-
-
某企业安全整改建议方案
-
发表于: 2015-9-7 11:37
-
现状说明:
引用:
1、现有网络结构无需做任何调整,冗余及VLAN划分等网络基础建设都已全部完成,只需考虑网络安全方面内容进行改造
2、网络现有内、外两套网络,外网与互联网连接,内网不允许访问互联网,但需要和外网做数据交换。
3、网络中有WEB 服务器,数据库服务器,应用服务器等,访问量较大,且服务器运维人员较杂
4、 需考虑移动办公需求
5、有专线接入外网区域
方案设计:
区域划分
边界出口:包括专网出口、外网出口;
服务器区:包括内网服务器区、外网服务器区
终端接入区:包括内、外网终端用户接入
前置服务器区:用于外网访问内网服务器数据的前置服务器
专网接入区:下级专网接入单位
所涉及安全产品
下一代防火墙(支持IPS、WAF)、数据库审计、准入系统、桌面管理、网络异常检测、堡垒机、漏洞扫描(WEB、数据库)、日志审计、SSL VPN、行为管理、网闸。
边界出口
专网出口,部署下一代防火墙,开启APT、DDOS等防护功能,同时建议通过NAT方式访问专网区域的资源,不建议直接通过路由方式访问;
外网出口,部署下一代防火墙,开启IPS、APT、DDOS、WAF功能,同时部署上网行为管理,对内网用户的流量、行为进行合理限制,并对对外业务进行带宽保障,例如邮件、门户网站等;
服务器区(内网、外网)
在服务器区前端部署下一代防火墙,开启DDOS、APT等功能,并设置访问权限,对访问的用户及网络进行授权;
同时在该区域部署数据库审计、漏洞扫描(WEB、数据库)设备:
数据库审计,对服务器的数据库实时进行审计,审计内容包括用户的删除、查询、修改等操作,如果在出现误操作、黑客攻击等行为,可利用其进行对数据库故障快速定位,在利用企业的备份系统对其进行快速恢复;
漏洞扫描(WEB、数据库),对服务器区的http应用、数据库应用进行实时检测,防止出现零day及其他高危漏洞出现,并提供相应的解决方案;
终端接入区:
桌面管理,在该区域的PC上部署桌面管理系统,将其管理员权限全部没收,禁止用户随意安装不合规范的应用程序、游戏,并禁止其通过U盘、移动硬盘等移动介质随意进行拷贝,同时建议在内部部署企业版杀毒软件;
准入系统,在网络核心上旁路部署准入系统,规范终端接入符合公司的管理,包括终端识别、用户识别、终端环境检测,从源头提升网络安全级别;
前置服务器区:部署网闸设备,设置访问权限方向仅由外网到内网区域,同时部署一台或多台服务器(集群),用于外网用户访问内网服务器的前置服务器;
专网接入区:在下级专网接入单位部署下一代防火墙,开启APT、DDOS等功能;
运维权限管理
规范IT运维人员在日常运维工作中出现的越权维护、账号被盗用、一号多人用、密码不规范等行为,通过堡垒机的安全策略在规范运维人员安全、快捷维护的同时对运维人员的操作行为修改、添加命令进行实施审计,提高故障定位及快速排除能力。
移动办公
通过SSL VPN实现关键业务系统对外发布,为IPad、平板智能终端提供快速、稳定、便捷移动办公同时保障关键业务系统的安全性;
日志审计
负责收集统计网络内设备、服务器等硬件的运行情况,为用户提供更为详细的分析报告;
网络异常检测
对内网内的未知流量、行为进行实时监测并深度分析,同时根据检测报告提供更为完善的安全加固方案;
另外如何涉及到重要的数据,如研发的图纸、配料等信息,建议在内网部署加密系统,目前均采用基于环境方式进行加密,
引用:
1、现有网络结构无需做任何调整,冗余及VLAN划分等网络基础建设都已全部完成,只需考虑网络安全方面内容进行改造
2、网络现有内、外两套网络,外网与互联网连接,内网不允许访问互联网,但需要和外网做数据交换。
3、网络中有WEB 服务器,数据库服务器,应用服务器等,访问量较大,且服务器运维人员较杂
4、 需考虑移动办公需求
5、有专线接入外网区域
方案设计:
区域划分
边界出口:包括专网出口、外网出口;
服务器区:包括内网服务器区、外网服务器区
终端接入区:包括内、外网终端用户接入
前置服务器区:用于外网访问内网服务器数据的前置服务器
专网接入区:下级专网接入单位
所涉及安全产品
下一代防火墙(支持IPS、WAF)、数据库审计、准入系统、桌面管理、网络异常检测、堡垒机、漏洞扫描(WEB、数据库)、日志审计、SSL VPN、行为管理、网闸。
边界出口
专网出口,部署下一代防火墙,开启APT、DDOS等防护功能,同时建议通过NAT方式访问专网区域的资源,不建议直接通过路由方式访问;
外网出口,部署下一代防火墙,开启IPS、APT、DDOS、WAF功能,同时部署上网行为管理,对内网用户的流量、行为进行合理限制,并对对外业务进行带宽保障,例如邮件、门户网站等;
服务器区(内网、外网)
在服务器区前端部署下一代防火墙,开启DDOS、APT等功能,并设置访问权限,对访问的用户及网络进行授权;
同时在该区域部署数据库审计、漏洞扫描(WEB、数据库)设备:
数据库审计,对服务器的数据库实时进行审计,审计内容包括用户的删除、查询、修改等操作,如果在出现误操作、黑客攻击等行为,可利用其进行对数据库故障快速定位,在利用企业的备份系统对其进行快速恢复;
漏洞扫描(WEB、数据库),对服务器区的http应用、数据库应用进行实时检测,防止出现零day及其他高危漏洞出现,并提供相应的解决方案;
终端接入区:
桌面管理,在该区域的PC上部署桌面管理系统,将其管理员权限全部没收,禁止用户随意安装不合规范的应用程序、游戏,并禁止其通过U盘、移动硬盘等移动介质随意进行拷贝,同时建议在内部部署企业版杀毒软件;
准入系统,在网络核心上旁路部署准入系统,规范终端接入符合公司的管理,包括终端识别、用户识别、终端环境检测,从源头提升网络安全级别;
前置服务器区:部署网闸设备,设置访问权限方向仅由外网到内网区域,同时部署一台或多台服务器(集群),用于外网用户访问内网服务器的前置服务器;
专网接入区:在下级专网接入单位部署下一代防火墙,开启APT、DDOS等功能;
运维权限管理
规范IT运维人员在日常运维工作中出现的越权维护、账号被盗用、一号多人用、密码不规范等行为,通过堡垒机的安全策略在规范运维人员安全、快捷维护的同时对运维人员的操作行为修改、添加命令进行实施审计,提高故障定位及快速排除能力。
移动办公
通过SSL VPN实现关键业务系统对外发布,为IPad、平板智能终端提供快速、稳定、便捷移动办公同时保障关键业务系统的安全性;
日志审计
负责收集统计网络内设备、服务器等硬件的运行情况,为用户提供更为详细的分析报告;
网络异常检测
对内网内的未知流量、行为进行实时监测并深度分析,同时根据检测报告提供更为完善的安全加固方案;
另外如何涉及到重要的数据,如研发的图纸、配料等信息,建议在内网部署加密系统,目前均采用基于环境方式进行加密,
|
|
|---|---|
