企业信息系统整体安全解决方案.doc

企业信息系统整体安全解决方案 北京赛门铁克信息技术有限公司 2006年5月 第一部分 信息系统网络安全解决方案 一、行业结构特点及信息安全需求分析 制造业网络架构特点： 从“信息化高速公路”到“数字地球”，信息化浪潮席卷全球。Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长，也为企业的发展带来了勃勃生机。 企业通过Internet 可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临很多风险。当越来越多的企业把自己的业务系统放到网络上后，针对网络的各种非法入侵、病毒等活动也随之增多。其信息系统主要有以下几个特点： 企业内部网日益完善，具备层次化的网络结构，成为企业通向Internet的传输纽带。 一系列重要的应用系统建立在内部网中，负责企业日常的生产管理，如ERP、CRM、PLM、PDM、OA等。 随着信息化程度的深入、企业的不断发展与壮大。企业内的终端数量日益膨胀。与此同时，企业的分公司、供货商、销售商通过Internet联入总部，时时查询或者上报数据。对于这两类终端，他们的特点是数量庞大，不易管理。 图1：制造业信息系统的典型网络拓扑 针对其特点，我们来分析一下制造业信息系统所面临的威胁与风险。 大多数的企业信息网比较开放，终端数量庞大，非常容易受到来自Internet本身的安全威胁，例如网络蠕虫、安全攻击，垃圾邮件等等。此外，企业网终端没有统一的管理，每台终端上的操作系统安全漏洞补丁不能得到及时更新。这些威胁都会严重影响企业内部网络的正常使用。 对企业自身来说，其研发机构承担了大量的产品研制与开发任务，在开发过程中的数据需要采取严格的保护措施。这部分网络还会提供相关的外单位科研人员的访问。如果安全性缺失会造成自有知识产权的泄露。 企业网的管理结构相对复杂，没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、恶意攻击等紧急情况，没有相应的对策。而且，如果只是通过被动的事件响应，企业必然已经蒙受了损失，从而造成IT投资回报无法最大化，总是处在事倍功半的恶性循环之中。 通过上述分析可以看出，制造业信息系统的安全防护必须是多层次，全方位的。赛门铁克根据企业的实际情况，设计了完整的、先进的信息系统主动安全防护体系，它主要包括： －企业网络出口统一威胁控制 －企业网内部安全监控和防御 －企业网内部重要服务器、应用服务器防护（邮件） －企业网内部终端安全防护 二、制造业安全整体方案 1．企业网出口统一威胁管理 赛门铁克公司网关安全Symantec Gateway Security（以下简称SGS）是新一代的统一威胁管理设备。它采用了多种先进的安全技术，对进出企业网络的数据包进行检查、处理和控制，可以满足企业网抵御混合型威胁的需要。作为业界最全面的统一威胁管理设备，将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。在部署时，SGS 可以根据企业的实际需要启用不同的安全功能模块，从而实现灵活部署与应用。 在企业网出口的位置，我们还可以利用SGS 建立DMZ 区域，放入一些对应的服务器，如WEB服务器，EMAIL 服务器等。为了避免企业网出口的单点故障，可以部署两台或多台SGS设备的集群环境。该架构可以同时承担负载均衡和高可用性责任。 以上方案的效果可以使管理员灵活控制来自Internet的通讯流量，阻止各种外部黑客攻击和病毒、蠕虫以及垃圾邮件；对DMZ区和企业内部网络区别看待，使用不同的安全访问控制规则。 除了在企业网出口部署统一威胁管理方案，还可以在企业内部的网段之间部署。例如在企业科研及重点试验室网段，该网段的信息安全级别相对较高，可以再部署一台SGS设备，设置适合本网段的安全访问控制规则及安全攻击检测规则，保护信息以合法的方式被访问。对于企业网内的其它网段，可视情况部署同样的方案。 SGS 在企业网的部署如下图所示： 图3：企业网统一威胁管理部署方案 利用赛门铁克的SGS方案部署在企业网出口和内部重要网段，其特点如下： 具有七种必要的网络安全功能，集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。可以在一台设备上实现对企业网的统一威胁管理。 SGS系列独到之处在于采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则（顺序无关），防火墙会自动按照最安全的策略选择并解释执行规则。大大减少了信息管理员的管理成本，易于维护使用。 企业网的信息平台相对开放，多数具有较强破坏力的复杂攻击是对应用数据流的攻击，而不是仅