四川XX集團網絡安全升級方案

2019-01-13 21:56:00
admin
原創
2086

1. 背景及現狀

四川 XX集團經過 20多年的發展,企業規模龐大,下轄四川 XX塑膠、 XXXX房地產、四川 XX包裝、金華 XX塑膠包裝、清遠 XX塑膠包裝、四川 XX物業管理等 6家企業。業務穩步發展是 XX本地知名企業。

在創業過程中, IT系統從無到有,逐步建立和完善,在因地制宜,從需求本身出發的指導方針下,集團公司已完成覆蓋總部各單位的園區網,其中包含財務系統、 ERP系統、視頻監控等重要應用。各下轄子公司通過互聯網直接訪問集團公司的業務系統。

本方案不考慮國內等級保護、分級保護那些亂七八糟花架子,完全 從客戶實際需求出發,因地制宜,花最少的錢解決問題。

2. 風險分析

經過調研和訪談,我們認為 XX集團信息系統目前存在以下風險及弱點:

2.1. 缺乏統一規劃

由于企業發展不是一蹴而就,信息系統也是跟隨企業發展進度逐步完成的,各個系統各自為政,沒有統一規劃和管理措施,集團信息部門希望盡快改變這一局面。

2.2. 安全措施和手段不足

在系統建設之初考慮的更多的是業務相關的特性,比如說 ERP系統的各項功能是否符合企業的需要,而從安全性上考慮較少,先用起來再說,經過訪談和機房參觀,我們發現目前只有一臺防火墻作為安全設備對重要服務器進行了防護,辦公網、視頻監控網都沒有相應的安全設施。

這不但會造成系統信息可能丟失、被篡改,嚴重情況下可能會帶來一些法律風險。

分支機構通過金萬維實現到集團公司互聯,這種方式適用于小型企業和分支機構,但是已經不適應于 XX集團這種大型企業,從業務穩定性和安全性來說,金萬維都不適合在 XX集團使用。

2.3. 系統可靠性比較低

目前集團網絡有 3條互聯網出口,但是這 3條出口是各自獨立的,沒有進行整合。分別對應辦公網、服務器和視頻監控 3個主要部分。假設服務器鏈路中斷,那么全集團將不能訪問到 ERP等,對集團生產科研工作開展將產生非常大的影響。

辦公網如果需要訪問到服務器,也需要通過互聯網中轉,數據通過互聯網極易被篡改和監聽,導致企業機密信息失竊。

3. 建議方案

3.1. 總體思路

首先,企業管理層需要認識到信息系統不是可有可無的,信息系統已經深入到企業生產管理的每個角落,信息部門需要同企業管理層保持緊密溝通,從專業的角度給管理層提出建議,避免企業在信息化發展上走彎路,花冤枉錢。

其次,信息部門需要立足自身企業的特點,結合同行業和其他先進單位的案例,與國內外知名廠商展開合作和深入溝通,為管理決策層提供正確的意見和方向。

根據目前 XX集團目前的現狀,我們認為信息部門的首要任務是正確識別安全風險,統一思想,統一規劃,統一實施。

3.2. 建議方案

3.2.1.網絡改造

首先我們建議將現有的三條互聯網出口統一到一套設備上來,通過路由策略部署實現多出口冗余,保證在任意兩條鏈路失效的情況下業務系統還可以完全正常工作。

其次,通過防火墻設備實現訪問控制策略,將重要服務器單列于防火墻 DMZ區,所有需要訪問業務系統的流量必須經過防火墻審查,同時將訪問控制策略作用于防火墻,屏蔽無關或非法攻擊。

由于視頻監控內部流量較大,建議將視頻監控單列一個安全區域,使從攝像機到 NVR的流量不穿越防火墻,否則防火墻負擔過重,需要選用高端設備,浪費錢。只需要將需要出局的流量(比如領導在外要觀看視頻這類流量)通過防火墻并做訪問控制,就可以有效的降低核心防火墻負載。

為了提高系統可靠性,建議防火墻采用雙機熱備的方式組網,同時將 3條外網線路通過交換機集中到一起接入到防火墻。這樣可以保證核心出口的可靠性和穩定性。

建議每個分支機構部署防火墻,通過與集團本部防火墻建立端到端 VPN隧道,實現安全和加密的業務通道。分支機構到互聯網的流量從本地運營商出局,到集團公司流量則通過 VPN加密,防止被公網惡意攻擊者竊聽和篡改。

企業網安全建設方案

3.2.2.安全策略

安全策略主要有以下幾個方面:

1、禁止從互聯網訪問辦公網。

2、只允許訪問視頻服務的某些 IP和端口,杜絕針對視頻監控系統漏洞的溢出攻擊。

3、只允許訪問內部服務器的某些特定端口和應用,杜絕非法訪問和溢出。同時禁止服務器主動向外發起連接。

4. 投資預算

4.1. 預算清單

型號

描述

單價

數量

小計

備注

SRX340-SYS-JB

SRX340 服務網關包括硬件( 16GE4x MPIM插槽, 4G RAM8G閃存,電源,電纜和 RMK)和 Junos軟件基礎(防火墻, NATIPSec,路由, MPLS和交換)。


6


分支機構可選

SRX345-SYS-JB

SRX345 服務網關包括硬件( 16GE4x MPIM插槽, 4G RAM8G閃存,電源,電纜和 RMK)和 Junos軟件基礎(防火墻, NATIPSec,路由, MPLS和交換)。


2


SRX345-IPS-3

IPS 入侵防護三年授權


2


核心防火墻可選配

EX2300-24T

EX2300 24 端口 10/100 / 1000BaseT4 x 1 / 10G SFP / SFP +


3


EX-SFP-1GE-LX

SFP 模塊


20



總計


4.2. 產品選型及說明

本方案中涉及到以下幾款產品:

4.2.1. SRX340SRX345

SRX300業務網關產品線由一系列安全路由器組成,它們提供很高的性能和業已驗證的部署支持,企業可以利用它們構建連接數千個站點的全球網絡。為通過 WAN或互聯網連接站點提供 EthernetserialT1/E1xDSL3G/4G LTE無線選項。業內最好的高性能 IPsec VPN解決方案,提供全面的加密和身份驗證功能來保護站點間的通信安全。多種規格和自帶 GbE端口上的以太網交換支持,為關鍵任務型部署提供了經濟有效的選擇。瞻博網絡的自動化和腳本編寫功能以及 Junos Space SecurityDirector,能夠降低運行的復雜性,簡化新站點的預置。

SRX300產品線能夠識別 3500多種 L3-7應用,包括 Web 2.0P2P應用,如 Skypetorrent等。通過結合使用應用信息和用戶上下文信息, SRX300產品線能夠生成帶寬使用報告,實施接入控制策略,并為 WAN接口的出站流量分配優先級和限速。這優化了分支辦事處的資源利用,改善了應用和用戶的體驗。

SRX300產品線為網絡邊界提供一整套應用安全服務、威脅防護和情報服務。這些服務包括:入侵防御系統 (IPS)、基于用戶角色的防火墻控制、基于設備和基于云的防病毒、防垃圾郵件和增強的 Web過濾,從而保護你的網絡遠離內容傳播的

最新威脅。瞻博網絡 Spotlight Secure提供全面的安全情報,針對與命令和控制 (C&C)相關的僵尸網絡提供自適應的威脅防護,并基于 GeoIP執行策略。客戶還可以利用他們自定義的第三方通知來防止高級惡意軟件和其它威脅。 SRX300業務網關運行瞻博網絡 Junos操作系統,這種業已驗證的操作系統目前已經應用于全球前 100家服務提供商的核心互聯網路由器。其經過嚴格測試的運營商級 IPv4/IPv6OSPFBGP路由特性和多播特性,已經在 15年以上的全球部署中得到了驗證。

SRX345業務網關將安全服務、路由、交換和 WAN連接性整合到一個 1U設備中,適合于大中型分布式企業。 SRX345是一種經濟高效的集成化網絡和安全平臺,最多支持 5Gbps防火墻和 800Mbps IPsec VPN

Juniper SRX345防火墻

SRX340業務網關將安全服務、路由、交換和 WAN連接性整合到一個 1U設備中,能夠安全地連接用戶的中型分布式企業。 SRX340是一種經濟高效的集成化網絡和安全平臺,最多支持 3Gbps防火墻和 500Mbps IPsecVPN

Juniper SRX340防火墻

在本方案中,我們在集團本部采用 SRX345作為核心安全設備,搭配 SRX345-IPS-3IPS選件實現集團信息中心的安全性。

在分支機構采用 SRX340作為安全設備,與集團中心 SRX345實現 VPN互聯。

4.2.2. EX2300

EX2300 以太網交換機提供小巧、高密度、經濟高效的解決方案,適合高度注重節約空間和能源的網絡環境。 EX2300外形小巧,僅需占用 1U空間,因此極為適合工作組環境中的訪問層部署,以及規模較大的網絡中的融合網絡訪問。

有兩種 EX2300 交換機型號可用,在單個平臺中提供 24 48 10/100/1000BASE-T 端口。兩種型號均有支持 /不支持 IEEE 802.3af 以太網供電 ( PoE) 802.3at PoE+(用于為所連接的網絡設備供電)的選項。可選的前面板 10GbE 上行鏈路端口支持連接到更高層的設備。

EX2300 交換機支持瞻博網絡的集群交換技術,允許最多四個平臺互連為單個邏輯設備進行管理。交換機還可配置為 Junos Fusion Enterprise 部署中的衛星設備,此類部署將大量接入交換機聚合到一個邏輯管理平臺之中。

Juniper EX2300交換機

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
街机金蟾捕鱼礼包激活码 分分彩工具 新疆11选5技巧 欢乐真人麻将全部 美女捕鱼视频最新版 股市大盘行情 波克棋牌单机下载 2018英超冠军 闲来陕西麻将苹果版怎么下载 美女捕鱼达人赢话费 优乐江西麻将下载 发财一码一肖公开 浙江20选5跨度走势图 天天选四号码 浙江11选5推荐号 辉煌棋牌app 下载 天涯论坛股票高手