【文章內容簡介】 測和防御。 ? 增加統(tǒng)一威脅管理（ Unified Threat Management，簡稱 UTM），結合多項安全技術，提供更好的管理、攻擊關聯(lián)和降低維護成本。 ? 增加對關鍵資源的監(jiān)視。 ? 研究有效的安全策略并培訓用戶。 解決方案對于每一個公司肯定是不同的，而 IT 專業(yè)人員必須充分分析和理解他們的安全需求，確定究竟什么是他們試圖保護的 。一個完整有效的安全方案不僅包括最新的安全技術，而且要考慮到公司的預算、社會和文化層面的因素。 關鍵資源的安全分域管理 隨著移動設備的普及，攻擊和威脅能夠同時從外網(wǎng)和內網(wǎng)發(fā)起攻擊。不管如何試圖保持移動用戶的安全，當他們外出離開公司網(wǎng)絡總是會遇到更大的風險。移動用戶承受更大安全風險的原因如下： ? 移動設備無法受到與公司網(wǎng)絡相同的安全技術的保護。 ? 大多數(shù)公司僅僅使用基于主機的防病毒軟件來保護移動設備，單機防火墻和 IDS 在移動設備上安裝的比例很低。 ? 保持基于主機的安全應用不斷升級、與公司安全策略同步是很難做到的。 ? 用戶會有意無意的關閉或修改基于主機的安全系統(tǒng)。 ? 員工將與其它網(wǎng)絡連接來開展業(yè)務，而這些外來網(wǎng)絡的安全級別完全未知。 上海軟盛信息技術有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 ? 員工可能會讓公司以外的人使用他們的移動設備。 ? 移動用戶往往對他們的設備具有管理員權限，這就意味著他們可以安裝各種未經(jīng)批準的軟件。這些軟件常常屬于免費軟件，可以從 Inter 上自由下載，很可能帶有木馬或者間諜軟件。 ? 移動設備包含有公司信息，但可能沒有備份，增加了丟失公司有價值財產(chǎn)的風險。 ? 移動設備被盜的概率也要高出許多。 當移動設備離開辦公室時，它們更容易感染病毒、木馬和蠕蟲。當移動用戶回來 連接到公司網(wǎng)絡時，駐留在移動設備里的感染和攻擊就會擴散至公司網(wǎng)絡，感染其它曾被公司安全防御正常保護的系統(tǒng)。為了防止這種情況的發(fā)生， IT 專業(yè)人員必須重新設計它們的網(wǎng)絡，圍繞關鍵部門、服務器群和關鍵應用系統(tǒng)提供更加安全的區(qū)域。建立安全資源的“孤島”對于規(guī)范訪問權限和抑制威脅爆發(fā)是有效的手段。安全分區(qū)的常用工具包括訪問控制列表（ ACLs）、防火墻和認證技術。 圖： CSO 的 Security Sensor VIII 對于攻擊來源的報告， 64%的安全威脅來自于企業(yè)內部可信任用戶或合作伙伴。 增加基于網(wǎng)絡的安全 基 于網(wǎng)絡的安全設備能夠部署在現(xiàn)有的安全體系中來提高檢測率，并在有害流量進入公司網(wǎng)絡之前進行攔截。基于網(wǎng)絡的安全設備在線（ ”inline”）部署，阻擋攻擊的能力要比傳統(tǒng)的依靠鏡像流量的“旁路式”安全設備強得多?；诰W(wǎng)絡的安全設備的例子包括入侵防御系統(tǒng)（ IPS）、防病毒網(wǎng)關、反垃圾郵件網(wǎng)關和統(tǒng)一威脅管理（ UTM）設備。 UTM 設備是將多種安全特性相結合的統(tǒng)一安全平臺。除了實時阻擋攻擊之外，基于網(wǎng)絡的安全還包括以下優(yōu)點： ? 減少維護成本。攻擊特征、病毒庫和探測引擎可以對單臺設備而不是上百臺主機更新。 上海軟盛信息技術有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 ? 升級對于用戶、系 統(tǒng)或者應用來說是透明的，無需停機，更新可以實時進行 —— 不像操作系統(tǒng)和應用程序打補丁那樣需要重啟系統(tǒng)。 ? 保護在基于網(wǎng)絡的安全設備后面的所有主機，因此減少了基于主機的病毒特征庫、操作系統(tǒng)補丁和應用程序補丁升級的急迫性，使 IT 專業(yè)人員在發(fā)生問題之前有較充分的時間來測試補丁。 ? 保持以前使用的設備、操作系統(tǒng)和應用，無需將它們都升級到最新的版本。 ? 在網(wǎng)絡邊界或關鍵節(jié)點上阻擋攻擊，在惡意流量進入公司網(wǎng)絡之前將其攔截。 ? 不像基于主機的安全應用那樣可能被最終用戶或惡意程序關閉。 ? 可與已有的安全技術共存并互補。 增加統(tǒng)一威脅管理（ UTM）安全 為了對最新的混合型攻擊和社會工程威脅提供先進的安全檢測，越來越多的信息安全公司開發(fā)出了新一代安全平臺。 IDC 將這類新的安全平臺命名為統(tǒng)一威脅管理（ UTM）設備，它集成了多種安全功能，以提高安全系統(tǒng)的效能。通過將狀態(tài)檢測防火墻、 VPN、網(wǎng)關防病毒和 IPS功能集成到一個安全設備里， UTM 提高了檢測率，并提供了比單一功能安全設備更好的阻擋能力。 UTM 安全系統(tǒng)的其它優(yōu)點包括： ? 通過為多種安全功能提供一個統(tǒng)一的管理平臺，降低了設備的復雜性，加快了安裝速度。 ? 與購買和使用多個單一功能的 單點安全系統(tǒng)相比，降低了總體擁有成本（ TCO）。 隨著網(wǎng)絡安全對于消費者和商家都同樣變得越來越重要， IDC 預測， UTM 設備的銷量將在未來幾年內超過傳統(tǒng)防火墻 /VPN 安全設備。 上海軟盛信息技術有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 二 、 司需求分析 網(wǎng)絡分析及拓撲圖 XX 集團有限公司目前按網(wǎng)絡結構主是由總公司、各個地區(qū)的分公司和部分移動用戶來組成的 。 XX 集團有限公司內部網(wǎng)絡中架構內部辦公系統(tǒng)、銷售系統(tǒng)和數(shù)據(jù)庫服務器 ,整個集團的辦公系統(tǒng)、銷售系統(tǒng)、數(shù)據(jù)庫和互聯(lián)網(wǎng)訪問瀏覽都混合在一起。 此次解決方案根據(jù) XX 集團網(wǎng)絡評估的結果 ,來進行整改 XX 集團有限公司的網(wǎng)絡 ,降低整個網(wǎng)絡的安全風險，進行多方冗余備份 ,保證網(wǎng)絡運作的安全、穩(wěn)定運行。 安全需求 通過分析 XX 集團面臨的業(yè)務系統(tǒng)能夠遇到的網(wǎng)絡，我們提出防范安全威脅尤其是內部辦公數(shù)據(jù)傳輸?shù)陌踩院陀捎诓《舅斐傻木W(wǎng)絡安全威脅的安全需求： ? 各分公司和總部之間使用 Fortigate 設備進行 IPSec VPN 連接 ,用來備份各分公司和總部之間的 DDN 線路 ,使集團內部網(wǎng)絡更安全、更穩(wěn)定的運作。 ? 總部和分公司之內的 DDN 網(wǎng)絡鏈路中接入 Fortigate 設備 (工作于透明模式 ),來進行過濾和阻擋病毒的傳播 ,使得整個網(wǎng)絡更為安全和 穩(wěn)定。 ? 各分公司也使用 IPSec VPN 功能 ,采用加密技術來對于移動辦公人員于公司內部服務器數(shù)據(jù)傳輸之間的加密及安全防護 上海軟盛信息技術有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 ? 采用相關的訪