上海安达通安全解决方案案例
某市电力局安全解决方案
一,项目简介
某市电力局 为 安徽 省级电力公司下 属 的二级单位,信息化程度较高,目前已经建成 生产技术和运行子系统、用电管理子系 统、办公自动化子系统、财务子系统、物资子系统 和 人劳党政子系统等。
该电力局 内部 网络 与三个外网 相连,分别通过路由器与省电力公司网络,下属六个县局网络 和 银行网 络 进行数据交换 ; 力达公司为其直属公司。
二、安全方案
通过对 该电力局的 网络整体进行 系统 分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的,
1) 保障现有关键应用的长期可靠运行,避免病毒和黑客攻击;
2) 防止内外部人员的非法访问,特别是对内部员工的访问控制;
3) 确保网络平台上交换的数据的安全性,杜绝内外部黑客的攻击;
4) 方便内部 授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地访问内部网络,实现信息的最大可用性;
5 ) 能对网络的异常行为进行监控,并作出回应,建立动态防护体系。
为了实现上述目的,我们采用了 主动防御体系和被动防御体系相结合 的全面网络安全解决方案,如下图所示 。
上海安达通安全解决方案案例
主动防御体系
主动防御体系由漏洞扫描和入侵检测 及 与 安全网关的联动 系统 组成 。
主要在网 络 中心增加,入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防 范从单位内部发起的攻击。
对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。
本方案在交换机上插入入侵检测系统 (KIDS3.3),并将其与交换机相连的端口设置为镜像端口,由 IDS 传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。
实现安全网关和入侵检测系统的联动,在策略中配置和安达通安全网关互动,
例如使用大包 pin g 位于安全网关另一边的主机。报警,ping 通一个 icmp 包后
上海安达通安全解决方案案例
无法再 ping 通、安全网关控制台界面上发现动态添加的规则。
漏洞扫描系统”是一中网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患与未然。
“安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。
被动防御体系
被动防御体系主要采用上海安达通公 司 的 SGW 系列安全网关
(Firewall+VPN) 产品。
在 C isco 路由器 4006 与 3640 之间,插入 安全网关 SGW25 是 必须的 。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,
SGW25 在这里主要发挥防火墙和 VPN 的双重作用。
1,保障局域网不受来自外网的黑客攻击,主要担当防火墙功能;
2,能够根据需要,让外网向 internet 的访问提供服务,如,Web,Mail,DNS
等 服务;
3,对外网用户访问( internet )提供灵活的访问控制功能。如:可以控制任何一个内部员工能否上网,能访问哪些网站,能不能收发 email,ftp 等,能够在什么时间上网等等。简而言之,能够基于“六元 组”(源地址,目的地址,源端口号(即:服务),目的端口号(即:服务),协议,时间)进行灵活的访问控制。
4,下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
internet 相连的“虚拟专用网”,彻底解决了在 网 上传输的内部信息安全问题,
方便了管理,并极大地降低了成本。各单位间能够在 网 上构成安全的数据传输通道形成“虚拟专网”。在“虚拟专网”内部传输的数据都经过网关的高强度加密和认证,能够充分确保数据传输的安全。
5,授权的内部员工当出差在外时,可以在外地拨内网的拨号服务器,然后使用“安全网关客户 端软件”,通过加密隧道从外部安全方便地接入局中心内网 。
某市电力局安全解决方案
一,项目简介
某市电力局 为 安徽 省级电力公司下 属 的二级单位,信息化程度较高,目前已经建成 生产技术和运行子系统、用电管理子系 统、办公自动化子系统、财务子系统、物资子系统 和 人劳党政子系统等。
该电力局 内部 网络 与三个外网 相连,分别通过路由器与省电力公司网络,下属六个县局网络 和 银行网 络 进行数据交换 ; 力达公司为其直属公司。
二、安全方案
通过对 该电力局的 网络整体进行 系统 分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的,
1) 保障现有关键应用的长期可靠运行,避免病毒和黑客攻击;
2) 防止内外部人员的非法访问,特别是对内部员工的访问控制;
3) 确保网络平台上交换的数据的安全性,杜绝内外部黑客的攻击;
4) 方便内部 授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地访问内部网络,实现信息的最大可用性;
5 ) 能对网络的异常行为进行监控,并作出回应,建立动态防护体系。
为了实现上述目的,我们采用了 主动防御体系和被动防御体系相结合 的全面网络安全解决方案,如下图所示 。
上海安达通安全解决方案案例
主动防御体系
主动防御体系由漏洞扫描和入侵检测 及 与 安全网关的联动 系统 组成 。
主要在网 络 中心增加,入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防 范从单位内部发起的攻击。
对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。
本方案在交换机上插入入侵检测系统 (KIDS3.3),并将其与交换机相连的端口设置为镜像端口,由 IDS 传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。
实现安全网关和入侵检测系统的联动,在策略中配置和安达通安全网关互动,
例如使用大包 pin g 位于安全网关另一边的主机。报警,ping 通一个 icmp 包后
上海安达通安全解决方案案例
无法再 ping 通、安全网关控制台界面上发现动态添加的规则。
漏洞扫描系统”是一中网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患与未然。
“安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。
被动防御体系
被动防御体系主要采用上海安达通公 司 的 SGW 系列安全网关
(Firewall+VPN) 产品。
在 C isco 路由器 4006 与 3640 之间,插入 安全网关 SGW25 是 必须的 。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,
SGW25 在这里主要发挥防火墙和 VPN 的双重作用。
1,保障局域网不受来自外网的黑客攻击,主要担当防火墙功能;
2,能够根据需要,让外网向 internet 的访问提供服务,如,Web,Mail,DNS
等 服务;
3,对外网用户访问( internet )提供灵活的访问控制功能。如:可以控制任何一个内部员工能否上网,能访问哪些网站,能不能收发 email,ftp 等,能够在什么时间上网等等。简而言之,能够基于“六元 组”(源地址,目的地址,源端口号(即:服务),目的端口号(即:服务),协议,时间)进行灵活的访问控制。
4,下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过
internet 相连的“虚拟专用网”,彻底解决了在 网 上传输的内部信息安全问题,
方便了管理,并极大地降低了成本。各单位间能够在 网 上构成安全的数据传输通道形成“虚拟专网”。在“虚拟专网”内部传输的数据都经过网关的高强度加密和认证,能够充分确保数据传输的安全。
5,授权的内部员工当出差在外时,可以在外地拨内网的拨号服务器,然后使用“安全网关客户 端软件”,通过加密隧道从外部安全方便地接入局中心内网 。
