客服热线:0571-28884688

解决方案SOLUTIONS

新闻搜索

安全系统集成方案

       

    随着科技的不断进步,黑客技术也不甘落后。网络遭受攻击的频率增加,遭受攻击的手段日益复杂。与之对应的是几乎所有的企业都把敏感重要的资料保存在电脑或者服务器上面。单纯的网络产品或者安全产品已经越来越不能满足用户的需求。
 
当前网络面临的安全风险:

•  入侵者通过拒绝服务攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

•  路由设备存在路由信息泄漏。

•  交换机和路由器设备配置风险等。

•  操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁。

•  对应用系统的非法访问。

•  用户提交的业务信息被监听或修改。

•  服务系统伪装,骗取用户口令。

•  管理人员泄密。

    等等 ……

 

怡天科技安全集成服务考虑的问题:

    我们认为首先应在对网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟局域网络( VLAN )、防火墙技术、加密技术、虚拟专用网络 (VPN) 技术、 PKI 技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。

    为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络安全分层的方法,并在每个层面上进行细致的分析,根据风险分析的结果,综合考虑、统一均衡,设计出符合具体实际的、可行的网络安全整体解决方案。

    我们主要从物理层、系统层、应用层、网络层和安全管理这五个层面上进行安全考虑,公司提供了从设备级安全、网络级安全、到系统解决方案级安全为一体的安全架构体系。首先在基于详细的需求了解之后,对系统进行安全的评估。根据需求,风险分析,通过应用防火墙、 VPN 、入侵检测等,配置 Access Control 列表, NAT 地址转换,实施网络的边界安全保护。同时根据需求,可进一步实施防病毒保护,安装电子邮件网关,进行 URL 内容过滤,进行安全审计;同时对于应用层,可通过安全的权限配置,使用 SSL 加密技术,以及用户密码管理,进一步确保安全。我们通过路由交换设备,划分子网、 VLAN ,设置访问控制列表,防火墙 DMZ 区,对内外网络进行逻辑的隔离。

    怡天科技安全集成服务的最终目标是真正给企业提供一个自适应、安全、稳定的IT环境,遵循ISO17799安全规范,帮助企业建立内部安全防护机制,来改善、保障企业IT系统的安全运行。

 

具体实施内容如下:
    建设防病毒、防火墙、安全网闸、入侵侦测、访问控制、拒绝攻击、集中认证、安全管理平台等系统,降低IT系统使用的风险;
    引入 PKI 机制来改善加密、解密和电子签名功能,使数据不容易被操纵和盗用;
    利用统一的身份识别和授权技术,提供一种快速可靠的电子商务安全环境;
    利用单点登录和单一帐号管理机制,实现系统的集中访问控制来防止泄密;
     7*24小时实时监测,“网络与安全集中监控平台”可以对系统出现的安全事件进行实时监测警报,并根据安全日志生成灵活的报表。
 

安全集成内容:

 

安全设备:
     防火墙(网络访问控制)
     入侵检测、入侵防护(审计跟踪)
     防病毒(内容安全)
     身份认证(鉴别和认证)
     网络行为管理(审计跟踪)
 

1、防火墙
    防火墙作为网络安全体系的基础设备,其作用主要是进行访问控制的处理。目前防火墙主要有包过滤、应用代理和状态检测等几种类型。
    网络访问控制是企事业单位安全系统建设中重要的一个环节。通常网络访问控制系统可以通过防火墙和路由器ACL来实现。由于ACL配置复杂,而且配置过于复杂将会严重影响路由器的性能,因此,企事业单位重要业务接口网络访问控制系统的建设,我们建议主要通过防火墙来实现。
    防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台。应用系统的安全性能是以操作系统的安全性能为基础的。同时,应用系统自身的安全实现也直接影响到整个系统的安全性,提高防火墙的可靠性通常是在设计中采取措施,具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。所以,高可靠性、带冗余设计的工业计算机成为网络安全行业和系统集成商的首选。

2、入侵检测
    实时入侵检测响应系统(Intrusion Detection Systems,IDS)是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
    用户为实现网络化应用的有效保护而存在的主要挑战,通过部署相应的IPS设备不仅实现快速的应用安全来防范恶意入侵和DoS攻击,而且通过带宽管理,QOS等技术实现攻击的安全隔离,关键业务的服务保证从而允许客户正常使用和保护大型环境中的应用。

3、防病毒
    企业级防病毒体系拥有从单机、网络到Internet/Intranet网关全方位多平台的防病毒产品,可满足不同用户对计算机从清除病毒到网络通讯系统全面防范监控的要求。

4、身份认证
    当前网络系统广泛使用的身份验证方式是用户密码验证。但是传统的用户密码是静态的,选择容易记忆的密码,容易被破译;选择复杂的密码,固然比较安全,但是难于记忆。而且,静态的密码容易泄漏,难于保管。
    近年来出现了各种增强的认证方式来解决这个问题,基本上有如下的几种:
        o CHAP认证 
        o USB 令牌卡
        o 数字证书
        o SmartCard 
        o 动态口令
        o 生物辨认

5、网络行为管理
    互联网在中国正处于爆破性发展的阶段,中国网民数量已经达到近一亿人,名列世界第二,互联网已经成为人们生活和工作中的一个不可或缺的组成部分。有目共识,互联网的发展的确让我们始料不及,他改变了人们的生活、学习、工作、交流方式和思维。但是同时出现和存在很多问题,直接影响的我们正常的工作和生活,如果有效的管理上网行为,是我们面临的一个新问题。
    网络行为管理系统是网络管理的好管家。它对公司的上网行为进行了规范和调整,避免公司员工面对网络分散精力和注意力,保障了为工作而上网所盼望的网路通畅,直接提升公司整体效率和生产力,节约了公司的管理开销,并且保障了公司的机密信息不通过互联网泄漏。