发布时间 : 星期日 文章机房整改方案 - 图文更新完毕开始阅读
? 关键业务流量无法保证,带宽受到严重堵塞
虽然企业有很高的带宽,可是网络还是常常造成拥堵,网络中存在着大量的P2P软件,不能有效的管理和封堵,使得办公系统运转不顺畅,办公网页无法打开,严重影响了正常业务的顺利进行。 ? 发现异常流量无法有效定位
员工的不合理访问网络,带来多种隐患,导致网络中充斥着大量病毒(如ARP病毒)。病毒在局域网内传输,制造网络攻击,常常造成网络的中断。 ? 档案信息化机密数据的保密无法得到真正的保障
防火墙只能防御外部的侵袭,对于内部数据的泄露显得苍白无力,电子邮件、MSN/QQ 以及 BBS 论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径,必须进行必要的管理。 ? 非法网站的访问带来了较多的法律风险
员工的上网不节制行为利用企业内部网络访问反动,色情,违反法律等网站,发表不发的言论等,这些都会给企业带来负面影响以及要肩负起法律责任,需要对这种行为进行限制。
? 上班做私事,利用局里网络享受上网娱乐,降低工作效率
员工在工作时间玩网络游戏、看网络电视、炒股等等,既占用公司正常业务流量也严重影响了员工的工作效率,带来企业无形资产的损失。
涉及到的管理
? 带宽管理
如何令有限的带宽合理分配使用,需要上网行为管理提供精细网络带宽管理功能。可根据主机(单 IP、IP 组、用户组)、服务(服务组)、应用程序、时间、URL、文件类型等不同参数,提供灵活组合来实现带宽的预留、保障和限制。 ? 控制风险管理
信息安全是一个复杂的系统工程。要实施一个完整的网络与信息安全体系,应包括一下三个结合:
* 根据国家与企业切身情况制定相关网络管理规章制度,行政与技术部门切实规章制度的落实。
* 网络安全技术的加入,如防火墙技术、网络防毒、身份认证、授权等。提供安全的网络边界。
第17页
* 对上网行为进行审计和管理。提供实时监控企业网络安全状态、提供实时改变安全策略的能力、对现有的安全漏洞进行查漏补缺等,以防患于未然。 ? 合规管理
国家《互联网安全保护技术措施规定》、《信息安全等级保护》、《企业信息系统风险管理》等安全指导,均对学校、政府、企业、银行互联网访问的控制、审计提出要求。
公安部33号令以及2006年3月1日颁布实施的公安部82号令,都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求,尤其82号令要求互联网访问行为日志“至少留存60天”。
? 行为管理
通过策略与日志,管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理,减少内部泄密行为与病毒传播隔离。
2.防病毒网关系统
随着网络应用的不断发展,越来越多的木马入侵、病毒等攻击通过网络进行实施及传播,病毒传播的范围广、速度快,对网络用户造成了难以估量的损害。在金融网络中,由于内部网络与外界连接方式多样,联系业务众多,因此,在应用中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒及恶意程序通过网络的传播问题,很多安全厂家,开始尝试发布病毒防护网关。但是,多数设备厂商都遇到了一个很大的技术难题,就是网关病毒防护会消耗大量的网关设备资源,而对数据的转发及处理造成很大的延时,成为数据快速转发的瓶颈,降低网络使用效率。
Hillstone山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的问题,提出了全新的第二代网关防毒设计理念,采用全新多核处理器+ASIC+高速交换总线的硬件设计,结合基于并行流的杀毒机制,为了提高病毒查杀的识别能力,整合了杀毒业内知名防毒公司病毒库,最终实现了高性能的网关病毒防护功能。Hillstone山石网科产品的病毒防护功能主要有以下特性:
? 基于64位多核处理器的设计架构,满足病毒防护对CPU和内存资源的
高需求。多核CPU及专业的64位专用安全系统,确保了CPU的高效性能输出。
? 基于并行流扫描机制的杀毒引擎,充分发挥硬件优势,确保病毒处理的
高性能。
? 先进的多核CPU并行处理方式,硬件数据包重组,确保了高性能。 ? 基于流的多层压缩文件解压。确保对压缩文件中病毒的彻底查杀。 ? 整合成熟知名杀毒厂家病毒库的实时自动升级,确保了最短时间内,及
时的响应对最新病毒的查杀需求。
? 支持对HTTP、FTP、POP3、SMTP和IMAP协议杀毒。能够及时发现多种
常用协议传输数据中的病毒,进行有效的处理
? 中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传播
第18页
的数据流,可以设置多种处理方式。 ? 网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需要。 ? 病毒防护功能开启时最大吞吐量达1.68G保证用户的主干链路数据传
输延时不会过大,可让用户放心使用Hillstone山石网科安全网关。 Hillstone山石网科的病毒过滤网关通过高性能、高可升级性解决方案,能满足金融网络现今低延迟和低响应时间应用的需求。如果配合网络版防病毒软件一起使用,这样为金融用户网络的病毒防护起到一个双保险的作用,效果更为显著。
3.部署内网安全方案详解:
>> 信息保密管理:IP-guard严格控制网络连接,综合考虑政府文件的各种存在状
态与访问途径,全方位多角度的保证机密文件只在可控范围内流通,文件安全无懈可击。
第19页
控制网络接入,保证访问安全
◇ 外部入侵检测:系统登记网络内计算机,即时检测是否有新计算机接入内网,对非法接
入的计算机进行阻止,限制个人电脑随意接入内网,防止外部计算机非法入侵对政府信息网络造成的文件泄密与系统风险。
◇ 内部通讯控制:设定网内计算机相互通讯权限,有效控制不同部门间的网络访问,保证
需要保护的敏感计算机的安全。
控制外部设备,防止外设泄密
◇ 控制网内计算机外部设备的使用权限,包括存储设备、通讯设备、USB设备、网络设备
及其他主流的计算机外部设备,并可监控禁止新设备的使用,多种途径阻止外接设备造成敏感文件外流
◇ 各类设备控制可细化到最小分类,如USB设备可细分键盘、鼠标、光驱、Modem等,最
大限度保证正常的设备应用
控制移动存储,防止U盘泄密
◇ 对指定移动存储设备中存取的文档进行自动透明加解密,U盘超出可信使用范围即无法
访问,保证机密文件即使不慎流出也不会泄露导致严重后果
◇ 分类管理内部流通的移动存储设备,只有经过认证加密的设备才可以在系统中使用,在
保证合理应用的同时防止敏感文档经由非法存储设备流出
控制文档操作,强化操作审计
◇ 灵活限定网内计算机对特定文件的操作权限,包括创建、访问、移动、修改、删除、重
命名等,防止敏感文件被泄露或删除
◇ 当有设定的非法操作出现时,自动报警并备份文档,防止文件被篡改或者删除而造成严
重后果
◇ 完整记录网内计算机文档操作,多种条件灵活查询,以便有重大事件发生时进行审计 ◇ 定时记录客户端屏幕画面,支持输出为通用格式视频文件存档,便于在事件发生时直观
还原事件原貌
第20页