中文English加入收藏设为首页客服电话:400-881-8480
 
#

解决方案Solution

您当前所在的位置:伟思信安>解决方案 > 行业应用解决方案 > 大型企业应用解决方案



某集团公司网络安全隔离解决方案

 

● 某集团公司公司网络现状
某集团公司公司的外网应用包括通过互联网访问应用以及通过专线直接的外协单位(移动、联通等、银行等)的业务应用。
公司已将互联网出口统一到集团公司本部,直属各单位统一通过省综合网划分的Internet VPN进行互联网访问,公司的互联网出口分别通过电信、网通等运营商专线联接,通过链路负载均衡设备连接到出口防火墙。防火墙将出口网络划分为内网、外网(Internet)、DMZ区、外协单位接入网络、远程移动办公接入等安全区域。
集团公司综合网Internet VPN是公司各单位访问互联网的通道,而单位的对外服务的DMZ区则通过综合网DMZ VPN连接到公司互联网出口。远程移动办公SSL VPN系统用于公司员工通过互联网远程访问公司内部业务系统进行移动办公。外网业务应用系统区主要提供给各外部第三方协作单位用户通过互联网访问公司对外的专用业务系统和数据库,外网业务应用数据库会与公司内网业务系统进行数据交换。
 
● 安全风险分析
某集团公司网络与互联网联网,涉及多种资源数据的交换,恶意试探、网络病毒、网络攻击等天然的安全隐患必然也会给某集团公司内网带来一定的安全风险,可能因为数据交换而危害到内网,可能影响到某集团公司内部大量的涉密信息安全,所以安全问题变得越来越复杂和突出。
 
● 安全需求
随着公司业务的发展,公司业务系统越来越频繁需要与外网应用进行交互,在这种应用环境下,要保障公司内部信息系统的安全,免受外网威胁的侵害,则必须:
● 确保外网应用的安全接入
外网应用主要是提供给第三方人员进行访问,特别是通过互联网的外网应用,面临的安全威胁较大,外网应用作为公司内网应用的一部分,那么则必须要加强外网应用的安全保障,包括通过身份鉴别、访问控制、病毒木马过滤、应用过滤等技术措施来保障外网应用安全接入。
● 建立内外网数据安全交换措施
为防止通过外网应用脆弱点进入公司内网,进而控制公司整个网络和获得所有信息数据,那么在保障外网应用安全接入的同时,通过安全隔离系统进行信息数据的交换,确保公司内网信息数据和网络的安全。
● 统一要求、集中监控
目前,公司大多业务系统都有外网应用接入的需求,各外网应用必须要按照公司统一的管理要求,能够满足公司外网应用接入要求,通过建立的内外网数据安全交换措施进行数据交换,实现公司的外网应用的接入的集中管理和监控,加强安全防御能力,减少人力、物力的投入和降低运维难度。
 
● 解决方案
某集团公司网络当前的安全需求就是提高与网络边界控制的级别,采用具有更高安全性的安全隔离设备来保障某集团公司内部网络的安全性。根据上述需求,我们设计了下列方案:
● 在公司内网与外部网络间部署伟思安全隔离与信息交换系统(网闸),该网闸的作用就是隔离来自外部网络的访问,以静态化纯数据的形式摆渡交换在内外网之间安全交换数据。
● 网闸部署在内外网进行数据交换的网络边界处,仅允许定义的安全数据进行数据交换。隔离除此之外禁止其它任何外部主机对内网的访问请求。在该隔离环境下,大量攻击行为都被隔离网闸隔离而无法进入公司内网
● 对大负荷应用可采用双机集群,实现负载均衡和双机热备。解决性能保障问题和应用隔离保障问题。性能保障主要是保证隔离系统的网络性能满足电网应用对数据交换速率和延时的要求;实现负载均衡与双机热备,使安全交换平台具有良好的可扩展性和可靠性,另外对于交换数据量大的应用系统可采用千兆隔离网闸。
 
● 安全隔离方案拓扑图
按照上述安全隔离与信息交换方案策略,我们对现有网络结构做了调整,引入了隔离网闸等网络安全产品来实现某集团公司网络安全系统的建设,保证内外安全的前提下,满足内外网隔离与信息交换的需求。具体拓扑图如下:
 
 
● 隔离网闸使用的效果
同传统的防火墙等逻辑隔离访问控制技术相比,隔离网闸独特的模型结构天然具有了一些其它安全技术难以达到的安全特性,主要包括以下几个方面:
● 对网络层/OS层已知和未知攻击的全面防护能力。由于在网闸2+1隔离架构模型中内外网间实际上物理断开,所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动,因此,移动的数据中并不包含相对低层的网络层/OS层控制信息,换句话说,隐藏在网络层/OS层的攻击行为根本没有进入受保护内网网络的可能,无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为,遗漏和处理不当都在所难免,并且对未知攻击毫无办法,对受保护网络造成严重安全隐患。 
● 不再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统作为平台提供低层服务支持,操作系统的安全性实际上就影响到整个安全产品的安全性,目前主流的OS主要是微软和UNIX/Linux两大类,所有这些操作系统都具有一定数量的Bugs,这些漏洞也随之成为整个安全产品的漏洞。而隔离网闸很好地解决了这个问题,其内网处理服务器上的操作系统完全不对外暴露,暴露在外的仅仅是负责外网处理的服务器,即使该服务器因操作系统Bugs被攻击,实际上也无法进一步影响内网处理服务器,因为内外网是物理断开的。实际上,与防火墙等其它安全产品不同,黑客无法利用现有操作系统Bugs获得对隔离网闸结构的控制权。 
● 强化安全决策过程的安全性。安全决策是最重要和基础的安全防御手段之一,安全决策包括认证、访问控制列表(ACL)、内容过滤以及格式检查等一系列方式。安全决策功能一旦失效,恶意访问将无阻碍地进入受保护网络(例如访问控制列表被更改,已禁止端口被开放等)。目前的网络安全产品对决策模块的防护能力相对较弱,而隔离网闸则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成,且关键的策略库置于与被检查数据物理断开的受保护端(LAN)服务器上,因此,策略库和决策过程都十分安全,未经严格检查的数据将始终被隔离在受保护网络(LAN)以外,确保决策过程的安全。 
● 数据静态化。在隔离网闸中,所有进入网闸内的数据在传递过程中都是静态的,其内容不被任何程序执行,仅仅是对静态内容实施检查和决策,因此,这些数据本身携带的任何恶意代码都无法执行,也就无法危及系统的安全,整个系统安全可靠。