成人网站在线浏览|女人—91视频同性日韩精品免费|亚洲色图区99成人影片|日韩欧美亚洲三区|97人人看人人弄|国产精品视频白浆免费|日本一本久到综合|亚州欧美国产综合|日韩精品一区二区葵司亚洲91|动漫精品无码

?

大數(shù)據(jù)運營公司??李向廷

?

摘 ?要 ?通過對鐵法能源公司網(wǎng)絡現(xiàn)狀及需求進行了簡單分析，針對鐵法能源公司網(wǎng)絡存在的各種安全風險提出了完整的解決方案。

關鍵詞?網(wǎng)絡 ?安全防護 ?解決方案

?????????????????????????

1?時代背景

?

隨著信息應用的發(fā)展、網(wǎng)絡犯罪的增多、黑客的肆虐、色情信息的泛濫、信息間諜的滲透等問題越來越不可避免。為了加強對互聯(lián)網(wǎng)的控制和管理及企業(yè)內部網(wǎng)絡的安全，根據(jù)《中華人民共和國網(wǎng)絡安全管理法》及《網(wǎng)絡信息安全等級保護制度2.0》的要求，國家政府機關及國有重型企業(yè)必須安裝網(wǎng)絡安全防護設備，以保證網(wǎng)絡安全。

?

2 網(wǎng)絡現(xiàn)狀及需求分析

?

鐵法能源公司網(wǎng)絡雖已建設完成，但并沒有其他有效的網(wǎng)絡安全防護手段，整個網(wǎng)絡在安全防護上幾乎是裸奔。面對不斷進化的病毒，以及多元化的攻擊手段等，想保證鐵法能源公司網(wǎng)絡安全幾乎是不可能的。

當前網(wǎng)絡中充斥大量的P2P，占用本就不富裕的公網(wǎng)帶寬，使得如視頻會議、收發(fā)工作郵件、OA系統(tǒng)等業(yè)務需求無法滿足，造成業(yè)務效率低下。

網(wǎng)絡中也可能會出現(xiàn)：非法的終端接入、上網(wǎng)行為不規(guī)范、發(fā)布違法言論的帖子等違法行為，且無法定位涉事人員。

對于進入公司網(wǎng)絡攻擊業(yè)務區(qū)服務器（數(shù)據(jù)庫、Web）等，更是沒有有效的防御手段。

無法實時監(jiān)測設備的運行狀態(tài)，以及無法及時有效的發(fā)現(xiàn)發(fā)生在各個設備所產生的安全事件。

根據(jù)上面的分析，鐵法能源公司網(wǎng)絡存在的主要安全風險問題如下：

一是無法保障業(yè)務需求帶寬，導致業(yè)務效率低效。

二是無法保障公司信息安全，導致機密信息、文件泄露。

三是無法避免網(wǎng)絡違法、不健康行為，導致公司面臨風險。

四是無法追溯定位違法、泄密的涉事人員。

五是無法規(guī)避PC、手機等終端帶來的木馬、病毒程序對局域網(wǎng)的侵害，導致業(yè)務中斷等問題。

六是對突破防火墻的攻擊沒有防御手段。

七是重要的業(yè)務區(qū)域沒有安全防御手段。

八是無法及時的監(jiān)測設備狀態(tài)，產生的安全事件無法集中審計處理。

?

3 解決方案

?

鐵法能源公司網(wǎng)絡龐大且復雜，擁有上萬用戶。面對如此復雜的網(wǎng)絡環(huán)境所引發(fā)的問題都無法通過傳統(tǒng)的網(wǎng)絡安全防護手段實現(xiàn)，必須通過云安全服務、防火墻、入侵防御系統(tǒng)、Web應用防火墻、上網(wǎng)行為管理系統(tǒng)、日志審計系統(tǒng)等安全防護產品來解決。簡而言之，就是通過這些網(wǎng)絡安全防護產品的組合應用對鐵法能源公司網(wǎng)絡進行安全防護。

????為保證鐵法能源公司網(wǎng)絡安全穩(wěn)定運行，規(guī)范員工上網(wǎng)行為，打擊網(wǎng)絡非法犯罪，根據(jù)鐵法能源公司網(wǎng)絡實際情況，特設計解決方案對鐵法能源公司網(wǎng)絡進行安全防護（附圖）。

附圖 ?鐵法能源公司網(wǎng)絡安全防護方案

?

在互聯(lián)網(wǎng)訪問出口部署一臺防火墻，做為保證鐵法能源公司網(wǎng)絡安全的第一道屏障。在防火墻下聯(lián)部署IPS入侵防御系統(tǒng)，強有效的防御突破防火墻的安全威脅。針對公司的重要業(yè)務區(qū)（服務器區(qū)）在IPS入侵防御系統(tǒng)下聯(lián)部署Web應用防火墻（WAF），對重要的業(yè)務區(qū)進行強有效的安全保障。針對企業(yè)內部產生的上網(wǎng)行為不規(guī)范的問題，我們部署上網(wǎng)行為管理設備，通過串聯(lián)在核心交換機與Web應用防火墻（WAF）之間，使全網(wǎng)流量路過上網(wǎng)行為管理設備，對內網(wǎng)用戶的上網(wǎng)行為進行管控，列如：使其不可通過百度貼吧發(fā)布非法言論，或泄露公司機密，針對企業(yè)內部的P2P協(xié)議族，占用大量公網(wǎng)帶寬的問題，通過上網(wǎng)行為的流量管控加以限制。對于公網(wǎng)側訪問內網(wǎng)服務的流量，通過云安全服務來分析流量的安全性，通過云端廣闊的病毒庫、代碼特征庫等，來保障外網(wǎng)訪問內網(wǎng)服務的流量是安全的。對于內網(wǎng)服務器所產生的安全事件，通過日志審計設備集中管理并且審計，及時的監(jiān)測業(yè)務的運行情況，并對安全事件加以處理。通過這樣的網(wǎng)絡安全防護產品組合，攻擊者無論從哪個方向訪問鐵法能源公司網(wǎng)絡資源都能做到有跡可察，使其行為暴露無遺，為事后取證提供可靠依據(jù)，對網(wǎng)絡潛在威脅者予以威懾，有效保證鐵法能源公司網(wǎng)絡安全。

?

4 網(wǎng)絡安全防護產品功能簡介????

?

4.1防火墻

4.1.1 防火墻的名詞解釋

????防火墻是指在不同的網(wǎng)絡（如可信的內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間設置的一組組件，其目的是保證“可信”網(wǎng)絡的安全，維護“可信”網(wǎng)絡與“不可信”網(wǎng)絡之間通信的便利性。防火墻是受保護網(wǎng)絡和外部網(wǎng)絡之間的屏障，用于防止不可預測和潛在破壞性的入侵?？梢酝ㄟ^監(jiān)控來實現(xiàn)。為了實現(xiàn)網(wǎng)絡的安全，必須限制和改變穿越防火墻的數(shù)據(jù)流，并盡可能屏蔽網(wǎng)絡內部的信息、結構和運行保護。從邏輯上講，防火墻是一個分析器、分隔器，也是限制器，它有效地監(jiān)控Intranet和Internet之間的通信，保證內部網(wǎng)絡安全。

4.1.2 防火墻的功能

防火墻通過過濾不安全服務，可以大大提高網(wǎng)絡安全性，降低子網(wǎng)中主機的風險。例如，可以禁用防火墻NIS和NFS服務通過，防火墻可以拒絕源路由和ICMP重定向數(shù)據(jù)包。

防火墻具備對內部系統(tǒng)的訪問控制功能?？稍试S通過訪問控制策略從外部網(wǎng)絡訪問系統(tǒng)內部主機，也可以通過訪問控制策略禁止訪問外部網(wǎng)絡。

防火墻實現(xiàn)了對網(wǎng)絡的集中安全管理。防火墻中定義的安全規(guī)則可以在整個內部網(wǎng)絡系統(tǒng)中運行，而不必一一對每臺機器配置相同規(guī)則策略。

4.1.3 防火墻的配置策略

鐵法能源公司防火墻部署在互聯(lián)網(wǎng)總出口，采取的策略是：互聯(lián)網(wǎng)訪問鐵法能源公司內部網(wǎng)絡的端口全部封閉，只放開需要對外發(fā)布的服務端口，并對互聯(lián)網(wǎng)上的一些危險網(wǎng)站IP實施阻斷策略； 對于內部網(wǎng)絡需要訪問互聯(lián)網(wǎng)的用戶只開放已知的需要使用的端口，未知端口全部封閉，這樣極大地保證鐵法能源公司內部網(wǎng)絡安全。因為互聯(lián)網(wǎng)上的攻擊都是通過放開的端口進入進行攻擊的。

4.2 IPS入侵防御系統(tǒng)

IPS入侵防御系統(tǒng)是一種網(wǎng)絡安全設備，是對防毒軟件和防火墻的補充。網(wǎng)絡攻擊突破防火墻后，面對的就是IPS入侵防御系統(tǒng)。IPS入侵防御系統(tǒng)是一種能夠監(jiān)視網(wǎng)絡運行狀態(tài)的計算機網(wǎng)絡安全設備。它可以立即中斷、調整或隔離一些異?；蛴泻Φ木W(wǎng)絡數(shù)據(jù)入侵行為。在網(wǎng)絡區(qū)域邊界，通過部署IPS入侵防御系統(tǒng)來監(jiān)控或阻斷網(wǎng)絡攻擊，并及時生成報警和詳細報告。?

在鐵法能源公司網(wǎng)絡部署IPS入侵防御系統(tǒng)，主要解決突破防火墻后的安全威脅。對整個內部網(wǎng)絡全局的安全性進行強有效的加強。

IPS入侵防御系統(tǒng)可以針對網(wǎng)絡安全提供多方位的防護措施，如訪問控制可以在用戶管理中進行配置，信息監(jiān)控和過濾可以在上網(wǎng)管理中配置。安全防護則提供了DDoS防護、ARP防護、防火墻策略、病毒查殺、惡意URL檢測、失陷主機檢測等功能，為網(wǎng)絡安全再添保障。 當網(wǎng)絡中有異常流量產生時，如上傳包速率很高、遇到DDoS攻擊或者病毒帶來的ARP攻擊，系統(tǒng)會自動偵測異常，發(fā)出告警并采取相應控制措施，幫助管理員排除故障，保護網(wǎng)絡正常使用。

IPS入侵防御系統(tǒng)滿足對重要網(wǎng)絡邊界攻擊行為的監(jiān)控要求，滿足分級保護中對端口掃描、暴力破解和木馬攻擊的防護要求，滿足了對網(wǎng)關攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊的監(jiān)控要求。

IPS入侵防御系統(tǒng)能夠有效地記錄攻擊行為：當檢測到攻擊行為時，記錄攻擊類型、攻擊源IP和攻擊目標，此外，它還可以在嚴重入侵時提供報警。

IPS入侵防御系統(tǒng)實現(xiàn)了對網(wǎng)絡中重要信息的保護功能，能夠按照分級保護的要求，記錄對重要業(yè)務服務的入侵行為、入侵源IP、攻擊目的、攻擊類型、攻擊時間。

4.3 Web應用防火墻（WAF）與云安全服務

主要保障鐵法能源公司的各種業(yè)務服務器，并有效抵御各種應用層的攻擊。

Web應用防火墻（WAF）是一種通過實現(xiàn)一系列針對http/HTTPS的安全策略來為Web應用程序提供特殊保護的產品。主要用于防御網(wǎng)絡應用層攻擊，如跨站點腳本攻擊、SQL注入、參數(shù)修改、拒絕服務攻擊、應用系統(tǒng)漏洞攻擊等。

Web應用防火墻（WAF）可以智能地識別Web系統(tǒng)的服務狀態(tài)，在線優(yōu)化防御策略規(guī)則庫，分發(fā)虛擬補丁，提供技術支持。

Web應用防火墻（WAF）可實時有效防御各種網(wǎng)絡蠕蟲攻擊、DDoS攻擊、CC攻擊。即使在極端情況下，Web系統(tǒng)被入侵，甚至被完全破壞，Web應用防火墻（WAF）也可以重構安全內容，保證系統(tǒng)的正常運行。

云安全服務能夠保證通過互聯(lián)網(wǎng)訪問鐵法能源公司內網(wǎng)的信息是安全的。外部用戶訪問鐵法能源公司網(wǎng)絡的所有信息必須經過云安全服務來檢測，通過云端廣闊的病毒庫、代碼特征庫等清洗過濾掉有害信息，以保障鐵法能源公司網(wǎng)絡安全。

4.4?上網(wǎng)行為管理系統(tǒng) ??

上網(wǎng)行為管理系統(tǒng)規(guī)范內部網(wǎng)絡用戶的上網(wǎng)行為，限制迅雷下載等P2P的帶寬占用問題導致的業(yè)務的帶寬需求無法滿足，以及貼吧發(fā)帖泄密問題，終端非法接入內部網(wǎng)絡的安全性問題，涉事人員追蹤定位問題等等。

???上網(wǎng)行為管理系統(tǒng)部署在協(xié)同辦公平臺、郵件等服務器前端，審計鐵法能源公司網(wǎng)絡內部用戶IP、MAC地址等信息。

???上網(wǎng)行為管理系統(tǒng)對鐵法能源公司網(wǎng)絡內部用戶的網(wǎng)絡行為進行監(jiān)控、對在互聯(lián)網(wǎng)傳輸?shù)膬热葸M行審計?(如用戶是否在工作時間內上網(wǎng)聊天、玩游戲，是否訪問非法網(wǎng)站，是否通過互聯(lián)網(wǎng)泄漏了企業(yè)的機密信息，是否通過互聯(lián)網(wǎng)發(fā)布傳播反動言語等等)。上網(wǎng)行為管理系統(tǒng)可通過對用戶訪問互聯(lián)網(wǎng)的行為進行后期取證，以達到對互聯(lián)網(wǎng)潛在威脅者予以震懾。

????上網(wǎng)行為管理系統(tǒng)不僅可以對POP3、IMAP和SMTP協(xié)議的內容進行審計，還可以對通過web發(fā)送的郵件的內容進行審計，實現(xiàn)了對用戶電子郵件內容的全面審計。同時，上網(wǎng)行為管理系統(tǒng)可以根據(jù)郵件的特點對郵件的傳出內容進行審計過濾，并可以匹配郵件的標題、關鍵字、內容等特點進行郵件報警，從而從根本上杜絕含有敏感信息的電子郵件的傳出行為，以保證鐵法能源公司內部網(wǎng)絡的信息安全。

4.5 日志審計系統(tǒng)

日志是 IT 系統(tǒng)產生的數(shù)據(jù)，它記錄著設備、操作系統(tǒng)和應用軟件的運行狀態(tài)，是 IT 運 維管理人員和安全管理人員日常運維排查故障的重要依據(jù)。

l日志審計系統(tǒng)由管理中心、日志采集器和分布式計算存儲節(jié)點三部分組成。管理中心是日志收集與分析系統(tǒng)主程序，承擔日志收集與分析系統(tǒng)的核心功能。日志采集器用于實現(xiàn)日志采集，并把事件轉發(fā)給管理中心或分布式計算存儲節(jié)點。收集方法包括主動收集文件日志、數(shù)據(jù)庫日志、主機日志等，被動接收SNMP trap、syslog等協(xié)議包。分布式計算存儲節(jié)點作用是，當日志數(shù)據(jù)量非常龐大，單機日志收集與分析系統(tǒng)無法處理海量日志的情況下，分布式計算存儲節(jié)點可以實現(xiàn)日志分布式計算、存儲、查詢等功能，系統(tǒng)支持水平彈性擴展。

日志審計系統(tǒng)滿足了用戶針對日志的集中收集、存儲、分析、審計、展示的需求，能夠實時不間斷地將互聯(lián)網(wǎng)中來自不同廠商的網(wǎng)絡設備、安全設備、數(shù)據(jù)庫系統(tǒng)、操作系統(tǒng)、用戶業(yè)務系統(tǒng)的日志、警報等信息匯集到審計管理中心，實現(xiàn)對整個網(wǎng)絡綜合日志進行審計。

日志審計系統(tǒng)可以對收集到的各類日志信息進行實時的規(guī)范化和分析，幫助網(wǎng)絡安全管理人員快速、準確地從海量日志中識別出安全事件，大大降低了安全管理人員對日志分析和管理的技術能力要求，極大的提高了工作效率。

日志審計系統(tǒng)幫助網(wǎng)絡安全管理人員滿足安全審計的合規(guī)要求，可幫助網(wǎng)絡安全管理人員快速出具滿足國家法律法規(guī)、行業(yè)標準的多種合規(guī)報表和報告。

?

5?結 ?語

?

綜上所述，網(wǎng)絡安全防護產品的組合是基于用戶IP資源、帶寬、應用、時間等要素對鐵法能源公司網(wǎng)絡進行全面靈活的策略配置，從而將鐵法能源公司內部網(wǎng)絡風險管理從“被動響應管理”轉變?yōu)椤爸鲃宇A警管理”，從“預防管理”到“控制管理”，把鐵法能源公司內部網(wǎng)絡的“通信安全”提升為“應用安全”，從而強有力地保障鐵法能源公司網(wǎng)絡安全。

?

作者簡介：李向廷（1968—），男，高級工程師。1991年畢業(yè)于阜新礦業(yè)學院管理信息系統(tǒng)專業(yè)，現(xiàn)任大數(shù)據(jù)運營公司副科長。聯(lián)系電話：15241005665。

?

?

?

?