www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

電力信息網(wǎng)絡(luò)安全加固解決方案

2013-11-22 11:09:14 北極星電力網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
前言 網(wǎng)絡(luò)的發(fā)展促進(jìn)了電力工業(yè)信息化的深入,但網(wǎng)絡(luò)安全問(wèn)題如洪水猛獸難以控制,傳統(tǒng)的單點(diǎn)技術(shù)防護(hù)手段制標(biāo)難以制本。H3C基于多年電力行業(yè)的理解,提出系統(tǒng)化的策略安全防護(hù)解決方案。首先將原有內(nèi)部辦公業(yè)務(wù)

         EAD系統(tǒng)首先在用戶(hù)的身份認(rèn)證獲得通過(guò),再對(duì)用戶(hù)的接入設(shè)備進(jìn)行安全狀態(tài)評(píng)估(包括防病毒軟件,系統(tǒng)補(bǔ)丁等),根據(jù)安全狀態(tài)的檢查結(jié)果實(shí)施接入控制策略,使健康的用戶(hù)進(jìn)入網(wǎng)絡(luò),不健康的用戶(hù)放在隔離區(qū)強(qiáng)制進(jìn)行病毒庫(kù)或補(bǔ)丁的升級(jí),從而使入網(wǎng)的用戶(hù)和設(shè)備有較高的健康度和可信度。EAD通過(guò)對(duì)終端安全狀態(tài)的檢查,使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問(wèn)網(wǎng)絡(luò),同時(shí),配合不同方式的身份驗(yàn)證技術(shù)(802.1x、Portal等),可以確保接入終端的合法與安全。

         EAD系統(tǒng)可以靈活配置安全策略,協(xié)助評(píng)估客戶(hù)端安全狀態(tài)。管理員可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等;為了更好的滿(mǎn)足客戶(hù)的需求,EAD客戶(hù)端支持和微軟SMS(WSUS)、LANDesk、BigFix等業(yè)界桌面安全產(chǎn)品的配合使用,支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。例如EAD可充分利用微軟成熟的桌面管理工具,由SMS(WSUS)實(shí)現(xiàn)各種Windows環(huán)境下用戶(hù)的桌面管理需求:資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。

         EAD系統(tǒng)同時(shí)可以根據(jù)實(shí)際情況來(lái)制定補(bǔ)丁安裝的策略,可以做到只安裝重要的補(bǔ)丁,另外可以根據(jù)日常網(wǎng)絡(luò)維護(hù)的經(jīng)驗(yàn)將一些安裝后容易引起系統(tǒng)問(wèn)題的補(bǔ)丁不要求安裝。下圖為EAD系統(tǒng)補(bǔ)丁安裝策略操作界面。

          2.4 客戶(hù)端安全狀態(tài)評(píng)估――Windows弱口令檢測(cè)

        很多情況用戶(hù)對(duì)于Windows登陸口令秘密設(shè)置的很簡(jiǎn)單甚至不設(shè)置,這樣電腦很容易就被入侵,從而使電腦里面的重要資料外泄,針對(duì)這點(diǎn)EAD系統(tǒng)可以對(duì)用戶(hù)的Windows登陸口令密碼強(qiáng)度進(jìn)行檢測(cè),對(duì)于那種簡(jiǎn)單的密碼和不設(shè)置密碼的用戶(hù)同樣不能接入到網(wǎng)絡(luò)之中,必須修改密碼在符合要求的強(qiáng)度之后才能接入到網(wǎng)絡(luò)。

         2.5 客戶(hù)端安全狀態(tài)評(píng)估――應(yīng)用軟件安裝狀態(tài)

        有的時(shí)候用戶(hù)安裝了一些軟件也給網(wǎng)絡(luò)帶來(lái)安全隱患,EAD系統(tǒng)提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)企業(yè)的IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過(guò)安全客戶(hù)端實(shí)時(shí)檢測(cè)、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制,完成對(duì)用戶(hù)終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。

        管理員根據(jù)軟件運(yùn)行的進(jìn)程名稱(chēng),在安全策略服務(wù)器定義黑白軟件列表;同時(shí)對(duì)每一種受控軟件規(guī)則定義相應(yīng)的安全模式,即當(dāng)用戶(hù)終端接入網(wǎng)絡(luò)時(shí),安全客戶(hù)端發(fā)現(xiàn)該規(guī)則被違反時(shí),系統(tǒng)采取的策略。其次,管理員在安全策略中添加黑白軟件控制規(guī)則。

        在安全策略服務(wù)器完成對(duì)黑白軟件列表和安全策略中軟件控制部分的定義之后,用戶(hù)終端的軟件安裝狀態(tài)便可以通過(guò)EAD解決方案來(lái)完成統(tǒng)一監(jiān)控和管理。

         2.6 客戶(hù)端安全狀態(tài)評(píng)估――多種處理方式

         對(duì)于EAD的應(yīng)用,經(jīng)常會(huì)有用戶(hù)擔(dān)心部署了EAD系統(tǒng)會(huì)帶來(lái)帶來(lái)很多麻煩,EAD解決方案除了基本的下線模式外還有多種應(yīng)用模式,在實(shí)際部署之中可以根據(jù)不同的用戶(hù)制定不同應(yīng)用模式,使部署更加靈活方便。

         EAD解決方案對(duì)于每一種安全狀態(tài)的檢測(cè),按照處理模式可分為隔離模式、警告模式、監(jiān)控模式。

         三種模式對(duì)于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同,對(duì)安全設(shè)備的要求也不相同。可以根據(jù)自己的安全管理政策決定采用哪一種模式。例如對(duì)于重要的網(wǎng)絡(luò)用戶(hù),比如領(lǐng)導(dǎo),管理員對(duì)其網(wǎng)絡(luò)訪問(wèn)的管理也可應(yīng)用監(jiān)控模式,只了解用戶(hù)的安全狀態(tài),不做任何處理,待用戶(hù)方便的時(shí)候再進(jìn)行處理。

         2.7 合法用戶(hù)動(dòng)態(tài)授權(quán)――實(shí)現(xiàn)內(nèi)部安全策略控制

        身份認(rèn)證是網(wǎng)絡(luò)端點(diǎn)準(zhǔn)入控制的基礎(chǔ)。從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手,結(jié)合認(rèn)證服務(wù)器、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備、802.1x協(xié)議以及第三方軟件系統(tǒng)(病毒和系統(tǒng)補(bǔ)丁服務(wù)器,如LANDESK),杜絕企業(yè)員工對(duì)不良網(wǎng)站和危險(xiǎn)資源的訪問(wèn),防止間諜軟件、惡意代碼等軟件對(duì)企業(yè)內(nèi)網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)。

        EAD解決方案在保證終端用戶(hù)具備自防御能力并安全接入的前提下,通過(guò)動(dòng)態(tài)分配ACL、VLAN等合理控制用戶(hù)的網(wǎng)絡(luò)權(quán)限,保障網(wǎng)絡(luò)資源的合法使用和網(wǎng)絡(luò)環(huán)境的安全,提升網(wǎng)絡(luò)的整體安全防御能力。

         在用戶(hù)終端通過(guò)病毒、補(bǔ)丁等安全信息檢查后,EAD可基于終端用戶(hù)的角色,向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略,按照用戶(hù)角色權(quán)限規(guī)范用戶(hù)的網(wǎng)絡(luò)使用行為。終端用戶(hù)的所屬VLAN、ACL訪問(wèn)策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一配置實(shí)施。

         2.8 用戶(hù)行為審計(jì)

         EAD解決方案除支持用戶(hù)名、密碼與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定之外,結(jié)合EAD強(qiáng)大的用戶(hù)身份、權(quán)限的管理和UBAS詳盡的用戶(hù)網(wǎng)絡(luò)行為日志,可以實(shí)現(xiàn):

         精確到用戶(hù)的網(wǎng)絡(luò)行為審計(jì):充分結(jié)合EAD完善的用戶(hù)帳號(hào)、卡號(hào)管理和UBAS基于用戶(hù)IP地址的日志審計(jì),將網(wǎng)絡(luò)行為審計(jì)精確定義到用戶(hù)個(gè)體;

         完善的網(wǎng)絡(luò)行為跟蹤:充分利用UBAS各類(lèi)日志信息,輕松掌握EAD管理的帳號(hào)用戶(hù)、卡號(hào)用戶(hù)的網(wǎng)絡(luò)行為,如訪問(wèn)哪些網(wǎng)站,訪問(wèn)哪些網(wǎng)頁(yè)(DIG組網(wǎng)環(huán)境)、發(fā)送哪些Email(DIG組網(wǎng)環(huán)境)、發(fā)送哪些文件(DIG組網(wǎng)環(huán)境)等。

         準(zhǔn)確的非法網(wǎng)絡(luò)行為用戶(hù)定位:利用EAD的設(shè)備IP地址、接入端口、VLAN、用戶(hù)IP地址和MAC地址等信息綁定功能,對(duì)進(jìn)行非法網(wǎng)絡(luò)行為的用戶(hù)一經(jīng)發(fā)現(xiàn),即時(shí)準(zhǔn)確定位。

         3 網(wǎng)絡(luò)層安全設(shè)計(jì)

         3.1 虛擬防火墻解決方案

        以企業(yè)的具體業(yè)務(wù)模式為依據(jù),企業(yè)中的不同業(yè)務(wù)總是可以根據(jù)其重要程度劃分為不同的安全等級(jí)和安全區(qū)域。對(duì)于高等級(jí)的安全區(qū)域需要更加嚴(yán)格的訪問(wèn)控制和安全保護(hù)。本組網(wǎng)利用Secblade和基礎(chǔ)網(wǎng)絡(luò)的融合實(shí)現(xiàn)園區(qū)網(wǎng)整體安全防護(hù)。在匯聚層利用SecBlade和95產(chǎn)品的組合對(duì)企業(yè)網(wǎng)中的核心安全區(qū)域?qū)崿F(xiàn)進(jìn)一步的安全防護(hù)。

         這樣的組網(wǎng)模式能夠滿(mǎn)足企業(yè)對(duì)不同安全區(qū)域的安全等級(jí)劃分,并且可在不同區(qū)域間實(shí)現(xiàn)獨(dú)立安全策略的制定,從而使整網(wǎng)拓?fù)浯蟠蠛?jiǎn)化,在保持高擴(kuò)展性的基礎(chǔ)上減輕了管理的復(fù)雜度。

         因此,對(duì)企業(yè)信息管理人員來(lái)說(shuō),如何靈活方便的實(shí)現(xiàn)企業(yè)各業(yè)務(wù)部門(mén)的安全區(qū)域劃分,以及如何在安全區(qū)域之間有控制的互訪成為其非常關(guān)注的問(wèn)題。這也對(duì)安全區(qū)域隔離“利器”――防火墻提出了更高的要求。

        為此,H3C推出了虛擬安全解決方案,靈活運(yùn)用虛擬防火墻技術(shù),旨在解決復(fù)雜組網(wǎng)環(huán)境中大量VPN的獨(dú)立安全策略需求所帶來(lái)的網(wǎng)絡(luò)拓?fù)鋸?fù)雜、網(wǎng)絡(luò)結(jié)構(gòu)擴(kuò)展性差、管理復(fù)雜,用戶(hù)安全擁有成本高等幾大問(wèn)題。通過(guò)在匯聚交換機(jī)上面配置的防火墻插卡解決不同區(qū)域內(nèi)的安全防護(hù)。

         3.1.1 重點(diǎn)樓層重點(diǎn)客戶(hù)安全防御方案

        在網(wǎng)絡(luò)中,總有些客戶(hù)對(duì)于自己部門(mén)或者自己的數(shù)據(jù)信息安全特別敏感,而且他們的信息也是極為重要的。為解決傳統(tǒng)基于VLAN和ACL的內(nèi)網(wǎng)訪問(wèn)控制解決方案的不足,H3C提出了以防火墻為核心的內(nèi)網(wǎng)訪問(wèn)控制解決方案。其核心是可以插入交換機(jī)中的SecBlade防火墻模塊,通過(guò)SecBlade防火墻模塊對(duì)內(nèi)網(wǎng)各個(gè)VLAN之間的訪問(wèn)進(jìn)行精細(xì)化的控制。同時(shí)配合交換機(jī)的端口隔離特性,實(shí)現(xiàn)對(duì)同一VLAN內(nèi)終端之間的訪問(wèn)限制。

        為了對(duì)這些用戶(hù)提供保護(hù),我們可以在匯聚交換機(jī)中配置H3C SecBlade防火墻插卡進(jìn)行數(shù)據(jù)保護(hù)業(yè)務(wù)。其優(yōu)點(diǎn)是:

         實(shí)現(xiàn)病毒防護(hù)和業(yè)務(wù)控制雙重功能。

        在防火墻上配置安全訪問(wèn)策略,設(shè)置訪問(wèn)權(quán)限,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

SecBlade防火墻插卡具有對(duì)業(yè)務(wù)的良好支持,作為NAT ALG或者ASPF過(guò)濾,都能夠滿(mǎn)足正常業(yè)務(wù)的運(yùn)行。

大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:黎陽(yáng)錦

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 中日韩美中文字幕 | 中文字幕一级毛片视频 | 99视频在线精品免费 | 欧美一级片a | 亚洲片在线观看 | 九九国产精品视频 | 免费一级欧美片在线观看 | 伊人狠狠丁香婷婷综合色 | 伊人短视频 | 中文无码日韩欧免费视频 | 亚洲国产精品久久久久久网站 | 日本黄色大片在线播放视频免费观看 | 久久99国产乱子伦精品免费 | 日韩不卡毛片 | 国产亚洲片 | 国内精品久久久久久久影视麻豆 | 欧美一级视频在线观看 | 我们2018在线完整免费观看 | 国产成人免费午夜性视频 | 亚洲视色 | 最新三级网址 | 午夜欧美成人香蕉剧场 | 特级a欧美做爰片毛片 | 韩国美女爽快一毛片免费 | 久久草在线观看 | 欧美精品亚洲精品日韩专区 | 国产日韩高清一区二区三区 | 久久国产国内精品对话对白 | 一区二区三区在线看 | 日韩久久网 | 美国一级毛片∞ | 欧美大片aaaa一级毛片 | 日韩一区二区免费看 | 午夜日本一区二区三区 | 国产精品免费视频能看 | 中国胖女人一级毛片aaaaa | 97国内免费久久久久久久久久 | 亚洲国产三级 | 日韩免费a级在线观看 | 91香蕉国产亚洲一区二区三区 | 毛片视频网站在线观看 |