關(guān)于網(wǎng)絡(luò)安全綜合解決方案的研究

韓江雪 高 軒 張 猛

感知城市(天津)物聯(lián)網(wǎng)科技股份有限公司

關(guān)于網(wǎng)絡(luò)安全綜合解決方案的研究

韓江雪 高 軒 張 猛

感知城市(天津)物聯(lián)網(wǎng)科技股份有限公司

本方案從整體解決了企業(yè)網(wǎng)絡(luò)中存在的安全隱患和潛在威脅，方案涉及了六個(gè)安全防護(hù)內(nèi)容：邊界安全及防護(hù)，桌面虛擬化，無線覆蓋，系統(tǒng)病毒防御、數(shù)據(jù)安全這六個(gè)方面。并從這六個(gè)方面著手進(jìn)行威脅分析和管理，并根據(jù)威脅進(jìn)行針對性防護(hù)，全面解決病毒，服務(wù)器虛擬化，桌面虛擬化、無線安全、網(wǎng)絡(luò)入侵的潛在威脅，數(shù)據(jù)安全，使網(wǎng)絡(luò)具有高安全性，保證信息化辦公可以穩(wěn)定運(yùn)行，從而提高工作效率。

安全;綜合解決;方案

1.企業(yè)網(wǎng)絡(luò)建設(shè)需求

針對企業(yè)現(xiàn)有狀況，企業(yè)網(wǎng)絡(luò)建設(shè)將圍繞以下需求展開：

數(shù)據(jù)防泄密需求：隨著信息化的高速發(fā)展，數(shù)據(jù)的重要性在不斷提升。而公司的核心數(shù)據(jù)作為公司的固有資產(chǎn)，是不允許員工私自外傳以及拷貝的。一旦公司核心機(jī)密數(shù)據(jù)外泄，被競爭對手拿到，將給公司帶來不可估量的損失和后果。

全面的安全防護(hù)需求：當(dāng)前企業(yè)缺乏合理的安全管理及防護(hù)，因此缺乏合理的安全域劃分，從而無法針對各個(gè)不同的安全域做不同的建設(shè)。沒有針對核心業(yè)務(wù)數(shù)據(jù)區(qū)做應(yīng)用層的安全防護(hù)，核心業(yè)務(wù)服務(wù)器的安全風(fēng)險(xiǎn)較高。

網(wǎng)絡(luò)版防病毒防護(hù)需求：企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)終端數(shù)目多、分布距離遠(yuǎn)，日常終端運(yùn)維管理的工作壓力十分巨大，主要表現(xiàn)在：

傳統(tǒng)防病毒軟件誤殺帶來的問題：傳統(tǒng)防病毒軟件為了提高病毒查殺率，奉行從嚴(yán)的查殺策略，導(dǎo)致單位內(nèi)部應(yīng)用程序或重要文檔文件被誤殺，因而產(chǎn)生了大量不必要的維護(hù)工作。

現(xiàn)場維護(hù)工作量：計(jì)算機(jī)終端用戶報(bào)告使用故障時(shí)，需要IT維護(hù)人員親自趕赴現(xiàn)場處理，但通常大部分上報(bào)的故障都是入門級的，完全可以通過遠(yuǎn)程協(xié)助解決。

為了有效減輕終端運(yùn)維工作量，本次引入的終端安全管理軟件還應(yīng)支持統(tǒng)一安全運(yùn)維，提供包括：補(bǔ)丁管理、資產(chǎn)管理、遠(yuǎn)程運(yùn)維等功能，方便IT維護(hù)人員快速完成工作。

服務(wù)器虛擬化需求：IT架構(gòu)做為承載業(yè)務(wù)系統(tǒng)的基礎(chǔ)設(shè)施，快速部署、減少投入和靈活擴(kuò)展顯得越來越重要。原有物理架構(gòu)的數(shù)據(jù)中心，物理服務(wù)器利用率較低，造成資源浪費(fèi)，且單機(jī)運(yùn)行重要數(shù)據(jù)又存在單點(diǎn)故障，高可用性功能較差。一些重要數(shù)據(jù)做多機(jī)方案以保證業(yè)務(wù)的連續(xù)性，會造成要包含機(jī)房的建設(shè)等規(guī)劃，花費(fèi)較多，且不靈活，不能滿足業(yè)務(wù)的快速擴(kuò)展、快速上線等需求。而現(xiàn)階段，云計(jì)算迅猛發(fā)展，現(xiàn)在云方案安全可靠，技術(shù)成熟，可以提供可用的、便捷的、按需的資源提供，成為當(dāng)前IT架構(gòu)建設(shè)的主流形態(tài)。

桌面云需求：長期以來，IT桌面管理是信息化建設(shè)的痛點(diǎn)，如新桌面上線、軟件的安裝與管理、安全補(bǔ)丁的復(fù)雜部署、系統(tǒng)升級的版本沖突等問題，耗費(fèi)了IT管理員太多的精力，特別是龐大的客戶端數(shù)量和種類讓桌面管理的復(fù)雜程度呈指數(shù)增長。并且，隨著用戶數(shù)據(jù)量增加，如何有效管理存儲在不同終端設(shè)備上的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，避免用戶數(shù)據(jù)丟失和泄密，也成為IT部門在桌面管理中的重要任務(wù)。在此背景下，越來越多的企業(yè)正在尋求通過引入桌面云方案進(jìn)行IT技術(shù)變革，來提升數(shù)據(jù)安全、終端用戶體驗(yàn)、簡化管理、節(jié)能減排等方面的巨大價(jià)值。同時(shí)，通過創(chuàng)新的桌面管理模式與現(xiàn)有的管理技術(shù)和手段進(jìn)行良好的融合，幫助企業(yè)及時(shí)滿足IT發(fā)展需求，有效充分地利用現(xiàn)有資源。

企業(yè)級無線需求：企業(yè)隨著業(yè)務(wù)規(guī)模的不斷擴(kuò)大，對企業(yè)提高運(yùn)營效率的要求也不斷提升，隨著WIFI技術(shù)的不斷發(fā)展，使其能更加穩(wěn)定高效的承載企業(yè)應(yīng)用。很多企業(yè)在有線網(wǎng)絡(luò)的基礎(chǔ)上擴(kuò)展無線網(wǎng)絡(luò)來進(jìn)行日常業(yè)務(wù)的開展，甚至很大一部分企業(yè)在新建辦公場所時(shí)，考慮建設(shè)的成本和傳統(tǒng)網(wǎng)絡(luò)的繁瑣，也希望可以通過WIFI接入技術(shù)實(shí)現(xiàn)他們的目的。

2.企業(yè)網(wǎng)絡(luò)安全解決方案總體規(guī)劃

2.1 企業(yè)總體網(wǎng)絡(luò)建設(shè)內(nèi)容

企業(yè)本期網(wǎng)絡(luò)建設(shè)內(nèi)容，主要包括以下4個(gè)方面：

1.整體安全防護(hù)：

互聯(lián)網(wǎng)出口和數(shù)據(jù)中心應(yīng)用服務(wù)器前各部署一臺防火墻設(shè)備。

通過防火墻設(shè)備的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應(yīng)用；通過漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術(shù)手段；

通過防火墻設(shè)備精確的應(yīng)用識別，放行服務(wù)器補(bǔ)丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關(guān)非法外聯(lián)流量，防止終端被作為跳板入侵服務(wù)器。

2.服務(wù)器虛擬化：

超融合架構(gòu)融合了：計(jì)算、網(wǎng)絡(luò)、存儲和安全四大模塊，利用軟件定義數(shù)據(jù)中心技術(shù)將所有集群內(nèi)服務(wù)器的應(yīng)將資源，包括CPU、內(nèi)存、硬盤等全部資源進(jìn)行重新定義整合后，以虛擬化的軟件形式供外界使用，以實(shí)現(xiàn)真正云化方案。所有的模塊資源均可以按需部署，靈活調(diào)度，動態(tài)擴(kuò)展。

通過超融合一體機(jī)或者利用方案能夠在最短的時(shí)間內(nèi)，將業(yè)務(wù)系統(tǒng)安全、穩(wěn)定、高效的遷移到超融合平臺中，并且為后期邁向私有云平臺奠定基礎(chǔ)，可兼容云管平臺，從而能夠?qū)崿F(xiàn)多租戶的管理及計(jì)費(fèi)審計(jì)等功能。

3.虛擬桌面云：

通過部署桌面云，降低后期運(yùn)維成本，簡化運(yùn)維工作量。虛擬機(jī)模板技術(shù)讓桌面上線時(shí)間縮短為10分鐘左右，而技術(shù)人員也只需在“云端”進(jìn)行軟件維護(hù)，無需對每一臺終端進(jìn)行維護(hù)，單個(gè)IT管理員可輕松管理1000臺終端或虛擬桌面以上，大大降低了維護(hù)的工作量和人力成本。

在辦公區(qū)部署低功耗的瘦客戶端，實(shí)現(xiàn)綠色辦公，降低功耗，節(jié)省開銷。云終端硬件高度集成，零部件極少，損壞更換的概率極低，幾乎沒有維修費(fèi)用，無人為損壞可使用8-10年，比傳統(tǒng)電腦長一倍，使用周期的延長，大大降低設(shè)備更新的周期和成本。瘦終端日常耗電量僅需10W，可以幫助客戶節(jié)省大量的電力成本。

桌面云將所有的數(shù)據(jù)集中存儲在數(shù)據(jù)中心，像筆記本、瘦終端這樣的前端設(shè)備只接收圖像，整個(gè)業(yè)務(wù)過程里數(shù)據(jù)是不落地的，是非常安全的，不僅可以隨時(shí)隨地通過各類終端訪問桌面，而且集中化的部署方式也更有利于IT部門利用技術(shù)手段來保證信息資產(chǎn)安全。

4.無線辦公網(wǎng)絡(luò)：

搭建無縫接入的快速無線網(wǎng)絡(luò)，支撐公司郵件、財(cái)務(wù)、辦公軟件的高效使用。

通過企業(yè)無線建設(shè)，滿足企業(yè)BYOD建設(shè)需求，實(shí)現(xiàn)企業(yè)內(nèi)部任何時(shí)間、任何地點(diǎn)都能實(shí)現(xiàn)BYOD，保證無線信號的無縫覆蓋、快速漫游，而且信號質(zhì)量高。

對于多種接入終端，多個(gè)接入地點(diǎn)保證良好的一體化兼容、控制、管理。

對于員工的無線上網(wǎng)行為進(jìn)行合理的管控，禁止員工通過移動終端進(jìn)行炒股，刷微博等影響工作的行為。對核心的業(yè)務(wù)系統(tǒng)的流量帶寬進(jìn)行有效的保障。

對各部門無線網(wǎng)絡(luò)權(quán)限進(jìn)行精細(xì)化控制，各個(gè)部門、職位擁有責(zé)任內(nèi)的不同權(quán)限。如何保障公司機(jī)密不外泄，不越權(quán)。