-
服務(wù)&合规治理(lǐ)
解决方案
安(ān)全區(qū)域边界
边界防护是第一道防線(xiàn),所有(yǒu)的访问内部应用(yòng)数据均会通过网络边界进入到内部网络。针对新(xīn)的边界安(ān)全威胁,边界访问控制成為(wèi)基本的安(ān)全措施,防火墙作(zuò)為(wèi)边界设备应当更加智能(néng)化、联动化。可(kě)实现功能(néng):
防火墙一般部署在各个安(ān)全區(qū)域边界,在互联网接入边界、安(ān)全管理(lǐ)區(qū)边界、核心业務(wù)區(qū)边界均建议部署防火墙设备,设置严格的访问控制规制,定期进行测量的检测和优化。
一些行业的特定应用(yòng),其业務(wù)系统处理(lǐ)大量核心敏感数据,且跟其他(tā)网络进行频繁的业務(wù)数据交换,但一旦被存在恶意人员利用(yòng)进行端口攻击、非授权访问等安(ān)全风险。為(wèi)了保障核心业務(wù)数据安(ān)全,在设计中(zhōng)不能(néng)与其他(tā)网络直接互联。
為(wèi)了保障数据信息实时传递的同时,实现强逻辑安(ān)全隔离,需要采用(yòng)安(ān)全信息交换系统,也就是网闸,保障内外网安(ān)全隔离和适时的数据交换。可(kě)实现:
网闸的不同部署:
数据库安(ān)全同步部署方式
文(wén)件安(ān)全交换部署方式
随着信息化发展,网络攻击活动愈加频繁,而造成的破坏性越来越大,仅靠防火墙这样的边界设备实现网络防攻击已经遠(yuǎn)遠(yuǎn)不能(néng)满足要求,所以通过部署入侵防御设备对网络攻击行為(wèi)进行检测与阻断,并及时报警和产(chǎn)生报告非常重要。
入侵防御系统支持在線(xiàn)部署和旁路部署,采用(yòng)串接方式部署在防火墙和核心交换机之间,能(néng)有(yǒu)效检测和阻断入侵攻击。
近年来,具(jù)备國(guó)家和组织背景的新(xīn)型网络攻击日益增多(duō),其中(zhōng)最為(wèi)典型的為(wèi)APT攻击,而APT攻击采用(yòng)的攻击手法都是未知漏洞、未知恶意代码等,那已知模式检测的IDS、IPS在无法预知攻击特征、攻击行為(wèi)模式。APT攻击针对的往往是政府、企业、金融等关键应用(yòng)系统,使单位安(ān)全面临严峻挑战。
通过部署专业的APT检测设备,实现对新(xīn)型网络攻击行為(wèi)的发现、分(fēn)析、追溯。实现功能(néng):
APT攻击测试旁路部署在核心交换机上,对用(yòng)户网络中(zhōng)的流量进行全量检测和记录,所有(yǒu)网络行為(wèi)都将标准化的格式保存于数据平台,云端威胁情报和本地文(wén)件威胁器分(fēn)析结果于本地分(fēn)析平台进行对接,為(wèi)用(yòng)户提供基于情报和文(wén)件检测威胁发现与溯源能(néng)力。
大多(duō)数企业构建时开放式网络,开放式网络带来了便捷性,但是开放的内部网络严重影响到企业IT稳定运性和数据安(ān)全。為(wèi)了防止企业网络资源不受非法终端接入引起的各种威胁,需要采用(yòng)技(jì )术手段保障终端入网的安(ān)全可(kě)信。
通过网络层的非授权连接行為(wèi)管控可(kě)以通过网络安(ān)全准入系统进行控制,可(kě)实现:
网络安(ān)全准入系统采用(yòng)旁路部署,通过监听发现和评估那些终端入网符合遵从条件,判断哪些终端允许访问核心资源。不符合会被拦截要求认证,达到合规入网的管理(lǐ)规范要求。
互联网的开放性、交互性、延伸性為(wèi)人们快速获取知识、即时沟通和跨地域交流提供了极大的方便,同时互联网的虚拟性业務(wù)也為(wèi)单位和个人带来巨大的安(ān)全隐患,如果不对单位的互联网访问行為(wèi)加以控制,将导致单位的数据、业務(wù)面临安(ān)全风险。
终端的非法外联可(kě)以通过终端安(ān)全系统或者采用(yòng)专业的上网行為(wèi)管理(lǐ)设备进行控制,可(kě)以对终端的外联端口进行检测和阻断,通过在网络出口进行安(ān)全策略的配置,限制单位用(yòng)户的外联访问行為(wèi)。
上网行為(wèi)管理(lǐ)系统可(kě)以串接和旁路镜像部署在单位的出口。
当前病毒的产(chǎn)生速度、种类、危害程度已经发生了巨大的改变,对于混合型病毒和未知病毒更加难以防范,而病毒一旦进入内部网络植入系统,往往对单位造成的危害不可(kě)估量,因此在网络边界入手,及时检测出病毒,切断传播路径。
现在的UTM设备和下一代防火墙都具(jù)有(yǒu)的AV(防病毒)模块,能(néng)在网络重要节点发挥作(zuò)用(yòng),或者采用(yòng)专业的反病毒网关,在网络边界进行病毒的检测和阻断。
為(wèi)实现病毒的实时阻断,在广域网接口 串接UTM或者下一代防火墙,开通AV模块,或者串接专业的防病毒网关,在网络层检测和阻断病毒。
安(ān)全技(jì )术措施并不可(kě)能(néng)万无一失,一旦发生网络安(ān)全事件,需要进行事件的追踪与分(fēn)析。需要在网络边界、重要的网络节点进行流量的采集和检测,并进行基于网络行為(wèi)的审计分(fēn)析,从而及时发现异常行為(wèi)。同时《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》也规定安(ān)全审计日志(zhì)的最少保存周期。。
网络安(ān)全审计系统通过镜像核心交换机端口的数据流量,可(kě)对整个网络的流量进行审计分(fēn)析,对用(yòng)户的行為(wèi)进行审计。
包括:
网络安(ān)全审计系统通过旁路的方式部署在核心交换机,通过分(fēn)析网络流量进行用(yòng)户行為(wèi)的分(fēn)析审计。
联系我们
021-6095-9898
地址:上海市曹杨路450号绿地和创大厦1007-1008室
传真:021-60959899 邮箱:helian@shhelian.com
Copyright © 2021 上海合联電(diàn)子科(kē)技(jì )有(yǒu)限公(gōng)司 All Rights Reserved 京ICP证000000号
Copyright © 2021 上海合联電(diàn)子科(kē)技(jì )有(yǒu)限公(gōng)司 All Rights Reserved 京ICP证000000号
