[客戶背景]

經過多年的發展，該公司已發展成為具有較大規模的國際化大型跨國企業集團，集團的業務主要集中在金融、實業和其它服務業領域。

集團的網絡承載著企業的管理、辦公、財務，以及銀行、證券、保險等各級子公司的業務系統，因此對網絡的安全性要求非常高，網絡與系統的安全穩定將直接影響集團對外服務質量及對內管理效率。

安氏公司作為國內一流的安全產品及服務提供商，在深刻理解該集團網絡及應用的情況下，從集團全局整體考慮構建網絡安全防御體系，并輔以多種專業安全服務，提高了網絡的安全性與防護能力。

[安氏公司]

安氏是一家以技術著稱的專業信息安全公司，自1999年成立以來，安氏始終致力于中國本土化自主可控的信息安全技術研究與普及，并不斷的發展壯大。公司總部設于北京，在上海、廣州、成都、南京等地設有分支機構，業務遍及全國。

安氏公司在電信、金融等重點行業率先推出領先的全面信息安全管理方案，并通過覆蓋全國的渠道分銷網絡，銷售自主可控的“領信”系列安全產品。密切配合國家的信息安全行業政策，安氏公司以提高中國本土安全技術水平為發展方向，積極擔當溝通中外的橋梁角色，不斷引入世界頂尖的安全核心技術，將其轉化為屬于中國的自有知識版權的產品和服務，并重點培育國內安全技術人才，積極為中國信息安全產業的發展打造第一塊品牌。

[網絡現狀和安全威脅]

集團內聯網主要以總部局域網為核心，采用廣域網方式與外地子公司聯網。

集團廣域網采用MPLS-VPN技術，用來為各個分公司提供骨干網絡平臺和VPN接入，各個分公司可以在集團的骨干信息網絡系統上建設各自的子系統，確保各類系統間的相互獨立。網絡拓撲圖如下圖所示:

[安全需求分析]

從安全性和實用性角度考慮，安全需求主要包括以下幾個方面:

安全管理咨詢

安全建設應該遵照7分管理3分技術的原則，通過本次安全項目，可以發現集團現有安全問題，并且協助建立起完善的安全管理和安全組織體系。

集團骨干網絡邊界安全

主要考慮骨干網絡中Internet出口處的安全，以及移動用戶、遠程撥號訪問用戶的安全。

集團骨干網絡服務器安全

主要考慮骨干網絡中網關服務器和集團內部的服務器，包括OA、財務、人事、內部WEB等內部信息系統服務器區和安全管理服務器區的安全。

集團內聯網統一的病毒防護

主要考慮集團內聯網中，包括總公司在內的所有子公司或分公司的病毒防護。

統一的增強口令認證系統

由于系統管理員需要管理大量的主機和網絡設備，如何確?？诹畎踩Q為一個重要的問題。

統一的安全管理平臺

通過在集團內聯網部署統一的安全管理平臺，實現集團總部對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件、以及處理各種安全突發事件。

專業安全服務

通過專業安全服務建立全面的安全策略、管理組織體系及相關管理制度，全面評估企業網絡中的信息資產及其面臨的安全風險情況，在必要的情況下，進行主機加固和網絡加固。通過專業緊急響應服務保證企業在面臨緊急事件情況下的處理能力，降低安全風險。

[方案設計]

骨干網邊界安全

集團骨干網共有二個Internet出口，位置在北京和廣州，每個Internet出口各部署安氏LinkTrust Cyberwall-200F/006防火墻兩臺。

在兩個Internet出口處各部署一臺安氏LinkTrust Network Defender領信網絡入侵檢測系統，通過交換機端口鏡像的方式，將進出Internet的流量鏡像到入侵檢測的監聽端口，LinkTrust Network Defender可以實時監控網絡中的異常流量，防止惡意入侵。

另外部署一臺高檔PC服務器，該服務器可設置于安全管理運行中心網段，用于對集團骨干網部署的入侵檢測進行統一管理和事件收集。

具體部署如下圖所示:

骨干網服務器安全

集團骨干網服務器主要指網絡中的網關服務器和集團內部的應用服務器包括OA、財務、人事、內部WEB等，以及專為此次項目配置的、用于安全產品管理的服務器的安全。

主要考慮為在服務器區配置千兆防火墻，實現服務器區與辦公區的隔離，并將內部信息系統服務器區和安全管理服務器區在防火墻上實現邏輯隔離。還考慮到在服務器區配置主機入侵檢測系統，在網絡中配置百兆網絡入侵檢測系統，實現主機及網絡層面的主動防護。

漏洞掃描

了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞，新出現的安全問題等，都要求信息系統自身和用戶作好安全評估。安全評估主要分成網絡安全評估、主機安全評估和數據庫安全評估三個層面。

內聯網病毒防護

病毒防范是網絡安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析，結合集團網絡的特點，在網絡安全的病毒防護方面應該采用“多級防范，集中管理，以防為主、防治結合”的動態防毒策略。

病毒防護體系主要由桌面網絡防毒、服務器防毒和郵件防毒三個方面。

增強的身份認證系統

由于需要管理大量的主機和網絡設備，如何確保口令安全也是一個非常重要的問題。

減小口令危險的最為有效的辦法是采用雙因素認證方式。雙因素認證機制不僅僅需要用戶提供一個類似于口令或者PIN的單一識別要素，而且需要第二個要素，也即用戶擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。用戶除了知道他的PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態變化的，大大提高了安全性。

統一安全平臺的建立

通過建立統一的安全管理平臺(安全運行管理中心—SOC)，建立起集團的安全風險監控體系，利于從全局的角度發現網絡中存在的安全問題，并及時歸并相關人員處理。這里的風險監控體系包括安全信息庫、安全事件收集管理系統、安全工單系統等，同時開發有效的多種手段實時告警系統，定制高效的安全報表系統。

專業的安全服務

安氏的目標是幫助用戶建設完整、堅固的信息安全體系，因此我們從用戶對安全的需求出發，依托安氏在安全領域強大的實力，為用戶提供全面的安全解決方案。

安全是一個動態的過程，安氏提出了獨特的PADIMEE TM 方法論，并將自身業務和PADIMEE TM周期中的每個環節緊密地結合起來:

策略(Policy)

評估(Assessment)

設計(Design)

執行(Implementation)

管理(Management)

緊急響應(Emergency Response)

教育(Education)

[實施效果]

本項目實施完成后，在該集團和安氏安全管理專家的共同努力下，為該集團量身定制完善、可操作性強的企業安全策略。根據這個策略制定了詳細的流程、規章制度、標準、用戶手冊等規范，通過實施這一系列策略規范，為整個企業范圍內的安全管理搭建了堅實的平臺。

采用安氏的安全產品，基本上可以防范各類DOS攻擊，發現和防范各種黑客的入侵。通過使用防火墻對關鍵網段的控制，保證了只有許可的人員才能訪問關鍵服務器。通過入侵檢測，對許可訪問人員的行為進行審計和檢測。通過安全管理中心對這些日志進行保存和審核，這一系列的手段保障了對來自內部攻擊和誤用的限制。

通過安全管理咨詢和加固服務，郵件防毒、服務器防毒、工作站防毒系統，全面減少了網絡受病毒感染的風險，將這些風險控制在一個可以控制的范圍。