方案背景:
在数字化转型、“互联网+”的大背景下,网络信息沟通是各个企业间不可或缺的通道。因此,信息安全在中铁数字化转型时代的重要性越来越突出,发展信息产业首先要保护信息安全。从股份公司到下属单位目标一致,在整体大趋势下做好全网网络安全保卫工作。
当前防病毒软件或硬件网关,基本上以依靠病毒特征库为主,而针对经过变种的病毒、木马或者未知恶意代码,不具备监测能力。从而,未知恶意代码能够都计算机系统或网络设备带来很大的危害。全面的攻防不对等为整体安全建设加固敲响警钟。
方案介绍:
1.以铁建所内网的办公区和服务器区为核心,采用路由模式在内网出口处部署下一代防火墙与上网行为管理设备,下一代防火墙做对外的安全防护,上网行为管理做对内的安全管控。 2.为保障企业内网的核心数据安全,在内网各服务器和PC端安装EDR终端检测与响应设备来实现端点病毒等的防御和查杀。 3.设置统一运维区,部署日志审计、数据库审计、堡垒机设备,对运维管理区进行深度安全管控。 4.在核心交换机上旁路部署一台威胁检测探针,在同一运维区部署一台态势感知设备,该设备不仅可以联动探针的流量分析结果,也可以联动EDR和出口防火墙,进行统一的安全态势分析与展示。
设计方案:
关键技术:
1.访问控制:
除基本的ACL访问控制列表的方法予以隔离以外,还可以针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。例如,支持基于国家地理位置的访问控制。能够精确识别攻击源/ 目的IP 所处的国家地理位置,从而可以根据业务通信要求实施基于国家地理位置的访问控制,快速阻断攻击流量。
2.入侵防御:
包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等。尤其是针对应用层入侵,下一代防火墙可以全面识别各种应用层漏洞,如struts2漏洞、Adobe Flash 远程代码执行漏洞等,并针对性开启防护策略。
3.恶意代码防护:
采用流模式和启发式文件扫描技术,可对HTTP、SMTP、POP3、FTP等多种协议类型的近百万种病毒进行查杀,包括木马、蠕虫、宏病毒、脚本病毒等,同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。
4.Web安全防护
提供专业Web攻击防护功能。支持SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足用户Web服务器深层次安全防护需求。
