论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-02 17:32 
离线
初级用户

关注按钮

注册: 2012-02-12 15:56
最近: 2013-06-05 14:43
拥有: 2,550.00 安全币

奖励: 0 安全币
在线: 1121 点
帖子: 59
内网管控需求:
1.要对内部员工和访客进行区分,访客只能使用外网,内部员工可使用外网和内网;
2.解决各办公室私自拉接无线路由器、无线AP的问题;
3.解决内网病毒泛滥,尤其是OA文件病毒较多的问题;
4.员工生活营地不需要做管控;
5.用户终端不能安装客户端及任何插件。

简单来说。上网行为管理设备能解决你几乎所有担心的问题。
如果复杂的来解决的话。那么用固定IP mac绑定,dhcp snooping, port security 等技术结合准入设备来处理。如果你没有实际经验最佳方式还是用上网行为管理设备,你咨询一下相关的厂家 比如深信服 网康,把你的需求给他们。我相信你这几个需求已经有很成熟的解决方案了。

但是另一个角度来说,安全必须从上到下的贯彻,那么你需要转嫁责任。你只是一个小兵千万别抗锅。记得把你要控制的东西整理出来呈到上一级领导,批示以后从领导的层面下发精神,最好这个下发精神也从办公室等部门做起不要经过你的部门。这样才会让你实施安全控制的时候顺畅,也不会有人给你找麻烦。因为你也可以推说身不由己。否则你就背了黑锅成了替罪羊了。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-03 14:44 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,637.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
你现在几个人?要考虑好人手问题,上去肯定会有很大的工作量和技术上的支持,要有足够的预估。

还是那句话,有预算的话找几个厂家交流一下,经验会迅速增长。如果能进行全面的测试,那效果会更好。

另,如果银子有限,还是考虑AD管理为宜。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-03 17:56 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,798.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
看起来要增加的软件设备不少啊,呵呵楼主准备花多少钱?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-08 14:16 
离线
新手

注册: 2012-08-05 09:44
最近: 2015-02-26 10:37
拥有: 219.00 安全币

奖励: 2 安全币
在线: 1242 点
帖子: 11
sun_bone 写道:
你现在几个人?要考虑好人手问题,上去肯定会有很大的工作量和技术上的支持,要有足够的预估。

还是那句话,有预算的话找几个厂家交流一下,经验会迅速增长。如果能进行全面的测试,那效果会更好。

另,如果银子有限,还是考虑AD管理为宜。


人手有限,就2个人,银子也有限


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-11 22:15 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,363.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
crack1985 写道:
网络环境:
1.入口使用深信服的WOC(广域网加速器)连接至上级公司,主要网络设备有天融信的防火墙,华为的S5700及S3700交换机;
2.终端大概100-150台,包括笔记本、台式机、智能手机等,目前使用有线、路由器、无线AP多种接入方式;
3.网关使用了IPSEC VPN连接至上级公司,防火墙上开通了PPTP VPN用于系统维护;
4.网络使用人员包括内部员工、外委临时工作人员;

内网管控需求:
1.要对内部员工和访客进行区分,访客只能使用外网,内部员工可使用外网和内网;
2.解决各办公室私自拉接无线路由器、无线AP的问题;
3.解决内网病毒泛滥,尤其是OA文件病毒较多的问题;
4.员工生活营地不需要做管控;
5.用户终端不能安装客户端及任何插件。



好久没来了,看了这位朋友的帖子,根据楼主的需求简要的给几个思路供楼主参考

1、合理划分VLAN,内部采用固定IP地址,访客区IP地址DHCP分配,不允许访客区访问只需在汇聚层交换机上做策略或对交换机trunk链路上allow VLAN来排除访客区VLAN ID到内网的访问,当然如果有预算购买终端管控软件可以对接入内网的PC条件进行合规检查,不合规就不放你进来,对于VPN接入的PC,ASA防火墙也有类似的筛选功能,虽然ASA的VPN功能:站点-站点VPN连接简直是垃圾,但是对于移动、PC终端等VPN接入则非常卓越,可以对终端进行合规的准入,但需要购买授权。

2、如果采用了终端管控软件可以发现异常路由,另外你自己在相应的接入交换机上可以给端口做安全配置,shutdown所有不用的端口,对于插PC的端口进行端口安全设置,该端口只认一个MAC地址,不同MAC地址设备插入端口,该端口将shutdown,必须走相应的流程你再帮他激活端口,当然这样的配置没必要在公司公开,配合相应的处罚条例则威慑性非常强。不过我不清楚华为的交换机能不能这样配,Cisco是肯定可以port security 。

3、采用网络版的杀毒软件,但是注意国产杀软和没装差不多。

4、不管控的话就不说了。

5、终端管控软件有黑白名单,任何违规安装软件和发现违规进程都会触发警报,另外再纠正一下,首先要尽可能的主动切断安装源,让PC连安装的机会都没有。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现! --建议:内网信息安全解决方案
帖子发表于 : 2013-05-12 09:39 
离线
新手

注册: 2013-05-12 09:30
最近: 2013-05-12 15:45
拥有: 53.00 安全币

奖励: 0 安全币
在线: 28 点
帖子: 3
内网信息安全首先要解决以下问题:
1) 敏感数据的安全保护。内网信息中可能包含一些比较敏感的数据,这些敏感数据可能会被计算机病毒/木马窃取,也可能被内部人员非法下载或复制并泄露;
2) 计算机病毒和木马破坏。计算机病毒/木马不仅可能非法窃取内部敏感数据信息,还可能破坏内网的正常运行,影响办公和业务可靠运行;
3) 安全管理和运维保证问题。限于编制问题,一般单位在信息化管理和维护方面的专业人员严重不足,尽管很多单位采购并部署了各种工具系统,但是由于工作量太大以及系统可能存在的兼容性问题,用户很难真正经常性地对系统做到及时运行维护保障,系统运行存在严重安全隐患。
其次,信息安全必须适应应用的发展才有强大的生命力。随着移动iOS和Android等各种移动设备和智能手机的应用普及,为提高业务的时效性,移动办公和移动业务成为一种必然趋势,但是安全问题是制约这些新型移动业务的关键因素。设备认证问题、通信安全问题以及移动设备遗失带来的数据安全问题是支持移动办公和移动业务之前必须要解决的安全要求。
此外,信息安全应该能兼容既有应用、方便人们的应用操作、保证良好的用户体验,才能够被更好的推广应用。


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现? 建议:内网信息安全解决方案
帖子发表于 : 2013-05-12 09:48 
离线
新手

注册: 2013-05-12 09:30
最近: 2013-05-12 15:45
拥有: 53.00 安全币

奖励: 0 安全币
在线: 28 点
帖子: 3
将信息安全技术与虚拟桌面技术有机结合可以满足上述要求,其主要思想如图一所示:
附件:
方案示意图.JPG
方案示意图.JPG [ 54.85 KiB | 被浏览 3258 次 ]

图一 方案示意

图一方案采用虚拟机技术将办公等应用的操作终端与真正的应用客户端在物理上分离开来,其中,应用客户端软件运行在数据中心(或机房)的虚拟桌面服务器上,而操作终端在工作人员的工位中,用户操作终端相当于应用客户端的显示和鼠标键盘等设备。
在用户操作终端和应用客户端(虚拟桌面)之间部署一种安全云桌面网关,并将此网关作为应用系统与外部环境之间的安全边界,对包括应用服务器及其相应虚拟桌面进行整体安全部保护。安全云桌面网关的主要保护功能有:
1) 可以对各类操作终端(传统PC、瘦客户机和安卓等平台移动设备)进行多种方式的安全认证,防止非授权终端设备接入内网系统,并通过加密通信机制保证它与用户操作终端之间的通信安全;
2) 基于用户身份对其在内外网之间的数据复制行为进行控制,比如某些岗位或角色既可以向内网输入数据,也可以从内网向外部环境复制数据;而另一些岗位则可能只能将外部数据复制到内网中,而不能向外复制数据,由于这种安全机制是在安全云桌面网关上实现,因此用户不再需要禁用操作终端上的任何USB或其它外设接口,极大地减少了系统安全管理难度和工作量;
3) 在内网系统的虚拟桌面上激活“白名单”安全机制,防止各种已知和未知的病毒木马,保证业务应用的正常安全运行;该“白名单”安全机制以密码技术为基础,对系统的性能影响小于1%;
4) 通过虚拟镜像集中管理机制减少系统运维工作量,使得在现有人员编制情况下,用户能够对内网进行有效和高效的维护管理。典型情况下,系统运维工作量达到百分之九十以上的减幅,有效缓解运维管理人员编制少、运维工作量大的难题;
5) 支持各种类型的移动设备接入,由于应用客户端软件并不实际运行在这些移动设备上,所有的业务数据都在中心机房的应用服务器和虚拟桌面服务器上处理和保存,在iPad、Android手持设备和智能手机等设备上并不保存实际应用数据,因此避免了由于这些设备丢失带来的数据安全问题;
6) 对于一些特别岗位可以采购部署瘦客户机作为操作终端,这些终端价格低廉、耗电少、更换周期长,综合成本低。

采用上述方案,可以使内网的安全结构将更为简单高效,所需要的信息安全产品种类和数量更少,比如无需防病毒软件、终端安全管理系统、IDPS等产品等等;另外,这一方案还可以保证良好的用户体验,工作人员在其工位的操作终端上可以与方案之前保持完全一样的操作体验,甚至可以访问互联网等,但是内网的安全依然能够得到有效保证。
在内网未来需要扩大规模时,只需要增加采购新的虚拟服务器和外部操作终端,现有的服务器等设备还保持使用,不需要对它们进行更新淘汰,最大程度保护用户在IT方面的投入。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-12 09:50 
离线
新手

注册: 2013-05-12 09:30
最近: 2013-05-12 15:45
拥有: 53.00 安全币

奖励: 0 安全币
在线: 28 点
帖子: 3
http://www.pengchuangworld.com/


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-12 17:21 
离线
初级用户

注册: 2005-06-20 17:58
最近: 2014-10-22 16:41
拥有: 865.00 安全币

奖励: 28 安全币
在线: 292 点
帖子: 32
用虚拟桌面解决终端安全和数据安全的想法很好,用白名单解决病毒木马也是可行的,这个方案的部署成本和管理成本怎么样?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-12 20:52 
离线
中级用户

注册: 2004-11-23 21:23
最近: 2016-03-18 09:46
拥有: 2,039.00 安全币

奖励: 238 安全币
在线: 4520 点
帖子: 97
似乎看起来很美


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-05-12 20:59 
离线
中级用户

注册: 2004-11-23 21:23
最近: 2016-03-18 09:46
拥有: 2,039.00 安全币

奖励: 238 安全币
在线: 4520 点
帖子: 97
虚拟化和安全捆在一起,有点意思,管它软文还是什么的,先奖点。我觉得跟传统方法不太一样,如果可行,也是创新思维啊。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012