J9九游会AG

11年+专注一站式IT服务商,成为客户值得依赖的合作伙伴

服务热线:400-900-9695

咨询热线:18124774386

企业网络安全整体解决方案

 

1、规划安全的网络拓扑结构

网络(luo)分(fen)(fen)(fen)段是合理网络(luo)结(jie)构的(de)(de)重要的(de)(de)一部分(fen)(fen)(fen),同(tong)时(shi)也(ye)是一项基本措施,其指导思想(xiang)在于将(jiang)非法用(yong)户与网络(luo)资(zi)源相互隔(ge)离,从而(er)达到限制用(yong)户非法访(fang)问的(de)(de)目的(de)(de)。网络(luo)分(fen)(fen)(fen)段可分(fen)(fen)(fen)为物理分(fen)(fen)(fen)段和逻辑分(fen)(fen)(fen)段两(liang)种方式:

物理分(fen)段通(tong)常是指将网络(luo)(luo)从物理层(ceng)(ceng)和数据链路层(ceng)(ceng)(ISO/OSI 模型(xing)中的(de)(de)第一层(ceng)(ceng)和第二(er)层(ceng)(ceng))上分(fen)为若干(gan)网段,各网段相互之间(jian)无法进(jin)行直接通(tong)讯。目前(qian),许多交换(huan)机都有(you)一定的(de)(de)访问控制能力,可(ke)实现对(dui)网络(luo)(luo)的(de)(de)物理分(fen)段。

逻辑分段(duan)则是指将整个系统在(zai)网(wang)络层(ceng)(ISO/OSI 模型中(zhong)(zhong)的(de)(de)第三层(ceng))上进(jin)行分段(duan)。例(li)如,对于TCP/IP网(wang)络,可把网(wang)络分成(cheng)若(ruo)干IP子网(wang),各子网(wang)间(jian)必须通过路由(you)器、路由(you)交换机、网(wang)关或(huo)防火墙等设备(bei)进(jin)行连接,利用这(zhei)些中(zhong)(zhong)间(jian)设备(bei) (含软件、硬件) 的(de)(de)安全(quan)机制(zhi)来控制(zhi)各子网(wang)间(jian)的(de)(de)访问。

在实际(ji)应(ying)用(yong)过程中(zhong),通常采取物理分段与逻辑分段相结合的方(fang)法来(lai)实现对网(wang)络(luo)系统的安全(quan)性控(kong)制。

 

1、防火墙

2、入侵检测(ce)

3、内容(rong)安全

4、邮件(jian)过滤/监控

5、网络防(fang)病毒

6、身份验证

7、漏洞扫(sao)描

8、上网行为管理

9、日志(zhi)审计


 

2、防火墙

2.1防火墙的基本准则

(1)过(guo)滤不安全服务

基(ji)于这个准(zhun)则,防火墙应封锁所有(you)(you)信息流,然后(hou)对希望(wang)提供的(de)安(an)全(quan)(quan)服务逐项开放,对不安(an)全(quan)(quan)的(de)服务或可(ke)能有(you)(you)安(an)全(quan)(quan)隐(yin)患的(de)服务一(yi)律扼杀在萌芽之中。这是一(yi)种非常(chang)有(you)(you)效实用的(de)方法,可(ke)以(yi)造(zao)成一(yi)种十分安(an)全(quan)(quan)的(de)环境,因为只有(you)(you)经过仔细(xi)挑选的(de)服务才(cai)能允许用户使(shi)用。

(2)过滤非法用(yong)户和访问特殊站(zhan)点

基于这个准则,防火墙应先允许所有的用户和站点对内部网络的访问,然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境,网络管理员可以针对不同的服务面向不同的用户开放,也就是能自由地设置各个用户的不同访问权限。
 

2.2防火墙在网络系统中的作用

防火墙(qiang)能有效地(di)防止外来的(de)(de)入侵,它在网络系统中(zhong)的(de)(de)作用是:

     控制进出网络的信息流(liu)向和(he)信息包,提供(gong)使(shi)用和(he)流(liu)量(liang)的日志和(he)审(shen)计;

     隐藏内部IP地址及网络结构的(de)细节;

     提供VPN功(gong)能;网络地址转换(NAT);

     用户认证(Authentication):只允许(xu)有授(shou)权(quan)的(de)访(fang)问;

     地址限定:限制站点的访问,过滤不需要的站点。

 

3、主机安全

主(zhu)机系(xi)统(tong)(tong)(tong)是网(wang)(wang)络通信的(de)(de)(de)重要组成(cheng)部分,是关(guan)键业(ye)务和关(guan)键信息的(de)(de)(de)主(zhu)要承载体。对主(zhu)机系(xi)统(tong)(tong)(tong)的(de)(de)(de)保护成(cheng)为客(ke)户(hu)网(wang)(wang)络安全防御中(zhong)的(de)(de)(de)重中(zhong)之(zhi)重。多数(shu)的(de)(de)(de)网(wang)(wang)络攻击(ji)和入侵目标是网(wang)(wang)络中(zhong)的(de)(de)(de)主(zhu)机系(xi)统(tong)(tong)(tong)中(zhong)的(de)(de)(de)业(ye)务信息。本建议书中(zhong)的(de)(de)(de)主(zhu)机系(xi)统(tong)(tong)(tong)是指客(ke)户(hu)网(wang)(wang)络系(xi)统(tong)(tong)(tong)中(zhong)用(yong)以提(ti)供各类业(ye)务的(de)(de)(de)主(zhu)机。

结合深圳J9九游会AG科技(ji)丰富的(de)网络安全经验,本建(jian)议书认为经过安全加固配置(zhi)的(de)主机操作系(xi)统构成了保护主机系(xi)统的(de)基础。通(tong)常缺省安装配置(zhi)下(xia)的(de)主机网络操作系(xi)统面临着来自网络和内部恶(e)意用户的(de)收集信息攻击、猜测口令攻击、拒(ju)绝服务(wu)(wu)攻击、(远程和本地)缓冲(chong)区溢(yi)出(chu)攻击等(deng)巨大威胁,缺省配置(zhi)下(xia)的(de)操作系(xi)统服务(wu)(wu)无法有效识别系(xi)统中的(de)特洛异(yi)木马(ma)程序和入侵(qin)者安装的(de)黑客后门程序等(deng),无法准(zhun)确记录(lu)和定位攻击和入侵(qin)者的(de)“足迹”。

深圳J9九游会AG科技能够提供强大的、高度专业化主机系统加固配置服务。主机系统加固配置安全服务覆盖了安装系统补丁、系统服务和帐号的安全化、安全配置系统内核参数、配置访问控制策略、集中式的日志审计、关键文件完整性检测等。
 

推(tui)荐安全服务(wu):

—— 系统加固、优(you)化(hua)安全服务

—— 安(an)全培(pei)训服务


 

4、安全风险评估

4.1 风险评估技术

风险评估(Vulnerability Assessment)是网络安全防御中的一项重要技术,其原理是根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。风险评估技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上面的风险漏洞,而后者则是通过网络远程探测其它主机的安全风险漏洞。深圳J9九游会AG科技开创了风险评估技术新的领域,即基于数据库的风险评估技术,使风险评估内容更加完善。
 

4.2 安全风险评估服务

依靠(kao)雄厚的(de)技术力量和业界最优(you)秀(xiu)的(de)安全风险评估产品为(wei)用(yong)户(hu)提(ti)供广(guang)受赞誉的(de)漏洞评估服(fu)(fu)务(wu),该(gai)服(fu)(fu)务(wu)为(wei)用(yong)户(hu)提(ti)供:

1)     关键(jian)信息(xi)系(xi)统(tong)广(guang)泛深度的漏洞探测。

2)     测评系统(tong)(tong)(tong)弱口令,系统(tong)(tong)(tong)配置缺陷,系统(tong)(tong)(tong)潜在危(wei)险操作等等。

3)     对发现(xian)漏洞及可(ke)能造成的风险(xian)给出详细(xi),按(an)危险(xian)等(deng)级排序的详细(xi)总(zong)结报告。

4)     给出系统风险修正措施(shi)以及系统安(an)(an)全指导性架构,安(an)(an)全专家提供安(an)(an)全意识(shi),知识(shi)培训(xun)。

深圳J9九游会AG科技的漏洞评估服务通过可回溯,螺旋循环进行的三步过程组成。利用新开思公司的专门技术以及最可靠、最先进的自动化安全评估工具,通过新开思公司富有经验的网络安全专家的全面监控和测评,对用户关键网络系统给出准确的安全风险评估。

 

5、入侵监控和防御——入侵检测技术

大多数传统入侵检测系统(IDS)采取基于网络或基于主机的办法来辩认并躲避攻击。在任何一种情况下,该产品都要寻找“攻击标志”,即一种代表恶意或可疑意图攻击的模式。当IDS在网络中寻找这些模式时,它是基于网络的。而当IDS在记录文件中寻找攻击标志时,它是基于主机的。每种方法都有其优势和劣势,两种方法互为补充。 一种真正有效的入侵检测系统应将二者结合。 本节讨论了基于主机和基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测和保护措施。
 

5.1基于网络的入侵检测

基于网(wang)(wang)络(luo)(luo)的(de)(de)入侵检测(ce)系统(tong)使用原始(shi)网(wang)(wang)络(luo)(luo)包(bao)作为数据源。基于网(wang)(wang)络(luo)(luo)的(de)(de)IDS通常利(li)用一个运行在随机模(mo)式下(xia)的(de)(de)适(shi)配器来(lai)实时监(jian)视并分(fen)析(xi)通过网(wang)(wang)络(luo)(luo)的(de)(de)所(suo)有通信业务。它的(de)(de)攻击辩(bian)识(shi)模(mo)块通常使用四种常用技术(shu)来(lai)识(shi)别攻击标(biao)志(zhi):

 

— 模式、表达式或字节(jie)匹配

— 频(pin)率(lv)或穿(chuan)越阀值

— 低级事(shi)件的相关性

— 规统学意义上的(de)非常规现(xian)象检(jian)测

 

一旦检测到了攻击行为,IDS的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异,但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。
 

5.2基于主机的入侵检测

现在的基于主机的入侵检测系统也是对付网络攻击的,它结合了一种有力的工具, 以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击。基于主机的IDS仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的IDS可监探系统、事件和 Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。
 

5.3将基于网络和主机的入侵检测

基于网(wang)络和(he)基于主机的IDS方案都有各(ge)自特有的优点(dian),并且互为补充(chong)。因此,下一代(dai)的IDS必(bi)须包(bao)括集(ji)成(cheng)的主机和(he)网(wang)络组件(jian)。将这(zhei)两项技术结(jie)合,必(bi)将大幅度(du)提高网(wang)络对攻击和(he)错误使(shi)用的抵抗力(li),使(shi)安全策(ce)略的实施更(geng)加(jia)有效,并使(shi)设置选项更(geng)加(jia)灵活。

有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到。

 

6、访问控制

根据客户(hu)网(wang)络(luo)系统网(wang)络(luo)的(de)结构(gou),制(zhi)(zhi)定详(xiang)细的(de)网(wang)络(luo)资源(yuan)访(fang)(fang)问(wen)(wen)控制(zhi)(zhi)策略,以及管理(li)落(luo)实制(zhi)(zhi)度是安全防御(yu)的(de)一个重要(yao)内容。制(zhi)(zhi)定网(wang)络(luo)访(fang)(fang)问(wen)(wen)控制(zhi)(zhi)的(de)原则是细致全面、实用有(you)效。细致全面不(bu)会给(ji)攻击入(ru)侵者留下可(ke)以利用的(de)空间;实用有(you)效方便落(luo)实和(he)管理(li)。过(guo)于简单不(bu)能(neng)实现有(you)效保护,过(guo)于繁(fan)杂(za)的(de)访(fang)(fang)问(wen)(wen)规则由于难(nan)于管理(li)落(luo)实同样(yang)会流于形式,不(bu)能(neng)实现有(you)效保护。

深圳J9九游会AG科技拥有丰富的企业网络的安全管理经验,并由此出发为客户网络系统安全解决方案设计细致全面、实用有效的网络访问控制体系。
 

6.1路由器(交换机)

是实现网络资源访问控制的基本手段。接入层路由器和网管系统、办公系统的交换机是实现网络资源访问控制的主要位置。按照制定的客户网络系统安全策略配置访问控制列表(ACL)可以实现有效的基于IP地址的访问控制。
 

6.2防火墙

可以实现比路由器(交换机)更加细化的访问控制,合理配置的防火墙是保证访问控制策略的有力手段。防火墙可以实现基于IP地址、域名和用户身份等的访问控制。具体细节详见“防火墙”一节。
 

6.3主机(UNIX类主机和Windows FORTIer)

主(zhu)机本身(shen)的(de)资源访问(wen)控(kong)(kong)制手段是整个访问(wen)控(kong)(kong)制体(ti)系的(de)最后堡垒。

推荐安全(quan)服务:

 

—— 安全(quan)培训(xun)服务

—— 安(an)全策略制定服务(wu)

 

7、日志和审计

合理设计日志(zhi)和审(shen)(shen)计体(ti)系(xi)能(neng)(neng)(neng)够(gou)提(ti)供有(you)效(xiao)的(de)(de)(de)入(ru)(ru)侵(qin)检测和事(shi)后追查(cha)机制,是(shi)整个(ge)安全(quan)解(jie)决方案(an)中(zhong)的(de)(de)(de)重(zhong)要(yao)组成部分。当前应(ying)用中(zhong)的(de)(de)(de)主要(yao)网络操作(zuo)(zuo)(zuo)系(xi)统(包(bao)括主要(yao)路(lu)由器、交换机、WINDOWS NT操作(zuo)(zuo)(zuo)系(xi)统等)都能(neng)(neng)(neng)够(gou)提(ti)供基本的(de)(de)(de)日志(zhi)记(ji)录(lu)功(gong)能(neng)(neng)(neng),用于记(ji)录(lu)用户和进程对(dui)于重(zhong)要(yao)文件的(de)(de)(de)更(geng)改(gai)和对(dui)网络资源的(de)(de)(de)访问等。通(tong)常的(de)(de)(de)操作(zuo)(zuo)(zuo)系(xi)统日志(zhi)体(ti)系(xi)失败的(de)(de)(de)重(zhong)要(yao)原因(yin)是(shi)日志(zhi)系(xi)统的(de)(de)(de)设计和审(shen)(shen)查(cha)没有(you)充分考虑网络安全(quan)的(de)(de)(de)特性,导(dao)致(zhi)日志(zhi)记(ji)录(lu)不够(gou)细致(zhi)、没有(you)考虑日志(zhi)系(xi)统的(de)(de)(de)备份、日志(zhi)被入(ru)(ru)侵(qin)者(zhe)篡改(gai),而失去(qu)对(dui)入(ru)(ru)侵(qin)和攻击者(zhe)的(de)(de)(de)定位和追查(cha)功(gong)能(neng)(neng)(neng)。

在(zai)透彻(che)考察客户网络系(xi)统(tong)实际运行的安全需求后,深圳J9九游会AG科技充分利(li)用操作(zuo)系(xi)统(tong)本身具备(bei)的日(ri)(ri)志和(he)审查能力,在(zai)安全方案中设计了实用有(you)效的集中日(ri)(ri)志体系(xi)。作(zuo)为(wei)入侵监(jian)控(kong)和(he)防御(yu)系(xi)统(tong)(详(xiang)见(jian)“入侵监(jian)控(kong)和(he)防御(yu)”一节)的重要补充。

推(tui)荐安全服(fu)务:

服务器防病毒
邮件防病毒
网关防病毒

—— 安全策略制定服务

 

8、防病毒

 

桌面端防病毒

网络防病毒

管理中心

J9九游会AG科技长期以来(lai)在反(fan)病(bing)毒领域辛勤耕耘,目前已成为深(shen)圳(zhen)最(zui)大的(de)(de)防(fang)病(bing)毒方(fang)安提供商,能够为客户的(de)(de)网络(luo)系(xi)统(tong)定(ding)制完(wan)善的(de)(de)病(bing)毒防(fang)治体系(xi),提供全方(fang)位、多层次(ci)的(de)(de)、整体的(de)(de)网络(luo)防(fang)病(bing)毒解(jie)决方(fang)案。

 

8.1在网络结构方面:

  从第(di)(di)一(yi)层(ceng)工作站、第(di)(di)二层(ceng)服务器、第(di)(di)三(san)层(ceng)电子邮(you)件(jian)服务器到第(di)(di)四层(ceng)防(fang)火(huo)墙(qiang)都有(you)相应的防(fang)毒(du)软件(jian)提供完(wan)整的、全(quan)面(mian)的防(fang)病毒(du)保护(hu),尤其是对电子邮(you)件(jian)的防(fang)病毒(du),具有(you)最全(quan)面(mian)的解(jie)决方(fang)案

     在系统平台(tai)支(zhi)持方面:对各种操作系统提供(gong)全面的支(zhi)持,如:Windows、Unix、Linux等(deng)。

8.2在防病毒技术方面:

  采(cai)用(yong)各种先(xian)进(jin)的(de)反病(bing)毒(du)(du)技术(shu),尤其在对付未知(zhi)病(bing)毒(du)(du)和(he)多态病(bing)毒(du)(du)方面,采(cai)用(yong)了各种先(xian)进(jin)的(de)技术(shu)对其进(jin)行查杀,不仅能(neng)查、杀各种未知(zhi)病(bing)毒(du)(du),还能(neng)修复被病(bing)毒(du)(du)感染的(de)文件。

  在防病毒(du)(du)软件和防病毒(du)(du)策略管(guan)理方面:网络(luo)防病毒(du)(du)解决方案(an)企业网络(luo)防病毒(du)(du)提供统一的(de)、集中的(de)、智能的(de)、自动化的(de)、强制执行(xing)的(de)有效管(guan)理方式。

  在病(bing)毒定义码和扫描(miao)引(yin)擎(qing)升(sheng)级(ji)方面:采用模块化升(sheng)级(ji)方式(shi)。

  在技术支持和服务方面:专门的人员对用户出现的问题和新病毒提供快速及时的响应,并能迅速提供相应的解决方案。
 

推荐安全服务:

—— 网络系(xi)统防病毒咨询、策略制(zhi)定服务

—— 网络系统防病毒安装服务

—— 网络系统、服务器查杀病毒服务
 

技术咨询热线:1343077794

您的项目需求

*请认(ren)真填写需(xu)求信息,J9九游会AG 会(hui)在24小(xiao)时内与您(nin)取得联系(xi)。