ADt 上海安达通安全解决方案案 、安全需求 首先,BⅠ系统的数据都通过公网( Internet)直接传输,因为BI系统的数据 体现了集团的经营和决策等敏感信息,属于商业机密,在公网上直接传输存在着 很大的安全隐患,如果这些数据被公布或透露给竞争对手,对于这样大型的集团 公司而言,后果是非常严重的。 其次,集团总部的服务器和总部局域网处于同一个网段,而网络的边界没有 防火墙来保护内部网络,也没有做任何访问控制,安全漏洞非常明显;外部网络 可以随意访问服务器,一旦服务器的密码被破解,或者黑客利用操作系统的某些 漏洞进入了服务器,不但服务器BI系统的数据面临危险,而且黑客容易利用服 务器作为跳板,转而攻击内部网络的机器,那么整个系统将毫无安全性可言 另外,将四种服务安装在同一台服务器上也是系统的潜在安全隐患,这种做 法不仅加重了服务器的负担,而且使系统整体安全性下降;因为每种服务程序都 会有易受攻击的脆弱点或尚未公布的安全漏洞,那么四个服务的安全漏洞相当于 只安装一个服务的四倍,一旦黑客利用某个服务程序的缺陷攻破了操作系统,那 么其他的服务将同时受到牵连,使整个系统崩溃 综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点 要讨论解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部 分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标 安全方案 31集团总部 1)将总部提供的四种服务(WEB、EMAL、 PROXY和BI)分别安装在四台服 务器上,分解总的负荷,也提高系统的整体安全性。 2)部署安达通公司的SGW系列安全网关,考虑到将服务器和内部网络的隔 离、对内网的保护和访问控制等被动防御目的以及远程安全接入目的,在 内外网的边界,即路由器之后部署安达通公司的安全网关sGw25C 安全网关的工作目前可以考虑两种模式,即NAT模式和透明代理模式。下 面将分别阐述这两种模式 NAT模式 将安达通公司安全网关的WAN端口连接路由器,LAN端口连接内部局域网 yw. adtsec com Te021-64325693:64325694上海安达通安全解决方案案例 www.adtsec.com 25 Tel：021-64325693；64325694 二、安全需求 首先，BI 系统的数据都通过公网（Internet）直接传输，因为 BI 系统的数据 体现了集团的经营和决策等敏感信息，属于商业机密，在公网上直接传输存在着 很大的安全隐患，如果这些数据被公布或透露给竞争对手，对于这样大型的集团 公司而言，后果是非常严重的。 其次，集团总部的服务器和总部局域网处于同一个网段，而网络的边界没有 防火墙来保护内部网络，也没有做任何访问控制，安全漏洞非常明显；外部网络 可以随意访问服务器，一旦服务器的密码被破解，或者黑客利用操作系统的某些 漏洞进入了服务器，不但服务器 BI 系统的数据面临危险，而且黑客容易利用服 务器作为跳板，转而攻击内部网络的机器，那么整个系统将毫无安全性可言。 另外，将四种服务安装在同一台服务器上也是系统的潜在安全隐患，这种做 法不仅加重了服务器的负担，而且使系统整体安全性下降；因为每种服务程序都 会有易受攻击的脆弱点或尚未公布的安全漏洞，那么四个服务的安全漏洞相当于 只安装一个服务的四倍，一旦黑客利用某个服务程序的缺陷攻破了操作系统，那 么其他的服务将同时受到牵连，使整个系统崩溃。 综上所述，如何很好地解决“信息的共享和信息的安全问题”是本方案重点 要讨论解决的问题。使整个网络的安全达到一个全面加强，使网络系统的每个部 分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。 三、安全方案 3.1 集团总部 1) 将总部提供的四种服务(WEB、EMAIL、PROXY 和 BI )分别安装在四台服 务器上，分解总的负荷，也提高系统的整体安全性。 2) 部署安达通公司的 SGW 系列安全网关，考虑到将服务器和内部网络的隔 离、对内网的保护和访问控制等被动防御目的以及远程安全接入目的，在 内外网的边界，即路由器之后部署安达通公司的安全网关 SGW25C。 安全网关的工作目前可以考虑两种模式，即 NAT 模式和透明代理模式。下 面将分别阐述这两种模式。 NAT 模式 将安达通公司安全网关的 WAN 端口连接路由器，LAN 端口连接内部局域网