[客户背景]
经过多年的发展,该公司已发展成为具有较大规模的国际化大型跨国企业集团,集团的业务主要集中在金融、实业和其它服务业领域。
集团的网络承载着企业的管理、办公、财务,以及银行、证券、保险等各级子公司的业务系统,因此对网络的安全性要求非常高,网络与系统的安全稳定将直接影响集团对外服务质量及对内管理效率。
安氏公司作为国内一流的安全产品及服务提供商,在深刻理解该集团网络及应用的情况下,从集团全局整体考虑构建网络安全防御体系,并辅以多种专业安全服务,提高了网络的安全性与防护能力。
[安氏公司]
安氏是一家以技术著称的专业信息安全公司,自1999年成立以来,安氏始终致力于中国本土化自主可控的信息安全技术研究与普及,并不断的发展壮大。公司总部设于北京,在上海、广州、成都、南京等地设有分支机构,业务遍及全国。
安氏公司在电信、金融等重点行业率先推出领先的全面信息安全管理方案,并通过覆盖全国的渠道分销网络,销售自主可控的“领信”系列安全产品。密切配合国家的信息安全行业政策,安氏公司以提高中国本土安全技术水平为发展方向,积极担当沟通中外的桥梁角色,不断引入世界顶尖的安全核心技术,将其转化为属于中国的自有知识版权的产品和服务,并重点培育国内安全技术人才,积极为中国信息安全产业的发展打造第一块品牌。
[网络现状和安全威胁]
集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网。
集团广域网采用MPLS-VPN技术,用来为各个分公司提供骨干网络平台和VPN接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。网络拓扑图如下图所示:
从网络安全威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。
[安全需求分析]
从安全性和实用性角度考虑,安全需求主要包括以下几个方面:
安全管理咨询
安全建设应该遵照7分管理3分技术的原则,通过本次安全项目,可以发现集团现有安全问题,并且协助建立起完善的安全管理和安全组织体系。
集团骨干网络边界安全
主要考虑骨干网络中Internet出口处的安全,以及移动用户、远程拨号访问用户的安全。
集团骨干网络服务器安全
主要考虑骨干网络中网关服务器和集团内部的服务器,包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。
集团内联网统一的病毒防护
主要考虑集团内联网中,包括总公司在内的所有子公司或分公司的病毒防护。
统一的增强口令认证系统
由于系统管理员需要管理大量的主机和网络设备,如何确保口令安全称为一个重要的问题。
统一的安全管理平台
通过在集团内联网部署统一的安全管理平台,实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。
专业安全服务
通过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的安全风险情况,在必要的情况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力,降低安全风险。
[方案设计]
骨干网边界安全
集团骨干网共有二个Internet出口,位置在北京和广州,每个Internet出口各部署安氏LinkTrust Cyberwall-200F/006防火墙两台。
在两个Internet出口处各部署一台安氏LinkTrust Network Defender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrust Network Defender可以实时监控网络中的异常流量,防止恶意入侵。
另外部署一台高档PC服务器,该服务器可设置于安全管理运行中心网段,用于对集团骨干网部署的入侵检测进行统一管理和事件收集。
具体部署如下图所示:
