联创系统安全决方案.doc

联创系统安全解决方案南京联创系统集成股份有限公司一直致力于企业系统安全领域的业务，目前能够提供全面的系统安全解决方案，并在多个领域引进和开发自主版权的系统安全产品。在金融、电信、邮政、政府等关键领域的丰富经验，使我们充分了解企业系统的复杂性、系统安全的重要性和长期性。因此，我们一贯坚持：l 企业的业务系统与Intranet（如OA）等实行严格的网络隔离。l 企业的安全体系必须有企业自己进行管理和维护，任何形式的外包都是不可操作的。因此，我们特别重视对客户的自身培训。要求客户完全维护自己的安全体系是不现实的，集成商必须为客户提供产品及细致周到的服务。如产品升级、更新、紧急情况的处理等。南京联创系统集成股份有限公司的系统安全解决方案基于三个紧密联系的部分：l 系统安全的专业服务l 开发及供应客户需要的系统安全产品l 提供适应客户需求的系统安全产品的集成能力1、系统安全的专业服务南京联创系统集成股份有限公司专业服务的技能来自于：1) 为众多客户服务积累的丰富经验2) 长期提炼、总结的系统安全知识、工具3) 众多原厂商提供的各种产品、工具及支持4) Internet上各种系统安全信息南京联创系统集成股份有限公司的专业服务对象为系统集成客户，其主要内容包含：1) 咨询：帮助企业调查安全需求、制订安全策略、设计安全体系。2) 测试和评估：帮助企业了解其安全问题和安全隐患。3) 培训：帮助企业系统、网络管理人员掌握系统安全体系的监视和维护技能。4) 维护：为系统集成客户提供持续不断的系统安全通知-升级和更新。5) 紧急响应：为系统集成客户提供紧急响应支援。2、系统安全产品我们坚持认为：系统安全与管理是密不可分的，因此，我们在系统安全产品上，一直强化安全产品的可管理性及系统的可管理性。系统安全中的安全认证、访问控制及加密通讯，是由于TCP/IP从设计上未充分考虑的结果，才导致系统安全的复杂性。系统安全的审计、扫描、日志分析，是由于操作系统、应用、网络设备在设计、实现、配置的缺陷和错误而形成的产品。入侵检测体系，是为了解决网络、操作系统、应用系统在认证、访问控制方面固有的弱点而形成的产品。主机的访问控制，是由于主机上的UNIX操作系统的先天不足及设计上未充分考虑的结果而形成的产品。病毒防护体系, 是为了解决网络环境下，PC机、PCSERVER、应用系统病毒感染、病毒传播而形成的产品。南京联创系统集成股份有限公司通过自行开发、代理其他原厂商的产品，提供全面的安全解决方案，如图1所示：图1Extranet 保护入侵探测保护管理/评估 Lan/Internet/WEB/ 访问保护网络入侵探测/保护，漏洞扫描 桌面安全 防病毒网络安全 防火墙，安全认证， 加密通讯大型机、主机安全访问控制，入侵检测，漏洞扫描 3、系统安全解决方案联创公司系统安全解决方案依据企业系统安全的基本需求、高级需求及Internet服务平台的安全需求，将安全解决方案的涉及范围变得更为广泛，总的来说包括基础结构安全、边界安全、因特网安全、安全管理等四个方面，具体如图2所示：图2基础结构安全企业自身的IT系统是否健康完善，是否安全？主要考察以下内容：口令强度、帐号设置、网络参数、文件保护、不正确的文件变化、过期的补丁、O/S特有的问题等。解决基础结构的安全是进行全面的风险评估，从主机和网络两个方面进行安全评估。边界安全企业实体与外界的边界划分是否科学？企业IT系统与外界、企业内部关键部门之间是否安全隔离？这都属于边界安全范围。我们可以在关心的实体之间安装防火墙，来加强边界安全。在此实施攻击防御方案：安装防火墙产品和入侵检测软件。INTERNET连接安全互连网的安全管理是一个企业所必须考虑的。通过采用加强身份认证的方法获得网上资源控制权如身份卡，提供安全的远程接入手段，采用虚拟专网技术如网络保密机解决数据在公网传输的安全性。当然安全邮件和安全Web服务器也是一类重要的安全产品。安全管理对一个具体的网络信息系统，我们在安全风险评估确定合适的安全需求后，从技术上讲以上产品可以满足架构一个基本的安全设备平台。但是发生最频繁的安全威胁实际上是非技术因素，安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来，这个网络信息系统的安全性才有保障。因此，采用集中统一的管理策略，以技术手段实现非技术的安全管理，主要由安全管理中心实现。4、系统安全的集成我们的系统安全解决方案通过分析客户的安全需求，帮助客户选择相关产品，必要时针对具体需要进行产品开发，以适合客户对系统安全的需求。南京联创目前能够提供从链路层到应用层的全面系统安全集成服务，从VLAN、路由协议、SNMP网管、WEB、LDAP、电子邮件应用。南京联创集成的系统安全解决方案能够帮助客户完成：1) 业务系统与办公系统，Intenet/Intranet/Extranet完全隔离，办公、Intranet、业务系统三者之间采用防火墙进行隔离，个别需要通讯的设备可以设置防火墙的访问规则。企业内网、Intenet、企业外网之间使用防火墙进行隔离，限制企业内部用户对Intenet的访问，并对其行为进行监控，严格限制非授权访问。2) 加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息，使用VPN技术、IPSec技术等。3) 认证。良好的认证体系可防止攻击者假冒合法用户。包括CA认证、PKI认证、一次性口令认证、Radius（拨号认证协议）等。企业内网的关键服务器的远程访问（TELNET、FTP、RSH等）使用的增强认证。4) 备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。5) 配备完整的病毒防护系统，从电子邮件、群件系统、服务器、桌面PC机、网关均进行全面保护。对所有进出企业内网的电子邮件进行存档、扫描、病毒过滤。6) 风险评估。其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。7) 基于主机和网络的实时入侵检测部署在网络关键入口及关键服务器所在网段。入侵检测，是一种自动识别和实时响应的智能安全系统。它能监视网络中的活动事件，寻找有攻击企图和未授权的行为。当入侵检测软件检测到一个攻击，它会提供几种响应方式，包括记录攻击、自动切断和通知系统管理员。8) 多层防御。攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。9) 设立安全监控中心，为信息系统提供安全体系管理、监控、保护及紧急情况服务。集中的安全监控中心对整个系统进行监控和管理。系统安全性可以通过若干条不同的途径来实现，所有这些安全性措施对应于系统中的不同应用和不同层次，联创公司将针对具体需求，灵活采用，同时采用多种安全性措施以实现多级安全性(multilevel security)。南京联创在系统安全解决方案上做到宏观上统一规划，同步开展，相互配套；在实现上分步实施，渐进获取；在具体设计中结构上一体化，标准化，平台化；安全保密功能上多级化，对信道适应多元化。系统安全不可能单靠某一个、两个安全产品来解决的，它需要系统的、立体的解决。要从战略的角度、系统的角度建设网络安全保密系统。所以，选择系统安全产品时，要统筹安排，满足目前，着眼扩展。超前规划，分步实施。具体实现上要充分体现，整体安全强度高，透明性好，集中式管理，便于扩充等特点。既提供系统级的安全平台，又实现用户级的信息保密；既提供实体的身份识别，又实现用户身份认证。图3即为联创公