摘要:天融信从IDC实际安全挑战需求出发,按照“横向分区,纵向分层”的方式进行设计和建设,横向上采取分域的办法,并基于各安全域的重要程度,采取不同级别的安全防护系统,满足信息系统的安全集成需求。 |
防ddos攻击设备和异常流量清洗在IDC网络,起到对DDOS攻击防范的作用,通常在运营商IDC的出口处部署,该系统主要由异常流量检测平台、流量清洗平台和安全管理平台三部分组成。
■应用层安全防护
应用层安全部署主要包括入侵防御系统(IPS)和业务审计系统部署。在IDC的互联网出口处和内部各安全区的网络汇聚层出口处部署IPS进行应用层防护,可采用旁挂方式或与网络设备一体化的融合式部署,保证IDC整体和各安全区域内部服务器免受外部应用层攻击。
网络入侵防护系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出网络汇聚层出口的访问数据包和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,一旦发生安全事件后,可以通过分析记录信息,了解安全事件的过程,做到事后取证;此外还可以使网络维护人员根据安全事件的攻击过程,深入了解信息系统可能存在的安全隐患,为事后的修补与加固提供依据。
■统一安全管理
统一安全管理平台旨在集中部署网络安全防护策略,简化对网络安全部件的管理,确保网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势和风险,并根据预先制定的策略做出快速响应。其基本功能包括:
☆安全策略集中部署:IDC网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面,对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IPS等不同层次的防御部件。统一安全管理平台提供了集成、统一、完整的安全防护策略配置功能,可以通过直观的网络、服务器、终端及用户拓扑图,查看和配置安全策略,同时可尽可能的集中收集的各类安全事件报表。
☆业务系统动态感知:统一管理平台通过相应的策略配置,以主动探测和被动接收相关数据的方式,对业务系统进行不间断的监控,使管理员能够实时知道当前业务系统的带宽利用情况、主机访问情、,主机系统资源的利用情况,业务系统的存活情况等业务指标。重新构建客户感知、形成差异化客户服务,使客户享受到更加舒心、贴心、放心的服务。
☆安全事件深度感知:IDC统一安全管理平台在全面采集安全事件的基础上,通过各种基于统计和规则的关联分析算法,结合安全事件产生的网络环境、资产重要程度、系统漏洞级别,对安全事件进行深度分析,可以有效提高安全事件的信噪比,减少告警日志数量而不丢失重要信息,输出运营支撑的报表,为安全事件审计和风险响应提供更准确的决策支持。
☆安全威胁的协同响应:IDC统一安全管理平台在全面了解网络资源部署的条件下,可以根据攻击源的不同,智能选择控制点以更有效的防止攻击,也可以针对不同的被攻击对象,区分响应方式,以提高整个网络的自防御能力。
◆方案优势
■解决当前问题、兼顾未来发展
该方案不仅考虑解决当前面对的众多安全问题,还着眼于未来IDC盈利创新模式,结合自身业务特点,为广大托管用户提供安全增值服务。
■适应虚拟化发展趋势
选择具有虚拟化技术的网络层安全防护设备。对于IDC来说,网络层的防护需要在IDC的环境中部署产品。而提供以用户为导向的安全增值服务的关键在于设备本身具有虚拟化的功能。
■全面防护
通过对安全区域的设计,在网络边界部署防火墙、VPN、IPS等安全设备,不仅能够保证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护。
■深层防护
通过天融信防火墙、IPS和流量清洗设备的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对服务器的虚拟软件补丁管理、抵抗DoS/DdoS攻击等等。
◆应用领域
随着云计算、移动互联网、虚拟化等新技术的不断深入应用,各IDC作为重要的数据服务中心除了积极倡导到绿色节能外,还得面对众多的新形式下的安全威胁,进一步加强自身安全防护的前提下,合理、最大化的利用现有资源,为用户提供国际领先的差异化安全增值服务。
责任编辑:Randy