韓江雪 高 軒 張 猛

感知城市(天津)物聯(lián)網(wǎng)科技股份有限公司

關于網(wǎng)絡安全綜合解決方案的研究

韓江雪 高 軒 張 猛

感知城市(天津)物聯(lián)網(wǎng)科技股份有限公司

本方案從整體解決了企業(yè)網(wǎng)絡中存在的安全隱患和潛在威脅，方案涉及了六個安全防護內容：邊界安全及防護，桌面虛擬化，無線覆蓋，系統(tǒng)病毒防御、數(shù)據(jù)安全這六個方面。并從這六個方面著手進行威脅分析和管理，并根據(jù)威脅進行針對性防護，全面解決病毒，服務器虛擬化，桌面虛擬化、無線安全、網(wǎng)絡入侵的潛在威脅，數(shù)據(jù)安全，使網(wǎng)絡具有高安全性，保證信息化辦公可以穩(wěn)定運行，從而提高工作效率。

安全;綜合解決;方案

1.企業(yè)網(wǎng)絡建設需求

針對企業(yè)現(xiàn)有狀況，企業(yè)網(wǎng)絡建設將圍繞以下需求展開：

數(shù)據(jù)防泄密需求：隨著信息化的高速發(fā)展，數(shù)據(jù)的重要性在不斷提升。而公司的核心數(shù)據(jù)作為公司的固有資產(chǎn)，是不允許員工私自外傳以及拷貝的。一旦公司核心機密數(shù)據(jù)外泄，被競爭對手拿到，將給公司帶來不可估量的損失和后果。

全面的安全防護需求：當前企業(yè)缺乏合理的安全管理及防護，因此缺乏合理的安全域劃分，從而無法針對各個不同的安全域做不同的建設。沒有針對核心業(yè)務數(shù)據(jù)區(qū)做應用層的安全防護，核心業(yè)務服務器的安全風險較高。

網(wǎng)絡版防病毒防護需求：企業(yè)內網(wǎng)計算機終端數(shù)目多、分布距離遠，日常終端運維管理的工作壓力十分巨大，主要表現(xiàn)在：

傳統(tǒng)防病毒軟件誤殺帶來的問題：傳統(tǒng)防病毒軟件為了提高病毒查殺率，奉行從嚴的查殺策略，導致單位內部應用程序或重要文檔文件被誤殺，因而產(chǎn)生了大量不必要的維護工作。

現(xiàn)場維護工作量：計算機終端用戶報告使用故障時，需要IT維護人員親自趕赴現(xiàn)場處理，但通常大部分上報的故障都是入門級的，完全可以通過遠程協(xié)助解決。

為了有效減輕終端運維工作量，本次引入的終端安全管理軟件還應支持統(tǒng)一安全運維，提供包括：補丁管理、資產(chǎn)管理、遠程運維等功能，方便IT維護人員快速完成工作。

服務器虛擬化需求：IT架構做為承載業(yè)務系統(tǒng)的基礎設施，快速部署、減少投入和靈活擴展顯得越來越重要。原有物理架構的數(shù)據(jù)中心，物理服務器利用率較低，造成資源浪費，且單機運行重要數(shù)據(jù)又存在單點故障，高可用性功能較差。一些重要數(shù)據(jù)做多機方案以保證業(yè)務的連續(xù)性，會造成要包含機房的建設等規(guī)劃，花費較多，且不靈活，不能滿足業(yè)務的快速擴展、快速上線等需求。而現(xiàn)階段，云計算迅猛發(fā)展，現(xiàn)在云方案安全可靠，技術成熟，可以提供可用的、便捷的、按需的資源提供，成為當前IT架構建設的主流形態(tài)。

桌面云需求：長期以來，IT桌面管理是信息化建設的痛點，如新桌面上線、軟件的安裝與管理、安全補丁的復雜部署、系統(tǒng)升級的版本沖突等問題，耗費了IT管理員太多的精力，特別是龐大的客戶端數(shù)量和種類讓桌面管理的復雜程度呈指數(shù)增長。并且，隨著用戶數(shù)據(jù)量增加，如何有效管理存儲在不同終端設備上的關鍵業(yè)務數(shù)據(jù)，避免用戶數(shù)據(jù)丟失和泄密，也成為IT部門在桌面管理中的重要任務。在此背景下，越來越多的企業(yè)正在尋求通過引入桌面云方案進行IT技術變革，來提升數(shù)據(jù)安全、終端用戶體驗、簡化管理、節(jié)能減排等方面的巨大價值。同時，通過創(chuàng)新的桌面管理模式與現(xiàn)有的管理技術和手段進行良好的融合，幫助企業(yè)及時滿足IT發(fā)展需求，有效充分地利用現(xiàn)有資源。

企業(yè)級無線需求：企業(yè)隨著業(yè)務規(guī)模的不斷擴大，對企業(yè)提高運營效率的要求也不斷提升，隨著WIFI技術的不斷發(fā)展，使其能更加穩(wěn)定高效的承載企業(yè)應用。很多企業(yè)在有線網(wǎng)絡的基礎上擴展無線網(wǎng)絡來進行日常業(yè)務的開展，甚至很大一部分企業(yè)在新建辦公場所時，考慮建設的成本和傳統(tǒng)網(wǎng)絡的繁瑣，也希望可以通過WIFI接入技術實現(xiàn)他們的目的。

2.企業(yè)網(wǎng)絡安全解決方案總體規(guī)劃

2.1 企業(yè)總體網(wǎng)絡建設內容

企業(yè)本期網(wǎng)絡建設內容，主要包括以下4個方面：

1.整體安全防護：

互聯(lián)網(wǎng)出口和數(shù)據(jù)中心應用服務器前各部署一臺防火墻設備。

通過防火墻設備的惡意網(wǎng)站過濾功能，防止終端訪問威脅網(wǎng)站和應用；通過漏洞防護、病毒防護、惡意控件/腳本過濾功能，切斷威脅感染終端的各種技術手段；

通過防火墻設備精確的應用識別，放行服務器補丁升級、病毒庫升級等必要外聯(lián)流量，阻斷各種無關非法外聯(lián)流量，防止終端被作為跳板入侵服務器。

2.服務器虛擬化：

超融合架構融合了：計算、網(wǎng)絡、存儲和安全四大模塊，利用軟件定義數(shù)據(jù)中心技術將所有集群內服務器的應將資源，包括CPU、內存、硬盤等全部資源進行重新定義整合后，以虛擬化的軟件形式供外界使用，以實現(xiàn)真正云化方案。所有的模塊資源均可以按需部署，靈活調度，動態(tài)擴展。

通過超融合一體機或者利用方案能夠在最短的時間內，將業(yè)務系統(tǒng)安全、穩(wěn)定、高效的遷移到超融合平臺中，并且為后期邁向私有云平臺奠定基礎，可兼容云管平臺，從而能夠實現(xiàn)多租戶的管理及計費審計等功能。

3.虛擬桌面云：

通過部署桌面云，降低后期運維成本，簡化運維工作量。虛擬機模板技術讓桌面上線時間縮短為10分鐘左右，而技術人員也只需在“云端”進行軟件維護，無需對每一臺終端進行維護，單個IT管理員可輕松管理1000臺終端或虛擬桌面以上，大大降低了維護的工作量和人力成本。

在辦公區(qū)部署低功耗的瘦客戶端，實現(xiàn)綠色辦公，降低功耗，節(jié)省開銷。云終端硬件高度集成，零部件極少，損壞更換的概率極低，幾乎沒有維修費用，無人為損壞可使用8-10年，比傳統(tǒng)電腦長一倍，使用周期的延長，大大降低設備更新的周期和成本。瘦終端日常耗電量僅需10W，可以幫助客戶節(jié)省大量的電力成本。

桌面云將所有的數(shù)據(jù)集中存儲在數(shù)據(jù)中心，像筆記本、瘦終端這樣的前端設備只接收圖像，整個業(yè)務過程里數(shù)據(jù)是不落地的，是非常安全的，不僅可以隨時隨地通過各類終端訪問桌面，而且集中化的部署方式也更有利于IT部門利用技術手段來保證信息資產(chǎn)安全。

4.無線辦公網(wǎng)絡：

搭建無縫接入的快速無線網(wǎng)絡，支撐公司郵件、財務、辦公軟件的高效使用。

通過企業(yè)無線建設，滿足企業(yè)BYOD建設需求，實現(xiàn)企業(yè)內部任何時間、任何地點都能實現(xiàn)BYOD，保證無線信號的無縫覆蓋、快速漫游，而且信號質量高。

對于多種接入終端，多個接入地點保證良好的一體化兼容、控制、管理。

對于員工的無線上網(wǎng)行為進行合理的管控，禁止員工通過移動終端進行炒股，刷微博等影響工作的行為。對核心的業(yè)務系統(tǒng)的流量帶寬進行有效的保障。

對各部門無線網(wǎng)絡權限進行精細化控制，各個部門、職位擁有責任內的不同權限。如何保障公司機密不外泄，不越權。