企業行業網絡安全整體解決方案
Enterprise industry network security solutions
背景介紹 Background
随着信息化技術的(de)⽇新⽉異和(hé / huò)⻜速更新叠代,⼤中型企業的(de)運營模式與數據管理⽅式正在(zài)經曆着根本性的(de)轉變。它們越來(lái)越依賴互聯⽹作爲(wéi / wèi)業務運營的(de)核⼼平台和(hé / huò)數據處理的(de)主要(yào / yāo)渠道(dào),通過互聯⽹實現信息共享、客⼾服務、産品銷售、供應鏈協同等諸多關鍵功能,互聯⽹已經成爲(wéi / wèi)推動企業發展和(hé / huò)經濟增⻓的(de)重要(yào / yāo)驅動⼒。然⽽,與此同時(shí),⽹絡安全威脅的(de)⽇益嚴峻和(hé / huò)多樣化給企業帶來(lái)了(le/liǎo)前所未有的(de)挑戰。⽹絡安全問題不(bù)僅僅關乎企業的(de)信息安全保護,更直接影響到(dào)企業的(de)正常運營、客⼾信任度以(yǐ)及市場份額,甚⾄可能對企業⽣存發展構成重⼤威脅。因此,企業必須⾼度重視⽹絡安全問題,不(bù)斷提升⾃⾝的(de)⽹絡安全防護能⼒和(hé / huò)應對策略,以(yǐ)在(zài)享受信息化技術帶來(lái)的(de)便利與效率的(de)同時(shí),有效保障業務運營的(de)安全與穩定。
需求分析/requirement analysis
1、數據安全性:企業數據的(de)安全性⾄關重要(yào / yāo)。數據洩漏、篡改或丢失可能導緻企業遭受重⼤經驗損失,須加強針對研發數據、業務數據的(de)安全防護。
2、業務連續性:企業需要(yào / yāo)确保業務在(zài)遭受⽹絡攻擊或系統故障時(shí)能夠持續運⾏,減少對企業運營的(de)影響,須構建⾼可⽤⽹張,實現業務的(de)鏈路冗餘,并定期進⾏應急演練,提⾼應對⽹絡安全事件的(de)能⼒。
3、内部安全管控:企業内部職業的(de)不(bù)當⾏爲(wéi / wèi)或誤操作可能導緻安全⻛險,須建⽴嚴格的(de)管理機制,并實⾏⾝份認證和(hé / huò)權限管理。
4、外部威脅防禦:企業⾯臨的(de)外部威脅種類繁多,如病毒、APT、惡意軟件等,因爲(wéi / wèi)須對整個(gè)企業構建有效的(de)⽹絡安全防護及監測體系,定期對系統進⾏安全評估,确保企業業務系統的(de)安全運⾏。
5、合規需求:企業遵守國(guó)家關于(yú)⽹絡安全和(hé / huò)個(gè)⼈信息保護的(de)法律法規,依據等級保護相關要(yào / yāo)求進⾏安全建設,定期對⽹絡安全狀況進⾏合規性檢查。
解決方案/Solution
爲(wéi / wèi)全面解決企業行業存在(zài)的(de)潛在(zài)安全問題及滿足法律法規的(de)建設需要(yào / yāo),針對性推出(chū)了(le/liǎo)可管、可控的(de)一(yī / yì /yí)體化網安全解決方案。
拓撲結構如下圖:
本方案主要(yào / yāo)圍繞着企業行業自身安全建設需要(yào / yāo)及滿足等級保護建設規範進行網絡安全建設。
技術措施彙總/Summary of technical measures
| 設備名稱 | 主要(yào / yāo)功能 |
|---|---|
| 抗DDOS系統 | 有效保護網絡業務不(bù)受DDOS攻擊影響,提高網絡帶寬和(hé / huò)服務器資源的(de)有效利用率 |
| 負載均衡系統 | 将負載(工作任務)進行平衡、分攤到(dào)多個(gè)操作單元上(shàng)進行執行,避免單鏈路連接造成的(de)單點故障 |
| 下一(yī / yì /yí)代防火牆 | 隔離不(bù)同的(de)安全區域,根據網絡訪問和(hé / huò)安全防護需要(yào / yāo),定義适當的(de)訪問控制規則和(hé / huò)網絡通訊規則 |
| 上(shàng)網行爲(wéi / wèi)管理 | 針對員工的(de)網絡帶寬進行有效的(de)管理,同時(shí)針對日益豐富的(de)應用,進行有效的(de)識别和(hé / huò)管控 |
| Web應用防護系統 | 在(zài)應用層上(shàng)針對SQL注入、跨站腳本攻擊行爲(wéi / wèi)等web攻擊行爲(wéi / wèi)進行阻斷 |
| 數據庫防火牆 | 對數據庫訪問行爲(wéi / wèi)的(de)控制,高危操作的(de)攔截,可疑行爲(wéi / wèi)的(de)監控,風險威脅的(de)審計 |
| VPN系統 | 防止在(zài)城域網間數據傳輸過程中數據被非法竊取、盜用、篡改,對網絡間傳輸的(de)數據進行加密 |
| 數據防洩密系統 | 以(yǐ)“旁觀者”的(de)方式觀察和(hé / huò)記錄單位職工對電腦、文件、軟件操作或網絡行爲(wéi / wèi),同時(shí)服務端通過多種方式(文件簽名、敏感詞識别與權重分析、正則表達式過濾)識别敏感機密信息。并通過數據彙總與分析,得出(chū)人(rén)員、文件、安全事件這(zhè)三個(gè)維度的(de)趨勢,并通過相應的(de)安全策略定義,對用戶的(de)操作進行識别,從而(ér)确認洩密風險并采取相應措施進行防範。 |
| 高級未知威脅分析系統 | 檢測已知威脅,通過回溯分析數據包特征、異常網絡行爲(wéi / wèi),發現潛伏已久的(de)高級未知攻擊 |
| 安全運維服務 | 通過專業的(de)網絡安全人(rén)員,爲(wéi / wèi)客戶提供專業的(de)網絡安全服務,例如滲透測試、代碼審計、脆弱性評估、安全駐場運維等等 |
| 移動終端管理系統 | 客戶在(zài)任意時(shí)間、任意地(dì / de)點、任意智能終端能夠訪問并處理其多種多樣的(de)核心業務 |
| 态勢感知平台 | 以(yǐ)全流量分析爲(wéi / wèi)核心,結合威脅情報、行爲(wéi / wèi)分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大(dà)數據關聯分析、可視化等技術,對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化等,幫助客戶在(zài)高級威脅入侵之(zhī)後,損失發生之(zhī)前及時(shí)發現威脅 |
| 隔離網閘 | 物理隔離内外網區域,通過對信息進行落地(dì / de)、還原、掃描、過濾、防病毒、入侵檢測、審計等一(yī / yì /yí)系列安全處理,有效防止黑客攻擊、惡意代碼和(hé / huò)病毒滲入,同時(shí)防止内部機密信息的(de)洩露,實現網間安全隔離和(hé / huò)信息交換。 |
| 防病毒服務器 | 對服務器操作系統進行惡意代碼保護 |
| 堡壘機 | 實現對所有運維人(rén)員的(de)操作進行集中管控 |
| 網站安全監測 | 針對門戶網站、對外業務系統提供7*24小時(shí)網站安全監測服務 |
| 入侵檢測系統 | 在(zài)系統網絡中的(de)關鍵點收集信息,并分析這(zhè)些數據,查看網絡中是(shì)否存在(zài)違反安全策略的(de)行爲(wéi / wèi),監視網絡邊界處攻擊行爲(wéi / wèi),及時(shí)報警 |
| 安全配置核查系統 | 對常見的(de)網絡設備、安全設備、操作系統、數據庫、應用服務中間件、虛拟化平台進行安全配置核查,快速發現客戶網絡中存在(zài)安全配置隐患 |
| 漏洞掃描系統 | 實現對信息系統中的(de)關鍵服務器進行漏洞掃描,發現由于(yú)安全管理配置不(bù)當、疏忽或操作系統本身存在(zài)的(de)漏洞 |
| 終端準入 | 對入網請求用戶的(de)終端做健康評估,并根據管理員配置的(de)評估策略,對不(bù)滿足條件的(de)終端進行隔離和(hé / huò)提供修複向導 |
| 數據脫敏系統 | 采用專門的(de)脫敏算法對敏感數據進行變形、屏蔽、替換、随機化、加密,将敏感數據轉化爲(wéi / wèi)虛構數據,隐藏了(le/liǎo)真正的(de)隐私信息 |
| 數據安全管理平台 | 通過可視化視圖全面掌握用戶數據庫、存儲系統,從數據維度獲取數據資産情況,針對性的(de)發現相關敏感數據,并對其進行分類分級 |
| 數據資産梳理 | 通過自動發現技術、靜+動态梳理有效地(dì / de)解決了(le/liǎo)單位對資産安全狀況摸底及資産管理工作 |
| 日志審計系統 | 監控和(hé / huò)保障信息系統運行,爲(wéi / wèi)安全事件的(de)事後分析、調查取證提供必要(yào / yāo)的(de)信息 |
| 數據庫審計系統 | 實現數據庫操作的(de)内容監測識别,發現各種違規數據庫操作行爲(wéi / wèi),及時(shí)報警響應、全過程操作還原 |
| 備份一(yī / yì /yí)體機 | 針對現有服務器、數據庫進行統一(yī / yì /yí)備份 |
| 資産安全運營平台 | 包含了(le/liǎo)縱深防禦效果檢驗、安全意識檢驗、資産暴露面檢驗、嚴重脆弱性檢驗、網站内容合規檢驗等産品能力,集資産測繪、資産管理、資産風險發現、資産風險管理、攻擊威脅發現、威脅處置等功能于(yú)一(yī / yì /yí)身 |
