解决方案 Dynamic News

智慧教育> 智慧工作>

网络安全产品解决方案

发布于2018-07-11 16:31    

 
 
 
网络安全产品解决方案

1.  需求分析

1.1.  边界安全需求

建议对现有网络进行安全域划分,分域防护。采用逻辑隔离、入侵防御等手段,对贵单位的网络边界进行有效防护。
网络边界防护:基于网络层的攻击是互联网上最常见的攻击,包括各种DOS攻击、端口扫描、网络层渗透等等,这种攻击行为的技术门槛较低,但攻击范围广,而门户网站群需要通过互联网对公众提供服务,这些网络安全边界很容易遭受各类攻击,而防火墙等网络边界防护设备能够阻挡这些基于网络层的攻击行为并实现细粒度的访问控制,保障门户网站的安全。
应用安全防护:随着攻击技术的发展,攻击的目标重点转移到系统中的应用,而攻击的手段也从网络攻击逐步上升为应用层的攻击,如针对各种应用的缓冲区溢出攻击、应用系统渗透等等,这种攻击所造成的危害更大,将导致业务系统被破坏。尤其是通过互联网对公众提供服务的业务系统,一旦攻击者发现其应用漏洞并从事相应的破坏行为,网络层的安全防护措施很难发挥效用,必须要从应用层进行相应的安全防护。入侵防御和Web安全防护技术正是针对这里应用层攻击进行防御的安全措施,能够有效弥补防火墙等基础防护设备的不足,有效检测和防范四至七层攻击,与防火墙相互配合实现整体的安全防护。
恶意代码防护:各类木马、病毒及网络蠕虫等恶意代码对IT系统的影响越来越大,变种多、扩散快、传播广等问题都会对大规模的网络造成严重影响,因此,对于门户网站群这样一个规模较大且需要逐步扩展的网络来说,安全防护的一个重要需求进行恶意代码的防护。对于互联网操作系统这样规模较大的网络,需要从网关层次及系统层次两个层面互相配合,网关防病毒系统能够在网络边界处拦截各类基于网络传播的蠕虫病毒、木马等恶意代码;而基于网络的终端防病毒系统则能够在本机侧重进行文件型恶意代码的查杀,并实现全网的统一病毒管理。通过网络层和系统层恶意代码防护的相互配合,实现“层层设防、集中控制、以防为主、防杀结合”的防毒防护策略,从而最大程度的实现恶意代码的防护。

1.2.  业务稳定的需求

贵单位XX系统是对内部工作人员提供服务的业务系统,XX应用的健康状况直接影响单位的办公效率,因此必须保障XX在任何时候的可用性。
同时,从整体网络的高稳定性上来说,一般主要考虑链路的高可用:采用多运营商互联网出口以解决跨运营商互通的问题,同时多链路部署的方式能够保障业务系统不会因为链路的中断而断线。

1.3.  办公人员上网审计的需求

员工在日常办公中拥有访问互联网的权限,可通过QQ、MSN、论坛或微博等方式外发信息,如果包含了色情、赌博、反动等不良信息,都属于网络违规违法行为,企业或个人将承担法律责任。
《网络安全法》第四十七条明确规定:“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
如果因为没有采取相关的防御措施,违法事件发生后不能通过技术手段查出当事人,那么只能由单位为此违规违法事件负责。因此,为了避免此类事件的发生,必须考虑从网络的技术层面出发,做好网络法规的配合工作。

1.4.  移动用户安全接入的需求

网络的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现工作人员的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
对于XX单位而言,如何保障移动用户终端和应用服务器的数据传输安全,成为目前需要解决的首要问题,保障网络接入安全即可实现整网安全、高效互联要求。我们将分别从身份认证安全(访问事前控制)、终端访问及数据传输安全(访问事中检查)、权限和应用访问审计(访问事后追查),这三个方面来进行安全体系来深入考虑接入时的身份认证、接入中的权限控制、接入后的日志审计方面的安全需求。

1.5.  内网威胁持续监测的需求

近年来,来自外部的攻击手段也变得更高级、更迅速、更隐蔽。IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊;APT、0-day病毒、0-day漏洞、恶意软件欺骗与混淆、沙箱逃逸等技术的利用成为绕过传统防御的最佳手段;而攻击工具集、攻击即服务的兴起让攻防的天平愈加失衡。
看不见的内部横向攻击:攻击者绕过边界防护后,发生在内部的横向移动攻击边界防御设备无法进行检测,例如通过失陷主机向内网业务资产或业务资产管理员发起的横向移动或者跳板攻击,如内网嗅探、内网扫描、漏洞利用、远程控制、攻击会话维持等,均很难被发现。
看不见的违规操作:攻击者的行为往往不是以病毒、漏洞利用等明显的恶意特征出现。攻击者会通过社会工程学、钓鱼、以失陷主机为跳板等手段获取高级管理员的账号与权限;内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限。传统的安全设备对伪装成合法用户的攻击者的检测是失效的,如非授权用户对关键资产的违规访问、授权用户在非授权时间/地点对关键资产的违规访问、授权用户对资产的非授权操作(如批量下载,批量加密,非法修改等),均不能被有效的发现与识别。
看不见的异常行为:黑客在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链条中,均会非常小心的隐藏自己的攻击行为。攻击者会将关键文件进行打包加密甚至隐写,所有的网络会话也会在加密通道上传输,而会话维持以及远程控制服务器的通信会夹杂在代理、VPN隧道、NTP、DNS等正常网络协议中混淆视听。
因此安全建设在看清业务的基础上,企业和组织亟需加强对内部的攻击行为、违规操作和异常行为进行持续检测,并通过可视化平台将这些潜在的问题进行展现,从而揪出潜伏隐秘在内网的内鬼和攻击者,应对各种攻击变种与内网安全威胁。

1.6.  分支/下属/单位/公司安全接入的需求

XX单位规模架构宏大,分支机构众多,需要统一接入单位总部进行应用共享和数据交互。由于数据本身的涉密性,在实现分支与总部之间数据交互时,需要保证数据的安全性、完整性。基于线路本身的考虑,目前可保障网络传输安全的方案主要有运营商专线、虚拟专用网两种主流方案。
从两种方案的利弊方面考虑,运营商专线从线路本身的丢包、延时及传输速度而言较优,但价格非常高昂,包括网络初始的组建等费用,将导致整个网络的组建成本高昂。从性价比的角度考虑,使用专线进行组网不是最佳的解决方案。
而虚拟专用网(Virtual Private Network)从整体安全性、技术完善度等方面考虑,虚拟专用网技术都已经是非常成熟,普遍运用于政府、金融、运营商、大型企业等组网中。同时,虚拟专网用可基于普通的公网线路进行构建,可利用组织原有的网络、或可根据需要通过上网线路的扩充来支撑网络组建后新增的业务数据。从网络建设成本方面来看,虚拟专用网相比专线线路高昂的月租费用及网络初始建设费,大大减少了单纯在网络上的投入。
完整的虚拟专用网构建,需要从安全性、快速性、网络可靠性、管理便利四个方面全面考虑。安全是网络组建的基础要求,必须严格控制把控信息风险。从用户的使用角度来看,使用速度和网络是否可靠是最直观的体验,直接影响到进行应用集中后的工作效率是否提高问题,以及IT建设的绩效问题。而从网络管理部门的角度考虑,此次网络建设涉及多个分支,需要采用一套机制保障整体管理的统一、方便的管理。

1.7.  分支机构/下属单位安全统一管理的需求

1.各分支安全设备无法统一管理,风险不可控
各分支由于缺乏有效的安全防护手段,使得其安全也难以统一管理,无法通过单位总部的集中部署了解各分支内终端的安全状况,使得安全风险不可控,容易引入外部威胁。而在各分支网络边界部署了多个安全设备的单位总部,往往由于各设备的差异性难以进行统一管理,即使借助SOC运维平台进行统一的安全管理,也很难清晰的了解全网的安全状况,并进行统一管理。
2.全网的安全要求难以落地,安全层次不齐
三分技术、七分管理,要实现全网的统一安全防护,安全管理的要求是必不可少的重要组成部分。由于各分支单位未必有专门的安全管理员进行统筹管理,使得组织总部下发的安全要求、安全策略难以落地、难以实行,使得全网的安全建设、安全防护水平、安全策略制定情况层次不齐。
3.无法了解各分支边界的风险,分支机构引起的安全事件难以追溯
缺乏安全防护、统一管理的核心问题在于即使出现了安全事故,组织总部的运维人员由于缺乏基础数据和日志也难以对安全事件进行定位,并追溯安全事件的源头。

1.8.  对外发布业务多维度防御的需求

Web业务对外发布数据中心为Web业务集中化部署、发布、存储的区域,该对外发布数据中心传输、展示着业务的核心数据,且关乎组织的安全形象。对于恶意攻击者而言,Web业务对外发布数据中心是最具吸引力的目标。
然而,对着贵单位的业务发展,web业务不断更新,web应用快速上线,而由于Web业务资金、进度、意识方面的影响,这些web应用系统没有进行充分的安全评估而导致大量的可利用漏洞。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层,2/3的 Web 站点都相当脆弱,易受攻击。
Web业务面临的主要安全威胁如下
·    网页篡改问题
·    网页挂马问题
·    敏感信息泄漏问题
·    无法响应正常服务的问题
基于硬件设备的安全体系建设难以实现自适应闭环安全运营,存在安全问题发现及响应不及时,安全运维对人员依赖度大,安全运营压力大的难题:
·    缺乏威胁情报及风险预知能力,威胁信息及风险预测能力缺失,组织常常处于被动性防护状态
·    割裂式的设备静态防御容易被绕过,不能实现基于攻击事件和攻击特征的有效联动防御
·    安全事件监测响应不及时,问题发现及处置相对滞后、服务质量取决于个人、事件处置流程复杂等诸多问题,导致安全事件风险不可控。
对外发布web业务的安全建设的基础是通过本地静态防御不断提升黑客的攻击成本,此外,应对新的安全问题和传统服务的问题,需要结合安全云端的能力,通过云端联动、实时监测、风险感知构建“云+边界”的综合预测,防御、监测、响应的能力,以此构建自适应的安全运维体系,确保业务安全的保障和有效的风险控制。

1.9.  服务器虚拟化的需求

不断增长的业务对IT数据中心的要求越来越高,所以数据中心需要更为快速的提供所需要的计算,网络,存储资源。如果不断购买新的服务器,又会增加采购成本和运作成本,而且还会带来更多业务供电和机房冷却的开销。同时在一般情况下,服务器工作负载一般不超过10%,这导致了大量的硬件、机柜空间以及电力的浪费。购置新的服务器是一项漫长的过程,这使得IT部门更加难以满足业务快速增长和变更的需求。例如,对于新业务系统平台的增加上线和测试平台下线删除的需求,往往就需要消耗大量宝贵的资源和时间。
为解决服务器数量增加所带来的问题,提高服务器资源的使用率,降低设备采购成本,提高业务的连续性以及为将来新应用系统建设提供一个灵活的资源使用平台,建议对现有服务器进行虚拟化整合,以达到服务器资源灵活可用、高效可靠、安全易用的要求。

1.10.  终端安全防护的需求

据统计,终端引发的安全问题占到整个网络安全问题的80%以上,2017年WannaCry“永恒之蓝”勒索病毒的爆发的重灾区也是终端区域,其主要原因就是终端数量多、应用较为复杂且管理困难,如随意插拔移动存储介质等造成病毒的扩散等。因此终端的安全防护是我们不容忽视的一个环节。

1.11. 终端运维简化的需求

贵单位人员众多,当终端设备出现故障时,IT管理人员需要逐个终端去维护、安装和调试,桌面部署及管理工作量非常大,但由于网络中心IT人员有限,往往无法及时响应所有运维任务,所以可能会影响工作人员的办公效率。除此之外,传统PC硬件结构复杂,故障率较高,所以硬件维保费用将逐年递增,同时还会带来更多的电力、空间等资源占用或经费开支。所以存在针对终端简化运维、提高运维效率的需求。

1.12. 无线局域网建设的需求

随着业务规模的不断扩大,提高运营效率的要求也不断提升,随着Wi-Fi技术的不断发展,使其能更加稳定高效的承载应用。很多行业都已经在有线网络的基础上扩展无线网络来进行日常业务的开展,甚至在新建办公场所时,基于建设的成本和传统网络繁琐的考虑,也希望可以通过Wi-Fi接入技术实现他们的目的。
事实上,无线应用已经深入到我们的生活和工作当中,除了日常办公之外,很多应用也正依赖于无线技术,比如访客服务,会议室,工厂车间,智能仓库等等。在智能终端普及的这个背景下, BYOD、移动办公的需求也提上日程,Wi-Fi作为必不可少的接入手段,需求也进一步扩大。
而无线网络的建设,也基本从安全性、高速性、易管理性三个方面来建设。

 
 

2.  设计原则

本次的方案设计,将充分依据系统安全的详细技术需求,并参照国内外的相关规范、标准及经验,按照兼容性、安全性、开放性、可扩充性及易用性、先进性、合规性、成熟性以及统一性等原则,保障设计方案先进可靠、可实施性强,能够完全满足项目的实际安全需求,作为实现项目目标。
兼容性原则:方案设计具有较强的兼容性,充分考虑了XX现有的应用系统、运行环境、以及服务器和网络设备等,体现了与现有系统的无缝链接。
安全性原则:在充分考虑XX现有网络情况和实际需求的情况下,结合相关技术要求,提供系统化的整体解决方案。
可扩充性原则:由于贵单位目前业务和规模在逐步扩张,本方案充分考虑了系统未来一段时间内网络、业务规模和网络安全需求的变化,能够在相当长的一段时间内保障系统的整体安全,具有较强的可扩展性,有效保护了用户的投资。
综合防范原则:网络及信息化建设是一个庞大的系统工程,信息系统任何一个环节的疏漏都有可能导致安全事件的发生。因此,本方案的设计坚持综合防范原则,以保证未来各类安全措施的全面和完整。
成熟性原则本方案的设计充分借鉴国际信息安全最佳实践,采用成熟的技术和产品,规避风险,防止由于单纯追求技术领先而成为先进技术的试验品。同时,此次方案充分参考了深信服成熟的大企业安全建设案例,保障方案整体交付的可靠、成熟。

 
 

3.  解决方案

3.1.  方案整体介绍

3.1.1.  方案拓扑图


3.1.2.  区域划分说明

根据目前的实际情况,建议将安全域划分为如下几个:
l  网络出口区,内外网数据交换的出口边界,承载出口边界隔离和用户上网审计等功能,重要等级高。
l  超融合数据中心区,承载单位及下属单位的办公OA、财务系统、数据库服务器等,信任区,与互联网逻辑隔离,只允许内部员工访问,重要等级高。
l  超融合网站群DMZ区,承载单位总部及下属单位的门户网站、对外发布应用等,主要通过互联网对公众和外出用户服务,重要等级高。
l  办公桌面云区,单位办公人员办公云桌面实际运行区域,重要等级中。
l  广域网边界区,单位总部对下属分支机构提供的访问接口,同时需要相应的广域网加速设备,需加强总部与分支间的安全隔离,重要等级高。
l  分支机构组网区,贵单位具备众多分支机构,各分支机构需要安全访问总部内部业务系统,部分分支同样具有少量业务系统需要安全防护,重要等级高。
l  总部运维管理区,承载应用系统监控、审计、漏洞扫描等,只允许运维人员访问,重要等级高。
 

3.1.3.  拓扑图概述

1、网络出口区域:为保障整体网络链路高可靠,选用联通、移动、电信共三家运营商多条线路接入。部署两台出口交换机将出口多条线路进行汇聚,向下分别部署两台链路负载均衡主备运行、两台下一代防火墙主主运行、两台上网行为管理设备主主运行。向下连接到网络核心交换机。
2、核心交换区域:部署两台核心交换机保障内网的整体高可用。
3、超融合数据中心区域:将现有数据中心业务系统全部转移到超融合架构中,通过计算虚拟化、存储虚拟化、网络虚拟化与功能虚拟化四点融合,结合云管理平台,搭建简单稳定易用的数据中心。数据中心边界的汇聚交换机与核心交换机之间部署下一代防火墙作为数据中心边界的安全隔离。汇聚交换机上旁挂数据库审计设备对数据库的所有操作进行审计。
4、超融合网站群DMZ区域:单位和下级分支搭建了多个网站,将原有网站的后端服务器与存储均部署于超融合网站群。同时,网站群边界的汇聚交换机与核心交换机之间,部署开启WAF模块的下一代防火墙作为web应用防护。同时,网站群方面,搭配了深信服云端安全监测服务的“信服云眼”与云盾安全防护服务的“信服云盾”,多维度配合保障网站群的安全。
5、办公桌面云区域:
6、广域网边界区域:广域网边界建设部署两台下一代防火墙作为安全边界网关,确保分支机构的接入流量安全性。同时部署两台广域网优化设备,用以提高广域网的传输速度、传输稳定性。
7、分支机构,对于小型分支,部署MIG综合一体化与总部进行IPSec VPN组网;较大分支机构或具备加速业务需求的分支机构,部署WOC广域网加速设备进行加速组网;对于具备一定安全业务防护需求的分支机构,部署aBos分支一体机设备,开启虚拟防火墙、虚拟上网行为管理、VPN等模块进行该分支机构的安全防护和组网建设。
8、总部运维管理区域:部署全网安全感知平台,搭配旁挂在核心交换机的潜伏威胁探针,整体感知全网安全态势并进行风险预警。部署SSL VPN用于提供外部办公人员的安全接入。部署运维堡垒机,实现对运维人员操作服务器、网络设备、数据库过程的全程监控与审计,以及对违规操作行为的实时阻断。部署SC分支集中管控平台,对各分支机构的MIG、WOC等组网设备进行统一配置。
 

3.2.  方案详细介绍

3.2.1.   网络出口区域建设

3.2.1.1.  链路负载均衡保障网络整体稳定性
(1)链路负载总体描述
AD链路负载均衡设备来实现网络中多条链路入站(从外部发起对内部服务器的访问)和出站(内部客户端发起对外部的访问)方向负载均衡。
整个系统采用全冗余网络连接方式设计,来保证系统的高可用性和高可靠性。
对于出站流量,AD接收到流量以后,可以智能的将访问ISP1的资源的出站流量分配到ISP1的接口,并做源地址的NAT,(可以指定某一合法IP地址进行源地址的NAT,也可以用AD的接口地址自动映射),保证数据包返回时能够正确接收,其他的流量走ISP2的线路。
对于入站流量,AD分别绑定两个ISP 服务商的公网地址,解析来自两个ISP服务商的DNS解析请求。ISP1的用户访问通过ISP1的线路访问内部,其他的用户访问通过ISP2的线路来访问内部。AD不仅可以根据服务器的健康状况和响应速度回应LDNS相应的IP地址,还可以通过两条链路分别与LDNS建立连接,根据RTT时间判断链路的好坏,并且综合以上两个参数回应LDNS相应的IP地址。
特有的DNS透明代理技术、链路拥塞控制技术能够实现对带宽资源的合理利用,避免过多用户被分配到同一链路之上,造成访问速度变慢。
通过单边加速技术不需要在客户安装任何软件和插件就可以实现用户访问速度的提升,大大提升用户的访问体验。
(2)链路负载均衡及冗余
AD可以根据相应的链路负载均衡算法来实现快速访问的智能引导,比如将访问电信的用户引导至电信链路,访问网通的用户引导到网通链路,解决了不同ISP之间的互连互通问题,保证了最好的访问速度和最高的访问效率。同时,AD的健康检查机制实现对链路健康状况的实时监控,当有链路出现故障时AD会屏蔽故障链路,并自动将流量切向其它正常工作的备份链路,实现了链路的高可用性。
两台AD设备以主备的冗余方式方连接,处于备份状态的设备采用“心跳线”监测运行的设备的状态,当检测出设备故障时,两台设备就会产生毫秒级切换,备份设备会切换为运行主机,为用户提供服务,保证了系统的高可用性。
(3)易管理性
AD产品提供https的安全Web全中文的界面管理,本地基于Serial Console的管理和SSH安全远程命令行管理;
AD产品还支持智能分析功能,能够全面统计链路的运行状况如会话连接数、用户数、应用分布情况、IP来源等相关情况,方便管理员对网络进行优化。
3.2.1.2.  下一代防火墙提供2~7层的全面防护
防护技术是安全保障体系中最基础的第一道门槛,能够阻挡大量初级的攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。
下一代防火墙兼具传统防火墙、IPS、防毒墙等功能,是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。下一代防火墙解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。具备“可视、双向、智能、高效”的优势特点。基于下一代防火墙实现2-7层整体安全防护。能够精确识别用户、应用和内容,具备完整安全防护能力,不但可以提供基础网络安全功能,如状态检测、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。
3.2.1.3.   上网行为管理合理管控并审计用户上网行为
深信服AC行为管理提供全面的用户上网行为轨迹查询功能,支持查询用户的网站访问记录、邮件收发、IM聊天内容、论坛与微博行为、外发文件内容、外发信息、移动终端信息等各种上网行为轨迹,保证事后追溯能够有据可查。同时,深信服AC还可以查询用户的安全日志、危险行为日志、登录注销日志、智能提醒日志,以及整体网络的杀毒日志、安全事件日志、准入系统日志、防火墙日志和控制台操作日志等。除了用户行为日志以外,深信服 AC还支持查询基于用户、时间、应用的流量和时长日志,为用户行为追溯提供多维度的信息,保证日志信息的有效性和完整性。
(1)全网全终端统一管控、管理无漏洞
l  能够管理有线网络、无线网络,同时管理移动终端、PC/笔记本,管理无漏洞;
l  能够对多种移动应用进行有效地识别和精细管控;
l  对非法无线热点能够及时发现和精准控制,秒级识别非法热点;
l  能够基于位置、应用、终端、用户四维一体的识别与权限控制;
(2)上网行为管控更有效:上网应用识别更有效、管控更精细
l  具备全国最大的应用识别特征库和URL库,应用识别种类更多,并且每2周更新和淘汰一次,时效性更强、准确度更高。可以对迅雷、PPStream、风行等应用全流量识别;
l  应用控制更精细,可区分应用动作(如社交网站的浏览、发帖回帖、上传)、区分方向(如网盘的上传、下载)进行管控;
l  应用行为标签化管理,做到对指定类别的应用进行批量管理,策略部署更简单。
(3)上网行为管控更有效:流量管理更精准、控制保障两不误
l  P2P智能流控技术:精确控制P2P上下行流量,相比市场上其他P2P控制技术,深信服AC可提高30%以上的带宽利用率;
l  动态流控技术:根据具体的带宽空闲程度和业务需要,受限的通道可以突破上限,提高带宽利用率和用户体验;
l  流量管理策略更灵活,呈现更直观(能够针对URL类型、文件类型做流控,通道流量实时可视化以及细粒度的可视化报表)。
(4)上网行为管控更有效:外发数据识别更精确,真正防泄密
l  具备业界最好的内容识别与管控技术,可以对多种外发途径的数据进行有效管控(如网盘上传附件控制、论坛上传附件控制、邮件外发附件审计与控制、IM外发文件控制等);
l  可以对SSL加密内容精准识别与控制(如邮件客户端收发加密邮件、加密论坛审计等)。

3.2.2.  超融合数据中心区域建设

3.2.2.1. 数据中心超融合架构
3.2.2.1.1.  超融合架构介绍
通过超融合方案能够在最小的投入成本下实现快速新建数据中心,以服务器虚拟化为底层,向上构建出所画即所得的业务逻辑(网络虚拟化),向下充分利用服务器现有磁盘空间,扩展出分布式存储资源池(存储虚拟化),配合网络功能虚拟化所创建的安全服务资源池,实现东西向流量的安全服务。

3.2.2.1.2.  服务器虚拟化平台
虚拟化平台作为介于硬件和操作系统之间的软件层,采用裸金属架构的X86虚拟化技术,实现对服务器物理资源的抽象,将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源,并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境,实现更高的资源利用率,同时满足应用更加灵活的资源动态分配需求,譬如提供热迁移、HA等高可用特性,实现更低的运营成本、更高的灵活性和更快速的业务响应速度。

 
3.2.2.1.3.  网络虚拟化
网络虚拟化aNet通过提供全新的网络运营方式,解决了传统硬件网络的众多管理和运维难题,并且帮助数据中心操作员将敏捷性和经济性提高若干数量级。
aNet方案通过和服务器虚拟化aSV相结合,在虚拟机和物理网络之间,提供了一整套完整的逻辑网络设备、连接和服务,包括分布式虚拟交换机aSwitch、虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟vSSL VPN、虚拟广域网优化vWOC等虚拟网络、安全设备;然后,还可以支持VXLAN等增强网络协议,实现和物理网络的无缝对接,简化网络的配置管理;此外,还可以通过虚拟化管理平台,实现网络拓扑部署、网络故障探测等网络管理功能。
从而,aNet虚拟网络可以快速完成不同应用系统的网络部署,网络配置的自动化调整,网络故障排查等工作,提升网络的管理运维效率,提升网络扩展速度,降低数据中心物理网络的建设成本。

3.2.2.1.4.  存储虚拟化(aSAN)
存储虚拟化aSAN,基于集群设计,将服务器上的硬盘存储空间组织起来形成一个统一的虚拟共享存储资源池,即ServerSAN分布式存储系统,进行数据的高可靠、高性能存储。分布式存储系统在功能上与独立共享存储完全一致;一份数据会同时存储在多个不同的物理服务器硬盘上,提升数据可靠性;此外,再通过SSD缓存,可以大幅提升服务器硬盘的IO性能,实现高性能存储。同时,由于存储与计算完全融合在一个硬件平台上,用户无需像以往那样购买连接计算服务器和存储设备的SAN网络设备(FC SAN或者iSCSI SAN)。

3.2.2.1.5.  网络功能虚拟化(NFV)
软件定义网络成为了技术发展的趋势,厂商也率先在国内推出全系列的数据中心安全、优化产品(NGAF下一代防火墙、SSL VPN、AD应用交付、WOC广域网优化)软件虚拟化解决方案。这些过去需要以专用硬件方式部署的产品,不再需要依赖专用的硬件,可以以软件镜像的方式,完美支持在Vmware、KVM、XEN等服务器虚拟化环境下的部署。从而极大的简化数据中心网络的架构,为各个业务系统的虚拟应用按需、灵活的虚拟扩展出各种安全和优化方案,同时还便于划分清楚各方的运维职责。
软件虚拟化版本产品直接以虚拟机的方式运行,只需要分配好相应的CPU、内存、硬盘等资源大小,就可以获得对应性能的安全、优化产品。一般会分为1核、2核、4核、8核CPU等档次,性能从百兆到千兆。
功能方面,由于是将现有硬件产品的版本直接平移,所以软件版产品的功能与硬件设备保持一致,可以为用户提供最专业的网络安全、网络优化解决方案。
3.2.2.2. 服务器负载均衡设计
由于业务系统的人数日益增多,单一的网络服务设备的性能已经不能满足众多用户访问的需要,由此需要引入服务器的负载平衡,实现客户端可访问多台同时工作的服务器或业务系统虚拟机,动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。
服务器负载均衡的价值在于,该技术在现有网络结构之上能够提供一种廉价、有效、透明的方法,用以扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,其价值在于建立有效的负载均衡机制与健康检查机制。
运用多台服务器或虚拟机组建集群的机制,旁挂于数据中心汇聚交换机上的负载均衡设备能将所有真实服务器配置成虚拟服务来实现负载均衡,对外直接发布一个虚拟服务IP。当用户请求到达应用交付设备的时候,根据预先设定的基于多重四层、七层负载均衡算法的调度策略,能够合理的将每个连接快速的分配到相应的服务器,从而合理利用服务器资源,为大并发访问量的系统提供性能保障。通过对服务器健康状况的全面监控,深信服AD系列设备能实时地发现故障服务器,并及时将用户的访问请求切换到其他正常服务器或虚拟机之上,实现多台服务器之间冗余。从而保证关键应用系统的稳定性,不会由于某台服务器故障,造成应用系统的局部访问中断。此外,针对不同访问用户群的业务请求,应用交付设备也可通过商业智能分析提供商业决策依据
3.2.2.3. 数据库审计设计
通过在数据中心汇聚交换机旁挂数据库审计设备,搭建一套针对业务环境下的数据库操作行为进行细粒度审计的合规性管理系统。
数据库审计DAS通过对业务人员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产的正常运营。该系统能够实时监控对数据库服务器的操作流量,智能解析出各种操作,并提供日志报表系统分析,为进行事后的分析、取证提供证据。
DAS系统能够提供数据库访问关系图,以视图化的效果直观展示数据库访问关系;能够快速调查访问异常,通过访问关系快速查看异常访问告警;能够清晰呈现访问风险,对应高危操作、访问敏感信息、登录失败等事件一目了然。
关于威胁分析方面,DAS系统能够对泄密轨迹进行分析,通过数据泄密轨迹视图可精准定位泄密事件内容;能够对数据威胁进行检测,通过弱特征转强特征方式精准定位数据泄密;能够视图化威胁统,通过视图化效果展示外发数据人员、外发次数、受攻击业务系统。
针对管理权限方面,可管控越权访问行文,即低权限用户越权访问数据后泄密;可管控非法篡改行为,包括非法篡改、恶意损坏或者破坏数据、删除重要资料等;可管控提权操作行为,包括webshell挂马执行提权操作、利用漏洞、数据海量导出等。
通过DAS系统的内置大量分析报表,满足等保合规性;通过DAS支持对数据库、wen服务的7要素全面审计,达到审计全面性;通过其多样化的部署方式,物理部署、云业务虚拟化部署、自主研发的存储系统保障安全灾备,确保系统的高可用性。

3.2.3. 超融合网站群DMZ区域建设

超融合网站群的服务器架构与超融合数据中心一致,选用KVM超融合架构,搭载贵单位的网站服务器。该区域的安全加固还具备以下几部分:
3.2.3.1. DMZ区域边界增强级下一代防火墙
门户网站、业务系统网站等组成的网站群的安全要求非常高,因此,建议采用下一代防火墙增强级设备将门户网站服务器区与互联网逻辑隔离,加强访问控制的同时还能够对网站服务器进行NAT地址转换,隐藏其IP地址,避免被攻击。此外,防火墙还将业务系统隔离开来,各个业务系统之间也最大程度的保障了逻辑隔离。
3.2.3.2.云端安全监测
网站群的防护,以下一代防火墙构建防御核心,通过与深信服“智能云端服务”的联动构建“预测,防御、监测、响应”的综合自适应安全运维体系,实现对外发布业务安全的有效风险控制。

通过设备作为云端的安全扫描和检测工具,搭配本地的下一代防火墙,两者可以达到如下效果:
(1)威胁预测(云端威胁情报与安全评估)
云端安全评估:设备可以提供增量实时漏洞扫描的技术,结合安全大数据,7*24小时发现网站的漏洞,暴露面等,第一时间向用户预警;
未知威胁预警:结合云端威胁情报共享,实时发现主机上各种隐藏未知威胁;
可视化风险感知:提供攻击+漏洞+安全事件三个维度的安全风险报表,为用户提供可视化的风险感知能力,同时增强用户对安全价值的感知。
(2)威胁防御(NGAF边界联动防护)
事前:防漏洞扫描:提供多种主流漏洞扫描器的防御能力,防止系统存在的漏洞被外部攻击者发现;
事中:L2-7层攻击防御:构建L2-7层完整的防御体系,提供系统漏洞攻击防护、web应用程序的攻击防护、“OWASP十大web安全威胁”等防护能力,消除防御的短板;NGAF提供自动建模的主动防御的安全建模技术,可自动识别参数的字段、长度等能力并形成安全建模,抵御非法的异常请求;
事后:防篡改事后防御:事后提供服务器本地的防篡改的能力,敏感信息防泄漏能力,为安全提供最后一道防线。


(3)持续监测(云端智能安全服务)
业务可用性检测:云端实时检测web业务是否可以正常访问;
网站异常检测:7*24小时发现被篡改、挂马、植入黑链等异常事件;
失陷主机检测:结合云端分析及时发现隐藏的后门、被黑客控制的网站主机,用户不必分析海量日志,便可第一时间获得预警;
潜在风险持续监控:对网站暴露面、漏洞风险、0day漏洞、以及子域名的分布及风险状况进行持续的监控;
(4)主动响应(云端智能安全服务)
微信实时预警:7*24微信实时告警,推送安全播报、漏洞事件、待处置隐患等。
专人专职跟进:5分钟内快速响应事件,微信告警中指定应急专员全程跟进,提供在线咨询或直接处置服务,直到问题关闭并推送处置报告;
专家主动响应:自动化分析平台+云端专家团的方式对篡改、业务中断、后门、失陷等安全事件、以及高危风险进行主动的云端响应;
智能辅助决策:安全告警触发云端知识库匹配,在线提供解决方案和配套工具,为应急专员提供全程备选方案支撑;
3.2.3.3. 托管式安全防护
如果贵单位IT技术资源较缺乏,可通过厂商托管式安全防护对现有网站群做出安全防护。
托管式安全防护方案通过厂商“云眼和云盾”两大模块联动组成,构建“防御、检测、响应”三维一体的网站综合“动态防御”安全体系。
这套防御体系首先是通过强大的分布式风险监测平台不断地监测网站,来发现新的威胁和脆弱点,再通过循环反馈机制,由安全专家在云端进行云端防护策略的更新调整,保证安全策略有效且处于最佳状况,为网站提供持续有效的云端立体化防护,不让网站因为安全而失控出问题

3.2.3.3.1.  托管式防护所需部署
托管式防护采用云端安全服务的方式交付,贵单位无需购买硬件设备,仅需要配合深信服工程师将需要防护的网站进行相应的设置,便可立即上线基于“风险监测与云端联动防护”的网站安全服务。
3.2.3.3.2.  托管式防护设计理念
基于事件周期的设计
攻击的防护不可能实现百分百的安全。Web系统的安全建设必须贯穿到整个Web安全事件周期中,设立事前、事中、事后三道安全防线分阶段进行防护。
托管式安全防护提供事前系统安全评估扫描、事中攻击防护、事后实时监测的整体安全防护,全程专家参与和值守。
Ø  事前系统安全评估:在业务系统上线前进行安全评估,查看系统还存在哪些漏洞和隐患,一方面及时进行系统漏洞修复,另一方面也为防护策略配置提供依据;
Ø  事中攻击防护: 2-7层完整的安全防护,包括:Web攻击防护、漏洞防护、病毒防护抗DDOS攻击等;
Ø  事后实时监测:在系统运维过程中通过实时监测功能,及时发现系统存在的问题,进行安全策略的实时调优。
基于攻击过程的安全防护
传统的本地化web安全防护采用的是防火墙+IPS+WAF割裂式的安全防护体系,一方面针对各类的攻击总是被动的增补相应功能;另一方面安全防护策略往往在设备上线配置完成后就很少进行调优,特别是针对未知威胁的防护往往更是乏力。而对于Web安全防护不是单一攻击手段的防护,而需要对黑客攻击动机与时机进行分析,基于黑客的攻击过程的每一个环节进行统一防护。
托管式安全防护方案的设计是基于黑客攻击过程的完整Web系统安全防护,针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护:
Ø  扫描过程:提供防端口/服务扫描、防弱口令暴力破解、关键URL防护、应用信息隐藏等
Ø  攻击过程:提供强化的Web攻击防护(防SQL注入、OS命令注入、XSS攻击、CSRF攻击)、多对象漏洞利用防护等
Ø  破坏过程:提供抗应用层DOS攻击、可执行程序上传过滤、上行病毒木马清洗等
托管式安全防护是充分考虑安全事件周期性,基于黑客攻击行为的过程,提供完整的动态Web安全解决方案。

3.2.4.办公桌面云建设

桌面云可以为贵单位的IT建设和运维带来巨大价值,所谓桌面云就是将用户桌面和数据集中部署在数据中心(服务器)里,用户通过瘦终端或别的设备,利用虚拟交付技术去访问数据中心里的个人桌面,用云的方式随时随地交付个人桌面。
在运行过程中,每台服务器被虚拟成多台虚拟机,每用户独享一台虚拟机,并通过在虚拟机中安装OS、基础软件、办公应用等来满足基本办公需求。后端服务器虚拟化平台具有在线迁移、HA、数据备份等高级特性,可保证整合后平台的稳定可靠运行。
首先,桌面云的应用将极大的减少后期的运维成本。虚拟机模板技术让桌面上线时间缩短为10分钟左右,而技术人员也只需在“云端”进行软件维护,无需对每一台终端进行维护,单个IT管理员可轻松管理1000台终端或虚拟桌面以上,大大降低了维护的工作量和人力成本。
与此同时,桌面云还可以帮助客户节省资金开销。一是云终端硬件高度集成,零部件极少,损坏更换的概率极低,几乎没有维修费用,无人为损坏可使用8-10年,比传统电脑长一倍,使用周期的延长,大大降低设备更新的周期和成本。相反,传统PC机零部件复杂,损坏老化概率高,更新维修费用极为昂贵。当然,由于瘦终端日常耗电量仅需10W,相较于传统PC的主机可以帮助客户节省大量的电力成本。
最后,对于客户业务高可靠性来说,桌面云的高效运维可以最大程度地减少用户停机维护时间,时刻保证业务正常运营。同时桌面云将所有的数据集中存储在数据中心,像笔记本、瘦终端这样的前端设备只接收图像,整个业务过程里数据是不落地的,是非常安全的,不仅可以随时随地通过各类终端访问桌面,而且集中化的部署方式也更有利于IT部门利用技术手段来保证信息资产安全。

桌面云产品最重要的一个特点就是“一站式”,由深信服向客户提供包含服务器虚拟化软件(VMS)、桌面云虚拟化(VDC)以及瘦终端(aDesk)在内的整体解决方案,从而可以帮助用户降低投资和运维成本,更快速的实现虚拟桌面的部署。
瘦终端aDesk外观小巧精致,采用ARM架构和Android系统,性能强劲,处理速度快。相比于X86架构的瘦终端,其能耗更低、长期运行稳定性更高(无需散热)、且操作系统精简化,可实现零维护。同时,利用外设重定向技术,可兼容桌面应用中的各类外设。
虚拟桌面控制器VDC主要实现用户接入认证、细粒度策略控制、虚拟桌面及瘦终端的统一监控、管理等,以更低成本、更安全、更可靠地交付Windows桌面,支持硬件VDC和软件VDC(部署于虚拟机)两种部署模式。
服务器虚拟化软件(VMS):祼金属架构,直接安装于物理服务器上,提供性能强劲、高可靠性的虚拟化计算平台,实现虚拟机快速部署、资源管理和监控、动态在线迁移、数据备份及恢复等,可为云桌面工作负载提供先进功能,支持大规模部署且易于操作。

3.2.5. 广域网边界建设

贵单位下属多家分支单位,需要实现分支接入和数据传输。目前组织总部和分支之间有业务交流与协助、财务系统的实时对接、交易数据的传输等。为了保证总部和分支之间通道无缝连接而高效管理,网络成为总部分支机构之间业务的纽带,网络安全性和数据高效性则成为总部和分支之间重要前提条件。
3.2.5.1. 广域网边界安全建设
通过在广域网外联处部署两台下一代防火墙AF,实现分支网络与总部数据传输的有效隔离,避免将流量中产生的安全威胁扩散,避免被动攻击总部的数据中心。下一代防火墙开启访问控制模块、IPS入侵防御模块等功能,通过多模块间的联动效果,既为接入流量做出相应的访问权限限制,又进行了应用层的安全检测,确保建立2~7层的安全防护屏障。
3.2.5.2.广域网边界加速建设
贵单位总部广域网边界部署两台WOC广域网加速设备,需进行加速VPN组网建设的分支单位也在网络出口部署WOC设备,支持多种模式部署(网关、单臂、网桥)可适应各种网络环境。
总部与分支通过互联网建立加速VPN网络,实现分支安全访问集中在总部的ERP、财务系统、邮件等应用服务器。
对整网设备启用应用加速、数据削减、网络传输优化等加速优化功能,保障访问效果。针对网络跨运营商、跨地域广、网络质量导致的丢包延时问题,采用HTP高速传输协议进行优化,保障应用能连、能用、好用,恶劣环境下甚至可获得5-10倍的提速。针对冗余数据过多拖慢响应速度、增加带宽吞吐压力的问题,采用流缓存、流压缩等技术,最高可削减60%-90%的流量,大幅加速。针对应用系统采用多种应用协议代理机制,优化应用本身的交互机制,提高用户打开一个页面、下载一个文件等操作的速度体验。

组网加速VPN设备都开启广域网流量管理功能,一方面对上网流量进行流量整形,对非业务上网流量、占用大带宽的P2P等应用进行流量限制或是使用管控;另一方面对VPN连接、对外发布的网站等业务应用进行带宽的保障。并提供流量可视报表,智能分析全网,基于应用、用户IP、加速效果等因素提供详尽的报表,便于管理员对网络健康状况进行分析,并进一步定位优化措施。

3.2.6. 分支机构组网建设

3.2.6.1.小型分支机构综合一体化网关组网建设
针对贵单位的中小分支需要与总部进行联网安全通信的业务需求,建议于分支处部署厂商MIG一体化综合网关,从灵活组网到业务管控实现全方位的高性价比方案。
MIG网关遵循的是IPSec协议。通过IPSec在Internet上建立安全可信的隧道,各实体之间的数据都是通过安全隧道传递。
MIG融合了传统防火墙,行为管理、流控及VPN功能,能够有效满足中小型分支网络出口安全和管理的诉求,实现对内网上网行为的合理管控,对非办公业务的有效封堵或限制,对核心应用的合理带宽保障,保证网络的稳定性,提高分支办公效率,为组织和小型分支机构带来更多的附加价值。

同时,MIG网关产品,安装方便,可以实现远程安装、远程部署。安装可以在10分钟内完成,大大降低了部署VPN网络的成本。
MIG可以与SC集中管理产品无缝的融入,方便管理IPSec VPN网络上的设备,全面综合地解决了大型VPN网络难于管理、安全隐患多和IT管理成本大的问题。通过SC强大灵活的管理手段,IT管理员位于任何地方都可以清晰直观的了解任意一台VPN设备的运行情况,并对出现的问题可以及时做出处理。
3.2.6.2. 大中型分支机构加速VPN组网建设
存在业务数据加速需求的分支机构,部署深信服WOC广域网加速设备,与总部WOC设备搭建加速VPN网络,在保障业务数据通过VPN隧道安全可靠的到达总部网络的同时,通过流缓存技术、HTP高速传输协议、流量削减优化等技术达到VPN加速效果,实现分支与总部间的高速、稳定、安全数据传输。
3.2.6.3. 具备业务系统建设需求的分支机构融合一体化网关建设
对于贵单位部分存在业务系统建设需求的分支机构,深信服提出了基于aBOS一体机建设的新一代网关解决方案。
该方案集成厂商业界内领先的虚拟网络设备、计算、网络等虚拟化组件。通过全新的软件定义网络形式,提供具备快速性、安全性、可扩展性的一站式轻型数据中心建设解决方案,帮助分支机构快速搭建轻型数据中心。方案架构如下图所示:

厂商aBOS一体机采用超融合架构,基于x86服务器,提供网络功能虚拟化(NFV)、服务器虚拟化、存储虚拟化、虚拟交换机、虚拟路由器等资源服务用户可按需灵活组合网络功能设备。若随着业务发展有新的资源服务需求时只需license激活即可使用,无需重新购买和部署替换硬件设备。
关于成本方面,厂商aBOS一体机最少只需一台就可以满足2-7层安全防护、上网行为管理、SSL VPN,同时提供新建系统所需服务器与存储资源等需求。不仅简化了需采购及部署多种不同功能、品牌设备的流程,也大幅节省IT投入成本,降低运维成本。
关于运维方面,厂商aBOS一体机通过可视化WEB管理平台可管理所有虚拟设备、实时监控网络流量及资源利用率,定位网络故障几分钟就可以解决,让运维管理更简单。同时提供所画即所得的网络拓扑,在前期网络建设时候更智能化。

 

3.2.7. 总部运维管理区域建设

3.2.7.1. 内网潜伏威胁检测建设
当前安全设备存在日志信息量庞大、面对大量涌来的分散的安全信息,各种安全产品不同的界面和告警窗口,即便是专业的信息安全管理人员也往往束手无策,难以发现真正的安全隐患、有效判断攻击行为,洞察潜伏威胁以及威胁影响范围。同时,当前防御体系侧重于出口和边界防护,防御一旦绕过,攻击者将一马平川,进行大量的横向扩散,黑客内网恶意行为无法被边界设备检测到,黑客能够长期潜伏,窃取大量机密信息数据。
内网潜伏威胁检测方案以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化平台等技术,对全网的流量实现业务可视化,威胁可视化,攻击与可疑流量可视化,定位异常与违规行为,发现潜伏威胁,解决安全黑洞与安全洼地的问题。
要达到此检测目的,首先在网络核心交换机旁挂潜伏威胁探针设备,在安全运维管理区部署全网安全感知平台一体机。探针将所有经过核心交换机的流量进行镜像,流量经过探针的初步分析之后,发送给后端全网安全感知平台进行深入建模分析。
该平台除探针可作为数据来源以外,还具备以下数据来源:
外部数据来源
Ø  国内外数十个知名的安全机构,如:CNVD、CNNVD、Virustotal、Threatcloud、Malware 、Abuse 等;
Ø  厂商在线的近万台安全设备上报的安全威胁情报;
Ø  厂商安全云检测平台、安全服务团队监测获得的海量威胁情报;
内部数据来源
Ø  出口与边界厂商安全设备数据、包括NGAF、AC、VPN等设备,终端EDR检测数据;
Ø  探针通过镜像交换机流量采集的全流量数据;
Ø  第三方安全设备通过标准的SYSLOG采集的日志信息;
平台内部承载着如下众多分析检测技术:
基础安全检测
检测技术有基础和高级之分,但对于检测黑客入侵而言,基础检测能力同样是至关重要。基础检测能力是指针对那些传统的、常见的异常流量进行检测的能力,主要包括异常会话检测、敏感数据泄密检测、漏洞利用攻击检测、Web应用攻击检测、僵尸网络检测、业务弱点发现等多位的威胁检测能力。
高级威胁检测
安全感知平台内建的算法能够对病毒行为、异常外联行为、黑客常用攻击行为等特征进行分析,该算法融合了fast-flux识别、iForest、主机网络流量模型、协议模型学习,同时结合大数据关联分析引擎提供的联动分析以及DGA域名判别构建融合检测模型,从而从及时发现失陷主机与潜伏威胁。

访问异常检测和UEBA
基于用户历史行为和用户之间的行为相似性,相似性作统计分析,利用机器学习进行建模,从而对用户和主机等实体进行分析(UEBA)、识别出用户对业务系统的异常访问,进而发现客户凭据被盗、用户主机失陷等潜在威胁。

 
通过平台详细的分析,我们可以得到如下内网安全结果:
洞悉网络行为,看清资产间的异常访问关系

通过潜伏威胁黄金眼视图,以不同安全视角了解威胁影响面

基于安全事件视角,第一时间确定内部网络是否有感染热点事件

基于安全事件信息,给出详细的举证内容


基于业务和资产感知威胁,并给出相应的处置建议

 
3.2.7.2. SSL VPN远程安全接入建设
随着贵单位的业务系统建设日趋完善,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
通过在总部运维管理区旁挂部署一台SSL VPN设备,对工作人员的外部接入过程建立安全的SSL VPN隧道。
3.2.7.2.1.  SSL VPN实现远程办公
采用SSL VPN对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用SSL协议进行数据传输保护,对于数据传输采用标准的AES、RSA、RC4等加密算法,或国家商用密码算法SM1、SM2、SM3、SM4对传输数据进行加密,安全性有保障。
3.2.7.2.2.  系统认证安全性得到增强
在系统安全认证方面,采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。
由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
3.2.7.2.3.  服务器区隔离保护增强安全性
将厂商SSL VPN设备以单臂方式部署,通过配置使数据流经由SSL VPN后走向内网服务器区,对办公网与服务器区这两部不同安全级别的区域进行隔离。由于SSL VPN设备对外只开放443端口,从而可屏蔽掉其他端口的攻击。SSL VPN的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。SSL VPN在进行用户对服务器区发起的访问时,采用SSL VPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。
3.2.7.2.4.  专网内隧道逻辑隔离,构建统一应用平台
贵单位若已经和分支建立专线组网,可将应用系统以SSL VPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭,但分支用户登录SSL VPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发,对于用户权限外的应用,SSL VPN将自动阻断其连接,防止恶意盗链。
3.2.7.2.5.  远程应用发布,方便移动端查阅PC软件数据
厂商EasyConnect远程应用发布解决方案通过SSL VPN和企业内网部署的终端服务器,将企业应用程序界面用图形的方式呈现于智能终端之上。在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问,解决企业用户通过iPhone、iPad、Android等智能终端访问的问题,实现业务数据快速迁移,同时保障业务系统数据不落地,存储在终端服务器,同时根据本地用户习惯,融入本地输入法、打印机、本地签名等提升用户使用便捷度。

3.2.7.2.6.  现有移动APP安全接入组织业务系统
对于已具备APP客户端的业务系统,如客户自主开发集成VPN功能,需要非常大的工作量。厂商可以为具备Socket开发能力的第三方应用开发商提供软件开发工具包VPN SDK包,极大地降低开发商的开发工作量。客户可根据需要选择合适的精简集成SDK的方式,就可使得最终用户具备多种身份认证和数据SSL传输加密的功能,从而增加业务系统的安全性。

3.2.7.2.7.  移动设备双域隔离,一机两用
对于员工或组织配发的移动设备,需要公私两用,需要将单位数据与个人数据隔离,从而保障企业数据安全。该方案在安全沙盒中创建安全隔离工作域。区别于个人域,安全工作域仅为组织应用和组织数据提供运行和存储环境。因此,管理员可将传统数据安全边界延伸到用户的终端上,形成动态的数据安全边界。同时,用户进入安全隔离区前必须通过严格身份认证,保障用户身份安全。可以为用户划分相应归属组,用户归属不同部门,应用权限不同,例如销售部用户可下载移动展业应用、客服部用户可以下载移动 CRM 应用。关于加密算法方面,支持标准商密算法及 SM1、SM2、SM3、SM4 算法,即便在酒店、咖啡厅、机场等地,也可以放心办公,无需担心数据被黑客窃取和篡改。

3.2.7.2.8.  组织配发设备,专机专用加强管控
该方案方案在上述双域隔离的数据安全保障基础上,强制工作域,设备、客户端、网络与服务器全面管控。通过规范用户的使用为用户屏蔽可能遭受的外部攻击风险,通过对设备基础功能、应用使用及数据通路的严格管控进一步提升数据安全等级。管理员可以对设备进行策略制定,如防止设备被 ROOT、恢复出厂设置、刷机,禁止设备使用打电话、发信息、拍照、录音、截屏、定位等基础功能,并且可以通过 SIM 卡绑定方式避免用户私自更换 SIM 卡上网。

3.2.7.3. 运维安全堡垒机建设
关于整网的运维安全问题,首先从管理模式上进行分析。管理模式是首要因素,综合考虑整体的情况,然后制定出相应的解决策略,最后落实到技术上实现。随着应用的发展,设备和维护人员的扩充,必须将分散的管理模式逐步转变为集中的管理模式。只有集中才能够实现统一管理,集中管理是运维管理思想发展的必然趋势。这个安全管理框架包括集中的资源访问入口、集中账号管理、集中授权管理、集中认证管理、集中审计管理等等。堡垒机设备身份及访问管理系统正是提供基于此安全管理框架的集中访问管理平台。
堡垒主机系统,是一种被加固的可以防御入侵的新型安全产品,具备坚强的安全防护能力。所有对网络设备和服务器设备的请求都要从身份及访问管理系统这扇大门经过,它对IT资源扮演着看门者的职责。设备身份及访问管理系统提供集中统一的安全管理平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全运行。

堡垒机支持主账号和被管资源的分组管理:分组可以树形方式展现,不限制分组层级数量。可以将组的管理权限下放给下级管理员。例如业务部门的设备和人员不由IT管理部门管理,而是由业务部门自管理的。对于拥有大型网络的用户来说,一般都存在这种业务部门自管理的情况。
堡垒机具备完整的文件访问安全保障:支持FTP、SFTP、Windows共享、RDP本地资源等方式进行的文件访问操作管理,能对这些文件操作进行控制和审计。能够实现文件内容的关键字审核和人工审核,并对文件的风险进行扫描,避免带毒文件对服务器造成损害。
堡垒机支持运维过程流程化管理:支持运维过程流程化管理,如支持资源账号的主副岗管理和双人共管管理。临时性的一次性访问者每次做设备访问时必须向主要维护者即主岗发起申请,主岗用户根据申请的人员和理由判断是否允许设备访问,如果允许访问可以批准此流程,然后申请人才能发起设备的访问。申请人完成设备的一次性访问后,访问权限自动失效,下次访问仍需申请。除了登录流程,还支持入职申请流程,人员职位变更流程,离职流程,资源添加流程,授权流程等等。
所以,通过堡垒机可以实现集中账号管理,降低管理费用;实现集中运维人员身份认证,避免冒名访问,提高访问安全性;实现集中授权管理和访问控制,简化授权流程,减轻管理压力;实现单点登录,规范操作过程,简化操作流程;实现实名运维审计,满足安全规范要求。
3.2.7.4. 分支组网设备集中管控平台建设
考虑的贵单位目前具备较多分支,各个分支机构通过独立的网络出口访问外部网络,总部希望通过统一的策略配置和下发,保证组织整个网络的健康运行。
在总部运维管理区部署SC集中管控平台,可集中管控各分支的MIG、WOC等VPN组网设备,或管控各分支AC上网行为管理设备,或管控各分支AF下一代防火墙设备。
3.2.7.4.1.  设备部署
分支机构人员只需简单配置相应设备(如MIG、AC)的IP、网关、路由等基本网络信息,确保该设备能够与Internet连通后,将总部SC的地址填入即可。在总部SC与分支设备建立连接后,分支设备的所有其他配置选项完全可以通过总部SC实现配置和管理,无需分支人员在参与,从而帮助大型组织快速、方便的部署多台设备。
3.2.7.4.2.  日常配置管理
通过使用SC集中管理平台,总部可以将全网的成百上千台分支设备集中管理。总部的IT管理人员通过编辑SC“复制模板”上的相关配置,并通过一次鼠标点击实现全网指定设备上相关配置的统一和更新,既方便了管理同时又确保了策略的一致性。而对于某些分支设备上部分配置较“个性化”而与其他分支设备不同时,IT管理者同样可以通过SC对此类设备进行单独编辑和配置的单独下发。从而实现集中化和个性化的灵活性要求。
3.2.7.4.3.  分级管理简化运维
SC集中管理平台支持管理员分级管理。将分支设备划分到SC的不同“区域”中,SC上配置的不同管理员将具有不同“区域”的管理权限,具体权限划分包括Read-Only只读权限和Read-Write读写权限之分;同时SC支持将指定的分支设备的不同功能模块的修改权限下放给分支本地管理员,从而实现总部管理员、“区域”管理员、本地管理员的分级管理结构,强化了管理的灵活性。
3.2.7.4.4.  实时监控分支设备运行状态
部署于总部的SC集中管理平台通过集中监控模块可以查看全网所有分支AC设备的运行状态,包括该分支设备是否在线(是否由于分支机构人员为避免被管控而故意将其断电下架?)、CPU利用率(设备性能是否满足分支当前网络规模?)、内存占用率(硬件设备是否有升级的必要?)、数据包收发统计(分支机构是否遭遇DOS攻击或流量管理策略过于粗放?)等信息。缺乏实时监控的总部IT部门只能等到分支机构人员报告故障时才会匆忙应对,不仅降低工作效率,同时降低了分支机构人员的满意度和影响SLA达标;而通过SC的集中监控功能,总部IT人员可以实时发现分支机构的运行状态,及时定位问题所在,为全网用户提供一个更稳定、更高效的互联网访问环境。
3.2.7.4.5.  全网设备智能升级
SC集中管理平台的智能升级功能可以在SC上加载升级包,设定时间计划,并勾选需要升级的分支设备,SC将帮客户自动完成,并通过实时监控模块显示被升级的分支设备的运行状态、是否在线等情况,极大的方便和简化了IT人员的工作量。

3.2.8.      总部无线网络建设

无线网络所需是提供基本的无线上网环境,满足贵单位人员无线办公、访客无线接入,以及业务数据传输承载。但同样需要安全性、高可靠些、高稳定性。
网络建成只是为了“铺路”,只有在这条“路”上有“汽车”(各种信息咨询服务)快速奔跑了,才会真正把网络建设好。
稳定性:系统设计中设备和链路本身具有高可靠性,无线AP灾备功能,但后台无线控制器出现宕机,扔可保证用户正常上网。另外,智能负载均衡,主动限制低速终端所带来的整体网速下降问题,通过动态、静态流控功能,实现有限带宽高可用。
合理性:整个系统网络结构明确,无线控制器旁挂核心交换机,所有AP采用POE交换机通过网线进行供电,按需在各楼层部署若干无线AP。
安全性:内部员工采取账号密码认证,每一个人一个独立的账号密码,告别传统PSK密码认证被360共享软件破解问题,从源头做到谁能接入谁不能接入问题;以及认证数据终端到无线AP加密传输,杜绝黑客破解。
VLAN支持根据不同的SSID、不同AP、不同用户身份进行VLAN划分,利用一套网络设备实现完美的逻辑隔离,在降低建设成本的同时保证内网数据的高安全性。可针对各个部门不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。根据企业的不同部门(市场、研发、领导),不同的终端(手机或电脑)、不同的用户(内部员工或客户)划分不同的角色,并配以不同的权限,这样便能充分保证各自的安全,防止越权。
可管理性:所有无线AP采取瘦组网模式,利用无线控制器进行统一集中管控,所有的配置一键下发。无线控制器内置网络管理平台,实现可视化的在线运维,以及提供手机APP随时随地的网络运维模式。
流控功能:接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。平均带宽分配:支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
上网行为管控:内置全国最大应用识别库,可识别2400多种网络应用以及三千万级别的URL,可针对危险应用和URL进行封堵和控制,从而提高公司网络的安全性。以及实现员工上网行为管控,限制上班期间能做什么不能做什么,有效保证上班效率。
智能营销推送:无线控制器内置智能营销模块,提供portal认证界面的广告推送,展示企业创新图片、新闻。以及可以根据不同认证地点、时间、不同的上网访问行为推送不同的营销广告。