攻击效果展示及安全防护方案验证。
    6. 工控安全服务培训为火力发电行业提供各类工控网络安全相关的教育培训服务。培训范围包括:工控网络知识、信息安全知识、工控网络安全知识、工控网络安全问题解决对策和工控网络、安全前沿研究成果。

    涉及产品:电力专用单向隔离网闸、数采隔离、工控网络审计系统、工控主机卫士、工业防火墙(智能IAD)、安全监管平台。
    

    威努特

    这里写图片描述

    1. 在安全I区所属的一号机组、二号机组、辅助车间控制网与安全II区的SIS系统网络边界部署工业防火墙;
    2. 在安全I区内一号机组、二号机组与共同使用中央空调系统、压缩空气系统、凝结水系统、脱硫公用系统、电气公用系统的公用系统网络边界部署工业防火墙,保证安全I区内一号机组、二号机组控制系统免受来自于公用系统的安全风险;
    3. 在安全I区的操作员站、工程师站、历史服务器上安装工控主机卫士,只允许白名单列表中的程序执行,避免非授权访问,同时实施移动存储介质安全管控,保证主机间数据交换安全;
    4. 在一号、二号机组控制系统交换机上旁路部署监测审计平台,对控制系统进行监控、告警、审计,及时发现安全问题;
    5. 旁路部署统一安全管理平台,实现主辅网安全系统的统一管理和日志汇总分析。

      涉及产品:工业防火墙、工控主机卫士、监测审计平台、统一安全管理平台、入侵监测系统。    
      

    启明星辰

    这里写图片描述

    1. 可实现对工程师站、操作员站的USB、光驱、无线等接口进行严格外设控制。
    2. 实现对工控网络设备安全配置进行审计与完善。
    3. 实现了阻断来自管理网的非法行为。实现了对DCS主控和辅控的非法行为的访问控制。尤其是基于OPC的访问控制。
    4. 对所有设备操作的日志进行记录可供日后溯源。
    5. 实时监测针对电力监控系统的攻击入侵行为及异常行为。

      涉及产品:工业防火墙、工控主机卫士、工控流量监测与审计系统、日志审计系统、工控异常检测系统。  
      

    以上方案的不足

    1. 由于控制网络面临来自上层信息网的潜在威胁,但以上厂商的方案中没有涉及发电厂信息管理大区的安全防护或防护不足,这与匡恩和威努特欠缺传统信息安全经验也有很大关系。
    2. 威努特和启明的方案中,在SIS层与管理信息大区连通处,缺少支持OPC动态端口特性的强逻辑隔离设备,存在由上而下的攻击路径。
    3. 启明的方案中,对《指南》中提到的“在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。”没有对应防护,建议配置合适的工业防火墙类设备。
    4. 以上厂商,对《指南》中提到的“做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。”没有对应措施,建议配置远程安全评估工具,对网络设备、工业主机进行安全评估、基线配置核查。
    5. 以上厂商,对《指南》中提到的“密切关注重大工控安全漏洞。”没有对应措施,建议配置远程漏扫或本地漏洞,在系统停车或者合适的时机,进行漏洞发现和漏洞管理。
    6. …..

    LZ的方案(标准版、土豪版)

    且听下回分解

    展开全文
  • 第五章 XX企业网络安全项目解决方案 19 5.1 XX企业防火墙解决方案 19 5.1.1 XX企业防火墙的部署 19 5.1.2 XX企业防火墙的作用 23 5.2 XX企业入侵检测方案 24 5.3 XX企业漏洞扫描解决方案 26 5.4 XX企业防病毒解决...
  • 大话企业IT安全解决方案

    千次阅读 2017-06-02 13:54:03
    安全是个技术+管理(人、流程)的问题。 技术解决的层次1. 基础安全服务 (认证、授权、审计) 2. 基础设施层(IPS, WAF) 3. 软件层 3.1 OS 3.2 应用APP (协议、漏洞) 4.安全服务(服务开发、管理、运营) ...
  • 阿里云安全能力整体安全解决方案 华为云网络安全等保2.0合规能力白皮书 华为政务云高阶整体设计方案 华为政务云安全合规解决方案 新华三云计算安全等级保护2.0合规能力白皮书 微软云Azure 安全整体方案 Azure云等级...
  • 6个关于信息安全方案集锦大连新船重工网络安全方案(全套).doc2. 第12章_网络安全方案设计.ppt3. 天融信企业安全方案模板.doc4.... 信息产业部网络安全解决方案.doc6. 智能感知 精细管理——高校出口网络解决方案.pdf
  • 网络支付解决方案

    千次阅读 2018-08-31 16:00:37
    在基于互联网平台的电子交易中实现网上支付的主要解决方案有两种,即网上银行模式和第三方支付平台模式。 网上银行模式主要由企业向银行提出申请,直接通过网上银行实现网上支付与结算。第三方支付平台模式主要 指...
  • 时间敏感型网络合并了工厂和企业网络 工业物联网(IIoT)提供具有感应,处理和联网功能的智能基础架构和超连接设备。这些系统将产生惊人的数据量,共享同一网络。因此,有必要确保实时和关键任务消息在延迟和可靠性...
  • 企业级应用的安全考量 认证 授权 机密性 完整性 审计 对于企业应用, Hadoop安全机制不提供什么? 面向数据的访问控制 差异性隐私 加密静态数据 企业安全集成 保护使用Hadoop的企业应用的方法 利用Accumulo的访问控制...
  • 完整的网络安全解决方案

    万次阅读 2008-03-17 13:15:00
    第一章 总则 本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对...
  • 该法共七章55条,分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则等章节。《数据安全法》统筹发展与安全,以安全保发展,助推数字中国建设。 数据风险治理路径 1、...
  • 网络安全法中明确地提到,国家实行网络安全等级保护制度,信息安全的建设要遵照等级保护标准来做。 二.为什么要开展网络安全等级保护工作 (一)体现国家管理意志,构建国家信息安全保护体系 等级保护...
  • 01.混合云架构下的安全风险分析1. 混合云架构下的安全风险分析企业混合云环境,一般包括一个或多个公有云厂商以及自建的私有云平台,从信息安全风险管理角度来看,实施混合云涉及到IT基础架构...
  • 本章内容提要 ● 理解企业级应用的安全顾虑 ● 理解Hadoop尚未为企业级应用...当构建企业安全解决方案(它可能会围绕着与Hadoop数据集交互的许多应用程序和企业级服务)时,保证Hadoop自身的安全仅仅是安全解决方案
  • 企业网络安全最常遇到的问题是什么?答案并非微不足道。基于网络安全评估的统计数据可能是关于这一复杂主题的最佳知识库。行业专家在开展这项活动方面具有扎实的背景,几乎每个企业IT环境都可能发现以下威胁: 1.电子...
  • 5G网络系统的高速度低时延特性将快速推进物联网技术及车联网技术的迅猛发展,5G网络不仅体现在高带宽、低时延,深度覆盖的低成本优势。更具有低能耗、大连接、深度覆盖的特点。 伴随5G网络逐渐实用化,将使智能...
  • zabbix 企业网络监控解决方案

    千次阅读 2017-06-15 10:31:59
    Zabbix是一个基于WEB界面的提供分布式系统监控以及网络监控功能的企业级的开源解决方案zabbix能监控各种网络参数,保证服务器系统的安全运营,并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题 ...
  • 企业数据防泄漏解决方案的介绍!

    千次阅读 2018-09-29 11:48:14
    随着企业信息化的蓬勃发展,企业信息文档安全保护和知识产权保护方面面临着越来越严峻的挑战。如今,为了提高企业核心竞争力,多少企业都已采用了计算机辅助设计工具,实现图纸的数字化管理。然而,依靠之前的管理...
  • 思科网络安全解决方案

    千次阅读 2010-05-10 22:37:00
    网络准入控制 — 保护网络安全病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时,移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网...
  • 摘 要边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 180,656
精华内容 72,262
关键字:

企业网络安全解决方案