|
 |
|
 |
 首页 >> 解决方案 >> 编辑推荐方案 |
|
|
| 上海长宁妇幼保健医院无线网络应用案例 [编辑推荐方案] |
| 青海省IP网优化工程网络解决方案 |
| 2005-10-12 10:51:00 文/ |
|
锁定关键资源
青海省IP网络系统是以数据通信为基础的计算机综合信息网,实现了信息通信和资源共享,面向社会提供网络服务和信息服务。但是,随着企业电子商务和个人网络应用的发展,作为一个公共网络平台,青海IP网面临着如何保护企业和用户秘密,维护企业和用户一系列合法权益等一系列重要而棘手的问题。而正在出现或即将出现的一些全新的形势,又使这一任务显得更加迫切而艰难,例如,在当前复杂的网络应用环境下,安装单一的防病毒产品已经远远不足以保障用户网络系统、信息资源的安全,企业、单位网络系统的安全隐患已经不仅仅来自于病毒,黑客攻击、恶意入侵等已经成为主要的安全威胁,它们不但可以造成网络阻塞、传输中断,甚至会系统瘫痪的后果,更为严重的是,远程控制、内部泄密等行为可以轻易地破坏关键数据、盗窃机密信息,从而给企业、单位带来不可估量的损失;又例如,对于昨天的快速以太网连接性能来说已足够的解决方案,对于今天千兆位以太网的连接速度来讲,已经力不从心。针对青海IP网络的这些特殊需求,冠群金辰充分利用其广泛的行业经验和技术实力,提供了一个包括防火墙、防病毒、入侵检测、主机防护、VPN等一揽子产品的整体解决方案,实现了主动防护与被动监控、全面防护与重点防护的完美结合。
一 青海省IP网络系统安全问题分析
1 青海IP网络系统安全现状与需求分析
在青海IP网络业务系统中,大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX操作系统。众所周知,TCP/IP和UNIX都是以开放性著称的,系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面,虽然对访问控制、用户验证授权、实时和事后审计等安全内容已有所考虑,但只实现了基本安全控制功能,还存在一些这样那样的漏洞。
青海现有的IP网络系统建设中虽然对安全问题也做了一定的考虑,设计了防火墙系统,但是鉴于当前IT系统安全性的严重状况,这些考虑还是比较朴素和初步的,并没有形成一套完整的防护体系;这主要是由于防火墙只是保护青海IP网络系统的第一道防线,它主要侧重在对通讯的源、目的地址和端口进行限制,在实际应用中,该系统业务要求许多地址都可以访问关键服务器上的应用,所以即使有了防火墙,黑客还是可以从许多地方访问关键服务器,数据包中很可能包含入侵攻击代码。
此外,黑客的入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退等几个步骤。因此,针对每一个黑客攻击的步骤,我们都需要制定相应的防范措施;而且其中具有技术部分的内容,更加重要的是管理方面的,也就是安全策略的制定和实行。
这些方面的安全需求总结起来,主要包括技术、业务、物理环境和管理体系等四个部分。技术部分的安全问题主要包括网络系统、主机系统、数据库系统;业务安全主要是针对应用层部分,而应用软件的设计管理是与其运营模式分不开的,同时也是建立在网络、主机和数据库系统基础之上的,因此业务部分的软件分发、用户管理、权限管理需要充分利用底层系统的安全技术和良好的安全管理机制。物理环境安全主要指的是机房环境安全;管理体系安全主要指一套完整的业务系统的安全解决方案必须配备相应的管理制度,因为完美的安全系统是建立在用户特定的管理运行模式中的,没有严格的管理规范和管理制度,再完美的设计和昂贵的设备都没有可信的安全度。
2 网络关键资源定位
由于系统本身的复杂性以及应用中安全的相对性,一个有效的安全解决方案应该首先满足对关键的资源实现重点保护的需要,而在此之前,就必须对关键资源进行定位。青海IP网络中需要提供安全保护的关键资源有:网络资源,包括网络系统的非法进入和传输数据的非法窃取和盗用;数据资源,指业务系统的数据结构、业务原始数据、主机与网络系统的配置维护数据需要保护;文件系统,指主机系统文件、网络系统配置文件和业务系统软件;合法用户,指在整个系统中具有合法身份的用户的权限不能被盗用,或者合法的权限被任意的放大或缩小甚至删除。
二 网络层解决方案
1 发散性的技术方案设计思路
网络安全是一个循序渐进的过程,不可能一蹴而就。所以,在冠群金辰提供的解决方案中首先对关键资源进行了定位,然后以关键资源为基点,按照发散性的思路进行了安全分析和保护,并将方案的目的确定为为青海IP网络系统建立一个统一规范的安全系统,并体现青海IP网络系统本身所具备的具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
该方案首先利用冠群金辰的主机保护技术保障关键服务器的安全性,然后采用网络隔离和网络安全检测技术对整个周边网络进行安全防范;不但包括各种安全方案,还给出了拓展的方案和整合方式,这样就保证了青海IP网络随着业务发展可以随时进行扩展。
2 网络层解决方案
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。针对网络层安全的考虑主要是基于以下几点:1 控制不同的访问者对网络和设备的访问;2 划分并隔离不同安全域;3 防止内部访问者对无权访问区域的访问和误操作。
按照网络区域安全级别的不同,冠群金辰将青海IP网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离,在关键服务器区域内部,也同样需要按照安全级别的不同进行安全隔离。
与此同时,冠群金辰的方案还结合网络系统的安全防护与监控需要与实际应用环境,工作业务流程以及机构组织形式与机构进行了密切结合,从而在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御、系统访问控制、网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强了系统的总体可控性。
3 网络层方案配置
在青海IP网络系统核心网段利用一台专用的安全工作站安装冠群金辰公司的eID(eTrust Intrusion Detection)产品,将工作站直接联接到主干交换机的监控端口(SPAN Port),用以监控局域网内各网段间的数据包。
eID系统的配置
由于eID产品支持在一台工作站上通过安装多块网卡的方式获取多个网段的数据,所以可在关键网段内配置含多个网卡并分别联接到多个子网的入侵检测(eTrust Intrusion Detection)工作站进行相应的监测。eID还具有安全事件取证系统,能够对网络中发生的所有事件进行忠实地记录和取证,即使黑客在主机上抹去了入侵的纪录,eID也可以提供详细的入侵过程纪录。
·IT产品报价大全 |
|
|
|
|
[第一页] 1 2 [下一页] [最后一页]
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
