网络安全解决方案:

网络基础安全: 网络是应用系统的承载平台,随着应用系统开发逐步层次化,不同应用系统的用户层、表示层功能相互整合,各应用系统不同层次间的联系日趋复杂,需要通过网络 安全域划分是对现有的应用系统进行分级和保护。模块化网络安全域模型提出了一个简单和直接的网络架构和安全域划分方法,把一个大型的网络元素规划成交换核 心和功能模块两个互连的网络层次。同时根据应用系统、接入系统、管理系统等不同功能将功能模块细分,模块网络节点更为可靠、流量变得更容易管理。

网络边界安全: 边界防护是指网络安全区域之间的安全防护。根据网络安全的PDR模型,设计被动和主动两种方式的防护方法。通过被动式和主动式防护的共同作用,不断提升网 络边界整体安全性。被动防护――是指通过预先设置的安全控制策略,限制对资源的访问,被动式边界安全防护使用软、硬件防火墙设备,以实现边界对内外双向的 访问控制和实时地阻断攻击数据流。主动防护――是在网络安全区域边界配置入侵检防御设备(IPS),对网络流量进行实时检测,在发现攻击行为的同时阻止该 访问。专用安全设备如防病毒网关,DDoS防御系统也属于主动式边界安全产品。

远程接入安全: 随着传统拨号方式越来越少使用,宽带专线的接入方式成为访问互联网的主流。用户需要从一个从Internet――非信任的外部区域,接入企业内部网 ――安全级别较高的内部区域,进行生产办公或者系统维护。由于公众信息网Intenret是对所有人开放的,如果企业的内部信息要通过公众信息网进行传 输,在安全性上需要解决许多问题。虚拟专网(***)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道”在公共网络中传播。只需要连接上本地的互联网,各地的机构就可以 通过“加密管道”互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户就可以通过互联网***连接进入企业网中。

用户接入安全: 用户认证方案-用户鉴别(Identification)是确保信息访问主体(用户,程序,进程)的身份,一般是用户名或账号,当然还需要通过进一步的手段来证明帐号的 拥有者确实是它所声明的那个人,这就是认证(Authentication)。认证技术验证一个人的身份,相对于单因素认证很容易被仿冒,双因素认证或加 强认证是通过组合两种或多种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。使用者通过身份认证后,需要结合身份的不同,授予 不同的访问权限(Authorization)。一旦信息访问主体通过认证和授权,系统还需要对该用户的操作行为进行记录,确保行为的不可否认性。 网络安全准入方案: 随着网络内部办公用户数的增加和对业务多样性要求的提高,交换机接入的安全性问题日益突出。从接入安全角度去看,必须保证只有合法的PC机才能连入数据中心的网络系统。 IEEE 802.1x技术――通过对认证方式和认证体系结构进行优化,从网络的第二层就防止了非法的PC终端接入交换机,提供可靠的接入安全。802.1x技术和用户认证系统的结合有很大的扩展性,除了进行认证之外,还可以对终端进行授权和审计。