数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
生产业务管理系统整体分为5个区域,分别为核心交换区、安全管理区、服务器区、内网区和终端区,各区域之间通过防火墙实现安全隔离与防护。
1)核心交换区通过电信线路接入互联网;
2)终端区由交换机、防火墙组成。交换机负责网络内部的数据交换以及数据的快速转发。防火墙负责专网出口互联;
3)安全管理区由防火墙、防毒墙、入侵防御、抗DDOS设备、流量控制、日志审计、运维审计设备组成。防火墙负责网络出口访问控制,防毒墙负责病毒的检测与防御,抗DDOS设备负责对DDOS攻击的防御,日志审计负责对网络与安全设备的日志进行存储与分析、运维审计对网络与安全设备进行管理;
4)服务器区由多台服务器组成,为业务系统提供硬件支持。为了保障数据的安全,数据库服务器部署在内网区,通过网闸与应用服务器交换数据。数字化转型网www.szhzxw.cn
一、安全域划分方案
安全域建设是基于网络和系统进行安全建设的部署依据;安全域和域边界防护使纵深防护能够有效地实施;安全域边界是灾难发生时的抑制点,防止影响的扩散。根据之前对生产管理系统的分析,一般分为以下几个功能区域,终端域:由所有办公终端组成;服务器域:由生产管理系统的服务器,杀毒服务器和系统备份服务器等组成;安全管理域:由安全管理平台的服务器和安全设备组成,实现对系统的管理。
二、边界安全方案
安全域划分的主要目的是保证域边界的安全防护。在所有互联网与服务器区之间配置防火墙进行边界隔离,将防火墙放置在安全域边界处,可以有效地保护网络。
在互联网的边界部署防火墙,在终端域与服务器域的边界部署防火墙,可以采用透明模式接入两个安全域之间。数字化转型网www.szhzxw.cn
防火墙采用透明模式的工作方式无须改变原有网络结构,对网络性能和系统体系结构影响较小,防火墙规则上只开放生产业务管理系统需要的网络端口和地址。
三、信息系统防病毒方案
通过配置边界防毒网关在互联网入口对病毒、垃圾邮件和恶意代码进行控制,保证HTTP、FTP、SMTP等协议的安全,信息在进入内部网络前由安全网关进行查杀毒,并过滤来自互联网的垃圾邮件。
边界防病毒网关部署在接入路由器与防火墙之间,也可部署在防火墙与内部网络之间。信息系统的终端和服务端需要部署网络版防病毒系统。
声明:本文来自twt企业IT社区,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于twt企业IT社区;编辑/翻译:数字化转型网萍水。
