MADT 上海安达通安全解决方案案例 某市电力局安全解决方案 项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前 已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子 系统、物资子系统和人劳党政子系统等 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下 属六个县局网络和银行网络进行数据交换;力达公司为其直属公司。 、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需 求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制 3)确保网络平台上交换的数据的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便 地、安全地访问内部网络,实现信息的最大可用性 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面 网络安全解决方案,如下图所示
上海安达通安全解决方案案例 某市电力局安全解决方案 一、 项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前 已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子 系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下 属六个县局网络和银行网络进行数据交换;力达公司为其直属公司。 二、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需 求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1) 保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2) 防止内外部人员的非法访问,特别是对内部员工的访问控制; 3) 确保网络平台上交换的数据的安全性,杜绝内外部黑客的攻击; 4) 方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便 地、安全地访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面 网络安全解决方案,如下图所示
MADT 上海安达通安全解决方案案例 安全网关客户端 省电力公司网络 异地员工需要及时与内网联系 路由器 cisc3640路由器 KDS传感器 安全刺关 K|DS主控台 品品品080品品品 Cisco2600路由器 主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全 策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以 依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修 改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上插入入侵检测系统(KIDS3.3),并将其与交换机相连的端 口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进 行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 实现安全网关和入侵检测系统的联动,在策略中配置和安达通安全网关互动 例如使用大包ping位于安全网关另一边的主机。报警、ping通一个icm包后
上海安达通安全解决方案案例 主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加 “入侵检测系统”、“漏洞扫描系统”和统一的“安全 策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以 依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修 改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上插入入侵检测系统(KIDS3.3),并将其与交换机相连的端 口设置为镜像端口,由 IDS 传感器对防火墙的内口、关键服务器进行监听,并进 行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 实现安全网关和入侵检测系统的联动,在策略中配置和安达通安全网关互动. 例如使用大包 ping 位于安全网关另一边的主机。报警、ping 通一个 icmp 包后
MADT 上海安达通安全解决方案案例 无法再ping通、安全网关控制台界面上发现动态添加的规则 漏洞扫描系统”是一中网络维护人员使用的安全分析工具,主动发现网络系 统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患与未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系 统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海安达通公司的SGW系列安全网关 ( Firewall+vPN)产品 在 Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起 到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题, SGW25在这里主要发挥防火墙和VPN的双重作用。 1,保障局域网不受来自外网的黑客攻击,主要担当防火墙功能 2,能够根据需要,让外网向 internet的访问提供服务,如:Web,Mail,DNS 等服务; 3,对外网用户访问( internet)提供灵活的访问控制功能。如:可以控制任 何一个内部员工能否上网,能访问哪些网站,能不能收发 email、ftp等,能够 在什么时间上网等等。简而言之,能够基于“六元组”(源地址,目的地址,源 端口号(即:服务),目的端口号(即:服务),协议,时间)进行灵活的访问控 4,下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过 internet相连的“虚拟专用网”,彻底解决了在网上传输的内部信息安全问题, 方便了管理,并极大地降低了成本。各单位间能够在网上构成安全的数据传输通 道形成“虚拟专网”。在“虚拟专网”内部传输的数据都经过网关的高强度加密 和认证,能够充分确保数据传输的安全 5,授权的内部员工当出差在外时,可以在外地拨内网的拨号服务器,然后使 用“安全网关客户端软件”,通过加密隧道从外部安全方便地接入局中心内网
上海安达通安全解决方案案例 无法再 ping 通、安全网关控制台界面上发现动态添加的规则。 漏洞扫描系统”是一中网络维护人员使用的安全分析工具,主动发现网络系 统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患与未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系 统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海安达通公 司 的 SGW 系列安全网关 (Firewall+VPN)产品。 在 Cisco 路由器 4006 与 3640 之间,插入安全网关 SGW25 是必须的。主要起 到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题, SGW25 在这里主要发挥防火墙和 VPN 的双重作用。 1,保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2,能够根据需要,让外网向 internet 的访问提供服务,如:Web,Mail,DNS 等 服务; 3,对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任 何一个内部员工能否上网,能访问哪些网站,能不能收发 email、ftp 等,能够 在什么时间上网等等。简而言之,能够基于“六元组”(源地址,目的地址,源 端口号(即:服务),目的端口号(即:服务),协议,时间)进行灵活的访问控 制。 4,下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过 internet 相连的“虚拟专用网”,彻底解决了在网上传输的内部信息安全问题, 方便了管理,并极大地降低了成本。各单位间能够在网上构成安全的数据传输通 道形成“虚拟专网”。在“虚拟专网”内部传输的数据都经过网关的高强度加密 和认证,能够充分确保数据传输的安全。 5,授权的内部员工当出差在外时,可以在外地拨内网的拨号服务器,然后使 用“安全网关客户端软件”,通过加密隧道从外部安全方便地接入局中心内网