全国服务热线 :0755-26406096

产品推荐
  • TRITON APX Enterprise Core
  • 深信服(sangfor)上网行为管理AC
  • 深信服(sangfor)下一代防火墙NGAF
  • 深信服(sangfor)SSL VPN
  • 深信服(sangfor)广域网优化WOC
  • 深信服(sangfor)应用交付AD
  • Polycom(宝利通)ReaIPresence Group550高清视频会议终端
  • polycom(宝利通) HDX7000 宝利通高清视频终端
联系我们
深圳市望升信息技术有限公司
售前电话:0755-26406096
售后电话:0755-86549081
地址:深圳市南山区科技园中钢大厦M-6栋4楼
Email:hel@wangshenginfo.com
邮编:518057
电话:0755-26406096
传真:0755-26649834
您现在的位置: 首页   新闻资讯   知识宝典 知识宝典

信息安全防护架构及解决方案

文章来源:多媒体会议室 发布日期:2016年07月11日    浏览次数:367

一个信息系统通常参照数据分区域保护原则进行区域划分,做到各区域数据的安全隔离及针对不同数据分别做到针对性保护。分区域保护需要做到重点明确,将有效的安全资源投入到最需要保护的部分,并且由各个不同区域组成多层次的立体防护体系。

安全域是由一组具有相同安全保护需求并且相互信任的系统组成的逻辑区域,同一安全域中的系统应具有相同的安全防护策略。安全域划分的目的是把一个大规模复杂系统的安全问题,以系统行为和业务角度为主,辅以安全角度等因素划分为更小区域,以较小的代价完成安全域划分并保障其安全性。


网络安全的防护系统基本由网络安全设备(防火墙等)、身份鉴别系统(数字认证系统等)、安全防范系统(IDS、防病毒网关等)、安全审计系统(网络行为审计系统、数据库审计系统等)、安全监控系统(终端安全管理与监控系统、漏洞扫描系统等)、安全运维系统(运维堡垒机、IT/IP系统等)等安全类系统组成。


根据常规业务情况将网络划分为9个区域,每个区域中部署具有同一安全等级保护的信息系统,同时根据信息系统特点以及分权分域原则等制定针对性防护策略。各区域的主要功能情况如下:
a)核心交换区:用于连接网络中与内部互通区域和对外连接区域的设备;部署IDS(入侵检测系统)、网络流量分析仪、网络行为审计系统等安全设备。
b)应用服务区:部署内部网络应用所需的各种信息系统(应用软件系统);部署数据库审计系统、WAF(Web应用防火墙)、防垃圾邮件网关等安全设备。
c)安全管理区:部署保障整个网络架构安全的安全设备和安全系统,其中等级保护2级以上要求具备SOC(安全管理平台)系统;部署4A服务器、漏洞扫描系统、恶意代码检测系统、数据加解密系统、主机审计系统、终端安全管理及监控系统、防病毒系统等安全系统。
d)网络资源管理区:实现运维人员的安全接入,通过身份鉴别、权限控制、安全审计后对网络中的设备进行监控、维护、管理等操作;部署IT管理系统、IP管理系统、运维堡垒机等安全设备和系统。
e)集中备份/异地灾备区:数据安全及数据备份区域,其中等级保护2级要求建设集中备份区,等级保护3级要求建设异地灾备区。
f)本地终端用户接入区:为搭建网络环境所在机房或办公楼中的用户提供网络接入环境,满足终端用户访问信息系统或互联网的需求。
g)内部网络远程访问区:为同属该网络架构内的异地小型办公网或接入点的远程接入提供网络接入环境,满足异地用户访问内部应用系统、内部资源服务的需求。
h)DMZ(隔离区)区:内部网络对外网用户提供服务的区域,便于互联网用户直接访问内部网络对外提供的一些信息资源;部署WAF防火墙、数据库审计系统、网络行为审计系统、防病毒网关、防垃圾邮件网关等安全设备,为了防止DMZ区的外网用户对内部网络的冲击,两个区域之间的资源交互通过2台网闸进行安全隔离,以最大程度保障内部网络的安全性。
i)互联网/VPN(虚拟专用网)接入区:为内部网络员工访问互联网及有特殊需求的用户(VPN、专线等方式接入内部网络)提供网络接入环境;部署防DDOS(分布式拒绝服务)系统、UTM(统一威胁管理)等安全设备,主动防御进入网络的病毒、服务攻击等。


各个区域之间的边界安全通过边界防火墙进行安全防护,安全管理区中的安全设备为进入网络的用户和数据提供身份鉴别、安全认证、安全检测、数据加解密、安全防范、安全监控、安全事件综合分析等网络及系统安全保护,同时与网络中各分区的安全设备进行联动,加强网络的整体安全性,最大程度地保护进入网络中的用户身份合法性、数据安全性。安全设备在制定安全策略时需根据其设备特点、功能制定不同的安全防护策略,以纵深防御方式保障网络的整体安全。


信息产业已成为我国国民经济发展的支柱产业之一,信息安全问题日益突出,本文在信息安全架构的基础上,提出了一个多分区、多安全域、多应用系统的安全防护架构和解决方案。信息安全防护规划需紧密结合网络建设规模、技术体制、通信安全协议、信息分析与监控等具体实际情况适时调整策略,信息安全防护架构没有固定的应用模式,没有一成不变的通用解决方案。安全与反安全总是在相互抗争中不断发展,网络的安全机制与技术也应不断地发展变化。

【推荐阅读】

望升官方微信

关注微信,了解“更多精彩”

电话:400-807-5518

地址:深圳市南山区高新园中区中钢大厦M-6栋4楼