请欣赏网络安全防护方案(精选6篇),由笔构网整理,希望能够帮助到大家。
网络安全防护方案 篇1
近年来,随着网络安全问题的不断涌现,国家对网络安全越来越重视。水电厂电力监控系统的网络安全问题也越来越多。本文从多个角度研究了水电厂电力监控系统的网络安全问题,提出相关设计思路和解决方案,并进行系统的描述。电力行业是我国重要的关键基础设施,关乎国计民生,其中发电厂电力监控系统是最核心和重要的系统之一。在满足“安全分区、网络专用、横向隔离、纵向认证”基本原则的基础上,结合国家信息安全等级保护工作的相关要求,对电力监控系统的综合安全防护建设工作仍需持续加强。近年来,电力监控系统的外部环境发生了变化,系统网络不再独立封闭,更多的系统互联。外部攻击源从单点个体变化为规模化团体攻击,攻击从个体行为向团队协作过渡,甚至部级力量开始介入。攻击技术在软件即服务等新技术的加持下,恶意代码获得便捷、多元、快速,攻击行为全天候,产生恶意代码变种的速度空前加快。攻击手段趋于定制化、个性化、复杂化,APT技术运用越来越多。工业自动化进一步发展,智慧电厂、泛在互联如火如荼,广泛的互联互操作使生产网络趋向复杂,风险点增多。
1设计思路
水电厂电力监控系统网络安全防护方案的主要设计思路:强化安全区域边界访问控制能力;提高网络内、外入侵和恶意代码防御能力;提高违规内联、外联检测能力;提高系统内主机病毒防范能力;提高主机身份认证能力,采用双因子认证机制;一键式安全加固,提高主机安全基线;关闭不必要的服务端口,提高入侵防范能力;利用访问控制策略,保证业务配置文件不被篡改;提高日志审计能力,审计日志至少保存12个月;加强运维人员行为管理;建立统一安全管理中心,强化集中管控能力;技术手段辅助业主完成定期自检。风险评估分析是对电力监控系统网络内各资产进行安全管理的先决条件,其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。工控系统资产梳理,分析价值;识别已有的安全防护措施;资产脆弱性及面临的威胁分析;安全风险综合分析。
2方案介绍
2.1强化安全区域边界访问控制能力ACL+应用级白名单:配置ACL访问控制规则,仅允许业务相关IP通过。工控协议深度解析,形成协议白名单,保证只有可信任的协议、指令才可以通过。针对具体指令的具体值域范围进行保护。验证工控协议的合规性,控制逻辑的合理性,控制协议功能码、点值。
2.2提高网络内、外入侵和恶意代码防御能力实时监测基于白名单的工业流量、关键网络节点基于流量的威胁以及对网络威胁感知系统APT攻击。网络威胁感知系统(APT)内置威胁情报检测,APT情报检测能力,内置IOC数据库覆盖主流的APT家族,覆盖家族数量≥240个。采用基因图谱模糊比对技术对流量中的文件进行静态检测通过结合图像文理分析技术与恶意代码变种检测技术将可疑文件的二进制代码映射为无法压缩的灰阶图片,与已有的恶意代码基因库图片进行相似度匹配,根据相似度判断是否为威胁变种。
2.3提高违规内联、外联检测能力交换机关闭不必要端口;进行IP/MAC绑定;工控主机卫士开启非法外联策略。
2.4提高系统内主机病毒防范能力传统安全解决方案难以及时更新、打补丁;缓冲区溢出、0day漏洞利用等攻击方式,传统杀毒软件存在短板;杀毒软件或将业务软件误识为病毒而删除。切断恶意代码/病毒通过U盘摆渡到系统内部的途径;启动文件级白名单策略,防止恶意代码/病毒/非法软件执行。保证只有经过授权的可执行程序才可以执行,保证只有经过授权的U盘才允许使用。
2.5提高主机身份认证能力,采用双因子认证机制采用静态密码+UKEY,关键服务器采用双因子认证。
2.6一键式安全加固,提高主机安全基线内置42条安全基线规则,一键式配置,降低手动加固成。根据不同加固等级,一键加固。
2.7关闭不必要的服务端口,提高入侵防范能力内置防火墙功能,关闭不必要端口;一键式配置,降低手动加固成本。
2.8利用访问控制策略,保证业务配置文件不被篡改自主访问控制,基于标记的强制访问控制。
2.9提高日志审计能力,审计日志至少保存12个月范式化多种类设备(主机、网络、安全)日志,快速准确的识别安全事件,发现违规行为。
2.10加强运维人员行为管理运维人员身份授权、运维人员操作授权、运维人员行为审计。安全运维管理系统进行统一账户管理。
2.11建立统一安全管理中心,强化集中管控能力安全产品统一管理,安全管理加密传输,高度可视化,双机热备,高度可靠。
2.12技术手段辅助业主完成定期自检先进行漏洞扫描并生成相关报告,给出指导意见。
3主要特点
3.1厂级统一安全运营中心
资产可视,自动识别工控网的设备类型、设备厂商、设备型号,自动识别网络拓扑,提供全方位的资产可视化体验。威胁可视,智能分析海量安全设备日志,通过人工智能的知识图谱技术,将资产配置弱点、漏洞、威胁事件关联分析,自动发现攻击路径。合规评估,结合等级保护合规自评和自动化的合规评估技术,将合规评估量化分析,提供企业集团量化的健康指数。
3.2安全管理制度完善
完善生产网安全制度与标准体系,满足等级保护的基本要求、测评要求,规范网络安全管理,保障网络安全工作的顺利开展;建立企业自身的工控网络安全制度与标准,需要企业业务主管部门、安全管理部门与我司共同配合完成,在满足国家等级保护相关要求基础上,能够与企业自身生产特点相融合。一级文件:电力监控系统的工控网络安全管理方针,能够反映最高管理者对工控网络安全管理下达的工作意图等,能为所有下级文件的编写提供方向。二级文件:各类属于电力监控系统工控网络安全管理的规范性制度、标准、办法、策略文件、配置规范等。三级文件:各种体系运行所需的规范文档模板。内置丰富的攻击特征库,结合硬件加速信息包捕捉技术来探测包括PLC等控制设备的拒绝服务攻击漏洞、缓冲区溢出攻击漏洞等典型工控漏洞的攻击行为,并及时告警。采用TCP/IP数据重组、目标和应用程序识别、完整的'应用层有限状态追踪、应用层协议分析、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。能够为用户提供丰富的动态图形报表,以及数十种分析报表模版和向导式的用户自定义报表功能。采用旁路部署方式,不会对网络造成任何影响。安全区域边界:在生产控制大区计算机监控系统地上环网与地下环网各就地控制单元(LCU)之间部署工业防火墙,实现区域间的逻辑隔离和网络威胁防护,保证电力监控系统区域边界安全。安全通信网络:在生产控制大区网络关键节点部署工控安全监控与审计系统和网络威胁感知系统,对网络中的实时流量进行监测,及时发现网络攻击、异常操作等行为,特别是新型网络攻击行为,并告警通知安全管理员。安全计算环境:在电力监控系统中工程师站、操作员站、服务器和接口机上安装工控主机卫士软件,开启程序白名单、外设管控、安全基线及访问控制等功能,实现阻拦病毒、木马等恶意程序的运行、主机安全加固和移动介质管控等安全需求。安全管理中心:在在生产控制大区部署统一安全管理平台和安全运维管理系统,实现安全设备进行集中管控,并对日志数据、告警数据等进行集中分析,同时对不同权限账户进行身份鉴别及权限管理,保证电力监控系统管理安全;同时配置工控漏洞扫描系统,定期对电力监控系统进行漏扫扫描,及时发现电力监控系统中的网络安全漏洞。
结论:
本文研究了水电厂电力监控系统网络安全防护的相关内容,并制定了对应的方案。该水电厂电力监控系统网络安全防护方案提高了工控主机病毒和恶意代码防范能力,增强工控主机安全性;有效检测工控网络中的异常操作行为并加以阻止,避免造成重大安全生产事故、人员伤亡和社会影响。实时检测工控网络中的恶意攻击、误操作、违规行为、非法设备接入以及蠕虫、病毒等恶意软件的传播,帮助客户及时采取应对措施,避免发生安全事故;详实记录网络通信流量,为安全事故调查取证提供技术支撑。
网络安全防护方案 篇2
立体安全防护考虑到了信息安全防范的多个层次以及各个方面,是一个完善的解决方案。
信息系统在提高工作效率、辅助决策、优化管理的同时,也带来了众多的信息安全风险,比如:黑客的入侵和犯罪、病毒木马的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、DDoS攻击的巨大危害、内部人员的违规和违法操作、用户上网行为的管理和控制、移动存储介质带来的信息泄密、网络与主机系统、服务的脆弱和瘫痪,信息产品的管理和失控等等。这些风险时刻威胁着各项业务的正常运转。一旦风险失控,将可能带来无法估量的重大损失。
针对上述种种安全隐患,同时为了降低各种信息安全风险,保障业务的连续性,将损失尽可能降到最低点,基于信息安全的“保密性”、“可用性”和“完整性”原则,华为推出了融“慧”贯通的立体安全防护体系,为客户业务保驾护航,目前在各行各业的信息化领域得到了广泛的成功应用。
“融”:融合网络和内容安全
“融”是指融合网络安全和内容安全,包括Web安全、邮件安全、应用与通信过程的安全及安全管理平台。它是方案的全貌。
从入口方向,方案要做的是:抑制恶意代码通过Web应用传播,阻止病毒通过Web下载传播,对所有的请求进行数据安全性验证;抑制垃圾邮件传播、抑制病毒或恶意代码通过邮件传播,同时对邮件服务系统进行加固;阻止利用网站应用漏洞使用SQL注入或跨站攻击等方式获得系统或数据库管理员权限,保护网站Web应用安全;评估与防护系统漏洞、防止DDoS攻击。
在出口方向,方案要做的是:提供主动危害防护,对恶意内容过滤,控制内容访问;对邮件进行加密,避免信息泄漏,建立邮件审计机制,对用户恶意行为有追述能力,过滤邮件中的恶意内容;基于应用和操作识别,控制访问过程和数据传播过程。
俗话说:“三分技术,七分管理”。优秀的产品与技术需要优秀的管理平台支撑,否则只是一盘散沙,无法发挥应有的作用。在华为立体安全防护解决方案中,整个安全体系由统一的安全管理平台VSM管理,对网络中的路由器、交换机、防火墙、入侵检测系统、Secospace等网络及安全产品进行统一的集中管理与监控,保证各个产品的正常运行与协同工作,使安全管理真正落到实处,真正体现立体安全防护体系的威力,减少管理环节,提高管理效率,降低管理运维成本。
“慧”:构建主动安全架构
“慧”指的是主动安全架构。
安全是动态变化的,安全防护产品及技术体系必须时刻研究变化发展的安全趋势,适应新的安全形势。为此,华为提出了业界领先的主动安全架构(Proactive Security Frame)模型,它是华为针对未来安全的发展趋势,运用华为立体安全防护的理念提出的主动安全解决方案的集合,该方案针对网络模型中各层威胁的特点,提供应用和内容的双向安全管理与防护。借助华为分布于全球的IP信誉评估系统,它能够提供及时主动的、实时的在线安全。
为了保证能及时了解变化发展的`安全形势,华为专门成立了近200人的安全专家团队。这是国内最大的安全技术预研小组,专注于对网络安全基础及前沿技术进行深入分析研究,并进行协议分析、防病毒、反垃圾邮件、网络攻防技术的研究和相关知识库的积累。这些能力和积累是华为提供优质安全产品、解决方案和服务的最有力的支撑。
“贯”:建立纵深安全防御体系
“贯”是指建立纵深安全防御体系,实现“进不来”、“看不了”、“拿不走”、“打不开”、“跑不掉”的安全目标,保证信息资源的安全,保持业务的连续性。
在总部与分支机构、移动用户、合作伙伴等的数据传输上,通过IPSec/SSL实现信息的加密安全传输,防止被黑客非法窃听;
在网络层,通过防火墙、UTM综合安全网关堵截网络威胁,通过连接控制、认证、授权技术对访问者进行认证授权,并为事后的追溯提供依据。
通过入侵检测系统对各类网络攻击、入侵行为进行检测响应,及时报警通知管理员采取适当的防护措施,同时可与防火墙、UTM设备进行联动,及时阻断入侵行为的继续进行,保证内部网络及业务的安全性。
Web网关具备防恶意软件能力,对Web应用程序进行控制,通过Web过滤、SSL流量检测、内容检查和防信息泄漏等技术,保证Web应用安全。
邮件安全网关提供反垃圾邮件、防病毒、内容检测、加密以及信侵检测等功能。
所有的安全功能,均由华为的安全知识库体系提供有力的技术支撑。
Secospace内网终端安全管理系统对内网及终端用户进行保护及控制,可以与已有的用户认证系统结合,非法用户将被阻止接入网络,合法用户认证通过后,需经过安全检查确认该终端的安全性之后方可授权访问权限内的资源;同时能够规范员工行为,管理和审计终端的各种行为举动,监测控制非法外联、非法存储介质的使用,防止机密资料的外泄,对安全状态进行连续监控,实现不间断防护。
Secospace文档安全管理系统可以为机密文档加强保护,保证文档的权限不会扩散,即使不慎丢失或者被黑客、间谍窃取也无法使用,防止泄密。
日志审计、流量分析解决方案可以为管理员了解网络及业务运行情况提供有力的数据支持,便于管理员提出信息化优化方案,进一步促进业务的发展;在安全事件发生后,可以为事后追踪取证提供依据,防止抵赖。
“通”:时刻保持网络的畅通
“通”是指保证网络出口不受DDoS攻击的影响,时刻保持网络的畅通,保证业务的可用性。
华为防DDoS攻击技术通过对攻击指纹信息的匹配与学习,采用线速的深度报文检测技术,可以有效抵御各种类型DDoS的攻击,阻断僵尸网络的传播与控制途径。
华为防DDoS方案提供10G接口以及20G的流量清洗能力。该方案不仅支持流量型攻击检测和清洗,同时还支持小流量应用层的攻击检测和清洗,如http get及CC攻击;同时开放接口设计,可轻松地与统一网关平台进行对接,为客户提供安全灵活的组网部署方案。
网络安全防护方案 篇3
1、引言
随着时代的发展,社会的进步。卫星通信的应用领域不断拓展。通过此类通信技术可实现基于卫星的无线通信功能。如北斗卫星通信系统,为我们提供了基于北斗卫星的短信息通信及经纬度定位功能。如亚洲卫星通信公司提供的卫星通信服务,为我们提供了基于数据链路的网络信息数据传输。还如G S卫星通信系统,可以实现为我们进行车载导航的功能。总之,卫星通信应用已经深入到我们生活的方方面面,深刻变革者我们的通信方式,提高了我们的生活质量。
众所周知,卫星通信网络是建立在无线通信基础之上的。无线通信具有一定的'不稳定性,其原因在于,无线通信信道的通信质量容易受到外界环境的干扰。如城市楼房、障碍物造成的阴影通信衰减、还如无线信号经过多重反射等情况造成的多路径信号衰减,还有受到的恶意无线信号同频干扰,以及基于开放无线环境的病毒入侵。
在此无线通信环境下,卫星通信网络机房的安全性建设成为社会研究热点。为了进一步深化此项研究,我们提出了一种卫星通信网络机房体系的构建。文中给出了卫星通信网络机房安全威胁因素,并有针对性的给出了安全防护体系构建策略,本文方法能够为卫星通信网络机房信息化建设职能部门提供智力支持。
2、安全防护体系总体架构概述
本文构建的卫星通信网络机房安全防护体系分为三个分系统,一是无线干扰测试系统;二是功率自适应分配系统;三是网络入侵检测与处理系统。这三个系统通过主干网络交换机接入卫星通信网络机房,实现机房的安全防护功能。
3、安全防护体系详细设计
3.1 无线干扰测试系统设计
无线干扰测试系统的功能是对无线空域内的无线信号进行感知,对测试到的同频干扰向用户进行报知。
此系统的主体软件采用广州思谋信息科技有限公司开发和研制的无线通信网络测试软件,著作权号为20xxSR233189。此软件采用基于TDD的上下行同频互逆原理,利用反向覆盖测试替代传统前向覆盖测试。实现了较为先进的无线网络信号感知与测试功能。
网络管理员通过此软件反馈出来的信息,如果发现有同频干扰信号,则可以向卫星资源授权单位及无线电管委会进行申诉,排除此非法干扰,保障信号安全、稳定。
3.2 功率自适应分配系统设计
功率自适应分配系统的功能是通过对信道质量的判断,自动调节信号源的发射功率,提高系统的传输质量。
此系统的主体软件采用广州思谋信息科技有限公司的无线通信网格优化软件,著作权号为20xxSR233184。此软件采用C#语言编写,软件规模较小,具有较强的灵活性、适用性及可维护性。实现了无线通信频率信道质量检测,并能实现功率的自适应调整。
自适应调整过程为:当信道质量较低,无线通信BER参数值升高时,提高无线发射功率,当信道质量较好,发射功率过大时,可以降低功率,减小对邻近频率的用户影响。
3.3 网络入侵检测与处理系统
网络入侵检测与处理系统的硬件组成包括网络防火墙、入侵检测设备、杀毒软件、网络端口安全防护软件等。
此部分的操作流程为:通过网络防火墙及网络端口安全防护软件,对网络访问地址进行黑白名单的设置,开放特定的网络端口,允许特定的I 地址对网络设备进行访问和通信,对不确定网络地址进行屏蔽,并放入黑名单中。同时开启入侵检测设备,对网络内的不安定因素进行控制;另外,定期进行系统杀毒,对潜在的病毒进行查杀,增强系统的安全防护能力。
网络安全防护方案 篇4
广州某医院拥有专业技术人员1100余人、床位850张、专业学科43个,现已发展成为集医疗、教学、科研、预防、保健、康复功能于一体的、面向海内外开放的综合性现代化医院。随着信息化的发展,该医院的医疗系统也进入了数字化和信息化时代,大型的数字化医疗设备、各种医院管理信息系统和医疗临床信息系统在医院中得到应用。数字化医疗建设,不但使医院的工作流程发生了变化,同时也对医院信息化建设提出了更高的要求。
目前,该医院已应用了HIS、EMR、LIS、PACS等信息系统,涵盖了医院日常工作流程,比如挂号、诊疗、化验、划价、收费等,同时也覆盖医院各个角落,如病房、药房、医疗设备等。随着电子病历、远程医疗的不断发展,病人在就医过程中的信息将越来越多地以数字化的方式保存在医院的医疗信息系统中。
如何保证这些医疗数据的安全性、有效性,是医院信息系统所面临的、不可回避的问题。
20xx年底,该医院新大楼建成,华侨医院的信息网络改造项目也同步启动。这次改造不仅要提高网络与信息系统基础设施建设,而且还将信息系统安全建设纳入其中。该医院的信息安全主管人员清醒地认识到:医院信息系统的正常运行,不仅包含网络、主机设备的正常运行,还包括存储在医院应用系统中的各种数据的'安全性和可靠性得到保障。
此前,该医院的信息系统已部署了防火墙、入侵检测系统和网络防病毒系统等安全产品。为了此次新大楼的网络安全改造建设,医院邀请产品供应商和业界优秀的公司共同探讨新信息系统的安全建设方案。该医院希望其安全建设方案能够实现以下功能:既要考虑现有系统的安全、有效运行,又要兼顾华侨医院未来五年的信息化发展。
作为该医院原有信息安全产品供应商,北京冠群金辰软件有限公司(简称冠群金辰)也参与了新信息系统的安全建设,并提出针对该医院的安全解决方案建议。
解决之道冠群金辰认为,该医院现有信息安全系统中的防火墙、防毒墙、IDS和防病毒的防护架构可以保留,但随着医院新大楼投入使用,网络中的终端节点会增多,网络流量将大幅增长,所以,需要对现有防火墙、IDS等系统进行升级,提升现有防护系统的处理能力,以适应网络提速的要求,保障正常的网络业务运行;同时,针对网络中新增的客户端节点,继续部署防病毒系统和终端安全管理系统,以应对越来越复杂的终端安全防护问题。
针对目前医院网站服务器保护的安全盲点,冠群金辰提出了针对Web网站安全建议:使用专业的网站防护系统采用层次化的Web主动防护技术,对医院网站服务器进行有效防护。
实际上,冠群金辰为该医院提出的网络安全整体解决方案涵盖了从边界、网络到主机,多层次的纵深防御体系。该方案在边界通过防火墙、物理隔离设备将非法访问、病毒、入侵攻击等阻挡在网络外部。在网络层面,该解决方案对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取措施,比如报警、阻断、记录等。
对于网络安全中常见的病毒、信息泄露等安全威胁,该方案中的防病毒软件和终端安全管理系统为主机系统提供了基本的安全保障。
冠群金辰为此方案提供了KILL系列安全产品,即KILL防火墙、KILL入侵检测系统、KILL上网行为管理系统、KILL防毒墙、KILL网络防病毒系统、KILL终端安全管理系统和KILL Web安全网关,为该医院的网络构筑了一个多层次的安全防护体系。从网络访问控制、流量控制、入侵攻击、病毒查杀、终端准入和Web防护等方面,该方案对该医院的网络提供全面的安全保护。
网络安全防护方案 篇5
广州某医院拥有专业技术人员1100余人、床位850张、专业学科43个,现已发展成为集医疗、教学、科研、预防、保健、康复功能于一体的、面向海内外开放的综合性现代化医院。随着信息化的发展,该医院的医疗系统也进入了数字化和信息化时代,大型的数字化医疗设备、各种医院管理信息系统和医疗临床信息系统在医院中得到应用。数字化医疗建设,不但使医院的工作流程发生了变化,同时也对医院信息化建设提出了更高的要求。
目前,该医院已应用了HIS、EMR、LIS、PACS等信息系统,涵盖了医院日常工作流程,比如挂号、诊疗、化验、划价、收费等,同时也覆盖医院各个角落,如病房、药房、医疗设备等。随着电子病历、远程医疗的不断发展,病人在就医过程中的信息将越来越多地以数字化的方式保存在医院的医疗信息系统中。
如何保证这些医疗数据的安全性、有效性,是医院信息系统所面临的、不可回避的问题。
20xx年底,该医院新大楼建成,华侨医院的信息网络改造项目也同步启动。这次改造不仅要提高网络与信息系统基础设施建设,而且还将信息系统安全建设纳入其中。该医院的信息安全主管人员清醒地认识到:医院信息系统的正常运行,不仅包含网络、主机设备的.正常运行,还包括存储在医院应用系统中的各种数据的安全性和可靠性得到保障。
此前,该医院的信息系统已部署了防火墙、入侵检测系统和网络防病毒系统等安全产品。为了此次新大楼的网络安全改造建设,医院邀请产品供应商和业界优秀的公司共同探讨新信息系统的安全建设方案。该医院希望其安全建设方案能够实现以下功能:既要考虑现有系统的安全、有效运行,又要兼顾华侨医院未来五年的信息化发展。
作为该医院原有信息安全产品供应商,北京冠群金辰软件有限公司(简称冠群金辰)也参与了新信息系统的安全建设,并提出针对该医院的安全解决方案建议。
解决之道冠群金辰认为,该医院现有信息安全系统中的防火墙、防毒墙、IDS和防病毒的防护架构可以保留,但随着医院新大楼投入使用,网络中的终端节点会增多,网络流量将大幅增长,所以,需要对现有防火墙、IDS等系统进行升级,提升现有防护系统的处理能力,以适应网络提速的要求,保障正常的网络业务运行;同时,针对网络中新增的客户端节点,继续部署防病毒系统和终端安全管理系统,以应对越来越复杂的终端安全防护问题。
针对目前医院网站服务器保护的安全盲点,冠群金辰提出了针对Web网站安全建议:使用专业的网站防护系统采用层次化的Web主动防护技术,对医院网站服务器进行有效防护。
实际上,冠群金辰为该医院提出的网络安全整体解决方案涵盖了从边界、网络到主机,多层次的纵深防御体系。该方案在边界通过防火墙、物理隔离设备将非法访问、病毒、入侵攻击等阻挡在网络外部。在网络层面,该解决方案对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取措施,比如报警、阻断、记录等。
对于网络安全中常见的病毒、信息泄露等安全威胁,该方案中的防病毒软件和终端安全管理系统为主机系统提供了基本的安全保障。
冠群金辰为此方案提供了KILL系列安全产品,即KILL防火墙、KILL入侵检测系统、KILL上网行为管理系统、KILL防毒墙、KILL网络防病毒系统、KILL终端安全管理系统和KILL Web安全网关,为该医院的网络构筑了一个多层次的安全防护体系。从网络访问控制、流量控制、入侵攻击、病毒查杀、终端准入和Web防护等方面,该方案对该医院的网络提供全面的安全保护。
网络安全防护方案 篇6
立体安全防护考虑到了信息安全防范的多个层次以及各个方面,是一个完善的解决方案。
信息系统在提高工作效率、辅助决策、优化管理的同时,也带来了众多的信息安全风险,比如:黑客的入侵和犯罪、病毒木马的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、DDoS攻击的巨大危害、内部人员的违规和违法操作、用户上网行为的管理和控制、移动存储介质带来的信息泄密、网络与主机系统、服务的脆弱和瘫痪,信息产品的管理和失控等等。这些风险时刻威胁着各项业务的正常运转。一旦风险失控,将可能带来无法估量的重大损失。
针对上述种种安全隐患,同时为了降低各种信息安全风险,保障业务的连续性,将损失尽可能降到最低点,基于信息安全的“保密性”、“可用性”和“完整性”原则,华为推出了融“慧”贯通的立体安全防护体系,为客户业务保驾护航,目前在各行各业的信息化领域得到了广泛的成功应用。
“融”:融合网络和内容安全
“融”是指融合网络安全和内容安全,包括Web安全、邮件安全、应用与通信过程的安全及安全管理平台。它是方案的全貌。
从入口方向,方案要做的是:抑制恶意代码通过Web应用传播,阻止病毒通过Web下载传播,对所有的请求进行数据安全性验证;抑制垃圾邮件传播、抑制病毒或恶意代码通过邮件传播,同时对邮件服务系统进行加固;阻止利用网站应用漏洞使用SQL注入或跨站攻击等方式获得系统或数据库管理员权限,保护网站Web应用安全;评估与防护系统漏洞、防止DDoS攻击。
在出口方向,方案要做的是:提供主动危害防护,对恶意内容过滤,控制内容访问;对邮件进行加密,避免信息泄漏,建立邮件审计机制,对用户恶意行为有追述能力,过滤邮件中的恶意内容;基于应用和操作识别,控制访问过程和数据传播过程。
俗话说:“三分技术,七分管理”。优秀的产品与技术需要优秀的管理平台支撑,否则只是一盘散沙,无法发挥应有的作用。在华为立体安全防护解决方案中,整个安全体系由统一的安全管理平台VSM管理,对网络中的路由器、交换机、防火墙、入侵检测系统、Secospace等网络及安全产品进行统一的集中管理与监控,保证各个产品的正常运行与协同工作,使安全管理真正落到实处,真正体现立体安全防护体系的威力,减少管理环节,提高管理效率,降低管理运维成本。
“慧”:构建主动安全架构
“慧”指的是主动安全架构。
安全是动态变化的,安全防护产品及技术体系必须时刻研究变化发展的安全趋势,适应新的安全形势。为此,华为提出了业界领先的主动安全架构(Proactive Security Frame)模型,它是华为针对未来安全的发展趋势,运用华为立体安全防护的理念提出的主动安全解决方案的集合,该方案针对网络模型中各层威胁的特点,提供应用和内容的双向安全管理与防护。借助华为分布于全球的IP信誉评估系统,它能够提供及时主动的、实时的在线安全。
为了保证能及时了解变化发展的安全形势,华为专门成立了近200人的安全专家团队。这是国内最大的安全技术预研小组,专注于对网络安全基础及前沿技术进行深入分析研究,并进行协议分析、防病毒、反垃圾邮件、网络攻防技术的研究和相关知识库的积累。这些能力和积累是华为提供优质安全产品、解决方案和服务的'最有力的支撑。
“贯”:建立纵深安全防御体系
“贯”是指建立纵深安全防御体系,实现“进不来”、“看不了”、“拿不走”、“打不开”、“跑不掉”的安全目标,保证信息资源的安全,保持业务的连续性。
在总部与分支机构、移动用户、合作伙伴等的数据传输上,通过IPSec/SSL实现信息的加密安全传输,防止被黑客非法窃听;
在网络层,通过防火墙、UTM综合安全网关堵截网络威胁,通过连接控制、认证、授权技术对访问者进行认证授权,并为事后的追溯提供依据。
通过入侵检测系统对各类网络攻击、入侵行为进行检测响应,及时报警通知管理员采取适当的防护措施,同时可与防火墙、UTM设备进行联动,及时阻断入侵行为的继续进行,保证内部网络及业务的安全性。
Web网关具备防恶意软件能力,对Web应用程序进行控制,通过Web过滤、SSL流量检测、内容检查和防信息泄漏等技术,保证Web应用安全。
邮件安全网关提供反垃圾邮件、防病毒、内容检测、加密以及信侵检测等功能。
所有的安全功能,均由华为的安全知识库体系提供有力的技术支撑。
Secospace内网终端安全管理系统对内网及终端用户进行保护及控制,可以与已有的用户认证系统结合,非法用户将被阻止接入网络,合法用户认证通过后,需经过安全检查确认该终端的安全性之后方可授权访问权限内的资源;同时能够规范员工行为,管理和审计终端的各种行为举动,监测控制非法外联、非法存储介质的使用,防止机密资料的外泄,对安全状态进行连续监控,实现不间断防护。
Secospace文档安全管理系统可以为机密文档加强保护,保证文档的权限不会扩散,即使不慎丢失或者被黑客、间谍窃取也无法使用,防止泄密。
日志审计、流量分析解决方案可以为管理员了解网络及业务运行情况提供有力的数据支持,便于管理员提出信息化优化方案,进一步促进业务的发展;在安全事件发生后,可以为事后追踪取证提供依据,防止抵赖。
“通”:时刻保持网络的畅通
“通”是指保证网络出口不受DDoS攻击的影响,时刻保持网络的畅通,保证业务的可用性。
华为防DDoS攻击技术通过对攻击指纹信息的匹配与学习,采用线速的深度报文检测技术,可以有效抵御各种类型DDoS的攻击,阻断僵尸网络的传播与控制途径。
华为防DDoS方案提供10G接口以及20G的流量清洗能力。该方案不仅支持流量型攻击检测和清洗,同时还支持小流量应用层的攻击检测和清洗,如http get及CC攻击;同时开放接口设计,可轻松地与统一网关平台进行对接,为客户提供安全灵活的组网部署方案。