企業系統
1、概況
某集團公司信息業務的主要範圍集中(zhōng)在集團公司本部的數據中(zhōng)心,數據中(zhōng)心存儲了絕大(dà)部分(fēn)集團的信息資(zī)産。 30多台服務器構成了核心服務器區,服務器的類型和服務的類型比較多,有隻對内發布的生(shēng)産系統、人事系統,有對外(wài)發布的WWW網站,内外(wài)都使用的網上業務系統,還有網絡正常業務需要的郵件、域名、代理等系統,還有數量不少的各系統使用的後台,如數機庫、目錄系統等;集團公司新辦公樓所承載的信息系統除了數據中(zhōng)心的重要服務器外(wài),還包括分(fēn)布于各個樓層的内部辦公網,和部分(fēn)出租樓層的辦公網;數據中(zhōng)心對外(wài)有互連網出口和内部廣域網出口。
2.安全區劃分(fēn)
合理的安全區劃分(fēn)是爲了更清晰的定義和區分(fēn)信息資(zī)産,同時也更利于我(wǒ)們對安全需求進行分(fēn)析,進而更有針對性的進行安全建設。
爲了更清晰地描繪出集團公司網絡的邏輯分(fēn)布,參照IATF3.1标準,我(wǒ)們根據安全需求的不同,将集團公司網絡信息系統劃分(fēn)爲以下(xià)的安全域結構。
集團公司安全區劃分(fēn)
通過對各個安全區進行分(fēn)析,我(wǒ)們可以将集團公司的安全需求歸納爲如下(xià)::
分(fēn)類 | 内容 |
防火(huǒ)牆 | 在Internet邊界設立防火(huǒ)牆 |
在出租邊界設立防火(huǒ)牆 | |
在廣域網邊界設立防火(huǒ)牆 | |
在服務器區邊界設立防火(huǒ)牆 | |
入侵檢測 | 在集團公司内部網中(zhōng)設置IDS,檢測來自于互連網和内部之間的攻擊行爲 |
郵件網關 | 在集團公司郵件服務器前部署郵件網關,用于防止垃圾郵件和過濾郵件病毒 |
SSL VPN系統 | 在集團公司與互連網邊界部署SSL VPN系統,用于實現集團移動辦公用戶的訪問需求 |
3、解決方案
集團企業網整體(tǐ)安全的建設是一(yī)個系統工(gōng)程,我(wǒ)們在制定安全網絡策略時首先考慮到的就是邊界的訪問控制,在網絡層對計算機通信及各種應用訪問進行嚴格的控制,保障合法的訪問,同時杜絕非法或非授權的訪問。通常我(wǒ)們采用合理的劃分(fēn)VLAN和部署防火(huǒ)牆這兩個措施來實現邊界訪問控制,從而保障集網絡邊界安全和訪問控制。
爲了克服以太網的廣播問題,除了按照物(wù)理位置将網絡隔離(lí)外(wài),還可以運用VLAN(虛拟局域網)技術,将以太網通信變爲點到點通信,通過VLAN隔離(lí),VLAN間采用訪問控制策略,能夠加強網絡的整體(tǐ)安全。
通過VLAN技術,可以将集團新辦公樓的網絡信息節點根據訪問特點和應用系統的不同,劃分(fēn)爲多個虛拟子網,對各個子網共享資(zī)源進行限定。
在不同安全域之間安裝防火(huǒ)牆設備是實現邊界訪問控制一(yī)個非常重要的技術手段,防火(huǒ)牆利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時可實現網絡地址轉換(NAT)、審記與實時告警等功能。由于這種防火(huǒ)牆安裝在被保護網絡與路由器之間的通道上,因此也對被保護網絡和外(wài)部網絡起到隔離(lí)作用。
爲保證集團廣域網接入的安全,在廣域網接入區域和集團公司内部網區域設置千兆防火(huǒ)牆,實現集團總公司和廣域網的隔離(lí),保證集團企業廣域網數據的安全性和高速的數據交換。
另外(wài),利用此防火(huǒ)牆的DMZ區接口與廣域網DMZ區相連,保證一(yī)個防火(huǒ)牆同時連接 3個不同的安全區域,在各個區域之間進行訪問控制,基本原則如下(xià):
爲保證集團總公司内網安全接入互聯網,在集團總公司内網區域與互聯網區域邊界設置百兆防火(huǒ)牆,實現公網區域服務器的保護以及集團總公司内網安全接入,基本配置原則如下(xià):
爲了保證出租網與集團總公司内網數據的安全性,在出租網區域和互聯網區域邊界設置百兆防火(huǒ)牆,同時通過互連網路由器限制出租網對内部網的訪問,基本配置原則如下(xià):
爲了保證核心數據區域的安全性,在核心數據區與内網辦公區邊界設置千兆防火(huǒ)牆,保證核心數據業務服務器和數據的安全性,基本配置原則如下(xià):
利用防火(huǒ)牆技術,經過仔細的配置,通常能夠在内外(wài)網之間提供安全的網絡保護,降低了網絡安全風險,但是入侵者可尋找防火(huǒ)牆背後可能敞開(kāi)的後門,或者入侵者也可能就在防火(huǒ)牆内。
在集團總公司新辦公樓局域網部署基于網絡的入侵檢測探測器,并利用集中(zhōng)安全管理平台進行統一(yī)的管理,從而實現對特定網段、服務建立的攻擊監控體(tǐ)系,可實時檢測出絕大(dà)多數攻擊,并采取響應的行動(如斷開(kāi)網絡連接、記錄攻擊過程、跟蹤攻擊源等);入侵檢測分(fēn)系統與防火(huǒ)牆分(fēn)系統進行聯動,形成多層次的防禦體(tǐ)系,一(yī)旦攻擊者在突破前道防線後,利用後道的防護手段可以延緩或阻斷其到達攻擊目标。
垃圾電(diàn)子郵件是指用戶未主動請求或同意接收的電(diàn)子刊物(wù)、電(diàn)子廣告和各種形式的電(diàn)子宣傳品等電(diàn)子郵件,沒有明确發信人、發信地址、退信方式、發信人和收信人之間沒有任何可識别關系的電(diàn)子郵件,含有僞造信息源、發信地址、路由信息或收信人不存在的電(diàn)子郵件。
集團公司必須要在郵件服務器之前部署郵件網關設備對進出郵件系統的郵件進行過濾,部署如下(xià):
郵件網關邏輯上必須架設在郵件系統前端,防火(huǒ)牆的後端。郵件必需先經過郵件網關再投遞到後端的郵件系統。
虛拟專用網絡(Virtual Private Net)可以實現不同網絡的組件和資(zī)源之間的相互連接。虛拟專用網絡能夠利用internet或其它公共互聯網絡的基礎設施爲用戶創建隧道,并提供與專用網絡一(yī)樣的安全和功能保障。
在集團公司的實際工(gōng)作中(zhōng),部分(fēn)員(yuán)工(gōng)經常需要移動辦公,而這些移動辦公人員(yuán)的上網形式又(yòu)各不相同,有的用寬帶接入、有的用撥号、用的用NAT方式等,他們随時需要訪問公司内部信息,就像坐在辦公室一(yī)樣。
爲了保證移動辦公用戶能夠随時随地訪問内部網,并且确保數據傳輸的安全,最有效的辦法是采用SSL VPN的實現方式。
在内網交換機上部署一(yī)台SSL VPN網關,移動辦公用戶不需要安裝任何客戶端,隻要能上網就可以訪問 VPN網關,并通過VPN網關來訪問内部網,所有訪問過程中(zhōng)信息确保加密傳輸。