企业

互联网时代的众多产物中,如果说有哪些让用户“又爱又怕”,时下正流行的“云平台”想必要排在前面。IDC 调查显示,对于是否上云,用户顾虑重重:内部IT集成、自定义能力、付费成本等等……,但这些都不是重点,IDC发现75%的用户焦虑的是:上云后的数据安全性如何保障?


深圳某电力行业私安全解决方案的思路可以概括为:三重保护、多层防御。


从“私有云”向外延伸有三重保护:

1.  具有丰富安全特性的交换机构私有云中心网络的第一重保护;

2.  具有高性能检测引擎的IPS对网络报文做深度检测,部署针对性强的WAF做web服务器安全加固,构成私有云中心网络的第二重保护;

3.  凭借高性能硬件防火墙构成的数据中心网络边界,对私有云网络做第三重保护;


 

深圳某电力行业私有云安全解决方案如下图所示:


 

一、应用场景及需求

1. 计算机系统遭受病毒感染和破坏的情况相当严重。

2. 电脑黑客活动已形成重要威胁。

3. 信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。

应用于发电行业

遵循国内信息安全政策和标准。


二、方案亮点

1. 对业务及数据提供高级别的安全性并对其进行有效的控制。

2. 部署方式灵活多变,根据不同应用环境可提供不同的解决方案。

3. 提供更高的服务质量(对数据库进行审计、对发布业务进行WEB防御、对接入用户实行身份认证及审计、对内部系统进行漏洞扫描及防篡改设备加固、统计登陆级数据统计分析等)。

4. 充分利用现有的硬件资源和软件资源。

5. 不影响现有的IT管理流程。


三、重要安全产品

1. 多线路负载均衡器

主要解决多条运营商线路接入,解决跨运营商出站/入站访问、多条链路流量分配;构建多运营商线路接入情况下稳定安全的边界网关。


2. 防火墙--FW

最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。由于防火墙部署在网关位置,也可以在防火墙中集成防病毒模块和网络安全监控模块。


3. 入侵防御--IPS

入侵防御系统 (IPS, Intrusion Prevention System ) 为应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,IPS可以检测并直接阻断恶意流量。


4. 入侵检测--IDS

入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。


5. 数据过滤/防泄漏--DLP

通过外发流量的识别和分析,对含有敏感和涉密的信息进行过滤和切断,实现内网核心数据的保护和防泄漏。


6. 防毒墙—AV

在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害。改变原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。


7. 应用防火墙—AF

在传统防火墙的基础上增加应用识别和控制技术,能够对应用层的威胁进行防护,也集成了IPS、AV、WAF等专业安全设备的功能,与UTM不同的是因为处理架构不同而性能得到保障,便于应用在类似国税外网对安全性和速度性要求比较高的网络环境。


Copyright © 深圳市商道元信息技术有限公司 版权所有粤ICP备11006019号-1