煤电集团一体化安全体系建设

　　应用背景

　　某煤电集团公司计算机网络改造项目在2006年初完成。新构建的网络有三方面的突破：一是网管模式由全人工管理变成完全软件管理;二是核心环形网络架构，增强了计算机网络的物理安全性;三是核心2.5GRPR环和千兆汇聚层使整个网络的带宽和性能得到大幅提升。但当时由于考虑网络改造项目本身投资大、周期长、风险高，而且网络从试运行到正常运行还需一定的时间，网络安全体系本身又是一个复杂的集成项目，因此为了降低实施难度，规避投资和实施风险，在网络安全架构上没有进行一次性的投入，只是在网关层投入了一台防火墙设备。此外，在其他方面，例如网络版防病毒平台、深度专业级网管平台、安全身份认证平台、核心服务器的防护、集中监控平台等方面也都不十分完备，以致网络安全问题随时都可能发生。受上述因素的影响，近年五一前夕，由于受计算机病毒的攻击，集团公司网络性能骤降，影响了网络的正常使用，而且使网络维护更加困难，削弱了集团网络硬件投入应带来的回报。

　　用户需求

　　当前，集团公司计算机网络安全主要面临的问题概括起来主要有以下几个方面：

　　一、局域网内基础设施面临来自Internet的威胁，例如蠕虫、黑客攻击、木马、拒绝服务攻击、病毒传播等。

　　二、局域网内恶意用户的攻击、蠕虫病毒感染及其他病毒的传播。

　　三、大量带宽浪费在与工作无关的业务流量上，如qq聊天、BT下载等P2P应用。

　　四、web、mail、ftp等对外业务服务器和众多业务应用重要服务器(数据库服务器和应用程序服务器)安全措施存在漏洞。

　　五、远程用户登录的安全身份认证问题，异构网络互联的安全信任问题。

　　六、操作系统漏洞造成的安全隐患问题。

　　七、网络防病毒体系的欠缺造成的安全问题。

　　八、机房环境的不合规造成的安全隐患，如防雷击、防静电、电源安全等。

　　九、网络管控手段的落后，造成的监控不到位和维护的不及时。

　　实施方案

　　鉴于上述安全问题，集团公司组织专家对国际和国内安全领域知名的几家可提供整体解决方案的安全厂商进行考察和交流，对当前的网络安全方案和网络安全产品的成熟度进行了深入的了解，并基于此，提出了集团公司计算机网络安全框架建议，使得某能源集团公司接受了此建议并选择了方正信息安全技术有限公司的产品来实现网络安全部署：

　　一、在Internet出口部署入侵防御系统(防火墙+安全网关+入侵检测)

　　主要作用是阻止来自Internet的应用层威胁，如：蠕虫、黑客攻击、间谍软件、DoS攻击、内容过滤、VPN、病毒防护、企业出口的应用层流量分析、漏洞扫描和安全审计等作用。

　　二、在局域网内部关键部位部署入侵防御系统(安全网关+入侵检测)

　　关键部位指的一是重要的服务器;二是重要的网段。通过在局域网内部部署入侵防御系统，可以在网络内部建立不同的安全域，在网络的边界实施保护，它实际上保护了网络内部资源。主要包括：

　　1、保护企业内部网络，相应地起到保护内部网络相关资源的作用。

　　2、保护企业内部关键网段，例如DMZ区或关键服务器所在区域。