<nav id="guskm"></nav>
  • <menu id="guskm"><strong id="guskm"></strong></menu>
    首页 解决方案 典型案例 行业新闻 资质荣誉 产品中心 关于我们
    您所在位置 > 首页 > 解决方案 > 金融行业解决方案
    解决方案 / Solutions
    金融行业解决方案
    金融保险基金网站安全防护方案 点击下载

    概述

    保险基金是一种社会后备基金。社会后备基金的主要形式如下:集中形式的后备基金、自保形式的后备基金和保险形式的后备基金。而保险形式的后备基金即保险基金是保险机构通过签订合同向被保险人收取保险费而形成的一种后备基金,用于因保险事故造成的损失的补偿。网站作为保险基金形象形象门户,为社会各界用户提供信息类咨询访问一体服务。

    风险分析

    1.1   网络边界安全

    保险基金网站为新建业务,在边界实际上都可以划分出一个相对独立的安全域(即网络或子网),不同安全域之间的用户的越权、非法访问成为最主要的安全风险,这些越权、非法访问将直接危害到各安全域自身的安全。另外,蠕虫病毒的威胁也非常严峻,一旦某一个子网爆发蠕虫病毒,会立即从一个子网节点迅速蔓延到其他子网区域,很快会导致蠕虫在整个二级网内传播和破坏,造成网络性能严重下降甚至网络崩溃。最后,还需要考虑边界网络设备本身的安全风险(例如远程管理、弱口令等)。

    1.2   数据传输安全

    针对业务系统的应用现状及面临的问题。需要对WEB网站系统进行改造并加强信息安全的建设。通过信息安全建设,保证业务系统的安全应用;通过信息安全建设,强化对业务系统的管理能力,用安全技术来辅助安全管理。对机动车产品合格证打印系统的建设,主要需求如下:

         通过信息安全建设,消除和减小现有的安全风险,将安全风险减小到可接受的程度,并且保持这种程度。强化业务流程,通过对业务流程的强化,减少人工管理成本。

    1.3   WEB应用安全

    随着B/S模式应用开发的发展,企业资源逐渐向数据中心转移并集中,Web平台承载了越来越多的核心业务,Web的开放性给工作方式带来了高效、方便的同时也使业务重要信息完全暴露在危险中,如频繁发生的SQL注入、XSS跨网脚本攻击。

    1.4   计算机区域安全

    保险基金部署PC服务器以及大量的终端设备,这些计算设施尤其是服务器群作为应用系统的主要载体,其安全性至关重要。同时,服务器群非常容易成为黑客和蠕虫病毒攻击的主要目标,这也就意味着服务器群的安全风险等级较高;而终端设备往往部署较为分散,难于统一管理,操作人员的计算机水平也参差不齐,因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。

    2        方案设计原则

    在保险基金项目的方案设计中,我们遵循了以下的原则:

               整体安全和全网统一的原则

               标准化、一致性原则

               需求、风险、成本折衷原则

               实用、高效、可扩展原则

    总体部署:

    【整体网站安全防护安全方案】

    部署一台UTM统一安全威胁网关、一台IDS入侵检测系统、一台WEB防护网关。

    3        解决方案

    3.1   UTM解决方案

    越来越多的调查显示,目前的信息网络系统面临来自内部和外部的多重安全威胁。这些威胁包括病毒、机密泄漏、黑客攻击、滥用网络、垃圾邮件等。尽管防火墙、IDS等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在;ね绨踩显嚼丛侥。目前更多的出现了以下的安全问题:

               混合式攻击

    随着黑客攻击技术的不断变化,原本可以防御的安全威胁如:蠕虫病毒、木马间谍等逐渐混合在一起,经过黑客的特殊设计和精心安排,可以分别绕过现有的安全设备,从而实现单点突破。

                难以安全管理

    随着网络应用的普及,不少企业和机关单位都对网络安全非常重视,在网络上先后布置了防火墙、VPN、IDS、防病毒系统等等。随着混合攻击的出现,为了减少安全隐患,用户可能还需要进一步安置网络安全设备。由于每一个设备都需要管理和维护,不同的设备有着不同的配置界面、不同的参数。随之带来的问题是用户对网络安全的管理成本以及运营成本会越来越高昂。

                灰色软件和垃圾邮件横行

    随着电子邮件的普及,垃圾邮件问题也是网络安全中最棘手的问题之一。垃圾邮件会带来大量的垃圾信息,每个用户都需要花去相当的时间处理垃圾邮件。同时,垃圾邮件也会作为各种病毒、木马以及灰色软件的载体,增大用户网络安全的隐患;疑砑Grayware)则是最近常出现在IT行业的新词汇。它们通;嵬腹夥讶砑/共享软件、自动下载功能、或 cookie 潜入系统,而且往往都没有解除安装的选项。它们的影响轻则产生干扰 ,例如:跳出广告或重新导向造成 Internet 活动中断、光标与滚动条不受控制,以及令人陌生的工具条等;重则造成破坏 ,例如:跟踪计算机使用、侵犯隐私、窃取信息、开启危害系统安全的漏洞、更改 Internet Explorer 首页、搜寻引擎与安全设定等。

    对于这种问题,是否有较好的安全解决方案呢?特别是面对众多的网络设备—VPN网关、防火墙、防病毒网关、入侵检测设备、内网安全监控、访问控制产品、垃圾邮件过滤产品等,又当如何选择?

    解决这种问题的关键就是用一种设备替代所有的分布式方案,以便达到内外双修的效果。为此,IDC2004年提出将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备,命名为统一威胁管理UTM,防止快速增长的混合型攻击。

    网御星云Power V UTM防火墙—作为信息安全的新一代门户,也由此应运而生。网御星云Power V UTM防火墙是一种多功能网关,在防火墙和VPN的基础上集成了防病毒、入侵防御系统、防垃圾邮件、网页过滤等功能。

    3.1.1      方案设计

    保险基金用户网络面临着黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等多种安全威胁,每种威胁需要使用专门的安全产品,从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的;。如果在保险基金用户网络出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN等一系列安全产品,采购产品成本及将来的维护成本过高。我们推荐使用网御星云的新一代硬件综合安全网关设备网御星云Power V UTM 网关,在保险基金用户网络网关处形成综合安全防护体系,提供最高的性价比。

    需要指出的是,传统防火墙基于状态检测的包过滤技术,只能在网络层针对IP地址、端口等进行简单的过滤,这并非保险基金网络安全建设的终极目标,不能满足当前网络安全的要求,黑客一旦伪装成合法IP进行攻击,防火墙将不会阻挡。且当前传播速度最快、危害最严重的并非网络层的攻击,而是应用层的病毒、入侵、垃圾邮件、不良内容等,以及各种复杂的混合型攻击。而传统的网络层防火墙对这些应用层的攻击行为没有防范能力,对于网络的;ぷ饔檬羌邢薜。保险基金用户网络真正需要的是网络层和应用层全面的安全防御体系。网御星云Power V UTM 网关是一个集防火墙、防病毒、入侵检测/阻断、VPN(虚拟专用网)和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关,利用专用ASIC内容处理器进行加速和自主研发的高效强化安全的实时嵌入式操作系统,突破了芯片设计、网络通信、安全防御及内容分析等诸多难点,超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次,能够从网络层到应用层为保险基金用户网络提供全方位的安全;。

    产品部署网络拓扑图如下:


    产品部署说明:

    保险基金用户IDC托管机房

    保险基金用户出口流量一般,对设备的功能及性能要求不是很百兆设备可以完全满足,必须在能够满足当前流量的前提下保障保险基金用户的信息安全,同时对设备的可靠性提出了更高的要求。

    根据对保险基金用户的数据流量及功能需求的分析,我们建议在保险基金用户网络出口处部署1台网御星云Power V UTM 网关,单机串联路由方式部署。

    各功能?榕渲盟得鳎

    通过在网御星云Power V UTM 上配置防火墙、病毒防护、入侵检测/;、内容过滤、反垃圾邮件,VPN等安全设置,便可对进出保险基金用户网络的流量进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。保险基金用户可以根据实际情况酌情开启这些功能?。

               防火墙

    首先需要配置防火墙功能。对重要节点和网段进行边界;,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击;可以对网络流量进行精确的控制,可以对用户进行多种认证等。如:严格限制保险基金用户内网与Internet之间的互访。对于Internet对内网的访问,我们仅仅开放必须对外提供服务的IP和端口,其他的访问一律禁止。同样也可以很灵活的控制保险基金用户内网用户对Internet的访问权限,可以通过IP地址、协议、端口等参数进行控制,使得在内网中的部分用户可以访问外网,而其他用户不能通过防火墙访问Internet。

                防病毒

    病毒是当前网络安全的头号威胁,而据ICSA(国际计算机安全协会)的统计表明,超过90%的病毒是通过Internet传播的,因此Internet网关防病毒应该是保险基金用户安全建设的重中之重。传统的防火墙产品只能在网络层进行IP包过滤,无法过滤病毒;而如今市场上的防病毒网关多为软件产品(或者预装在工控机上,本质仍然是软件),防病毒性能较低,无法满足保险基金用户网络的高性能要求。而网御星云Power V UTM 是基于ASIC芯片技术的硬件病毒网关。利用ASIC硬件技术进行数据包内容病毒扫描,在性能上有了质的飞跃,可以提供近乎实时的病毒过滤性能。我们只需要针对保险基金用户网络的安全需求,对网御星云Power V UTM 的防病毒功能进行相应设置,便能够对进出保险基金用户网络的数据流进行实时病毒过滤,将病毒阻挡在Internet入口处。网御星云Power V UTM 的网关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系统漏洞肆意传播,大量消耗系统资源和网络带宽所造成的DoS/ DDoS(拒绝服务/分布式拒绝服务)攻击。如下图所示:

        入侵检测/防护

    网御星云Power V UTM 内置基于ASIC的入侵检测/防护功能。网络入侵检测/防护系统(IDS/IPS)是一种实时网络入侵检测传感器,它能对外界各种可疑的网络活动进行识别及采取行动。为通知系统管理员有攻击行为发生,IDS将此攻击及一切可疑流量记录到攻击日志中,并根据设置发送报警邮件。网御星云Power V UTM 可以检测并阻断多种类型攻击,例如DoS/ DDoS(拒绝服务/分布式拒绝服务)攻击(包括TCP SYN flood, UDP flood ICMP flood,Ping of Death,Tear drop等)。通过配置保险基金用户网络中网御星云Power V UTM IDS/IPS?,可以防止各类网络攻击和入侵行为的发生。直接对网络入侵行为进行阻断,不给黑客以任何可乘之机。网御星云Power V UTM 可以进行手动、自动的更新攻击特征库,扩充攻击特征数量,防范最新攻击。

        内容过滤

    来自于Internet的不良内容(如非法、反动、色情网站和有害脚本等)也是对保险基金用户内网的重大威胁。网御星云Power V UTM 可以扫描进出网络的所有基于HTTP内容协议传输的URL、URL模式以及网页内容。如果扫描过程中检测到与URL屏蔽列表中所列出的URL相匹配的条目,或是网页的内容中包含有文字或词条出现在所要屏蔽的内容列表中,那么网御星云Power V UTM 将屏蔽该网页。

    网御星云Power V UTM 还具有很强的有害脚本的过滤功能,能;けO栈鹩没绮皇芾始、带毒邮件和有害脚本(如Java、ActiveX等)的侵袭。

        反垃圾邮件

    面对日益猖獗的垃圾邮件的困扰,网御星云Power V UTM 能利用IP地址、邮件地址、实时黑名单/匿名中继代理列表(RBL/ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和内容层为保险基金过滤大量的垃圾邮件,以净化带宽,减轻邮件服务器负担,提高保险基金的工作效率,并防止病毒和不良信息通过垃圾邮件进入保险基金内网。

         VPN

     金钻芯UTM VPN?榘PPTP,L2TP,SSL_VPNIPSec三种VPN协议,提供了非常方便灵活的选择。

    开启保险基金的金钻芯 UTM VPN功能,通过IKE建立IPSec通道,使用高强度的3DES/AES加密算法及SHA-1/MD5认证算法进行对远程访问数据的加密和认证,防止Internet上的数据窃取和篡改,IKE动态随机生成加密密钥可以有效防止黑客的窃取行为。

    对于移动用户,可以采用多种方法?梢允褂Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件, 也可以使用IPSec客户端软件建立企业VPN的连接。需要注意的是,IPSec 客户端软件可以得到更好的安全性保证,可以采用动态的密钥保证数据的安全。建议采用设备本身自带的SSL_VPN功能,对远程管理员发布静态页面提供远程数据加密和身份认证功能。

    版权所有:北京金钻芯科技有限公司 2007-2027 保留一切权利 京ICP备19056231号-1    网站制作海大科技
    购彩助手 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>