1.0 智能化園區網絡解決方案 2.0 IDC數據中心網絡解決方案 3.0 企業云解決方案 4.0 信息安全整體解決方案 5.0 智慧無線整體解決方案 6.0 高清視頻會議解決方案 7.0 IDC機房建設解決方案 8.0 智能化弱電解決方案 9.0 智能樓宇解決方案 10.0 智能管理中心整體解決方案
解決方案

1.0 智能化園區網絡解決方案

2.0 IDC數據中心網絡解決方案

3.0 企業云解決方案

4.0 信息安全整體解決方案

5.0 智慧無線整體解決方案

6.0 高清視頻會議解決方案

7.0 IDC機房建設解決方案

8.0 智能化弱電解決方案

9.0 智能樓宇解決方案

10.0 智能管理中心整體解決方案

4.0 信息安全整體解決方案
4.0 信息安全整體解決方案
發布日期:2018-12-06


需求背景及分析

XXXX集團單位的信息化經過十幾年的發展,對業務的支撐作用已經表現得非常明顯,XXXX集團單位業務的開展已經離不開信息系統的正常運轉。隨著XXXX單位信息化的深化,XXXX的業務流程已經高度自動化、高效率,從而內外部提供更好的服務。但另一方面,承載XXXX集團業務流程的信息系統基礎架構的管理手段卻仍然相對落后,在當前復雜多變的信息安全形勢下,無論是外部黑客入侵、內部惡意使用,還是大多數情況下內部用戶無意造成的漏洞,XXXX集團的安全管理手段都正在變得越來越不夠用。而同時,勒索病毒爆發、信息泄露、媒體輿論炒作、上級領導問責、法律法規監管等等,都在無形中讓XXXX集團的信息安全管理壓力越來越大。

依據XXXX集團對安全保障工作的要求,需要強化網絡信息安全服務保障,建設數據中心、辦公網、生產網及業務平臺安全防護體系,加強大數據安全保障。XXXX集團信息安全防護體系建設的總體安全需求匯總如下:

一是強化網絡安全保障體系建設。健全安全體系,建立安全管控制度,形成三員(系統管理員、安全保密管理員、安全審計員)分立機制;推進XXXX集團信息安全技術體系建設,完善安全事件快速響應和處置手段;建成感知、處置、響應一體化的安全運營機制,加強事前預防、事中審計、事后響應的安全應急服務能力,形成發現、阻斷、取證、溯源、研判、拓展的安全業務閉環;開展安全組織與職責建設、安全技術設計、安全管理設計,確定第三方機構,統一實施網絡安全等級防護和風險評估。

二是建設業務平臺安全防護體系。建設網絡安全接入管控系統,提供面內部用戶、合作伙伴、運維人員的強身份認證、用戶管理和訪問控制服務;強化數據中心網、辦公網、工控網、以及互聯網各網絡區域的安全防護;構建云計算虛擬化平臺安全保障系統,實時監測識別惡意代碼、安全漏洞、非授權訪問等安全風險,提供隔離、防護、監測及審計服務。

三是加強以數據安全為核心的安全保障體系。加強數據中心邊界安全防護,建立統一的平臺認證與身份管理機制;實施平臺級訪問控制和授權管理,實現細粒度的訪問控制;建設操作審計系統,形成集中審計報告;強化大數據安全防護及隱私保護,實現高效可靠的數據防泄露。

建設目標

根據網絡安全法和集團信息安全治理的相關建設要求,遵循“主動防御、綜合防范、強化管理、安全第一”的原則,以保障集團關鍵信息系統持續、穩定、健壯運行為目標,通過XXXX集團”整體安全規劃工程”項目搭建完善的信息安全保障框架,包括防護、檢測、處置、恢復的安全能力建設,建設“以風險管理為基礎的安全技術支撐體系、安全運營管理體系”,為XXXX集團提供全面的信息安全保障和安全運營支撐。通過安全態勢感知平臺的實施,建設集團層面統一的安全監測預警與處置體,實現對數據中心、辦公網、分支機構、生產基地的統一安全監管,并提供安全預警服務和網絡安全事件的應急響應支撐。具體實施目標包括:

2.1安全技術支撐體系建設

依照國家安全法、等級保護以及集團的實際業務安全需求,規劃合理的安全區域,通過邊界安全防護、通信安全、綜合審計、漏洞掃描和評估、主機和網絡病毒防護、主機加固、WEB防護、身份認證等安全技術措施使集團信息安全建設符合國家及自身安全建設方面的要求。同時加強數據安全建設,將數據流轉過程中所有環節進行相應的安全防護,防止數據泄密。

2.2安全運營管理體系建設

根據ISO27001信息安全管理系統、等級保護基本要求和集團安全設計技術要求的相關內容,為XXXX集團設計合理的信息安全管理體系、信息安全運維體系以及信息安全策略體系的相關控制內容,通過安全服務XXXX集團的實際情況加以落實。

2.3全網安全監測預警與處置體系建設

通過建設網絡安全態勢感知平臺,全方位采集集團總部數據中心、辦公網、基地以及分支機構的安全數據,通過大數據分析、情報共享、通告預警等方式形成覆蓋集團全部網絡安全態勢感知與預警能力。并形成快速告警與響應機制,提升響應速度,提升集團公司安全風險處置能力。

總體信息安全方案設計

XXXX集團信息安全保障體系,充分結合項目實際業務場景,以保護業務運行安全和數據安全為核心目標,從安全技術、安全管理兩個層面出發,同時貫徹“事前、事中、事后風險閉環管理”的融合安全理念,結合項目具體情況和現實需求進行設計,形成風險評估、安全防御、應急處置、持續檢測及響應處置的閉環安全運維體系,構建符合國家法律法規要求及行業監管要求的一體化安全保障體系。


整體安全體系架構

3.1  構建以云、邊界和端點安全為核心的立體防護能力

3.1.1  合規驅動的基礎安全架構

基礎安全防御體系通過與等保1.0、等保2.0的安全防護要求結合,對核心的安全要素進行防護,達到基礎安全防護體系建設。

核心安全要素包括網絡安全、主機安全、應用安全、數據安全、云計算安全、大數據安全幾大要素,在這幾大要素的基礎防護之上,建立安全管理中心,實現安全防護的事前防護與事中監控及響應。

3.1.2  以業務和數據安全為核心的立體防護架構

從防護空間的維度來說,我們應該要圍繞著XXXX集團的業務和大數據核心資產保為出發點,構筑一個立體防護的框架:


9以云、邊界和數據安全為核心的立體防護示意圖

    方案涉及到的立體保護能力,重點強調的是建立起縱深的防護能力,實現業務端到端的安全。借鑒軍事領域“海、陸、空”的防護能力,形成聯動。

    首先是云平臺及邊界的安全。雖然安全邊界消失了,但是我們需要通過軟件定義的方式,重構業務的邊界。邊界安全依然重要。構建業務安全邊界,防范外部入侵威脅。主要技術手段,包括終端、網絡接入安全,L2-L7層外部威脅防御;基于云安全資源池和終端檢測響應EDR產品,對云平臺內網及業務邊界進行防護。

    其次,我們還需要構建業務和數據的安全。需要加強業務的接入、認證和審計,以及加強業務內部的持續監測,發現潛伏的ODAY攻擊、內部攻擊等高級威脅。建立起涵蓋數據采集、存儲、共享、應用、銷毀等全生命周期的安全防護體系。

    最后,還需要從外部視角,提供外部的情報和云端專家對抗能力。我們認為,安全建設不僅僅是某一個廠商的事情,也不是單單依靠客戶自己的力量就可以解決問題的。傳統依靠單一技術對抗的方式,難以取得最終勝利。因此,我們需要從業務外部的視角,依靠外部的力量、云端的力量,加強威脅情報聯動、云端沙箱未知威脅檢測等手段,在能引入更多的外部視角去和威脅對抗。

3.1.3  適應云計算環境的技術保障

    云計算基礎架構的安全技術聚焦在計算資源池、網絡資源池和云管理平臺三個層面。由于云計算引入了虛擬化技術、云計算引擎和云計算管理平臺,所以為主機和網絡帶來新的安全挑戰。

    虛擬機的安全保障:圍繞物理服務器、虛擬機及Hypervisor三個維度開展安全防護工作,首先解決基于主機層的惡意代碼防范。其次需要關注上述三個維度的漏洞檢測及防護,避免類似虛擬機逃逸攻擊等惡性安全事件發生。同時,還應該基于操作系統層面通過安全基線加固、安全漏洞加固、防暴力破解、防弱口令等各類安全手段實現防護效果。

    云數據中心網絡安全的保障:首先需要圍繞物理網絡和虛擬網絡實現惡意代碼的防范,其次需要關注在東西向流量和南北向流量的安全防護,即保障入云業務或租戶VPC內部(東西向流量)及外部(南北向流量)的安全隔離、訪問控制、業務安全等,還需要實現在虛擬化環境下的安全策略跟隨。

    云管理平臺安全保障:更多的是關注平臺安全,將云管理平臺當作平臺應用進行安全防護,也就是做好云平臺的訪問認證及授權控制,并對平臺設置安全基線。通過漏洞的檢測和防護技術,從多維度對云平臺進行日志收集及審計操作,保障云平臺本身的安全。

3.2  構建以安全感知為核心的防御、檢測、響應能力



10“防御、檢測、響應”閉環體系示意圖

    在深入結合GartnerPPDR 自適應安全防護模型基礎上,結合業界人工智能(AI)、威脅情報、安全云服務、終端檢測響應EDR等技術發展趨勢,XXXX集團期望構建從“云端、邊界、端點”+“安全感知”的立體聯動防御機制。相關功能如下:

防御能力:是指一系列策略集、產品和服務可以用于防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作。

檢測能力:用于發現那些逃過防御網絡的攻擊,該方面的關鍵目標是降低威脅造成的停擺時間以及其他潛在的損失。檢測能力非常關鍵,因為企業應該假設自己已處在被攻擊狀態中。

響應能力:系統一旦檢測到入侵,響應系統就開始工作,進行事件處理。響應包括緊急響應和恢復處理,恢復處理又包括系統恢復和信息恢復。

預測能力:使系安全系統可從外部監控下的黑客行動中學習,以主動鎖定對現有系統和信息具有威脅的新型攻擊,并對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能,從而構成整個處理流程的閉環。

  “XXXX集團整體安全規劃項目”安全保障工作內容多,涉及面廣,核心是安全運營,為支持安全運營工作的高效開展,需要一體化態勢感知與安全運營平臺作為工具支撐。通過部署潛伏威脅流量探針,并依托日志采集服務器(采集主機、網絡、平臺、操作系統、中間件等日志),匯總形成整個“XXXX集團整體安全規劃項目”的本地安全基礎大數據中心。利用一體化態勢感知與安全運營平臺,安全服務或安全運維人員可以有效開展威脅持續監測、威脅分析研判、事件及時通告、快速響應處置與威脅追蹤溯源等關鍵工作,一體化態勢感知與安全運營平臺是“XXXX集團整體安全規劃項目”安全保障工作的統一監測響應與指揮調度中心。

3.3  構建以全局安全可視為核心的安全治理能力

    在網絡安全的世界里,可視化有著不可忽視的作用,安全的可視化能夠保證對信息資產、人、行為三者之間的風險點進行實時觀測,在發生威脅時能夠果斷進行安全處置,有效防止了安全威脅的滲透。

    “XXXX集團整體安全規劃項目”在流量可視、行為可視的基礎上,可實現全局安全可視化,可以結合攻擊趨勢、有效攻擊、業務資產脆弱性對全網安全態勢進行整體評價,以業務系統的視角進行呈現,可有效的把握整體安全態勢進行安全決策分析。

     在全局安全可視的基礎上,基于人工智能、大數據技術能夠顯著提升安全運維能力,通過失陷主機檢測和訪問關系可視等技術幫助運維人員快速發現安全風險,并提供處理建議,簡化運維。進一步可以在客戶側建立起深度分析、威脅檢測、防御聯動和服務響應的安全運營中心。

整體信息安全方案架構

    整體信息安全架構拓撲:


4.1 互聯網邊界設計:

鏈路負載

    出口處部署兩臺鏈路負載均衡設備,實現出站鏈路負載、入站鏈路負載,滿足多運營商鏈路帶寬充分利用,部署雙機保證冗余性;

下一代防火墻

    出口處部署兩臺下一代防火墻,實現進出互聯網的數據進行7層包過濾檢測,下一代防火墻擁有病毒防護、IPS防護、DDOS防護、僵尸網絡防護、實時漏洞分析等安全模塊,滿足整個互聯網邊界安全防護(網絡安全法)并記錄相關安全日志,部署雙機保證冗余性;

行為管控、流量管控、審計

    出口處部署兩臺上網行為管理設備,實現內網上網行為管控、流量管控、上網審計、上網認證等,提高辦公效率、確保辦公帶寬順暢、滿足上網不合法事件追溯,響應網絡安全法要求(符合公安部82號令),部署雙機保證冗余。

4.2 DMZ區安全防護設計

應用負載

    DMZ區旁路部署2臺應用負載設備,實現多臺業務系統應用級別的負載調度、保障業務系統均衡訪問,滿足業務系統避免負載過高帶來的影響;具有SSL卸載安全網關,分擔服務器加解密負荷,緩解服務器性能壓力、提高資源利用率;

下一代防火墻

    DMZ區邊界部署兩臺下一代防火墻,實現進出互聯網的數據進行7層包過濾檢測,下一代防火墻擁有web應用防護、網頁防篡改、病毒防護、IPS防護、DDOS防護、僵尸網絡防護、實時漏洞分析等安全模塊,滿足整個DMZ安全防護(網絡安全法)并記錄相關安全日志,部署雙機保證冗余性;

安全服務云

    對外業務系統提供安全服云租用,實現威脅情報預警、應急事件及時響應、安全態勢感知和人工值守服務,減輕運維人員工作量、實現智能化安全防護。

4.3 數據中心安全防護設計

傳統數據中心下一代防火墻

    數據中心邊界部署兩臺下一代防火墻,實現進出數據中心的數據進行7層包過濾檢測,下一代防火墻擁有web應用防護、網頁防篡改、病毒防護、IPS防護、DDOS防護、僵尸網絡防護、實時漏洞分析等安全模塊,滿足整個數據中心安全防護(網絡安全法)并記錄相關安全日志,部署雙機保證冗余性;

虛擬化架構數據中心下一代防火墻

    虛擬化架構數據中心采用底層部署下一代防火墻軟件版,實現整個虛擬化架構底層進行虛擬機數據的過濾,軟件版下一代防火墻擁有web應用防護、網頁防篡改、病毒防護、IPS防護、DDOS防護、僵尸網絡防護、實時漏洞分析等安全模塊,滿足“南北向”安全防護的同時也滿足“東西向”安全防護。

病毒防護軟件

    通過在服務器上安裝殺毒軟件,實現服務器病毒防護,避免U盤、內網病毒的傳播;通過在虛擬化底層部署殺毒軟件虛擬機,實現虛擬化底層的病毒防護,無需在虛擬機上安裝客戶端,大大減少虛擬機壓力。

4.4 分支組網安全設計

分支組網設計

    分支與總部之間采用廣域網專線互聯進行組網,部署廣域網加速設備在兩端對專線進行傳輸加速,實現數據傳輸壓縮、最大利用帶寬;同時采用VPN設備總部與分支建立虛擬VPN加密隧道,作為整個組網的備份鏈路;

分支組網安全防護設計

    總部與分支組網均通過下一代防火墻進行數據過濾,確保數據傳輸的安全,保障業務系統安全運行;

4.5 移動辦公安全接入設計

SSLVPN設備

    通過在總部部署一臺專業SSLVPN設備,所有移動辦公人員采用SSLVPN加密隧道連接總部進線辦公,避免業務系統暴露在公網的風險,實現移動辦公人員的安全接入,并滿足事后的審計;

支持安卓/IOS/WINDOWS/LINUX/MAC等主流PC和移動終端的接入,支持業務系統“無移動化”(沒有APP)在移動終端上的運行,并支持手機“沙盒”技術,確保數據不落地終端,避免數據外泄的風險。

4.6 終端安全防護設計

終端殺毒軟件

    通過在內網部署殺毒管理中心對所有終端殺毒軟件進行管控、病毒更新下發等,PC終端安裝殺毒軟件客戶端,實現PC病毒的查殺,保障內網所有PC安全、確保整個辦公網安全。

桌面管控系統

    通過在內網部署桌面管控系統,所有PC安裝客戶端,對內網所有PC進行管理和監控,實現U盤的權限控制、文件增刪審計、打印審計、桌面實時監控等管理和審計措施,滿足桌面事后審計和避免敏感數據外泄;

數據加密系統

    通過在內網部署數據加密系統,對內網的所有敏感數據進行加密,在內網環境采用透明解密,外發數據需要通過審核申請,避免所有敏感數據的外泄,實現敏感數據的安全保護、事后追溯等。

4.6 運維、審計管理區設計

    堡壘機:記錄所有設備和業務系統賬號密碼信息,所有運維人員通過堡壘機進行運維,記錄所有運維人員操作;

數據庫審計:記錄數據庫的增加、刪除、修改日志,滿足事后追溯;漏洞掃描系統:針對所有業務系統進行漏洞掃描并生成漏洞報告,對業務系統漏洞進行實時觀察;日志審計系統:記錄所有網絡設備和業務系統的日志,滿足事后追溯;網管平臺:針對所有網絡設備、業務系統、中間件等進行統一管理,減少運維工作,并及時告警、觀察所有設備狀態情況準入系統:所有內網接入進行接入登記,配合審計追蹤定位;

 

 

 

 


上一條:
下一條:
? 2016廣州明創網絡科技有限公司版權所有 技術支持:35互聯
hg0088网站 皋兰县| 元谋县| 漳浦县| 临潭县| 迁西县| 沂源县| 永和县| 大新县| 顺昌县| 太仓市| 上蔡县| 手机| 格尔木市| 沧源| 云和县| 娄烦县| 花莲县| 新晃| 延寿县| 永春县| 银川市| 凤城市| 枞阳县| 夏邑县| 东光县| 肥乡县| 武强县| 许昌县| 周口市| 桦南县| 黎城县| 阳东县| 彭山县| 乳源| 孟津县| 和林格尔县| 三亚市| 维西| 江阴市| 长兴县| 易门县| 扎赉特旗| 临猗县| 丰城市| 康马县| 霍邱县| 临安市| 弋阳县| 五指山市| 宾川县| 江都市| 公安县| 福鼎市| 错那县| 双鸭山市| 卓尼县| 闻喜县| 天长市| 西安市| 屏东市| 福海县| 高雄县| 夏邑县| 巢湖市| 金塔县| 萨迦县| 会昌县| 乐至县| 陇川县| 荣成市| 怀宁县| 普安县| 连云港市| 宾川县| 札达县| 延吉市| 柘荣县| 巨野县| 武宣县| 盐边县| 库车县| 张家界市| 灌南县| 堆龙德庆县| 武清区| 翁牛特旗| 法库县| 凤山县| 左云县| 九台市| 义马市| 霍林郭勒市| 环江| 永定县| 广饶县| 津市市| 鄂伦春自治旗| 汶上县| 灵寿县| 茶陵县| 奉新县| 阿城市| 英德市| 紫云| 来宾市| 南京市| 玉屏| 内乡县| 南投县| 襄城县| 砀山县| 横山县| 水富县| 泰兴市| 沙田区| 灌阳县| 隆化县| 新巴尔虎左旗| 深水埗区| 峨边| 宜都市| 普宁市| 中宁县| 冷水江市| 枝江市| 左权县| 泽普县| 清丰县| 平安县| 德令哈市| 扶余县| 密云县| 蒲城县| 丹凤县| 千阳县| 喀什市| 瑞丽市|