集团公司网络安全设计方案
一.方案概述
集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据IT规划要求,为有效保障公司网络畅通、数据安全,集团公司需要构建一个严密的整体的网络安全系统。 该系统包括四个主要方面:
(一)设计网络系统优化方案及建立网络系统持续完善机制 (二)建立智能化数据容灾系统 (三)建立高效全面的病毒预防系统 (四)建立科学合理的管理制度体系
二.方案实现目标
通过该系统的建设实现以下功能目标
(1) 实现集团对网络病毒的统一防护, 让网络管理人员可以清晰的管理到内部病毒防 护系统的部署情况, 有病毒爆发时可以及时确定病毒发作范围, 并可以直接进行隐 患清除工作,集团可以统一部署和执行安全防护策略.
(2) 对集团机房较为重要的服务器和应用系统进行容灾备份, 当服务器故障时, 可以有 效的快速启动替代系统, 并在故障清除后快速恢复系统和数据.
(3) 对于集团数据库系统, 因关联使用的用户多且分布各不同下属单位, 应使用有效措 施来防范数据库的使用安全, 防范数据被恶意使用或篡改,. (4) 因集团机房部署不同部门和下属公司的服务器, 各部门都需要运维自己的服务器, 有必要对服务器的使用进行安全审计和使用记录, 防范来自使用服务器带来的风险.
三.安全产品推荐选型
项目 企业版防病毒 服务器容灾备份 品牌 趋势 型号 OfficeScan 实现目标 全网病毒统一防护和统一安全管理 对服务器进行实时灾备,服务器NOVELL PlateSpin Forge 故障时实现紧急替代和快速恢复 安恒 DAS-AC1000 对数据库使用进行安全审计,防护对数据库的恶意侵入和篡改 对使用机房内服务器的人员的使用行为进行规范管理和审计记录,防范服务器内部使用风险. 数据库审计 保垒机
齐治 SHTERM-L4 2
四.方案简述 (1)网络拓扑图
(2)信息安全设备物理分布图
3
(3)产品说明:
1、IT运维堡垒机接在核心交换机上,通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,保障企业效益;管理员可直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用等。 2、数据库审计设备接在核心交换机上,全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源;检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议;为数据库安全管理与性能优化提供决策依据;提供符合法律法规的报告,满足等级保护、企业内控等审计要求。
3、OfficeSan服务器接入核心交换机上,OfficeScan可以根据大同公司的自己的要求进行策略部署,并针对未来而设计的弹性架构,可让您透过插件来自定义您的威胁防护与数据保护。
4、Forge设备部署在核心交换机,可同时对25台服务器做备份,一旦一台或多台生产服务器出现故障,该应用即刻在Forge上运行接管业务。
五.方案子系统介绍
1、 趋势科技网络版防病毒软件– OfficeScan
趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端(Officescan服务器端)。透过Officescan服务器端的Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略(每一台计算机都安装了Officescan客户端防病毒软件),并且也能迅速响应各种紧急事件。
综合性的防护能力:免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;
支持防护策略的自动/手动配置:有效控制病毒扩散(通过主控服务器,在设定的时间段内,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改);
防火墙策略应用程序的备用服务器:客户计算机可能无法连接到防毒墙网络版服务器,但仍可连接到您指定的备用防毒墙网络版服务器上,以提供防火墙策略更新。
4
集成专杀工具:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具,造成数量巨大;
防御间谍软件和其他类型的灰色软件:防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害,包括众所周知的类型 - 间谍软件;
临界间谍软件/灰色软件例外列表:防毒墙网络版可能将特定类型的文件识别为灰色软件,尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件,可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。 实时更新病毒日志:方便而简单的配置管理与实时报告;
自动更新:先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动;支持客户端自行上互联网更新防毒组件;
灵活的更新代理设置:通过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽。对低带宽网络环境特别有效;
检测为安装防病毒软件的计算机:支持网段扫描侦测尚未安装OfficeScan的用户机; 强大的数据库管理:支持将纪录数据导入SQL服务器方便数据分析与管理;
灵活的客户端迁移:支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装; 定位病毒源头病毒:客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导; 支持多种Web Server: IIS 和 Apache; 部署建议:
Officescan可以针对Windows全系列防范病毒。趋势科技网络版防病毒软件的组织架构为:通过一台Officescan服务器去远程的控制和管理局域网内部,甚至广域网中Officescan客户端。
Officescan客户端可以通过多种方式安装到计算机上: 1、 通过网页远程自动下载安装;
2、 通过制作Officescan客户端安装包安装; 3、 通过共享文件夹方式安装
4、 通过集成Windows域自动安装客户端
5