一、项目背景
随着外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统运转协调的管理体制的重要因素。
二、加固技术方案
网络系统安全加固建设要求如下:
1、 网络边界安全防护,特别是财务等重要部门安全防护:
采用防火墙,对信息网络中重要的安全域提供边界访问控制,严格控制进出网络各个安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保对外网信息网络正常访问活动。
部署位置:行政、财务与办公区域之间部署防火墙设备。
部署模式:防火墙采用路由方式部署。
2、 限制网速,控制上网;访客可通过扫码或关注微信公众号,认证上网;
串联部署上网行为管理系统,依据业务系统使用情况配置网络带宽和用户对外访问的带宽,满足业务应用系统带宽使用,同时保障网络畅通。
部署位置:在防火墙设备与内网三层交换机之间。
部署模式:采用透明方式部署。
认证方式:用户需扫描企业提供的二维码,通过公众号申请上网,即可完成身份认证过程。
3、网络准入;
建立一套完整的接入管理流程,从基本的接入身份标识,到接入后的合规检查和修复向导以及实名审计等,整体包装终端准入的安全性,纯净化与抗抵赖作用。
部署位置:内网三层交换机。
部署模式:采用旁路方式部署。
4、 SSLVPN设备:移动办公
采用数字证书技术实现服务器和用户端的双向身份认证,并保证数据传输的完整性和交易的抗抵赖性,可方便地实现移动办公用户利用互联网对系统的安全访问。可结合USB KEY提供证书和密钥的存储,增强用户身份认证的安全性。
部署位置:机房防火墙DMZ区。
部署模式:采用旁路方式部署。
四、方案总结
根据信息化实际情况,对网络与信息安全体系的框架结构、安全要素基本要求进行规划和建设,并以实际优化调整,在保证关键技术实现的前提下,采用成熟国产产品,保证系统的可用性、工程实施的简便快捷。开展信息系统安全规划、整改及建设工作,落实安全防护技术措施,建立健全安全管理制度,进一步提高信息系统的安全保障能力和防护水平,确保网络与信息系统的安全运行,推进信息化的安全、健康、协调发展。