freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

h3c信息化數(shù)據(jù)安全資源整合方案(編輯修改稿)

2024-12-14 16:16 本頁面
 

【文章內(nèi)容簡介】 一層的安全性解決方案主要集中于保護技術(shù)設(shè)施不受物理和邏輯上的攻擊,其他主要集中方面是基礎(chǔ)設(shè)施和應(yīng)用的監(jiān)控和管理。 ? 應(yīng)用和數(shù)據(jù)安全性: o 這一層是指業(yè)務(wù)應(yīng)用的安全性,業(yè)務(wù)應(yīng)用被內(nèi)部和外部終端用戶實際訪問,是處理業(yè)務(wù)事務(wù)的資產(chǎn),并提供電子商務(wù)。 o 企業(yè)安全性這一層的安全性解決方案主要集中于提供對應(yīng)用的受控訪問、驗證用戶身份、用戶的 provisioning 和授權(quán)、審查用戶 操作,并通過加密來保護數(shù)據(jù)。 ? 管理安全性 o 這一層是指業(yè)務(wù)流程和操作的安全性,當管理團隊作出高級策略決定時,管理安全性主要進行基礎(chǔ)設(shè)施和應(yīng)用的安全性的實現(xiàn)和配置。企業(yè)策略和標準的成功與否取決于如何在這一層上實現(xiàn)和實施級別,這使組織能夠運行業(yè)務(wù),而不會有意或無意的違背企業(yè)策略,并防止業(yè)務(wù)遇到合法的或其他類型的安全問題。 o 這一層的安全性解決方案主要包括一些方案或服務(wù),這些方案或服務(wù)幫助組織實施并自動操作安全策略和流程,最終用戶了解規(guī)劃并完成企業(yè)級安全性的管理和報告。 數(shù)據(jù)中心需要一個全方位一體化的安全部署 方式。 H3C 數(shù)據(jù)中心安全解決方案秉承了 H3C 一貫倡導(dǎo)的 “ 智能安全滲透理念 ” ,將安全部署滲透到整個數(shù)據(jù)中心的設(shè)計、部署、運維中,為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺,真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標,使安全保護無處不在。 . XX 單位 數(shù)據(jù)中心整體安全規(guī)劃 H3C 數(shù)據(jù)中心安全解決方案的技術(shù)特色可概括為: ? 27 層防御 ? 分區(qū)分層部署 ? 統(tǒng)一管理、智能聯(lián)動 ? 27層防御: 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護功能。依托具有豐富安全特性的交換機構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護;以 ASIC、 FPGA 和 NP 技術(shù)組成的具有高性能精確檢測引擎的 IPS 提供對網(wǎng)絡(luò)報文深度檢測,構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護;第三重保護是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。 數(shù)據(jù)中心多層安全防御 三重防護 數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系,如圖。交換機提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ),提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上,通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離,并提供對 DDOS 和多種畸形報文攻擊的防御。 IPS 可以針對應(yīng)用流量做深度分析與檢測能 力,同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則,即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為,也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理,從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。 ? 分區(qū)規(guī)劃,分層部署 在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的設(shè)備,按照這些設(shè)備的情況制定不同的安全策略和信任模型,將網(wǎng)絡(luò)劃分為不同區(qū)域。 多層思想( nTier)不僅體現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)三層部署(接入-匯聚-核心)上,更應(yīng)該關(guān)注數(shù)據(jù)中心服務(wù)器區(qū)的設(shè)計部署上。服務(wù)器資源是數(shù)據(jù)中心的核心,多層架構(gòu)把應(yīng)用服務(wù)器分解成可管理的、安 全的層次。按照功能分層打破了將所有功能都駐留在單一服務(wù)器時帶來的安全隱患,增強了擴展性和高可用性。 ? 統(tǒng)一管理、智能聯(lián)動 當前,數(shù)據(jù)中心系統(tǒng)安全管理中 遇到的問題 包括 : 1) 對實時安全信息不了解,無法及時發(fā)出預(yù)警 報告 。 2) 各種安全設(shè)備是孤立的,無法相互關(guān)聯(lián),信息共享。 3) 安全事件發(fā)生以后,無法及時診斷網(wǎng)絡(luò)故障的原因,恢復(fù)困難。 4) 網(wǎng)絡(luò)安全專家匱乏,沒有足夠的人員去監(jiān)控、分析、解決問題。 在此背景下, H3C 提出用 SecCenter(安全管理中心)和 iMC(智能管理中心)組合,來滿足數(shù)據(jù)中心系統(tǒng)全局安全管理的需求, 將安全體系 中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個緊密的 “全局安全 管理平臺 ” 中,通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng),在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個 智能 安全防御體系,大幅度提高 數(shù)據(jù)中心系統(tǒng) 的整體安全防御能力。 H3C“全局安全管理平臺” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成,與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系(見下圖)。 H3C 基于 SecCenter 和 iMC 的智能防御體系 H3C 全局安全管理平臺 旨在集中部署網(wǎng)絡(luò)安全 防護 策略,簡化對安全部件的管理,確保網(wǎng)絡(luò)安全策略的統(tǒng)一;廣泛采集與分析來自于計算機、網(wǎng)絡(luò)、存儲、安全等設(shè)施的告警事件,通過關(guān)聯(lián)來自于不同地點、不同層次、不同類型的安全事件,發(fā)現(xiàn)真正的安全風(fēng)險,提高安全報警的信噪比;準確的、實時的評估當前的網(wǎng)絡(luò)安全態(tài)勢和風(fēng)險,并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。 . 基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構(gòu)安全特性涉及服務(wù)器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設(shè)備,部署點多、覆蓋面大,是構(gòu)成整個安全數(shù)據(jù) 中心的基石。 . 交換機安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構(gòu)安全特性涉及服務(wù)器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設(shè)備,部署點多、覆蓋面大,是構(gòu)成整個安全數(shù)據(jù)中心的基石。 H3C憑借基于 COMWARE的具有豐富安全特性全系列智能交換機為數(shù)據(jù)中心打造堅實的基礎(chǔ)構(gòu)架。 COMWARE是由 H3C推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng),它以強大的 IP 轉(zhuǎn)發(fā)引擎為核心,通過完善的體系結(jié)構(gòu)設(shè)計,把實時操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)安全等技術(shù)完美 的結(jié)合在一起。作為一個不斷發(fā)展、可持續(xù)升級的平臺,它具有開放的接口,可靈活支持大量的網(wǎng)絡(luò)協(xié)議和安全特性。COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上,也就是說,不僅可以運行在高端的交換機 /路由器上,而且也可以運行在中低端的交換機 /路由器上,不向其它廠商,不同的軟件運行在不同的設(shè)備上。 COMWARE 的這一特性可使網(wǎng)絡(luò)中各節(jié)點設(shè)備得到同一的安全特性,徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。 數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全相關(guān)架構(gòu) 基于 VLAN 的端口隔離 交換機可以由硬件實現(xiàn)相同 VLAN 中的兩個端口互相隔離。隔離后這兩個端口在本設(shè)備內(nèi)不能實現(xiàn)二、三層互通。當相同 VLAN 中的服務(wù)器之間完全沒有互訪要求時,可以設(shè)置各自連接的端口為隔離端口,如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全: 圖 交換機 Isolated Vlan 技術(shù) STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。如圖。 圖 交換機 Root Guard/BPDU Guard 技術(shù) 端口安全 端口安全( Port Security)的主要功能就是通過定義各種安全模式,讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址,以達到相應(yīng)的網(wǎng)絡(luò)管理效果。對于不能通過安全模式學(xué)習(xí)到源 MAC 地址的報文或 認證失敗的設(shè)備,當發(fā)現(xiàn)非法報文后,系統(tǒng)將觸發(fā)相應(yīng)特性,并按照預(yù)先指定的方式自動進行處理,減少了用戶的維護工作量,極大地提高了系統(tǒng)的安全性和可管理性。 端口安全的特性包括: NTK: NTK( Need To Know)特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的 MAC地址,保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設(shè)備上,從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。 Intrusion Protection:該特性通過檢測端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認證的用戶名、密碼,發(fā)現(xiàn)非法報文或非法事件,并采取相應(yīng)的動作,包括暫時斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報文,保證了端口的安全性。 Device Tracking:該特性是指當端口有特定的數(shù)據(jù)包(由非法入侵,用戶不正常上下線等原因引起)傳送時,設(shè)備將會發(fā)送 Trap 信息,便于網(wǎng)絡(luò)管理員對這些特殊的行為進行監(jiān)控。 防 IP 偽裝 病毒和非法用戶很多情況會偽裝 IP 來實現(xiàn)攻擊。偽裝 IP 有三個用處: ? 本身就是攻擊的直接功能體。比如 smurf 攻擊。 ? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過利用源 IP 做的接入控制。 ? 隱藏攻擊源 設(shè)備防止 IP偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報文的源 IP是經(jīng)過偽裝的。這種判定的方式有 4 種。分別在內(nèi)網(wǎng)和 網(wǎng)絡(luò) 的邊界使用。 ( 1)、 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 : 利用 DHCP relay 特性,網(wǎng)關(guān)可以形成本網(wǎng)段下主機的 IP、 MAC 映射表。當網(wǎng)關(guān)收到一個 ARP 報文時,會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí),否則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒有辦法進行正常的跨網(wǎng) 段通信。 ( 2)、 接入設(shè)備防御 : 利用 DHCP SNOOPING 特性,接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、 ACK、 release 報文,也可以形成一張端口下 IP、 MAC的映射表。設(shè)備可以根據(jù) IP、 MAC、端口的對應(yīng)關(guān)系,下發(fā) ACL 規(guī)則限制從該端口通過的報文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。 ( 3)、 UPRF: UPRF 會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如下:設(shè)備接收到報文后, UPRF 會比較該報文的源地址在路由表中對應(yīng)的出接口是否和接收該報文的接口 一致。如果兩者不一致,則將報文丟棄。 ( 4)、 路由協(xié)議認證 : 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯誤的路由更新報文,使路由表中出現(xiàn)錯誤的路由,從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時,必須啟用路由協(xié)議的認證。 另外,在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。但這種方法會消耗掉許多 ACL 資源。 . 內(nèi)網(wǎng)桌面終端 安全 管理系統(tǒng) 部署 在 XX 單位 的局域網(wǎng)接入上,需要采用嚴格的用戶認證和授權(quán)控制策略,避免網(wǎng)絡(luò)的非法接入和越級訪問,保證核心數(shù)據(jù)和業(yè)務(wù)的安全性和 高度機密。同時,對不同的接入用戶要做到動態(tài)的分配不同的權(quán)限,使之歸屬于不同的 VPN,訪問授權(quán)的資源。此外,需要對接入終端的安全性進行檢查,避免病毒的傳播對網(wǎng)絡(luò)造成的不可預(yù)知的破壞。這就需要一套完整的 端點準入防御( EAD, Endpoint Admission Defense)解決方案 。 EAD 從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略,嚴格控制終端用戶的網(wǎng)絡(luò)使用行為,有效地加強了用 戶終端的主動防御能力,為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。 下面從桌面終端認證需求、組網(wǎng)部署、功能描述 3 方面進行 EAD 系統(tǒng)簡單介紹: ( 1)、桌面終端用戶 認證需求 對于要接入安全網(wǎng)絡(luò)的用戶, EAD 解決方案首先要對其進行身份認證,通過身份認證的用戶進行終端的安全認證,根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進行包括病毒庫更新情況、系統(tǒng)補丁安裝情況、軟件的黑白名單等內(nèi)容的安全檢查,根據(jù)檢查的結(jié)果, EAD 對用戶網(wǎng)絡(luò)準入進行授權(quán)和控制。通過安全認證后,用戶可以正常使用網(wǎng)絡(luò),與此同時, EAD 可以對用戶終端運行情況和網(wǎng)絡(luò)使用情況進行審計和監(jiān)控。 EAD 解決方案對用戶網(wǎng)絡(luò)準入的整體認證過程如下圖所示: ( 2)、 EAD 系統(tǒng) 組網(wǎng) 部署 如下圖所示, EAD 組網(wǎng)模型圖中包括安全客戶端、安全聯(lián)動設(shè)備、 H3C iMC CAMS 安全策略服務(wù)器和第三方服務(wù)器 : ? 安全客戶端 是指安裝了 H3C iNode 智能 客戶端的用戶接入終端,負責(zé)身份認證的發(fā)起和安全策略的檢查。 ? 安全聯(lián)動設(shè)備 是指用戶網(wǎng)絡(luò)中的交換機、路由器、 VPN 網(wǎng)關(guān)等設(shè)備。 EAD 提供了靈活多樣的組網(wǎng)方案,安全聯(lián)動設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入 層和匯聚層。 ? H3C iMC CAMS安全策略服務(wù)器 它要求和安全聯(lián)動設(shè)備路由可達。負責(zé)給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進行審核,向安全聯(lián)動設(shè)備發(fā)送網(wǎng)絡(luò)訪問的授權(quán)指令。 ? 第三方服務(wù)器 是指補丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等,被部署在隔離區(qū)中。當用戶通過身份認證但安全認證失敗時,將被隔離到隔離區(qū),此時用戶能且僅能訪問隔離區(qū)中的服務(wù)器,通過第三方服務(wù)器進行自身安全修復(fù),直到滿足安全策略要求。 ( 3)、 H3C EAD 功能描述 ? 嚴格的身份認證 除基于用戶名和密碼的身份認證外, EAD還支持身 份與接入終端的 MAC地址、IP 地址、所在 VLAN、接入設(shè)備 IP、接入設(shè)備端口號等信息進行綁定,支持智能卡、數(shù)字證書認證,增強身份認證的安全性。 ? 完備的安全狀態(tài)評估 根據(jù)管理員配置的安全策略,用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號配置等;為了更好的滿足客戶的 需 求, EAD 客戶端支持和微軟 SMS、 LANDesk、 BigFix
點擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1