安全解決方案-北京樂金飛利浦電子有限公司

解決方案 / 安全解決方案

方案背景：

在數字化轉型、“互聯網+”的大背景下，網絡信息溝通是各個企業間不可或缺的通道。因此，信息安全在中鐵數字化轉型時代的重要性越來越突出，發展信息產業首先要保護信息安全。從股份公司到下屬單位目標一致，在整體大趨勢下做好全網網絡安全保衛工作。

當前防病毒軟件或硬件網關，基本上以依靠病毒特征庫為主，而針對經過變種的病毒、木馬或者未知惡意代碼，不具備監測能力。從而，未知惡意代碼能夠都計算機系統或網絡設備帶來很大的危害。全面的攻防不對等為整體安全建設加固敲響警鐘。

方案介紹：

       1.以鐵建所內網的辦公區和服務器區為核心，采用路由模式在內網出口處部署下一代防火墻與上網行為管理設備，下一代防火墻做對外的安全防護，上網行為管理做對內的安全管控。
       2.為保障企業內網的核心數據安全，在內網各服務器和PC端安裝EDR終端檢測與響應設備來實現端點病毒等的防御和查殺。
       3.設置統一運維區，部署日志審計、數據庫審計、堡壘機設備，對運維管理區進行深度安全管控。
       4.在核心交換機上旁路部署一臺威脅檢測探針，在同一運維區部署一臺態勢感知設備，該設備不僅可以聯動探針的流量分析結果，也可以聯動EDR和出口防火墻，進行統一的安全態勢分析與展示。

設計方案：

關鍵技術：

1.訪問控制：

除基本的ACL訪問控制列表的方法予以隔離以外，還可以針對用戶實施精細化的訪問控制、應用限制、帶寬保證等管控手段。例如，支持基于國家地理位置的訪問控制。能夠精確識別攻擊源/ 目的IP 所處的國家地理位置，從而可以根據業務通信要求實施基于國家地理位置的訪問控制，快速阻斷攻擊流量。

2.入侵防御：

包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區溢出攻擊/協議異常/ IPS逃逸攻擊等。尤其是針對應用層入侵，下一代防火墻可以全面識別各種應用層漏洞，如struts2漏洞、Adobe Flash 遠程代碼執行漏洞等，并針對性開啟防護策略。

3.惡意代碼防護：

采用流模式和啟發式文件掃描技術，可對HTTP、SMTP、POP3、FTP等多種協議類型的近百萬種病毒進行查殺，包括木馬、蠕蟲、宏病毒、腳本病毒等，同時可對多線程并發、深層次壓縮文件等進行有效控制和查殺。

4.Web安全防護

提供專業Web攻擊防護功能。支持SQL注入、跨站腳本、CC攻擊等檢測與過濾，避免Web服務器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止Web Shell和敏感信息泄露，避免網頁篡改與掛馬，滿足用戶Web服務器深層次安全防護需求。