高校網(wǎng)絡(luò)安全解決方案
高校網(wǎng)絡(luò)安全分析
網(wǎng)絡(luò)安全威脅正在向多層次,復(fù)合型的方向發(fā)展,各種病毒、木馬、蠕蟲(chóng)、釣魚(yú)網(wǎng)站等網(wǎng)絡(luò)安全問(wèn)題給校園用戶的業(yè)務(wù)系統(tǒng)帶來(lái)了巨大的挑戰(zhàn)。
• 高校內(nèi)部有大量的服務(wù)器,對(duì)外提供服務(wù),其中不乏代表高校形象的門(mén)戶網(wǎng)站,服務(wù)器多采用Windows類系統(tǒng),漏洞多,需要夠提供強(qiáng)大的IPS功能,保護(hù)服務(wù)器不受到黑客攻擊。
• 對(duì)非法網(wǎng)站的訪問(wèn)需要進(jìn)行攔截,對(duì)上網(wǎng)行為進(jìn)行管理,保證學(xué)生、教師訪問(wèn)純凈的網(wǎng)絡(luò)信息資源。
• 內(nèi)部網(wǎng)絡(luò)有許多私有IP和教育網(wǎng)公用IP,因此訪問(wèn)CNC要通過(guò)NAT。用戶眾多,流量大,每秒新建連接數(shù)、并發(fā)連接數(shù)要求高。
• 高校網(wǎng)絡(luò)內(nèi)部有許多私有IP和教育網(wǎng)公用IP,這些地址是不能通過(guò)CNC鏈路直接訪問(wèn)Internet,因此需要作地址轉(zhuǎn)換。
• 因?yàn)楝F(xiàn)在學(xué)生可以在宿舍上網(wǎng),進(jìn)行網(wǎng)頁(yè)瀏覽、下載文件、電影等。因此造成校園網(wǎng)流量非常大。所以,高校在選擇UTM設(shè)備時(shí)候必須擁有卓越的吞吐量、海量的并發(fā)連接數(shù),保證網(wǎng)絡(luò)中的應(yīng)用不受到影響。
• 傳播病毒、蠕蟲(chóng)和其他基于內(nèi)容的攻擊,利用校園網(wǎng),共享不合法內(nèi)容。
這些問(wèn)題會(huì)引起大量與維護(hù)或支持校園計(jì)算系統(tǒng)和網(wǎng)絡(luò)相關(guān)的問(wèn)題,給動(dòng)態(tài)學(xué)術(shù)環(huán)境中的安全防護(hù)工作帶來(lái)困難。
UTM高校解決方案
UTM設(shè)備提供同類產(chǎn)品中最靈活的接入模式、提供海量的新建連接和并發(fā)、提供卓越的吞吐量、提供統(tǒng)一的IPS和IDS功能、提供了業(yè)內(nèi)最佳的入侵檢測(cè)和防 御、網(wǎng)頁(yè)內(nèi)容過(guò)濾、反病毒和反釣魚(yú)功能以保護(hù)高校的業(yè)務(wù)和珍貴的IT資產(chǎn)。該綜合的解決方案特定為易于使用、維護(hù)成本低,并可以允許您隨意擴(kuò)展自己的網(wǎng) 絡(luò)。
"全面保護(hù)"的最佳方案
對(duì)于服務(wù)器,提供最靈活的接入模式
對(duì)于學(xué)校的服務(wù)器,建議放置在UTM的DMZ區(qū)域,這樣保證Internet用戶和內(nèi)網(wǎng)用戶訪問(wèn)它的安全性。對(duì)于有多個(gè)出口的學(xué)校,在部署服務(wù)器的時(shí)候, 建議在CNC和CERNET上配置相關(guān)的IP地址,通過(guò)UTM的地址映射功能映射到服務(wù)器上。通過(guò)這樣的部署,CNC用戶可以通過(guò)CNC地址訪問(wèn)服務(wù) 器,CERNET用戶通過(guò)CERNET地址訪問(wèn)服務(wù)器,保證用戶最快速度訪問(wèn)到服務(wù)器。
同時(shí), UTM可以提供對(duì)服務(wù)器的鏈路備份功能,當(dāng)CNC鏈路中斷時(shí)候,所有用戶通過(guò)CERNET地址訪問(wèn)服務(wù)器;當(dāng)CERNET鏈路中斷時(shí)候,所有用戶通過(guò)CNC地址訪問(wèn)服務(wù)器。
對(duì)服務(wù)器,提供最佳的IPS和IDS保護(hù)
為了達(dá)到對(duì)服務(wù)器最佳保護(hù), UTM可以針對(duì)服務(wù)器同時(shí)開(kāi)啟IPS規(guī)則和IDS規(guī)則。IPS與IDS對(duì)應(yīng)不同的特征庫(kù),當(dāng)數(shù)據(jù)包進(jìn)入U(xiǎn)TM設(shè)備,首先經(jīng)過(guò)IPS檢查,可以確定100% 的攻擊,UTM可以對(duì)該攻擊進(jìn)行阻斷;如果數(shù)據(jù)包疑是攻擊,進(jìn)行IDS檢查,UTM對(duì)該數(shù)據(jù)進(jìn)行審計(jì),從而達(dá)到IPS和IDS的統(tǒng)一,保證服務(wù)器的同時(shí)不 會(huì)產(chǎn)生因?yàn)檎`報(bào)而將正常數(shù)據(jù)包阻斷現(xiàn)象。同時(shí)通過(guò)硬件加速保證系統(tǒng)的性能。
對(duì)學(xué)生使用P2P等的應(yīng)用控制
UTM不但能夠?qū)崿F(xiàn)對(duì)TCP/UDP端口的控制,并且可以實(shí)現(xiàn)對(duì)同一端口不同應(yīng)用控制的功能。當(dāng)數(shù)據(jù)包通過(guò)TCP/UDP某一端口進(jìn)行傳輸時(shí)候,華為賽門(mén) 鐵克UTM可以對(duì)數(shù)據(jù)包的應(yīng)用層作深度檢查,達(dá)到對(duì)于應(yīng)用進(jìn)行控制的目的。例如:對(duì)BT這種耗費(fèi)帶寬的控制、對(duì)經(jīng)過(guò)HTTP訪問(wèn)流媒體的控制、對(duì)HTTP 不同命令和使用代理服務(wù)器控制;對(duì)FTP不同命令的控制、對(duì)訪問(wèn)數(shù)據(jù)庫(kù)登陸的控制、對(duì)SMTP/POP3命令的控制、對(duì)H.323/SIP視頻的控制等。
對(duì)由內(nèi)往外攻擊的控制
通過(guò)UTM的連接速率限制規(guī)則可以限制某個(gè)IP或者網(wǎng)段的每秒新建連接速率,可有效遏制受到病毒感染在運(yùn)行惡意程序的內(nèi)網(wǎng)電腦。
通過(guò)開(kāi)啟由內(nèi)到外的IPS規(guī)則,避免內(nèi)部的PC中木馬后去攻擊銀行、政府等敏感部門(mén),造成法律糾紛。
對(duì)學(xué)生上網(wǎng)內(nèi)容的過(guò)濾
對(duì)于學(xué)生訪問(wèn)成人、反動(dòng)網(wǎng)站——通過(guò)UTM的靜態(tài)和動(dòng)態(tài)網(wǎng)頁(yè)內(nèi)容過(guò)濾功能,可以根據(jù)關(guān)鍵字、URL黑名單、或者對(duì)網(wǎng)頁(yè)內(nèi)容的分類結(jié)果有選擇性地限制對(duì)某些網(wǎng)頁(yè)的訪問(wèn)
由于互聯(lián)網(wǎng)上各種危險(xiǎn)網(wǎng)站層出不窮,用戶根本無(wú)法手動(dòng)更新相應(yīng)的網(wǎng)站,華為賽門(mén)鐵克在全球各個(gè)地方有專人負(fù)責(zé)對(duì)全球的URL進(jìn)行分類。通過(guò)廠家對(duì)全球網(wǎng)頁(yè) 時(shí)時(shí)進(jìn)行分類,UTM產(chǎn)品通過(guò)在線自動(dòng)更新網(wǎng)站列表,可以靈活的設(shè)置學(xué)生訪問(wèn)網(wǎng)頁(yè)的內(nèi)容,屏蔽瀏覽成人、娛樂(lè)等不安全或政策、法律禁止的網(wǎng)站同時(shí)通過(guò)對(duì) Internet上"釣魚(yú)"網(wǎng)站的分類屏蔽,阻止用戶訪問(wèn)"釣魚(yú)"的網(wǎng)站,保證學(xué)生和老師上網(wǎng)的安全性。
• 分布式部署方式
客戶價(jià)值
• 集中管理,態(tài)勢(shì)感知。
平臺(tái)缺省支持160多種設(shè)備的日志采集和管理,包括各主流的主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和存儲(chǔ)設(shè)備等;通過(guò)易用直觀的呈現(xiàn)界面,集中展現(xiàn)公安系統(tǒng)網(wǎng)絡(luò)的整體安全概況和安全趨勢(shì),實(shí)現(xiàn)全網(wǎng)安全的集中化管理。
• 準(zhǔn)確定位安全事件,快速恢復(fù)系統(tǒng)。
強(qiáng)大的關(guān)聯(lián)分析引擎,能夠跨設(shè)備、跨類型對(duì)多條事件進(jìn)行關(guān)聯(lián)分析;內(nèi)置了230條關(guān)聯(lián)規(guī)則,可對(duì)常見(jiàn)的安全威脅進(jìn)行識(shí)別和告警;同時(shí)根據(jù)用戶實(shí)際業(yè)務(wù)環(huán) 境,提供現(xiàn)場(chǎng)定制關(guān)聯(lián)規(guī)則,滿足公安業(yè)務(wù)特定場(chǎng)景的安全需求;采用從宏觀到微觀、層層遞進(jìn)的設(shè)計(jì)思想,通過(guò)最多三次點(diǎn)擊即可實(shí)現(xiàn)安全問(wèn)題的快速定位,發(fā)現(xiàn) 問(wèn)題根源并找到解決方案,從而縮短故障解決時(shí)間,快速恢復(fù)系統(tǒng),降低運(yùn)維成本。
• 領(lǐng)先的事件采集性能,實(shí)現(xiàn)海量數(shù)據(jù)的收集和分析。
iSOC采用獨(dú)有的并行方式對(duì)日志數(shù)據(jù)同時(shí)進(jìn)行收集和分析;在相同的系統(tǒng)性能下,其效率優(yōu)于傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù),真正實(shí)現(xiàn)海量數(shù)據(jù)的即時(shí)高效收集和分析,滿足公安信息系統(tǒng)海量日志環(huán)境要求。
• 豐富的安全知識(shí)庫(kù),提高安全運(yùn)維效率。
結(jié)合公司多年在信息安全領(lǐng)域的研究和豐富實(shí)踐,形成了安全運(yùn)維、安全事件處理、關(guān)聯(lián)場(chǎng)景設(shè)定等完善的安全知識(shí)庫(kù),同時(shí)也可以將客戶的安全案例、經(jīng)驗(yàn)總結(jié)導(dǎo)入到安全知識(shí)庫(kù),建立安全知識(shí)共享機(jī)制,提高安全運(yùn)維人員的知識(shí)和工作效率。
• 完善的業(yè)務(wù)流程,規(guī)范安全管理。
在系統(tǒng)中建立一套完善的業(yè)務(wù)流程系統(tǒng),對(duì)安全運(yùn)維管理工作進(jìn)行優(yōu)化,將管理數(shù)據(jù)電子化,管理過(guò)程規(guī)范化。運(yùn)行維護(hù)管理根據(jù)相關(guān)制度進(jìn)行,對(duì)內(nèi)完善流程,加強(qiáng)管理,,使公安行業(yè)人員具備更高的工作效率,提高業(yè)務(wù)技術(shù)能力和解決實(shí)際問(wèn)題的能力。
• 日志的完整性保護(hù),滿足日志合規(guī)性的要求。
iSOC平臺(tái)對(duì)日志采用專用的日志加密技術(shù)進(jìn)行加密存儲(chǔ),且有內(nèi)部時(shí)間戳防篡改標(biāo)志,以確保一旦數(shù)據(jù)被寫(xiě)入數(shù)據(jù)庫(kù)就無(wú)法被改變;同時(shí)缺省預(yù)置11類合規(guī)的大量報(bào)表模板,確保安全合規(guī)的易用性和可落地性。
• 完善的安全服務(wù)體系,為組織提供有力的信息安全保障。
已經(jīng)建立的安全基礎(chǔ)庫(kù)、安全能力研究中心、攻防試驗(yàn)室、應(yīng)急響應(yīng)中心,并有一支強(qiáng)大的專業(yè)安全服務(wù)隊(duì)伍,為iSOC平臺(tái)提供安全能力保障,使iSOC平臺(tái)為公安系統(tǒng)實(shí)現(xiàn)最大價(jià)值。