關于網絡安全綜合解決方案的研究

韓江雪 高 軒 張 猛

感知城市(天津)物聯網科技股份有限公司

關于網絡安全綜合解決方案的研究

韓江雪 高 軒 張 猛

感知城市(天津)物聯網科技股份有限公司

本方案從整體解決了企業網絡中存在的安全隱患和潛在威脅，方案涉及了六個安全防護內容：邊界安全及防護，桌面虛擬化，無線覆蓋，系統病毒防御、數據安全這六個方面。并從這六個方面著手進行威脅分析和管理，并根據威脅進行針對性防護，全面解決病毒，服務器虛擬化，桌面虛擬化、無線安全、網絡入侵的潛在威脅，數據安全，使網絡具有高安全性，保證信息化辦公可以穩定運行，從而提高工作效率。

安全;綜合解決;方案

1.企業網絡建設需求

針對企業現有狀況，企業網絡建設將圍繞以下需求展開：

數據防泄密需求：隨著信息化的高速發展，數據的重要性在不斷提升。而公司的核心數據作為公司的固有資產，是不允許員工私自外傳以及拷貝的。一旦公司核心機密數據外泄，被競爭對手拿到，將給公司帶來不可估量的損失和后果。

全面的安全防護需求：當前企業缺乏合理的安全管理及防護，因此缺乏合理的安全域劃分，從而無法針對各個不同的安全域做不同的建設。沒有針對核心業務數據區做應用層的安全防護，核心業務服務器的安全風險較高。

網絡版防病毒防護需求：企業內網計算機終端數目多、分布距離遠，日常終端運維管理的工作壓力十分巨大，主要表現在：

傳統防病毒軟件誤殺帶來的問題：傳統防病毒軟件為了提高病毒查殺率，奉行從嚴的查殺策略，導致單位內部應用程序或重要文檔文件被誤殺，因而產生了大量不必要的維護工作。

現場維護工作量：計算機終端用戶報告使用故障時，需要IT維護人員親自趕赴現場處理，但通常大部分上報的故障都是入門級的，完全可以通過遠程協助解決。

為了有效減輕終端運維工作量，本次引入的終端安全管理軟件還應支持統一安全運維，提供包括：補丁管理、資產管理、遠程運維等功能，方便IT維護人員快速完成工作。

服務器虛擬化需求：IT架構做為承載業務系統的基礎設施，快速部署、減少投入和靈活擴展顯得越來越重要。原有物理架構的數據中心，物理服務器利用率較低，造成資源浪費，且單機運行重要數據又存在單點故障，高可用性功能較差。一些重要數據做多機方案以保證業務的連續性，會造成要包含機房的建設等規劃，花費較多，且不靈活，不能滿足業務的快速擴展、快速上線等需求。而現階段，云計算迅猛發展，現在云方案安全可靠，技術成熟，可以提供可用的、便捷的、按需的資源提供，成為當前IT架構建設的主流形態。

桌面云需求：長期以來，IT桌面管理是信息化建設的痛點，如新桌面上線、軟件的安裝與管理、安全補丁的復雜部署、系統升級的版本沖突等問題，耗費了IT管理員太多的精力，特別是龐大的客戶端數量和種類讓桌面管理的復雜程度呈指數增長。并且，隨著用戶數據量增加，如何有效管理存儲在不同終端設備上的關鍵業務數據，避免用戶數據丟失和泄密，也成為IT部門在桌面管理中的重要任務。在此背景下，越來越多的企業正在尋求通過引入桌面云方案進行IT技術變革，來提升數據安全、終端用戶體驗、簡化管理、節能減排等方面的巨大價值。同時，通過創新的桌面管理模式與現有的管理技術和手段進行良好的融合，幫助企業及時滿足IT發展需求，有效充分地利用現有資源。

企業級無線需求：企業隨著業務規模的不斷擴大，對企業提高運營效率的要求也不斷提升，隨著WIFI技術的不斷發展，使其能更加穩定高效的承載企業應用。很多企業在有線網絡的基礎上擴展無線網絡來進行日常業務的開展，甚至很大一部分企業在新建辦公場所時，考慮建設的成本和傳統網絡的繁瑣，也希望可以通過WIFI接入技術實現他們的目的。

2.企業網絡安全解決方案總體規劃

2.1 企業總體網絡建設內容

企業本期網絡建設內容，主要包括以下4個方面：

1.整體安全防護：

互聯網出口和數據中心應用服務器前各部署一臺防火墻設備。

通過防火墻設備的惡意網站過濾功能，防止終端訪問威脅網站和應用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段；

通過防火墻設備精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯流量，阻斷各種無關非法外聯流量，防止終端被作為跳板入侵服務器。

2.服務器虛擬化：

超融合架構融合了：計算、網絡、存儲和安全四大模塊，利用軟件定義數據中心技術將所有集群內服務器的應將資源，包括CPU、內存、硬盤等全部資源進行重新定義整合后，以虛擬化的軟件形式供外界使用，以實現真正云化方案。所有的模塊資源均可以按需部署，靈活調度，動態擴展。

通過超融合一體機或者利用方案能夠在最短的時間內，將業務系統安全、穩定、高效的遷移到超融合平臺中，并且為后期邁向私有云平臺奠定基礎，可兼容云管平臺，從而能夠實現多租戶的管理及計費審計等功能。

3.虛擬桌面云：

通過部署桌面云，降低后期運維成本，簡化運維工作量。虛擬機模板技術讓桌面上線時間縮短為10分鐘左右，而技術人員也只需在“云端”進行軟件維護，無需對每一臺終端進行維護，單個IT管理員可輕松管理1000臺終端或虛擬桌面以上，大大降低了維護的工作量和人力成本。

在辦公區部署低功耗的瘦客戶端，實現綠色辦公，降低功耗，節省開銷。云終端硬件高度集成，零部件極少，損壞更換的概率極低，幾乎沒有維修費用，無人為損壞可使用8-10年，比傳統電腦長一倍，使用周期的延長，大大降低設備更新的周期和成本。瘦終端日常耗電量僅需10W，可以幫助客戶節省大量的電力成本。

桌面云將所有的數據集中存儲在數據中心，像筆記本、瘦終端這樣的前端設備只接收圖像，整個業務過程里數據是不落地的，是非常安全的，不僅可以隨時隨地通過各類終端訪問桌面，而且集中化的部署方式也更有利于IT部門利用技術手段來保證信息資產安全。

4.無線辦公網絡：

搭建無縫接入的快速無線網絡，支撐公司郵件、財務、辦公軟件的高效使用。

通過企業無線建設，滿足企業BYOD建設需求，實現企業內部任何時間、任何地點都能實現BYOD，保證無線信號的無縫覆蓋、快速漫游，而且信號質量高。

對于多種接入終端，多個接入地點保證良好的一體化兼容、控制、管理。

對于員工的無線上網行為進行合理的管控，禁止員工通過移動終端進行炒股，刷微博等影響工作的行為。對核心的業務系統的流量帶寬進行有效的保障。

對各部門無線網絡權限進行精細化控制，各個部門、職位擁有責任內的不同權限。如何保障公司機密不外泄，不越權。