应用背景
某煤电集团公司计算机网络改造项目在2006年初完成。新构建的网络有三方面的突破:一是网管模式由全人工管理变成完全软件管理;二是核心环形网络架构,增强了计算机网络的物理安全性;三是核心2.5GRPR环和千兆汇聚层使整个网络的带宽和性能得到大幅提升。但当时由于考虑网络改造项目本身投资大、周期长、风险高,而且网络从试运行到正常运行还需一定的时间,网络安全体系本身又是一个复杂的集成项目,因此为了降低实施难度,规避投资和实施风险,在网络安全架构上没有进行一次性的投入,只是在网关层投入了一台防火墙设备。此外,在其他方面,例如网络版防病毒平台、深度专业级网管平台、安全身份认证平台、核心服务器的防护、集中监控平台等方面也都不十分完备,以致网络安全问题随时都可能发生。受上述因素的影响,近年五一前夕,由于受计算机病毒的攻击,集团公司网络性能骤降,影响了网络的正常使用,而且使网络维护更加困难,削弱了集团网络硬件投入应带来的回报。
用户需求
当前,集团公司计算机网络安全主要面临的问题概括起来主要有以下几个方面:
一、局域网内基础设施面临来自Internet的威胁,例如蠕虫、黑客攻击、木马、拒绝服务攻击、病毒传播等。
二、局域网内恶意用户的攻击、蠕虫病毒感染及其他病毒的传播。
三、大量带宽浪费在与工作无关的业务流量上,如qq聊天、BT下载等P2P应用。
四、web、mail、ftp等对外业务服务器和众多业务应用重要服务器(数据库服务器和应用程序服务器)安全措施存在漏洞。
五、远程用户登录的安全身份认证问题,异构网络互联的安全信任问题。
六、操作系统漏洞造成的安全隐患问题。
七、网络防病毒体系的欠缺造成的安全问题。
八、机房环境的不合规造成的安全隐患,如防雷击、防静电、电源安全等。
九、网络管控手段的落后,造成的监控不到位和维护的不及时。
实施方案
鉴于上述安全问题,集团公司组织专家对国际和国内安全领域知名的几家可提供整体解决方案的安全厂商进行考察和交流,对当前的网络安全方案和网络安全产品的成熟度进行了深入的了解,并基于此,提出了集团公司计算机网络安全框架建议,使得某能源集团公司接受了此建议并选择了方正信息安全技术有限公司的产品来实现网络安全部署:
一、在Internet出口部署入侵防御系统(防火墙+安全网关+入侵检测)
主要作用是阻止来自Internet的应用层威胁,如:蠕虫、黑客攻击、间谍软件、DoS攻击、内容过滤、VPN、病毒防护、企业出口的应用层流量分析、漏洞扫描和安全审计等作用。
二、在局域网内部关键部位部署入侵防御系统(安全网关+入侵检测)
关键部位指的一是重要的服务器;二是重要的网段。通过在局域网内部部署入侵防御系统,可以在网络内部建立不同的安全域,在网络的边界实施保护,它实际上保护了网络内部资源。主要包括:
1、保护企业内部网络,相应地起到保护内部网络相关资源的作用。
2、保护企业内部关键网段,例如DMZ区或关键服务器所在区域。
3、保护企业内部邮件系统,切断病毒、蠕虫、垃圾邮件、非法内容等危害的最大来源。
三、全网部署端点准入防御系统
主要作用是从网络端点接入控制入手,加强网络终端的主动防御能力,控制病毒、蠕虫的蔓延。通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。
四、整个网络安装网络版防病毒软件
整个网络安装网络版防病毒软件,并与认证服务、策略服务、控制服务、网管系统进行整合,统一安全认证、统一升级、统一管理。
五、在网管中心安装专业级的网管软件(包括漏洞扫描)
目前,集团公司的网管软件只是工作在网络层,而无法对终端计算机用户进行深度管理,造成了发现问题而不能远程解决问题的弊端。安装专业级的网管软件可以实现系统漏洞扫描、审计监控、终端的管理和控制、应用策略的制定、 控制消息的发布、网络资产管理等等。
实施成果
方正信息安全技术有限公司成功地为XX能源集团公司搭建了网络安全体系,当中采用了方正防火墙技术、方正入侵检测技术、漏洞扫描技术、方正VPN技术、方正防DDOS技术、方正安全网关技术、内部安全管理和补丁分发技术、方正防病毒技术,从边界、区域计算环境、应用安全三个方面筑起了强大的安全防线。