查看详情

网络安全等级保护解决方案

发表于2017-08-17 11:08:48

需求分析

信息系统的攻击正在呈现快速增长的势头,利用网络传播有害信息的手段日益翻新。《中华人民共和国网络安全法》于2017年6月1日起实施,其中第21条明确“国家实行网络安全等级保护制度”,第31条明确“国家对关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。

因此,企业需要第三方权威机构通过采用先进的安全技术对各类网络信息业务进行实时的安全监测和可信认证,从而实现对于信息系统的安全保护。而实现网络相关的安全等保要求,以下几个方面的技术需求是必须满足的:

●边界防护能力:是否能够对非法外联进行定位、阻断,对于入侵进行检测和报警,对于恶意代码进行防护;

●访问控制能力:是否能够对于用户的数据包头信息、会话信息、应用层信息进行过滤,对于设备的接入做一定的限制;

●身份鉴别能力:是否具备两种以上的身份鉴别技术,满足鉴别信息的复杂度要求,并且可实现特权用户的分离;

●安全审计能力:是否能够对于设备运行情况、网络流量进行记录,同时对这些记录进行分析并形成报表,是否对审计系统也实现了安全保护;

●网络处理能力:在网络安全基础上,是否能够保证重要业务的优先级,满足业务极限时的性能要求;

 

解决方案

网络安全等保解决方案是遵循国家安全等级规范,在各安全域(互联网接入区,DMZ服务器区,内网服务器区,核心交换区,安全管理区和数据交换区)之间采用相应的安全防护手段进行有效的隔离,并对各安全域的进行有效的整理和归并,减少接口数量,提高安全域的规范性。为了满足网络等保三级的要求,分别从七个方面实现安全控制和管理,分别为:

●网络总体结构安全

●接入访问控制

●网络设备防护

●安全审计

●边界完整性检查

●入侵检测和防护

●恶意代码防范

满足等保三级要求的具体技术实现方案如下:

●边界防火墙:部署在区域的边界,对进出区域的访问和流量进行控制;

●WAF网页防护:为网站提供不间断的监控与保护,有效的保障网站的完整性和真实性,帮助用户解决面临的WEB攻击(跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问)、页面篡改(隐藏变量篡改、页面防篡改)和CC攻击等安全问题;

●流量负载均衡:实现多条链路的流量负载分担功能;

●网闸:通过专用安全设备实现流量的单向访问;

●上网行为管理:主要对P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、智能阻断、智能路由等技术,配合创新的社交网络行为管理功能、清晰易管理日志等功能;

●未知威胁防护:通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的精确检测,实现对APT攻击的发现;

●入侵检测防御系统:监视网络或网络设备的网络资料传输行为,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为;

●数据库审计:采用最为先进的多核、多线程并行处理及CPU绑定技术及镜像流量零拷贝技术,采用黑盒逆向协议分析技术,严格按照数据库协议规律,对所有数据库的操作行为进行还原,支持请求和返回的全审计,保障数据库访问的安全性;

●虚拟防火墙:可以灵活部署在VM或服务器上的防火墙软件;

●虚拟负载均衡:可以灵活部署在VM或服务器上的负载均衡软件;

●服务链:通过安全服务链对虚拟机东西流量、南北流量进行安全保护,提供给用户安全、快速、稳定的网络服务。

●防病毒网关:实现病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能;

●漏洞扫描:漏洞扫描主要包括系统漏扫、web漏扫和数据库漏扫,其中web漏扫主要面向对DMZ服务器区域的web服务器漏洞进行发现和扫描,系统漏扫和数据库漏扫主要针对内部服务器区的重要应用和数据库进行安全检查与风险评估。

●日志审计:包含包括信息采集、信息分析、信息存储、信息展示等功能;

●安全认证:终端部署主机监控与审计系统准入安全控制模块进行用户接入内网双因子认证,通过CA系统统一签发证书,实现用户的身份认证和用户身份做鉴别,保障访问的合法性;

●堡垒机:提供安全风险态势呈现、安全业务快速部署、安全分析和审计、安全响应和报告等,配合各类安全设备及风险评估系统,实现企业对信息安全系统自适应、可扩展与整体交付的需求;

●安全运营管理平台:实现所有安全事件的统一预警与故障处理。提供了自动发现应用、应用监视、应用拓扑、主机监视、分类监视、应用分组等功能,同时拥有丰富的报表功能。

 

核心技术

●信息安全风险评估:可以通过风险评估、合规性要求、最佳实践、差距分析,识别信息安全需求,结合现状评估结果,针对信息安全管理对象所面临的风险进行识别、分析和评价,描述风险状态,为信息安全活动提供方向,提供持续改进的依据。

●服务链:服务链是支撑虚拟化、业务网络可编程的关键,基于overlay技术实现,结合SDN集中控制的理论,由VCF controller进行全局控制,实现虚拟网络流量和多种类型网络服务资源池的有序关联,满足虚拟化数据中心网络对网络服务的差异化需求。而在等保技术中,为了实现对于虚拟机东西流量、南北流量的安全保护,以及当虚机迁移时,实现灵活且完整的安全策略的迁移和部署,服务链技术是必不可少的。从而可以确保为用户提供安全、快速、稳定的网络服务。

 

客户价值

●强大的边界防护能力:采用多种手段对于非法外联进行定位、阻断,通过入侵检测实现恶意代码的实时防护;

●智能且精细的访问控制能力:利用智能流控、智能阻断、智能路由等技术,实现用户行为精细化识别和控制;

●多维度身份鉴别能力:支持双因子认证,实现用户的身份认证和用户身份做鉴别,保障访问的合法性;

●360°安全保护,实体机虚机一个不能少:通过信息安全风险评估、结合安全域策略划分,以及服务链技术,实现对整个网络业务系统包括实体主机/虚拟主机的东西流量、南北流量进行全方位安全保护;

●完善的安全审计能力:采用专用的审计设备对设备运行情况、网络流量进行记录、分析和报表汇总,审计系统本身的实现了安全防护;

●卓越的网络性能保障:保证重要业务的优先级,满足业务极限时的性能要求。