韩江雪 高 轩 张 猛

感知城市(天津)物联网科技股份有限公司

关于网络安全综合解决方案的研究

韩江雪 高 轩 张 猛

感知城市(天津)物联网科技股份有限公司

本方案从整体解决了企业网络中存在的安全隐患和潜在威胁，方案涉及了六个安全防护内容：边界安全及防护，桌面虚拟化，无线覆盖，系统病毒防御、数据安全这六个方面。并从这六个方面着手进行威胁分析和管理，并根据威胁进行针对性防护，全面解决病毒，服务器虚拟化，桌面虚拟化、无线安全、网络入侵的潜在威胁，数据安全，使网络具有高安全性，保证信息化办公可以稳定运行，从而提高工作效率。

安全;综合解决;方案

1.企业网络建设需求

针对企业现有状况，企业网络建设将围绕以下需求展开：

数据防泄密需求：随着信息化的高速发展，数据的重要性在不断提升。而公司的核心数据作为公司的固有资产，是不允许员工私自外传以及拷贝的。一旦公司核心机密数据外泄，被竞争对手拿到，将给公司带来不可估量的损失和后果。

全面的安全防护需求：当前企业缺乏合理的安全管理及防护，因此缺乏合理的安全域划分，从而无法针对各个不同的安全域做不同的建设。没有针对核心业务数据区做应用层的安全防护，核心业务服务器的安全风险较高。

网络版防病毒防护需求：企业内网计算机终端数目多、分布距离远，日常终端运维管理的工作压力十分巨大，主要表现在：

传统防病毒软件误杀带来的问题：传统防病毒软件为了提高病毒查杀率，奉行从严的查杀策略，导致单位内部应用程序或重要文档文件被误杀，因而产生了大量不必要的维护工作。

现场维护工作量：计算机终端用户报告使用故障时，需要IT维护人员亲自赶赴现场处理，但通常大部分上报的故障都是入门级的，完全可以通过远程协助解决。

为了有效减轻终端运维工作量，本次引入的终端安全管理软件还应支持统一安全运维，提供包括：补丁管理、资产管理、远程运维等功能，方便IT维护人员快速完成工作。

服务器虚拟化需求：IT架构做为承载业务系统的基础设施，快速部署、减少投入和灵活扩展显得越来越重要。原有物理架构的数据中心，物理服务器利用率较低，造成资源浪费，且单机运行重要数据又存在单点故障，高可用性功能较差。一些重要数据做多机方案以保证业务的连续性，会造成要包含机房的建设等规划，花费较多，且不灵活，不能满足业务的快速扩展、快速上线等需求。而现阶段，云计算迅猛发展，现在云方案安全可靠，技术成熟，可以提供可用的、便捷的、按需的资源提供，成为当前IT架构建设的主流形态。

桌面云需求：长期以来，IT桌面管理是信息化建设的痛点，如新桌面上线、软件的安装与管理、安全补丁的复杂部署、系统升级的版本冲突等问题，耗费了IT管理员太多的精力，特别是庞大的客户端数量和种类让桌面管理的复杂程度呈指数增长。并且，随着用户数据量增加，如何有效管理存储在不同终端设备上的关键业务数据，避免用户数据丢失和泄密，也成为IT部门在桌面管理中的重要任务。在此背景下，越来越多的企业正在寻求通过引入桌面云方案进行IT技术变革，来提升数据安全、终端用户体验、简化管理、节能减排等方面的巨大价值。同时，通过创新的桌面管理模式与现有的管理技术和手段进行良好的融合，帮助企业及时满足IT发展需求，有效充分地利用现有资源。

企业级无线需求：企业随着业务规模的不断扩大，对企业提高运营效率的要求也不断提升，随着WIFI技术的不断发展，使其能更加稳定高效的承载企业应用。很多企业在有线网络的基础上扩展无线网络来进行日常业务的开展，甚至很大一部分企业在新建办公场所时，考虑建设的成本和传统网络的繁琐，也希望可以通过WIFI接入技术实现他们的目的。

2.企业网络安全解决方案总体规划

2.1 企业总体网络建设内容

企业本期网络建设内容，主要包括以下4个方面：

1.整体安全防护：

互联网出口和数据中心应用服务器前各部署一台防火墙设备。

通过防火墙设备的恶意网站过滤功能，防止终端访问威胁网站和应用；通过漏洞防护、病毒防护、恶意控件/脚本过滤功能，切断威胁感染终端的各种技术手段；

通过防火墙设备精确的应用识别，放行服务器补丁升级、病毒库升级等必要外联流量，阻断各种无关非法外联流量，防止终端被作为跳板入侵服务器。

2.服务器虚拟化：

超融合架构融合了：计算、网络、存储和安全四大模块，利用软件定义数据中心技术将所有集群内服务器的应将资源，包括CPU、内存、硬盘等全部资源进行重新定义整合后，以虚拟化的软件形式供外界使用，以实现真正云化方案。所有的模块资源均可以按需部署，灵活调度，动态扩展。

通过超融合一体机或者利用方案能够在最短的时间内，将业务系统安全、稳定、高效的迁移到超融合平台中，并且为后期迈向私有云平台奠定基础，可兼容云管平台，从而能够实现多租户的管理及计费审计等功能。

3.虚拟桌面云：

通过部署桌面云，降低后期运维成本，简化运维工作量。虚拟机模板技术让桌面上线时间缩短为10分钟左右，而技术人员也只需在“云端”进行软件维护，无需对每一台终端进行维护，单个IT管理员可轻松管理1000台终端或虚拟桌面以上，大大降低了维护的工作量和人力成本。

在办公区部署低功耗的瘦客户端，实现绿色办公，降低功耗，节省开销。云终端硬件高度集成，零部件极少，损坏更换的概率极低，几乎没有维修费用，无人为损坏可使用8-10年，比传统电脑长一倍，使用周期的延长，大大降低设备更新的周期和成本。瘦终端日常耗电量仅需10W，可以帮助客户节省大量的电力成本。

桌面云将所有的数据集中存储在数据中心，像笔记本、瘦终端这样的前端设备只接收图像，整个业务过程里数据是不落地的，是非常安全的，不仅可以随时随地通过各类终端访问桌面，而且集中化的部署方式也更有利于IT部门利用技术手段来保证信息资产安全。

4.无线办公网络：

搭建无缝接入的快速无线网络，支撑公司邮件、财务、办公软件的高效使用。

通过企业无线建设，满足企业BYOD建设需求，实现企业内部任何时间、任何地点都能实现BYOD，保证无线信号的无缝覆盖、快速漫游，而且信号质量高。

对于多种接入终端，多个接入地点保证良好的一体化兼容、控制、管理。

对于员工的无线上网行为进行合理的管控，禁止员工通过移动终端进行炒股，刷微博等影响工作的行为。对核心的业务系统的流量带宽进行有效的保障。

对各部门无线网络权限进行精细化控制，各个部门、职位拥有责任内的不同权限。如何保障公司机密不外泄，不越权。