安全解決方案

內(nèi)網(wǎng)安全解決方案vpn終端Internet核心處理域數(shù)據(jù)庫(kù)內(nèi)網(wǎng)審計(jì)系統(tǒng)認(rèn)證系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)vpn終端Internet核心處理域數(shù)據(jù)庫(kù)內(nèi)網(wǎng)審計(jì)系統(tǒng)認(rèn)證系統(tǒng)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)內(nèi)網(wǎng)安全域的劃分需求內(nèi)網(wǎng)中不同類信息資產(chǎn)的價(jià)值不同、安全目標(biāo)和使命不同、保護(hù)等級(jí)不同而提出的概念，應(yīng)該把不同的信息資產(chǎn)進(jìn)行有效的整合，從邏輯上劃分為不同的區(qū)域?？蓪?nèi)網(wǎng)分為三個(gè)安全域，分別是外部域、接入域和內(nèi)部域，安全等級(jí)從低到高，內(nèi)容如下：1、外部域，主要是指企業(yè)外部接入部分和企業(yè)對(duì)外提供服務(wù)的邏輯邊界部分，如企業(yè)對(duì)外提供訪問(wèn)的WEB服務(wù)器、EMAIL服務(wù)器等。2、接入域，主要指企業(yè)內(nèi)部局域網(wǎng)的辦公、運(yùn)維和生產(chǎn)用機(jī)，在接入域中又可以劃分為內(nèi)部用戶域、外部用戶域、管理員域。內(nèi)部用戶域主要是指企業(yè)辦公人員所使用的主機(jī)、PC機(jī)等邏輯區(qū)域；外部用戶域主要是針對(duì)第三方人員訪問(wèn)時(shí)候的網(wǎng)絡(luò)接入?yún)^(qū)域；管理員域是指企業(yè)運(yùn)維人員辦公設(shè)備所在區(qū)域。3、內(nèi)部域，主要是指企業(yè)實(shí)行大集中的時(shí)候，各業(yè)務(wù)系統(tǒng)主機(jī)所放置的區(qū)域,內(nèi)部域又可劃分為核心處理域和開(kāi)發(fā)測(cè)試域，其中核心處理域包含業(yè)務(wù)系統(tǒng)服務(wù)器和數(shù)據(jù)庫(kù)三個(gè)安全域的防護(hù)需求：

外部域APDR模型層次需求解決方案防護(hù)網(wǎng)絡(luò)層由于訪問(wèn)控制不嚴(yán)格，導(dǎo)致DMZ區(qū)服務(wù)器被用作跳板機(jī)器滲透內(nèi)網(wǎng)設(shè)置嚴(yán)格訪問(wèn)控制措施，特別是從DMZ區(qū)到接入域和內(nèi)部域系統(tǒng)層服務(wù)器操作系統(tǒng)、應(yīng)用軟件的安全漏洞被公布、曝光，可能導(dǎo)致惡意攻擊建立WSUS等自動(dòng)補(bǔ)丁升級(jí)系統(tǒng)，及時(shí)打補(bǔ)丁應(yīng)用層若存在WEB服務(wù)器，可能導(dǎo)致類似SQL注入等WEB攻擊方式發(fā)生。采用WEB腳本掃描器進(jìn)行漏洞掃描，彌補(bǔ)腳本漏洞監(jiān)測(cè)網(wǎng)絡(luò)層由于接入外網(wǎng)，內(nèi)外進(jìn)出數(shù)據(jù)需要時(shí)刻分析以確保在第一時(shí)間發(fā)現(xiàn)安全事件設(shè)置NIDS進(jìn)行實(shí)時(shí)監(jiān)控或設(shè)置NIPS主動(dòng)保護(hù)備份與恢復(fù)系統(tǒng)層操作系統(tǒng)、數(shù)據(jù)庫(kù)日志往往能夠進(jìn)行事后分析和判定，同時(shí)數(shù)據(jù)庫(kù)數(shù)據(jù)備份有利干出問(wèn)題時(shí)及時(shí)恢復(fù)WEB服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)，以及瀏覽器、系統(tǒng)日志要做及時(shí)備份接入域APDR模型層次需求解決方案防護(hù)網(wǎng)絡(luò)層由于訪問(wèn)控制不嚴(yán)格，可能導(dǎo)致內(nèi)網(wǎng)蠕蟲(chóng)病毒、木馬的擴(kuò)散設(shè)置細(xì)粒度的內(nèi)部用戶域、外部用戶域和管理員之間以及到內(nèi)部域、外部域的訪問(wèn)控制措施系統(tǒng)層接入域最多發(fā)生的安全事件主要是蠕蟲(chóng)等病毒的侵襲，做好PC終端的安全措施尤其重要建立WSUS等自動(dòng)補(bǔ)丁升級(jí)系統(tǒng)，及時(shí)打補(bǔ)丁；建立防病毒體系；基于類似ARP木馬的不可查殺性，加固各PC機(jī)安全設(shè)置，尤其是共享設(shè)置監(jiān)測(cè)網(wǎng)絡(luò)層內(nèi)部惡意攻擊、竊取、嗅探口令事件越來(lái)越多設(shè)置NIDS入侵監(jiān)測(cè)系統(tǒng)，進(jìn)行實(shí)時(shí)監(jiān)控備份與恢復(fù)管理員域的管理數(shù)據(jù)信息往往是企業(yè)IT信息的重要部分備份域控制器AD目錄、各網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件配置等內(nèi)部域APDR模型層次需求解決方案防護(hù)網(wǎng)絡(luò)層訪問(wèn)控制不嚴(yán)格可能導(dǎo)致內(nèi)部人員惡意訪問(wèn)關(guān)鍵服務(wù)器添加邏輯隔離設(shè)備，并設(shè)置細(xì)粒度的訪問(wèn)控制措施，一般內(nèi)部域無(wú)法主動(dòng)訪問(wèn)外部域和接入域，對(duì)于接入域的訪問(wèn)必須限制訪問(wèn)端口等措施系統(tǒng)層各業(yè)務(wù)系統(tǒng)服務(wù)器面臨底層操作系統(tǒng)、中間件等安全漏洞生產(chǎn)機(jī)需謹(jǐn)慎打補(bǔ)丁，一般可以先做測(cè)試后，再進(jìn)行補(bǔ)丁安裝或者采用具有可逆性的系統(tǒng)加固方法進(jìn)行漏洞彌補(bǔ)應(yīng)用層業(yè)務(wù)系統(tǒng)開(kāi)發(fā)時(shí)用戶身份認(rèn)證、鑒別、傳輸保護(hù)等考慮未周到若暫時(shí)無(wú)法進(jìn)行軟件升級(jí)，可采用制度規(guī)范等方式強(qiáng)制口令長(zhǎng)度、復(fù)雜度和數(shù)據(jù)加密工具使用監(jiān)測(cè)網(wǎng)絡(luò)層內(nèi)部惡意攻擊、竊取、嗅探口令事件越來(lái)越多設(shè)置NIDS入侵監(jiān)測(cè)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控備份與恢復(fù)數(shù)據(jù)的可用性要求比較高數(shù)據(jù)庫(kù)數(shù)據(jù)的容災(zāi)和備份遠(yuǎn)程辦公需求隨著企業(yè)業(yè)務(wù)的迅速發(fā)展，各地分支機(jī)構(gòu)隨之增加，信息交互也越來(lái)越頻繁，隨著企業(yè)ERP系統(tǒng)的實(shí)施，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也越來(lái)越多，安全性要求也越來(lái)越重要，目前僅僅依靠Modem撥號(hào)、ADSL以及專線的組網(wǎng)模式已經(jīng)越來(lái)越不適應(yīng)企業(yè)對(duì)信息傳輸平臺(tái)的要求了。利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的專用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)(VPN,VirtualPrivateNetwork)，用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN象企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性等。通過(guò)VPN，企業(yè)可以以明顯更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴、企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP(PointOfPresence，接入服務(wù)提供點(diǎn))即可相互通信；虛擬網(wǎng)組成之后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問(wèn)企業(yè)內(nèi)部資源；如果接入服務(wù)器的用戶身份認(rèn)證服務(wù)器支持漫游，甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限。這對(duì)于流動(dòng)性很大的出差員工和分布廣泛的客戶與合作伙伴來(lái)說(shuō)是很有意義的。并且企業(yè)開(kāi)設(shè)VPN服務(wù)所需的設(shè)備很少，只需在資源共享處放置一臺(tái)VPN服務(wù)器就可以了。內(nèi)網(wǎng)行為審計(jì)需求我們所要求的上網(wǎng)行為管理應(yīng)有以下幾方面要求：1、實(shí)時(shí)監(jiān)控當(dāng)前上網(wǎng)使用情況；2、對(duì)員工上網(wǎng)的具體控制；3、查詢用戶訪問(wèn)過(guò)的網(wǎng)絡(luò)歷史記錄；4、對(duì)上網(wǎng)情況進(jìn)行統(tǒng)計(jì)；

5、5、以及對(duì)網(wǎng)上傳輸?shù)膬?nèi)容進(jìn)行監(jiān)控等數(shù)據(jù)庫(kù)審計(jì)需求數(shù)據(jù)庫(kù)安全面臨幾個(gè)主要的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)：內(nèi)部人員誤操作、違規(guī)操作、越權(quán)操作，損害業(yè)務(wù)系統(tǒng)安全運(yùn)行多人公用一個(gè)帳號(hào)，責(zé)任難以分清；第三方維護(hù)人員的誤操作，惡意操作和篡改；超級(jí)管理員用戶操作難以監(jiān)管和審計(jì)；技術(shù)風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)服務(wù)器操作系統(tǒng)漏洞攻擊；數(shù)據(jù)庫(kù)系統(tǒng)漏洞攻擊；應(yīng)用系統(tǒng)開(kāi)發(fā)商后門或漏洞；離職員工留下后門。審計(jì)風(fēng)險(xiǎn)審計(jì)日志缺失或不完整；OA系統(tǒng)需求需要一個(gè)可以實(shí)現(xiàn)內(nèi)外資源整合的高效的信息系統(tǒng)，從而提升其管理水平。具體表現(xiàn)在：需要一個(gè)高效的協(xié)同管理工作平臺(tái)需要一個(gè)有效的知識(shí)資產(chǎn)管理平臺(tái)需要一個(gè)個(gè)性化的系統(tǒng)訪問(wèn)門戶需要一個(gè)良好的組織文化管理平臺(tái)需要一個(gè)集中的信息整合呈現(xiàn)平臺(tái)需要一個(gè)靈活的業(yè)務(wù)流程整合平臺(tái)無(wú)線路