第一篇:企業(yè)集團(tuán)內(nèi)網(wǎng)門(mén)戶(hù)解決方案
企業(yè)集團(tuán)內(nèi)網(wǎng)門(mén)戶(hù)系統(tǒng)主要為內(nèi)部員工提供統(tǒng)一信息訪問(wèn)入口,它需要集成企業(yè)后端所有業(yè)務(wù)系統(tǒng),如現(xiàn)有的信息系統(tǒng)、網(wǎng)站、應(yīng)用管理系統(tǒng)等,更重要的是需要建立一個(gè)框架,將這種對(duì)現(xiàn)有系統(tǒng)的集成和新系統(tǒng)的建設(shè)有機(jī)的整合起來(lái),并以一種統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)來(lái)規(guī)劃這種集成和建設(shè),最終通過(guò)集成實(shí)現(xiàn)單點(diǎn)登錄和集中操作界面。
在構(gòu)建企業(yè)內(nèi)網(wǎng)門(mén)戶(hù)時(shí),至少需要滿(mǎn)足以下幾點(diǎn)要求: 企業(yè)門(mén)內(nèi)網(wǎng)戶(hù)不應(yīng)僅僅是一個(gè)普通的Web站點(diǎn),應(yīng)與企業(yè)內(nèi)具體的業(yè)務(wù)相關(guān)。2 整個(gè)企業(yè)需要有企業(yè)的內(nèi)網(wǎng)門(mén)戶(hù),同時(shí)每個(gè)部門(mén)也都應(yīng)有自己的部門(mén)門(mén)戶(hù),協(xié)助部門(mén)內(nèi)部相關(guān)的事宜,如文檔管理和信息交流。應(yīng)增加用戶(hù)管理系統(tǒng),提供用戶(hù)的驗(yàn)證和授權(quán),保證較高的安全性。4 根據(jù)工作性質(zhì)的不同,應(yīng)為每位員工提供個(gè)性化的服務(wù)。5 企業(yè)內(nèi)部的全部門(mén)戶(hù)應(yīng)能夠統(tǒng)一管理、共享和實(shí)施。可以根據(jù)企業(yè)管理特點(diǎn),根據(jù)不同信息來(lái)源構(gòu)建基于業(yè)務(wù)種類(lèi)的垂直門(mén)戶(hù)(Vertical Portals),和根據(jù)部門(mén)和機(jī)構(gòu)設(shè)置與特殊職責(zé)相關(guān)信息的水平門(mén)戶(hù)(Horizontal Portals)。
一、系統(tǒng)應(yīng)用集成
目前,大多數(shù)企業(yè)都已經(jīng)建立起自己的業(yè)務(wù)系統(tǒng),并在日常業(yè)務(wù)處理中發(fā)揮著重要的作用,促進(jìn)了企業(yè)辦公效率的提高。但是建設(shè)初期由于受各種條件的限制,缺少整體性的統(tǒng)一規(guī)劃,各部門(mén)獨(dú)立建設(shè)自己的系統(tǒng),導(dǎo)致信息孤島現(xiàn)象大量存在,嚴(yán)重制約了企業(yè)業(yè)務(wù)的進(jìn)一步發(fā)展。企業(yè)內(nèi)網(wǎng)建設(shè)的一個(gè)重要目標(biāo)就是要實(shí)現(xiàn)各個(gè)部門(mén)之間的網(wǎng)絡(luò)互聯(lián)、信息互通,業(yè)務(wù)互動(dòng),惟其如此才能保證業(yè)務(wù)處理的高效開(kāi)展。
要實(shí)現(xiàn)各部門(mén)的業(yè)務(wù)互動(dòng),就必須對(duì)各部門(mén)的應(yīng)用系統(tǒng)進(jìn)行集成,這些系統(tǒng)是各部門(mén)在不同時(shí)期采用不同技術(shù)建造的,數(shù)目眾多、類(lèi)型各異,企業(yè)業(yè)務(wù)建設(shè)中一個(gè)非常大的挑戰(zhàn)就來(lái)自于如何將這些系統(tǒng)間的業(yè)務(wù)處理進(jìn)行整合,使其成為一個(gè)可以跨部門(mén)互動(dòng)的一體化業(yè)務(wù)流程,并在此基礎(chǔ)上重新審視現(xiàn)行的業(yè)務(wù)處理過(guò)程,對(duì)其進(jìn)行優(yōu)化,實(shí)現(xiàn)流程再造的高階段目標(biāo)。
企業(yè)業(yè)務(wù)對(duì)應(yīng)用集成的需求包括:
·提供一個(gè)開(kāi)放的集成框架,摒棄傳統(tǒng)的應(yīng)用系統(tǒng)間點(diǎn)點(diǎn)集成方式,所有被集成的系統(tǒng)能夠通過(guò)統(tǒng)一的技術(shù)框架進(jìn)行快速集成。·各業(yè)務(wù)系統(tǒng)間以松耦合方式集成,某一個(gè)被集成的業(yè)務(wù)系統(tǒng)的局部修改,不會(huì)引起被集成的其他系統(tǒng)的附帶變更,保證系統(tǒng)的靈活性。
·通過(guò)流程集成,保證跨多個(gè)部門(mén)的業(yè)務(wù)處理流程能夠根據(jù)需要靈活進(jìn)行調(diào)整,以適應(yīng)企業(yè)部門(mén)重組、職能轉(zhuǎn)變過(guò)程中不斷出現(xiàn)的業(yè)務(wù)變化。
·以對(duì)遺留系統(tǒng)不進(jìn)行過(guò)多改動(dòng)為前提實(shí)現(xiàn)集成,保護(hù)原有投資。
二、內(nèi)容管理子系統(tǒng)
文檔管理的基礎(chǔ)主要是建立文檔庫(kù),包括修改文檔屬性和版本歷史,內(nèi)容的簽入和簽出,以及發(fā)布等。
1、文檔庫(kù)管理
文檔庫(kù)管理系統(tǒng)應(yīng)具備以下主要功能: ·文檔管理與發(fā)布。
文檔版本管理、發(fā)布、刪除和文檔的協(xié)同修改與更新。
·多種信息源的管理、維護(hù)與分類(lèi)。
信息和文檔的來(lái)源非常多,需要進(jìn)行集中的管理和集成。
·集中的信息存儲(chǔ)與備份機(jī)制。
企業(yè)重要的文檔數(shù)據(jù)需要有一個(gè)好的存儲(chǔ)與備份機(jī)制。
·信息按照部門(mén)或級(jí)別進(jìn)行訪問(wèn)權(quán)限設(shè)置。
信息訪問(wèn)權(quán)限控制可以將信息按不同的保密程度進(jìn)行保護(hù)
·信息發(fā)布與審批流程。
最終用戶(hù)可以將信息發(fā)布到企業(yè)文檔管理平臺(tái)使大家可以共享信息,另外為了控制信息發(fā)布的隨意性還需要一個(gè)審批流程。
·實(shí)現(xiàn)跨部門(mén)的信息共享。
文檔管理平臺(tái)是一個(gè)企業(yè)級(jí)的信息共享平臺(tái),它能夠很好的支持跨部門(mén)的信息共享。
·信息的安全性。
文檔安全、用戶(hù)身份認(rèn)證、文檔病毒檢測(cè)。
體系結(jié)構(gòu) 文檔庫(kù)管理首先解決目前文檔散亂,難以獲取,通過(guò)企業(yè)信息門(mén)戶(hù)進(jìn)行訪問(wèn)和管理。文檔庫(kù)管理的體系結(jié)構(gòu)如下圖所示。
2、內(nèi)容索引搜索
如果要讓用戶(hù)快速查閱或全文檢索,建立索引是必需的,同時(shí),向用戶(hù)提供智能的搜索工具,方便得到所要的信息和知識(shí)。
關(guān)于內(nèi)容索引,其功能需求可以歸納為以下幾個(gè)方面: ·快速、簡(jiǎn)單的信息查詢(xún)與檢索。
·多種方式的查詢(xún)與檢索,信息快速準(zhǔn)確的定位。·使信息使用者可以快速查找到所需信息。
·充分利用現(xiàn)有的搜索引擎,集成其它搜索引擎,利于用戶(hù)使用。·分類(lèi)工具使信息瀏覽、搜索更快速有效。·導(dǎo)航工具可以全范圍地查找各種技術(shù)信息。
3、知識(shí)庫(kù)
為了共享以前的經(jīng)驗(yàn)和知識(shí),必須建設(shè)知識(shí)庫(kù)。因?yàn)橹R(shí)是日積月累形成的,那么,提供者如何將知識(shí)方便地放入知識(shí)庫(kù)。知識(shí)種類(lèi)很多且容量很大,那么,使用者如何從知識(shí)庫(kù)中快速獲取所需知識(shí)。知識(shí)庫(kù)是知識(shí)管理的核心,它應(yīng)具備以下主要功能:
1知識(shí)的發(fā)布。系統(tǒng)需要提供一種簡(jiǎn)單、方便的方法將篩選和確認(rèn)后的知識(shí)或信息歸類(lèi)至知識(shí)庫(kù)中。
2多種知識(shí)源的管理、維護(hù)與分類(lèi)。知識(shí)的來(lái)源非常多,需要進(jìn)行集中的管理和集成。3集中的知識(shí)存儲(chǔ)與備份機(jī)制。在知識(shí)經(jīng)濟(jì)時(shí)代,知識(shí)就是企業(yè)的資產(chǎn),具有極高的價(jià)值,因此需要有一個(gè)好的存儲(chǔ)與備份機(jī)制。
4知識(shí)庫(kù)按照部門(mén)或級(jí)別或類(lèi)別進(jìn)行訪問(wèn)權(quán)限設(shè)置。知識(shí)庫(kù)訪問(wèn)權(quán)限控制可以將知識(shí)按不同的保密程度進(jìn)行保護(hù)
5知識(shí)發(fā)布與篩選流程。最終用戶(hù)可以將知識(shí)發(fā)布到企業(yè)文檔管理平臺(tái)使大家可以共享知識(shí),但在企業(yè)內(nèi)部,并不是所有的信息都能被上載到網(wǎng)上去,需要對(duì)它們進(jìn)行評(píng)估,有價(jià)值的信息才能上載。為了控制知識(shí)發(fā)布的隨意性需要一個(gè)審批和篩選的流程。
6知識(shí)的查詢(xún)與檢索。用戶(hù)可以方便地從知識(shí)庫(kù)中找到所需的信息。
7實(shí)現(xiàn)跨部門(mén)的知識(shí)共享。知識(shí)庫(kù)應(yīng)是一個(gè)企業(yè)級(jí)的知識(shí)共享平臺(tái),它能夠很好的支持跨部門(mén)的知識(shí)共享。
8知識(shí)的安全性。文檔安全、用戶(hù)身份認(rèn)證、文檔病毒檢測(cè)。
9統(tǒng)一的用戶(hù)身份認(rèn)證機(jī)制。用戶(hù)身份認(rèn)證應(yīng)該與企業(yè)已有的認(rèn)證方式相集成。
4、在線(xiàn)培訓(xùn)
在線(xiàn)培訓(xùn)平臺(tái)不僅要為學(xué)員提供靈活的學(xué)習(xí)環(huán)境,還要為課程規(guī)劃人員、指導(dǎo)教師和管理人員提供各種支持。其功能包括:課程的創(chuàng)建、發(fā)布,教學(xué)管理,學(xué)員跟蹤,協(xié)作教學(xué)等。
在線(xiàn)教育支持三種教學(xué)模式:同步教學(xué)(虛擬教室)、異步教學(xué)和自學(xué)。
-同步教學(xué):提供實(shí)時(shí)、實(shí)況的課程教學(xué),指導(dǎo)教師和學(xué)員要同時(shí)訪問(wèn)課程內(nèi)容。來(lái)自企業(yè)各個(gè)地方的人在一個(gè)特定的時(shí)間通過(guò)電腦上網(wǎng)進(jìn)入“虛擬教室”來(lái)學(xué)習(xí)。
-異步教學(xué):在線(xiàn)與他人協(xié)作學(xué)習(xí),也可以自己安排學(xué)習(xí)進(jìn)度,通過(guò)在線(xiàn)的討論與教師和其他學(xué)員間進(jìn)行協(xié)作,能夠克服時(shí)間和空間的限制,建立起電子社區(qū)提高學(xué)習(xí)效果。-自學(xué):讓學(xué)員自己安排學(xué)習(xí)日程和進(jìn)度,以個(gè)人的方式通過(guò)交互多媒體課程資料進(jìn)行學(xué)習(xí),不需要與他人或教師協(xié)作。
5、信息發(fā)布
信息發(fā)布是將網(wǎng)頁(yè)上的某些需要經(jīng)常變動(dòng)的信息,例如新產(chǎn)品發(fā)布、新聞、業(yè)界動(dòng)態(tài)等需要更新的信息集中管理,依據(jù)信息的某些共性進(jìn)行分類(lèi),最后系統(tǒng)化、標(biāo)準(zhǔn)化發(fā)布到網(wǎng)站上。網(wǎng)站管理人員通過(guò)簡(jiǎn)單的操作,把信息按照已有的網(wǎng)頁(yè)模板格式與審核流程發(fā)布到網(wǎng)站上。信息發(fā)布系統(tǒng)的出現(xiàn)將網(wǎng)站的更新維護(hù)工作簡(jiǎn)化到只需錄入文字、表格和上傳圖片,甚至通過(guò)一些特殊的工具,例如爬蟲(chóng)機(jī)器人,將數(shù)據(jù)庫(kù)、文件夾中甚至其他網(wǎng)頁(yè)的內(nèi)容直接錄入系統(tǒng),網(wǎng)站管理人員只需簡(jiǎn)單排版就可以發(fā)布這些信息,大大減輕了網(wǎng)站更新維護(hù)的工作量,從而使網(wǎng)站的更新速度大大縮短。
三、協(xié)同工作
1、實(shí)時(shí)協(xié)同
實(shí)時(shí)協(xié)同指用戶(hù)間進(jìn)行的沒(méi)有時(shí)延的溝通活動(dòng),如文本即時(shí)消息交流、視頻/音頻交流、共享白板/應(yīng)用程序等。
實(shí)時(shí)協(xié)同交互性強(qiáng),信息及時(shí),通過(guò)在門(mén)戶(hù)中整合實(shí)時(shí)協(xié)同功能,能夠極大的提高用戶(hù)的工作效率。用戶(hù)在門(mén)戶(hù)中可以隨時(shí)查看到相關(guān)人員(如文檔的編寫(xiě)者,項(xiàng)目的負(fù)責(zé)人)的在線(xiàn)狀態(tài),進(jìn)而與之進(jìn)行即時(shí)溝通。
2、異步協(xié)作(1)電子郵件
這是現(xiàn)代社會(huì)最基本、最經(jīng)濟(jì)、最方便的通信手段,從某種意義上講,一個(gè)企業(yè)電子郵件的應(yīng)用水平與信息技術(shù)支持企業(yè)的業(yè)務(wù)戰(zhàn)略密切相關(guān)。技術(shù)交流區(qū)。
(2)專(zhuān)家定位
在企業(yè)內(nèi)部擁有大量的各專(zhuān)業(yè)的專(zhuān)家,如何找到所需要的專(zhuān)家,在協(xié)同工作中非常重要的。專(zhuān)家定位主要包括專(zhuān)家目錄和技能注冊(cè)。
(3)遠(yuǎn)程工作組
項(xiàng)目組內(nèi)部和外部如何協(xié)作,也是一個(gè)應(yīng)該考慮的問(wèn)題。共享文件和電子郵件等傳統(tǒng)的項(xiàng)目組合作方法外,下面將提出一種更完善的方案,即遠(yuǎn)程工作組。實(shí)際項(xiàng)目組和虛擬項(xiàng)目組同時(shí)存在,項(xiàng)目經(jīng)理和項(xiàng)目組長(zhǎng)制定項(xiàng)目主計(jì)劃,其他項(xiàng)目成員完成項(xiàng)目任務(wù)的定義、工作量的評(píng)估、狀態(tài)跟蹤和報(bào)告。
(4)在線(xiàn)辦公資源
對(duì)于各種各樣的、用于個(gè)人日常工作的公共設(shè)施和資源,如從共享辦公桌到會(huì)議室,以及測(cè)試設(shè)備、實(shí)驗(yàn)室和其它工具,為了更好地供公司員工使用,需要建立在線(xiàn)辦公資源,并集成到門(mén)戶(hù)中。
在線(xiàn)辦公資源的主要目標(biāo)是,以Web的形式將公共資源發(fā)布到網(wǎng)上,供大家查閱和使用。
(5)在線(xiàn)項(xiàng)目管理
對(duì)于一個(gè)企業(yè)來(lái)說(shuō),經(jīng)常會(huì)同時(shí)啟動(dòng)很多項(xiàng)目,需要多個(gè)部門(mén)的合作,在線(xiàn)項(xiàng)目管理可以提供一種高效的手段,項(xiàng)目組的成員可能位于不同的地方,而可以實(shí)時(shí)對(duì)項(xiàng)目進(jìn)行跟蹤管理,提高項(xiàng)目管理的質(zhì)量和效率。
四、單點(diǎn)登錄
在網(wǎng)站建設(shè)的過(guò)程中,多個(gè)應(yīng)用系統(tǒng)一般是在不同的時(shí)期開(kāi)發(fā)完成的。各應(yīng)用系統(tǒng)由于功能側(cè)重、設(shè)計(jì)方法和開(kāi)發(fā)技術(shù)有所不同,也就形成了各自獨(dú)立的用戶(hù)庫(kù)和用戶(hù)認(rèn)證體系。隨著網(wǎng)站的發(fā)展,會(huì)出現(xiàn)這樣的用戶(hù)群體:以其中的一個(gè)用戶(hù)為例,他(她)使用網(wǎng)站的多個(gè)應(yīng)用系統(tǒng),但在每個(gè)應(yīng)用系統(tǒng)中有獨(dú)立的賬號(hào),沒(méi)有一個(gè)整體上的網(wǎng)站用戶(hù)賬號(hào)的概念,進(jìn)入每一個(gè)應(yīng)用系統(tǒng)前都需要以該應(yīng)用系統(tǒng)的賬號(hào)來(lái)登錄。這帶給用戶(hù)不方便的使用感受,用戶(hù)會(huì)想:既然我使用的是同一個(gè)網(wǎng)站上的應(yīng)用,為什么不能在一次在網(wǎng)站上登錄之后不必再經(jīng)過(guò)應(yīng)用系統(tǒng)認(rèn)證直接進(jìn)入應(yīng)用系統(tǒng)呢?用戶(hù)的要求我們稱(chēng)之為 ?單點(diǎn)登錄?。
在多個(gè)擁有各自獨(dú)立的用戶(hù)體系的應(yīng)用系統(tǒng)間實(shí)現(xiàn)單點(diǎn)登錄,我們要考慮以下的問(wèn)題: ·單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)在各應(yīng)用系統(tǒng)都采用B/S模式這一前提下進(jìn)行。
·由于每個(gè)應(yīng)用系統(tǒng)都有自己的用戶(hù)庫(kù),一個(gè)用戶(hù)可能在不同的應(yīng)用系統(tǒng)中使用不同的賬號(hào),因此每個(gè)要使用多個(gè)應(yīng)用系統(tǒng)的用戶(hù)要設(shè)置一個(gè)統(tǒng)一的用戶(hù)賬號(hào)并以此賬號(hào)進(jìn)行單點(diǎn)登錄。
·各應(yīng)用系統(tǒng)可能屬于不同的域,因此要實(shí)現(xiàn)跨域的單點(diǎn)登錄。
·已經(jīng)上線(xiàn)運(yùn)行的應(yīng)用系統(tǒng)需要進(jìn)行改造來(lái)支持單點(diǎn)登錄,正在開(kāi)發(fā)的應(yīng)用系統(tǒng)則可以在開(kāi)發(fā)階段增加對(duì)單點(diǎn)登錄的支持,但應(yīng)用系統(tǒng)之間應(yīng)該是松耦合。·由于各應(yīng)用系統(tǒng)往往都已經(jīng)處于穩(wěn)定運(yùn)行期,單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)應(yīng)該對(duì)各應(yīng)用系統(tǒng)的登錄認(rèn)證體系沖擊最小,各應(yīng)用系統(tǒng)原有的登錄流程依然可用。
五、個(gè)性化設(shè)置
企業(yè)員工每天接觸的各類(lèi)信息非常多,有來(lái)自企業(yè)內(nèi)部的信息也有來(lái)自外部的信息。而企業(yè)員工關(guān)心的信息又不盡相同,企業(yè)領(lǐng)導(dǎo)會(huì)關(guān)心企業(yè)的總體運(yùn)作情況、業(yè)界的最新動(dòng)態(tài)等,工程技術(shù)人員可能更關(guān)心工程項(xiàng)目的進(jìn)展?fàn)顩r和最新技術(shù)發(fā)展趨勢(shì)。所以如何將合適的信息傳遞給合適的人是信息共享系統(tǒng)建設(shè)的目標(biāo)之一。
1.針對(duì)部門(mén)的個(gè)性化定制
部門(mén)是企業(yè)日常運(yùn)作的基本單元,在同一部門(mén)工作的人員工作內(nèi)容和工作目標(biāo)大體一致,所需要的信息類(lèi)型也有很多共性。針對(duì)部門(mén)提供信息定制化服務(wù)可以提高信息的利用率,提高部門(mén)工作人員的工作效率并將系統(tǒng)維護(hù)工作降至最低。部門(mén)信息個(gè)性化定制可以由企業(yè)信息管理部門(mén)統(tǒng)一定制或由部門(mén)中指定的專(zhuān)人負(fù)責(zé)。
2.針對(duì)個(gè)人的個(gè)性化定制
針對(duì)部門(mén)的個(gè)性化定制可以滿(mǎn)足大多數(shù)員工的需求,但同一部門(mén)的不同員工對(duì)信息的需求也不盡相同,所以,應(yīng)該提供一種途徑或相關(guān)個(gè)性化工具使每個(gè)信息工作者都可以定制自己的信息桌面,最大限度的提高工作效率。個(gè)人信息個(gè)性化定制由員工使用信息系統(tǒng)提供的工具自行完成。
3.信息內(nèi)容的安全性和訪問(wèn)權(quán)限管理
企業(yè)的各類(lèi)信息具有不同的安全權(quán)限級(jí)別,即使同一部門(mén)的不同人員也有可能對(duì)信息具有不同的訪問(wèn)權(quán)限。如:銷(xiāo)售部門(mén)的銷(xiāo)售人員可以查看自己的銷(xiāo)售狀況和客戶(hù)情況,而部門(mén)經(jīng)理可以查看全部門(mén)的情況。個(gè)性化服務(wù)需要能夠識(shí)別信息工作者的信息訪問(wèn)權(quán)限,將有權(quán)限訪問(wèn)的信息展示給最終用戶(hù)。
4.方案描述
個(gè)性化信息服務(wù)由個(gè)性化數(shù)據(jù)存儲(chǔ)、個(gè)性化信息展現(xiàn)、與用戶(hù)管理的接口、與信息安全管理的接口和個(gè)性化數(shù)據(jù)管理幾個(gè)部分組成。
(1)個(gè)性化數(shù)據(jù)存儲(chǔ)
各個(gè)部門(mén)和不同的員工對(duì)信息的個(gè)性化要求各不相同,因此個(gè)性化服務(wù)需要將不同部門(mén)和不同員工的個(gè)性化定制數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)。(2)個(gè)性化信息展現(xiàn)
用戶(hù)進(jìn)行個(gè)性化信息定制之后,就希望信息能夠按照所定制的方式展現(xiàn)。在企業(yè)信息門(mén)戶(hù)客戶(hù)端與個(gè)性化服務(wù)相集成,將用戶(hù)定制好的方式展示到用戶(hù)桌面。
(3)與用戶(hù)管理的接口
個(gè)性化信息和用戶(hù)信息關(guān)系非常緊密,個(gè)性化服務(wù)需要利用用戶(hù)管理的開(kāi)放接口讀取用戶(hù)信息,將用戶(hù)和個(gè)性化信息連接在一起。
(4)與信息安全管理的接口
個(gè)性化服務(wù)需要判斷用戶(hù)訪問(wèn)信息的權(quán)限,然后將用戶(hù)能夠訪問(wèn)的信息展示到用戶(hù)的桌面。
(5)個(gè)性化數(shù)據(jù)管理
用戶(hù)需要改變個(gè)性化信息定制,因此需要提供個(gè)性化數(shù)據(jù)管理的使用界面,使用戶(hù)可以通過(guò)圖形化的方式定制信息。個(gè)性化數(shù)據(jù)管理需要為最終用戶(hù)和部門(mén)系統(tǒng)管理員提供服務(wù)。
在企業(yè)信息門(mén)戶(hù)中,如果采用Web Part,個(gè)性化的實(shí)現(xiàn)就變得更加容易。所有Web Part具有相同的特性,如顯示方式、位置安排方式,通過(guò)為Web Part指定內(nèi)容個(gè)性化定制頁(yè)面,可以使用戶(hù)對(duì)Web Part進(jìn)行內(nèi)容的定制。這些Web Part作為一個(gè)個(gè)獨(dú)立的單元,可以將服務(wù)和信息模塊化,用戶(hù)可以根據(jù)自己的需要決定需用那些Web Part,也就決定了自己需要哪些服務(wù)。
5.體系結(jié)構(gòu)
企業(yè)信息門(mén)戶(hù)中個(gè)性化的體系結(jié)構(gòu)圖如下所示:
個(gè)性化服務(wù)從安全管理、用戶(hù)信息和個(gè)性化數(shù)據(jù)之中讀取數(shù)據(jù),然后,將定制好的信息與企業(yè)信息門(mén)戶(hù)集成顯示給最終用戶(hù)。管理員和用戶(hù)可以調(diào)用管理員和用戶(hù)定制模塊更新個(gè)性化數(shù)據(jù)。
六、海市內(nèi)網(wǎng)管理系統(tǒng)架構(gòu)
海市內(nèi)網(wǎng)管理系統(tǒng)解決方案是集成了數(shù)據(jù)資源整合、文檔管理、內(nèi)容管理、全文檢索和個(gè)性化信息服務(wù)和應(yīng)用服務(wù)平臺(tái)。它通過(guò)有效整合組織內(nèi)外的各種結(jié)構(gòu)化和非結(jié)構(gòu)化信息資源,不僅為用戶(hù)提供了對(duì)組織內(nèi)外廣泛的信息資源的組織、訪問(wèn)、搜索、集成和管理的強(qiáng)大能力,同時(shí)也為用戶(hù)部署和開(kāi)發(fā)高可用性、高系統(tǒng)靈活性和可伸縮性的數(shù)據(jù)管理、信息發(fā)布、全文檢索等內(nèi)容管理應(yīng)用系統(tǒng)提供了強(qiáng)大、高效的應(yīng)用平臺(tái),主要有下列功能:
·各種數(shù)據(jù)庫(kù)和文檔資源一體化管理 ·信息服務(wù)個(gè)性化和增值信息服務(wù)的有效支持
·內(nèi)容管理的基于頻道、資源、模板的動(dòng)態(tài)定制和靈活調(diào)整
·資源維護(hù)的采、編、發(fā)流程支持
·開(kāi)放架構(gòu)和基于模板、模塊的用戶(hù)可定制擴(kuò)充
· 基于頻道資源訂閱和定題信息服務(wù)的集成,實(shí)現(xiàn)信息服務(wù)方式的擴(kuò)充和增值信息服務(wù)的支持
海市ECM內(nèi)容管理解決方案體系結(jié)構(gòu)
海市ECM內(nèi)容管理系統(tǒng)的基礎(chǔ)是對(duì)各種文檔和數(shù)據(jù)庫(kù)進(jìn)行索引的數(shù)據(jù)索引存儲(chǔ)系統(tǒng),以此為基礎(chǔ)進(jìn)行全文檢索和內(nèi)容提取。系統(tǒng)使用LDAP數(shù)據(jù)庫(kù)實(shí)現(xiàn)用戶(hù)認(rèn)證和權(quán)限授予,再根據(jù)用戶(hù)自我定制的個(gè)性化信息服務(wù)引擎,實(shí)現(xiàn)對(duì)各種資源的訪問(wèn)。系統(tǒng)同時(shí)提供多種二次開(kāi)發(fā)接口,具體有對(duì)象設(shè)計(jì)接口、模板定制設(shè)計(jì)接口、資源整合轉(zhuǎn)換接口、功能模塊開(kāi)發(fā)接口,滿(mǎn)足用戶(hù)進(jìn)行更深層次內(nèi)容管理應(yīng)用開(kāi)發(fā)需求。同時(shí),系統(tǒng)還提供站點(diǎn)設(shè)計(jì)生成、網(wǎng)站內(nèi)容管理、資源內(nèi)容采編發(fā)、個(gè)性化與增值信息服務(wù)子系統(tǒng),滿(mǎn)足用戶(hù)對(duì)于內(nèi)容管理方面的共性需求。
第二篇:門(mén)戶(hù)網(wǎng)站解決方案(模版)
保定市我和你網(wǎng)絡(luò)科技有限公司-網(wǎng)站建設(shè)方案
門(mén)戶(hù)網(wǎng)站解決方案
方案概述
門(mén)戶(hù)網(wǎng)站不僅需要通過(guò)互聯(lián)網(wǎng)進(jìn)行產(chǎn)品或服務(wù)宣傳,更需要將核心的業(yè)務(wù)進(jìn)行信息化處理,通過(guò)網(wǎng)絡(luò)簡(jiǎn)化業(yè)務(wù)流程,提高運(yùn)轉(zhuǎn)效率,實(shí)現(xiàn)業(yè)務(wù)流程管理、非業(yè)務(wù)流程管理以及協(xié)同工作的全方位門(mén)戶(hù)網(wǎng)站解決方案。從而使門(mén)戶(hù)網(wǎng)站的核心競(jìng)爭(zhēng)力得到提升。
在寫(xiě)作門(mén)戶(hù)網(wǎng)站解決方案時(shí)會(huì)著重實(shí)現(xiàn)產(chǎn)品的宣傳、訂單、銷(xiāo)售;商戶(hù)交流、客戶(hù)信息管理、訂單管理等;同時(shí)可以按門(mén)戶(hù)網(wǎng)站的各種需求實(shí)現(xiàn)個(gè)性化的營(yíng)銷(xiāo)、形象宣傳、網(wǎng)上支付等多方面的商務(wù)功能,使門(mén)戶(hù)網(wǎng)站從簡(jiǎn)單的網(wǎng)上櫥窗發(fā)展成為交易柜臺(tái)、交易市場(chǎng)等大型商務(wù)平臺(tái)。除了發(fā)布企業(yè)信息以外,門(mén)戶(hù)網(wǎng)站還可以利用互聯(lián)網(wǎng)的交互功能與客戶(hù)交流;利用在線(xiàn)訂單系統(tǒng)接受商品訂購(gòu)和定制;利用在線(xiàn)調(diào)查引擎調(diào)查客戶(hù)的需求和喜好;利用留言板接納客戶(hù)的意見(jiàn)等。
門(mén)戶(hù)網(wǎng)站建設(shè)的作用
1、發(fā)布企業(yè)內(nèi)部信息-發(fā)布信息通道
2、獲取用戶(hù)的各種反饋信息-與用戶(hù)溝通通道
3、為用戶(hù)提供實(shí)時(shí)、高效的服務(wù)-服務(wù)客戶(hù)通道
4、以低成本傳播產(chǎn)品信息、擴(kuò)大市場(chǎng)、增強(qiáng)銷(xiāo)售能力-擴(kuò)大企業(yè)業(yè)務(wù)的通道
5、宣傳企業(yè)形象,擴(kuò)大其在社會(huì)上的影響力
6、企業(yè)內(nèi)部員工溝通的渠道,可以借助企業(yè)門(mén)戶(hù)網(wǎng)站改善企業(yè)內(nèi)部員工之間的交流
7、為客戶(hù)和企業(yè)內(nèi)部員工提供信息個(gè)性化的功能系統(tǒng)
網(wǎng)站管理系統(tǒng)實(shí)現(xiàn)方案
本系統(tǒng)為門(mén)戶(hù)網(wǎng)站管理人員提供了便捷的管理工具,主要包括用戶(hù)及權(quán)限設(shè)置、數(shù)據(jù)庫(kù)維護(hù)、網(wǎng)頁(yè)設(shè)置、標(biāo)志與標(biāo)題設(shè)置及網(wǎng)站各欄目?jī)?nèi)容編輯等功能。全部基于后臺(tái)管理所有欄目,提供后臺(tái)詳細(xì)幫助文檔,并實(shí)現(xiàn)圖文混排特點(diǎn),表格準(zhǔn)確定位,方便簡(jiǎn)單易用等特點(diǎn),同時(shí)為防止攻擊采用先用防護(hù)病毒手段,讓門(mén)戶(hù)網(wǎng)站更安全可靠。
門(mén)戶(hù)網(wǎng)站建設(shè)基本功能模塊如下:
1、文章模塊:企業(yè)介紹、產(chǎn)品展示、企業(yè)新聞、企業(yè)信息整理等內(nèi)容
2、下載模塊:文件下載、合同下載、軟件下載等
3、圖片模塊:企業(yè)風(fēng)貌展示、設(shè)計(jì)圖片、其他圖片展示等
4、采集模塊:采集各大優(yōu)秀網(wǎng)站的精華內(nèi)容
保定市我和你網(wǎng)絡(luò)科技有限公司-網(wǎng)站建設(shè)方案
5、招聘模塊:人才求職、企業(yè)發(fā)布招聘信息
6、供求模塊:發(fā)布產(chǎn)品供求信息
7、商城模塊:產(chǎn)品在線(xiàn)銷(xiāo)售
8、房產(chǎn)模塊:發(fā)布房產(chǎn)交易信息
9、用戶(hù)模塊:設(shè)定會(huì)員等級(jí)和權(quán)限
10、生成模塊:自動(dòng)生成HTML靜態(tài)頁(yè)面
11、廣告模塊:發(fā)布企業(yè)或其它廣告
12、公告模塊:企業(yè)公告
13、調(diào)查模塊:企業(yè)調(diào)查
14、鏈接模塊:友情連接
15、收費(fèi)模塊:在線(xiàn)支付
16、留言模塊:客戶(hù)交流
17、數(shù)據(jù)模塊:ACC、SQL數(shù)據(jù)庫(kù)自行選擇
18、影視模塊:企業(yè)文化、廣告片、內(nèi)部影視播放等
19、其他模塊:如需其他功能,企業(yè)可聯(lián)系我們定制
保定市我和你網(wǎng)絡(luò)科技有限公司
網(wǎng)站建設(shè)方案
第三篇:電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案
電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案
對(duì)于電子政務(wù)內(nèi)網(wǎng),政務(wù)專(zhuān)網(wǎng)、專(zhuān)線(xiàn)、VPN是構(gòu)建電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。安全政務(wù)網(wǎng)絡(luò)平臺(tái)是依托專(zhuān)網(wǎng)、專(zhuān)線(xiàn)、VPN設(shè)備將各接入單位安全互聯(lián)起來(lái)的電子政務(wù)內(nèi)網(wǎng);安全支撐平臺(tái)為電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)提供安全互聯(lián)、接入控制、統(tǒng)一身份認(rèn)證、授權(quán)管理、惡意代碼防范、入侵檢測(cè)、安全審計(jì)、桌面安全防護(hù)等安全支撐;電子政務(wù)專(zhuān)網(wǎng)應(yīng)用既是安全保障平臺(tái)的保護(hù)對(duì)象,又是電子政務(wù)內(nèi)網(wǎng)實(shí)施電子政務(wù)的主體,它主要內(nèi)部共享信息、內(nèi)部受控信息等,這兩類(lèi)信息運(yùn)行于電子政務(wù)辦公平臺(tái)、和電子政務(wù)信息共享平臺(tái)之上;電子政務(wù)管理制度體系是電子政務(wù)長(zhǎng)期有效運(yùn)行的保證。
電子政務(wù)內(nèi)網(wǎng)系統(tǒng)構(gòu)成
1)政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺(tái):電子政務(wù)內(nèi)網(wǎng)建設(shè),是依托電子政務(wù)專(zhuān)網(wǎng)、專(zhuān)線(xiàn)、VPN構(gòu)造的電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)。
2)電子政務(wù)內(nèi)網(wǎng)應(yīng)用:在安全支撐平臺(tái)的作用下,基于安全電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺(tái),可以打造安全電子政務(wù)辦公平臺(tái)、安全政務(wù)信息共享平臺(tái)。
3)安全支撐平臺(tái):安全支撐平臺(tái)由安全系統(tǒng)組成,是電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)運(yùn)行的安全保障。
電子政務(wù)內(nèi)網(wǎng)系統(tǒng)拓?fù)鋱D
三級(jí)政務(wù)內(nèi)網(wǎng)建議拓?fù)鋱D
電子政務(wù)內(nèi)網(wǎng)按照等保標(biāo)準(zhǔn)要求,進(jìn)行安全域的劃分。根據(jù)不同的劃分原則,大致可以分別網(wǎng)絡(luò)基礎(chǔ)架構(gòu)區(qū)、安全管理區(qū)、數(shù)據(jù)處理區(qū)、邊界防御區(qū)、辦公區(qū)、會(huì)議區(qū)等安全子區(qū)域,在實(shí)際的網(wǎng)絡(luò)設(shè)計(jì)中,可以根據(jù)相關(guān)標(biāo)準(zhǔn),按照實(shí)際需要進(jìn)一步細(xì)分,如上圖所示。
劃分安全域的目標(biāo)是針對(duì)不同的安全域采用不同的安全防護(hù)策略,既保證信息的安全訪問(wèn),又兼顧信息的開(kāi)放性。按照應(yīng)用系統(tǒng)等級(jí)、數(shù)據(jù)流相似程度、硬件和軟件環(huán)境的可共用程度、安全需求相似程度,并且從方便實(shí)施的角度,將整個(gè)電子政務(wù)業(yè)務(wù)系統(tǒng)分為不同的安全子域區(qū),便于由小到大、由簡(jiǎn)到繁進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)。安全域的劃分有利于對(duì)電子政務(wù)系統(tǒng)實(shí)施分區(qū)安全防護(hù),即分域防控。安全支撐平臺(tái)的系統(tǒng)結(jié)構(gòu)
電子政務(wù)安全支撐平臺(tái)是電子政務(wù)系統(tǒng)運(yùn)行的安全保障,由網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全技術(shù)構(gòu)成。電子政務(wù)安全支撐平臺(tái)依托電子政務(wù)配套的安全設(shè)備,通過(guò)分級(jí)安全服務(wù)和分域安全管理,實(shí)現(xiàn)等級(jí)保護(hù)中要求的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù),從而保證整個(gè)電子政務(wù)信息系統(tǒng)安全,最終形成安全開(kāi)放統(tǒng)一、分級(jí)分域防護(hù)的安全體系。電子政務(wù)安全支撐平臺(tái)的系統(tǒng)結(jié)構(gòu)下圖:
電子政務(wù)安全支撐平臺(tái)系統(tǒng)結(jié)構(gòu)
安全支撐平臺(tái)的系統(tǒng)配置
1、核心交換機(jī)雙歸屬:兩臺(tái)核心交換機(jī)通過(guò)VRRP協(xié)議連接,互為冗余,保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿(mǎn)足業(yè)務(wù)高峰期需要。
2、認(rèn)證及地址管理系統(tǒng)-DCBI:DCBI可以完成基于主機(jī)的統(tǒng)一身份認(rèn)證和全局地址管理功能。
1)基于主機(jī)的統(tǒng)一身份認(rèn)證。終端系統(tǒng)通過(guò)安裝802.1X認(rèn)證客戶(hù)端,在連接到內(nèi)網(wǎng)之前,首先需要通過(guò)DCBI的身份認(rèn)證,方能打開(kāi)交換機(jī)端口,使用網(wǎng)絡(luò)資源。
2)全局地址管理。·根據(jù)政務(wù)網(wǎng)地址規(guī)模靈活劃分地址池 ·固定用戶(hù)地址下發(fā)與永久綁定 ·漫游用戶(hù)地址下發(fā)與臨時(shí)綁定、自動(dòng)回收 ·接入交換機(jī)端口安全策略自動(dòng)綁定。·客戶(hù)端地址獲取方式無(wú)關(guān)性
3、全局安全管理系統(tǒng)-DCSM。DCSM是政務(wù)內(nèi)網(wǎng)所有端系統(tǒng)的管理與控制中心,兼具用戶(hù)管理、安全認(rèn)證、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。
1)安全認(rèn)證。安全認(rèn)證系統(tǒng)定義了對(duì)用戶(hù)終端進(jìn)行準(zhǔn)入控制的一系列策略,包括用戶(hù)終端安全狀態(tài)認(rèn)證、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶(hù)的隔離方式配置等。
2)用戶(hù)管理。不同的用戶(hù)、不同類(lèi)型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶(hù)提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí),方便管理員對(duì)網(wǎng)絡(luò)用戶(hù)制定差異化的安全策略。
3)安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶(hù)端上報(bào)的安全狀態(tài),控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶(hù)的隔離與開(kāi)放,下發(fā)用戶(hù)終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的控制,安全客戶(hù)端、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作,配合完成端到端的安全準(zhǔn)入控制。
4)日志審計(jì)。安全策略服務(wù)器收集由安全客戶(hù)端上報(bào)的安全事件,并形成安全日志,可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。
其中:安全管理系統(tǒng)代理,可以對(duì)用戶(hù)終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體,其主要功能包括:
1)提供802.1x、portal等多種認(rèn)證方式,可以與交換機(jī)、路由器配合實(shí)現(xiàn)接入層、匯聚層以及VPN的端點(diǎn)準(zhǔn)入控制。
2)主機(jī)桌面安全防護(hù),檢查用戶(hù)終端的安全狀態(tài),包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息;同時(shí)提供與防病毒客戶(hù)端聯(lián)動(dòng)的接口,實(shí)現(xiàn)與第三方防病毒客戶(hù)端的聯(lián)動(dòng),檢查用戶(hù)終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞到認(rèn)證服務(wù)器,執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。
3)安全策略實(shí)施,接收認(rèn)證服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶(hù)終端執(zhí)行,包括設(shè)置安全策略(是否監(jiān)控郵件、注冊(cè)表)、系統(tǒng)修復(fù)通知與實(shí)施(自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫(kù))等功能。不按要求實(shí)施安全策略的用戶(hù)終端將被限制在隔離區(qū)。
4)實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài),包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等,并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器,用于事后進(jìn)行安全審計(jì)。
5)實(shí)時(shí)監(jiān)控終端用戶(hù)的行為,實(shí)現(xiàn)用戶(hù)上網(wǎng)行為可審計(jì)。
4、邊界防火墻-DCFW
能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割,對(duì)不同區(qū)域之間的流量進(jìn)行控制,通過(guò)對(duì)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)進(jìn)行檢查,把可能的安全風(fēng)險(xiǎn)控制在相對(duì)獨(dú)立的區(qū)域內(nèi),避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。
對(duì)于廣域網(wǎng)接入用戶(hù),能夠?qū)λ麄兊木W(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理,包括進(jìn)行身份認(rèn)證、對(duì)訪問(wèn)資源的限制、對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制等。
5、統(tǒng)一威脅管理-UTM
UTM集合了防火墻、防病毒網(wǎng)關(guān)、IPS/IDS入侵防御、防垃圾郵件網(wǎng)關(guān)、VPN(IPSEC、PPTP、L2TP)網(wǎng)關(guān)、流量整形網(wǎng)關(guān)、Anti-Dos網(wǎng)關(guān)、用戶(hù)身份認(rèn)證網(wǎng)關(guān)、審計(jì)網(wǎng)關(guān)、BT控制網(wǎng)關(guān)+IM控制網(wǎng)關(guān)+應(yīng)用提升網(wǎng)關(guān)(網(wǎng)游 VOIP 流媒體支持),十二大功能為一體。采用專(zhuān)門(mén)設(shè)計(jì)的硬件平臺(tái)和專(zhuān)用的安全操作系統(tǒng),采用硬件獨(dú)立總線(xiàn)架構(gòu)并采用病毒檢測(cè)專(zhuān)用模塊,在提升產(chǎn)品功能的同時(shí)保證了產(chǎn)品在各種環(huán)境下的高性能。完成等保標(biāo)準(zhǔn)中要求的防病毒、惡意代碼過(guò)濾等邊界防護(hù)功能。
6、入侵檢測(cè)系統(tǒng)-DCNIDS
入侵檢測(cè)系統(tǒng)能夠及時(shí)識(shí)別并阻止外部入侵者或內(nèi)部用戶(hù)對(duì)網(wǎng)絡(luò)系統(tǒng)的非授權(quán)使用、誤用和濫用,對(duì)網(wǎng)絡(luò)入侵事件實(shí)施主動(dòng)防御。
通過(guò)在電子政務(wù)網(wǎng)絡(luò)平臺(tái)上部署入侵檢測(cè)系統(tǒng),可提供對(duì)常見(jiàn)入侵事件、黑客程序、網(wǎng)絡(luò)病毒的在線(xiàn)實(shí)時(shí)檢測(cè)和告警功能,能夠防止惡意入侵事件的發(fā)生。
7、漏洞掃描系統(tǒng)
漏洞掃描系統(tǒng)提供網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)、風(fēng)險(xiǎn)量化、風(fēng)險(xiǎn)趨勢(shì)分析等風(fēng)險(xiǎn)管理的有效工具,使用戶(hù)了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,并客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。
漏洞掃描系統(tǒng)能夠發(fā)現(xiàn)所維護(hù)的服務(wù)器的各種端口的分配、提供的服務(wù)、服務(wù)軟件版本和系統(tǒng)存在的安全漏洞,并為用戶(hù)提供網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)/漏洞/隱患情況報(bào)告和解決方案,幫助用戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的安全策略,確保網(wǎng)絡(luò)系統(tǒng)安全有效地運(yùn)行。
8、流量整形設(shè)備-DCFS
1)控制各種應(yīng)用的帶寬,保證關(guān)鍵應(yīng)用,抑制不希望有的應(yīng)用:可針不同的源IP(組)和時(shí)間段,在所分配的帶寬管道內(nèi),對(duì)其應(yīng)用實(shí)現(xiàn)不同的流量帶寬限制、或者是禁止使用。
2)統(tǒng)計(jì)、監(jiān)控和分析,了解網(wǎng)絡(luò)上各種應(yīng)用所占的帶寬比例,為網(wǎng)絡(luò)的用途和規(guī)劃提供科學(xué)依據(jù):可通過(guò)設(shè)備對(duì)網(wǎng)絡(luò)上的流量數(shù)據(jù)進(jìn)行監(jiān)控和分析,量化地了解當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用流量所占的比例、以及各應(yīng)用的流量各是多少,從而得知用戶(hù)的網(wǎng)絡(luò)最主要的用途是什么,等等。
9、其它網(wǎng)絡(luò)設(shè)備
其它網(wǎng)絡(luò)設(shè)備,可以參照國(guó)標(biāo)對(duì)應(yīng)的《設(shè)備安全技術(shù)要求》進(jìn)行選型。
第四篇:內(nèi)網(wǎng)安全整體解決方案
內(nèi)網(wǎng)安全整體解決方案
內(nèi)網(wǎng)安全整體解決方案
二〇一八年五月
第 i 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
目錄
第一章 總體方案設(shè)計(jì)......................................................................................................................................3 1.1 依據(jù)政策標(biāo)準(zhǔn)...............................................................................................................................................3 1.1.1 國(guó)內(nèi)政策和標(biāo)準(zhǔn)..................................................................................................................................3 1.1.2 國(guó)際標(biāo)準(zhǔn)及規(guī)范..................................................................................................................................5 1.2 設(shè)計(jì)原則.......................................................................................................................................................5 1.3 總體設(shè)計(jì)思想...............................................................................................................................................6 第二章 技術(shù)體系詳細(xì)設(shè)計(jì)..............................................................................................................................8 2.1 技術(shù)體系總體防護(hù)框架...............................................................................................................................8 2.2 內(nèi)網(wǎng)安全計(jì)算環(huán)境詳細(xì)設(shè)計(jì).......................................................................................................................8 2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)..............................................................................................8 2.2.2 虛擬化內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)........................................................................................16 2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析.....................................................................................................................................25 2.3.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知....................................................................................................................25 2.3.2 內(nèi)網(wǎng)全景流量分析............................................................................................................................25 2.3.3 內(nèi)網(wǎng)多源威脅情報(bào)分析....................................................................................................................27 2.4 內(nèi)網(wǎng)安全管控措施.....................................................................................................................................27 2.4.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)主動(dòng)識(shí)別....................................................................................................................27 2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理........................................................................................................29 2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺(tái)............................................................................................................32 第三章 內(nèi)網(wǎng)安全防護(hù)設(shè)備清單.....................................................................................................................33
第 ii 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
第一章 總體方案設(shè)計(jì)
1.1 依據(jù)政策標(biāo)準(zhǔn)
1.1.1 國(guó)內(nèi)政策和標(biāo)準(zhǔn)
1.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)2.《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào))
3.《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字〔2004〕66號(hào))4.《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))5.《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安〔2007〕861號(hào))
6.《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》(公信安〔2007〕1360號(hào))7.《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》(公信安〔2008〕736號(hào))8.《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》(發(fā)改高技〔2008〕2071號(hào))
9.《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》(公信安〔2009〕1429號(hào))
10. 國(guó)資委、公安部《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》(公通字[2010]70號(hào)文)
11. 《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等保測(cè)評(píng)工作的通知》(公信安[2010]303號(hào)文)
12. 國(guó)資委《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》(國(guó)資發(fā)〔2010〕41號(hào))13. 《GB/T 22239.1-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分 安全通用要求(征求意見(jiàn)稿)》
14. 《GB/T 22239.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
第 3 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
第2部分:云計(jì)算安全擴(kuò)展要求(征求意見(jiàn)稿)》
15. 《GB/T 25070.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求 第2部分:云計(jì)算安全要求(征求意見(jiàn)稿)》
16. 《GA/T 20—XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(征求意見(jiàn)稿)》
17. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 18. 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 19. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 20. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 21. 《計(jì)算機(jī)信息系統(tǒng) 安全等級(jí)保護(hù)劃分準(zhǔn)則》 22. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 23. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 24. 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 25. 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》
26. 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求(技術(shù)類(lèi))》 27. 《信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求(技術(shù)類(lèi))》 28. 《信息安全技術(shù) 公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》 29. 《信息安全技術(shù) 信息系統(tǒng)安全管理要求(管理類(lèi))》 30. 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求(管理類(lèi))》 31. 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 32. 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 33. 《信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南》 34. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)體系框架》 35. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本模型》
第 4 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
36. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本配置》
37. 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南》 38. 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南》 39. 《信息安全技術(shù) 信息系統(tǒng)安全管理測(cè)評(píng)》
40. 《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》
1.1.2 國(guó)際標(biāo)準(zhǔn)及規(guī)范
1.國(guó)際信息安全I(xiàn)SO27000系列 2.國(guó)際服務(wù)管理標(biāo)準(zhǔn)ISO20000 3.ITIL最佳實(shí)踐 4.企業(yè)內(nèi)控COBIT 1.2 設(shè)計(jì)原則
隨著單位信息化建設(shè)的不斷加強(qiáng),某單位內(nèi)網(wǎng)的終端計(jì)算機(jī)數(shù)量還在不斷增加,網(wǎng)絡(luò)中的應(yīng)用日益復(fù)雜。某單位信息安全部門(mén)保障著各種日常工作的正常運(yùn)行。
目前為了維護(hù)網(wǎng)絡(luò)內(nèi)部的整體安全及提高系統(tǒng)的管理控制,需要對(duì)單位內(nèi)網(wǎng)辦公終端、服務(wù)器、信息系統(tǒng)、關(guān)鍵數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備等統(tǒng)一進(jìn)行安全防護(hù),加強(qiáng)對(duì)非法外聯(lián)、終端入侵、病毒傳播、數(shù)據(jù)失竊等極端情況的風(fēng)險(xiǎn)抑制措施。同時(shí)對(duì)于內(nèi)部業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行定向加固,避免由于外部入侵所導(dǎo)致的主機(jī)失陷
第 5 頁(yè) 內(nèi)網(wǎng)安全整體解決方案 等安全事件的發(fā)生
如上圖所示,本項(xiàng)目的設(shè)計(jì)原則具體包括:
? 整體設(shè)計(jì),重點(diǎn)突出原則 ? 縱深防御原則
? 追求架構(gòu)先進(jìn)、技術(shù)成熟,擴(kuò)展性強(qiáng)原則 ? 統(tǒng)一規(guī)劃,分布實(shí)施原則 ? 持續(xù)安全原則 ? 可視、可管、可控原則
1.3 總體設(shè)計(jì)思想
如上圖所示,本方案依據(jù)國(guó)家信息安全相關(guān)政策和標(biāo)準(zhǔn),堅(jiān)持管理和技術(shù)并重的原則,將技術(shù)和管理措施有機(jī)的結(jié)合,建立信息系統(tǒng)綜合防護(hù)體系,通過(guò)“1341”的設(shè)計(jì)思想進(jìn)行全局規(guī)劃,具體內(nèi)容:
第 6 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
? 一個(gè)體系
以某單位內(nèi)網(wǎng)安全為核心、以安全防護(hù)體系為支撐,從安全風(fēng)險(xiǎn)考慮,建立符合用戶(hù)內(nèi)網(wǎng)實(shí)際場(chǎng)景的安全基線(xiàn),通過(guò)構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報(bào)接入,安全防護(hù)接入與虛擬主機(jī)防護(hù)接入等能力,構(gòu)建基于虛擬化云安全資源池+傳統(tǒng)硬件安全設(shè)備的下一代內(nèi)網(wǎng)安全防御體系。
? 三道防線(xiàn)
結(jié)合縱深防御的思想,從內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段三個(gè)層次,從用戶(hù)實(shí)際業(yè)務(wù)出發(fā),構(gòu)建統(tǒng)一安全策略和防護(hù)機(jī)制,實(shí)現(xiàn)內(nèi)網(wǎng)核心系統(tǒng)和內(nèi)網(wǎng)關(guān)鍵數(shù)據(jù)的風(fēng)險(xiǎn)可控。
? 四個(gè)安全能力
采用主動(dòng)防御安全體系框架,結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求,實(shí)現(xiàn)“預(yù)測(cè)、防御、檢測(cè)、響應(yīng)”四種安全能力,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的可管、可控、可視及可持續(xù)。
? 預(yù)測(cè)能力:通過(guò)運(yùn)用大數(shù)據(jù)技術(shù)對(duì)內(nèi)部的安全數(shù)據(jù)和外部的威脅情報(bào)進(jìn)行主動(dòng)探索分析和評(píng)估具體包括行為建模與分析、安全基線(xiàn)與態(tài)勢(shì)分析、能夠使問(wèn)題出現(xiàn)前提早發(fā)現(xiàn)問(wèn)題,甚至遇見(jiàn)可能侵襲的威脅,隨之調(diào)整安全防護(hù)策略來(lái)應(yīng)對(duì)。
? 防御能力:采用加固和隔離系統(tǒng)降低攻擊面,限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力,并通過(guò)轉(zhuǎn)移攻擊手段使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞,以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息),此外,通過(guò)事故預(yù)防和安全策略合規(guī)審計(jì)的方式通過(guò)統(tǒng)一的策略管理和策略的聯(lián)動(dòng),防止黑客未授權(quán)而進(jìn)入系統(tǒng),并判斷現(xiàn)有策略的合規(guī)性并進(jìn)行相應(yīng)的優(yōu)化設(shè)置。
? 檢測(cè)能力:通過(guò)對(duì)業(yè)務(wù)、數(shù)據(jù)和基礎(chǔ)設(shè)施的全面檢測(cè),結(jié)合現(xiàn)有的安全策略提出整改建議,與網(wǎng)絡(luò)運(yùn)維系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)安全整改和策略變更后,并進(jìn)行持續(xù)監(jiān)控,結(jié)合外部安全情況快速發(fā)現(xiàn)安全漏洞并進(jìn)行響應(yīng)。
? 響應(yīng)能力:與網(wǎng)絡(luò)運(yùn)維系統(tǒng)進(jìn)行對(duì)接,實(shí)現(xiàn)安全聯(lián)動(dòng),出現(xiàn)安全漏洞時(shí)在短時(shí)間內(nèi),進(jìn)行安全策略的快速調(diào)整,將被感染的系統(tǒng)和賬戶(hù)進(jìn)行隔離,通過(guò)回顧分析事件完整過(guò)程,利用持續(xù)監(jiān)控所獲取的數(shù)據(jù),解決相應(yīng)安全問(wèn)題。
第 7 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
第二章 技術(shù)體系詳細(xì)設(shè)計(jì)
2.1 技術(shù)體系總體防護(hù)框架
在進(jìn)行內(nèi)網(wǎng)安全防護(hù)技術(shù)體系詳細(xì)設(shè)計(jì)時(shí),充分考慮某單位內(nèi)部網(wǎng)絡(luò)面臨的威脅風(fēng)險(xiǎn)和安全需求,并遵循《信息系統(tǒng)等級(jí)保護(hù)基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù),網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求:第1部分-安全通用要求(征求意見(jiàn)稿)》,通過(guò)對(duì)內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段等各種防護(hù)措施的詳細(xì)設(shè)計(jì),形成“信息安全技術(shù)體系三重防護(hù)”的信息安全技術(shù)防護(hù)體,達(dá)到《信息系統(tǒng)等級(jí)保護(hù)基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù),網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求:第1部分-安全通用要求(征求意見(jiàn)稿)》切實(shí)做到內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)可控。
三重防護(hù)主要包括:內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控措施。
2.2 內(nèi)網(wǎng)安全計(jì)算環(huán)境詳細(xì)設(shè)計(jì)
2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)
第 8 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
如上圖所示,在內(nèi)網(wǎng)安全計(jì)算環(huán)境方面結(jié)合互聯(lián)網(wǎng)與辦公網(wǎng)的攻擊,圍繞網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)層實(shí)現(xiàn)安全防護(hù),具體內(nèi)容包括:
? 網(wǎng)絡(luò)層安全防護(hù)設(shè)計(jì)
1、通過(guò)FW或vFW中的FW、AV、IPS模塊實(shí)現(xiàn)網(wǎng)絡(luò)層訪問(wèn)控制、惡意代碼防護(hù)、入侵防御。
2、在各個(gè)內(nèi)網(wǎng)安全域邊界處,部署防火墻實(shí)現(xiàn)域邊界的網(wǎng)絡(luò)層訪問(wèn)控制。
3、在內(nèi)網(wǎng)邊界處部署流量監(jiān)控設(shè)備,實(shí)現(xiàn)全景網(wǎng)絡(luò)流量監(jiān)控與審計(jì),并對(duì)數(shù)據(jù)包進(jìn)行解析,通過(guò)會(huì)話(huà)時(shí)間、協(xié)議類(lèi)型等判斷業(yè)務(wù)性能和交互響應(yīng)時(shí)間。
? 主機(jī)層安全防護(hù)與設(shè)計(jì)
1、在各個(gè)區(qū)域的核心交換處部署安全沙箱,實(shí)現(xiàn)主機(jī)入侵行為和未知威脅分析與預(yù)警。
2、通過(guò)自適應(yīng)安全監(jiān)測(cè)系統(tǒng),對(duì)主機(jī)操作系統(tǒng)類(lèi)型、版本、進(jìn)程、賬號(hào)權(quán)限、反彈shell、漏洞威脅等進(jìn)行全面的監(jiān)控與預(yù)警。? 應(yīng)用層安全防護(hù)與設(shè)計(jì)
1、在通過(guò)外部服務(wù)域部署WAF設(shè)備實(shí)現(xiàn)應(yīng)用層基于入侵特征識(shí)別的安全防護(hù)
第 9 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
2、通過(guò)自適應(yīng)安全監(jiān)測(cè)系統(tǒng),對(duì)應(yīng)用支撐系統(tǒng)的類(lèi)型、版本、框架路徑、訪問(wèn)權(quán)限、漏洞威脅等進(jìn)行全面的監(jiān)控與預(yù)警。? 數(shù)據(jù)層安全防護(hù)與設(shè)計(jì)
1、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫(kù)防護(hù)墻實(shí)現(xiàn)敏感信息的訪問(wèn)控制
2、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備實(shí)現(xiàn)數(shù)據(jù)庫(kù)的操作審計(jì)。
3、在互聯(lián)網(wǎng)接入域部署VPN設(shè)備,實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)傳輸通道的加密
2.2.1.1 內(nèi)網(wǎng)邊界安全
2.2.1.1.1 內(nèi)網(wǎng)邊界隔離
嚴(yán)格控制進(jìn)出內(nèi)網(wǎng)信息系統(tǒng)的訪問(wèn),明確訪問(wèn)的來(lái)源、訪問(wèn)的對(duì)象及訪問(wèn)的類(lèi)型,確保合法訪問(wèn)的正常進(jìn)行,杜絕非法及越權(quán)訪問(wèn);同時(shí)有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問(wèn),確保該區(qū)域信息網(wǎng)絡(luò)正常訪問(wèn)活動(dòng)。2.2.1.1.1 內(nèi)網(wǎng)惡意代碼防范
病毒、蠕蟲(chóng)、木馬、流氓軟件等各類(lèi)惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入所面臨的重要威脅之一,面對(duì)越發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境,傳統(tǒng)的網(wǎng)絡(luò)防病毒控制體系沒(méi)有從引入威脅的最薄弱環(huán)節(jié)進(jìn)行控制,即便采取一些手段加以簡(jiǎn)單的控制,也仍然不能消除來(lái)自外界的繼續(xù)攻擊,短期消滅的危害仍會(huì)繼續(xù)存在。為了解決上述問(wèn)題,對(duì)網(wǎng)絡(luò)安全實(shí)現(xiàn)全面控制,一個(gè)有效的控制手段應(yīng)勢(shì)而生:從內(nèi)網(wǎng)邊界入手,切斷傳播途徑,實(shí)現(xiàn)網(wǎng)關(guān)級(jí)的過(guò)濾控制。
建議在該區(qū)域部署防病毒網(wǎng)關(guān),對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行病毒、惡意代碼掃描和和過(guò)濾處理,并提供防病毒引擎和病毒庫(kù)的自動(dòng)在線(xiàn)升級(jí),徹底阻斷病毒、蠕蟲(chóng)及各種惡意代碼向數(shù)據(jù)中心或辦公區(qū)域網(wǎng)絡(luò)傳播 2.2.1.1.2 內(nèi)網(wǎng)系統(tǒng)攻擊防護(hù)
網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為一種在線(xiàn)部署的產(chǎn)品,提供主動(dòng)的、實(shí)時(shí)的防護(hù),其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量,自動(dòng)對(duì)各類(lèi)攻擊性的流量,IPS系統(tǒng)工作在第二層到第七層,通常使用特征匹配和異常分析的方法來(lái)識(shí)別各種網(wǎng)絡(luò)攻擊行為,尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷,而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。
第 10 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
IPS是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的,即IPS接收到外部數(shù)據(jù)流量時(shí),如果檢測(cè)到攻擊企圖,就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷,而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。IPS以在線(xiàn)串聯(lián)方式部署實(shí)現(xiàn)對(duì)檢測(cè)到的各種攻擊行為進(jìn)行直接阻斷并生成日志報(bào)告和報(bào)警信息。2.2.1.1.3 內(nèi)網(wǎng)信息隔離防護(hù)
建議在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)的邊界部署安全隔離網(wǎng)閘,為了保證數(shù)據(jù)安全,高密級(jí)網(wǎng)與低密級(jí)網(wǎng)絡(luò)之間,要求數(shù)據(jù)只能從低密級(jí)網(wǎng)絡(luò)流向高密級(jí)網(wǎng)絡(luò)。為解決高密級(jí)網(wǎng)絡(luò)通過(guò)連接環(huán)境泄密問(wèn)題設(shè)計(jì)的安全隔離與信息單項(xiàng)導(dǎo)入系統(tǒng)(即安全隔離網(wǎng)閘)。該設(shè)備由于其物理單向無(wú)反饋環(huán)境、基于數(shù)據(jù)的單項(xiàng)導(dǎo)入,使黑客無(wú)法通過(guò)該套系統(tǒng)進(jìn)行入侵和探測(cè),同時(shí)行為得不到任何反饋信息,在為用戶(hù)提供絕對(duì)單向無(wú)反饋傳輸功能的同時(shí),為用戶(hù)提供高級(jí)別的網(wǎng)絡(luò)攻擊安全防護(hù)解決方案。
2.2.1.1 內(nèi)網(wǎng)主機(jī)安全
2.2.1.1.1 內(nèi)網(wǎng)用戶(hù)行為管控
上網(wǎng)行為管理系統(tǒng)是為滿(mǎn)足單位內(nèi)部網(wǎng)絡(luò)行為管理和內(nèi)容審計(jì)的專(zhuān)業(yè)產(chǎn)品。系統(tǒng)不僅具有防止非法信息傳播、敏感信息泄露,實(shí)時(shí)監(jiān)控、日志追溯,網(wǎng)絡(luò)資源管理,還具有強(qiáng)大的用戶(hù)管理、報(bào)表統(tǒng)計(jì)分析功能。
上網(wǎng)行為管理具有高效實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)采集能力、智能的信息處理能力、強(qiáng)大的內(nèi)容審計(jì)分析能力、精細(xì)的行為管理能力,是一款高性能、智能靈活、易于管理和擴(kuò)展的上網(wǎng)行為管理產(chǎn)品。2.2.1.1.2 內(nèi)網(wǎng)非授權(quán)用戶(hù)準(zhǔn)入
在信息化越來(lái)越簡(jiǎn)便的背景下,任何接入網(wǎng)絡(luò)的設(shè)備和人員都有可能對(duì)內(nèi)網(wǎng)信息資源構(gòu)成威脅,因此針對(duì)辦公計(jì)算機(jī)以及分支機(jī)構(gòu)接入的系統(tǒng)安全以及訪問(wèn)區(qū)域管理顯的尤為重要,如果出現(xiàn)安全事故或越權(quán)訪問(wèn)的情況,將會(huì)嚴(yán)重影響整體業(yè)務(wù)系統(tǒng)運(yùn)行安全。
由于信息化程度較高,終端點(diǎn)數(shù)較多,對(duì)IT軟硬件的資產(chǎn)管理及故障維護(hù)如果單純靠人工施行難度和工作量都比較大且效率比較低,同時(shí)如果員工存在對(duì)管
第 11 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
理制度執(zhí)行不到位的情況出現(xiàn),就迫切需要通過(guò)技術(shù)手段規(guī)范員工的入網(wǎng)行為。
為加強(qiáng)網(wǎng)絡(luò)信息安全管理以及內(nèi)部PC的安全管理,提高內(nèi)網(wǎng)辦公效率,應(yīng)建立一套終端準(zhǔn)入管理系統(tǒng),重點(diǎn)解決以下問(wèn)題:
入網(wǎng)終端注冊(cè)和認(rèn)證化
采用的是雙實(shí)名制認(rèn)證方式,其包含對(duì)終端機(jī)器的認(rèn)證和使用人員的認(rèn)證,終端注冊(cè)的目的是為了方便管理員了解入網(wǎng)機(jī)器是否為合法的終端,認(rèn)證的目的是使用終端的人身份的合法性,做到人機(jī)一一對(duì)應(yīng),一旦出現(xiàn)安全事故,也便于迅速定位終端和人。
違規(guī)終端不準(zhǔn)入網(wǎng) 違規(guī)終端定義
外來(lái)終端:外部訪客使用的終端,或者為非內(nèi)部人員使用的、不屬于內(nèi)部辦公用終端(員工私人終端等);
違規(guī)終端:未能通過(guò)身份合法性、安全設(shè)置合規(guī)性檢查的終端。
入網(wǎng)終端安全修復(fù)合規(guī)化
終端入網(wǎng)時(shí)若不符合單位要求的安全規(guī)范,則會(huì)被暫時(shí)隔離,無(wú)法訪問(wèn)業(yè)務(wù)網(wǎng)絡(luò),待將問(wèn)題修復(fù)符合單位安全規(guī)范后才能正常訪問(wèn)單位網(wǎng)絡(luò)。
內(nèi)網(wǎng)基于用戶(hù)的訪問(wèn)控制
內(nèi)網(wǎng)基于用戶(hù)的訪問(wèn)控制:可以通過(guò)用戶(hù)組(角色)的方式定義不同的訪問(wèn)權(quán)限,如內(nèi)部員工能夠訪問(wèn)全網(wǎng)資源,來(lái)賓訪客只允許訪問(wèn)有限的網(wǎng)絡(luò)資源。2.2.1.1.3 內(nèi)網(wǎng)終端安全防護(hù)
建議部署終端安全管理系統(tǒng),為數(shù)據(jù)中心運(yùn)維人員提供終端安全準(zhǔn)入,防止運(yùn)維人員終端自身的安全問(wèn)題影響數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)。在具備補(bǔ)丁管理、802.1x準(zhǔn)入控制、存儲(chǔ)介質(zhì)(U盤(pán)等)管理、非法外聯(lián)管理、終端安全性檢查、終端狀態(tài)監(jiān)控、終端行為監(jiān)控、安全報(bào)警等功能基礎(chǔ)上,增加風(fēng)險(xiǎn)管理和主動(dòng)防范機(jī)制,具備完善的違規(guī)監(jiān)測(cè)和風(fēng)險(xiǎn)分析,實(shí)現(xiàn)有效防護(hù)和控制,降低風(fēng)險(xiǎn),并指導(dǎo)持續(xù)改進(jìn)和完善防護(hù)策略,并具備終端敏感信息檢查功能,支持終端流量監(jiān)控,非常
第 12 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
適合于對(duì)數(shù)據(jù)中心運(yùn)維終端的安全管理。
終端安全管理系統(tǒng),提供針對(duì)Windows桌面終端的軟硬件資產(chǎn)管理、終端行為監(jiān)管、終端安全防護(hù)、非法接入控制、非法外聯(lián)監(jiān)控、補(bǔ)丁管理等功能,采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部終端系統(tǒng)的管理和維護(hù),從而有效地保護(hù)用戶(hù)計(jì)算機(jī)系統(tǒng)安全和信息數(shù)據(jù)安全。2.2.1.1.4 內(nèi)網(wǎng)服務(wù)器安全加固
建議在內(nèi)網(wǎng)所有服務(wù)器部署安全加固組件,針對(duì)內(nèi)外網(wǎng)IP、對(duì)內(nèi)對(duì)外端口、進(jìn)程、域名、賬號(hào)、主機(jī)信息、web容器、第三方組件、數(shù)據(jù)庫(kù)、安全與業(yè)務(wù)分組信息進(jìn)行服務(wù)器信息匯總。主動(dòng)對(duì)服務(wù)器進(jìn)行系統(tǒng)漏洞補(bǔ)丁識(shí)別、管理及修復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)、識(shí)別、管理及修復(fù)、弱口令漏洞識(shí)別及修復(fù)建議、高危賬號(hào)識(shí)別及管理、應(yīng)用配置缺陷風(fēng)險(xiǎn)識(shí)別及管理。7*24小時(shí)對(duì)服務(wù)器進(jìn)行登錄監(jiān)控、完整性監(jiān)控、進(jìn)程監(jiān)控、系統(tǒng)資源監(jiān)控、性能監(jiān)控、操作審計(jì)。通過(guò)對(duì)服務(wù)器整體威脅分析、病毒檢測(cè)與查殺、反彈shell識(shí)別處理、異常賬號(hào)識(shí)別處理、端口掃描檢測(cè)、日志刪除、登錄/進(jìn)程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理。最終完成對(duì)服務(wù)器立體化的多維度安全加固。2.2.1.1.5 內(nèi)網(wǎng)服務(wù)器安全運(yùn)維
由于設(shè)備眾多、系統(tǒng)操作人員復(fù)雜等因素,導(dǎo)致越權(quán)訪問(wèn)、誤操作、資源濫用、疏忽泄密等時(shí)有發(fā)生。黑客的惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限,闖入部門(mén)或單位內(nèi)部網(wǎng)絡(luò),造成不可估量的損失。終端的賬號(hào)和口令的安全性,也是安全管理中難以解決的問(wèn)題。如何提高系統(tǒng)運(yùn)維管理水平,滿(mǎn)足相關(guān)法規(guī)的要求,防止黑客的入侵和惡意訪問(wèn),跟蹤服務(wù)器上用戶(hù)行為,降低運(yùn)維成本,提供控制和審計(jì)依據(jù),越來(lái)越成為內(nèi)部網(wǎng)絡(luò)控制中的核心安全問(wèn)題。
安全運(yùn)維審計(jì)是一種符合4A(認(rèn)證Authentication、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit)要求的統(tǒng)一安全管理平臺(tái),在網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)(如:防火墻、帶有訪問(wèn)控制功能的交換機(jī))的配合下,成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn),攔截對(duì)目標(biāo)設(shè)備的非法訪問(wèn)、操作行為。
運(yùn)維審計(jì)設(shè)備能夠極大的保護(hù)客戶(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得客戶(hù)的網(wǎng)絡(luò)管理合理化、專(zhuān)業(yè)化。
第 13 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
建議在核心交換機(jī)上以旁路方式部署一臺(tái)運(yùn)維審計(jì)系統(tǒng)。運(yùn)維審計(jì)(堡壘主機(jī))系統(tǒng),為運(yùn)維人員提供統(tǒng)一的運(yùn)維操作審計(jì)。通過(guò)部署運(yùn)維審計(jì)設(shè)備能夠?qū)崿F(xiàn)對(duì)所有的網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)安全設(shè)備,應(yīng)用系統(tǒng)的操作行為全面的記錄,包括登錄IP、登錄用戶(hù)、登錄時(shí)間、操作命令全方位細(xì)粒度的審計(jì)。同時(shí)支持過(guò)程及行為回放功能,從而使安全問(wèn)題得到追溯,提供有據(jù)可查的功能和相關(guān)能力。
2.2.1.1 內(nèi)網(wǎng)應(yīng)用安全
2.2.1.1.1 內(nèi)網(wǎng)應(yīng)用層攻擊防護(hù)
建議內(nèi)網(wǎng)信息系統(tǒng)邊界部署WEB應(yīng)用防火墻(WAF)設(shè)備,對(duì)Web應(yīng)用服務(wù)器進(jìn)行保護(hù),即對(duì)網(wǎng)站的訪問(wèn)進(jìn)行7X24小時(shí)實(shí)時(shí)保護(hù)。通過(guò)Web應(yīng)用防火墻的部署,可以解決WEB應(yīng)用服務(wù)器所面臨的各類(lèi)網(wǎng)站安全問(wèn)題,如:SQL注入攻擊、跨站攻擊(XSS攻擊,俗稱(chēng)釣魚(yú)攻擊)、惡意編碼(網(wǎng)頁(yè)木馬)、緩沖區(qū)溢出、應(yīng)用層DDOS攻擊等等。防止網(wǎng)頁(yè)篡改、被掛木馬等嚴(yán)重影響形象的安全事件發(fā)生。
WAF作為常見(jiàn)應(yīng)用層防護(hù)設(shè)備,在防護(hù)來(lái)自于外網(wǎng)的黑客攻擊外,同樣可以防護(hù)來(lái)自?xún)?nèi)網(wǎng)的跳板型滲透攻擊,當(dāng)內(nèi)部終端或服務(wù)器被黑客攻陷后,為防止通過(guò)跳板機(jī)對(duì)內(nèi)網(wǎng)其他應(yīng)用系統(tǒng)進(jìn)行內(nèi)網(wǎng)滲透,通過(guò)WAF防攻擊模塊,可以實(shí)時(shí)阻斷任何應(yīng)用層攻擊行為,保護(hù)內(nèi)部系統(tǒng)正常運(yùn)行
2.2.1.2 內(nèi)網(wǎng)數(shù)據(jù)安全
2.2.1.2.1 內(nèi)網(wǎng)數(shù)據(jù)防泄密
建議在內(nèi)網(wǎng)環(huán)境中部署數(shù)據(jù)防泄密系統(tǒng),保持某單位現(xiàn)有的工作模式和員工操作習(xí)慣不變,不改變?nèi)魏挝募袷健⒉环忾]網(wǎng)絡(luò)、不改變網(wǎng)絡(luò)結(jié)構(gòu)、不封閉計(jì)算機(jī)各種豐富的外設(shè)端口、不改變復(fù)雜的應(yīng)用服務(wù)器集群環(huán)境,實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部數(shù)據(jù)強(qiáng)制透明加解密,員工感覺(jué)不到數(shù)據(jù)存在,保證辦公效率,實(shí)現(xiàn)數(shù)據(jù)防泄密管理,形成“對(duì)外受阻,對(duì)內(nèi)無(wú)礙”的管理效果。
員工未經(jīng)授權(quán),不管以任何方式將數(shù)據(jù)帶離公司的環(huán)境,都無(wú)法正常查看。如:加密文件通過(guò)MSN、QQ、電子郵件、移動(dòng)存儲(chǔ)設(shè)備等方式傳輸?shù)焦臼跈?quán)范圍以外(公司外部或公司內(nèi)沒(méi)有安裝綠盾終端的電腦),那么將無(wú)法正常打開(kāi)
第 14 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
使用,顯示亂碼,并且文件始終保持加密狀態(tài)。只有經(jīng)過(guò)公司審批后,用戶(hù)才可在授予的權(quán)限范圍內(nèi),訪問(wèn)該文件。
1)在不改變員工任何操作習(xí)慣、不改變硬件環(huán)境和網(wǎng)絡(luò)環(huán)境、不降低辦公效率,員工感覺(jué)不到數(shù)據(jù)被加密的存在,實(shí)現(xiàn)了單位數(shù)據(jù)防泄密管理;
2)員工不管通過(guò)QQ、mail、U 盤(pán)等各種方式,將單位內(nèi)部重要文件發(fā)送出去,數(shù)據(jù)均是加密狀態(tài);
3)存儲(chǔ)著單位重要數(shù)據(jù)的U 盤(pán)、光盤(pán)不慎丟失后,沒(méi)有在公司的授權(quán)環(huán)境下打開(kāi)均是加密狀態(tài);
4)員工出差辦公不慎將筆記本丟失,無(wú)單位授予的合法口令,其他人無(wú)法閱讀筆記本內(nèi)任何數(shù)據(jù); 2.2.1.2.2 內(nèi)網(wǎng)數(shù)據(jù)庫(kù)安全審計(jì)
建議在內(nèi)部信息系統(tǒng)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),對(duì)多種類(lèi)數(shù)據(jù)庫(kù)的操作行為進(jìn)行采集記錄,探測(cè)器通過(guò)旁路接入,在相應(yīng)的交換機(jī)上配置端口鏡像,對(duì)內(nèi)部人員訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫(kù)類(lèi)型、源MAC地址、目的MAC地址、源端口、目標(biāo)端口、數(shù)據(jù)庫(kù)名、用戶(hù)名、客戶(hù)端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持記錄的行為包括:
數(shù)據(jù)操作類(lèi)(如select、insert、delete、update等)結(jié)構(gòu)操作類(lèi)(如create、drop、alter等)
事務(wù)操作類(lèi)(如Begin Transaction、Commit Transaction、Rollback Transaction 等)
用戶(hù)管理類(lèi)以及其它輔助類(lèi)(如視圖、索引、過(guò)程等操作)等數(shù)據(jù)庫(kù)訪問(wèn)行 為,并對(duì)違規(guī)操作行為產(chǎn)生報(bào)警事件。
第 15 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
2.2.2 虛擬化內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)
2.2.2.1 劃分虛擬安全域
圖中提供安全組、連接策略?xún)煞N方式。安全組類(lèi)似白名單方式,而連接策略
第 16 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
類(lèi)似黑名單方式。通過(guò)添加具體的訪問(wèn)控制規(guī)則,支持任意虛擬機(jī)之間的訪問(wèn)控制。靈活的配置方式可以滿(mǎn)足用戶(hù)所有的訪問(wèn)控制類(lèi)需求。
在原生虛擬化環(huán)境中部署的虛擬防火墻可以通過(guò)服務(wù)鏈技術(shù),實(shí)現(xiàn)和SDN網(wǎng)絡(luò)控制器的接口、安全控制平臺(tái)的接口,并進(jìn)一步抽象化、池化,實(shí)現(xiàn)安全設(shè)備的自動(dòng)化部署。同時(shí),在部署時(shí)通過(guò)安全管理策略的各類(lèi)租戶(hù)可以獲得相應(yīng)安全設(shè)備的安全管理權(quán)限、達(dá)成分權(quán)分域管理的目標(biāo)。
在安全控制平臺(tái)部署期的過(guò)渡階段,可以采用手工配置流控策略的模式,實(shí)現(xiàn)無(wú)縫過(guò)渡。在這種部署模式下,安全設(shè)備的部署情況與基于SDN技術(shù)的集成部署模式相似,只是所有在使用SDN控制器調(diào)度流量處,都需要使用人工的方式配置網(wǎng)絡(luò)設(shè)備,使之執(zhí)行相應(yīng)的路由或交換指令。
以虛擬防火墻防護(hù)為例,可以由管理員通過(guò)控制器下發(fā)計(jì)算節(jié)點(diǎn)到安全節(jié)點(diǎn)中各個(gè)虛擬網(wǎng)橋的流表,依次將流量牽引到虛擬防火墻設(shè)備即可。
這一切的配置都是通過(guò)統(tǒng)一管理界面實(shí)現(xiàn)引流、策略下發(fā)的自動(dòng)化,除了這些自動(dòng)化操作手段,統(tǒng)一管理平臺(tái)還提供可視化展示功能,主要功能有,支持虛擬機(jī)資產(chǎn)發(fā)現(xiàn)、支持對(duì)流量、應(yīng)用、威脅的統(tǒng)計(jì),支持對(duì)接入服務(wù)的虛擬機(jī)進(jìn)行全方位的網(wǎng)絡(luò)監(jiān)控支持會(huì)話(huà)日志、系統(tǒng)日志、威脅指數(shù)等以邏輯動(dòng)態(tài)拓?fù)鋱D的方式展示。
? 南北向流量訪問(wèn)控制
第 17 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
在云平臺(tái)內(nèi)部邊界部署2套邊界防火墻用于后臺(tái)服務(wù)域與其他域的邊界訪問(wèn)控制(即南北向流量的訪問(wèn)控制)。防火墻設(shè)置相應(yīng)的訪問(wèn)控制策略,根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等,決定該數(shù)據(jù)包是否可以進(jìn)出云計(jì)算平臺(tái),并確定該數(shù)據(jù)包可以訪問(wèn)的客體資源。
? 東西向流量訪問(wèn)控制
虛擬化場(chǎng)景中的關(guān)鍵安全能力組件集合了ACL、防火墻、IPS、Anti-DDoS、DPI、AV等多項(xiàng)功能,vDFW采用統(tǒng)一安全引擎,將應(yīng)用識(shí)別、內(nèi)容檢測(cè)、URL過(guò)濾、入侵防御、病毒查殺等處理引擎合并歸一,實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)部東西向流量的報(bào)文進(jìn)行高效的一次性處理。不僅如此,vDFW支持多虛一的集群模式,突破性能瓶頸的限制,以達(dá)到與數(shù)據(jù)中心防護(hù)需求最佳匹配的效果。當(dāng)數(shù)據(jù)中心檢測(cè)平臺(tái)發(fā)現(xiàn)特定虛機(jī)發(fā)起內(nèi)部威脅攻擊流量后,管理員只需設(shè)置相關(guān)策略,由安全控制器調(diào)度,即可將策略統(tǒng)一下發(fā)到整個(gè)數(shù)據(jù)中心內(nèi)部相關(guān)對(duì)應(yīng)虛擬路由器組件上,將可疑流量全部牽引至vDFW進(jìn)行檢測(cè)防護(hù)與內(nèi)容過(guò)濾。針對(duì)數(shù)據(jù)中心內(nèi)部各類(lèi)安全域、各個(gè)部門(mén)、采用的按需配置、差異化、自適應(yīng)的安全策略。
2.2.2.2 內(nèi)網(wǎng)安全資源池
與數(shù)據(jù)中心中的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源相似,各種形態(tài)、各種類(lèi)型的安全產(chǎn)品都能通過(guò)控制和數(shù)據(jù)平面的池化技術(shù),形成一個(gè)個(gè)具有某種檢測(cè)或防護(hù)能力的安全資源池。當(dāng)安全設(shè)備以硬件存在的時(shí)候(如硬件虛擬化和硬件原生引擎系統(tǒng)),可直接連接硬件 SDN 網(wǎng)絡(luò)設(shè)備接入資源池;當(dāng)安全設(shè)備以虛擬機(jī)形態(tài)存在的時(shí)候(如虛擬機(jī)形態(tài)和硬件內(nèi)置虛擬機(jī)形態(tài)),可部署在通用架構(gòu)(如 x86)的服務(wù)器中,連接到虛擬交換機(jī)上,由端點(diǎn)的 agent 統(tǒng)一做生命周期管理和網(wǎng)絡(luò)資源管理。控制平臺(tái)通過(guò)安全應(yīng)用的策略體現(xiàn)出處置的智能度,通過(guò)資源池體現(xiàn)出處置的敏捷度。軟件定義的安全資源池可以讓整套安全體系迸發(fā)出強(qiáng)大的活力,極大地提高了系統(tǒng)的整體防護(hù)效率。
通過(guò)安全資源管理與調(diào)度平臺(tái),實(shí)現(xiàn)與安全資源的對(duì)接,包括vFW、vIPS、vWAF等,各個(gè)安全子域的邊界防護(hù),通過(guò)安全資源管理與調(diào)度平臺(tái),通過(guò)策略路由的方式,實(shí)現(xiàn)服務(wù)鏈的管理和策略的編排各安全域邊界之間均采用虛擬防火墻作為邊界。
第 18 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
如上圖所示,在安全子域中將防火墻、WAF、LBS、AV、主機(jī)加固等均進(jìn)行虛擬化資源池配置,通過(guò)安全管理子域中的安全控制器根據(jù)各子域的實(shí)際安全需求進(jìn)行資源調(diào)用。針對(duì)各個(gè)子域內(nèi)的邊界訪問(wèn)控制,由安全資源與管理平臺(tái)調(diào)用防火墻池化資源,分別針對(duì)各子域的訪問(wèn)請(qǐng)求設(shè)置相應(yīng)的訪問(wèn)控制策略,根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等,決定該數(shù)據(jù)包是否可以進(jìn)出本區(qū)域,并確定該數(shù)據(jù)包可以訪問(wèn)的客體資源。
由此可見(jiàn),安全資源池對(duì)外體現(xiàn)的是多種安全能力的組合、疊加和伸縮,可應(yīng)用于云計(jì)算環(huán)境,也可應(yīng)用于傳統(tǒng)環(huán)境,以抵御日益頻繁的內(nèi)外部安全威脅。當(dāng)然,在云環(huán)境中,安全資源池不僅可以解決云安全的落地,而且能發(fā)揮虛擬化和 SDN 等先進(jìn)技術(shù)的優(yōu)勢(shì),實(shí)現(xiàn)最大限度的軟件定義安全。
2.2.2.3 安全域訪問(wèn)控制
為提升虛擬主機(jī)及網(wǎng)絡(luò)的安全性,針對(duì)虛擬網(wǎng)絡(luò)安全邊界設(shè)定訪問(wèn)控制策略,對(duì)于縱向流量、橫向流量進(jìn)行基于IP與端口的訪問(wèn)路徑限制。
? 對(duì)于虛擬網(wǎng)絡(luò)邊界進(jìn)行區(qū)域請(qǐng)求控制 ? VPN接入邊界訪問(wèn)控制 ? Vlan訪問(wèn)控制
2.2.2.4 iaas系統(tǒng)虛擬化安全規(guī)劃
虛擬機(jī)的鏡像文件本質(zhì)上來(lái)說(shuō)就是虛擬磁盤(pán),虛擬機(jī)的操作系統(tǒng)與使用者的系統(tǒng)數(shù)據(jù)全部保存在鏡像文件中,對(duì)鏡像文件的加密手段是否有效,將直接關(guān)系
第 19 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
虛擬主機(jī)的安全性。建議部署鏡像文件加密系統(tǒng),對(duì)iaas區(qū)域下的數(shù)據(jù)盤(pán)鏡像文件進(jìn)行加密,采用任何國(guó)家認(rèn)可的第三方加密算法進(jìn)行加密。同時(shí)解密密碼與uKey綁定,即使數(shù)據(jù)中心硬件失竊,也無(wú)法被破解。加密行為包括:授權(quán)、加密、解密功能。
2.2.2.5 虛擬資產(chǎn)密碼管理
為增強(qiáng)虛擬資產(chǎn)的密碼防護(hù)功能,建議通過(guò)密鑰管理與資產(chǎn)管理分離的技術(shù)方式,實(shí)現(xiàn)管理員僅維護(hù)信息資產(chǎn),用戶(hù)自行管理密鑰的工作模式。通過(guò)密碼機(jī)集群與虛擬化技術(shù)的結(jié)合擴(kuò)充密碼運(yùn)算能力,將密碼運(yùn)算能力進(jìn)行細(xì)粒度劃分,并通過(guò)集中的密鑰管理及配套的安全策略保護(hù)用戶(hù)密鑰整生命周期的安全
2.2.2.6 虛擬主機(jī)安全防護(hù)設(shè)計(jì)
虛擬主機(jī)安全防護(hù)設(shè)計(jì)主要實(shí)現(xiàn)如下目標(biāo): ? 資產(chǎn)清點(diǎn)
? 自動(dòng)化的進(jìn)行細(xì)粒度的風(fēng)險(xiǎn)分析 ? 安全合規(guī)性基線(xiàn)檢查
? 對(duì)后門(mén)、Webshell、文件完整性和系統(tǒng)權(quán)限變更等進(jìn)行監(jiān)測(cè)行為分析
第 20 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
如上圖所示,通過(guò)收集主機(jī)上的操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等配置數(shù)據(jù),準(zhǔn)確分析應(yīng)用系統(tǒng)在不同層面的配置信息,結(jié)合第三方病毒庫(kù)進(jìn)行漏洞和風(fēng)險(xiǎn)分析,并及時(shí)給出整改加固建議。
2.2.2.7 內(nèi)網(wǎng)虛擬化安全運(yùn)維平臺(tái)
2.2.2.7.1 集中賬號(hào)管理
在云堡壘機(jī)管理系統(tǒng)中建立基于唯一身份標(biāo)識(shí)的全局用戶(hù)帳號(hào),統(tǒng)一維護(hù)云平臺(tái)與服務(wù)器管理帳號(hào),實(shí)現(xiàn)與各云平臺(tái)、服務(wù)器等無(wú)縫連接。
第 21 頁(yè) 內(nèi)網(wǎng)安全整體解決方案 2.2.2.7.2 統(tǒng)一登錄與管控
用戶(hù)通過(guò)云堡壘機(jī)管理系統(tǒng)單點(diǎn)登錄到相應(yīng)的虛擬機(jī),且所有操作將通過(guò)云堡壘機(jī)系統(tǒng)進(jìn)行統(tǒng)一管控,只需要使用云堡壘機(jī)提供的訪問(wèn)IP、用戶(hù)名、密碼登錄后,用戶(hù)即可登錄相應(yīng)的云平臺(tái)與服務(wù)器,而不需要反復(fù)填寫(xiě)對(duì)應(yīng)云平臺(tái)與服務(wù)器的地址、用戶(hù)名、密碼。
用戶(hù)可通過(guò)vsphere client登錄vmware vsphere云平臺(tái)進(jìn)行管理,輸入云堡壘機(jī)為該云平臺(tái)提供的訪問(wèn)IP與用戶(hù)在云堡壘機(jī)中的用戶(hù)名和密碼即可完成登錄。
第 22 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
2.2.2.7.3 記錄與審計(jì)
通過(guò)云堡壘機(jī)管理系統(tǒng)的訪問(wèn)歷史記錄回放功能,可隨時(shí)查看每個(gè)用戶(hù)對(duì)所屬服務(wù)器、虛擬機(jī)的訪問(wèn)情況。
windows歷史訪問(wèn)回放
第 23 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
linux歷史訪問(wèn)回放
在回放過(guò)程中,用戶(hù)可以試用云堡壘機(jī)的“智能搜索”功能大大加快回放速度,快速定位到用戶(hù)可疑操作位置。
Windows回放智能搜索
回放智能搜索
第 24 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
云堡壘機(jī)系統(tǒng)還提供會(huì)話(huà)管理功能。可以通過(guò)云堡壘機(jī)系統(tǒng)快速查看用戶(hù)會(huì)話(huà),實(shí)時(shí)監(jiān)控,以及中斷會(huì)話(huà)。2.2.2.7.1 權(quán)限控制與動(dòng)態(tài)授權(quán)
云堡壘機(jī)系統(tǒng)統(tǒng)一分配系統(tǒng)角色對(duì)應(yīng)的云平臺(tái)與服務(wù)器權(quán)限,當(dāng)用戶(hù)在真實(shí)使用場(chǎng)景下的角色權(quán)限與云堡壘機(jī)系統(tǒng)中預(yù)置的角色權(quán)限,不一致時(shí),可通過(guò)云堡壘機(jī)的動(dòng)態(tài)授權(quán)功能,對(duì)角色的云平臺(tái)與服務(wù)器權(quán)限進(jìn)行方便靈活變更。
2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析
2.3.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知
建議部署態(tài)勢(shì)感知系統(tǒng),檢測(cè)已知位置的終端惡意軟件的遠(yuǎn)控通信行為,定位失陷主機(jī),根據(jù)態(tài)勢(shì)感知設(shè)備的告警信息,采集、取證、判定、處置內(nèi)網(wǎng)終端主機(jī)上的惡意代碼,針對(duì)未知惡意文件攻擊,將流量還原得到的辦公文檔和可執(zhí)行文件放入網(wǎng)絡(luò)沙箱虛擬環(huán)境中執(zhí)行,根據(jù)執(zhí)行中的可疑行為綜合判定各類(lèi)含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序,及植入攻擊行為。檢測(cè)各類(lèi)植入攻擊:郵件投遞,掛馬網(wǎng)站,文件下載,準(zhǔn)確識(shí)別0day、Nday漏洞入侵的惡意代碼
2.3.2 內(nèi)網(wǎng)全景流量分析
建議部署內(nèi)部網(wǎng)絡(luò)流量分析系統(tǒng),數(shù)據(jù)的傳遞介質(zhì)是網(wǎng)絡(luò)協(xié)議,網(wǎng)絡(luò)流量作
第 25 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
為網(wǎng)絡(luò)協(xié)議中最有價(jià)值的安全分析維度,其本身就承載著重要的風(fēng)險(xiǎn)識(shí)別作用,針對(duì)內(nèi)部網(wǎng)絡(luò)的任何攻擊行為都將在內(nèi)部異常流量中呈現(xiàn)本質(zhì)化特征,因此基于流量的內(nèi)網(wǎng)安全數(shù)據(jù)分析是最能客觀反映當(dāng)前內(nèi)網(wǎng)安全等級(jí)的參考指標(biāo)。
2.3.2.1 基線(xiàn)建模異常流量分析
流量異常檢測(cè)的核心問(wèn)題是實(shí)現(xiàn)流量正常行為的描述,并且能夠?qū)崟r(shí)、快速地對(duì)異常進(jìn)行處理。系統(tǒng)采用了一種基于統(tǒng)計(jì)的流量異常檢測(cè)方法,首先確定正常的網(wǎng)絡(luò)流量基線(xiàn),然后根據(jù)此基線(xiàn)利用正態(tài)分布假設(shè)檢驗(yàn)實(shí)現(xiàn)對(duì)當(dāng)前流量的異常檢測(cè)。比如流量的大小、包長(zhǎng)的信息、協(xié)議的信息、端口流量的信息、TCP標(biāo)志位的信息等,這些基本特征比較詳細(xì)地描述了網(wǎng)絡(luò)流量的運(yùn)行狀態(tài)。
總體設(shè)計(jì) 網(wǎng)絡(luò)流量異常檢測(cè)模型的總體設(shè)計(jì)思路是:從網(wǎng)絡(luò)的總出口采集數(shù)據(jù),對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分類(lèi),將它的統(tǒng)計(jì)值傳到相應(yīng)的存儲(chǔ)空間,然后對(duì)這些數(shù)據(jù)包進(jìn)行流量分析
2.3.2.2 流量分析引擎
對(duì)采集到的數(shù)據(jù)進(jìn)行分析處理。通過(guò)建立正常網(wǎng)絡(luò)流量模型,按照一定的規(guī)則進(jìn)行流量異常檢測(cè)。同時(shí)根據(jù)滑動(dòng)窗口的更新策略,能夠自動(dòng)學(xué)習(xí)最近的流量情況,從而調(diào)整檢測(cè)的準(zhǔn)確度。
建立正常網(wǎng)絡(luò)流量模型 要進(jìn)行流量異常檢測(cè),必須首先建立正常的網(wǎng)絡(luò)流量模型,然后對(duì)比正常模型能夠識(shí)別異常。本文使用基于統(tǒng)計(jì)的方法來(lái)實(shí)現(xiàn)異常檢測(cè),利用網(wǎng)絡(luò)流量的歷史行為檢測(cè)當(dāng)前的異常活動(dòng)和網(wǎng)絡(luò)性能的下降。因此正常流量模型的建立需要把反映網(wǎng)絡(luò)流量的各項(xiàng)指標(biāo)都體現(xiàn)出來(lái),使其能夠準(zhǔn)確反映網(wǎng)絡(luò)活動(dòng)。
在系統(tǒng)運(yùn)行時(shí),統(tǒng)計(jì)當(dāng)前流量行為可測(cè)度集,并同正常的網(wǎng)絡(luò)基線(xiàn)相比較,如果當(dāng)前流量行為與正常網(wǎng)絡(luò)基線(xiàn)出現(xiàn)明顯的偏離時(shí),即認(rèn)為出現(xiàn)了異常行為,并可進(jìn)一步檢測(cè)分析;如果兩種行為沒(méi)有明顯偏差,則流量正常,更新正常網(wǎng)絡(luò)流量模型。
通過(guò)該界面實(shí)現(xiàn)查看信息、設(shè)定檢測(cè)規(guī)則、設(shè)定閾值、設(shè)定報(bào)警方式以及處理報(bào)警等功能。系統(tǒng)應(yīng)該對(duì)于檢測(cè)出的異常主機(jī)進(jìn)行標(biāo)記,標(biāo)記異常的類(lèi)型、統(tǒng)
第 26 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
計(jì)量、閾值指標(biāo)、消息以及異常發(fā)生的時(shí)間等情況,給系統(tǒng)管理員報(bào)告一個(gè)異常信息。
2.3.2.3 異常的互聯(lián)關(guān)系分析
對(duì)于不符合白名單和灰名單的互連關(guān)系和流量,系統(tǒng)會(huì)自動(dòng)生成未知數(shù)據(jù)流,并對(duì)未知數(shù)據(jù)流進(jìn)行識(shí)別、匹配,從中提取可供判斷的信息,如:?jiǎn)吸c(diǎn)對(duì)多點(diǎn)的快速連接,系統(tǒng)會(huì)識(shí)別為網(wǎng)絡(luò)掃描,非正常時(shí)段的數(shù)據(jù)連接,系統(tǒng)會(huì)視為異常行為,多點(diǎn)對(duì)單點(diǎn)的大流量連接,系統(tǒng)會(huì)識(shí)別為非法應(yīng)用等。用戶(hù)對(duì)未知數(shù)據(jù)流識(shí)別、確認(rèn)、處理后,可將未知數(shù)據(jù)流自動(dòng)生產(chǎn)報(bào)警或提取到白名單。
2.3.3 內(nèi)網(wǎng)多源威脅情報(bào)分析
建議在內(nèi)網(wǎng)部署多源威脅情報(bào)分析,通過(guò)對(duì)不同源頭威脅情報(bào)的統(tǒng)一匯總、分析、展示等功能,極大提高情報(bào)告警準(zhǔn)確率,幫助評(píng)測(cè)內(nèi)部信息系統(tǒng)遭受的風(fēng)險(xiǎn)以及安全隱患從而讓安全團(tuán)隊(duì)進(jìn)行有安全數(shù)據(jù)佐證的重點(diǎn)內(nèi)部領(lǐng)域防護(hù)措施。內(nèi)部安全團(tuán)隊(duì)多人對(duì)單條威脅情報(bào)存在疑慮時(shí),可進(jìn)行協(xié)同式研判,提升單挑威脅情報(bào)與情報(bào)源的命中率統(tǒng)計(jì)。內(nèi)部安全管理員可以定期生成威脅情報(bào)月報(bào),便于將一段時(shí)間內(nèi)的系統(tǒng)漏洞、應(yīng)用漏洞、數(shù)據(jù)庫(kù)漏洞進(jìn)行選擇性摘要,使安全加固工作處于主動(dòng)、積極、有效的工作場(chǎng)景之中。
2.4 內(nèi)網(wǎng)安全管控措施
2.4.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)主動(dòng)識(shí)別
2.4.1.1 基于漏洞檢測(cè)的主動(dòng)防御
云安全防護(hù)虛擬資源池內(nèi)為用戶(hù)提供了系統(tǒng)層漏掃、web層漏掃、數(shù)據(jù)庫(kù)漏掃三種檢測(cè)工具,可以為用戶(hù)提供定期的安全風(fēng)險(xiǎn)檢測(cè),基于已知風(fēng)險(xiǎn)或未知風(fēng)險(xiǎn)進(jìn)行安全策略調(diào)整、漏洞修復(fù)、補(bǔ)丁更新等主動(dòng)防御行為。
第 27 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
2.4.1.1.1 漏洞檢測(cè)范圍
操作系統(tǒng):Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;
數(shù)據(jù)庫(kù):MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;
網(wǎng)絡(luò)設(shè)備:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢(shì)科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。
應(yīng)用系統(tǒng):各種Web服務(wù)器應(yīng)用系統(tǒng)(IIS、Apache Tomcat、IBM lotus……)、各種DNS服務(wù)器應(yīng)用系統(tǒng)、各種FTP/TFTP服務(wù)器應(yīng)用系統(tǒng)、虛擬化系統(tǒng)(Vmware、Virtual Box、KVM、OpenStack等等)、郵件服務(wù)器應(yīng)用系統(tǒng)(MS Exchange、IMAP、Ipswitch Imail、Postfix……)2.4.1.1.2 識(shí)別漏洞類(lèi)型 ? 系統(tǒng)漏洞類(lèi)型
Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數(shù)據(jù)庫(kù)服務(wù)器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、第 28 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網(wǎng)絡(luò)設(shè)備漏洞大于516種、Mail漏洞大于251種、雜項(xiàng)漏洞(含RPC、NFS、主機(jī)后門(mén)、NIS、SNMP、守護(hù)進(jìn)程、PROXY、強(qiáng)力攻擊……)? web漏洞類(lèi)型
微軟IIS漏洞檢測(cè)、Apache漏洞檢測(cè)、IBM WebSphere漏洞檢測(cè)、Apache Tomcat漏洞檢測(cè)、SSL模塊漏洞檢測(cè)、Nginx漏洞檢測(cè)、IBM Lotus漏洞檢測(cè)、Resin漏洞檢測(cè)、Weblogic漏洞檢測(cè)、Squid漏洞檢測(cè)、lighttpd漏洞檢測(cè)、Netscape Enterprise漏洞檢測(cè)、Sun iPlanet Web漏洞檢測(cè)、Oracle HTTP Server漏洞檢測(cè)、Zope漏洞檢測(cè)、HP System Management Homepage漏洞檢測(cè)、Cherokee漏洞檢測(cè)、RaidenHTTPD漏洞檢測(cè)、Zeus漏洞檢測(cè)、Abyss Web Server漏洞檢測(cè)、以及其他Web漏洞檢測(cè)等Web服務(wù)器的掃描,尤其對(duì)于IIS具有最多的漏洞檢測(cè)能力,IIS漏洞大于155種 ? 數(shù)據(jù)庫(kù)漏洞類(lèi)型
MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以?huà)呙钄?shù)據(jù)庫(kù)大于三百五十多種漏洞,包含了有關(guān)空口令、弱口令、用戶(hù)權(quán)限漏洞、用戶(hù)訪問(wèn)認(rèn)證漏洞、系統(tǒng)完整性檢查、存儲(chǔ)過(guò)程漏洞和與數(shù)據(jù)庫(kù)相關(guān)的應(yīng)用程序漏洞等方面的漏洞,基本上覆蓋了數(shù)據(jù)庫(kù)常被用做后門(mén)進(jìn)行攻擊的漏洞,并提出相應(yīng)的修補(bǔ)建議 2.4.1.1.3 內(nèi)部主動(dòng)防御
根據(jù)漏洞掃描結(jié)果,給予定制化安全加固方案,結(jié)合漏洞級(jí)別、漏洞類(lèi)型、漏洞波及范圍、修復(fù)風(fēng)險(xiǎn)、加固后復(fù)測(cè)等人工服務(wù),配合用戶(hù)第一時(shí)間完成修復(fù)工作,我們將從信息安全專(zhuān)業(yè)技術(shù)層面為您說(shuō)明每一條漏洞可能導(dǎo)致的安全事件可能性,從用戶(hù)安全運(yùn)維、業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的角度出發(fā),給出可落地的安全加固方案。
2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理
建議構(gòu)建統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng),建立統(tǒng)一身份庫(kù),業(yè)務(wù)操作人員、系統(tǒng)運(yùn)維人員、IT基礎(chǔ)架構(gòu)運(yùn)維人員、業(yè)務(wù)應(yīng)用管理員、IT基礎(chǔ)架構(gòu)管理人員、第 29 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
系統(tǒng)管理人員通過(guò)統(tǒng)一認(rèn)證入口,進(jìn)行統(tǒng)一的身份認(rèn)證,并對(duì)不同人員設(shè)置不同的訪問(wèn)權(quán)限,并實(shí)現(xiàn)所有用戶(hù)登錄及訪問(wèn)行為分析和審計(jì)。
2.4.2.1 統(tǒng)一用戶(hù)身份認(rèn)證設(shè)計(jì)
建立的統(tǒng)一身份庫(kù),包括運(yùn)營(yíng)身份庫(kù)和業(yè)務(wù)人員身份庫(kù),使用戶(hù)在統(tǒng)一身份庫(kù)中,只有唯一身份標(biāo)識(shí),用戶(hù)向統(tǒng)一認(rèn)證平臺(tái)提交的證明是其本人的憑據(jù),根據(jù)系統(tǒng)級(jí)別不同,采用的認(rèn)證方式不同,每個(gè)應(yīng)用系統(tǒng)都有自己的賬戶(hù)體系,這些賬戶(hù)被看做是訪問(wèn)一個(gè)信息資產(chǎn)的權(quán)限,管理員可以在統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)中配置某個(gè)用戶(hù)在系統(tǒng)中對(duì)若干賬戶(hù)的訪問(wèn)權(quán)限。實(shí)現(xiàn)各應(yīng)用系統(tǒng)不再處理身份認(rèn)證,而是通過(guò)統(tǒng)一的身份認(rèn)證入口進(jìn)行認(rèn)證,通過(guò)后期的行為分析提供對(duì)異常行為的檢測(cè)及加強(qiáng)認(rèn)證或阻斷操作。用戶(hù)分類(lèi)具體如下圖所示:
2.4.2.2 統(tǒng)一用戶(hù)權(quán)限管理設(shè)計(jì)
一、外部用戶(hù)
二、內(nèi)部用戶(hù)
1、運(yùn)維人員的權(quán)限管理
第 30 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
2、業(yè)務(wù)人員的權(quán)限管理
2.4.2.3 業(yè)務(wù)內(nèi)容身份鑒別與訪問(wèn)控制設(shè)計(jì)
一、內(nèi)部訪問(wèn)設(shè)計(jì)
內(nèi)部訪問(wèn)設(shè)計(jì)主要面向內(nèi)部用戶(hù),通過(guò)驗(yàn)證后會(huì)加入到統(tǒng)一用戶(hù)身份認(rèn)證與權(quán)限管理平臺(tái)身份庫(kù),經(jīng)過(guò)認(rèn)證策略判定,錄入認(rèn)證策略庫(kù),最后通過(guò)堡壘機(jī)實(shí)現(xiàn)內(nèi)部訪問(wèn)。
二、外部訪問(wèn)設(shè)計(jì)
身份合法驗(yàn)證,通過(guò)驗(yàn)證后會(huì)加入到外部用戶(hù)統(tǒng)一用戶(hù)身份認(rèn)證與權(quán)限管理平臺(tái)身份庫(kù),經(jīng)過(guò)認(rèn)證策略判定并錄入認(rèn)證策略庫(kù),經(jīng)過(guò)多因素認(rèn)證資源池(包
第 31 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
括指紋、二維碼、RSA令牌等)實(shí)現(xiàn)外部應(yīng)用的系統(tǒng)資源訪問(wèn)。
2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺(tái)
建議部署安全漏洞統(tǒng)一管理平臺(tái),按照組織架構(gòu)或業(yè)務(wù)視圖建立資產(chǎn)管理目錄,快速感知不同資產(chǎn)層級(jí)的漏洞態(tài)勢(shì),解決內(nèi)部漏洞無(wú)法與業(yè)務(wù)系統(tǒng)自動(dòng)關(guān)聯(lián)分析的問(wèn)題,為監(jiān)管方提供宏觀分析視圖。將不同來(lái)源、不同廠商、不同語(yǔ)言、不同類(lèi)型的漏洞數(shù)據(jù)自動(dòng)標(biāo)準(zhǔn)化成符合國(guó)家標(biāo)準(zhǔn)的全中文漏洞數(shù)據(jù),并去重合。形成某單位自身的漏洞信息庫(kù),賦予漏洞數(shù)據(jù)空間、時(shí)間、狀態(tài)和威脅屬性,形成每個(gè)信息系統(tǒng)的漏洞信息庫(kù),并對(duì)其生命周期狀態(tài)進(jìn)行跟蹤。順應(yīng)國(guó)家網(wǎng)絡(luò)安全和行業(yè)發(fā)展的需要,解決了漏洞檢測(cè)、漏洞驗(yàn)證、漏洞處置和響應(yīng)等環(huán)節(jié)中存在的多種問(wèn)題,實(shí)現(xiàn)漏洞管理流程化、自動(dòng)化、平臺(tái)化及可視化。
第 32 頁(yè) 內(nèi)網(wǎng)安全整體解決方案
第三章 內(nèi)網(wǎng)安全防護(hù)設(shè)備清單
? 云防火墻 ? 硬件防火墻 ? 云waf ? 硬件waf ? IPS ? 防病毒網(wǎng)關(guān) ? 上網(wǎng)行為管理 ? 隔離網(wǎng)閘 ? 流量分析系統(tǒng)
? 多源威脅情報(bào)分析系統(tǒng) ? 安全漏洞統(tǒng)一管理平臺(tái) ? 堡壘機(jī) ? 云堡壘機(jī) ? 數(shù)據(jù)庫(kù)審計(jì) ? 態(tài)勢(shì)感知平臺(tái) ? 系統(tǒng)漏洞掃描器 ? Web漏洞掃描器 ? 數(shù)據(jù)庫(kù)漏洞掃描器 ? 鏡像文件加密 ? 云堡壘機(jī) ? 云數(shù)據(jù)庫(kù)審計(jì) ? 統(tǒng)一身份證書(shū)
? 虛擬終端加固及防護(hù)軟件? 虛擬主機(jī)加密機(jī) ? 數(shù)據(jù)防泄密 ? 網(wǎng)絡(luò)準(zhǔn)入設(shè)備 ? 服務(wù)器加固軟件
第 33 頁(yè)
第五篇:行業(yè)門(mén)戶(hù)網(wǎng)站解決方案
行業(yè)門(mén)戶(hù)網(wǎng)站近來(lái)發(fā)展迅速,網(wǎng)站針對(duì)性地為業(yè)內(nèi)人士提供行業(yè)內(nèi)及行業(yè)相關(guān)信息服務(wù),強(qiáng)化業(yè)內(nèi)信息的分類(lèi),充分體現(xiàn)本行業(yè)特色。網(wǎng)站定位于行業(yè)的動(dòng)態(tài)信息、產(chǎn)品信息、市場(chǎng)信息和技術(shù)發(fā)展信息,樹(shù)立業(yè)內(nèi)信息權(quán)威形象,為客戶(hù)提供需要的信息和網(wǎng)上交流的空間。久久網(wǎng)絡(luò)提供的行業(yè)門(mén)戶(hù)解決方案重視行業(yè)內(nèi)外的產(chǎn)品供應(yīng)鏈管理,提供實(shí)際的商業(yè)機(jī)會(huì),增強(qiáng)網(wǎng)站與客戶(hù)進(jìn)入良性互動(dòng)性。久久網(wǎng)絡(luò)行業(yè)門(mén)戶(hù)解決方案從技術(shù)上為客戶(hù)提供了形式多樣的主動(dòng)和被動(dòng)的商機(jī)尋找方式,強(qiáng)調(diào)行業(yè)門(mén)戶(hù)的垂直(vertical)特點(diǎn),提供完善的客戶(hù)關(guān)系管理(CRM)功能。多級(jí)會(huì)員管理體系和權(quán)限管理機(jī)制使企業(yè)會(huì)員以及企業(yè)內(nèi)不同角色在網(wǎng)站中獲得不同的業(yè)務(wù)權(quán)限。強(qiáng)大的電子商務(wù)體系為行業(yè)電子商務(wù)運(yùn)行提供了強(qiáng)有力的保障。
常用功能模塊簡(jiǎn)介
一、信息發(fā)布模塊
發(fā)布有關(guān)企業(yè)的各種信息資訊,包括:企業(yè)簡(jiǎn)介、企業(yè)新聞、企業(yè)活動(dòng)、內(nèi)部刊物等 實(shí)現(xiàn)功能:信息的增加、修改、刪除,信息審核,信息的自動(dòng)發(fā)布,信息查詢(xún)提供一整套流程管理及控制方法統(tǒng)一管理網(wǎng)站信息,系統(tǒng)化和標(biāo)準(zhǔn)化發(fā)布網(wǎng)站信息提供擴(kuò)展的信息接口
二、產(chǎn)品展示模塊
產(chǎn)品信息展示,包括:產(chǎn)品圖片、產(chǎn)品性能、產(chǎn)品價(jià)格等 產(chǎn)品查詢(xún)引擎,包括:類(lèi)別查詢(xún)、關(guān)鍵詞查詢(xún)、模糊查詢(xún)產(chǎn)品信息維護(hù),包括:產(chǎn)品的歸類(lèi),產(chǎn)品信息的增刪改,產(chǎn)品規(guī)則的設(shè)定樣版室,將最新產(chǎn)品提供給專(zhuān)業(yè)用戶(hù),并設(shè)置嚴(yán)格的安全條件防止商業(yè)信息泄露
三、網(wǎng)上商務(wù)管理
整個(gè)購(gòu)物流程的實(shí)現(xiàn),客戶(hù)可以對(duì)已購(gòu)買(mǎi)物品進(jìn)行添加、刪除、更改等操作 客戶(hù)定單管理,客戶(hù)可以查看客戶(hù)定單的進(jìn)度(如:制造進(jìn)度、送貨情況等)客戶(hù)定單維護(hù),維護(hù)人員更新客戶(hù)定單的相關(guān)進(jìn)度(如:制造進(jìn)度、送貨情況等);另外還可以刪除無(wú)效定單擴(kuò)展加上在線(xiàn)支付模塊就可直接在網(wǎng)上實(shí)現(xiàn)支付
四、銷(xiāo)售管理系統(tǒng)
收集公司及各地分公司的銷(xiāo)售信息 記錄及統(tǒng)計(jì)產(chǎn)品庫(kù)存情況 為各地分公司提供網(wǎng)上采購(gòu)的功能
五、客戶(hù)服務(wù)中心
客戶(hù)及會(huì)員信息搜集,注冊(cè)成會(huì)員后的權(quán)利 網(wǎng)站管理者對(duì)會(huì)員信息的維護(hù)及管理 會(huì)員對(duì)自己信息的維護(hù)及管理處理客戶(hù)的問(wèn)題及售后服務(wù)支持可擴(kuò)展成為用戶(hù)反饋系統(tǒng),加盟連鎖管理系統(tǒng)
六、系統(tǒng)維護(hù)模塊
超級(jí)用戶(hù)對(duì)系統(tǒng)操作人員的管理,包括:系統(tǒng)權(quán)限的賦予和變更,操作口令的設(shè)置 系統(tǒng)操作人員更改自己的口令信息 對(duì)客戶(hù)及會(huì)員信息的管理及其他資料的管理
七、日志分析模塊
流量統(tǒng)計(jì)、訪問(wèn)量統(tǒng)計(jì)、用戶(hù)統(tǒng)計(jì)、頁(yè)面統(tǒng)計(jì)
八、網(wǎng)絡(luò)互動(dòng)系統(tǒng)
通過(guò)在線(xiàn)支持系統(tǒng),注冊(cè)用戶(hù)提交的相關(guān)信息,并對(duì)感興趣的問(wèn)題進(jìn)行討論,同時(shí)具有一整套的管理流程 通過(guò)在線(xiàn)調(diào)查系統(tǒng),使客戶(hù)能領(lǐng)先一步了解市場(chǎng)反應(yīng)
點(diǎn)擊咨詢(xún) 