企业集团内网门户解决方案(共5则)

时间:2019-05-13 16:34:30下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《企业集团内网门户解决方案》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《企业集团内网门户解决方案》。

第一篇:企业集团内网门户解决方案

企业集团内网门户系统主要为内部员工提供统一信息访问入口,它需要集成企业后端所有业务系统,如现有的信息系统、网站、应用管理系统等,更重要的是需要建立一个框架,将这种对现有系统的集成和新系统的建设有机的整合起来,并以一种统一的规范和标准来规划这种集成和建设,最终通过集成实现单点登录和集中操作界面。

在构建企业内网门户时,至少需要满足以下几点要求: 企业门内网户不应仅仅是一个普通的Web站点,应与企业内具体的业务相关。2 整个企业需要有企业的内网门户,同时每个部门也都应有自己的部门门户,协助部门内部相关的事宜,如文档管理和信息交流。应增加用户管理系统,提供用户的验证和授权,保证较高的安全性。4 根据工作性质的不同,应为每位员工提供个性化的服务。5 企业内部的全部门户应能够统一管理、共享和实施。可以根据企业管理特点,根据不同信息来源构建基于业务种类的垂直门户(Vertical Portals),和根据部门和机构设置与特殊职责相关信息的水平门户(Horizontal Portals)。

一、系统应用集成

目前,大多数企业都已经建立起自己的业务系统,并在日常业务处理中发挥着重要的作用,促进了企业办公效率的提高。但是建设初期由于受各种条件的限制,缺少整体性的统一规划,各部门独立建设自己的系统,导致信息孤岛现象大量存在,严重制约了企业业务的进一步发展。企业内网建设的一个重要目标就是要实现各个部门之间的网络互联、信息互通,业务互动,惟其如此才能保证业务处理的高效开展。

要实现各部门的业务互动,就必须对各部门的应用系统进行集成,这些系统是各部门在不同时期采用不同技术建造的,数目众多、类型各异,企业业务建设中一个非常大的挑战就来自于如何将这些系统间的业务处理进行整合,使其成为一个可以跨部门互动的一体化业务流程,并在此基础上重新审视现行的业务处理过程,对其进行优化,实现流程再造的高阶段目标。

企业业务对应用集成的需求包括:

·提供一个开放的集成框架,摒弃传统的应用系统间点点集成方式,所有被集成的系统能够通过统一的技术框架进行快速集成。·各业务系统间以松耦合方式集成,某一个被集成的业务系统的局部修改,不会引起被集成的其他系统的附带变更,保证系统的灵活性。

·通过流程集成,保证跨多个部门的业务处理流程能够根据需要灵活进行调整,以适应企业部门重组、职能转变过程中不断出现的业务变化。

·以对遗留系统不进行过多改动为前提实现集成,保护原有投资。

二、内容管理子系统

文档管理的基础主要是建立文档库,包括修改文档属性和版本历史,内容的签入和签出,以及发布等。

1、文档库管理

文档库管理系统应具备以下主要功能: ·文档管理与发布。

文档版本管理、发布、删除和文档的协同修改与更新。

·多种信息源的管理、维护与分类。

信息和文档的来源非常多,需要进行集中的管理和集成。

·集中的信息存储与备份机制。

企业重要的文档数据需要有一个好的存储与备份机制。

·信息按照部门或级别进行访问权限设置。

信息访问权限控制可以将信息按不同的保密程度进行保护

·信息发布与审批流程。

最终用户可以将信息发布到企业文档管理平台使大家可以共享信息,另外为了控制信息发布的随意性还需要一个审批流程。

·实现跨部门的信息共享。

文档管理平台是一个企业级的信息共享平台,它能够很好的支持跨部门的信息共享。

·信息的安全性。

文档安全、用户身份认证、文档病毒检测。

体系结构 文档库管理首先解决目前文档散乱,难以获取,通过企业信息门户进行访问和管理。文档库管理的体系结构如下图所示。

2、内容索引搜索

如果要让用户快速查阅或全文检索,建立索引是必需的,同时,向用户提供智能的搜索工具,方便得到所要的信息和知识。

关于内容索引,其功能需求可以归纳为以下几个方面: ·快速、简单的信息查询与检索。

·多种方式的查询与检索,信息快速准确的定位。·使信息使用者可以快速查找到所需信息。

·充分利用现有的搜索引擎,集成其它搜索引擎,利于用户使用。·分类工具使信息浏览、搜索更快速有效。·导航工具可以全范围地查找各种技术信息。

3、知识库

为了共享以前的经验和知识,必须建设知识库。因为知识是日积月累形成的,那么,提供者如何将知识方便地放入知识库。知识种类很多且容量很大,那么,使用者如何从知识库中快速获取所需知识。知识库是知识管理的核心,它应具备以下主要功能:

1知识的发布。系统需要提供一种简单、方便的方法将筛选和确认后的知识或信息归类至知识库中。

2多种知识源的管理、维护与分类。知识的来源非常多,需要进行集中的管理和集成。3集中的知识存储与备份机制。在知识经济时代,知识就是企业的资产,具有极高的价值,因此需要有一个好的存储与备份机制。

4知识库按照部门或级别或类别进行访问权限设置。知识库访问权限控制可以将知识按不同的保密程度进行保护

5知识发布与筛选流程。最终用户可以将知识发布到企业文档管理平台使大家可以共享知识,但在企业内部,并不是所有的信息都能被上载到网上去,需要对它们进行评估,有价值的信息才能上载。为了控制知识发布的随意性需要一个审批和筛选的流程。

6知识的查询与检索。用户可以方便地从知识库中找到所需的信息。

7实现跨部门的知识共享。知识库应是一个企业级的知识共享平台,它能够很好的支持跨部门的知识共享。

8知识的安全性。文档安全、用户身份认证、文档病毒检测。

9统一的用户身份认证机制。用户身份认证应该与企业已有的认证方式相集成。

4、在线培训

在线培训平台不仅要为学员提供灵活的学习环境,还要为课程规划人员、指导教师和管理人员提供各种支持。其功能包括:课程的创建、发布,教学管理,学员跟踪,协作教学等。

在线教育支持三种教学模式:同步教学(虚拟教室)、异步教学和自学。

-同步教学:提供实时、实况的课程教学,指导教师和学员要同时访问课程内容。来自企业各个地方的人在一个特定的时间通过电脑上网进入“虚拟教室”来学习。

-异步教学:在线与他人协作学习,也可以自己安排学习进度,通过在线的讨论与教师和其他学员间进行协作,能够克服时间和空间的限制,建立起电子社区提高学习效果。-自学:让学员自己安排学习日程和进度,以个人的方式通过交互多媒体课程资料进行学习,不需要与他人或教师协作。

5、信息发布

信息发布是将网页上的某些需要经常变动的信息,例如新产品发布、新闻、业界动态等需要更新的信息集中管理,依据信息的某些共性进行分类,最后系统化、标准化发布到网站上。网站管理人员通过简单的操作,把信息按照已有的网页模板格式与审核流程发布到网站上。信息发布系统的出现将网站的更新维护工作简化到只需录入文字、表格和上传图片,甚至通过一些特殊的工具,例如爬虫机器人,将数据库、文件夹中甚至其他网页的内容直接录入系统,网站管理人员只需简单排版就可以发布这些信息,大大减轻了网站更新维护的工作量,从而使网站的更新速度大大缩短。

三、协同工作

1、实时协同

实时协同指用户间进行的没有时延的沟通活动,如文本即时消息交流、视频/音频交流、共享白板/应用程序等。

实时协同交互性强,信息及时,通过在门户中整合实时协同功能,能够极大的提高用户的工作效率。用户在门户中可以随时查看到相关人员(如文档的编写者,项目的负责人)的在线状态,进而与之进行即时沟通。

2、异步协作(1)电子邮件

这是现代社会最基本、最经济、最方便的通信手段,从某种意义上讲,一个企业电子邮件的应用水平与信息技术支持企业的业务战略密切相关。技术交流区。

(2)专家定位

在企业内部拥有大量的各专业的专家,如何找到所需要的专家,在协同工作中非常重要的。专家定位主要包括专家目录和技能注册。

(3)远程工作组

项目组内部和外部如何协作,也是一个应该考虑的问题。共享文件和电子邮件等传统的项目组合作方法外,下面将提出一种更完善的方案,即远程工作组。实际项目组和虚拟项目组同时存在,项目经理和项目组长制定项目主计划,其他项目成员完成项目任务的定义、工作量的评估、状态跟踪和报告。

(4)在线办公资源

对于各种各样的、用于个人日常工作的公共设施和资源,如从共享办公桌到会议室,以及测试设备、实验室和其它工具,为了更好地供公司员工使用,需要建立在线办公资源,并集成到门户中。

在线办公资源的主要目标是,以Web的形式将公共资源发布到网上,供大家查阅和使用。

(5)在线项目管理

对于一个企业来说,经常会同时启动很多项目,需要多个部门的合作,在线项目管理可以提供一种高效的手段,项目组的成员可能位于不同的地方,而可以实时对项目进行跟踪管理,提高项目管理的质量和效率。

四、单点登录

在网站建设的过程中,多个应用系统一般是在不同的时期开发完成的。各应用系统由于功能侧重、设计方法和开发技术有所不同,也就形成了各自独立的用户库和用户认证体系。随着网站的发展,会出现这样的用户群体:以其中的一个用户为例,他(她)使用网站的多个应用系统,但在每个应用系统中有独立的账号,没有一个整体上的网站用户账号的概念,进入每一个应用系统前都需要以该应用系统的账号来登录。这带给用户不方便的使用感受,用户会想:既然我使用的是同一个网站上的应用,为什么不能在一次在网站上登录之后不必再经过应用系统认证直接进入应用系统呢?用户的要求我们称之为 „单点登录‟。

在多个拥有各自独立的用户体系的应用系统间实现单点登录,我们要考虑以下的问题: ·单点登录系统的实现在各应用系统都采用B/S模式这一前提下进行。

·由于每个应用系统都有自己的用户库,一个用户可能在不同的应用系统中使用不同的账号,因此每个要使用多个应用系统的用户要设置一个统一的用户账号并以此账号进行单点登录。

·各应用系统可能属于不同的域,因此要实现跨域的单点登录。

·已经上线运行的应用系统需要进行改造来支持单点登录,正在开发的应用系统则可以在开发阶段增加对单点登录的支持,但应用系统之间应该是松耦合。·由于各应用系统往往都已经处于稳定运行期,单点登录系统的实现应该对各应用系统的登录认证体系冲击最小,各应用系统原有的登录流程依然可用。

五、个性化设置

企业员工每天接触的各类信息非常多,有来自企业内部的信息也有来自外部的信息。而企业员工关心的信息又不尽相同,企业领导会关心企业的总体运作情况、业界的最新动态等,工程技术人员可能更关心工程项目的进展状况和最新技术发展趋势。所以如何将合适的信息传递给合适的人是信息共享系统建设的目标之一。

1.针对部门的个性化定制

部门是企业日常运作的基本单元,在同一部门工作的人员工作内容和工作目标大体一致,所需要的信息类型也有很多共性。针对部门提供信息定制化服务可以提高信息的利用率,提高部门工作人员的工作效率并将系统维护工作降至最低。部门信息个性化定制可以由企业信息管理部门统一定制或由部门中指定的专人负责。

2.针对个人的个性化定制

针对部门的个性化定制可以满足大多数员工的需求,但同一部门的不同员工对信息的需求也不尽相同,所以,应该提供一种途径或相关个性化工具使每个信息工作者都可以定制自己的信息桌面,最大限度的提高工作效率。个人信息个性化定制由员工使用信息系统提供的工具自行完成。

3.信息内容的安全性和访问权限管理

企业的各类信息具有不同的安全权限级别,即使同一部门的不同人员也有可能对信息具有不同的访问权限。如:销售部门的销售人员可以查看自己的销售状况和客户情况,而部门经理可以查看全部门的情况。个性化服务需要能够识别信息工作者的信息访问权限,将有权限访问的信息展示给最终用户。

4.方案描述

个性化信息服务由个性化数据存储、个性化信息展现、与用户管理的接口、与信息安全管理的接口和个性化数据管理几个部分组成。

(1)个性化数据存储

各个部门和不同的员工对信息的个性化要求各不相同,因此个性化服务需要将不同部门和不同员工的个性化定制数据进行统一存储。(2)个性化信息展现

用户进行个性化信息定制之后,就希望信息能够按照所定制的方式展现。在企业信息门户客户端与个性化服务相集成,将用户定制好的方式展示到用户桌面。

(3)与用户管理的接口

个性化信息和用户信息关系非常紧密,个性化服务需要利用用户管理的开放接口读取用户信息,将用户和个性化信息连接在一起。

(4)与信息安全管理的接口

个性化服务需要判断用户访问信息的权限,然后将用户能够访问的信息展示到用户的桌面。

(5)个性化数据管理

用户需要改变个性化信息定制,因此需要提供个性化数据管理的使用界面,使用户可以通过图形化的方式定制信息。个性化数据管理需要为最终用户和部门系统管理员提供服务。

在企业信息门户中,如果采用Web Part,个性化的实现就变得更加容易。所有Web Part具有相同的特性,如显示方式、位置安排方式,通过为Web Part指定内容个性化定制页面,可以使用户对Web Part进行内容的定制。这些Web Part作为一个个独立的单元,可以将服务和信息模块化,用户可以根据自己的需要决定需用那些Web Part,也就决定了自己需要哪些服务。

5.体系结构

企业信息门户中个性化的体系结构图如下所示:

个性化服务从安全管理、用户信息和个性化数据之中读取数据,然后,将定制好的信息与企业信息门户集成显示给最终用户。管理员和用户可以调用管理员和用户定制模块更新个性化数据。

六、海市内网管理系统架构

海市内网管理系统解决方案是集成了数据资源整合、文档管理、内容管理、全文检索和个性化信息服务和应用服务平台。它通过有效整合组织内外的各种结构化和非结构化信息资源,不仅为用户提供了对组织内外广泛的信息资源的组织、访问、搜索、集成和管理的强大能力,同时也为用户部署和开发高可用性、高系统灵活性和可伸缩性的数据管理、信息发布、全文检索等内容管理应用系统提供了强大、高效的应用平台,主要有下列功能:

·各种数据库和文档资源一体化管理 ·信息服务个性化和增值信息服务的有效支持

·内容管理的基于频道、资源、模板的动态定制和灵活调整

·资源维护的采、编、发流程支持

·开放架构和基于模板、模块的用户可定制扩充

· 基于频道资源订阅和定题信息服务的集成,实现信息服务方式的扩充和增值信息服务的支持

海市ECM内容管理解决方案体系结构

海市ECM内容管理系统的基础是对各种文档和数据库进行索引的数据索引存储系统,以此为基础进行全文检索和内容提取。系统使用LDAP数据库实现用户认证和权限授予,再根据用户自我定制的个性化信息服务引擎,实现对各种资源的访问。系统同时提供多种二次开发接口,具体有对象设计接口、模板定制设计接口、资源整合转换接口、功能模块开发接口,满足用户进行更深层次内容管理应用开发需求。同时,系统还提供站点设计生成、网站内容管理、资源内容采编发、个性化与增值信息服务子系统,满足用户对于内容管理方面的共性需求。

第二篇:门户网站解决方案(模版)

保定市我和你网络科技有限公司-网站建设方案

门户网站解决方案

方案概述

门户网站不仅需要通过互联网进行产品或服务宣传,更需要将核心的业务进行信息化处理,通过网络简化业务流程,提高运转效率,实现业务流程管理、非业务流程管理以及协同工作的全方位门户网站解决方案。从而使门户网站的核心竞争力得到提升。

在写作门户网站解决方案时会着重实现产品的宣传、订单、销售;商户交流、客户信息管理、订单管理等;同时可以按门户网站的各种需求实现个性化的营销、形象宣传、网上支付等多方面的商务功能,使门户网站从简单的网上橱窗发展成为交易柜台、交易市场等大型商务平台。除了发布企业信息以外,门户网站还可以利用互联网的交互功能与客户交流;利用在线订单系统接受商品订购和定制;利用在线调查引擎调查客户的需求和喜好;利用留言板接纳客户的意见等。

门户网站建设的作用

1、发布企业内部信息-发布信息通道

2、获取用户的各种反馈信息-与用户沟通通道

3、为用户提供实时、高效的服务-服务客户通道

4、以低成本传播产品信息、扩大市场、增强销售能力-扩大企业业务的通道

5、宣传企业形象,扩大其在社会上的影响力

6、企业内部员工沟通的渠道,可以借助企业门户网站改善企业内部员工之间的交流

7、为客户和企业内部员工提供信息个性化的功能系统

网站管理系统实现方案

本系统为门户网站管理人员提供了便捷的管理工具,主要包括用户及权限设置、数据库维护、网页设置、标志与标题设置及网站各栏目内容编辑等功能。全部基于后台管理所有栏目,提供后台详细帮助文档,并实现图文混排特点,表格准确定位,方便简单易用等特点,同时为防止攻击采用先用防护病毒手段,让门户网站更安全可靠。

门户网站建设基本功能模块如下:

1、文章模块:企业介绍、产品展示、企业新闻、企业信息整理等内容

2、下载模块:文件下载、合同下载、软件下载等

3、图片模块:企业风貌展示、设计图片、其他图片展示等

4、采集模块:采集各大优秀网站的精华内容

保定市我和你网络科技有限公司-网站建设方案

5、招聘模块:人才求职、企业发布招聘信息

6、供求模块:发布产品供求信息

7、商城模块:产品在线销售

8、房产模块:发布房产交易信息

9、用户模块:设定会员等级和权限

10、生成模块:自动生成HTML静态页面

11、广告模块:发布企业或其它广告

12、公告模块:企业公告

13、调查模块:企业调查

14、链接模块:友情连接

15、收费模块:在线支付

16、留言模块:客户交流

17、数据模块:ACC、SQL数据库自行选择

18、影视模块:企业文化、广告片、内部影视播放等

19、其他模块:如需其他功能,企业可联系我们定制

保定市我和你网络科技有限公司

网站建设方案

第三篇:电子政务内网建设解决方案

电子政务内网建设解决方案

对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。

电子政务内网系统构成

1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。

2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。

3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。

电子政务内网系统拓扑图

三级政务内网建议拓扑图

电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。

划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。安全支撑平台的系统结构

电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:

电子政务安全支撑平台系统结构

安全支撑平台的系统配置

1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。

2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。

1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。

2)全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性

3、全局安全管理系统-DCSM。DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。

1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。

2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。

3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。

4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。

其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:

1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。

2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。

3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。

4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。

5)实时监控终端用户的行为,实现用户上网行为可审计。

4、边界防火墙-DCFW

能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。

对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。

5、统一威胁管理-UTM

UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。

6、入侵检测系统-DCNIDS

入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。

通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。

7、漏洞扫描系统

漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。

漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。

8、流量整形设备-DCFS

1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。

2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。

9、其它网络设备

其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。

第四篇:内网安全整体解决方案

内网安全整体解决方案

内网安全整体解决方案

二〇一八年五月

第 i 页 内网安全整体解决方案

目录

第一章 总体方案设计......................................................................................................................................3 1.1 依据政策标准...............................................................................................................................................3 1.1.1 国内政策和标准..................................................................................................................................3 1.1.2 国际标准及规范..................................................................................................................................5 1.2 设计原则.......................................................................................................................................................5 1.3 总体设计思想...............................................................................................................................................6 第二章 技术体系详细设计..............................................................................................................................8 2.1 技术体系总体防护框架...............................................................................................................................8 2.2 内网安全计算环境详细设计.......................................................................................................................8 2.2.1 传统内网安全计算环境总体防护设计..............................................................................................8 2.2.2 虚拟化内网安全计算环境总体防护设计........................................................................................16 2.3 内网安全数据分析.....................................................................................................................................25 2.3.1 内网安全风险态势感知....................................................................................................................25 2.3.2 内网全景流量分析............................................................................................................................25 2.3.3 内网多源威胁情报分析....................................................................................................................27 2.4 内网安全管控措施.....................................................................................................................................27 2.4.1 内网安全风险主动识别....................................................................................................................27 2.4.2 内网统一身份认证与权限管理........................................................................................................29 2.4.1 内网安全漏洞统一管理平台............................................................................................................32 第三章 内网安全防护设备清单.....................................................................................................................33

第 ii 页 内网安全整体解决方案

第一章 总体方案设计

1.1 依据政策标准

1.1.1 国内政策和标准

1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)

3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)4.《信息安全等级保护管理办法》(公通字〔2007〕43号)5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)

6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号)7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)

9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)

10. 国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文)

11. 《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文)

12. 国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13. 《GB/T 22239.1-XXXX 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求(征求意见稿)》

14. 《GB/T 22239.2-XXXX 信息安全技术 网络安全等级保护基本要求

第 3 页 内网安全整体解决方案

第2部分:云计算安全扩展要求(征求意见稿)》

15. 《GB/T 25070.2-XXXX 信息安全技术 网络安全等级保护设计技术要求 第2部分:云计算安全要求(征求意见稿)》

16. 《GA/T 20—XXXX 信息安全技术 网络安全等级保护定级指南(征求意见稿)》

17. 《信息安全技术 信息系统安全等级保护基本要求》 18. 《信息安全技术 信息系统等级保护安全设计技术要求》 19. 《信息安全技术 信息系统安全等级保护定级指南》 20. 《信息安全技术 信息系统安全等级保护实施指南》 21. 《计算机信息系统 安全等级保护划分准则》 22. 《信息安全技术 信息系统安全等级保护测评要求》 23. 《信息安全技术 信息系统安全等级保护测评过程指南》 24. 《信息安全技术 信息系统等级保护安全设计技术要求》 25. 《信息安全技术 网络基础安全技术要求》

26. 《信息安全技术 信息系统安全通用技术要求(技术类)》 27. 《信息安全技术 信息系统物理安全技术要求(技术类)》 28. 《信息安全技术 公共基础设施 PKI系统安全等级保护技术要求》 29. 《信息安全技术 信息系统安全管理要求(管理类)》 30. 《信息安全技术 信息系统安全工程管理要求(管理类)》 31. 《信息安全技术 信息安全风险评估规范》 32. 《信息技术 安全技术 信息安全事件管理指南》 33. 《信息安全技术 信息安全事件分类分级指南》 34. 《信息安全技术 信息系统安全等级保护体系框架》 35. 《信息安全技术 信息系统安全等级保护基本模型》

第 4 页 内网安全整体解决方案

36. 《信息安全技术 信息系统安全等级保护基本配置》

37. 《信息安全技术 应用软件系统安全等级保护通用技术指南》 38. 《信息安全技术 应用软件系统安全等级保护通用测试指南》 39. 《信息安全技术 信息系统安全管理测评》

40. 《卫生行业信息安全等级保护工作的指导意见》

1.1.2 国际标准及规范

1.国际信息安全ISO27000系列 2.国际服务管理标准ISO20000 3.ITIL最佳实践 4.企业内控COBIT 1.2 设计原则

随着单位信息化建设的不断加强,某单位内网的终端计算机数量还在不断增加,网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。

目前为了维护网络内部的整体安全及提高系统的管理控制,需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护,加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固,避免由于外部入侵所导致的主机失陷

第 5 页 内网安全整体解决方案 等安全事件的发生

如上图所示,本项目的设计原则具体包括:

 整体设计,重点突出原则  纵深防御原则

 追求架构先进、技术成熟,扩展性强原则  统一规划,分布实施原则  持续安全原则  可视、可管、可控原则

1.3 总体设计思想

如上图所示,本方案依据国家信息安全相关政策和标准,坚持管理和技术并重的原则,将技术和管理措施有机的结合,建立信息系统综合防护体系,通过“1341”的设计思想进行全局规划,具体内容:

第 6 页 内网安全整体解决方案

 一个体系

以某单位内网安全为核心、以安全防护体系为支撑,从安全风险考虑,建立符合用户内网实际场景的安全基线,通过构建纵深防御体系、内部行为分析、外部情报接入,安全防护接入与虚拟主机防护接入等能力,构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。

 三道防线

结合纵深防御的思想,从内网安全计算环境、内网安全数据分析、内网安全管控手段三个层次,从用户实际业务出发,构建统一安全策略和防护机制,实现内网核心系统和内网关键数据的风险可控。

 四个安全能力

采用主动防御安全体系框架,结合业务和数据安全需求,实现“预测、防御、检测、响应”四种安全能力,实现业务系统的可管、可控、可视及可持续。

 预测能力:通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题,甚至遇见可能侵袭的威胁,随之调整安全防护策略来应对。

 防御能力:采用加固和隔离系统降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力,并通过转移攻击手段使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏混淆系统接口信息(如创建虚假系统、漏洞和信息),此外,通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动,防止黑客未授权而进入系统,并判断现有策略的合规性并进行相应的优化设置。

 检测能力:通过对业务、数据和基础设施的全面检测,结合现有的安全策略提出整改建议,与网络运维系统联动实现安全整改和策略变更后,并进行持续监控,结合外部安全情况快速发现安全漏洞并进行响应。

 响应能力:与网络运维系统进行对接,实现安全联动,出现安全漏洞时在短时间内,进行安全策略的快速调整,将被感染的系统和账户进行隔离,通过回顾分析事件完整过程,利用持续监控所获取的数据,解决相应安全问题。

第 7 页 内网安全整体解决方案

第二章 技术体系详细设计

2.1 技术体系总体防护框架

在进行内网安全防护技术体系详细设计时,充分考虑某单位内部网络面临的威胁风险和安全需求,并遵循《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》,通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计,形成“信息安全技术体系三重防护”的信息安全技术防护体,达到《信息系统等级保护基本要求》、《GB/T 22239.1-XXXX 信息安全技术,网络安全等级保护基本要求:第1部分-安全通用要求(征求意见稿)》切实做到内部网络安全的风险可控。

三重防护主要包括:内网安全计算环境、内网安全数据分析、内网安全管控措施。

2.2 内网安全计算环境详细设计

2.2.1 传统内网安全计算环境总体防护设计

第 8 页 内网安全整体解决方案

如上图所示,在内网安全计算环境方面结合互联网与办公网的攻击,围绕网络、主机、应用和数据层实现安全防护,具体内容包括:

 网络层安全防护设计

1、通过FW或vFW中的FW、AV、IPS模块实现网络层访问控制、恶意代码防护、入侵防御。

2、在各个内网安全域边界处,部署防火墙实现域边界的网络层访问控制。

3、在内网边界处部署流量监控设备,实现全景网络流量监控与审计,并对数据包进行解析,通过会话时间、协议类型等判断业务性能和交互响应时间。

 主机层安全防护与设计

1、在各个区域的核心交换处部署安全沙箱,实现主机入侵行为和未知威胁分析与预警。

2、通过自适应安全监测系统,对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。 应用层安全防护与设计

1、在通过外部服务域部署WAF设备实现应用层基于入侵特征识别的安全防护

第 9 页 内网安全整体解决方案

2、通过自适应安全监测系统,对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。 数据层安全防护与设计

1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制

2、在数据资源域边界处部署数据库审计设备实现数据库的操作审计。

3、在互联网接入域部署VPN设备,实现对敏感数据传输通道的加密

2.2.1.1 内网边界安全

2.2.1.1.1 内网边界隔离

严格控制进出内网信息系统的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保该区域信息网络正常访问活动。2.2.1.1.1 内网恶意代码防范

病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从内网边界入手,切断传播途径,实现网关级的过滤控制。

建议在该区域部署防病毒网关,对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播 2.2.1.1.2 内网系统攻击防护

网络入侵防护系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。

第 10 页 内网安全整体解决方案

IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。IPS以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。2.2.1.1.3 内网信息隔离防护

建议在内网核心业务区的边界部署安全隔离网闸,为了保证数据安全,高密级网与低密级网络之间,要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计的安全隔离与信息单项导入系统(即安全隔离网闸)。该设备由于其物理单向无反馈环境、基于数据的单项导入,使黑客无法通过该套系统进行入侵和探测,同时行为得不到任何反馈信息,在为用户提供绝对单向无反馈传输功能的同时,为用户提供高级别的网络攻击安全防护解决方案。

2.2.1.1 内网主机安全

2.2.1.1.1 内网用户行为管控

上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露,实时监控、日志追溯,网络资源管理,还具有强大的用户管理、报表统计分析功能。

上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行为管理能力,是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。2.2.1.1.2 内网非授权用户准入

在信息化越来越简便的背景下,任何接入网络的设备和人员都有可能对内网信息资源构成威胁,因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要,如果出现安全事故或越权访问的情况,将会严重影响整体业务系统运行安全。

由于信息化程度较高,终端点数较多,对IT软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低,同时如果员工存在对管

第 11 页 内网安全整体解决方案

理制度执行不到位的情况出现,就迫切需要通过技术手段规范员工的入网行为。

为加强网络信息安全管理以及内部PC的安全管理,提高内网办公效率,应建立一套终端准入管理系统,重点解决以下问题:

入网终端注册和认证化

采用的是双实名制认证方式,其包含对终端机器的认证和使用人员的认证,终端注册的目的是为了方便管理员了解入网机器是否为合法的终端,认证的目的是使用终端的人身份的合法性,做到人机一一对应,一旦出现安全事故,也便于迅速定位终端和人。

违规终端不准入网 违规终端定义

外来终端:外部访客使用的终端,或者为非内部人员使用的、不属于内部办公用终端(员工私人终端等);

违规终端:未能通过身份合法性、安全设置合规性检查的终端。

入网终端安全修复合规化

终端入网时若不符合单位要求的安全规范,则会被暂时隔离,无法访问业务网络,待将问题修复符合单位安全规范后才能正常访问单位网络。

内网基于用户的访问控制

内网基于用户的访问控制:可以通过用户组(角色)的方式定义不同的访问权限,如内部员工能够访问全网资源,来宾访客只允许访问有限的网络资源。2.2.1.1.3 内网终端安全防护

建议部署终端安全管理系统,为数据中心运维人员提供终端安全准入,防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质(U盘等)管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上,增加风险管理和主动防范机制,具备完善的违规监测和风险分析,实现有效防护和控制,降低风险,并指导持续改进和完善防护策略,并具备终端敏感信息检查功能,支持终端流量监控,非常

第 12 页 内网安全整体解决方案

适合于对数据中心运维终端的安全管理。

终端安全管理系统,提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能,采用统一策略下发并强制策略执行的机制,实现对网络内部终端系统的管理和维护,从而有效地保护用户计算机系统安全和信息数据安全。2.2.1.1.4 内网服务器安全加固

建议在内网所有服务器部署安全加固组件,针对内外网IP、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。2.2.1.1.5 内网服务器安全运维

由于设备众多、系统操作人员复杂等因素,导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑客的恶意访问也有可能获取系统权限,闯入部门或单位内部网络,造成不可估量的损失。终端的账号和口令的安全性,也是安全管理中难以解决的问题。如何提高系统运维管理水平,满足相关法规的要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,越来越成为内部网络控制中的核心安全问题。

安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台,在网络访问控制系统(如:防火墙、带有访问控制功能的交换机)的配合下,成为进入内部网络的一个检查点,拦截对目标设备的非法访问、操作行为。

运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性,使得客户的网络管理合理化、专业化。

第 13 页 内网安全整体解决方案

建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计(堡垒主机)系统,为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备,网络安全设备,应用系统的操作行为全面的记录,包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能,从而使安全问题得到追溯,提供有据可查的功能和相关能力。

2.2.1.1 内网应用安全

2.2.1.1.1 内网应用层攻击防护

建议内网信息系统边界部署WEB应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时保护。通过Web应用防火墙的部署,可以解决WEB应用服务器所面临的各类网站安全问题,如:SQL注入攻击、跨站攻击(XSS攻击,俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。

WAF作为常见应用层防护设备,在防护来自于外网的黑客攻击外,同样可以防护来自内网的跳板型渗透攻击,当内部终端或服务器被黑客攻陷后,为防止通过跳板机对内网其他应用系统进行内网渗透,通过WAF防攻击模块,可以实时阻断任何应用层攻击行为,保护内部系统正常运行

2.2.1.2 内网数据安全

2.2.1.2.1 内网数据防泄密

建议在内网环境中部署数据防泄密系统,保持某单位现有的工作模式和员工操作习惯不变,不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境,实现对企业内部数据强制透明加解密,员工感觉不到数据存在,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果。

员工未经授权,不管以任何方式将数据带离公司的环境,都无法正常查看。如:加密文件通过MSN、QQ、电子邮件、移动存储设备等方式传输到公司授权范围以外(公司外部或公司内没有安装绿盾终端的电脑),那么将无法正常打开

第 14 页 内网安全整体解决方案

使用,显示乱码,并且文件始终保持加密状态。只有经过公司审批后,用户才可在授予的权限范围内,访问该文件。

1)在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率,员工感觉不到数据被加密的存在,实现了单位数据防泄密管理;

2)员工不管通过QQ、mail、U 盘等各种方式,将单位内部重要文件发送出去,数据均是加密状态;

3)存储着单位重要数据的U 盘、光盘不慎丢失后,没有在公司的授权环境下打开均是加密状态;

4)员工出差办公不慎将笔记本丢失,无单位授予的合法口令,其他人无法阅读笔记本内任何数据; 2.2.1.2.2 内网数据库安全审计

建议在内部信息系统部署数据库审计系统,对多种类数据库的操作行为进行采集记录,探测器通过旁路接入,在相应的交换机上配置端口镜像,对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括:

数据操作类(如select、insert、delete、update等)结构操作类(如create、drop、alter等)

事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction 等)

用户管理类以及其它辅助类(如视图、索引、过程等操作)等数据库访问行 为,并对违规操作行为产生报警事件。

第 15 页 内网安全整体解决方案

2.2.2 虚拟化内网安全计算环境总体防护设计

2.2.2.1 划分虚拟安全域

图中提供安全组、连接策略两种方式。安全组类似白名单方式,而连接策略

第 16 页 内网安全整体解决方案

类似黑名单方式。通过添加具体的访问控制规则,支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。

在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术,实现和SDN网络控制器的接口、安全控制平台的接口,并进一步抽象化、池化,实现安全设备的自动化部署。同时,在部署时通过安全管理策略的各类租户可以获得相应安全设备的安全管理权限、达成分权分域管理的目标。

在安全控制平台部署期的过渡阶段,可以采用手工配置流控策略的模式,实现无缝过渡。在这种部署模式下,安全设备的部署情况与基于SDN技术的集成部署模式相似,只是所有在使用SDN控制器调度流量处,都需要使用人工的方式配置网络设备,使之执行相应的路由或交换指令。

以虚拟防火墙防护为例,可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表,依次将流量牵引到虚拟防火墙设备即可。

这一切的配置都是通过统一管理界面实现引流、策略下发的自动化,除了这些自动化操作手段,统一管理平台还提供可视化展示功能,主要功能有,支持虚拟机资产发现、支持对流量、应用、威胁的统计,支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。

 南北向流量访问控制

第 17 页 内网安全整体解决方案

在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制(即南北向流量的访问控制)。防火墙设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出云计算平台,并确定该数据包可以访问的客体资源。

 东西向流量访问控制

虚拟化场景中的关键安全能力组件集合了ACL、防火墙、IPS、Anti-DDoS、DPI、AV等多项功能,vDFW采用统一安全引擎,将应用识别、内容检测、URL过滤、入侵防御、病毒查杀等处理引擎合并归一,实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此,vDFW支持多虚一的集群模式,突破性能瓶颈的限制,以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后,管理员只需设置相关策略,由安全控制器调度,即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上,将可疑流量全部牵引至vDFW进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。

2.2.2.2 内网安全资源池

与数据中心中的计算、存储和网络资源相似,各种形态、各种类型的安全产品都能通过控制和数据平面的池化技术,形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候(如硬件虚拟化和硬件原生引擎系统),可直接连接硬件 SDN 网络设备接入资源池;当安全设备以虚拟机形态存在的时候(如虚拟机形态和硬件内置虚拟机形态),可部署在通用架构(如 x86)的服务器中,连接到虚拟交换机上,由端点的 agent 统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度,通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力,极大地提高了系统的整体防护效率。

通过安全资源管理与调度平台,实现与安全资源的对接,包括vFW、vIPS、vWAF等,各个安全子域的边界防护,通过安全资源管理与调度平台,通过策略路由的方式,实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。

第 18 页 内网安全整体解决方案

如上图所示,在安全子域中将防火墙、WAF、LBS、AV、主机加固等均进行虚拟化资源池配置,通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制,由安全资源与管理平台调用防火墙池化资源,分别针对各子域的访问请求设置相应的访问控制策略,根据数据包的源地址、目的地址、传输层协议、请求的服务等,决定该数据包是否可以进出本区域,并确定该数据包可以访问的客体资源。

由此可见,安全资源池对外体现的是多种安全能力的组合、叠加和伸缩,可应用于云计算环境,也可应用于传统环境,以抵御日益频繁的内外部安全威胁。当然,在云环境中,安全资源池不仅可以解决云安全的落地,而且能发挥虚拟化和 SDN 等先进技术的优势,实现最大限度的软件定义安全。

2.2.2.3 安全域访问控制

为提升虚拟主机及网络的安全性,针对虚拟网络安全边界设定访问控制策略,对于纵向流量、横向流量进行基于IP与端口的访问路径限制。

 对于虚拟网络边界进行区域请求控制  VPN接入边界访问控制  Vlan访问控制

2.2.2.4 iaas系统虚拟化安全规划

虚拟机的镜像文件本质上来说就是虚拟磁盘,虚拟机的操作系统与使用者的系统数据全部保存在镜像文件中,对镜像文件的加密手段是否有效,将直接关系

第 19 页 内网安全整体解决方案

虚拟主机的安全性。建议部署镜像文件加密系统,对iaas区域下的数据盘镜像文件进行加密,采用任何国家认可的第三方加密算法进行加密。同时解密密码与uKey绑定,即使数据中心硬件失窃,也无法被破解。加密行为包括:授权、加密、解密功能。

2.2.2.5 虚拟资产密码管理

为增强虚拟资产的密码防护功能,建议通过密钥管理与资产管理分离的技术方式,实现管理员仅维护信息资产,用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力,将密码运算能力进行细粒度划分,并通过集中的密钥管理及配套的安全策略保护用户密钥整生命周期的安全

2.2.2.6 虚拟主机安全防护设计

虚拟主机安全防护设计主要实现如下目标:  资产清点

 自动化的进行细粒度的风险分析  安全合规性基线检查

 对后门、Webshell、文件完整性和系统权限变更等进行监测行为分析

第 20 页 内网安全整体解决方案

如上图所示,通过收集主机上的操作系统、中间件、数据库等配置数据,准确分析应用系统在不同层面的配置信息,结合第三方病毒库进行漏洞和风险分析,并及时给出整改加固建议。

2.2.2.7 内网虚拟化安全运维平台

2.2.2.7.1 集中账号管理

在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号,统一维护云平台与服务器管理帐号,实现与各云平台、服务器等无缝连接。

第 21 页 内网安全整体解决方案 2.2.2.7.2 统一登录与管控

用户通过云堡垒机管理系统单点登录到相应的虚拟机,且所有操作将通过云堡垒机系统进行统一管控,只需要使用云堡垒机提供的访问IP、用户名、密码登录后,用户即可登录相应的云平台与服务器,而不需要反复填写对应云平台与服务器的地址、用户名、密码。

用户可通过vsphere client登录vmware vsphere云平台进行管理,输入云堡垒机为该云平台提供的访问IP与用户在云堡垒机中的用户名和密码即可完成登录。

第 22 页 内网安全整体解决方案

2.2.2.7.3 记录与审计

通过云堡垒机管理系统的访问历史记录回放功能,可随时查看每个用户对所属服务器、虚拟机的访问情况。

windows历史访问回放

第 23 页 内网安全整体解决方案

linux历史访问回放

在回放过程中,用户可以试用云堡垒机的“智能搜索”功能大大加快回放速度,快速定位到用户可疑操作位置。

Windows回放智能搜索

回放智能搜索

第 24 页 内网安全整体解决方案

云堡垒机系统还提供会话管理功能。可以通过云堡垒机系统快速查看用户会话,实时监控,以及中断会话。2.2.2.7.1 权限控制与动态授权

云堡垒机系统统一分配系统角色对应的云平台与服务器权限,当用户在真实使用场景下的角色权限与云堡垒机系统中预置的角色权限,不一致时,可通过云堡垒机的动态授权功能,对角色的云平台与服务器权限进行方便灵活变更。

2.3 内网安全数据分析

2.3.1 内网安全风险态势感知

建议部署态势感知系统,检测已知位置的终端恶意软件的远控通信行为,定位失陷主机,根据态势感知设备的告警信息,采集、取证、判定、处置内网终端主机上的恶意代码,针对未知恶意文件攻击,将流量还原得到的办公文档和可执行文件放入网络沙箱虚拟环境中执行,根据执行中的可疑行为综合判定各类含漏洞利用代码的恶意文档、恶意可执行程序,及植入攻击行为。检测各类植入攻击:邮件投递,挂马网站,文件下载,准确识别0day、Nday漏洞入侵的恶意代码

2.3.2 内网全景流量分析

建议部署内部网络流量分析系统,数据的传递介质是网络协议,网络流量作

第 25 页 内网安全整体解决方案

为网络协议中最有价值的安全分析维度,其本身就承载着重要的风险识别作用,针对内部网络的任何攻击行为都将在内部异常流量中呈现本质化特征,因此基于流量的内网安全数据分析是最能客观反映当前内网安全等级的参考指标。

2.3.2.1 基线建模异常流量分析

流量异常检测的核心问题是实现流量正常行为的描述,并且能够实时、快速地对异常进行处理。系统采用了一种基于统计的流量异常检测方法,首先确定正常的网络流量基线,然后根据此基线利用正态分布假设检验实现对当前流量的异常检测。比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等,这些基本特征比较详细地描述了网络流量的运行状态。

总体设计 网络流量异常检测模型的总体设计思路是:从网络的总出口采集数据,对每个数据包进行分类,将它的统计值传到相应的存储空间,然后对这些数据包进行流量分析

2.3.2.2 流量分析引擎

对采集到的数据进行分析处理。通过建立正常网络流量模型,按照一定的规则进行流量异常检测。同时根据滑动窗口的更新策略,能够自动学习最近的流量情况,从而调整检测的准确度。

建立正常网络流量模型 要进行流量异常检测,必须首先建立正常的网络流量模型,然后对比正常模型能够识别异常。本文使用基于统计的方法来实现异常检测,利用网络流量的历史行为检测当前的异常活动和网络性能的下降。因此正常流量模型的建立需要把反映网络流量的各项指标都体现出来,使其能够准确反映网络活动。

在系统运行时,统计当前流量行为可测度集,并同正常的网络基线相比较,如果当前流量行为与正常网络基线出现明显的偏离时,即认为出现了异常行为,并可进一步检测分析;如果两种行为没有明显偏差,则流量正常,更新正常网络流量模型。

通过该界面实现查看信息、设定检测规则、设定阈值、设定报警方式以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统

第 26 页 内网安全整体解决方案

计量、阈值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。

2.3.2.3 异常的互联关系分析

对于不符合白名单和灰名单的互连关系和流量,系统会自动生成未知数据流,并对未知数据流进行识别、匹配,从中提取可供判断的信息,如:单点对多点的快速连接,系统会识别为网络扫描,非正常时段的数据连接,系统会视为异常行为,多点对单点的大流量连接,系统会识别为非法应用等。用户对未知数据流识别、确认、处理后,可将未知数据流自动生产报警或提取到白名单。

2.3.3 内网多源威胁情报分析

建议在内网部署多源威胁情报分析,通过对不同源头威胁情报的统一汇总、分析、展示等功能,极大提高情报告警准确率,帮助评测内部信息系统遭受的风险以及安全隐患从而让安全团队进行有安全数据佐证的重点内部领域防护措施。内部安全团队多人对单条威胁情报存在疑虑时,可进行协同式研判,提升单挑威胁情报与情报源的命中率统计。内部安全管理员可以定期生成威胁情报月报,便于将一段时间内的系统漏洞、应用漏洞、数据库漏洞进行选择性摘要,使安全加固工作处于主动、积极、有效的工作场景之中。

2.4 内网安全管控措施

2.4.1 内网安全风险主动识别

2.4.1.1 基于漏洞检测的主动防御

云安全防护虚拟资源池内为用户提供了系统层漏扫、web层漏扫、数据库漏扫三种检测工具,可以为用户提供定期的安全风险检测,基于已知风险或未知风险进行安全策略调整、漏洞修复、补丁更新等主动防御行为。

第 27 页 内网安全整体解决方案

2.4.1.1.1 漏洞检测范围

操作系统:Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;

数据库:MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;

网络设备:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趋势科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。

应用系统:各种Web服务器应用系统(IIS、Apache Tomcat、IBM lotus……)、各种DNS服务器应用系统、各种FTP/TFTP服务器应用系统、虚拟化系统(Vmware、Virtual Box、KVM、OpenStack等等)、邮件服务器应用系统(MS Exchange、IMAP、Ipswitch Imail、Postfix……)2.4.1.1.2 识别漏洞类型  系统漏洞类型

Windows漏洞大于1946种、MacOS漏洞大于192种、UNIX漏洞大于959种、数据库服务器漏洞大于357种、CGI漏洞大于2301种、DNS漏洞大于76种、第 28 页 内网安全整体解决方案

FTP/TFTP漏洞大于278种、虚拟化漏洞大于613种、网络设备漏洞大于516种、Mail漏洞大于251种、杂项漏洞(含RPC、NFS、主机后门、NIS、SNMP、守护进程、PROXY、强力攻击……) web漏洞类型

微软IIS漏洞检测、Apache漏洞检测、IBM WebSphere漏洞检测、Apache Tomcat漏洞检测、SSL模块漏洞检测、Nginx漏洞检测、IBM Lotus漏洞检测、Resin漏洞检测、Weblogic漏洞检测、Squid漏洞检测、lighttpd漏洞检测、Netscape Enterprise漏洞检测、Sun iPlanet Web漏洞检测、Oracle HTTP Server漏洞检测、Zope漏洞检测、HP System Management Homepage漏洞检测、Cherokee漏洞检测、RaidenHTTPD漏洞检测、Zeus漏洞检测、Abyss Web Server漏洞检测、以及其他Web漏洞检测等Web服务器的扫描,尤其对于IIS具有最多的漏洞检测能力,IIS漏洞大于155种  数据库漏洞类型

MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以扫描数据库大于三百五十多种漏洞,包含了有关空口令、弱口令、用户权限漏洞、用户访问认证漏洞、系统完整性检查、存储过程漏洞和与数据库相关的应用程序漏洞等方面的漏洞,基本上覆盖了数据库常被用做后门进行攻击的漏洞,并提出相应的修补建议 2.4.1.1.3 内部主动防御

根据漏洞扫描结果,给予定制化安全加固方案,结合漏洞级别、漏洞类型、漏洞波及范围、修复风险、加固后复测等人工服务,配合用户第一时间完成修复工作,我们将从信息安全专业技术层面为您说明每一条漏洞可能导致的安全事件可能性,从用户安全运维、业务系统稳定运行的角度出发,给出可落地的安全加固方案。

2.4.2 内网统一身份认证与权限管理

建议构建统一身份认证与权限管理系统,建立统一身份库,业务操作人员、系统运维人员、IT基础架构运维人员、业务应用管理员、IT基础架构管理人员、第 29 页 内网安全整体解决方案

系统管理人员通过统一认证入口,进行统一的身份认证,并对不同人员设置不同的访问权限,并实现所有用户登录及访问行为分析和审计。

2.4.2.1 统一用户身份认证设计

建立的统一身份库,包括运营身份库和业务人员身份库,使用户在统一身份库中,只有唯一身份标识,用户向统一认证平台提交的证明是其本人的凭据,根据系统级别不同,采用的认证方式不同,每个应用系统都有自己的账户体系,这些账户被看做是访问一个信息资产的权限,管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。实现各应用系统不再处理身份认证,而是通过统一的身份认证入口进行认证,通过后期的行为分析提供对异常行为的检测及加强认证或阻断操作。用户分类具体如下图所示:

2.4.2.2 统一用户权限管理设计

一、外部用户

二、内部用户

1、运维人员的权限管理

第 30 页 内网安全整体解决方案

2、业务人员的权限管理

2.4.2.3 业务内容身份鉴别与访问控制设计

一、内部访问设计

内部访问设计主要面向内部用户,通过验证后会加入到统一用户身份认证与权限管理平台身份库,经过认证策略判定,录入认证策略库,最后通过堡垒机实现内部访问。

二、外部访问设计

身份合法验证,通过验证后会加入到外部用户统一用户身份认证与权限管理平台身份库,经过认证策略判定并录入认证策略库,经过多因素认证资源池(包

第 31 页 内网安全整体解决方案

括指纹、二维码、RSA令牌等)实现外部应用的系统资源访问。

2.4.1 内网安全漏洞统一管理平台

建议部署安全漏洞统一管理平台,按照组织架构或业务视图建立资产管理目录,快速感知不同资产层级的漏洞态势,解决内部漏洞无法与业务系统自动关联分析的问题,为监管方提供宏观分析视图。将不同来源、不同厂商、不同语言、不同类型的漏洞数据自动标准化成符合国家标准的全中文漏洞数据,并去重合。形成某单位自身的漏洞信息库,赋予漏洞数据空间、时间、状态和威胁属性,形成每个信息系统的漏洞信息库,并对其生命周期状态进行跟踪。顺应国家网络安全和行业发展的需要,解决了漏洞检测、漏洞验证、漏洞处置和响应等环节中存在的多种问题,实现漏洞管理流程化、自动化、平台化及可视化。

第 32 页 内网安全整体解决方案

第三章 内网安全防护设备清单

 云防火墙  硬件防火墙  云waf  硬件waf  IPS  防病毒网关  上网行为管理  隔离网闸  流量分析系统

 多源威胁情报分析系统  安全漏洞统一管理平台  堡垒机  云堡垒机  数据库审计  态势感知平台  系统漏洞扫描器  Web漏洞扫描器  数据库漏洞扫描器  镜像文件加密  云堡垒机  云数据库审计  统一身份证书

 虚拟终端加固及防护软件 虚拟主机加密机  数据防泄密  网络准入设备  服务器加固软件

第 33 页

第五篇:行业门户网站解决方案

行业门户网站近来发展迅速,网站针对性地为业内人士提供行业内及行业相关信息服务,强化业内信息的分类,充分体现本行业特色。网站定位于行业的动态信息、产品信息、市场信息和技术发展信息,树立业内信息权威形象,为客户提供需要的信息和网上交流的空间。久久网络提供的行业门户解决方案重视行业内外的产品供应链管理,提供实际的商业机会,增强网站与客户进入良性互动性。久久网络行业门户解决方案从技术上为客户提供了形式多样的主动和被动的商机寻找方式,强调行业门户的垂直(vertical)特点,提供完善的客户关系管理(CRM)功能。多级会员管理体系和权限管理机制使企业会员以及企业内不同角色在网站中获得不同的业务权限。强大的电子商务体系为行业电子商务运行提供了强有力的保障。

常用功能模块简介

一、信息发布模块

发布有关企业的各种信息资讯,包括:企业简介、企业新闻、企业活动、内部刊物等 实现功能:信息的增加、修改、删除,信息审核,信息的自动发布,信息查询提供一整套流程管理及控制方法统一管理网站信息,系统化和标准化发布网站信息提供扩展的信息接口

二、产品展示模块

产品信息展示,包括:产品图片、产品性能、产品价格等 产品查询引擎,包括:类别查询、关键词查询、模糊查询产品信息维护,包括:产品的归类,产品信息的增删改,产品规则的设定样版室,将最新产品提供给专业用户,并设置严格的安全条件防止商业信息泄露

三、网上商务管理

整个购物流程的实现,客户可以对已购买物品进行添加、删除、更改等操作 客户定单管理,客户可以查看客户定单的进度(如:制造进度、送货情况等)客户定单维护,维护人员更新客户定单的相关进度(如:制造进度、送货情况等);另外还可以删除无效定单扩展加上在线支付模块就可直接在网上实现支付

四、销售管理系统

收集公司及各地分公司的销售信息 记录及统计产品库存情况 为各地分公司提供网上采购的功能

五、客户服务中心

客户及会员信息搜集,注册成会员后的权利 网站管理者对会员信息的维护及管理 会员对自己信息的维护及管理处理客户的问题及售后服务支持可扩展成为用户反馈系统,加盟连锁管理系统

六、系统维护模块

超级用户对系统操作人员的管理,包括:系统权限的赋予和变更,操作口令的设置 系统操作人员更改自己的口令信息 对客户及会员信息的管理及其他资料的管理

七、日志分析模块

流量统计、访问量统计、用户统计、页面统计

八、网络互动系统

通过在线支持系统,注册用户提交的相关信息,并对感兴趣的问题进行讨论,同时具有一整套的管理流程 通过在线调查系统,使客户能领先一步了解市场反应

下载企业集团内网门户解决方案(共5则)word格式文档
下载企业集团内网门户解决方案(共5则).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    化妆品门户网站解决方案

    化妆品门户网站解决方案 前不久自己想开一个化妆品网店,于是在国庆期间大致写了一个化妆品网店想法,由于时间太紧实在感觉自己没有精力去做了,于是把我写的这点东西发布出来希......

    门户内容管理系统解决方案

     系统简介 x门户内容管理系统是凝聚了自身对内容管理的先进理念和信息技术,整合国内外的门户类内容管理系统的成功应用经验,推出的基于j2ee架构的web技术应用类门户内容管理......

    门户网站建设解决方案

    辽宁省鸿锐曲轴制造有限公司门户网站建设解决方案一、 公司门户网站建设方案概述公司门户网站建设不仅需要通过互联网进行产品或服务宣传,更需要将核心的业务信息化处理,通过......

    军队企业内网安全解决方案

    军队企业内网安全解决方案 内网安全性分析军队网络具有非常完善的系统及复杂的网络环境;由于军事信息需要高度保密,其局域网与Internet物理隔离,单位间信息共享都必须经过严格......

    内网OA办公系统解决方案

    内网OA办公系统 解决方案 XXXX科技有限公司 2016年06月 目录 1、系统简介 .................................................................................................

    22、政务内网安全解决方案

    政务内网安全解决方案 政务内网安全解决方案 一、前言 随着经济全球化、社会信息化的不断发展,各行业各业都建设自己的网络信息化系统,而如何使信息网络系统不受黑客和工业间......

    公司网站-门户网站解决方案V1.1_cpf_20120601

    门户网站解决方案 一 需求背景 在互联网络高速发展的今天,网站正成为学校、公司、企业、政府及团体进行形象展示、信息发布、业务拓展、客户服务、内部沟通的重要阵地,她不但......

    旅游行业门户网站解决方案

    旅游行业门户网站解决方案 一、服务定位: 服务对象: 旅游管理部门、旅游网络运营商、旅游集团机构、大中型旅游企业 实现目标: 专业大型、中型旅游网站。 网站具有旅游信息咨询......