欧美色欧美亚洲高清在线观看,国产特黄特色a级在线视频,国产一区视频一区欧美,亚洲成a 人在线观看中文

    2. <ul id="fwlom"></ul>
    
<object id="fwlom"></object>
    <span id="fwlom"></span><dfn id="fwlom"></dfn>
    

      <object id="fwlom"></object>
      




      

      

      

      
  
      
    
      
      
      
        
      典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      
        
       時(shí)間:2019-05-13 03:46:27下載本文作者:會(huì)員上傳
      
      
      
      
      
簡介:寫寫幫文庫小編為你整理了多篇相關(guān)的《典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案》,但愿對(duì)你工作學(xué)習(xí)有幫助,當(dāng)然你在寫寫幫文庫還可以找到更多《典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案》。

      
	
      

      第一篇:典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      

      典型中小企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      意見征詢稿
      Hillstone Networks Inc.2010年9月29日
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      目錄 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析..................................................................................................................6 典型中小企業(yè)網(wǎng)絡(luò)安全威脅..................................................................................................................8 典型中小企業(yè)網(wǎng)絡(luò)安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要進(jìn)行有效的訪問控制..........................................................................................................10 深度應(yīng)用識(shí)別的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要實(shí)現(xiàn)實(shí)名制管理....................................................................................................................11 需要實(shí)現(xiàn)全面URL過濾.............................................................................................................12 需要實(shí)現(xiàn)IPSEC VPN..................................................................................................................12 需要實(shí)現(xiàn)集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6
      安全技術(shù)選擇..............................................................................................................................................................13 技術(shù)選型的思路和要點(diǎn)........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可認(rèn)證性........................................................................................................................13 再次保障鏈路暢通性....................................................................................................................14 最后是穩(wěn)定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制與審計(jì)......................................................................................................16 基于深度應(yīng)用識(shí)別的訪問控制.................................................................................................17 深度內(nèi)容安全(UTMPlus?)......................................................................................................17 高性能病毒過濾.............................................................................................................................18 靈活高效的帶寬管理功能..........................................................................................................19 強(qiáng)大的URL地址過濾庫.............................................................................................................21 高性能的應(yīng)用層管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 選擇山石安全網(wǎng)關(guān)的原因....................................................................................................................14 3.2.10 高可靠的冗余備份能力...............................................................................................................22 4 系統(tǒng)部署說明..............................................................................................................................................................23 4.1 4.2 安全網(wǎng)關(guān)部署設(shè)計(jì)..................................................................................................................................24 安全網(wǎng)關(guān)部署說明..................................................................................................................................25 / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5
      部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置訪問控制策略........................................................................................................................30 配置帶寬控制策略........................................................................................................................31 上網(wǎng)行為日志管理........................................................................................................................33 實(shí)現(xiàn)URL過濾................................................................................................................................35 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 實(shí)現(xiàn)安全移動(dòng)辦公........................................................................................................................38 方案建設(shè)效果..............................................................................................................................................................38  / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 前言
      1.1 方案目的
      本方案的設(shè)計(jì)對(duì)象為國內(nèi)中小企業(yè),方案中定義的中小型企業(yè)為:人員規(guī)模在2千人左右,在全國各地有分支機(jī)構(gòu),有一定的信息化建設(shè)基礎(chǔ),信息網(wǎng)絡(luò)覆蓋了總部和各個(gè)分支機(jī)構(gòu),業(yè)務(wù)系統(tǒng)有支撐企業(yè)運(yùn)營的ERP系統(tǒng),支撐企業(yè)員工處理日常事務(wù)的OA系統(tǒng),和對(duì)外進(jìn)行宣傳的企業(yè)網(wǎng)站;業(yè)務(wù)集中在總部,各個(gè)分支機(jī)構(gòu)可遠(yuǎn)程訪問業(yè)務(wù)系統(tǒng)完成相關(guān)的業(yè)務(wù)操作。
      根據(jù)當(dāng)前國內(nèi)企業(yè)的發(fā)展趨勢,中小企業(yè)呈現(xiàn)出快速增長的勢頭,計(jì)算機(jī)系統(tǒng)為企業(yè)的管理、運(yùn)營、維護(hù)、辦公等提供了高效的運(yùn)行條件,為企業(yè)經(jīng)營決策提供了有力支撐,為企業(yè)的對(duì)外宣傳發(fā)揮了重要的作用,因此企業(yè)對(duì)信息化建設(shè)的依賴也越來越強(qiáng),但同時(shí)由于計(jì)算機(jī)網(wǎng)絡(luò)所普遍面臨的安全威脅,又給企業(yè)的信息化帶來嚴(yán)重的制約,互聯(lián)網(wǎng)上的黑客攻擊、蠕蟲病毒傳播、非法滲透等,嚴(yán)重威脅著企業(yè)信息系統(tǒng)的正常運(yùn)行;內(nèi)網(wǎng)的非法破壞、非法授權(quán)訪問、員工故意泄密等事件,也是的企業(yè)的正常運(yùn)營秩序受到威脅,如何做到既高效又安全,是大多數(shù)中小企業(yè)信息化關(guān)注的重點(diǎn)。
      而作為信息安全體系建設(shè),涉及到各個(gè)層面的要素,從管理的角度,涉及到組織、制度、流程、監(jiān)督等,從技術(shù)的角度,設(shè)計(jì)到物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和運(yùn)維層,本方案的重點(diǎn)是網(wǎng)絡(luò)層的安全建設(shè),即通過加強(qiáng)對(duì)基礎(chǔ)網(wǎng)絡(luò)的安全控制和監(jiān)控手段,來提升基礎(chǔ)網(wǎng)絡(luò)的安全性,從而為上層應(yīng)用提供安全的運(yùn)行環(huán)境,保障中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性。
      1.2 方案概述
      本方案涉及的典型中小型企業(yè)的網(wǎng)絡(luò)架構(gòu)為:兩級(jí)結(jié)構(gòu),縱向上劃分為總部與分支機(jī)構(gòu),總部/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫,分支機(jī)構(gòu)只有終端,業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部;總部及分支機(jī)構(gòu)均有互聯(lián)網(wǎng)出口,提供給員工進(jìn)行上網(wǎng)訪問,同時(shí)總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。典型中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)可表示如下:
      典型中小型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖
      為保障中小企業(yè)網(wǎng)絡(luò)層面的安全防護(hù)能力,本方案結(jié)合山石網(wǎng)科集成化安全平臺(tái),在對(duì)中小企業(yè)信息網(wǎng)絡(luò)安全域劃分的基礎(chǔ)上,從邊界安全防護(hù)的角度,實(shí)現(xiàn)以下的安全建設(shè)效果:
      ? 實(shí)現(xiàn)有效的訪問控制:對(duì)員工訪問互聯(lián)網(wǎng),以及員工訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行有效控制,杜絕非法訪問,禁止非授權(quán)訪問,保障訪問的合法性和合規(guī)性; ? 實(shí)現(xiàn)有效的集中安全管理:中小型企業(yè)的管理特點(diǎn)為總部高度集中模式,通過網(wǎng)關(guān)的集中管理系統(tǒng),中小企業(yè)能夠集中監(jiān)控總部及各個(gè)分支機(jī)構(gòu)員工的網(wǎng)絡(luò)訪問行為,做到可視化的安全。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      ? 保障安全健康上網(wǎng):對(duì)員工的上網(wǎng)行為進(jìn)行有效監(jiān)控,禁止員工在上班時(shí)間使用P2P、網(wǎng)游、網(wǎng)絡(luò)視頻等過度占用帶寬的應(yīng)用,提高員工辦公效率;對(duì)員工訪問的網(wǎng)站進(jìn)行實(shí)時(shí)監(jiān)控,限制員工訪問不健康或不安全的網(wǎng)站,從而造成病毒的傳播等;
      ? ? 保護(hù)網(wǎng)站安全:對(duì)企業(yè)網(wǎng)站進(jìn)行有效保護(hù),防范來自互聯(lián)網(wǎng)上黑客的故意滲透和破壞行為; 保護(hù)關(guān)鍵業(yè)務(wù)安全性:對(duì)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器實(shí)施保護(hù),防范病毒和內(nèi)部的非授權(quán)訪問;
      ? 實(shí)現(xiàn)實(shí)名制的安全監(jiān)控:中小型企業(yè)的特點(diǎn)是,主機(jī)IP地址不固定,但全公司有統(tǒng)一的用戶管理措施,通常通過AD域的方式來實(shí)現(xiàn),因此對(duì)于訪問控制和行為審計(jì),可實(shí)現(xiàn)基于身份的監(jiān)控,實(shí)現(xiàn)所謂的實(shí)名制管理;
      ? 實(shí)現(xiàn)總部與分支機(jī)構(gòu)的可靠遠(yuǎn)程傳輸:典型中小型企業(yè)的鏈路使用模式為,專線支撐重要的業(yè)務(wù)類訪問,互聯(lián)網(wǎng)鏈路平時(shí)作為員工上網(wǎng)使用,當(dāng)專線鏈路故障可作為備份鏈路,為此通過總部與分支機(jī)構(gòu)部署網(wǎng)關(guān)的IPSEC VPN功能,可在利用備份鏈路進(jìn)行遠(yuǎn)程通訊中,保障數(shù)據(jù)傳輸?shù)陌踩裕?/p>
      ? 對(duì)移動(dòng)辦公的安全保障:利用安全網(wǎng)關(guān)的SSL VPN功能,提供給移動(dòng)辦公人員進(jìn)行遠(yuǎn)程安全傳輸保護(hù),確保數(shù)據(jù)的傳輸安全性; 安全需求分析
      2.1 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析
      中小企業(yè)的典型架構(gòu)為兩級(jí)部署,從縱向上劃分為總部及分支機(jī)構(gòu),總部集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫,分支機(jī)構(gòu)只有終端,業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部;總部及分支/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      機(jī)構(gòu)均有互聯(lián)網(wǎng)出口,提供給員工進(jìn)行上網(wǎng)訪問,同時(shí)總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。
      雙鏈路給中小企業(yè)應(yīng)用訪問帶來的好處是,業(yè)務(wù)訪問走專線,可保障業(yè)務(wù)的高可靠性;上網(wǎng)走互聯(lián)網(wǎng)鏈路,增加靈活性,即各個(gè)分支機(jī)構(gòu)可根據(jù)自己的人員規(guī)模,采用合理的價(jià)格租用電信寬帶;從網(wǎng)絡(luò)設(shè)計(jì)上,中小企業(yè)各個(gè)節(jié)點(diǎn)的結(jié)構(gòu)比較簡單,為典型的星形結(jié)構(gòu)設(shè)計(jì),總部因用戶量和服務(wù)器數(shù)量較高,因此核心往往采用三層交換機(jī),通過VLAN來劃分不同的子網(wǎng),并在子網(wǎng)內(nèi)部署終端及各類應(yīng)用服務(wù)器,有些中小型企業(yè)在VLAN的基礎(chǔ)上還配置了ACL,對(duì)不同VLAN間的訪問實(shí)行控制;各分支機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)則相對(duì)簡單,通過堆疊二層交換連接到不同終端。具體的組網(wǎng)結(jié)構(gòu)可參考下圖:
      典型中小企業(yè)組網(wǎng)結(jié)構(gòu)示意圖 / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      2.2 典型中小企業(yè)網(wǎng)絡(luò)安全威脅
      在沒有采取有效的安全防護(hù)措施,典型的中小型企業(yè)由于分布廣,并且架構(gòu)在TCP/IP網(wǎng)絡(luò)上,由于主機(jī)、網(wǎng)絡(luò)、通信協(xié)議等存在的先天性安全弱點(diǎn),使得中小型企業(yè)往往面臨很多的安全威脅,其中典型的網(wǎng)絡(luò)安全威脅包括: 【非法和越權(quán)的訪問】
      中小型企業(yè)信息網(wǎng)絡(luò)內(nèi)承載了與生產(chǎn)經(jīng)營息息相關(guān)的ERP、OA和網(wǎng)站系統(tǒng),在缺乏訪問控制的前提下很容易受到非法和越權(quán)的訪問;雖然大多數(shù)軟件都實(shí)現(xiàn)了身份認(rèn)證和授權(quán)訪問的功能,但是這種控制只體現(xiàn)在應(yīng)用層,如果遠(yuǎn)程通過網(wǎng)絡(luò)層的嗅探或攻擊工具(因?yàn)樵诰W(wǎng)絡(luò)層應(yīng)用服務(wù)器與任何一臺(tái)企業(yè)網(wǎng)內(nèi)的終端都是相通的),有可能會(huì)獲得上層的身份和口令信息,從而對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行非法及越權(quán)訪問,破壞業(yè)務(wù)的正常運(yùn)行,或非法獲得企業(yè)的商業(yè)秘密,造成泄露; 【惡意代碼傳播】
      大多數(shù)的中小企業(yè),都在終端上安裝了防病毒軟件,以有效杜絕病毒在網(wǎng)絡(luò)中的傳播,但是隨著蠕蟲、木馬等網(wǎng)絡(luò)型病毒的出現(xiàn),單純依靠終端層面的查殺病毒顯現(xiàn)出明顯的不足,這種類型病毒的典型特征是,在網(wǎng)絡(luò)中能夠進(jìn)行大量的掃描,當(dāng)發(fā)現(xiàn)有弱點(diǎn)的主機(jī)后快速進(jìn)行自我復(fù)制,并通過網(wǎng)絡(luò)傳播過去,這就使得一旦網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)(可能是臺(tái)主機(jī),也可能是服務(wù)器)被感染病毒,該病毒能夠在網(wǎng)絡(luò)中傳遞大量的掃描和嗅探性質(zhì)的數(shù)據(jù)包,對(duì)網(wǎng)絡(luò)有限的帶寬資源造成損害?!痉婪禔RP欺騙】
      大多數(shù)的中小企業(yè)都遭受過此類攻擊行為,這種行為的典型特點(diǎn)是利用了網(wǎng)絡(luò)的先天性缺陷,即兩臺(tái)主機(jī)需要通訊時(shí),必須先相互廣播ARP地址,在相互交換IP地址和ARP地址后方可通訊,特別是中小企業(yè)都需要通過邊界的網(wǎng)關(guān)設(shè)備,實(shí)現(xiàn)分支機(jī)構(gòu)和總部的互訪;ARP欺騙就是某臺(tái)主機(jī)偽裝成網(wǎng)關(guān),發(fā)布虛假的ARP信息,讓內(nèi)網(wǎng)的主機(jī)誤認(rèn)為該主機(jī)就是網(wǎng)關(guān),從而把跨越網(wǎng)段的訪問/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      數(shù)據(jù)包(比如分支機(jī)構(gòu)人員訪問互聯(lián)網(wǎng)或總部的業(yè)務(wù)系統(tǒng))都傳遞給該主機(jī),輕微的造成無法正常訪問網(wǎng)絡(luò),嚴(yán)重的則將會(huì)引起泄密; 【惡意訪問】
      對(duì)于中小型企業(yè)網(wǎng)而言,各個(gè)分支機(jī)構(gòu)的廣域網(wǎng)鏈路帶寬是有限的,因此必須有計(jì)劃地分配帶寬資源,保障關(guān)鍵業(yè)務(wù)的進(jìn)行,這就要求無論針對(duì)專線所轉(zhuǎn)發(fā)的訪問,還是互聯(lián)網(wǎng)出口鏈路轉(zhuǎn)發(fā)的訪問,都要求對(duì)那些過度占用帶寬的行為加以限制,避免因某幾臺(tái)終端過度搶占帶寬資源而影響他人對(duì)網(wǎng)絡(luò)的使用。
      這種惡意訪問行為包括:過度使用P2P進(jìn)行大文件下載,長時(shí)間訪問網(wǎng)游,長時(shí)間訪問視頻網(wǎng)站,訪問惡意網(wǎng)站而引發(fā)病毒傳播,直接攻擊網(wǎng)絡(luò)等行為?!旧矸菖c行為的脫節(jié)】
      常見的訪問控制措施,還是QOS措施,其控制依據(jù)都是IP地址,而眾所周知IP地址是很容易偽造的,即使大多數(shù)的防火墻都支持IP+MAC地址綁定,MAC地址也是能被偽造的,這樣一方面造成策略的制定非常麻煩,因?yàn)橹行⌒推髽I(yè)內(nèi)員工的身份是分級(jí)的,每個(gè)員工因崗位不同需要訪問的目標(biāo)是不同的,需要提供的帶寬保障也是不同的,這就需要在了解每個(gè)人的IP地址后來制定策略;另一方面容易形成控制缺陷,即低級(jí)別員工偽裝成高級(jí)別員工的地址,從而可占用更多的資源。
      身份與行為的脫節(jié)的影響還在于日志記錄上,由于日志的依據(jù)也是根據(jù)IP地址,這樣對(duì)發(fā)生違規(guī)事件后的追查造成極大的障礙,甚至無法追查?!揪芙^服務(wù)攻擊】
      大多數(shù)中小型企業(yè)都建有自己的網(wǎng)站,進(jìn)行對(duì)外宣傳,是企業(yè)對(duì)外的窗口,但是由于該平臺(tái)面向互聯(lián)網(wǎng)開放,很容易受到黑客的攻擊,其中最典型的就是拒絕服務(wù)攻擊,該行為也利用了現(xiàn)有TCP/IP網(wǎng)絡(luò)傳輸協(xié)議的先天性缺陷,大量發(fā)送請(qǐng)求連接的信息,而不發(fā)送確認(rèn)信息,使得遭受攻擊/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 的主機(jī)或網(wǎng)絡(luò)設(shè)備長時(shí)間處于等待狀態(tài),導(dǎo)致緩存被占滿,而無法響應(yīng)正常的訪問請(qǐng)求,表現(xiàn)為就是拒絕服務(wù)。這種攻擊常常針對(duì)企業(yè)的網(wǎng)站,使得網(wǎng)站無法被正常訪問,破壞企業(yè)形象; 【不安全的遠(yuǎn)程訪問】
      對(duì)于中小型企業(yè),利用互聯(lián)網(wǎng)平臺(tái),作為專線的備份鏈路,實(shí)現(xiàn)分支機(jī)構(gòu)與總部的連接,是很一種提高系統(tǒng)可靠性,并充分利用現(xiàn)有網(wǎng)絡(luò)資源的極好辦法;另外遠(yuǎn)程移動(dòng)辦公的人員也需要通過互聯(lián)網(wǎng)來訪問企業(yè)網(wǎng)的信息平臺(tái),進(jìn)行相關(guān)的業(yè)務(wù)處理;而互聯(lián)網(wǎng)的開放性使得此類訪問往往面臨很多的安全威脅,最為典型的就是攻擊者嗅探數(shù)據(jù)包,或篡改數(shù)據(jù)包,破壞正常的業(yè)務(wù)訪問,或者泄露企業(yè)的商業(yè)秘密,使企業(yè)遭受到嚴(yán)重的損失?!救狈斜O(jiān)控措施】
      典型中小型企業(yè)的特點(diǎn)是,集中管理,分布監(jiān)控,但是在安全方面目前尚缺乏集中的監(jiān)控手段,對(duì)于各分支機(jī)構(gòu)員工的上網(wǎng)行為,訪問業(yè)務(wù)的行為,以及總部重要資源的受訪問狀態(tài),都沒有集中的監(jiān)控和管理手段,一旦發(fā)生安全事件,將很難快速進(jìn)行察覺,也很難有效做出反應(yīng),事后也很難取證,使得企業(yè)的安全管理無法真正落地。
      2.3 典型中小企業(yè)網(wǎng)絡(luò)安全需求
      針對(duì)中小企業(yè)在安全建設(shè)及運(yùn)維管理中所暴露出的問題,山石網(wǎng)科認(rèn)為,應(yīng)當(dāng)進(jìn)行有針對(duì)性的設(shè)計(jì)和建設(shè),最大化降低威脅,并實(shí)現(xiàn)有效的管理。
      2.3.1 需要進(jìn)行有效的訪問控制
      網(wǎng)絡(luò)安全建設(shè)的首要因素就是訪問控制,控制的核心是訪問行為,應(yīng)實(shí)現(xiàn)對(duì)非許可訪問的杜絕,限制員工對(duì)網(wǎng)絡(luò)資源的使用方式。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      中小企業(yè)的業(yè)務(wù)多樣化,必然造成訪問行為的多樣化,因此如何有效鑒別正常的訪問,和非法的訪問是非常必要的,特別是針對(duì)中小企業(yè)員工對(duì)互聯(lián)網(wǎng)的訪問行為,應(yīng)當(dāng)采取有效的控制措施,杜絕過度占用帶寬的訪問行為,保障正常的業(yè)務(wù)和上網(wǎng)訪問。
      對(duì)于中小企業(yè)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫資源,應(yīng)當(dāng)有效鑒別出合法的業(yè)務(wù)訪問,和可能的攻擊訪問行為,并分別采取必要的安全控制手段,保障關(guān)鍵的業(yè)務(wù)訪問。
      2.3.2 深度應(yīng)用識(shí)別的需求
      引入的安全控制系統(tǒng),應(yīng)當(dāng)能夠支持深度應(yīng)用識(shí)別功能,特別是對(duì)使用動(dòng)態(tài)端口的P2P和IM應(yīng)用,能夠做到精準(zhǔn)鑒別,并以此為基礎(chǔ)實(shí)現(xiàn)基于應(yīng)用的訪問控制和QOS,提升控制和限制的精度和力度。
      對(duì)于分支機(jī)構(gòu)外來用戶,在利用分支機(jī)構(gòu)互聯(lián)網(wǎng)出口進(jìn)行訪問時(shí),基于身份識(shí)別做到差異化的控制,提升系統(tǒng)總體的維護(hù)效率。
      2.3.3 需要有效防范病毒
      在訪問控制的技術(shù)上,需要在網(wǎng)絡(luò)邊界進(jìn)行病毒過濾,防范病毒的傳播;在互聯(lián)網(wǎng)出口上要能夠有效檢測出掛馬網(wǎng)站,對(duì)訪問此類網(wǎng)站而造成的病毒下發(fā),能夠快速檢測并響應(yīng);同時(shí)也能夠防范來自其他節(jié)點(diǎn)的病毒傳播。
      2.3.4 需要實(shí)現(xiàn)實(shí)名制管理
      應(yīng)對(duì)依托IP地址進(jìn)行控制,QOS和日志的缺陷,應(yīng)實(shí)現(xiàn)基于用戶身份的訪問控制、QOS、日志記錄,應(yīng)能夠與中小企業(yè)現(xiàn)有的安全準(zhǔn)入系統(tǒng)整合起來,當(dāng)員工接入辦公網(wǎng)并對(duì)互聯(lián)網(wǎng)訪問時(shí),/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      先進(jìn)行準(zhǔn)入驗(yàn)證,驗(yàn)證通過后將驗(yàn)證信息PUSH給網(wǎng)關(guān),網(wǎng)關(guān)拿到此信息,在用戶發(fā)出上網(wǎng)請(qǐng)求時(shí),根據(jù)IP地址來索引相關(guān)的認(rèn)證信息,確定其角色,最后再根據(jù)角色來執(zhí)行訪問控制和帶寬管理。
      在日志記錄中,也能夠根據(jù)確定的身份來記錄,使得日志可以方便地追溯到具體的員工。
      2.3.5 需要實(shí)現(xiàn)全面URL過濾
      應(yīng)引入專業(yè)性的URL地址庫,并能夠分類和及時(shí)更新,保障各個(gè)分支機(jī)構(gòu)在執(zhí)行URL過濾策略是,能夠保持一致和同步。
      2.3.6 需要實(shí)現(xiàn)IPSEC VPN 利用中小企業(yè)現(xiàn)有的互聯(lián)網(wǎng)出口,作為專線的備份鏈路,在不增加鏈路投資的前提下,使分支機(jī)構(gòu)和總公司的通信得到更高的可靠性保障。
      但是由于互聯(lián)網(wǎng)平臺(tái)的開放性,如果將原本在專線上運(yùn)行的ERP、OA、視頻會(huì)議等應(yīng)用切換到互聯(lián)網(wǎng)鏈路上時(shí),容易遭到竊聽和篡改的風(fēng)險(xiǎn),為此需要設(shè)備提供IPSEC VPN功能,對(duì)傳輸數(shù)據(jù)進(jìn)行加密和完整性保護(hù),保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>
      2.3.7 需要實(shí)現(xiàn)集中化的管理
      集中化的管理首先要求日志信息的集中分析,各個(gè)分支機(jī)構(gòu)既能夠在本地查看詳細(xì)的訪問日志,總部也能夠統(tǒng)一查看各個(gè)分支機(jī)構(gòu)的訪問日志,從而實(shí)現(xiàn)總部對(duì)分支機(jī)構(gòu)的有效監(jiān)管。
      總部能夠統(tǒng)一對(duì)各個(gè)分支機(jī)構(gòu)的安全設(shè)備進(jìn)行全局性配置管理,各個(gè)分支機(jī)構(gòu)也能夠在不違背全局性策略的前提下,配置符合本節(jié)點(diǎn)特點(diǎn)的個(gè)性化策略。
      由于各個(gè)廠商的技術(shù)壁壘,不同產(chǎn)品的功能差異,因此要實(shí)現(xiàn)集中化管理的前提就是統(tǒng)一品牌,/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      統(tǒng)一設(shè)備,而從投資保護(hù)和便于維護(hù)的角度,中小企業(yè)應(yīng)當(dāng)選擇具有多種功能的安全網(wǎng)關(guān)設(shè)備。安全技術(shù)選擇
      3.1 技術(shù)選型的思路和要點(diǎn)
      現(xiàn)有的安全設(shè)備無法解決當(dāng)前切實(shí)的安全問題,也無法進(jìn)一步擴(kuò)展以適應(yīng)當(dāng)前管理的需要,因此必須進(jìn)行改造,統(tǒng)一引入新的設(shè)備,來更好地滿足運(yùn)行維護(hù)的要求,在引入新設(shè)備的時(shí)候,必須遵循下屬的原則和思路。
      3.1.1 首要保障可管理性
      網(wǎng)絡(luò)安全設(shè)備應(yīng)當(dāng)能夠被集中監(jiān)控,由于安全網(wǎng)關(guān)部署在中小企業(yè)辦公網(wǎng)的重要出口上,詳細(xì)記錄了各節(jié)點(diǎn)的上網(wǎng)訪問行為,因此對(duì)全網(wǎng)監(jiān)控有著非常重要的意義,因此系統(tǒng)必須能夠被統(tǒng)一管理起來,實(shí)現(xiàn)日志行為,特別是各種防護(hù)手段形成的記錄進(jìn)行集中的記錄與分析。
      此外,策略也需要分級(jí)集中下發(fā),總部能夠統(tǒng)一下發(fā)集中性的策略,各分支機(jī)構(gòu)可根據(jù)自身的特點(diǎn),在不違背全局性策略的前提下,進(jìn)行靈活定制。
      3.1.2 其次提供可認(rèn)證性
      設(shè)備必須能夠?qū)崿F(xiàn)基于身份和角色的管理,設(shè)備無論在進(jìn)行訪問控制,還是在QOS,還是在日志記錄過程中,依據(jù)必須是真實(shí)的訪問者身份,做到精細(xì)化管理,可追溯性記錄。
      對(duì)于中小企業(yè)而言,設(shè)備必須能夠與中小企業(yè)的AD域管理整合,通過AD域來鑒別用戶的身份和角色信息,并根據(jù)角色執(zhí)行訪問控制和QOS,根據(jù)身份來記錄上網(wǎng)行為日志。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      3.1.3 再次保障鏈路暢通性
      對(duì)于多出口鏈路的分支機(jī)構(gòu),引入的安全設(shè)備應(yīng)當(dāng)支持多鏈路負(fù)載均衡,正常狀態(tài)下設(shè)備能夠根據(jù)出口鏈路的繁忙狀態(tài)自動(dòng)分配負(fù)載,使得兩條鏈路都能夠得到充分利用;在某條鏈路異常的狀態(tài)下,能夠自動(dòng)切換負(fù)載,保障員工的正常上網(wǎng)。
      目前中小企業(yè)利用互聯(lián)網(wǎng)的主要應(yīng)用就是上網(wǎng)瀏覽,因此系統(tǒng)應(yīng)提供強(qiáng)大的URL地址過濾功能,對(duì)員工訪問非法網(wǎng)站能夠做到有效封堵,這就要求設(shè)備應(yīng)提供強(qiáng)大的URL地址庫,并能夠自動(dòng)升級(jí),降低管理難度,提高控制精度。
      中小企業(yè)的鏈路是有限的,因此應(yīng)有效封堵P2P、IM等過度占用帶寬的業(yè)務(wù)訪問,保障鏈路的有效性。
      3.1.4 最后是穩(wěn)定性
      選擇的產(chǎn)品必須可靠穩(wěn)定,選擇產(chǎn)品形成的方案應(yīng)盡量避免單點(diǎn)故障,傳統(tǒng)的網(wǎng)絡(luò)安全方案總是需要一堆的產(chǎn)品去解決不同的問題,但這些產(chǎn)品接入到網(wǎng)絡(luò)中,任何一臺(tái)設(shè)備故障都會(huì)造成全網(wǎng)通信的故障,因此采取集成化的安全產(chǎn)品應(yīng)當(dāng)是必然選擇。
      另外,安全產(chǎn)品必須有多種穩(wěn)定性的考慮,既要有整機(jī)穩(wěn)定性措施,也要有接口穩(wěn)定性措施,還要有系統(tǒng)穩(wěn)定性措施,產(chǎn)品能夠充分應(yīng)對(duì)各種突發(fā)的情況,并保持系統(tǒng)整體工作的穩(wěn)定性。
      3.2 選擇山石安全網(wǎng)關(guān)的原因
      基于中小企業(yè)的產(chǎn)品選型原則,方案建議采用的山石網(wǎng)科安全網(wǎng)關(guān),在多核Plus G2硬件架構(gòu)的基礎(chǔ)上,采用全并行架構(gòu),實(shí)現(xiàn)更高的執(zhí)行效率。并綜合實(shí)現(xiàn)了多個(gè)安全功能,完全能夠滿足中小企業(yè)安全產(chǎn)品的選型要求。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      山石網(wǎng)科安全網(wǎng)關(guān)在技術(shù)上具有如下的安全技術(shù)優(yōu)勢,包括:
      3.2.1 安全可靠的集中化管理
      山石網(wǎng)科安全管理中心采用了一種全新的方法來實(shí)現(xiàn)設(shè)備安全管理,通過提供集中的端到端生命周期管理來實(shí)現(xiàn)精細(xì)的設(shè)備配置、網(wǎng)絡(luò)設(shè)置、VPN配置和安全策略控制。山石網(wǎng)科安全管理中心可以清楚地分配角色和職責(zé),從而使設(shè)備技術(shù)人員、網(wǎng)絡(luò)管理員和安全管理員通過相互協(xié)作來提高網(wǎng)絡(luò)管理效率,減少開銷并降低運(yùn)營成本。
      利用山石網(wǎng)科安全管理中心,可以為特定用戶分配適當(dāng)?shù)墓芾斫尤霗?quán)限(從只讀到全面的編輯權(quán)限)來完成多種工作。可以允許或限制用戶接入信息,從而使用戶可以作出與他們的角色相適應(yīng)的決策。
      山石網(wǎng)科安全管理中心的一個(gè)關(guān)鍵設(shè)計(jì)理念是降低安全設(shè)備管理的復(fù)雜性,同時(shí)保證足夠的靈活性來滿足每個(gè)用戶的不同需求。為了實(shí)現(xiàn)這一目標(biāo),山石網(wǎng)科安全管理中心提供了一個(gè)綜合管理界面以便從一個(gè)集中位置上控制所有設(shè)備參數(shù)。管理員只需要點(diǎn)擊幾下鼠標(biāo)就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級(jí)。同時(shí),只要是能夠通過山石網(wǎng)科安全管理中心進(jìn)行配置的設(shè)備都可以通過CLI接入。
      山石網(wǎng)科安全管理中心還帶有一種高性能日志存儲(chǔ)機(jī)制,使IT部門可以收集并監(jiān)控關(guān)鍵方面的詳細(xì)信息,如網(wǎng)絡(luò)流量、設(shè)備狀態(tài)和安全事件等。利用內(nèi)置的報(bào)告功能,管理員還可以迅速生成報(bào)告來進(jìn)行調(diào)查研究或查看是否符合要求。
      山石網(wǎng)科安全管理中心采用了一種3層的體系結(jié)構(gòu),該結(jié)構(gòu)通過一條基于TCP的安全通信信道-安全服務(wù)器協(xié)議(SSP)相連接。SSP可以通過AES加密和SHA1認(rèn)證來提供受到有效保護(hù)的端到端的安全通信功能。利用經(jīng)過認(rèn)證的加密TCP通信鏈路,就不需要在不同分層之間建立VPN隧/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 道,從而大大提高了性能和靈活性。
      山石網(wǎng)科安全管理中心提供統(tǒng)一管理功能,在一個(gè)統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報(bào)告功能,同時(shí)還使網(wǎng)絡(luò)管理中心的所有工作人員可以協(xié)同工作。山石網(wǎng)科網(wǎng)絡(luò)公司的集中管理方法使用戶可以在安全性和接入便利性之間達(dá)成平衡,對(duì)于安全網(wǎng)關(guān)這類安全設(shè)備的大規(guī)模部署非常重要。
      3.2.2 基于角色的安全控制與審計(jì)
      針對(duì)傳統(tǒng)基于IP的訪問控制和資源控制缺陷,山石網(wǎng)科采用RBNS(基于身份和角色的管理)技術(shù)讓網(wǎng)絡(luò)配置更加直觀和精細(xì)化,不同基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網(wǎng)絡(luò)資源(服務(wù))的分配、基于”人“的日志審計(jì)三大方面。基于角色的管理模式可以通過對(duì)訪問者身份審核和確認(rèn),確定訪問者的訪問權(quán)限,分配相應(yīng)的網(wǎng)絡(luò)資源。在技術(shù)上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據(jù)泄露等問題。
      另外,在采用了RBNS技術(shù)后,使得審計(jì)記錄可以直接反追溯到真實(shí)的訪問者,更便于安全事件的定位。
      在本方案中,利用山石網(wǎng)科安全網(wǎng)關(guān)的身份認(rèn)證功能,可結(jié)合AD域認(rèn)證等技術(shù),提供集成化的認(rèn)證+控制+深度檢測+行為審計(jì)的解決方案,當(dāng)訪問者需跨網(wǎng)關(guān)訪問時(shí),網(wǎng)關(guān)會(huì)根據(jù)確認(rèn)的訪問者身份,自動(dòng)調(diào)用郵件系統(tǒng)內(nèi)的郵件組信息,確定訪問者角色,隨后根據(jù)角色執(zhí)行訪問控制,限制其訪問范圍,然后再對(duì)訪問數(shù)據(jù)包進(jìn)行深度檢測,根據(jù)角色執(zhí)行差異化的QOS,并在發(fā)現(xiàn)非法的訪問,或者存在可疑行為的訪問時(shí),記錄到日志提供給系統(tǒng)員進(jìn)行事后的深度分析。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      3.2.3 基于深度應(yīng)用識(shí)別的訪問控制
      中小型企業(yè)的主要業(yè)務(wù)應(yīng)用系統(tǒng)都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上,新的安全威脅也隨之嵌入到應(yīng)用之中,而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略,根本無法識(shí)別應(yīng)用,更談不上安全防護(hù)。
      Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制,而不依賴于端口或協(xié)議,即使加密過的數(shù)據(jù)流也能應(yīng)付自如。
      StoneOS?識(shí)別的應(yīng)用多達(dá)幾百種,而且跟隨著應(yīng)用的發(fā)展每天都在增加;其中包括P2P、IM(即時(shí)通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用。同時(shí),應(yīng)用特征庫通過網(wǎng)絡(luò)服務(wù)可以實(shí)時(shí)更新,無須等待新版本軟件發(fā)布。
      3.2.4 深度內(nèi)容安全(UTMPlus?)
      山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus?軟件包提供病毒過濾,入侵防御,內(nèi)容過濾,上網(wǎng)行為管理和應(yīng)用流量整形等功能,可以防范病毒,間諜軟件,蠕蟲,木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時(shí)間禁止訪問的網(wǎng)頁,提高工作效率和控制對(duì)不良網(wǎng)站的訪問。病毒庫,攻擊庫,URL庫可以通過網(wǎng)絡(luò)服務(wù)實(shí)時(shí)下載,確保對(duì)新爆發(fā)的病毒、攻擊、新的URL做到及時(shí)響應(yīng)。
      由于中小企業(yè)包含了多個(gè)分支機(jī)構(gòu),一旦因某個(gè)節(jié)點(diǎn)遭到惡意代碼的傳播,病毒將會(huì)很快在企業(yè)的網(wǎng)絡(luò)內(nèi)傳播,造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后,并在全網(wǎng)各個(gè)節(jié)點(diǎn)的邊界部署后,將在邏輯上形成不同的隔離區(qū),一旦某個(gè)節(jié)點(diǎn)遭遇到病毒攻擊/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      后,不會(huì)影響到其他節(jié)點(diǎn)。并且山石支持硬件病毒過濾技術(shù),在邊界進(jìn)行病毒查殺的時(shí)候,對(duì)性能不會(huì)造成過多影響。
      3.2.5 高性能病毒過濾
      對(duì)于中小企業(yè)而言,在邊界進(jìn)行病毒的過濾與查殺,是有效防范蠕蟲、木馬等網(wǎng)絡(luò)型病毒的有效工具,但是傳統(tǒng)病毒過濾技術(shù)由于需要在應(yīng)用層解析數(shù)據(jù)包,因此效率很低,導(dǎo)致開啟病毒過濾后對(duì)全網(wǎng)的通信速度形成很大影響。
      山石安全網(wǎng)關(guān)在多核的技術(shù)上,對(duì)病毒過濾采取了全新的流掃描技術(shù),也就是所謂的邊檢測邊傳輸技術(shù),從而大大提升了病毒檢測與過濾的效率。
      ? 流掃描策略
      傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機(jī)的病毒過濾解決方案實(shí)現(xiàn)的,并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法,首先需要下載整個(gè)文件,然后開始掃描,最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收,會(huì)經(jīng)歷長時(shí)間延遲。對(duì)于大文件,用戶應(yīng)用程序可能出現(xiàn)超時(shí)。
      文件接受掃描文件發(fā)送延遲
      山石網(wǎng)科掃描引擎是基于流的,病毒過濾掃描引擎在數(shù)據(jù)包流到達(dá)時(shí)進(jìn)行檢查,如果沒有檢查到病毒,則發(fā)送數(shù)據(jù)包流。由此,用戶將看到明顯的延遲改善,并且他們的應(yīng)用程序也將更快響應(yīng)。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      文件接收掃描文件發(fā)送延遲
      流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時(shí)掃描。出于對(duì)高性能、低延遲、高可升級(jí)性的首要考慮,流掃描技術(shù)適合網(wǎng)關(guān)病毒過濾解決方案。
      ? 基于策略的病毒過濾功能
      山石網(wǎng)科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面:哪些域的流量需要進(jìn)行病毒過濾掃描,哪些用戶或者用戶組進(jìn)行掃描,以及哪些服務(wù)器和應(yīng)用被保護(hù)。
      3.2.6 靈活高效的帶寬管理功能
      山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識(shí)別(Intelligent Application Identification)功能,稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類,甚至包括對(duì)加密的P2P應(yīng)用(Bit Torrent、迅雷、Emule、Edonkey等)和即時(shí)消息流量進(jìn)行分類。山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后,根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是:用戶可以為關(guān)鍵網(wǎng)頁瀏覽設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用;對(duì)于P2P下載流量,用戶可以為它們設(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。
      將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用,用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同IP地址及用戶角色的流量優(yōu)先級(jí)區(qū)分和帶寬/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      控制(入方向和出方向),這就相當(dāng)于系統(tǒng)中可容納最多40,000的QoS隊(duì)列。
      結(jié)合應(yīng)用QoS,山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如,對(duì)于同一個(gè)IP地址產(chǎn)生的不同流量,用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。在IP QoS里面使用應(yīng)用QoS,甚至可以對(duì)每個(gè)IP地址進(jìn)行流量控制的同時(shí),還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進(jìn)行有效管控。
      除了高峰時(shí)間,用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。山石網(wǎng)科的彈性QoS功能(FlexQoS)能夠?qū)崟r(shí)探測網(wǎng)絡(luò)的出入帶寬利用率,進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS(FlexQoS)既能為用戶充分利用帶寬資源提供極大的靈活性,又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能。
      總之,通過采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能,可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先,領(lǐng)導(dǎo)信息流量優(yōu)先,非業(yè)務(wù)應(yīng)用限速或禁用,VoIP、視頻應(yīng)用保證時(shí)延低、無抖動(dòng)、音質(zhì)清晰、圖片清楚,這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應(yīng)用,使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      3.2.7 強(qiáng)大的URL地址過濾庫
      山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫,具有超過2000萬條域名的分類Web頁面庫,并實(shí)時(shí)保持同步更新,當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí),系統(tǒng)會(huì)根據(jù)不同的策略,進(jìn)行報(bào)警、日志、阻斷等動(dòng)作,實(shí)現(xiàn)健康上網(wǎng);
      全面的URL地址庫也改變了現(xiàn)在各個(gè)分支機(jī)構(gòu)自行手動(dòng)配置URL地址的局限性,當(dāng)時(shí)設(shè)備被部署到網(wǎng)絡(luò)中后,各個(gè)設(shè)備均采用統(tǒng)一標(biāo)準(zhǔn)的過濾地址庫,在進(jìn)行URL訪問日志中也可以保持日志內(nèi)容的一致性。
      3.2.8 高性能的應(yīng)用層管控能力
      安全和速度始終是兩個(gè)對(duì)立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價(jià)的,而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時(shí)代,能夠做到應(yīng)用層的安全檢測以及安全防護(hù)功能是所有安全廠商的目標(biāo)。由于應(yīng)用層的檢測需要進(jìn)行深度的數(shù)據(jù)包解析,而使用傳統(tǒng)網(wǎng)絡(luò)平臺(tái)所帶來的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺(tái)去實(shí)現(xiàn)。
      山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應(yīng)用層管控能力,包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等,能夠通過簡單的配置來實(shí)現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾,防止?jié)撛诘陌踩L(fēng)險(xiǎn)。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      此外,山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu),在性能上具有很高的處理能力,能夠?qū)崿F(xiàn)大并發(fā)處理。
      3.2.9 高效IPSEC VPN 所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對(duì)IPSec的硬件加速。每一個(gè)CPU核都有一個(gè)內(nèi)嵌的IPSec處理引擎,這保證了在CPU核數(shù)增加時(shí),IPSec的性能得到相應(yīng)提高,不會(huì)成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達(dá)到8Gbps,達(dá)到和防火墻一樣的性能和設(shè)備極限。
      山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標(biāo)準(zhǔn)IPSec協(xié)議,能夠保障與第三方VPN進(jìn)行通訊,建立隧道并實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。
      3.2.10 高可靠的冗余備份能力
      山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級(jí)別的HA解決方案,如A-P和A-A架構(gòu)。山石網(wǎng)科的HA解決方案能夠?yàn)榫W(wǎng)絡(luò)層提供會(huì)話級(jí)別的狀態(tài)同步機(jī)制,保證在設(shè)備切換過程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡(luò)的持久暢通,甚至在設(shè)備進(jìn)行主備切換的時(shí)候都不會(huì)中斷會(huì)話,為企業(yè)提供真正意義的網(wǎng)絡(luò)冗余/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步,并包括SA狀態(tài)的同步。系統(tǒng)部署說明
      對(duì)于中小企業(yè),在設(shè)計(jì)邊界安全防護(hù)時(shí),首要進(jìn)行的就是安全區(qū)域的劃分,劃分安全域是信息安全建設(shè)常采用的方法,其好處在與可以將原本比較龐大的網(wǎng)絡(luò)劃分為多個(gè)單元,根據(jù)不同單元的資產(chǎn)特點(diǎn)、支撐業(yè)務(wù)類型分別進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì),保障了安全建設(shè)的針對(duì)性和差異性。
      安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護(hù)需求、并相互信任。但以此作為安全區(qū)域劃分原則,可操作性不強(qiáng),在實(shí)際劃分過程中有很多困難。在本方案中,建議按照資產(chǎn)重要性以及支撐的業(yè)務(wù)類型,縱向上可劃分為總部及分支機(jī)構(gòu)域,從資產(chǎn)角度可根據(jù)業(yè)務(wù)類型的不同,將總部/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      信息網(wǎng)絡(luò)劃分為ERP域、OA域、網(wǎng)站域、終端域和運(yùn)維域等,而分支機(jī)構(gòu)的域相對(duì)簡單,由于只有終端,因此不再細(xì)分。
      4.1 安全網(wǎng)關(guān)部署設(shè)計(jì)
      劃分安全域后,可在所有安全域的邊界,特別是重要的業(yè)務(wù)系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可,配置后形成的邊界安全部署方案可參考下圖:
      部署要點(diǎn): ? 通過總部配置的山石網(wǎng)科安全管理中心,集中監(jiān)管各個(gè)分支機(jī)構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān),對(duì)日志進(jìn)行集中管理;同時(shí)各個(gè)分支機(jī)構(gòu)本地也部署管理終端,在本地對(duì)網(wǎng)關(guān)進(jìn)行監(jiān)管; / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      ? 縱向鏈路的出口分別部署安全網(wǎng)關(guān),實(shí)現(xiàn)對(duì)中小企業(yè)網(wǎng)的縱向隔離,對(duì)分支機(jī)構(gòu)的上訪行為進(jìn)行嚴(yán)格控制,杜絕非法或非授權(quán)的訪問;
      ? 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略,在終端上網(wǎng)過程中進(jìn)行轉(zhuǎn)換,保障內(nèi)網(wǎng)用戶上網(wǎng)的要求,同時(shí)啟用相應(yīng)的日志,對(duì)上網(wǎng)行為進(jìn)行有效記錄;
      ? 安全網(wǎng)關(guān)在分支機(jī)構(gòu)上網(wǎng)出口的鏈路上,運(yùn)用深度應(yīng)用識(shí)別技術(shù),有效鑒別出哪些是合法的HTTP應(yīng)用,哪些是過度占用帶寬的P2P和IM應(yīng)用,對(duì)P2P和IM通過嚴(yán)格的帶寬限制功能能進(jìn)行及限制,并對(duì)HTTP執(zhí)行保障帶寬策略,保障員工正常上網(wǎng)行為;
      ? 安全網(wǎng)關(guān)與中小企業(yè)的AD域認(rèn)證整合,在確認(rèn)訪問者身份的基礎(chǔ)上,進(jìn)行實(shí)名制的訪問控制,QOS控制,以及上網(wǎng)行為審計(jì);
      ? 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫,用以對(duì)員工的訪問目標(biāo)地址進(jìn)行分類,對(duì)于非法網(wǎng)站進(jìn)行封堵,且URL地址庫能夠自動(dòng)升級(jí),保障了該功能的持續(xù)性和完整性;
      ? 安全網(wǎng)關(guān)運(yùn)用IPSEC VPN技術(shù),實(shí)現(xiàn)與總部的加密傳輸,作為現(xiàn)有專線的備份鏈路,在不增加投資的前提下提升系統(tǒng)的可靠性。
      ? 安全網(wǎng)關(guān)運(yùn)用SSL VPN技術(shù),對(duì)移動(dòng)辦公用戶配發(fā)USB KEY,當(dāng)其需要遠(yuǎn)程訪問企業(yè)網(wǎng)時(shí),利用USB KEY與總部互聯(lián)網(wǎng)出口的安全網(wǎng)關(guān)建立VPN加密隧道,從而實(shí)現(xiàn)了安全可靠的遠(yuǎn)程訪問。
      4.2 安全網(wǎng)關(guān)部署說明
      4.2.1 部署集中安全管理中心
      通過在總部部署山石網(wǎng)科安全管理中心,然后對(duì)分布在各個(gè)分支機(jī)構(gòu)邊界的安全網(wǎng)關(guān)進(jìn)行配置,/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      使網(wǎng)關(guān)接受管理中心的集中管理來實(shí)現(xiàn),并執(zhí)行如下的集中監(jiān)管。
      設(shè)備管理
      設(shè)備管理包括域管理和設(shè)備組管理,域和設(shè)備組都是用來組織被管理設(shè)備的邏輯組,域包含設(shè)備組。通過域的使用,可以實(shí)現(xiàn)設(shè)備的區(qū)域化管理;而通過設(shè)備組的使用,可以進(jìn)一步將域中的設(shè)備進(jìn)行細(xì)化分組管理。一臺(tái)設(shè)備可以同時(shí)屬于多個(gè)域或者設(shè)備組。只有超級(jí)管理員可以執(zhí)行域的操作以及添加設(shè)備和徹底刪除設(shè)備,普通管理員可以執(zhí)行設(shè)備組的操作,將設(shè)備從設(shè)備組中刪除。
      設(shè)備基本信息監(jiān)管
      顯示設(shè)備的基本信息,例如設(shè)備主機(jī)名稱、設(shè)備序列號(hào)、管理IP、設(shè)備運(yùn)行時(shí)間、接口狀態(tài)以及AV相關(guān)信息等。
      通過客戶端可查看的設(shè)備屬性信息包括:設(shè)備基本信息以及設(shè)備實(shí)時(shí)統(tǒng)計(jì)信息,包括實(shí)時(shí)資源使用狀態(tài)、會(huì)話數(shù)、總流量、VPN隧道數(shù)、攻擊數(shù)以及病毒數(shù)。系統(tǒng)通過曲線圖顯示以上實(shí)時(shí)信息,使用戶能夠直觀的了解當(dāng)前設(shè)備的各種狀態(tài)。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      日志瀏覽
      山石網(wǎng)科安全管理中心接收設(shè)備發(fā)送的多種日志信息,經(jīng)過系統(tǒng)處理后,用戶可通過客戶端進(jìn)行多維度、多條件的瀏覽。山石網(wǎng)科安全管理中心支持通過以下種類進(jìn)行日志瀏覽:
      ●系統(tǒng)日志 ●配置日志 ●會(huì)話日志 ●地址轉(zhuǎn)換日志 ●上網(wǎng)日志
      流量監(jiān)控
      山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控以下對(duì)象的流量,并在客戶端通過餅狀圖或者柱狀圖直觀顯示:
      ●設(shè)備接口(TOP 10)/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      ●指定接口TOP 10 IP,進(jìn)而可以查看指定IP的TOP 10應(yīng)用的流量 ●指定接口TOP 10應(yīng)用,進(jìn)而可以查看指定應(yīng)用的TOP 10 IP的流量
      柱狀圖可分別按照上行流量、下行流量或者總流量進(jìn)行排序;餅狀圖可分別根據(jù)上行流量、下行流量或者總流量顯示不同的百分比。
      攻擊監(jiān)控
      山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控以下對(duì)象的攻擊情況,并在客戶端通過餅狀圖或者柱狀圖直觀顯示:
      ●設(shè)備接口遭受攻擊(TOP 10)
      ●指定接口發(fā)起攻擊TOP 10 IP,進(jìn)而可以查看指定IP發(fā)起的TOP 10攻擊類型 ●指定接口TOP 10攻擊類型,進(jìn)而可以查看發(fā)起指定攻擊類型的TOP 10 IP
      VPN監(jiān)控
      山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控被管理設(shè)備的IPSec VPN和SCVPN隧道流量,并在客戶端通過餅狀圖或者柱狀圖直觀顯示。/ 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      4.2.2 基于角色的管理配置
      對(duì)于中小企業(yè)辦公網(wǎng)而言,終端使用者的身份不盡相同,因此其訪問權(quán)限,對(duì)資源的要求等也不盡相同,實(shí)現(xiàn)差異化的訪問控制與資源保障。對(duì)此可通過山石網(wǎng)科安全網(wǎng)關(guān)的RBNS(基于身份和角色的管理)策略來實(shí)現(xiàn)。RBNS包含三個(gè)部分:用戶身份的認(rèn)證、用戶角色的確定、基于角色控制和服務(wù)。
      ? ? 在訪問控制部分,通過RBNS實(shí)現(xiàn)了基于用戶角色的訪問控制,使得控制更加精準(zhǔn); 在QOS部分,通過RBNS實(shí)現(xiàn)了基于角色的帶寬控制,使得資源分配更加貼近中小企業(yè)辦公網(wǎng)的管理模式; ? 在會(huì)話限制部分,通過RBNS實(shí)現(xiàn)了基于角色的并發(fā)限制,對(duì)于重要用戶放寬并發(fā)連接的數(shù)量,對(duì)于非重要用戶則壓縮并發(fā)連接的數(shù)量; ? ? 在上網(wǎng)行為管理部分,通過RBNS實(shí)現(xiàn)了基于角色的上網(wǎng)行為管理;
      在審計(jì)部分,通過RBNS實(shí)現(xiàn)實(shí)名制審計(jì),使審計(jì)記錄能夠便捷地追溯到現(xiàn)實(shí)的人員。
      在整合了AD域以及郵件系統(tǒng)后的實(shí)名制管理與控制方案后,在員工上網(wǎng)訪問過程中實(shí)現(xiàn)精細(xì)化的管理,大大降低了單純依靠IP地址帶來的安全隱患,也降低了配置策略的難度,還提升了日志的可追溯性;  / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      整合后實(shí)名制監(jiān)管過程示意圖
      4.2.3 配置訪問控制策略
      山石網(wǎng)科多核安全網(wǎng)關(guān)可提供廣泛的應(yīng)用層監(jiān)控、統(tǒng)計(jì)和控制過濾功能。該功能能夠?qū)TP、HTTP、P2P應(yīng)用、IM以及VoIP語音數(shù)據(jù)等應(yīng)用進(jìn)行識(shí)別,并根據(jù)安全策略配置規(guī)則,保證應(yīng)用的正常通信或?qū)ζ溥M(jìn)行指定的操作,如監(jiān)控、流量統(tǒng)計(jì)、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術(shù),使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境,即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下,也能有效的獲取應(yīng)用層信息,從而保證安全策略的有效實(shí)施。
      山石網(wǎng)科安全網(wǎng)關(guān),作用在中小企業(yè)的互聯(lián)網(wǎng)出口鏈路上,通過訪問控制策略,針對(duì)訪問數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的應(yīng)用訪問類型,進(jìn)行控制,包括: / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      ? 限制不被許可的訪問類型:比如在只允許進(jìn)行網(wǎng)頁瀏覽、電子郵件、文件傳輸,此時(shí)當(dāng)終端用戶進(jìn)行其他訪問(比如P2P),即使在網(wǎng)絡(luò)層同樣使用TCP 80口進(jìn)行訪問數(shù)據(jù)包的傳送,但經(jīng)過山石網(wǎng)科安全網(wǎng)關(guān)的深度應(yīng)用識(shí)別后,分析出真實(shí)的應(yīng)用后,對(duì)P2P和IM等過度占用帶寬的行為進(jìn)行限制;
      ? 限制不被許可的訪問地址:山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫,具有超過2000萬條域名的分類Web頁面庫,并實(shí)時(shí)保持同步更新,當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí),系統(tǒng)會(huì)根據(jù)不同的策略,進(jìn)行報(bào)警、日志、阻斷等動(dòng)作,實(shí)現(xiàn)健康上網(wǎng);
      ? 基于身份的訪問控制:傳統(tǒng)訪問控制的基礎(chǔ)是IP地址,但是由于IP地址的可修改性,使得控制的精度大打折扣,特別是根據(jù)不同IP地址配置不同強(qiáng)度的訪問控制規(guī)則時(shí),通過修改IP地址可以獲得較寬松的訪問限制,及時(shí)采用了IP+MAC綁定,但修改MAC也不是難事。山石網(wǎng)科安全網(wǎng)關(guān)支持與第三方認(rèn)證的結(jié)合,可實(shí)現(xiàn)基于“實(shí)名制”下的訪問控制,將大大提升了訪問控制的精度。
      4.2.4 配置帶寬控制策略
      針對(duì)外網(wǎng)的互聯(lián)網(wǎng)出口鏈路,承載了員工上網(wǎng)的訪問,因此必須應(yīng)采取帶寬控制,來針對(duì)不同訪問的重要級(jí)別,提供差異化的帶寬資源。(可以實(shí)現(xiàn)基于角色的QOS)? 基于角色的流量管理
      基于山石網(wǎng)科的多核 Plus G2安全架構(gòu),StoneOS? Qos將Hillstone 山石網(wǎng)科的行為控制以及IP QoS結(jié)合使用,用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同角色的流量優(yōu)先級(jí)區(qū)分和帶寬控制(入方向和出方向),這就相當(dāng)于系統(tǒng)
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      中可容納多于40,000的QoS隊(duì)列。結(jié)合應(yīng)用QoS,山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如,對(duì)于同一個(gè)角色產(chǎn)生的不同流量,用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。
      ? 對(duì)應(yīng)用控制流量和區(qū)分優(yōu)先級(jí)
      山石網(wǎng)科提供專有的智能應(yīng)用識(shí)別(Intelligent Application Identification)功能,簡稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類,甚至包括對(duì)加密的P2P應(yīng)用(Bit Torrent、迅雷、Emule、Edonkey等)和即時(shí)消息流量進(jìn)行分類;Hillstone 山石網(wǎng)科還支持用戶自定義的流量,并對(duì)自定義流量進(jìn)行分類;同時(shí)山石網(wǎng)科可以結(jié)合強(qiáng)大的policy對(duì)流量進(jìn)行分類。山石網(wǎng)科 QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后,根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是:用戶可以為關(guān)鍵的ERP和OA流量設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用;對(duì)于網(wǎng)頁瀏覽和P2P下載流量,用戶可以為它們設(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。網(wǎng)吧用戶可以用這種方法控制娛樂流量并對(duì)娛樂流量區(qū)分優(yōu)先級(jí)。
      ? 帶寬利用率最大化
      除了高峰時(shí)間,用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。Hillstone 山石網(wǎng)科的彈性QoS功能(FlexQoS)能夠?qū)崟r(shí)探測網(wǎng)絡(luò)的出入帶寬的利用率,進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS(FlexQoS)既能為用戶充分利用帶寬資源提供極大的靈活性,又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能。彈性QoS還允許用戶進(jìn)行更加精細(xì)的控制,允許某一類的網(wǎng)絡(luò)使用者享有彈性QoS,另外一類不享有彈性QoS。以此功能用戶可以為網(wǎng)絡(luò)使用者提供差分服務(wù)。
      ? 實(shí)時(shí)流量監(jiān)控和統(tǒng)計(jì)
      山石網(wǎng)科 QoS解決方案提供各種靈活報(bào)告和監(jiān)控方法,幫助用戶查看網(wǎng)絡(luò)狀況。用戶可以輕松查看接口帶寬使用情況、不同應(yīng)用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網(wǎng)科設(shè)備
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      提供帶寬使用情況的歷史記錄,為將來分析提供方便。同時(shí)用戶還可以自己定制想要的統(tǒng)計(jì)數(shù)據(jù)。
      4.2.5 上網(wǎng)行為日志管理
      通過山石網(wǎng)科安全網(wǎng)關(guān),在實(shí)現(xiàn)分支機(jī)構(gòu)員工上網(wǎng)訪問控制和QOS控制的基礎(chǔ)上,對(duì)行為進(jìn)行全面記錄,來控制威脅的上網(wǎng)行為,并結(jié)合基于角色的管理技術(shù),實(shí)現(xiàn)“實(shí)名制”審計(jì),在本方案中將配置執(zhí)行如下的安全策略:
      ? 網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則
      網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則,是根據(jù)名稱、優(yōu)先級(jí)、用戶、時(shí)間表、網(wǎng)絡(luò)行為以及控制動(dòng)作構(gòu)成上網(wǎng)行為管理策略規(guī)則的基本元素。通過WebUI配置上網(wǎng)行為管理策略規(guī)則,需要進(jìn)行下列基本元素的配置:
      ? ? 策略規(guī)則名稱 – 上網(wǎng)行為管理策略規(guī)則的名稱。
      優(yōu)先級(jí)-上網(wǎng)行為管理策略規(guī)則的優(yōu)先級(jí)。當(dāng)有多條匹配策略規(guī)則的時(shí)候,優(yōu)先級(jí)高的策略規(guī)則會(huì)被優(yōu)先使用。? 用戶 – 上網(wǎng)行為管理策略規(guī)則的用戶,即發(fā)起網(wǎng)絡(luò)行為的主體,比如某個(gè)用戶、用戶組、角色、IP地址等。? 時(shí)間表 – 上網(wǎng)行為管理策略規(guī)則的生效時(shí)間,可以針對(duì)不同用戶控制其在特定時(shí)間段內(nèi)的網(wǎng)絡(luò)行為。? 網(wǎng)絡(luò)行為 – 具體的網(wǎng)絡(luò)應(yīng)用行為,比如MSN聊天、網(wǎng)頁訪問、郵件發(fā)送、論壇發(fā)帖等。? 控制動(dòng)作 – 針對(duì)用戶的網(wǎng)絡(luò)行為所采取的控制動(dòng)作,比如允許、拒絕某網(wǎng)絡(luò)行為或者對(duì)該行為或者內(nèi)容進(jìn)行日志記錄等。
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      ? 網(wǎng)頁內(nèi)容控制策略規(guī)則
      網(wǎng)頁內(nèi)容控制策略規(guī)則包括URL過濾策略規(guī)則和關(guān)鍵字過濾策略規(guī)則。網(wǎng)頁內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問的網(wǎng)頁進(jìn)行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別,對(duì)用戶所訪問的網(wǎng)頁進(jìn)行過濾。關(guān)鍵字過濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別,對(duì)用戶所訪問的網(wǎng)頁進(jìn)行過濾,同時(shí),能夠通過SSL代理功能對(duì)用戶所訪問的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁進(jìn)行過濾。
      ? 外發(fā)信息控制策略規(guī)則
      外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則,能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Email控制策略規(guī)則能夠?qū)νㄟ^SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進(jìn)行控制,可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對(duì)郵件的發(fā)送進(jìn)行限制。同時(shí),能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^HTTP Post方法上傳的含有某關(guān)鍵字的內(nèi)容進(jìn)行控制,如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。
      ? 例外設(shè)置
      對(duì)于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對(duì)象,可以通過例外設(shè)置實(shí)現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      分級(jí)日志管理模式示意圖
      4.2.6 實(shí)現(xiàn)URL過濾
      山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了強(qiáng)大的URL地址庫,包含數(shù)千萬條域名的分類web頁面庫,并能夠?qū)崟r(shí)同步更新,該地址庫將被配置在所有分支機(jī)構(gòu)出口的山石安全網(wǎng)關(guān)上,對(duì)員工訪問的目標(biāo)站點(diǎn)進(jìn)行檢查,保障健康上網(wǎng)。
      山石網(wǎng)科提供的URL過濾功能包含以下組成部分: ? ? ? 黑名單:包含不可以訪問的URL。不同平臺(tái)黑名單包含的最大URL條數(shù)不同。白名單:包含允許訪問URL。不同平臺(tái)白名單包含的最大URL條數(shù)不同。
      關(guān)鍵字列表:如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字,則PC不可以訪問該URL。不同平臺(tái)關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      ? ? 不受限IP:不受URL過濾配置影響,可以訪問任何網(wǎng)站。
      只允許用域名訪問:如果開啟該功能,用戶只可以通過域名訪問Internet,IP地址類型的URL將被拒絕訪問。
      ? 只允許訪問白名單里的URL:如果開啟該功能,用戶只可以訪問白名單中的URL,其它地址都會(huì)被拒絕。
      4.2.7 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾
      隨著病毒技術(shù)的發(fā)展,網(wǎng)絡(luò)型病毒(比如蠕蟲、木馬等)已經(jīng)被廣泛應(yīng)用了,這種病毒的特點(diǎn)是沒有宿主就可以傳播,在網(wǎng)絡(luò)中快速掃描,只要發(fā)現(xiàn)網(wǎng)絡(luò)有許可的行為,就能夠快速傳播,其危害除了對(duì)目標(biāo)主機(jī)造成破壞,在傳播過程中也產(chǎn)生大量的訪問,對(duì)網(wǎng)絡(luò)流量造成影響,對(duì)此傳統(tǒng)在主機(jī)上進(jìn)行病毒查殺是不足的,對(duì)此問題就產(chǎn)生了病毒過濾網(wǎng)關(guān),該系統(tǒng)類似于防火墻,采用“空中抓毒“技術(shù),工作在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn),對(duì)經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行過濾,在判斷為是病毒的時(shí)候進(jìn)行阻斷,防止病毒利用網(wǎng)絡(luò)進(jìn)行傳播。
      這里建議中小企業(yè)可利用安全網(wǎng)關(guān)的病毒過濾技術(shù),對(duì)各個(gè)安全域在實(shí)行訪問控制的同時(shí),進(jìn)行有效的病毒過濾,杜絕某個(gè)安全域內(nèi)(比如終端區(qū)域)的主機(jī)感染了病毒,該病毒無法穿越病毒過濾網(wǎng)關(guān),從而無法在全企業(yè)網(wǎng)蔓延,造成更大的破壞。
      山石網(wǎng)科的病毒過濾能夠有效解析出上十萬種病毒,能夠偵測病毒、木馬、蠕蟲、間諜軟件和其他惡意軟件?;诙嗪薖lus? G2架構(gòu)的設(shè)計(jì)提供了病毒過濾需要的高處理能力,其提供的應(yīng)用處理擴(kuò)展模塊進(jìn)一步的提高了病毒過濾的處理能力和總計(jì)處理能力,全并行流檢測引擎則使用較少的系統(tǒng)資源,并且在并行掃描會(huì)話和最大可掃描文件
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      方面提供高升級(jí)性。
      病毒過濾系統(tǒng)同樣也大大提升了服務(wù)器的安全性,在當(dāng)前訪問控制的基礎(chǔ)上,進(jìn)一步保障了關(guān)鍵業(yè)務(wù)的安全性。
      4.2.8 部署IPSEC VPN 山石網(wǎng)科安全網(wǎng)關(guān)支持的IPSec VPN技術(shù),作用于中小企業(yè),可實(shí)現(xiàn)總部與分支機(jī)構(gòu)之間通過互聯(lián)網(wǎng)的縱向互聯(lián),并作為現(xiàn)有專線的備份鏈路,在不增加額外投資的基礎(chǔ)上,提升了系統(tǒng)總體的安全效率。(當(dāng)然需要總部的互聯(lián)網(wǎng)出口也部署有標(biāo)準(zhǔn)IPSEC VPN系統(tǒng))
      在通過互聯(lián)網(wǎng)實(shí)現(xiàn)縱向互聯(lián)的過程中,通過IPSEC VPN技術(shù),將實(shí)現(xiàn)如下的保護(hù): ? ? 機(jī)密性保護(hù):在傳輸過程中對(duì)數(shù)據(jù)進(jìn)行加密,從而防范了被篡改的風(fēng)險(xiǎn);
      完整性保護(hù):在傳輸過程中,通過HASH算法,對(duì)文件進(jìn)行摘要處理,當(dāng)?shù)竭_(dá)接收端時(shí)再次進(jìn)行HASH,并與發(fā)送端HASH后形成的摘要進(jìn)行批對(duì),如果完全相同則證明數(shù)據(jù)沒有
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      被篡改,從而保障了傳輸過程的完整性; ? ? 抗抵賴:IPSEC VPN運(yùn)用了數(shù)字簽名技術(shù),采用對(duì)稱密鑰算法防范傳輸數(shù)據(jù)被抵賴的風(fēng)險(xiǎn); 抗重放:IPSEC VPN運(yùn)用系列號(hào),一旦某個(gè)數(shù)據(jù)包被處理,序列號(hào)自動(dòng)加一,防范攻擊者在收取到數(shù)據(jù)包,以自己的身份重新發(fā)送的風(fēng)險(xiǎn); 山石網(wǎng)科安全網(wǎng)關(guān)IPSec VPN支持的主要技術(shù)包括: ? 標(biāo)準(zhǔn)的技術(shù)使Hillstone IPSec VPN能和國際VPN廠商互通,只要對(duì)端采用標(biāo)準(zhǔn)IPSEC協(xié)議,即可實(shí)現(xiàn)互聯(lián)互通; ? ? 全面的加密算法支持,包括AES256、Diffie-Hellman Group 5;
      支持靜態(tài)IP對(duì)端、動(dòng)態(tài)IP對(duì)端、撥號(hào)VPN對(duì)端,可以很好地使用各個(gè)分支機(jī)構(gòu)實(shí)際的網(wǎng)絡(luò)環(huán)境; ? 支持VPN上的應(yīng)用控制,在隧道內(nèi)針對(duì)中小企業(yè),提供更完善的訪問控制。
      4.2.9 實(shí)現(xiàn)安全移動(dòng)辦公
      山石網(wǎng)科安全網(wǎng)關(guān)支持的SSL VPN技術(shù),針對(duì)移動(dòng)辦公人員,在不需要配置任何客戶端的情況下,實(shí)現(xiàn)安全可靠的接入。通過USB KEY的方式,配發(fā)證書,移動(dòng)辦公人員必須在提交KEY證書后,安全網(wǎng)關(guān)方可允許其通過互聯(lián)網(wǎng)接入到企業(yè)網(wǎng)內(nèi),實(shí)現(xiàn)安全快捷的訪問。方案建設(shè)效果
      本方案利用山石網(wǎng)科安全網(wǎng)關(guān),作用于中小企業(yè)各個(gè)分支機(jī)構(gòu)的互聯(lián)網(wǎng)出口,對(duì)員工上網(wǎng)行為進(jìn)行有效控制和記錄,對(duì)比現(xiàn)有的安全手段,將在如下層面提升安全性:
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      總體部署效果示意圖
      【實(shí)現(xiàn)集中監(jiān)控】
      在采取了統(tǒng)一品牌的山石網(wǎng)科安全網(wǎng)關(guān)后,通過部署在總部的安全管理中心,實(shí)現(xiàn)對(duì)分布在各個(gè)分支機(jī)構(gòu)互聯(lián)網(wǎng)出口的安全設(shè)備的集中管理,重點(diǎn)對(duì)日志進(jìn)行集中的收集和分析,確保在發(fā)生安全事件后能夠快速傳遞到總部,以便采取必要的保障措施?!緦?shí)現(xiàn)有效訪問控制】
      通過嚴(yán)格的訪問控制,限制了內(nèi)、外部用戶對(duì)企業(yè)各種資源的訪問,限制員工對(duì)ERP和OA的訪問,限制互聯(lián)網(wǎng)用戶對(duì)企業(yè)網(wǎng)站的訪問,由于這些人員只能通過許可的方式,因此大大降低了重要信息資產(chǎn)的暴露程度,提升了系統(tǒng)的安全性; 【有效保護(hù)關(guān)鍵資產(chǎn)】
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      對(duì)于中小企業(yè)而言,關(guān)鍵的信息資產(chǎn)就是各類應(yīng)用服務(wù)器,和數(shù)據(jù)庫,由于本方案采取安全域劃分的方式,將這些關(guān)鍵資產(chǎn)集中起來進(jìn)行有效防護(hù),因此大大提升了系統(tǒng)的總體安全性; 【有效防范攻擊】
      山石安全網(wǎng)關(guān)支持超過3,000種的攻擊檢測和防御,支持攻擊特征庫離線在線更新,定期自動(dòng)更新多種方式。
      山石安全網(wǎng)關(guān)內(nèi)置的入侵防御系統(tǒng)重點(diǎn)實(shí)現(xiàn)了對(duì)重要服務(wù)器的保護(hù),當(dāng)其他主機(jī)訪問業(yè)務(wù)系統(tǒng)時(shí),發(fā)起對(duì)服務(wù)器的訪問,山石入侵防御系統(tǒng)會(huì)在線分析這些數(shù)據(jù)包,并從中剝離出哪些是正常訪問的數(shù)據(jù)包,哪些是存在攻擊行為的數(shù)據(jù)包,在此基礎(chǔ)上對(duì)攻擊包采取有效的封堵行為,從而保障了安全可靠的訪問,進(jìn)一步保護(hù)了易程公司關(guān)鍵的應(yīng)用服務(wù)器。
      【有效過濾病毒】
      與防范攻擊的作用類似,科山石安全網(wǎng)關(guān)內(nèi)置的過濾網(wǎng)關(guān)部署在重要的安全域邊界,當(dāng)重要的服務(wù)器接受訪問時(shí),病毒過濾網(wǎng)關(guān)深入分析數(shù)據(jù)包,檢測出是否攜帶病毒,或者數(shù)據(jù)包本身就是由一些惡意病毒(比如木馬、蠕蟲等)引發(fā)的,并采取有效的查殺,或者將數(shù)據(jù)包直接丟棄。
      【基于角色的控制與資源保障】
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案
      中小企業(yè)的上網(wǎng)人員是多個(gè)層面多種角色的,因角色不同,在訪問控制和資源保障部分,需要有不同的策略與力度。山石安全網(wǎng)關(guān)能夠與第三方身份認(rèn)證有效整合,在控制(比如訪問控制、日志審計(jì))和資源保障(比如QOS)方面能夠根據(jù)用戶身份以及對(duì)應(yīng)的角色來進(jìn)行配置,解決了傳統(tǒng)以IP地址為依據(jù)時(shí),IP地址容易被偽造的問題; 【上網(wǎng)行為實(shí)名制審查】
      國家相關(guān)監(jiān)管部門要求提供上網(wǎng)的機(jī)構(gòu),應(yīng)當(dāng)對(duì)上網(wǎng)人員的行為進(jìn)行記錄,以備在員工進(jìn)行違規(guī)訪問(比如發(fā)布發(fā)動(dòng)言論,訪問非法網(wǎng)站)時(shí),能夠進(jìn)行追溯。而目前中小企業(yè)員工均通過NAT來上網(wǎng),這樣單純在互聯(lián)網(wǎng)上無法準(zhǔn)確定位訪問者,即使有些分支機(jī)構(gòu)采取了NAT和上網(wǎng)行為管理設(shè)備,但這些設(shè)備對(duì)行為之記錄到IP地址,很難對(duì)應(yīng)到具體的人員。
      對(duì)此山石安全網(wǎng)關(guān)能夠在身份識(shí)別和角色確定的基礎(chǔ)上,對(duì)上網(wǎng)人員的行為(訪問了什么地址、進(jìn)行了什么操作、訪問的時(shí)間、訪問產(chǎn)生的流量等)進(jìn)行有效記錄,從而做到實(shí)名制審計(jì)?!居行Х舛翽2P和IM】
      P2P和IM的特點(diǎn)是,運(yùn)用動(dòng)態(tài)端口進(jìn)行訪問,對(duì)此傳統(tǒng)訪問控制的基礎(chǔ)是地址、協(xié)議和端口,這種控制方法根本無法從根本上封堵P2P和IM。
      山石安全網(wǎng)關(guān)支持的深度應(yīng)用識(shí)別,通過協(xié)議分析能夠有效鑒別出真實(shí)的應(yīng)用,再此基礎(chǔ)上進(jìn)行控制,方可實(shí)現(xiàn)對(duì)P2P和IM等通過動(dòng)態(tài)端口的應(yīng)用?!靖娴腢RL過濾】
      目前中小企業(yè)的URL過濾庫采用手工方式維護(hù),這種方式無論從實(shí)效性、全面性上都存在明顯不足,山石網(wǎng)科安全網(wǎng)關(guān)內(nèi)置了一套完整的URL地址庫,具有超過2000萬條域名的分類Web頁面庫,并實(shí)時(shí)保持同步更新,當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí),系統(tǒng)會(huì)根據(jù)不同的策略,進(jìn)行報(bào)警、日志、阻斷等動(dòng)作,實(shí)現(xiàn)健康上網(wǎng)。
      / 42
      典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 【對(duì)專線形成補(bǔ)充】
      目前中小企業(yè)各個(gè)分支機(jī)構(gòu)與總公司之間,通過專線實(shí)現(xiàn)縱向鏈接,并支撐縱向的業(yè)務(wù)訪問,而總公司和各個(gè)分支機(jī)構(gòu)都有互聯(lián)網(wǎng)的通道,該通道也可作為專線的備份鏈路,并且從節(jié)約投資的角度,甚至可以用互聯(lián)網(wǎng)通道取代專線,降低系統(tǒng)總體成本。
      山石安全網(wǎng)關(guān)支持的IPSEC VPN技術(shù),可以在互聯(lián)網(wǎng)通道上提供安全保護(hù),數(shù)據(jù)傳輸過程中采用加密、完整性校驗(yàn)措施,保障了數(shù)據(jù)的安全性。【實(shí)現(xiàn)安全移動(dòng)辦公】
      通過SSL VPN解決了遠(yuǎn)程辦公的安全隱患,使移動(dòng)人員能夠安全、可靠地訪問企業(yè)網(wǎng)資源。
      / 42
      第二篇:企業(yè)網(wǎng)絡(luò)信息安全解決方案
      企業(yè)網(wǎng)絡(luò)信息安全解決方案
      一、信息安全化定義
      企業(yè)信息安全管理即針對(duì)當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施,保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞,為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實(shí)性、可用性、不可否認(rèn)性服務(wù)。簡而言之,使非法者看不了、改不了信息,系統(tǒng)癱不了、信息假不了、行為賴不了。
      二、企業(yè)信息安全管理現(xiàn)狀
      當(dāng)前企業(yè)在信息安全管理中普遍面臨的問題:
      (1)缺乏來自法律規(guī)范的推動(dòng)力和約束;
      (2)安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御,沒有做前期的預(yù)防,而是出現(xiàn)問題才去想補(bǔ)救的辦法,不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法;
      (3)重視安全技術(shù),忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資,而相應(yīng)的管理水平、手段沒有體現(xiàn),包括管理的技術(shù)和流程,以及員工的管理;
      (4)在安全管理中不夠重視人的因素;(5)缺乏懂得管理的信息安全技術(shù)人員;
      (6)企業(yè)安全意識(shí)不強(qiáng),員工接受的教育和培訓(xùn)不夠。
      三、企業(yè)信息安全管理產(chǎn)品
      建立完善的企業(yè)信息安全管理系統(tǒng),必須內(nèi)外兼修,一方面要防止外部入侵,另一方面也要防范內(nèi)部人員泄密可能。所以在選擇企業(yè)信息安全管理產(chǎn)品時(shí),必須是一個(gè)完整的體系結(jié)構(gòu)。目前,在市場上比較流行,而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類:用戶身份認(rèn)證,如靜態(tài)密碼、動(dòng)態(tài)密碼(短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌)、USB KEY、IC卡、數(shù)字證書、指紋虹膜等。
      防火墻
      即訪問控制系統(tǒng),它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙,阻止外界對(duì)內(nèi)部資源的非法訪問,防止內(nèi)部對(duì)外部的不安全訪問。但它其本身可能存在安全問題,也可能會(huì)是一個(gè)潛在的瓶頸。
      安全路由器
      由于WAN連接需要專用的路由器設(shè)備,因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。
      安全服務(wù)器
      安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩C軉栴},其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制,對(duì)局域網(wǎng)內(nèi)用戶的管理,以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。
      安全管理中心
      由于網(wǎng)上的安全產(chǎn)品較多,且分布在不同的位置,這就需要建立一套集中管理的機(jī)制和設(shè)備,即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰,監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài),負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。
      入侵檢測系統(tǒng)(IDS)
      入侵檢測,作為傳統(tǒng)保護(hù)機(jī)制(比如訪問控制,身份識(shí)別等)的有效補(bǔ)充,形成了信息系統(tǒng)中不可或缺的反饋鏈。
      入侵防御系統(tǒng)(IPS)
      入侵防御,入侵防御系統(tǒng)作為IDS很好的補(bǔ)充,是信息安全發(fā)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。
      安全數(shù)據(jù)庫
      由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi),有些信息是有價(jià)值的,也是敏感的,需要保護(hù)。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識(shí)別等。
      數(shù)據(jù)容災(zāi)設(shè)備
      數(shù)據(jù)容災(zāi)作為一個(gè)重要的企業(yè)信息安全管理體系中的一個(gè)重要補(bǔ)救措施,在整個(gè)企業(yè)信息安全管理體系中有著舉足輕重的作用。數(shù)據(jù)容災(zāi)設(shè)備包括數(shù)據(jù)恢復(fù)設(shè)備、數(shù)據(jù)復(fù)制設(shè)備、數(shù)據(jù)銷毀設(shè)備等。目前應(yīng)用較多的數(shù)據(jù)容災(zāi)設(shè)備包括效率源HD Doctor、Data Compass數(shù)據(jù)指南針、Data Copy King硬盤復(fù)制機(jī)、開盤機(jī)等。
      編輯本段企業(yè)信息安全管理對(duì)策 1.網(wǎng)絡(luò)管理
      一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離, 因而與互聯(lián)網(wǎng)相比, 其安全性較高, 但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題, 具體而言:
      (1)在IP 資源管理方面, 采用IP MAC 捆綁的技術(shù)手段防止用戶隨意更改IP 地址和隨意更換交換機(jī)上的端口。這分兩種情況實(shí)現(xiàn), 第一種情況是如果客戶機(jī)連在支持網(wǎng)管的交換機(jī)上的, 可以通過網(wǎng)管中心的管理軟件, 對(duì)該交換機(jī)遠(yuǎn)程實(shí)施Port Security 策略, 將客戶端網(wǎng)卡MAC 地址固定綁在相應(yīng)端口上。第二種情況是如果客戶機(jī)連接的交換機(jī)或集線器不支持網(wǎng)管, 則可以通過Web 網(wǎng)頁調(diào)用一個(gè)程序, 通過該程序把MAC 地址和IP 地址捆綁在一起。這樣, 就不會(huì)出現(xiàn)IP 地址被盜用而不能正常使用網(wǎng)絡(luò)的情況。
      (2)在網(wǎng)絡(luò)流量監(jiān)測方面, 可使用網(wǎng)絡(luò)監(jiān)測軟件對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計(jì), 查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬, 防止頻繁進(jìn)行大文件的傳輸, 甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。
      2.服務(wù)器管理
      常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為Windows 系列,服務(wù)器的管理包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略。服務(wù)器安全審核是網(wǎng)管日常工作項(xiàng)目之一, 審核的范圍包括安全漏洞檢查、日志分析、補(bǔ)丁安裝情況檢查等, 審核的對(duì)象可以是DC、Exchange Server、SQL Server、IIS 等。
      在組策略實(shí)施時(shí), 如果想使用軟件限制策略, 即哪些客戶不能使用哪個(gè)軟件, 則需要把操作系統(tǒng)升級(jí)到Windows 2003 Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分, 系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序, 制定一個(gè)合理的備份策略, 如每周日晚上做一次完全備份, 然后周一到周五晚上做增量備份或差額備份;定期對(duì)服務(wù)器備份工作情況等。
      3.客戶端管理
      對(duì)大多數(shù)單位的網(wǎng)管來說, 客戶端的管理都是最頭痛的問題, 只有得力的措施才能解決這個(gè)問題, 這里介紹以下幾種方法:
      1)將客戶端都加入到域中, 這一點(diǎn)很重要, 因?yàn)橹挥羞@樣, 客戶端才能納入管理員集中管理的范圍。
      2)只給用戶以普通域用戶的身份登錄到域, 因?yàn)槠胀ㄓ蛴脩舨粚儆诒镜谹dministrators 和Power Users 組, 這樣就可以限制他們在本地計(jì)算機(jī)上安裝大多數(shù)軟件(某些軟件普通用戶也可以安裝)。當(dāng)然為了便于用戶工作, 應(yīng)通過本地安全策略, 授予他們“關(guān)機(jī)”和“修改系統(tǒng)時(shí)間”等權(quán)利。
      3)實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。4)實(shí)現(xiàn)客戶端防病毒軟件的自動(dòng)更新。
      5)利用SMS 對(duì)客戶端進(jìn)行不定期監(jiān)控, 發(fā)現(xiàn)不正常情況及時(shí)處理。
      4.數(shù)據(jù)備份與數(shù)據(jù)加密
      由于應(yīng)用系統(tǒng)的加入, 各種數(shù)據(jù)庫日趨增長, 如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失, 是當(dāng)前面臨的一個(gè)難題。這里介紹四種解決方法: 第一種解決辦法是用磁帶機(jī)或硬盤進(jìn)行數(shù)據(jù)備份。該辦法價(jià)格最低, 保存性最強(qiáng), 不足之處是備份的只是某個(gè)時(shí)間點(diǎn)。第二種方案是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。第三種方案是采用雙機(jī)容錯(cuò)方式, 兩臺(tái)機(jī)器系統(tǒng)相互備份, 應(yīng)用層數(shù)據(jù)全部放在共享的磁盤陣列柜中, 這種方式能解決單機(jī)故障或宕機(jī)的問題, 同時(shí)又能防止單個(gè)硬盤故障導(dǎo)致的數(shù)據(jù)丟失, 但前期投資較大。第四種方案是采用NAS 或SAN 來實(shí)現(xiàn)各服務(wù)器的集中區(qū)域存儲(chǔ), 實(shí)現(xiàn)較高級(jí)別的磁盤等硬件故障的數(shù)據(jù)備份, 但是成本較高, 一般不能防止系統(tǒng)層的故障, 如感染病毒或系統(tǒng)崩潰??紤]到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況, 如物理地“取走”數(shù)據(jù)庫, 在通信線路上竊聽截獲。對(duì)這樣的威脅最有效的解決方法就是數(shù)據(jù)加密, 即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰, 通過加密設(shè)備或算法, 將信息加密后發(fā)送出去。接收方在收到密文后, 用解密密鑰將密文解密, 恢復(fù)為明文。如果傳輸中有人竊取,他只能得到無法理解的密文, 從而對(duì)信息起到保密作用。
      5.病毒防治
      對(duì)防病毒軟件的要求是: 能支持多種平臺(tái), 至少是在Windows 系列操作系統(tǒng)上都能運(yùn)行;能提供中心管理工具, 對(duì)各類服務(wù)器和工作站統(tǒng)一管理和控制;在軟件安裝、病毒代碼升級(jí)等方面, 可通過服務(wù)器直接進(jìn)行分發(fā), 盡可能減少客戶端維護(hù)工作量;病毒代碼的升級(jí)要迅速有效。在實(shí)施過程中, 本單位以一臺(tái)服務(wù)器作為中央控制一級(jí)服務(wù)器, 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)和監(jiān)控, 并使用其中有效的管理功能, 如: 管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、強(qiáng)制對(duì)遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下, 一級(jí)服務(wù)器病毒代碼庫升級(jí)后半分鐘內(nèi), 客戶端的病毒代碼庫也進(jìn)行了同步更新。
      四、企業(yè)網(wǎng)絡(luò)、信息安全解決方案 1)大型企業(yè)
      大型企業(yè)部門林立,相當(dāng)一部分會(huì)在外地有分支機(jī)構(gòu),業(yè)務(wù)系統(tǒng)普遍采用建設(shè)虛擬專網(wǎng)的方式,起到外部分支訪問總部數(shù)據(jù)的通道和安全加密作用。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備基本都已經(jīng)部署,比如防火墻,可以把企業(yè)訪問互聯(lián)網(wǎng)的風(fēng)險(xiǎn)降低,但是大型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于惡意的攻擊行為和企業(yè)員工有意、無意的操作行為,致使業(yè)務(wù)系統(tǒng)不能正常使用,或者機(jī)密數(shù)據(jù)外泄,對(duì)企業(yè)的網(wǎng)絡(luò)安全,信息保密造成很大的威脅,擁有功能強(qiáng)大的上網(wǎng)行為管理設(shè)備、入侵檢測系統(tǒng)和防泄密系統(tǒng)能有效杜絕各個(gè)環(huán)節(jié)可能出現(xiàn)的不安全隱患,保障業(yè)務(wù)系統(tǒng)的政策正常安全運(yùn)行和企業(yè)機(jī)密數(shù)據(jù)的安全。
      建議大型企業(yè)在網(wǎng)絡(luò)中部署:防火墻、IDS、上網(wǎng)行為管理、防泄密系統(tǒng)、VPN、安全服務(wù)器等。
      2)中型企業(yè)
      中型企業(yè)基本已具備完整的網(wǎng)絡(luò)體系,但是企業(yè)的信息化技術(shù)力量相對(duì)大型企業(yè)可能薄弱一點(diǎn),對(duì)于員工的上網(wǎng)行為和電腦操作行為可能要求得不會(huì)太嚴(yán)格,即使向員工制定了一定的管理制度,也會(huì)在制度的執(zhí)行過程中因?yàn)槿藶榈囊蛩囟兂梢患埧瘴模杂糜布O(shè)備來保障和規(guī)范網(wǎng)絡(luò)、信息的安全尤為重要,中型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于外網(wǎng)的攻擊、內(nèi)部網(wǎng)絡(luò)使用的不規(guī)范導(dǎo)致的木馬、病毒等安全威脅。
      建議中型企業(yè)部署:防火墻、IDS、路由器、上網(wǎng)行為管理、防泄密系統(tǒng)等。
      3)小型企業(yè)
      小型企業(yè)在人員規(guī)模、基礎(chǔ)建設(shè)、資金實(shí)力等方面都相對(duì)落后于大中型企業(yè),但是在發(fā)展階段的小型企業(yè),對(duì)網(wǎng)絡(luò)、信息的安全問題同樣不能忽視,目前各式各樣的聊天工具、視頻網(wǎng)站、網(wǎng)游、P2P下載等,都會(huì)直接影響到員工的工作效率,并且占用了大部分的帶寬,使得業(yè)務(wù)系統(tǒng)和正常的工作無法得到保障,且小型企業(yè)一般不會(huì)配置專業(yè)的網(wǎng)管人員,這就是有的小型企業(yè)配置了好的電腦,夠用的寬帶,但是仍然有大部分員工一直抱怨總是不能上網(wǎng),或者上網(wǎng)太慢,郵件發(fā)不出去等問題。從綜合實(shí)力來講,小型企業(yè)在網(wǎng)絡(luò)、信息安全方面的投入會(huì)比較有限,建議企業(yè)配置中低端的安全設(shè)備,防火墻,上網(wǎng)行為管理,以研發(fā)和設(shè)計(jì)為主的企業(yè)對(duì)于防泄密系統(tǒng)的部署還是有必要的。
      第三篇:企業(yè)網(wǎng)絡(luò)建設(shè)整體解決方案
      大型企業(yè)網(wǎng)絡(luò)工程解決方案,本方案是一個(gè)典型的實(shí)際工程可以根據(jù)需要和可能,參照此方案靈活應(yīng)用。
      一、企業(yè)網(wǎng)絡(luò)設(shè)計(jì)(1)主干網(wǎng)設(shè)計(jì)
      采用千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)技術(shù)特點(diǎn)是具有高速數(shù)據(jù)傳輸帶寬,基本能滿足高速交換及多媒體對(duì)服務(wù)質(zhì)量的要求。易于網(wǎng)絡(luò)升級(jí)、易于維護(hù)、易于管理,具有良好的價(jià)格比。
      傳輸介質(zhì)。千兆傳輸距離500m以內(nèi)采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時(shí)采用9/125單模光纜;百兆傳輸距離2000m以內(nèi)采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
      交換機(jī)。主干交換機(jī)的基本要求:機(jī)箱式結(jié)構(gòu),便于擴(kuò)展;支持多種網(wǎng)絡(luò)方式,如快速以太網(wǎng)、千兆以太網(wǎng)等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應(yīng)用;高可靠性設(shè)計(jì),如多電源/管理模塊、熱插拔;豐富的可管理能力等。
      中心機(jī)房配置企業(yè)級(jí)交換機(jī)作為網(wǎng)絡(luò)中心交換機(jī)。為實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng),在中心交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊。主干各結(jié)點(diǎn)采用1000Mbps連接,服務(wù)器采用雙網(wǎng)卡鏈路聚合200Mbps連接,客戶采用交換式10/1000Mbps連接。(2)樓宇內(nèi)局域網(wǎng)設(shè)計(jì)
      要求采用支持802.1Q的10/100Mbps工作組以太網(wǎng)交換機(jī),交換機(jī)的數(shù)據(jù)依據(jù)用戶端口數(shù)、可靠性及網(wǎng)管要求配置網(wǎng)絡(luò)接入交換機(jī),使10/100Mbps流量接至桌面。(3)接入Internet設(shè)計(jì)
      Internet接入系統(tǒng)由位于網(wǎng)絡(luò)中心的非軍事區(qū)(DMZ)交換機(jī)、WWW服務(wù)、E-mail服務(wù)、防火墻、路由器、Internet光纖接入組成。(4)虛擬局域網(wǎng)VLAN設(shè)計(jì)
      通過VLAN將相同業(yè)務(wù)的用戶劃分在一個(gè)邏輯子網(wǎng)內(nèi),既可以防止不同業(yè)務(wù)的用戶非法監(jiān)聽保密信息、又可隔離廣播風(fēng)暴。不同子網(wǎng)的通信采用三層路由交換完成。
      各工作組交換機(jī)采用基于端口的VLAN劃分策略,劃分出多個(gè)不同的VLAN組,分隔廣播域。每個(gè)VLAN是一個(gè)子網(wǎng),由子網(wǎng)中信息點(diǎn)的數(shù)量確定子網(wǎng)的大小。
      同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設(shè)置802.1Q協(xié)議,設(shè)置通信干道(Truck),將每個(gè)VLAN的數(shù)據(jù)流量添加標(biāo)記,轉(zhuǎn)發(fā)到主干交換機(jī)上實(shí)現(xiàn)網(wǎng)絡(luò)多層交換。(5)虛擬專用網(wǎng)VPN設(shè)計(jì)
      如果公司跨地區(qū)經(jīng)營,自己鋪設(shè)專線不劃算,可以通過Internet采用VPN數(shù)據(jù)加密技術(shù),構(gòu)成企業(yè)內(nèi)部虛擬專用網(wǎng)。(6)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。這部分待續(xù)
      二、網(wǎng)絡(luò)安全性設(shè)計(jì)
      網(wǎng)絡(luò)系統(tǒng)的可靠與安全問題:
      a.物理信息安全,主要防止物理通路的損壞和對(duì)物理通路的攻擊(干擾等)。
      b.鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被GG。主要采用劃分VLAN、加密通信等手段。
      c.網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免被攔截或監(jiān)聽。
      d.操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全,同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。
      e.應(yīng)用平臺(tái)的安全要求保證應(yīng)用軟件服務(wù),如數(shù)據(jù)庫服務(wù)、電子郵件服務(wù)器、Web服務(wù)器、ERP服務(wù)器的安全。
      (1)物理安全
      機(jī)房要上鎖,出入人員要嚴(yán)加限制。注意不可讓人從天花板、窗戶進(jìn)入房間。
      機(jī)房電力要充足、制冷要合適,環(huán)境要清潔。
      從工作站到配線柜的配線應(yīng)該布在偷聽設(shè)備接觸不到的地方。配線不應(yīng)該直接布在地板或天花板上,而應(yīng)該隱藏在線槽或其他管道里。
      應(yīng)該包括諸如火災(zāi)、水災(zāi)等自然災(zāi)害后的恢復(fù)流程。如美國911世貿(mào)中心崩塌,大多數(shù)公司的數(shù)據(jù)得不到恢復(fù)。
      (2)防火墻
      防火墻應(yīng)具管理簡單、功能先進(jìn)等特點(diǎn),并且能夠保證對(duì)所有系統(tǒng)實(shí)施“防彈”保護(hù)。一個(gè)優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護(hù)、靈活的部署、非軍事區(qū)(DMZ)范圍的保護(hù)、TCP狀態(tài)提醒、包過濾技術(shù)、TCP/IP堆棧保護(hù)、網(wǎng)絡(luò)地址翻譯、VPN等功能。
      (3)網(wǎng)絡(luò)病毒
      在網(wǎng)絡(luò)中心主機(jī)安裝一臺(tái)網(wǎng)絡(luò)病毒控制中心服務(wù)器,該服務(wù)器既要與Internet相連,又要與企業(yè)內(nèi)網(wǎng)相連。該服務(wù)器通過Internet每每更病毒代碼及相關(guān)文件,企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、客戶時(shí)刻處于網(wǎng)絡(luò)病毒控制中心服務(wù)的監(jiān)控下,更新本機(jī)的病毒代碼庫及相文件,對(duì)計(jì)算機(jī)的所有文件和內(nèi)存實(shí)施動(dòng)態(tài)、實(shí)時(shí)、定時(shí)等多種病毒防殺策略,以確保網(wǎng)絡(luò)系統(tǒng)安全。
      (4)網(wǎng)絡(luò)容錯(cuò)
      集群技術(shù)。一個(gè)服務(wù)器集群包含多臺(tái)擁有共享數(shù)據(jù)存儲(chǔ)空間的服務(wù)器,各服務(wù)器之間通過內(nèi)部局域網(wǎng)進(jìn)行相互通信。當(dāng)其中一臺(tái)服務(wù)器發(fā)生故障時(shí),它所運(yùn)行的應(yīng)用程序?qū)⒂善渌姆?wù)器自動(dòng)接管。在大多數(shù)情況下,集群中所有的計(jì)算機(jī)都擁有一個(gè)共同的名稱,集群系統(tǒng)內(nèi)任意一臺(tái)服務(wù)器都可被所有的網(wǎng)絡(luò)用戶所使用。
      (5)安全備份與災(zāi)難恢復(fù)
      企業(yè)信息管理最重要的資產(chǎn)不是網(wǎng)絡(luò)硬件,而是網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)。
      理想的備份系統(tǒng)是在軟件備份的基礎(chǔ)上增加硬件容錯(cuò)系統(tǒng),使網(wǎng)絡(luò)更加安全可靠。實(shí)際上,備份不僅僅是文件備份,而是整個(gè)網(wǎng)絡(luò)的一套備份體系。備份應(yīng)包括文件備份和恢復(fù),數(shù)據(jù)庫備份和恢復(fù)、系統(tǒng)災(zāi)難恢復(fù)和備份任務(wù)管理。
      (6)網(wǎng)絡(luò)入侵檢測、報(bào)警、審計(jì)技術(shù)
      入侵檢測系統(tǒng)(IDS-Intrusin Detection System)執(zhí)行的主要任務(wù)包括:監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng),識(shí)別用戶違反安全策略的行為。
      常見的IDS產(chǎn)品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等。
      (7)局域網(wǎng)信息的安全保護(hù)技術(shù)
      密碼采用9位以上,每周修改1次
      采用多層交換網(wǎng)絡(luò)的虛擬網(wǎng)劃分技術(shù),防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)
      采用NTFS磁盤分區(qū)加密技術(shù),使網(wǎng)上鄰居只能是信任用戶
      采用Windows域控制技術(shù),對(duì)網(wǎng)絡(luò)資源實(shí)行統(tǒng)一管理
      采用SAN(Storage Area Network存儲(chǔ)區(qū)域網(wǎng)絡(luò))與NAS(Network Attached Storage網(wǎng)絡(luò)連接存儲(chǔ))保護(hù)數(shù)據(jù)。
      SAN技術(shù)允許將獨(dú)立的存儲(chǔ)設(shè)備連接至一臺(tái)或多臺(tái)服務(wù)器,專用于服務(wù)器,而服務(wù)器則控制了網(wǎng)絡(luò)其他部分對(duì)它的訪問。
      NAS將存儲(chǔ)設(shè)備直接連接至網(wǎng)絡(luò),使網(wǎng)絡(luò)中的用戶和網(wǎng)絡(luò)服務(wù)器可以共享此設(shè)備,網(wǎng)絡(luò)對(duì)存儲(chǔ)設(shè)備的訪問則由文件管理器這一類設(shè)備進(jìn)行管理。
      利用SAN結(jié)合集群技術(shù)提高系統(tǒng)可靠性、可擴(kuò)充性和抗災(zāi)難性;利用NAS文件服務(wù)統(tǒng)一存放管理全公司桌面系統(tǒng)數(shù)據(jù)。
      (8)網(wǎng)絡(luò)代理
      采用Proxy對(duì)訪問Internet實(shí)行統(tǒng)一監(jiān)控。限制用戶訪問的時(shí)間、訪問的內(nèi)容、訪問的網(wǎng)址、訪問的協(xié)議等等,同時(shí)對(duì)用戶的訪問進(jìn)行審計(jì)。
      (9)郵件過濾技術(shù)。
      采用具有過濾技術(shù)郵件管理系統(tǒng),一般是針對(duì)“主題詞”、“關(guān)鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
      (10)重視網(wǎng)絡(luò)安全的教育,提高安全意識(shí)。
      三、綜合布線與機(jī)房設(shè)計(jì)
      1.把服務(wù)器、UPS、防火墻、路由器及中心交換機(jī)放置在中心機(jī)房,把各子系統(tǒng)的配線柜設(shè)置在各子系統(tǒng)所在的樓層。
      2.樓宇間光纜敷設(shè)
      采用4芯以上的單?;蚨嗄J彝饨饘俟饫|架空或埋地敷設(shè)。
      3.樓宇內(nèi)UTP布線
      采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實(shí)現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線。
      4.機(jī)房裝修
      (1)地板。鋪設(shè)抗靜電三防地板,規(guī)格600*600*27,板面標(biāo)高0.20m,地板應(yīng)符合GB6650-82《計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件》
      (2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
      (3)墻面。涂刮防防瓷、墻壁面刷乳膠漆。
      (4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
      (5)出入門。安裝鋁合金玻璃隔斷推拉門。
      (6)照明。采用高效格柵雙管日光燈嵌入安裝。
      (7)配電。機(jī)房配電采用三相五線制,多種電源(動(dòng)力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調(diào)機(jī)、照明等供電。配電箱設(shè)有空氣開關(guān),線路全部用銅芯穿PVC管。
      (8)接地。根據(jù)要求設(shè)計(jì)接地系統(tǒng),其直流接地電阻小于1Ω、工作保護(hù)地和防雷地接地電阻小于4Ω。為保證優(yōu)良的接地性能,采用JD—1型接地和化學(xué)降阻劑,此外,考慮機(jī)房抗靜電的需求,對(duì)抗靜電活動(dòng)地板進(jìn)行可靠的接地處理,以保證設(shè)備和工作人員的安全要求。
      (9)空調(diào)。主機(jī)房3P柜機(jī);分機(jī)房1.5壁掛式空調(diào)機(jī)。
      5.UPS后備電源。
      采用分散保護(hù),集中管理電源的策略,考慮APC公司提供的電源解決方案。
      四、企業(yè)網(wǎng)應(yīng)用系統(tǒng)
      1.應(yīng)用服務(wù)器。IBM服務(wù)器首選,當(dāng)然,也可以采用高檔PC機(jī),PC機(jī)的優(yōu)點(diǎn)是便于更新?lián)Q代。
      2.軟件平臺(tái)。采用Windows 2003(主要使用Domain域控制器,集成DNS服務(wù)),Redhat 9.0,Solaris 9.0(在unix/linux上運(yùn)行Oracle數(shù)據(jù)庫,SAP/R3系統(tǒng),基于Lotus Domino/Notes的OA系統(tǒng))
      3.數(shù)據(jù)庫系統(tǒng)。采用Oracle大型數(shù)據(jù)庫,或SQL Server2000數(shù)據(jù)庫。
      4.OA辦公系統(tǒng)?;贚otus Domino/Notes的OA系統(tǒng),Lotus Domino集成Email/HTTP等服務(wù)。
      5.企業(yè)管理綜合軟件ERP。采用SAP/R3系統(tǒng),一步解決未來企業(yè)國際化問題;或是用友ERP—U8系統(tǒng)。
      6.網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)。
      五、網(wǎng)絡(luò)系統(tǒng)管理
      1.交換機(jī)、路由器管理。設(shè)備均是Cisco產(chǎn)品,使用Cisco Works 2000。
      2.網(wǎng)絡(luò)綜合管理。HP OpenView集成網(wǎng)絡(luò)管理和系統(tǒng)管理。OpenView 實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)作從被動(dòng)無序到主動(dòng)控制的過渡,使IT部門及時(shí)了解整個(gè)網(wǎng)絡(luò)當(dāng)前的真實(shí)狀況,實(shí)現(xiàn)主動(dòng)控制。OpenView系統(tǒng)產(chǎn)品包括了統(tǒng)一管理平臺(tái)、全面的服務(wù)和資產(chǎn)管理、網(wǎng)絡(luò)安全、服務(wù)質(zhì)量保障、故障自動(dòng)監(jiān)測和處理、設(shè)備搜索、網(wǎng)絡(luò)存儲(chǔ)、智能代理、Internet環(huán)境的開放式服務(wù)等豐富的功能特性。
      3.桌面系統(tǒng)管理。LanDesk工作站配置和管理工具,利用它的遠(yuǎn)程控制、遠(yuǎn)程軟件分發(fā)和軟件計(jì)量功能可以節(jié)省大量的時(shí)間。本方案是一個(gè)典型的大型企業(yè)網(wǎng)絡(luò)工程解決方案,實(shí)際工程可以根據(jù)需要和可能,參照此方案靈活應(yīng)用。
      一、企業(yè)網(wǎng)絡(luò)設(shè)計(jì)
      (1)主干網(wǎng)設(shè)計(jì)
      采用千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)技術(shù)特點(diǎn)是具有高速數(shù)據(jù)傳輸帶寬,基本能滿足高速交換及多媒體對(duì)服務(wù)質(zhì)量的要求。易于網(wǎng)絡(luò)升級(jí)、易于維護(hù)、易于管理,具有良好的價(jià)格比。
      傳輸介質(zhì)。千兆傳輸距離500m以內(nèi)采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時(shí)采用9/125單模光纜;百兆傳輸距離2000m以內(nèi)采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
      交換機(jī)。主干交換機(jī)的基本要求:機(jī)箱式結(jié)構(gòu),便于擴(kuò)展;支持多種網(wǎng)絡(luò)方式,如快速以太網(wǎng)、千兆以太網(wǎng)等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應(yīng)用;高可靠性設(shè)計(jì),如多電源/管理模塊、熱插拔;豐富的可管理能力等。
      中心機(jī)房配置企業(yè)級(jí)交換機(jī)作為網(wǎng)絡(luò)中心交換機(jī)。為實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng),在中心交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊。主干各結(jié)點(diǎn)采用1000Mbps連接,服務(wù)器采用雙網(wǎng)卡鏈路聚合200Mbps連接,客戶采用交換式10/1000Mbps連接。
      (2)樓宇內(nèi)局域網(wǎng)設(shè)計(jì)
      要求采用支持802.1Q的10/100Mbps工作組以太網(wǎng)交換機(jī),交換機(jī)的數(shù)據(jù)依據(jù)用戶端口數(shù)、可靠性及網(wǎng)管要求配置網(wǎng)絡(luò)接入交換機(jī),使10/100Mbps流量接至桌面。
      (3)接入Internet設(shè)計(jì)
      Internet接入系統(tǒng)由位于網(wǎng)絡(luò)中心的非軍事區(qū)(DMZ)交換機(jī)、WWW服務(wù)、E-mail服務(wù)、防火墻、路由器、Internet光纖接入組成。
      (4)虛擬局域網(wǎng)VLAN設(shè)計(jì)
      通過VLAN將相同業(yè)務(wù)的用戶劃分在一個(gè)邏輯子網(wǎng)內(nèi),既可以防止不同業(yè)務(wù)的用戶非法監(jiān)聽保密信息、又可隔離廣播風(fēng)暴。不同子網(wǎng)的通信采用三層路由交換完成。
      各工作組交換機(jī)采用基于端口的VLAN劃分策略,劃分出多個(gè)不同的VLAN組,分隔廣播域。每個(gè)VLAN是一個(gè)子網(wǎng),由子網(wǎng)中信息點(diǎn)的數(shù)量確定子網(wǎng)的大小。
      同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設(shè)置802.1Q協(xié)議,設(shè)置通信干道(Truck),將每個(gè)VLAN的數(shù)據(jù)流量添加標(biāo)記,轉(zhuǎn)發(fā)到主干交換機(jī)上實(shí)現(xiàn)網(wǎng)絡(luò)多層交換。
      (5)虛擬專用網(wǎng)VPN設(shè)計(jì)
      如果公司跨地區(qū)經(jīng)營,自己鋪設(shè)專線不劃算,可以通過Internet采用VPN數(shù)據(jù)加密技術(shù),構(gòu)成企業(yè)內(nèi)部虛擬專用網(wǎng)。
      (6)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。這部分待續(xù)
      二、網(wǎng)絡(luò)安全性設(shè)計(jì)
      網(wǎng)絡(luò)系統(tǒng)的可靠與安全問題:
      a.物理信息安全,主要防止物理通路的損壞和對(duì)物理通路的攻擊(干擾等)。
      b.鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被GG。主要采用劃分VLAN、加密通信等手段。
      c.網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免被攔截或監(jiān)聽。
      d.操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全,同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。
      e.應(yīng)用平臺(tái)的安全要求保證應(yīng)用軟件服務(wù),如數(shù)據(jù)庫服務(wù)、電子郵件服務(wù)器、Web服務(wù)器、ERP服務(wù)器的安全。
      (1)物理安全
      機(jī)房要上鎖,出入人員要嚴(yán)加限制。注意不可讓人從天花板、窗戶進(jìn)入房間。
      機(jī)房電力要充足、制冷要合適,環(huán)境要清潔。
      從工作站到配線柜的配線應(yīng)該布在偷聽設(shè)備接觸不到的地方。配線不應(yīng)該直接布在地板或天花板上,而應(yīng)該隱藏在線槽或其他管道里。
      應(yīng)該包括諸如火災(zāi)、水災(zāi)等自然災(zāi)害后的恢復(fù)流程。如美國911世貿(mào)中心崩塌,大多數(shù)公司的數(shù)據(jù)得不到恢復(fù)。
      (2)防火墻
      防火墻應(yīng)具管理簡單、功能先進(jìn)等特點(diǎn),并且能夠保證對(duì)所有系統(tǒng)實(shí)施“防彈”保護(hù)。一個(gè)優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護(hù)、靈活的部署、非軍事區(qū)(DMZ)范圍的保護(hù)、TCP狀態(tài)提醒、包過濾技術(shù)、TCP/IP堆棧保護(hù)、網(wǎng)絡(luò)地址翻譯、VPN等功能。
      (3)網(wǎng)絡(luò)病毒
      在網(wǎng)絡(luò)中心主機(jī)安裝一臺(tái)網(wǎng)絡(luò)病毒控制中心服務(wù)器,該服務(wù)器既要與Internet相連,又要與企業(yè)內(nèi)網(wǎng)相連。該服務(wù)器通過Internet每每更病毒代碼及相關(guān)文件,企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、客戶時(shí)刻處于網(wǎng)絡(luò)病毒控制中心服務(wù)的監(jiān)控下,更新本機(jī)的病毒代碼庫及相文件,對(duì)計(jì)算機(jī)的所有文件和內(nèi)存實(shí)施動(dòng)態(tài)、實(shí)時(shí)、定時(shí)等多種病毒防殺策略,以確保網(wǎng)絡(luò)系統(tǒng)安全。
      (4)網(wǎng)絡(luò)容錯(cuò)
      集群技術(shù)。一個(gè)服務(wù)器集群包含多臺(tái)擁有共享數(shù)據(jù)存儲(chǔ)空間的服務(wù)器,各服務(wù)器之間通過內(nèi)部局域網(wǎng)進(jìn)行相互通信。當(dāng)其中一臺(tái)服務(wù)器發(fā)生故障時(shí),它所運(yùn)行的應(yīng)用程序?qū)⒂善渌姆?wù)器自動(dòng)接管。在大多數(shù)情況下,集群中所有的計(jì)算機(jī)都擁有一個(gè)共同的名稱,集群系統(tǒng)內(nèi)任意一臺(tái)服務(wù)器都可被所有的網(wǎng)絡(luò)用戶所使用。
      (5)安全備份與災(zāi)難恢復(fù)
      企業(yè)信息管理最重要的資產(chǎn)不是網(wǎng)絡(luò)硬件,而是網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)。
      理想的備份系統(tǒng)是在軟件備份的基礎(chǔ)上增加硬件容錯(cuò)系統(tǒng),使網(wǎng)絡(luò)更加安全可靠。實(shí)際上,備份不僅僅是文件備份,而是整個(gè)網(wǎng)絡(luò)的一套備份體系。備份應(yīng)包括文件備份和恢復(fù),數(shù)據(jù)庫備份和恢復(fù)、系統(tǒng)災(zāi)難恢復(fù)和備份任務(wù)管理。
      (6)網(wǎng)絡(luò)入侵檢測、報(bào)警、審計(jì)技術(shù)
      入侵檢測系統(tǒng)(IDS-Intrusin Detection System)執(zhí)行的主要任務(wù)包括:監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng),識(shí)別用戶違反安全策略的行為。
      常見的IDS產(chǎn)品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等。
      (7)局域網(wǎng)信息的安全保護(hù)技術(shù)
      密碼采用9位以上,每周修改1次
      采用多層交換網(wǎng)絡(luò)的虛擬網(wǎng)劃分技術(shù),防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)
      采用NTFS磁盤分區(qū)加密技術(shù),使網(wǎng)上鄰居只能是信任用戶
      采用Windows域控制技術(shù),對(duì)網(wǎng)絡(luò)資源實(shí)行統(tǒng)一管理
      采用SAN(Storage Area Network存儲(chǔ)區(qū)域網(wǎng)絡(luò))與NAS(Network Attached Storage網(wǎng)絡(luò)連接存儲(chǔ))保護(hù)數(shù)據(jù)。
      SAN技術(shù)允許將獨(dú)立的存儲(chǔ)設(shè)備連接至一臺(tái)或多臺(tái)服務(wù)器,專用于服務(wù)器,而服務(wù)器則控制了網(wǎng)絡(luò)其他部分對(duì)它的訪問。
      NAS將存儲(chǔ)設(shè)備直接連接至網(wǎng)絡(luò),使網(wǎng)絡(luò)中的用戶和網(wǎng)絡(luò)服務(wù)器可以共享此設(shè)備,網(wǎng)絡(luò)對(duì)存儲(chǔ)設(shè)備的訪問則由文件管理器這一類設(shè)備進(jìn)行管理。
      利用SAN結(jié)合集群技術(shù)提高系統(tǒng)可靠性、可擴(kuò)充性和抗災(zāi)難性;利用NAS文件服務(wù)統(tǒng)一存放管理全公司桌面系統(tǒng)數(shù)據(jù)。
      (8)網(wǎng)絡(luò)代理
      采用Proxy對(duì)訪問Internet實(shí)行統(tǒng)一監(jiān)控。限制用戶訪問的時(shí)間、訪問的內(nèi)容、訪問的網(wǎng)址、訪問的協(xié)議等等,同時(shí)對(duì)用戶的訪問進(jìn)行審計(jì)。
      (9)郵件過濾技術(shù)。
      采用具有過濾技術(shù)郵件管理系統(tǒng),一般是針對(duì)“主題詞”、“關(guān)鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
      (10)重視網(wǎng)絡(luò)安全的教育,提高安全意識(shí)。
      三、綜合布線與機(jī)房設(shè)計(jì)
      1.把服務(wù)器、UPS、防火墻、路由器及中心交換機(jī)放置在中心機(jī)房,把各子系統(tǒng)的配線柜設(shè)置在各子系統(tǒng)所在的樓層。
      2.樓宇間光纜敷設(shè)
      采用4芯以上的單模或多模室外金屬光纜架空或埋地敷設(shè)。
      3.樓宇內(nèi)UTP布線
      采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實(shí)現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線。
      4.機(jī)房裝修
      (1)地板。鋪設(shè)抗靜電三防地板,規(guī)格600*600*27,板面標(biāo)高0.20m,地板應(yīng)符合GB6650-82《計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件》
      (2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
      (3)墻面。涂刮防防瓷、墻壁面刷乳膠漆。
      (4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
      (5)出入門。安裝鋁合金玻璃隔斷推拉門。
      (6)照明。采用高效格柵雙管日光燈嵌入安裝。
      (7)配電。機(jī)房配電采用三相五線制,多種電源(動(dòng)力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調(diào)機(jī)、照明等供電。配電箱設(shè)有空氣開關(guān),線路全部用銅芯穿PVC管。
      (8)接地。根據(jù)要求設(shè)計(jì)接地系統(tǒng),其直流接地電阻小于1Ω、工作保護(hù)地和防雷地接地電阻小于4Ω。為保證優(yōu)良的接地性能,采用JD—1型接地和化學(xué)降阻劑,此外,考慮機(jī)房抗靜電的需求,對(duì)抗靜電活動(dòng)地板進(jìn)行可靠的接地處理,以保證設(shè)備和工作人員的安全要求。
      (9)空調(diào)。主機(jī)房3P柜機(jī);分機(jī)房1.5壁掛式空調(diào)機(jī)。
      5.UPS后備電源。
      采用分散保護(hù),集中管理電源的策略,考慮APC公司提供的電源解決方案。
      四、企業(yè)網(wǎng)應(yīng)用系統(tǒng)
      1.應(yīng)用服務(wù)器。IBM服務(wù)器首選,當(dāng)然,也可以采用高檔PC機(jī),PC機(jī)的優(yōu)點(diǎn)是便于更新?lián)Q代。
      2.軟件平臺(tái)。采用Windows 2003(主要使用Domain域控制器,集成DNS服務(wù)),Redhat 9.0,Solaris 9.0(在unix/linux上運(yùn)行Oracle數(shù)據(jù)庫,SAP/R3系統(tǒng),基于Lotus Domino/Notes的OA系統(tǒng))
      3.數(shù)據(jù)庫系統(tǒng)。采用Oracle大型數(shù)據(jù)庫,或SQL Server2000數(shù)據(jù)庫。
      4.OA辦公系統(tǒng)?;贚otus Domino/Notes的OA系統(tǒng),Lotus Domino集成Email/HTTP等服務(wù)。
      5.企業(yè)管理綜合軟件ERP。采用SAP/R3系統(tǒng),一步解決未來企業(yè)國際化問題;或是用友ERP—U8系統(tǒng)。
      6.網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)。
      五、網(wǎng)絡(luò)系統(tǒng)管理
      1.交換機(jī)、路由器管理。設(shè)備均是Cisco產(chǎn)品,使用Cisco Works 2000。
      2.網(wǎng)絡(luò)綜合管理。HP OpenView集成網(wǎng)絡(luò)管理和系統(tǒng)管理。OpenView 實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)作從被動(dòng)無序到主動(dòng)控制的過渡,使IT部門及時(shí)了解整個(gè)網(wǎng)絡(luò)當(dāng)前的真實(shí)狀況,實(shí)現(xiàn)主動(dòng)控制。OpenView系統(tǒng)產(chǎn)品包括了統(tǒng)一管理平臺(tái)、全面的服務(wù)和資產(chǎn)管理、網(wǎng)絡(luò)安全、服務(wù)質(zhì)量保障、故障自動(dòng)監(jiān)測和處理、設(shè)備搜索、網(wǎng)絡(luò)存儲(chǔ)、智能代理、Internet環(huán)境的開放式服務(wù)等豐富的功能特性。
      3.桌面系統(tǒng)管理。LanDesk工作站配置和管理工具,利用它的遠(yuǎn)程控制、遠(yuǎn)程軟件分發(fā)和軟件計(jì)量功能可以節(jié)省大量的時(shí)間。
      第四篇:石化企業(yè)網(wǎng)絡(luò)整體解決方案
      石化企業(yè)網(wǎng)絡(luò)整體解決方案
      發(fā)揮作用
      關(guān)鍵詞:網(wǎng)絡(luò) 方案 石化企業(yè)
      隨著科技的迅猛發(fā)展,石化企業(yè)越來越廣泛地采用信息技術(shù),使其成為挖潛增效、贏得市場競爭勝利的重要途徑。網(wǎng)絡(luò)整體解決方案是石化企業(yè)信息化工程的重要基礎(chǔ)設(shè)施,其目標(biāo)是建設(shè)一個(gè)先進(jìn)、可靠、安全的信息通信平臺(tái),支
      持?jǐn)?shù)據(jù)、話音和圖像交換,實(shí)現(xiàn)傳真、圖片和電視會(huì)議等多種通信業(yè)務(wù),覆蓋所有網(wǎng)絡(luò)應(yīng)用,并具有完備的網(wǎng)絡(luò)管理系統(tǒng),能為用戶建立面向未來的信息高速公路。
      一石化企業(yè)網(wǎng)絡(luò)建設(shè)目標(biāo)
      1.石化企業(yè)流程特點(diǎn)
      石化以原油和天然氣為主要原料,生產(chǎn)出燃料、潤滑油、石蠟等產(chǎn)品,滿足社會(huì)需要,同時(shí)謀求企業(yè)最大經(jīng)濟(jì)效益。其流程是連續(xù)生產(chǎn),規(guī)模宏大,由許多內(nèi)部復(fù)雜關(guān)聯(lián)的單元操作模塊組成,單元模塊間由物料流、能量流及設(shè)備的相互連接而組成不同石化過程流程。
      2.石化企業(yè)數(shù)據(jù)分類
      石化企業(yè)網(wǎng)上數(shù)據(jù),總體上包括:工藝流程數(shù)據(jù)、油品質(zhì)量數(shù)據(jù)、油品罐存數(shù)據(jù)、公用工程數(shù)據(jù)、設(shè)備管理數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)和辦公自動(dòng)化數(shù)據(jù)等。特別是現(xiàn)場生產(chǎn)數(shù)據(jù),實(shí)時(shí)性很強(qiáng),要求較高通信速率,一般在幾秒內(nèi)刷新幾千點(diǎn)以上的實(shí)時(shí)數(shù)據(jù)。工業(yè)電視監(jiān)控系統(tǒng)視頻則要求每秒25幅畫面以上的通信速率,才能保證良好的畫面效果。
      3.光纜覆蓋企業(yè)全部區(qū)域
      到目前為止,石化企業(yè)的計(jì)算機(jī)應(yīng)用,一般都走過了起步、探索和發(fā)展3個(gè)階段,經(jīng)歷了單項(xiàng)開發(fā)、微機(jī)局域網(wǎng)和管理信息系統(tǒng)建設(shè)3個(gè)過程。在此基礎(chǔ)上的網(wǎng)絡(luò)整體解決方案,光纜敷設(shè)一定要覆蓋企業(yè)全部區(qū)域,才能充分發(fā)揮出計(jì)算機(jī)信息系統(tǒng)在企業(yè)生產(chǎn)經(jīng)營和管理決策上實(shí)實(shí)在在的重要作用,使企業(yè)管理模式有一個(gè)較大變革。
      4.完成生產(chǎn)和管理各項(xiàng)服務(wù)職能
      石化企業(yè)網(wǎng)絡(luò)建設(shè)目的,是搭建信息應(yīng)用平臺(tái),為生產(chǎn)和管理構(gòu)造一個(gè)適應(yīng)競爭發(fā)展的模式,最大限度提高經(jīng)濟(jì)效益。在這個(gè)宏觀思想指導(dǎo)下,所建立起來的網(wǎng)絡(luò)系統(tǒng)須能支持完成生產(chǎn)和管理各項(xiàng)服務(wù)職能,如生產(chǎn)管理、工藝管理、計(jì)劃管理、計(jì)量管理、財(cái)務(wù)管理、設(shè)備管理、儲(chǔ)運(yùn)管理、工程管理、銷售管理、工業(yè)電視、視頻會(huì)議、流程模擬、過程控制優(yōu)化、電子商務(wù)、辦公自動(dòng)化和決策支持等。
      5.滿足企業(yè)CIMS和ERP建設(shè)需要
      網(wǎng)絡(luò)系統(tǒng)是石化企業(yè)信息化建設(shè)的重要基礎(chǔ)設(shè)施,應(yīng)從企業(yè)全局出發(fā),建成一個(gè)高起點(diǎn)、有水平、方便使用和管理、易于升級(jí)的網(wǎng)絡(luò)系統(tǒng),以期滿足企業(yè)CIMS和ERP建設(shè)需要。其建設(shè)原則應(yīng)定位在:統(tǒng)籌規(guī)劃,分步實(shí)施;集中建設(shè),分級(jí)管理;共同開發(fā),資源共享;不斷優(yōu)化,滾動(dòng)發(fā)展。
      二石化企業(yè)網(wǎng)絡(luò)建設(shè)方案
      1.網(wǎng)絡(luò)設(shè)計(jì)原則
      由于網(wǎng)絡(luò)技術(shù)發(fā)展十分迅速,產(chǎn)品更新?lián)Q代日趨縮短,所以方案設(shè)計(jì)時(shí)須采用先進(jìn)、成熟技術(shù),確保網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備和軟件具有較長生命周期,保護(hù)用戶投資。同時(shí),要兼顧產(chǎn)品性價(jià)比,以適應(yīng)石化企業(yè)信息應(yīng)用發(fā)展需要。網(wǎng)絡(luò)應(yīng)充分設(shè)計(jì)的重要因素:(1)網(wǎng)絡(luò)實(shí)施可行性;(2)性能優(yōu)異性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。
      2.主干網(wǎng)類型
      主干網(wǎng)連接各部門局域網(wǎng)網(wǎng)段,連接企業(yè)級(jí)服務(wù)器及各種遠(yuǎn)程網(wǎng)絡(luò)設(shè)備,負(fù)責(zé)處理網(wǎng)間數(shù)據(jù)量傳輸,是石化企業(yè)全網(wǎng)數(shù)據(jù)交換樞紐。為此,要求主干網(wǎng)具有高速交換數(shù)據(jù)能力、良好技術(shù)升級(jí)特性和較強(qiáng)穩(wěn)定可靠性,同時(shí)支持多種網(wǎng)絡(luò)環(huán)境、通用網(wǎng)管協(xié)議和向未來網(wǎng)絡(luò)技術(shù)平滑過渡。網(wǎng)絡(luò)主干設(shè)計(jì)不僅要考慮結(jié)構(gòu)合理,有利于網(wǎng)絡(luò)分段(分組)、性能優(yōu)化和安全控制,同時(shí)還要考慮原有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的充分利用,方便日常維護(hù)。目前,石化企業(yè)主干網(wǎng)的選型,多以ATM和星型結(jié)構(gòu)的千兆快速以太網(wǎng)為主流。
      3.網(wǎng)絡(luò)模型確定
      網(wǎng)絡(luò)模型是指在確定網(wǎng)絡(luò)(以太網(wǎng)、FDDI、ATM、快速以太網(wǎng)絡(luò)等)技術(shù)以及網(wǎng)絡(luò)速率基礎(chǔ)上,網(wǎng)絡(luò)設(shè)備、網(wǎng)段的連接方式。就石化企業(yè)來說,分公司和下屬二級(jí)生產(chǎn)企業(yè)的信息點(diǎn)總和約幾千點(diǎn),大體可分成3層:第一層為核心層,位于分公司計(jì)算機(jī)中心機(jī)房;第二層為中心層,位于下屬二級(jí)企業(yè)計(jì)算機(jī)中心機(jī)房;第三層為接入層,包括分公司機(jī)關(guān)處室、下屬二級(jí)企業(yè)管理部門及車間辦公室和儀表控制室。核心層是網(wǎng)絡(luò)高速交換主干、整個(gè)分公司信息管理樞紐,應(yīng)具有高性能、高可靠性和3層交換的能力。中心層是下屬二級(jí)企業(yè)生產(chǎn)數(shù)據(jù)管理中心,應(yīng)具有較強(qiáng)數(shù)據(jù)交換能力,支持3層交換,基本解決二級(jí)企業(yè)路由,使二級(jí)企業(yè)信息管理相對(duì)
      獨(dú)立,同時(shí)減少了分公司核心交換機(jī)數(shù)據(jù)處理壓力。接入層為最終用戶,是10/100M交換式以太網(wǎng)端口到桌面。
      二級(jí)企業(yè)網(wǎng)絡(luò)又可分成多級(jí)節(jié)點(diǎn)拓?fù)浣Y(jié)構(gòu):其計(jì)算中心為中心節(jié)點(diǎn);1000M主干抵達(dá)地為一級(jí)節(jié)點(diǎn);企業(yè)領(lǐng)導(dǎo)層、單獨(dú)組網(wǎng)的主要處室(如財(cái)務(wù)處、機(jī)動(dòng)處、銷售處、人事勞資處等)和車間辦公室為二級(jí)節(jié)點(diǎn);非獨(dú)立組網(wǎng)的機(jī)關(guān)處室、儀表
      室和車間下屬各組為三級(jí)節(jié)點(diǎn)。節(jié)點(diǎn)選擇原則有3條:重要程度、地理位置、所管理工作站數(shù)量。
      對(duì)石化企業(yè)來說,生產(chǎn)管理的一個(gè)十分顯著特點(diǎn),是需實(shí)時(shí)監(jiān)控生產(chǎn)裝置的流程參數(shù)和動(dòng)態(tài)了解公用工程物料能耗數(shù)據(jù)。對(duì)儀表室DCS和微機(jī)監(jiān)測系統(tǒng)采集信息的上網(wǎng),應(yīng)通過單設(shè)的工控機(jī)實(shí)現(xiàn),目的是為避免網(wǎng)絡(luò)部分閃失給生產(chǎn)裝置造成不良影響。DCS、微機(jī)監(jiān)測系統(tǒng)和工控機(jī)間的數(shù)據(jù)交換,在軟件上通過DDE或OPC實(shí)現(xiàn)。
      4.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
      地區(qū)石化企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般分為兩層:分公司層和下屬分廠層。分公司層用于構(gòu)造分公司機(jī)關(guān)信息系統(tǒng)網(wǎng)絡(luò)平臺(tái);組建連接下屬各分廠的網(wǎng)絡(luò)管控中心;負(fù)責(zé)和中石油、Internet對(duì)外的統(tǒng)一接口。而下屬分廠層,作為分公司整體網(wǎng)絡(luò)組成部分,則應(yīng)充分滿足分廠和分公司信息化的全部需求。其具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖所示。
      5.網(wǎng)絡(luò)設(shè)備選型
      網(wǎng)絡(luò)設(shè)備(交換機(jī)、集線器、路由器、接口卡和網(wǎng)管軟件等)的選擇原則,是依據(jù)石化企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要求,參照其功能、性能、容量和價(jià)格等綜合因素而確定。
      在這一網(wǎng)絡(luò)設(shè)備選擇原則的指導(dǎo)下,建議選用主流網(wǎng)絡(luò)設(shè)備廠家Cisco和3COM公司產(chǎn)品,因其都擁有全線網(wǎng)絡(luò)產(chǎn)品,性價(jià)比良好,有著強(qiáng)大技術(shù)支持和售后服務(wù)能力,并對(duì)網(wǎng)絡(luò)擴(kuò)展和升級(jí)不存在后顧之憂,不僅能使石化企業(yè)有效解決網(wǎng)絡(luò)應(yīng)用問題,且可降低維護(hù)成本,提升企業(yè)管理水平。以選用Cisco網(wǎng)絡(luò)產(chǎn)品為例:分公司核心層主交換機(jī)可選用Cisco6000系列產(chǎn)品(如Cisco6506);二級(jí)企業(yè)中心層主交換機(jī)可選用Cisco4000系列產(chǎn)品(如Cisco4006),一級(jí)節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備可采用Cisco2900系列產(chǎn)品(如Cisco2912、2924、2948),二級(jí)和三級(jí)節(jié)點(diǎn)可采用Cisco2950等網(wǎng)絡(luò)設(shè)備。
      6.網(wǎng)絡(luò)服務(wù)器選擇
      服務(wù)器的選擇對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)來說至關(guān)重要,它應(yīng)具有較強(qiáng)穩(wěn)定性、可靠性、保密性和安全性,同時(shí)方便操作和維護(hù),充分考慮系統(tǒng)的擴(kuò)充和發(fā)展。一般來說,系統(tǒng)主服務(wù)器可采用檔次較高的SUN服務(wù)器,其他如生產(chǎn)(實(shí)時(shí))數(shù)據(jù)服務(wù)器、Domino(辦公自動(dòng)化)服務(wù)器、代理服務(wù)器、域名服務(wù)器和撥號(hào)服務(wù)器等則可采用HP服務(wù)器。撥號(hào)服務(wù)器功能主要用于企業(yè)內(nèi)部臨時(shí)性辦公地點(diǎn)以及領(lǐng)導(dǎo)外出工作時(shí)上網(wǎng)之用,通過Modem與撥號(hào)路由器實(shí)現(xiàn)撥號(hào)上網(wǎng)的用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問。
      7.域名的劃分
      傳統(tǒng)域名的劃分采用WindowsNT中WI和D相結(jié)合的方式,為系統(tǒng)每臺(tái)設(shè)備都設(shè)置域名,不僅增加網(wǎng)絡(luò)廣播信息流量,加重網(wǎng)絡(luò)負(fù)擔(dān),降低網(wǎng)絡(luò)性能,且不利于域名系統(tǒng)的維護(hù)?,F(xiàn)在修正如下:(1)按照分公司規(guī)定域名劃分方法進(jìn)行廠級(jí)域名規(guī)劃;(2)取消WI系統(tǒng);(3)不對(duì)分廠級(jí)以下的系統(tǒng)進(jìn)行域名設(shè)置。
      8.IP地址的分配
      IP地址的劃分采用分公司分配的IP地址段,分廠在此基礎(chǔ)上進(jìn)行IP地址的分配。IP地址是企業(yè)寶貴的計(jì)算機(jī)軟資源,其合理劃分對(duì)于網(wǎng)絡(luò)性能優(yōu)化、安全管理、正常維護(hù)都具有重要意義。IP地址的劃分,必須在對(duì)網(wǎng)絡(luò)進(jìn)行全面調(diào)研的基礎(chǔ)上,根據(jù)網(wǎng)段/子網(wǎng)劃分原則、網(wǎng)絡(luò)安全需求以及未來發(fā)展進(jìn)行科學(xué)設(shè)計(jì)。
      9.與Internet連接
      隨著Internet技術(shù)的飛速發(fā)展和普及,企業(yè)如何通過建立自己的Internet/Intranet來獲得豐富的信息資源,更好服務(wù)于生產(chǎn)經(jīng)營,以獲得更大利潤,現(xiàn)已變得越來越迫切,訪問Internet事實(shí)上已成為石化企業(yè)網(wǎng)絡(luò)功能的重要組成部分。與Internet連接,是由接入路由器、防火墻和入侵監(jiān)測設(shè)備組成。為統(tǒng)一管理,Internet對(duì)外出口應(yīng)設(shè)在分公司,由其信息中心統(tǒng)一控制和配置資源。分廠作為分公司下屬生產(chǎn)企業(yè),它與因特網(wǎng)的連接是通過分公司寬帶出口實(shí)現(xiàn)的。Internet用戶的開戶管理和郵件管理等,也統(tǒng)一納入分公司管理之下,由其信息中心來控制具體實(shí)施。如有必要,下屬分廠也可根據(jù)信息中心統(tǒng)一劃分的網(wǎng)段地址建立自己的動(dòng)態(tài)地址分配服務(wù)器(DHCP)。
      10.網(wǎng)絡(luò)管理軟件
      網(wǎng)絡(luò)管理是確保網(wǎng)絡(luò)正常工作的重要手段,它決定某一特定段信息量,管理一個(gè)應(yīng)用應(yīng)怎樣使用客戶內(nèi)存,以至跟蹤某臺(tái)特定設(shè)備的工作是否正常。網(wǎng)絡(luò)管理一般包括流量、應(yīng)用程序和設(shè)備管理。如Cisco網(wǎng)管軟件CiscoView,能出色地承擔(dān)起網(wǎng)絡(luò)管理職能;3COM公司Tracend網(wǎng)管軟件,也可為該公司的互連設(shè)備提供動(dòng)態(tài)網(wǎng)絡(luò)配置信息和運(yùn)行狀態(tài)信息,具有強(qiáng)有力的監(jiān)視功能。
      11.防火墻和防病毒
      確保網(wǎng)絡(luò)安全的基本方法是采用防火墻。簡單講,防火墻是用來控制信息流,通常防火墻都設(shè)置在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入口或出口。目前有3類包含不同過濾特性的防火墻:包過濾、網(wǎng)絡(luò)過濾和應(yīng)用網(wǎng)關(guān)。在確定選擇防火墻時(shí),應(yīng)首先檢查環(huán)境中可用的信息流控制,主要指通信方向、通信來源、IP地址、端編號(hào)、認(rèn)證和應(yīng)用內(nèi)容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墻產(chǎn)品,都具有相當(dāng)好保護(hù)性能,用以保護(hù)整個(gè)網(wǎng)絡(luò)業(yè)務(wù)資源。防火墻設(shè)置應(yīng)由分公司統(tǒng)一設(shè)置。
      計(jì)算機(jī)病毒給網(wǎng)絡(luò)應(yīng)用帶來了相當(dāng)大的威脅,在網(wǎng)絡(luò)環(huán)境中的防病毒措施與在單機(jī)環(huán)境下有著很大程度的不同。在網(wǎng)絡(luò)系統(tǒng)中,須根據(jù)對(duì)病毒流入網(wǎng)絡(luò)系統(tǒng)根源的分析,制定全方位、多平臺(tái)網(wǎng)絡(luò)防病毒方案。目前部分石化企業(yè)采用網(wǎng)絡(luò)版NortonAntiVirus(企業(yè)版),定時(shí)對(duì)全網(wǎng)絡(luò)用戶查毒殺毒,收到較好效果。
      12.數(shù)據(jù)備份
      石化企業(yè)的生產(chǎn)、經(jīng)營、管理和決策數(shù)據(jù)大都存儲(chǔ)在網(wǎng)絡(luò)環(huán)境的服務(wù)器中,網(wǎng)絡(luò)數(shù)據(jù)安全性極為重要,一旦被破壞或丟失,將對(duì)企業(yè)正常運(yùn)行帶來重大影響,甚至造成難以彌補(bǔ)的損失。因此,數(shù)據(jù)備份是網(wǎng)絡(luò)建設(shè)中不可缺少的組成部分。在傳統(tǒng)磁帶數(shù)據(jù)備份基礎(chǔ)上,適時(shí)推出的NAS(網(wǎng)絡(luò)連接存儲(chǔ))和SAN(存儲(chǔ)區(qū)域網(wǎng)絡(luò))技術(shù),正成為網(wǎng)絡(luò)數(shù)據(jù)備份的主流。
      三石化企業(yè)網(wǎng)絡(luò)建設(shè)環(huán)境
      1.機(jī)房環(huán)境設(shè)計(jì)
      好范文版權(quán)所有
      (1)溫度:夏季22℃±2℃,冬季20℃±2℃;(2)濕度:45~65;(3)照明:距地面0.8m處>300Lx;(4)噪聲:<70db;(5)電磁:≯800A/m。
      2.系統(tǒng)供電設(shè)計(jì)
      (1)電壓波動(dòng)范圍-5~ 5,頻率變化范圍-0.2Hz~ 0.2Hz,波形失真率≤±5;(2)采用U,其容量選用設(shè)備容量之和的1.5倍。
      3.系統(tǒng)防雷擊設(shè)計(jì)
      需配置有效的防雷擊隔離器(GB50174-93計(jì)算機(jī)機(jī)房防雷設(shè)計(jì)規(guī)范)。
      4.接地設(shè)計(jì)
      (1)交流工作地的接地電阻≯4Ω(2)安全保護(hù)地的接地電阻≯4Ω(3)信號(hào)地和屏蔽地的接地電阻≯3Ω(4)防雷保護(hù)地的接地電阻≯4Ω。
      四石化企業(yè)網(wǎng)絡(luò)建設(shè)實(shí)施
      1.符合實(shí)際的路由設(shè)計(jì)
      符合實(shí)際的路由設(shè)計(jì)是企業(yè)網(wǎng)絡(luò)系統(tǒng)成功的基礎(chǔ)。路由設(shè)計(jì)是一件十分細(xì)致的工作,在大量和反復(fù)調(diào)研基礎(chǔ)上,完成詳盡的文檔,包括路由走向圖和路由明細(xì)表。它遵照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的具體要求,結(jié)合企業(yè)地理環(huán)境的具體情況,因地制宜地采取合理路由方式。路由設(shè)計(jì)首先考慮利用現(xiàn)有電話通信水泥管井,然后利用儀表和計(jì)量槽盒,最大限度減少地下直接掩埋或架空敷設(shè)。
      2.采用結(jié)構(gòu)化布線
      先進(jìn)的網(wǎng)絡(luò)系統(tǒng)很重要的一點(diǎn)體現(xiàn)在網(wǎng)絡(luò)的結(jié)構(gòu)化、合理化、規(guī)范化上,以免制約企業(yè)網(wǎng)向更高層次的網(wǎng)絡(luò)建設(shè)發(fā)展。石化企業(yè)網(wǎng)絡(luò)一般分為建筑群間和樓內(nèi)布線。公司和分廠之間,以及廠區(qū)內(nèi)的主干,采用光纜;辦公樓以及車間內(nèi)部,鋪設(shè)超五類雙絞線。光纜敷設(shè)要根據(jù)現(xiàn)場實(shí)際情況因地制宜采取合理方式。在網(wǎng)絡(luò)介質(zhì)選擇上,1000M主干采用單模光纖,其他網(wǎng)段采用多模光纖,為保證網(wǎng)絡(luò)安全和可靠運(yùn)行,單模光纖使用6芯(2/3作為備用),多模光纖使用4芯(1/2作為備用)。
      3.充分利用原有網(wǎng)絡(luò)資源好范文版權(quán)所有
      石化企業(yè)的計(jì)算機(jī)應(yīng)用工作起步較早,各單位網(wǎng)絡(luò)建設(shè)也都實(shí)現(xiàn)了不同程度的應(yīng)用?,F(xiàn)在所提出的網(wǎng)絡(luò)整體方案,一定要考慮充分利用原有網(wǎng)絡(luò)資源。其利用是多方面的,光纜、用戶工作站、集線器都可利用,交換機(jī)也可降級(jí)利用。這不僅僅是資金上的節(jié)省,而且也是人們心理上的期望。
      4.工程組織和實(shí)施
      (1)組織管理
      項(xiàng)目工程領(lǐng)導(dǎo)小組、光纜敷設(shè)管理小組、網(wǎng)絡(luò)性能優(yōu)化管理小組、網(wǎng)絡(luò)安全實(shí)施管理小組、文檔資料管理小組。
      (2)進(jìn)度安排
      設(shè)備采購、光纜敷設(shè)、設(shè)備安裝與調(diào)試、系統(tǒng)聯(lián)調(diào)及試運(yùn)行、系統(tǒng)性能技術(shù)測試、交付文檔資料、項(xiàng)目驗(yàn)收。
      (3)質(zhì)量管理
      (a)項(xiàng)目工程領(lǐng)導(dǎo)小組,負(fù)責(zé)項(xiàng)目方案敲定、人員安排、進(jìn)度掌握和甲乙雙方間的協(xié)調(diào);
      (b)光纜敷設(shè)管理小組,負(fù)責(zé)光纜敷設(shè),確保工程遵循技術(shù)規(guī)范、按照進(jìn)度時(shí)間要求完成施工;
      (c)網(wǎng)絡(luò)性能優(yōu)化管理小組,負(fù)責(zé)工程竣工前對(duì)網(wǎng)絡(luò)性能測試,并進(jìn)行優(yōu)化調(diào)試;
      (d)網(wǎng)絡(luò)安全實(shí)施管理小組,負(fù)責(zé)實(shí)施網(wǎng)絡(luò)安全策略,實(shí)現(xiàn)防火墻和防病毒的落實(shí),確保網(wǎng)絡(luò)安全和保密;
      (e)文檔資料管理小組,負(fù)責(zé)提供完整和實(shí)用的文檔資料,以備網(wǎng)絡(luò)日常的管理和維護(hù)。
      (4)費(fèi)用預(yù)算
      光纜及網(wǎng)絡(luò)交換設(shè)備費(fèi)用、光纜敷設(shè)工程費(fèi)用、網(wǎng)絡(luò)管理軟硬件費(fèi)用、網(wǎng)絡(luò)安全管理軟硬件費(fèi)用、網(wǎng)絡(luò)防病毒軟硬件費(fèi)用、網(wǎng)絡(luò)性能測試費(fèi)用。
      (5)技術(shù)培訓(xùn)
      (6)測試驗(yàn)收
      (7)文檔資料
      工程進(jìn)度一覽表、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、光纜敷設(shè)路由設(shè)計(jì)圖、網(wǎng)絡(luò)域名劃分表、網(wǎng)絡(luò)IP地址分配表、硬件接線明細(xì)表、光纜布線工程測試報(bào)告。
      第五篇:企業(yè)網(wǎng)絡(luò)管理制度及解決方案
      企業(yè)網(wǎng)絡(luò)管理制度及解決方案
      企業(yè)網(wǎng)絡(luò)的通暢一直是企業(yè)需要解決的重要問題,網(wǎng)絡(luò)的堵塞,對(duì)一般員工而言,只是抱怨幾句,然后叫來網(wǎng)管,在網(wǎng)管的協(xié)助下稍有改觀,不過依然達(dá)不到自己認(rèn)為的速度,網(wǎng)管知道是有人在下載,可以如果利用路由器將所有的電腦分配網(wǎng)速,那對(duì)于真正需要快網(wǎng)速的人來說太慢了,影響正常辦公,然而,對(duì)領(lǐng)導(dǎo)而言,如果過慢的網(wǎng)速影響了他自己的上網(wǎng)需求時(shí),無疑,網(wǎng)管就成了領(lǐng)導(dǎo)的發(fā)泄對(duì)象了,所以企事業(yè)單位的網(wǎng)管不是那么好做的。
      網(wǎng)管在企業(yè)網(wǎng)絡(luò)管理的工作中,并不是孤軍奮戰(zhàn)的,借助相關(guān)的企業(yè)網(wǎng)絡(luò)管理設(shè)備,可以使自己的網(wǎng)站輕松簡單需要,同時(shí)也可以更好的解決各種網(wǎng)絡(luò)問題。例如萬任UniERM網(wǎng)絡(luò)流量綜合管理系統(tǒng)不僅可以有效控制辦公室的電腦上網(wǎng)行為,而且可以有效保護(hù)內(nèi)網(wǎng)安全、防范內(nèi)網(wǎng)攻擊,擁有企業(yè)級(jí)防火墻、負(fù)載均衡、企業(yè)網(wǎng)絡(luò)流量控制等功能,這些都是企業(yè)網(wǎng)管在工作中非常需要的功能。
      企業(yè)網(wǎng)絡(luò)管理設(shè)備可管理局域網(wǎng)內(nèi)的所有聯(lián)網(wǎng)電腦,全面有效地控制局域網(wǎng)內(nèi)員工上班時(shí)間的所有不規(guī)范上網(wǎng)行為,萬任UniERM網(wǎng)絡(luò)流量綜合管理系統(tǒng)就可以有效限制p2p下載,禁止點(diǎn)對(duì)點(diǎn)下載,控制ftp上傳下載,禁止qq登錄,限制skype在線聊天,有效分配帶寬,禁止個(gè)別員工因下載引起的qq帶寬不均衡,禁止所有的在線游戲,限制客戶端游戲,禁止炒股,限制大智慧,封堵炒股軟件等等功能強(qiáng)大,可以輕松控制整個(gè)局域網(wǎng)的上網(wǎng)行為。
      企業(yè)的網(wǎng)絡(luò)管理除了配置像萬任UniERM網(wǎng)絡(luò)流量綜合管理系統(tǒng)這樣的企業(yè)網(wǎng)絡(luò)管理設(shè)備外,明確的網(wǎng)絡(luò)使用制度也是必不可少的,對(duì)員工的上網(wǎng)行為規(guī)范要落實(shí)到實(shí)處。
      企業(yè)的網(wǎng)絡(luò)卡、堵、慢問題一直是個(gè)老大難,企業(yè)擴(kuò)大帶寬等措施都沒有明顯的改善,所以企業(yè)網(wǎng)絡(luò)管理設(shè)備是一個(gè)不錯(cuò)的選擇,選擇好的網(wǎng)絡(luò)管理設(shè)備,把企業(yè)的網(wǎng)絡(luò)管理做好,不僅為企業(yè)節(jié)約了擴(kuò)大帶寬的成本,也能提高資源利用率和員工的工作效率。
       
      
    
      

        下載典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案word格式文檔
        
      
            
      下載典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案.doc
      
            
      將本文檔下載到自己電腦,方便修改和收藏,請(qǐng)勿使用迅雷等下載。
      
        
      
        
      
            
            
      
                
      點(diǎn)此處下載文檔
      
                
      文檔為doc格式
      
            
      
        
      
          
    
      相關(guān)專題
網(wǎng)絡(luò)邊界安全技術(shù)方案
邊界網(wǎng)絡(luò)安全方案
網(wǎng)絡(luò)邊界安全防范措施

      
    

      聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),未作人工編輯處理,也不承擔(dān)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)有涉嫌版權(quán)的內(nèi)容,歡迎發(fā)送郵件至:645879355@qq.com 進(jìn)行舉報(bào),并提供相關(guān)證據(jù),工作人員會(huì)在5個(gè)工作日內(nèi)聯(lián)系你,一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。 
      

      
      
      
        
      相關(guān)范文推薦
      
      
      
            
      

        基于網(wǎng)絡(luò)的企業(yè)資源邊界厘定研究論文(合集)
        摘要:如今企業(yè)面臨著日趨激烈的外部市場環(huán)境,速度是決定企業(yè)成敗的關(guān)鍵因素,企業(yè)通過建立企業(yè)網(wǎng)絡(luò)來提升滿足客戶需求的速度,然而對(duì)于網(wǎng)絡(luò)的企業(yè)資源邊界的厘定又成為建立企業(yè)網(wǎng)......
        企業(yè)網(wǎng)絡(luò)行為管理分析及解決方案
        企業(yè)網(wǎng)絡(luò)行為管理分析及解決方案 隨著互聯(lián)網(wǎng)應(yīng)用的深入和普及,當(dāng)今社會(huì)已經(jīng)全面進(jìn)入互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)安全問題日益嚴(yán)峻,針對(duì)中小型企業(yè)和分支機(jī)構(gòu)的惡意攻擊行為也越來越多,360智......
        典型工程項(xiàng)目解決方案
        典型工程項(xiàng)目解決方案(會(huì)展中心、體育場館) 1、會(huì)展中心 ※ 根據(jù)建筑物的規(guī)模、合使用功能、使用對(duì)象和管理要求等因素來統(tǒng)籌考慮,使現(xiàn)代化大型展覽中心實(shí)現(xiàn)簡單的展覽、大型......
        軍隊(duì)企業(yè)內(nèi)網(wǎng)安全解決方案
        軍隊(duì)企業(yè)內(nèi)網(wǎng)安全解決方案
內(nèi)網(wǎng)安全性分析軍隊(duì)網(wǎng)絡(luò)具有非常完善的系統(tǒng)及復(fù)雜的網(wǎng)絡(luò)環(huán)境;由于軍事信息需要高度保密,其局域網(wǎng)與Internet物理隔離,單位間信息共享都必須經(jīng)過嚴(yán)格......
        廢水處理工程典型解決方案
        廢水處理工程典型解決方案 一. 生活污水(小區(qū)域)處理工程 二. 醫(yī)院污水處理 三. 食品廢水 四. 印染廢水 印染廢水種類較多,主要分為棉布染正,化纖織物染整,印花、毛紡染整(含羊毛染色)......
        校園網(wǎng)絡(luò)管理與信息安全解決方案
        河北金融學(xué)院校園網(wǎng)絡(luò)管理與信息安全解決方案  目 錄 摘要 .............................................................. 1 一 概述 ......................................
        安全解決方案
        調(diào)度系統(tǒng)安全解決方案 一.保障范圍:包括主調(diào)度室及各廠站在內(nèi)的局域網(wǎng)內(nèi)部相連的計(jì)算機(jī)  二.潛在問題及解決方法: 1.人為的攻擊破壞: 通過windows操作系統(tǒng)本身的權(quán)限設(shè)置來保證......
        網(wǎng)絡(luò)印刷整體解決方案
        網(wǎng)絡(luò)印刷整體解決方案 背景近年來隨著互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展,以及市場對(duì)電子商務(wù)的熟悉及認(rèn)可,網(wǎng)絡(luò)印刷也越來越多地被市場認(rèn)同。僅淘寶網(wǎng)每年的印刷業(yè)務(wù)量就高達(dá)28億元,加上大......