公司介紹
北京永恆信業科技有限公司,成立於2004年,是一家以計算機網路機房建設、區域網路組建、數據存儲、信息安全、視頻會議、多媒體生產調度服務等綜合性業務為主的高新技術企業,多年來為金融、證券、政府、企業、水利、電力、公安、醫療及教育行業等眾多用戶提供各種解決方案,在技術論證、規劃設計、安裝調試、套用開發及其相關的技術支持和售後服務等方面積累了豐富的經驗。
公司現為工信部系統集成三級資質,在產業信息化迅猛發展的今天,我們將一如既往的把更先進、更可靠的技術和產品,以及更優質、高效的服務奉獻給廣大的用戶。公司有優秀專業的售前及售後支持團隊,用戶不僅可以得到優質的產品和專業化的技術支持,同時也將得到全面及時的優質的售後服務。
信息系統解決方案
WEB安全防護解決方案政府入口網站是政府部門對外的視窗和實施電子政務的重要平台,目前部委、省地市各級政府機關基本都建立了自己的入口網站,用來宣傳和介紹政府的基本狀況。然而針對WEB業務的攻擊亦在迅猛增長,類似網頁被篡改或者網站被入侵等安全事件頻繁發生,不但嚴重影響了政府的對外形象,有時甚至會造成巨大的經濟損失,或者嚴重的社會問題,嚴重危及國家安全和人民利益。
國家對政府網站的安全性也非常重視。2011年4月,國務院辦公廳發布國辦函〔2011〕40號檔案--《國務院辦公廳關於進一步加強政府網站管理工作的通知》,通知要求進一步加強政府網站管理工作,各地各部門對本地區、本部門政府網站進行全面檢查,檢查內容包含網站安全防範工作是否到位,是否採取了防攻擊、防篡改、防病毒等安全防護措施,並制訂了應急處置預案。
目前,政府網站建設主要存在這些不足:
1) DMZ備份伺服器與對外伺服器部署一台設備上;
2) 網站伺服器的防篡改系統沒有做加固保護;
3) 沒有數據“備份”和“還原”系統;
4) 沒有遠程監控、管理以及應急情況的處理機制;
5) 備份伺服器沒有獨立保護;
6) 沒有針對於外部攻擊、篡改的應急預案等等。
為此,針對這些比較普遍的問題,首先將整個網路劃分成外部服務區、內部服務區、邊界接入區、辦公區,以及網管中心。政府入口網站部署在外部服務區,一些內部業務則部署在內部服務區。其中政府入口網站是整個網路中最易遭受外部黑客攻擊的目標和對象,也是安全防護的重點。根據網站安全保護方案,首先對承擔網站業務的WEB伺服器進行核心加固,同時部署數據備份和還原系統,實時備份運行中的業務數據,並將備份服務區單獨隔離,確保備份服務區的數據的安全。在WEB伺服器的前面部署WEB套用
(簡稱WAF),提供實時WEB精細防護。並在WAF之前串式部署應急智慧型電源,為遠程簡訊和電話接入控制提供保 障。通過網站安全整體保護方案,實現WEB攻擊可防、網站數據有備、網頁篡改能控,極端情況下有應急處置能力,真正提供一站式的整體安全解決方案,解除政府網站管理之憂。
其網路拓撲部署圖如下:
方案原理
網站安全解決方案由六個子系統組成:
1) 網站伺服器OS加固系統:對網站的WEB伺服器作業系統實施全面加固,同時設定檔案系統強制訪問規則,僅允許指定進程和用戶修改網站數據,杜絕其他任何檔案修改操作;
2) 數據備份和恢復系統:對網站運行數據進行實時備份,並對數據備份伺服器進行網路隔離,防止備份數據遭受外部入侵。同時,在必要情況下,可以快速地將備份數據進行恢復,保障網站連續運行;
3) 網站數據監控系統:該子系統作為極端情況下的備用保護模組,當網站數據遭受破壞或篡改時,可以實時檢測(檢測回響時間可以達到秒級,且不受網站數據規模影響),並通過遠程應急控制系統,向網站管理員告警;
4) 遠程應急控制系統:該子系統集成IP語音電話、手機簡訊等通信平台,不僅支持遠程告警功能,而且提供遠程電話或簡訊控制網站的對外服務狀態,並支持自動數據恢復,解除網站異地管理或緊急情況下的後顧之憂;
5) WEB套用安全防護系統:提供專業、精細化的WEB套用安全保護,支持WEB攻擊實時防護、敏感信息泄露、網站漏洞掃描等功能,將WEB攻擊阻斷在WEB伺服器外部;
6) 邊界安全防護系統:提供邊界高性能防火牆、入侵防護(IPS)、防病毒等基礎網路安全保護,同時針對網站業務的具體使用環境,具備海量異常流量檢測和清洗,保障內部網路的訪問流量的純淨。
以上6個子系統的相互協同、互補融合關係參見下圖:
系統架構
根據WEB服務的運行特點和基礎網路架構規劃,網站安全已經無法通過單一的安全產品、一個或兩個安全防護措施就能保障。相反,只有通過整體解決方案,設計多層次、立體式的安全防護體系才可能較好地解決。永恆信業網站安全解決方案充分考慮到網站建設、日常運營和安全防護的實際需要,其對網站安全保護由網路安全、業務安全、主機安全、數據安全以及遠程應急控制等一系列方法和措施來保障,整體方案採用如下系統架構:
首先,根據功能域劃分、核心數據重要性、安全防護等級和網站日常維護等不同需求,將整體網路劃分成邊界防護區、對外服務區、內部服務區、數據備份區、網站發布區,以及內部辦公區等多個不同的安全域,各個不同安全域承擔各自不同的業務和功能,採取不同等級的安全防護措施。
網站對外服務區是網站業務的核心區,也是網站最可能遭受攻擊的目標。對外服務區的安全保護是整個網站安全防護的重點,而承載網站業務的WEB伺服器是核心。據此,首先對外部服務區中的WEB伺服器進行主機安全加固,保障該主機的檔案系統訪問、系統註冊表、系統進程和服務、套用數據等安全。在此基礎上,部署數據監控系統,確保在極端情況下,網頁受到篡改、數據被破壞時,及時通過遠程語音和簡訊平台進行告警。同時,在必要情況下,可以通過遠程應急控制系統,快速切斷網站對外服務。
網站運行過程中,數據的備份和還原是整體安全方案的重要系統之一。在不影響業務運行的情況下對核心數據提供實時備份,並通過網路將數據存放到備份伺服器中,一來對核心數據提供備份保障,二來即使在運行數據遭受損壞的情況下也可以快速還原,保障網站系統的數據安全。同時,必須將備份伺服器進行安全隔離,以保證備份數據本身的完整性、私密性、安全性。
網站的日常維護和更新是整個方案中必須要深思熟慮的環節,處理不當,其本身會成為一個重要的安全漏洞和攻擊途徑。在網站安全方案中,首先要求規劃獨立的網站維護和更新管理區,管理員可以通過VPN等安全隧道登入到該安全區域的指定設備上,實施維護和更新操作。同時,要加強對更新數據(包括檔案內容、圖片內容)的審查,針對圖片等數據,必要情況下,還要增加人為審查,以彌補機器自動化的不足。
最後,當WEB伺服器的主機安全、網站數據安全實現後,還要有一個安全、乾淨的網路環境。為此,增加必要的網路安全防護是必要的。在此方案中,我們針對網站業務的特點,部署多功能安全網關UTM、外部異常流量清洗等網路防護系統,在網路邊界處阻斷大量的外部攻擊和異常流量,確保網路內部流量和請求的安全、乾淨。
特別指出的是,網站數據中,很大一部分數據將以資料庫記錄的形式存放在資料庫。對資料庫同樣需要採取相關措施,保護其免受非法破壞。永恆信業網站安全保護方案包括資料庫記錄數據的實時備份、異常破壞和篡改的監控,以及資料庫的恢復等功能,確保資料庫的安全。
企事業單位發展的核心在於其業務的高速發展。如今,網路已成為企事業單位業務最大的載體,ERP、OA、郵件系統等內部業務系統不僅促進了單位的內部交流,而且承擔著企事業單位大部分的核心業務。
分散式組織網路互動、數據集中、移動辦公等問題表現。
無論是財務系統、業務系統,還是辦公系統,一旦我們離開了單位區域網路,這些系統資源我們都無法使用。事實上,現在領導及員工出差、駐外設定分枝機構的現象越來越普遍。領導出差時如果無法及時使用區域網路資源,會耽誤重要的業務程審批,導致單位流程停滯;員工出差時,如果無法訪問區域網路業務系統,其業務很可能會被擱置,工作效率低下……如何解決移動辦公,成為企事業單位提升業務速度的關鍵之一。
現在大型企事業單位數據集中的整合趨勢、分支機構日益增多的組織架構趨勢,使集團總部與分支之間,需要運行統一的系統軟體來協同工作,他們之間需要進行大量的數據傳輸。而廣域網傳輸性能低下,專線部署費用昂貴且鋪設複雜,這些制約了組織業務的發展。我們發現:傳輸一個數M的檔案需要10分鐘,打開一個郵件系統需要數分鐘,很多工作時間浪費在等待上,這大大降低了組織機構的業務效率。
在組織總部部署SSL VPN+廣域網最佳化產品,分布在外的分支機構通過部署廣域網最佳化設備,實現與總部廣域網最佳化設備的網路互動,此時,廣域網最佳化設備通過削減傳輸通道中的重複數據、最佳化傳輸協定、壓縮傳輸檔案等多種手段,達到快速而經濟的網路傳輸與數據傳輸。而且廣域網最佳化設備集成VPN模組,可對通道內的數據時行加密來保障組織的業務數據安全。
而出差的領導、員工,駐外的小型分支機構員工,以及第三方機構,則通過SSL VPN協定遠程接入組織總部區域網路,通過對應各自身份的許可權來訪問和運用不同的業務系統和資源,以達到業務系統的及時操作。
該方案給企事業單位帶來的價值
該方案利用了SSL VPN 和廣域網最佳化設備互補的優勢,SSL VPN提供快速、安全、便捷的遠程客戶端訪問;而廣域網最佳化設備提供網到網的加速訪問,而且其支持移動客戶端的加速。
該方案簡單易用,容易推廣
SSL VPN不需安裝客戶端,遠程用戶可隨時隨地從瀏覽器上安全地接入總部區域網路,安全地訪問業務系統,因此降低了管理員維護客戶端的工作量。標準的SSL傳輸協定可以輕易地穿越防火牆,使得移動辦公用戶可在大部分網路環境下都能接入到總部VPN網路。
業務互動安全,讓人放心
無論是移動辦公用戶、第三方接入,還是分散式企業的分支機構接入,SSL VPN、廣域網最佳化設備通過用戶名/密碼、簡訊認證、動態令牌、USB-Key認證等組合方式實現對接入用戶身份的安全認證,並對其進行精確的許可權分配,這可有效保證區域網路資源訪問與套用的合法性。而通過VPN專線、客戶端安全檢測等技術,我們則可以保證接入客戶端的安全問題,從源頭上保障接入業務套用的安全性。
業務套用快速,進一步提升效率
而廣域網最佳化設備之間連通的業務網、移動加速客戶端與總部廣域網最佳化設備之間實現加速互連,企事業單位可以讓移動在外的人員、駐外分支機構與總部的業務套用、資源訪問均以加速形式實現,這進一步提升了組織的業務運營效率,最佳化了組織的業務流程。
自上世紀60年代"阿帕網"誕生,只短短半個世紀網際網路就已經發展成含有一萬億個網頁、1.8億個獨立域名的龐然大物。網際網路的飛躍式發展,帶動了信息的爆炸式傳播,促使各色網路資源日趨龐雜,但缺乏上網加速、頻寬管理、上網安全的網際網路訪問給組織帶來的問題卻是層出不窮。
針對用戶面臨問題,北京永恆信業推出上網最佳化網關針對性的提供以下四點價值:
降低頻寬利用率,提升網路訪問速度
上網最佳化網關通過豐富的報表工具向IT人員直觀展現網際網路流量構成、頻寬使用情況等信息;再藉助上網最佳化網關的上網加速特性,減少冗餘數據反覆傳輸浪費頻寬的頻率;同時當區域網路用戶訪問相同網際網路資源時,可直接從網關處提取傳輸,大幅提升上網速度。
合理規劃頻寬,使用高效、合理
上網最佳化網關以豐富的報表工具向IT人員直觀展示各套用、各用戶的頻寬使用情況後,上網最佳化網關針對套用類型、網站類別、檔案類型、用戶/用戶組、時間段等細緻劃分和分配頻寬資源,既可有效限制P2P、線上影音、大檔案下載等不良套用對頻寬的大量占用,同時又保障領導等關鍵用戶、ERP等關鍵套用的頻寬需求,進而提升上網速度。
代理區域網路上網,有效隔離保護
上網最佳化網關在實現上網加速功效的同時,還提供硬體Proxy代理功能,為大型組織提供性能更強勁、更穩定可靠的硬體Proxy代理方案。藉助Proxy代理將幫助組織實現區域網路與網際網路的隔離保護,增強組織網路安全性,同時代理區域網路數萬用戶上網。
安全防護區域網路,穩定上網有保障
上網最佳化網關能主動清理流量中的惡意外掛程式、危險腳本、病毒、木馬等威脅,並封堵色情、反動等不良網站。即使區域網路用戶不幸感染間諜軟體、被黑客遠程控制、甚至淪為殭屍網路等,上網最佳化網關亦可識別、封堵、並向管理員報警。同時還可防禦DoS攻擊、ARP欺騙等惡意威脅。最後還將終端安全狀況與其上網許可權關聯,終端不安全的就禁止上網。多手段、全方位確保組織上網環境的穩定、可靠與安全,為上網加速奠定堅實基礎。
1、上網行為管理
根據Dynamic Markets Limited對全球辦公室上網情況的調查:在上班時間,中國員工每周比其他國家的員工多花7.6小時來使用即時通訊(Instant Messenger)工具、玩遊戲、P2P下載或線上媒體。中國員工上網下載音樂的時間比拉美國家高16%,進入聊天室和玩線上遊戲花費的時間分別比其他國家高約8%和12%。在網際網路發達的印度,只有26% 員工在工作場合瀏覽個人信件,而在中國,這個數字則是60%!
以上行為實實在在地存在於我們的辦公網中。事實上,我們很多企業員工打開電腦的第一件事便是開迅雷,下載電影、視頻、遊戲;也有為數不少的員工痴迷股海,一心撲在大盤上面;而我們的員工在線上視頻、線上小遊戲、娛樂網站、熱門論壇上花費的時間更是驚人。凡此種種,無不給我們有限的頻寬資源帶來了巨大的流量壓力,給員工的辦公效率打了一個大大的問號。
隨著現代企業管理理念和信息技術水平的提升,如何有效管理與利用網際網路資源,這已成為現代企業管理的重要衡量標準。與此同時,上網行為管理的理念愈發深入人心,提升員工網路業務的辦公效率,這已經成為政府和企業IT管理者關心的首要問題。
永恆信業科技有限公司在企業辦公網路管控、提高員工辦公效率方面積累了相當的經驗,通過以網關、網橋、或旁路模式部署上網行為管理產品,可以有效對區域網路員工的各種網路套用行為進行管理。上班時間,封掉影響業務效率的非業務套用及相關網站;對擠占公司頻寬資源的套用進行流量控制,確保主流的辦公套用頻寬資源,以提高業務套用的辦公效率……具體而言,永恆信業封堵非業務網路套用解決方案,將帶來下述價值:
1. 全方位封堵p2p ,確保正常辦公業務頻寬
2. 針對性套用管控,對事張馳有度
3. 選擇性內容過濾,方式靈活
4. 差異化許可權劃分,構建和諧組織
隨著信息安全技術和理念的發展,安全監控的關注點已經從設備轉向對於設備使用者的行為,用戶對於設備使用人行為審計和行為控制的需求越來越明顯,由此國內外均已有相關的政策和法規陸續出台,國內的《涉及國家秘密的信息系統分級保護技術要求》、《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評準則》和國外的《薩班斯・奧克斯利法案》也均明確的提出了對主機行為的監控和審計要求。
主機安全監控強審計系統通過技術手段使各種管理條例落實,增強用戶的安全和保密意識,保護內部的信息不外泄,適用於政務、軍隊軍工、金融等各個保密要求性較高的企事業單位。
系統功能描述
1 )上網訪問行為審計和控制
2 )檔案保護及審計
3 )網路檔案輸出審計
4 )郵件審計
5 ) 列印審計
6 ) 檔案涉密信息檢查
7 ) 用戶許可權審計
8 ) 各自獨立的許可權分配體系
9 ) 系統日誌審計
2、終端接入控制
網路接入控制管理系統可以保護整個企業內部網路,包括可管理的(企業台式機、手提電腦、伺服器)以及不可管理的(外部訪客、合作夥伴、客戶)終端。能夠強制提升企業網路終端的安全,保證企業網路保護機制不被間斷,配置正確無誤,以及補丁擁有最新的時效性,使網路安全得到更有效提升。與此同時基於設備接入控制網關,還可以對於遠程接入企業內部網路的計算機進行身份、唯一性及安全認證。
通過網路接入控制管理系統可以滿足企業要求,將設備接入控制擴展到超出簡單遠程訪問及路由器、專有協定和已管理設備的限定之外;能夠覆蓋到企業網路的每一個角落,甚至是當使用者拿著他們的移動設備離開企業網路時,仍能有效的提供設備接入控制的執行。網路接入控制管理系統針對所有的網路架構工作,並且不必進行昂貴的網路架構改造。
系統功能描述
1. 802.1x接入認證管理;
2. 未註冊終端接入訪問區域限制(vlan限制);
3. 未安裝防毒軟體等必備軟體自動安裝下載管理;
4. 未打補丁終端接入限制;
5. 運行不可信進程、服務、註冊表終端接入限制;
6. 未達到預定義安全級別的終端接入訪問區域限制;
7. 自定義終端安全接入必須的桌面運行安全環境。
系統集成解決方案
區域網路組建及機房建設解決方案工程設計概述
永恆信業區域網路組建及機房建設解決方案充分考慮到網路的穩定可靠是業務系統健康運行的重要條件之一,所以對網路整體架構的高可用性和高可靠性設計必須考慮全面。網路架構必須能夠達到業務系統對服務級別的要求,並且通過多層次的冗餘考慮,使得整個網路架構能夠滿足業務系統不間斷穩定運行的需求,同時實現網路層面的災難恢復。在整體設計過程中需充分考慮網路架構的易於管理性,網路設計的簡單化直接關係到網路的運行和維護成本,也是網路穩定運行的保障,並提供及時迅速發現和排除網路故障的能力。在網路設計中,採用業務功能模組化和網路拓撲層次化的設計方法,使得網路架構在功能、容量、覆蓋能力等各方面具有易擴展能力,以適應快速發展的業務對網路基礎架構的要求,為更大規模擴展奠定堅實的基礎。
參考目前國內外數據中心網路建設中普遍採用的網路架構,永恆信業在設計網路時,保持技術上具有總體先進性和開放性;同時,必須考慮成熟性、穩定性與先進性相結合,保證網路穩定有效的前提下具有一定的前瞻性,保證了企事業單位整個網路的高可靠性、高性能、高安全性和靈活的擴展性。
區域網路整體架構設計
某區域網路中心區域網路拓撲結構下圖所示:
某區域網路中心區域網路由兩台萬兆核心交換機構建核心區,負責各匯聚區間的高速交換。兩台核心交換機與匯聚交換機間“口”字型連線。
目前某區域網路中心區域網路設計了兩組匯聚交換機,一組匯聚交換機連線區域網路網省區和信息接入區(含用戶接入區),這些區域間的通信比較頻繁,通過一組匯聚交換機連線,可以提高網路運行效率;另外一組連線區域網路的其它功能區。
今後中心區域網路擴展時,仍可以使用現有的核心區作為整個區域網路的交換核心,只需要增加相應的匯聚交換機及其下聯功能區網路設備即可。
外網整體架構設計
某區域網路中心外網拓撲結構如圖所示:
其中:
1. 外網為雙核心交換機、雙匯聚交換機的結構;
2. 帶內管理區由兩台萬兆核心交換機作為區域核心交換機;
3. 用戶接入區由兩台三層全千兆交換機作為區域核心交換機,下聯三層全千兆交換機;
4. DMZ區使用一台萬兆核心交換機;
5. 網際網路接入區路由器通過防火牆連線外網匯聚交換機;
6. 網際網路接入區通過MSTP連線白廣路,由白廣路的Internet出口連線網際網路;
7. 帶外管理區放置兩台三層全千兆交換機,帶外管理區與外網物理隔離。
用戶需求:
隨著企事業單位的不斷發展,系統內數據量越來越大,原有的數據空間已經完全不能滿足業務系統的數據量增長。
另外,系統內部每天都會產生巨大的數據量,如果單純對每天的業務系統生產數據進行簡單的備份,這樣會耗費巨大的存儲空間和時間。
解決方案:
通過IP網路鏈路,永恆信業存儲解決方案採用先進的橫向擴展集群存儲架構設計,通過增加節點,存儲容量和性能都能實現線性增長,滿足系統內部未來對存儲容量和性能的增長需求。
使用帶有數據重複刪除的Data Domain備份存儲,通過其作業系統全局壓縮(Global Compression)技術所帶來的20倍總體壓縮比,使其所占用的磁碟空間遠遠低於傳統方式的磁碟存儲。
用戶受益:
存儲系統支持套用系統只通過一個檔案系統存取和訪問影像檔案,簡化套用系統的部署。單一檔案系統提供高吞吐量和海量存儲空間,並且方便靈活、線上增加節點,檔案系統自動擴展,數據自動平衡,而無需停機、手動遷移數據或重新配置應用程式邏輯。
永恆信業存儲解決方案設備將高吞吐量,可以保存許多星期備份數據的存儲容量,隨機訪問特性,以及通過網路的高速複製這些優勢結合在一起,從而大大改善了整個備份和恢復過程,降低了每千兆位元組的成本,從而帶來的總體擁有成本TCO的降低。
