安全加固
仍以上图为例,在划分完安全域之后,我们对不同安全域内的关键设备进行了安全加固,依据是:各安全域内部的设备由于不同的互联需求,面临的威胁也不同,因此其安全需求也存在很大差异。
1、生产服务器:一般都是UNIX平台,资产价值最高,不直接连接外部网络,主要的安全需求是访问控制、账号口令、权限管理和补丁管理;
2、维护终端:一般都是WINDOWS平台,维护管理人员可以直接操作,其用户接入的方式也不尽相同(本地维护终端、远程维护终端),面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁,其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;
3、第三方:对业务系统的软、硬件进行远程维护或现场维护,其操作很难控制,面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁,安全需求主要是接入控制,包括IP/MAC地址绑定、帐号口令、访问控制,以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;
4、合作伙伴:涉及到与其他系统的连接,面临着病毒、漏洞、入侵等威胁,安全需求是病毒防护、入侵检测、漏洞补丁等。
5、互联网:面临着黑客入侵、病毒扩散等威胁,主要的安全需求是入侵检测、病毒防护、数据过滤等。
安全域与安全策略的结合
在划分安全域、进行安全加固的基础上,还需要对网络边界和重点区域采取特定的安全措施。
边界安全
对于任何安全域的保护,边界安全是最低的保护措施,通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中,我们采用了以下技术:边界隔离、认证、监视、审计。具体的产品实现包括:MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。
区域安全
区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段,实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的监控为主,对于本安全域内部的安全事件及时响应和清除,是安全域的核心安全处置手段。具体采用的技术和产品包括:入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。
实现效益
通过划分安全域实现等级保护,启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题,从而在全网范围内实现大规模的等级保护。
启明星辰公司提出的解决方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题,更是从网络建设的整体规划出发,全盘考虑,帮助电信运营商从根本上解决安全问题。
在通讯产业与信息产业迅猛结合的今天,采用启明星辰公司安全域解决方案无疑将大大简化电信运营商复杂的安全问题及安全管理工作,化无序为有序,提高安全工作效率。
从SOX内控审计的角度,安全域解决方案势必将发挥其潜在的巨大优势,帮助电信运营商在SOX内控审计的过程中化繁为简,快速达到安全指标要求,与国际接轨,为企业带来更大的市场和经济效益。
(e129)
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073