n 在不同安全域间部署防火墙,实现不同安全域间的逻辑隔离和双向访问控制策略,根据策略明示允许通过、拒绝通过的细粒度可降低反向链接等攻击行为;通过与入侵检测、TopDesk等安全措施联动,提高防火墙对流量管理和隐式攻击阻断能力。
n 入侵检测/入侵防御系统主要从网络连接状态、数据包协议、数据包有效负载内容特征对网络中传输的数据包进行深入分析,通过对已知威胁过程或状态的定义或对合法数据包状态的定义,实时监测数据流中潜在的威胁并进行处置与预警。在当前的安全技术背景下,可作为防火墙安全功能的合理补充,完善网络边界防护措施的基础;另外,通过人工对事件记录进行分析可及时掌握受保护网络潜在漏洞信息的,进而扩展了安全管理员/网络管理员的风险的管控能力。
n 在终端较为集中的安全域边界部署,实时对数据流量进行监控,并杀灭安全域间传播的病毒与木马,有效遏制病毒的跨地域、跨网段的扩散。
Ø 安全管理设计
n 安全审计是既是发现安全问题的重要手段,也是对内部人员行为管理的威慑手段。对没计划部署安全管理平台的用户一定要安装安全审计系统,通过引入集中日志审计的技术手段,对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
n 安全管理平台将管理多种异构的网络、安全软硬件,整合多种事件日志与安全日志,通过智能关联分析,集中、可视化展现网络当前的运行状况,便于管理者掌控信息安全方向,使安全管理员、安全操作员以及安全专家根据经验进一步分析发现潜在的网络威胁。完全体现了信息安全“三分技术、七分管理”的指导思想,是单位安全管理团队非常必要的技术支撑系统。
方案效果
针对一些安全性较高的内部网络(如政府部门、军事部门的网络),根据其管理特性与系统安全需求,本方案设计时融入全面的防护理念,突出安全防护重点,为目前出现或存有潜在非法外联行为的用户,解决如下问题:
n 解决安全终端的可信接入,杜绝非法接入网络。
n 解决终端系统漏洞引发的安全风险。
n 解决终端病毒、木马程序滋生。
n 解决终端分布广、难以集中监控与策略执行等管理问题。
n 屏蔽终端物理接口,减少“非法外联”途径。
n 解决终端“非法外联”后,重新接入内部网络,攻击或窃取内部重要信息。
n 解决在处理安全为时,人员与信息资源的浪费。
n 解决异构安全软硬件产品间技术互联互通问题,通过联动强化了网络间的访问控制。
n 避免网络发生大规模病毒爆发。
n 解决安全域或网络间合法用户在内部发起的攻击。
