当前位置: MCBANG > 首页考试试题 > 计算机 > 安全论文 > 正文

尖刀网安: 建立可信可控可管网络安全体系安徽报业大厦网络安全防护

2012-7-5 13:11 来源:尖刀网安 浏览次数:716 我来说两句(0)
  随着信息化程度的提高,报业运营对网络的依赖性也逐步增强。
  但随之而来的网络安全问题也显得尤为重要,文章重点介绍了局域网外网安全控制和新技术应用,建立可信可控可管网络安全体系。
  关键词网络外网安全报业管理安徽报业大厦是一座集新闻采编、信息发布、会议、办公、文化活动等为一体的综合性智能大厦,落坐于风景秀丽的合肥市政务新区天鹅湖畔。
  于2009年3月正式启用,4月底顺利完成老办公楼的搬迁,终端信息点约2000个。现入驻安徽日报报业集团以及包括安徽日报、新安晚报、安徽商报、文摘周刊、安徽日报农村版、安徽法制报、江淮时报、世界报、数码娱乐DVD导刊、新闻世界、双语学习报、徽商杂志、中安在线等13个系列报和网站,四个经营公司,办公总人数达到2000人。
  随着信息化程度的提高,报业运营对网络的依赖性也逐步增强,而网络世界所特有的黑客、病毒等不安全因素时刻潜伏在未知之中,给各项工作带来严重的安全隐患。因此,经过多次考察论证后,我们全力建立和完善网络安全体系,按照统一管理、主动防御、综合防范的方针,确保报业大厦用户网络平台的可信、可控、可管,确保报业大厦内网络信息的保密性、可用性和完整性。
  网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。在具体实施中,我们将大楼网络安全按区域划分,一是外网的安全防护,一个是内网安全防护。在外网安全这一块我们着重于新技术和新设备的应用,联合防御和监控外网安全,确保大楼内部网络的信息安全。
  外网接入第一道屏障:防火墙外网安全主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵防御等防御角度出发的技术为主。因此将防火墙作为报业大厦网络安全的第一屏障发挥它两项重要功能:防火墙作为阻塞点、控制点能极大地提高内部网络的安全性,并通过过滤不安全的服务而降低风险。
  防火墙作为第二到第四层的防护,主要针对像IP、端口、协议等静态的信息进行防护和控制,因此只有经过精心审核过的应用协议才能通过防火墙,所以网络环境变得更安全。
  防火墙作为上网网关,合理分配上网带宽。由于报业大厦办公人员众多,vlan多达40个,为此申请了多条电信百兆宽带和联通宽带,在防火墙上使用静态路由与策略路由相结合的办法实现nat上网转换,不仅实现了合理分配带宽,同时实现电信和联通互为备份,除非电信和联通光纤都断了,否则大楼永远不会断外网。
  IP S抵御网络入侵报业大厦上网用户数量很大,网络应用丰富,对大楼主干网络提出了新的安全要求。一方面网络中存在着大量的"流氓流量",宝贵带宽资源存在着浪费现象;另一方面,如果网络不慎感染病毒,大量爆发的垃圾流量会在很短的时间内涌向出口,导致出口带宽瞬间被耗尽。
  此时所有的业务,无论关键与否,都容易被中断。我们根据网络的特点,在防火墙下层,透明部署了入侵防御系统IPS:设备通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护。
  透明部署方式不影响网络已有的网络结构,同时启用掉电保护(PFC)、二层回退等功能,保证IPS在断电、软硬件故障或链路故障的情况下,网络链路仍然畅通,保证业务的不间断正常运行。
  同时设置防病毒网关功能,能够检测进出网络内部的数据,对多种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或阻断,在报业大楼防护病毒方面起到了非常大的作用。
  S s l vpn移动接入的安全保障报业集团网络信息化初步建成,有自己独立的办公内网和外部网站对外发布信息,信息化建设初具规模。但随着信息程度的不断提高,在外出差的领导希望能安全地访问内网,获得所需资源,在外出勤的记者希望把第一手资料上传给报社,以及各种外出人员都需要访问报社内网上传或下载所需要的资料,解决这些移动用户的远程安全访问问题已经迫在眉睫。
  必须要建立报业移动人员和报业集团总部之间的一条专用通道,在这条通道中传输的数据是报业内部数据,是不公开的,因此必须要在安全的前提下进行远程连接。为此在报业大厦考虑安全体系时,部署了SSLVPN设备,为移动人员和报业总部之间提供安全、高速、虚拟专用通道。
  SSL VPN非常适用于单机接入总部网络的应用需求,使用标准的浏览器,无需安装客户端程序,即可通过SSLVPN隧道接入总部网络进行访问应用。编辑记者在外地不需客户端的可以"随时随地移动接入"。
  同时解决了通道安全问题,SSLVPN可以提供更细的访问控制,可以对用户、用户组的权限、资源、服务、文件进行更加细致的控制,也可以与第三方认证系统、认证中心(CA)结合。SSLVPN安全主要包括:数据通信安全、身份认证安全两个大层次。数据传输安全方面,SSL VPN采用标准的安全套接层(SSL)协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度为128位,完全能够满足数据传输层的安全需求,确保数据进入内网的安全性。
  在身份认证安全方面,SSLVPN做到基于用户个体的精细控制,基于用户和组授予不同的应用访问权限,将用户名和随机分配的内网ip进行绑定,并对相关访问操作进行严格审计,确保只有"正确"的用户才能访问总部发布的"正确"的应用。实现了各种基于B/S,C/S结构设计的应用程序,比如报业大楼使用的紫光采编系统和方正采编系统均能够通过远程登录使用。
  上网行为管理系统规范员工安全上网网络给大家的工作提供了海量的信息,有助于帮助我们完成工作内容。
  同时,短时间的网上休闲,如迅速浏览网页,能让大脑得到放松,让人精力更加集中地完成一天的工作。


[广告]赞助链接:

知安,互联网产品安全医院:http://www.knowsafe.com
舆情监测,互联网舆情首选查舆情:http://www.chayuqing.com/
爱尖刀科技,关注企业数据与安全:http://www.ijiandao.com

关注公众号:Mcbang_com 了解更多精彩,关注:chayuqing_com 娱乐资讯早知道!
收藏 分享 发布者: admin |
看完这篇文章,你的感受如何?


伤心


无视


惊讶


流汗


赞同


路过
Copyright© 2006-2016 IjianDao.Com All rights reserved.
知娱 版权所有 京ICP备14006288号-3