辦公網(wǎng)目前的安全需求主要來自于以下幾方面:
網(wǎng)絡(luò)出口安全設(shè)計�?
DMZ區(qū)和數(shù)據(jù)中心大量服務(wù)器資源的安全保護(hù)?
內(nèi)網(wǎng)終端接入的認(rèn)證���,對不同部門的服務(wù)器資源的訪問權(quán)限的設(shè)置
移動終端VPN接入后��,如何進(jìn)行安全認(rèn)證��、訪問權(quán)限設(shè)置���?
如何及時對所有終端(移動和非移動)的系統(tǒng)補(bǔ)丁及病毒庫進(jìn)行更新����?
如何保障網(wǎng)絡(luò)出口帶寬的有效利用,保證電視臺數(shù)字電視��、WEBTV(網(wǎng)絡(luò)電視直播)的有效開展����?
因此,針對以上需求��,我們提供IPS入侵防御系統(tǒng)和EAD端點準(zhǔn)入防御系統(tǒng)可以很好幫助電視解決這些安全問題。
IPS深度安全防御和帶寬管理
電視臺的出口安全設(shè)計����,建議在出口處配置防火墻的同時,配置IPS入侵防御系統(tǒng)�����,因為單一的防火墻方案已經(jīng)不能滿足電視臺對安全的要求����,主要原因包括:
?越來越多的安全威脅來自電視臺內(nèi)部,記者便攜機(jī)的普及使得移動辦公得到大量的普及�����,計算機(jī)終端不斷的在電視臺內(nèi)網(wǎng)和外網(wǎng)兩個環(huán)境間進(jìn)行漫游���,很容易造成網(wǎng)絡(luò)威脅從外網(wǎng)進(jìn)入內(nèi)網(wǎng)�����,從而在內(nèi)網(wǎng)進(jìn)行傳播���。另外由于VPN技術(shù)的普及���,使得電視臺內(nèi)網(wǎng)無限擴(kuò)展,更加大了威脅進(jìn)入內(nèi)網(wǎng)的機(jī)會��。由于防火墻以抵御外部攻擊為主要目標(biāo)�����,對于內(nèi)部網(wǎng)絡(luò)產(chǎn)生的安全問題�,防范不足;
?對于應(yīng)用層攻擊����、復(fù)合攻擊,防火墻力不從心�����。目前由各種蠕蟲�、病毒�、應(yīng)用層攻擊技術(shù)和EMAIL、移動代碼結(jié)合形成了復(fù)合攻擊手段��,以直接攻擊報社核心采編服務(wù)器和應(yīng)用為主����,會給報社帶來了重大損失��;同時隨著報社P2P應(yīng)用和MSN����、QQ等即時通信軟件的普及����,電視寶貴帶寬資源被無關(guān)業(yè)務(wù)流量浪費,形成巨大的性能威脅����。這些威脅大部分都能夠穿透防火墻,防火墻基于TCP/IP 3層和4層的訪問控制對于基于應(yīng)用的攻擊威脅無法識別��。
?對緊急發(fā)生的安全問題無法及時響應(yīng)���。越來越多的病毒和蠕蟲基于網(wǎng)絡(luò)來傳播�,有了網(wǎng)絡(luò)這個介質(zhì)�,可以威脅傳播速度很快,以SQL Slammer為例����,10分鐘內(nèi)�,SQL Slammer感染了全球90%的有漏洞的計算機(jī)���。如果網(wǎng)絡(luò)對于這些威脅不能識別�,不能在其傳播擴(kuò)散的通路上進(jìn)行阻截��,純粹依靠人工手動的打補(bǔ)丁�、升級防病毒軟件、在防火墻上設(shè)置ACL�,根本無法抑制這些蠕蟲病毒的大規(guī)模泛濫。
針對防火墻的以上不足�����,需要有新的安全設(shè)備與之配合��,這就是IPS――入侵防御系統(tǒng)����,IPS可以完成防火墻所不能提供的深度內(nèi)容分析和攻擊檢測和防范的能力��。
H3C的SecPath IPS產(chǎn)品自2002年發(fā)布以來��,已迅速成為提供基于網(wǎng)絡(luò)的入侵防御系統(tǒng)的領(lǐng)先廠商��。SecPath的入侵防御系統(tǒng)能夠阻止蠕蟲、病毒�、木馬、拒絕服務(wù)攻擊����、間諜軟件、VOIP攻擊以及點到點應(yīng)用濫用��。通過深達(dá)第七層的流量偵測�,SecPath的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用SecPath提供的數(shù)字疫苗服務(wù)�,入侵防御系統(tǒng)能得到及時的特征、漏洞過濾器����、協(xié)議異常過濾器和統(tǒng)計異常過濾器更新從而主動地防御最新的攻擊。
電視臺的DMZ區(qū)和數(shù)據(jù)中心都有大量的服務(wù)器資源需要保護(hù)�,所以我們建議在DMZ區(qū)域和數(shù)據(jù)中心區(qū)域的出口處,都配置一臺SecPath IPS防御系統(tǒng)�����,以保護(hù)我們重要的服務(wù)器資源�。
同時,電視臺的數(shù)字電視����、網(wǎng)絡(luò)電視(WEBTV)等業(yè)務(wù)的開展需要對電視寶貴的出口帶寬進(jìn)行有效的管理����,為防止大量的P2P����、IM流量侵占帶寬,H3C的SecPath IPS產(chǎn)品支持對100多種點到點應(yīng)用的限速功能�,保證關(guān)鍵應(yīng)用所需的帶寬。
EAD端點準(zhǔn)入防御系統(tǒng)設(shè)計
H3C EAD方案包括下面4個組件:H3C安全客戶端�����,安全聯(lián)動設(shè)備�,H3C CAMS安全策略服務(wù)器,第三方病毒服務(wù)器和補(bǔ)丁服務(wù)器����。
通過上面四個組件的聯(lián)動,可以實現(xiàn)下面五個功能:
1��、檢查:對接入網(wǎng)絡(luò)的用戶端點計算機(jī)進(jìn)行安全檢查��,可以根據(jù)安全策略檢查端點用戶計算機(jī)的操作系統(tǒng)版本��、補(bǔ)丁和防病毒軟件的版本���。
2�、隔離:對于不符合公司安全策略的計算機(jī)將強(qiáng)制隔離到一個安全免疫區(qū)里���。
3�����、修復(fù):在安全免疫區(qū)��,端點計算機(jī)可以升級防病毒軟件�����、打操作系統(tǒng)補(bǔ)丁��,只有修復(fù)后滿足公司安全策略的計算機(jī)才可以最終接入網(wǎng)絡(luò)
4����、監(jiān)控:EAD安全客戶端還可以在用戶使用網(wǎng)絡(luò)的過程中對用戶的行為進(jìn)行監(jiān)控����,一旦發(fā)現(xiàn)行為異常���,將立即對端點進(jìn)行隔離。
5����、而上面過程可以在H3C安全策略服務(wù)器統(tǒng)一部署下自動化完成,極大的提高了網(wǎng)絡(luò)的主動防御能力��。
通過 部署EAD端點防御系統(tǒng)�,可以很好地幫助電視臺的辦公網(wǎng)解決以下幾方面的安全問題:
? 對內(nèi)網(wǎng)終端用戶:進(jìn)行身份認(rèn)證和安全檢查,以警告或者強(qiáng)制方式進(jìn)行系統(tǒng)補(bǔ)丁和病毒庫的升級
? 對VPN接入終端:電視臺的記者出差或者移動辦公時��,當(dāng)通過VPN接入后�,也需要進(jìn)行身份認(rèn)證和安全檢查。
? 安全權(quán)限下發(fā)(ACL策略和VLAN分配):無論對內(nèi)網(wǎng)終端用戶還是VPN接入的終端用戶��,在通過身份認(rèn)證和安全檢查后����,都可以根據(jù)自己的賬號得到相應(yīng)的安全訪問權(quán)限和VLAN分配,從而只能訪問相應(yīng)的網(wǎng)絡(luò)資源���。
? 建立良好的系統(tǒng)補(bǔ)丁及病毒升級庫更新流程���,每個終端都能夠及時地更新病毒庫和升級系統(tǒng)補(bǔ)丁�����,很大程度上保護(hù)生產(chǎn)網(wǎng)受到來自病毒的威脅。
存儲系統(tǒng)設(shè)計
在辦公網(wǎng)��,電視臺的企業(yè)門戶網(wǎng)站和開展網(wǎng)絡(luò)電視(WEBTV)���、開始數(shù)字電視應(yīng)用都需要存儲的大量音視頻資料��。H3C的Neocean IX1000和IX3000存儲系統(tǒng)充分利用辦公網(wǎng)以太網(wǎng)平臺��,采用IP-SAN存儲架構(gòu)�����,具備良好的可擴(kuò)展性�、兼容性和性能價格比�����。非常適合電視臺辦公網(wǎng)的存儲系統(tǒng)���。
智能管理中心設(shè)計
對于電視臺�,不論在生產(chǎn)網(wǎng)還是辦公網(wǎng),由于涉及到設(shè)備類型較多���,有網(wǎng)絡(luò)設(shè)備����、安全設(shè)備�、存儲設(shè)備和大量服務(wù)器,因此對整網(wǎng)設(shè)備統(tǒng)一管理的需求很明顯�����,除了對基礎(chǔ)網(wǎng)絡(luò)的管理����,同時隨著電視臺不斷發(fā)展,電視臺也面臨對網(wǎng)絡(luò)資源的管理和對基礎(chǔ)接入管理的管理需求和難題�。
針對電視臺的管理需求和難題,我們推薦采用H3C智能管理中心(H3C Intelligent Management Center����,以下簡稱:H3C iMC)。H3C iMC是H3C憑借多年網(wǎng)絡(luò)管理產(chǎn)品的研發(fā)經(jīng)驗和對網(wǎng)絡(luò)管理的深刻理解��,推出了新一代的網(wǎng)絡(luò)管理產(chǎn)品,H3C iMC以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心�����,采用面向服務(wù)(SOA)的設(shè)計思想��,按需裝配的組件化結(jié)構(gòu)���,為客戶提供網(wǎng)絡(luò)業(yè)務(wù)、資源和用戶的融合管理解決方案����,幫助客戶實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理。
H3C iMC可以幫助電視臺實現(xiàn)如下三方面管理:
? 基礎(chǔ)網(wǎng)絡(luò)管理:
? 管理界面簡單易操作�,提高維護(hù)的效率
? 開放網(wǎng)絡(luò)平臺,支持多類型多廠家設(shè)備(交換機(jī)�、路由器、安全設(shè)備�����、存儲系統(tǒng)����、服務(wù)器)的統(tǒng)一管理
? 了解全網(wǎng)的拓?fù)浣Y(jié)構(gòu)
? 設(shè)備故障報警和流量異常告警
? 網(wǎng)絡(luò)流量和性能監(jiān)控和瓶頸分析
? 監(jiān)控服務(wù)器資源和進(jìn)程監(jiān)控
? VPN管理��,實現(xiàn)對IPSec+L2TP VPN��、SSL VPN的統(tǒng)一管理��,融合端點安全�、用戶接入和應(yīng)用分析����。
? 網(wǎng)絡(luò)資源管理:
全網(wǎng)實施ACL管理、VLAN管理�����、QoS管理���,以幫助電視臺真正實現(xiàn)區(qū)域管理�����、安全控制管理�。
? 基礎(chǔ)接入管理:
通過部署EAD端點防御系統(tǒng)�,實施接入用戶管理,如身份認(rèn)證�����、訪問權(quán)限控制等等,全面實現(xiàn)全網(wǎng)接入管理��。
通過部署H3C iMC �,能夠直接面向電視臺管理需求,從根本上解決電視臺多業(yè)務(wù)融合管理的問題��,不但能確保電視臺業(yè)務(wù)的正常開展����,更能不斷滿足電視臺未來的發(fā)展。
