下一代防火墻解決方案

1、項目背景
在現代社會中,隨著互聯網運用的普及和計算機網絡技術的不斷發展,互聯網為整個社會帶來了前所未有的變革,信息化成為社會發展的大趨勢。現代生活的快節奏,迅速、及時、準確、有效的信息傳遞、處理,使得人類社會充斥了大量以互聯網或以計算機處理器為主的系統及網絡。系統一體化趨勢,使網絡化成為了整個信息社會的核心。與此同時,人們認識到計算機在給現代社會注入強大生命力同時,不可避免的成為對手攻擊的重點對象。攻擊與反攻擊,成為信息社會中敵對雙方利用互聯網為作戰平臺,展開斗爭的重要手段。而我國信息安全的前景,并不引人樂觀。國家權威部門曾對國內網站的安全系統進行測試,發現不少單位的計算機系統都存在安全漏洞,有些單位還非常嚴重,隨時可能被黑客入侵。任何網絡都不是絕對安全的,值得一提的是,當前一些單位在急忙趕搭“網絡快車”時,只管好用,不管安全,這種短視必然帶來嚴重的惡果,因此,從思想上提高對計算機網絡安全重要性的認識,是我們當前的首要任務。
2、現狀分析
2.1、內部風險
隨著單位網絡用戶的不斷擴大,其安全意識、技術水平等參差不齊,給網絡及信息系統安全帶來了極大的威脅,我單位對網絡的依賴程度越來越大,信息安全的重要性也在不斷提升。所面臨的安全問題越來越復雜,安全威脅也在飛速增長,同時網絡帶來前所未有的混合威脅的風險,如SQL注入攻擊、跨站腳本攻擊、DDoS攻擊、網站掛馬攻擊、網絡釣魚攻擊、網絡病毒及惡意代碼等,新型的應用層攻擊給單位網絡安全帶來巨大威脅,嚴重影響單位網絡安全,造成難以彌補的損失。
隨著互聯網的飛速發展,外部網絡安全日趨嚴重,面對業務系統的信息安全攻擊逐漸從網絡層向應用層和系統層遷移。各類新型的黑客技術手段、計算機病毒、系統漏洞、應用程序漏洞以及網絡中的不規范操作對單位業務系統均有可能造成嚴重的 威脅。在給內、外網用戶提供優質服務的同時,也面臨著各類的應用安全風險。
單位信息系統目前主要存在如下安全挑戰:
?    黑客攻擊無孔不入,局域網缺乏有效的安全手段
      由于業務需要,單位需要與互聯網進行連接,業務或辦公數據在網絡上傳輸,而網絡設備、主機系統都不同程度存在一些安全漏洞,攻擊者可以利用存在的漏洞進行破壞,可能引起數據破壞、業務中斷甚至系統宕機,嚴重影響業務系統的正常運行。單位網站遭受黑客攻擊、網頁被篡改、網站無法訪問、網站被掛馬、遭用戶投訴的概率越來越大。
?    攻擊方法日新月異,終端安全令人堪憂
      已經被攻破的內網主機中可能被植入木馬或者其它惡意的程序,成為攻擊者手中所控制的所謂“肉雞”,攻擊者可能以此作
為跳板進一步攻擊內網其它機器,竊取商業機密,或者將其作為DDOS工具向外發送大量的攻擊包,占用大量網絡帶寬。員工瀏覽嵌有木馬或病毒的網頁、收看帶有惡意代碼的郵件、隨意使用U盤,都可能給攻擊者帶來可乘之機。
?     網絡安全風險很難被發現
      只有看到L2-7 層的攻擊才能了解網絡的整體安全狀況,而基于組合方案(即部署了多種安全設備)的大多數用戶沒有
辦法進行統一分析,也就無法快速定位安全問題的根源,同時也加大了安全運維的工作量。沒有攻擊并不意味著業務就不存在漏洞,一旦漏洞被利用就為時已晚。最近幾年,大家都在談論APT 攻擊,而APT 攻擊最令人頭疼的就是它可以安靜地潛伏在網絡中,伺機行動,在沒有竊取到機密信息之前,它會想盡一切辦法將自己隱藏起來。所以,好的解決方案應該能夠及時發現業務漏洞,防患于未然。同時,即使有大量的攻擊也不意味著業務安全威脅很大,只有針對真實存在的業務漏洞進行的攻擊才是有效的。看不到有效攻擊的方案,就無法讓您看到網絡和業務的安全情況。
?    傳統的網絡安全設備難以阻攔攻擊

      防護技術不能存在短板,存在短板必然會被繞過,原有設備就形同虛設。傳統的防火墻設備或者IPS 設備,只能針對網絡層和傳輸層進行攻擊防護,面對網絡的第七層-應用層的各種攻擊常常束手無策。只針對外部黑客對內網終端和服務器的 攻擊進行防護,是遠遠不夠的,如果終端和服務器主動向外發起的流量中存在攻擊和泄密行為,也同樣會帶來很大危害。所以,流經網絡的雙向流量內容都需要進行檢測,實時發現黑客針對內網的控制通道,阻斷泄密的風險。
從分析看來,還有未知的安全隱患對我內部網絡系統與應用系統帶來的危害絲毫不比來自外網的小,在一定程度上更為頻繁、破壞更為嚴重,因此,必須加強管理。
2.2、外部風險
由于Internet上資源的多樣性、用戶的復雜性,存在很多插件、威脅軟件、采用密灌技術的網站、流氓網站、流氓軟件等,使得網絡用戶在不知情情況下便感染病毒、受到攻擊或其它安全威脅。因此,必須采用相應技術手段及設備防止這類威脅對我單位網絡及信息系統的影響;同時,由于我單位網絡接入到Internet,給外來黑客攻擊、間諜軟件提供了入侵機會,此類威脅將對今后的業務系統、關鍵數據造成巨大威脅,我們必須嚴加防范。
3、需求分析
根據以上的對當前安全現狀的分析,我們提出以下應用需求:
? 需要部署防火墻保證內外數據交換安全,并提供防病毒及應用程序過濾;
? 在局域網內布置防病毒攻擊;
? 終端計算機管理方案(主要是端口和IP地址與機器碼綁定管理);
? 上網帶寬流量監控與內容過濾控制;
? 未來涉及對公眾提供對外資源服務,數據交換量較大,需要包含對外資源服務建設規劃。
通過對應用需求、安全威脅分析,我們提出信息安全體系建設的總體需求及主要內容下如:
? 改造網絡出口,部署防火墻,保證數據交換安全;
? 部署利譜第二代防火墻系統功能模塊、開啟應用程序過濾、內網身份認證;
? 部署防毒墻、網絡版殺毒軟件,有效防止病毒和惡意軟件的傳播、感染;
? 加強內網行為管理,通過軟硬體系,構建全局安全網絡和統一威脅管理;
? 實現內網實名制上網,對上網用戶進行身份認證;
? 實現終端設備IP地址、MAC地址、交換機端口綁定,有效防范ARP欺騙、ARP病毒及攻擊;
? 實現基于應用的多策略的流量監控與控制;
? 在提供對外資源服務時,構建服務器DMZ區、部署入侵檢測系統、建設數據中心確保數據安全可靠。

澳洲赛车开奖网站