需求痛點
—— 激增的數(shù)字業(yè)務信息存儲在消費者和企業(yè)所使用的虛擬云和社交平臺、儀器��、移動設備中���,且可供訪問��。這就創(chuàng)造了一個極其復雜的IT環(huán)境 —可能的攻擊點幾乎是無限的��。
—— 有經(jīng)驗的對手現(xiàn)在正帶來高級持續(xù)性威脅����,他們通過密切的關注��,堅持不懈的來獲取敏感業(yè)務信息的訪問權限�����。這些攻擊利用的方法����,可持續(xù)無限長的時間且具有專門的目標。
—— 如今����,愈加多樣的威脅侵蝕著傳統(tǒng) IT防御(比如防火墻和防病毒軟件)的有效性,甚至在許多情況下完全避開了這些控制����。
—— 所有企業(yè)都迫切希望找到信任、透明度和隱私之間的平衡��。企業(yè)實現(xiàn)這種更具挑戰(zhàn)性的平衡而面臨的三大壓力:攻擊面擴大����、攻擊模式擴散且手法嫻熟、威脅的解決方案異常復雜�。
解決方案
解決方案框架結構
解決方案建設拓撲
解決方案建設思路
1、出口邊界區(qū)域
—— 數(shù)據(jù)中心的出口需至少部署2條以上Internet線路(建議不通運營商)��,通過在網(wǎng)絡最前端部署鏈路負載均衡系統(tǒng)實現(xiàn)用戶訪問Internet的自動擇優(yōu)選路和線路故障的自動切換�����;
—— 在負載均衡系統(tǒng)后端部署下一代防火墻����,通過下一代防火墻的IPS\WAF\防篡改\實時漏洞分析\僵尸網(wǎng)絡檢測等模塊保障內(nèi)網(wǎng)用戶的訪問安全,避免內(nèi)部主機輪為僵尸主機并能符合等級保護規(guī)范��;
—— 在下一代防火墻和核心交換機之間部署上網(wǎng)行為管理系統(tǒng),實現(xiàn)對內(nèi)部用戶訪問網(wǎng)絡的可視可控���,并滿足網(wǎng)絡安全法的審計要求和符合等級保護規(guī)范���;
2、核心交換區(qū)域
—— 核心交換至少兩臺���,每臺48口10G���,16口40G,最大交換容量307.2Tbps����,主控槽位≥2,業(yè)務槽位≥12����,獨立交換網(wǎng)槽位≥4;
3�����、業(yè)務應用區(qū)域
—— 業(yè)務應用的服務器、存儲等資源建議采用超融合架構��,資源不足后可通過橫向擴展���,實現(xiàn)快速擴容�����;
—— 在業(yè)務應用區(qū)域前建議部署WEB應用防火墻系統(tǒng),實現(xiàn)對來自內(nèi)部的對業(yè)務應用發(fā)起的WEB攻擊�����、漏洞攻擊��、新型漏洞發(fā)現(xiàn)���、網(wǎng)頁篡改等進行7*24小時的監(jiān)測和防護�����。
4���、業(yè)務安全區(qū)域
—— 通過部署安全態(tài)勢感知系統(tǒng)實現(xiàn)安全大腦的建立,態(tài)勢感知是以全流量分析為核心,結合威脅情報��、行為分析建模���、UEBA�、失陷主機檢測����、圖關聯(lián)分析、機器學習�、大數(shù)據(jù)關聯(lián)分析、可視化等技術����,對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務可視化、威脅可視化�、攻擊與可疑流量可視化等,幫助客戶在高級威脅入侵之后���,損失發(fā)生之前及時發(fā)現(xiàn)威脅�����;
—— 通過部署終端檢測響應平臺EDR實現(xiàn)多維度輕量級的無特征檢測技術��,包含AI技術的SAVE引擎���、行為引擎���、云查引擎、全網(wǎng)信譽庫等��,檢測更智能��、更精準�,響應更快速����,資源占用更低消耗。
—— 通過部署零信任VPN網(wǎng)關來保護數(shù)據(jù)傳輸和遠程應用維護操作的傳輸管道安全��。
—— 通過部署基線核查�����、日志審計系統(tǒng)�、堡壘主機系統(tǒng)、數(shù)據(jù)庫審計等系統(tǒng)實現(xiàn)運維層面的安全����。
5�����、業(yè)務數(shù)據(jù)保護區(qū)域
i2CDP(Continuous Data Protection) 技術將變化的數(shù)據(jù)實時復制到災備服務器的同時���,把數(shù)據(jù)的變化以日志方式記錄下來。在系統(tǒng)故障時根據(jù)數(shù)據(jù)變化日志�,快速定位需要恢復的時間點,將數(shù)據(jù)一鍵恢復到異常點之前����,保證數(shù)據(jù)的安全性和業(yè)務連續(xù)性。
您當前的位置:
