本次项目在信息安全规划和设计时, 通过划分安全域实现业务的正常运行和安全的有效保障。
结合该公司实际情况对安全等级进行评估,按照不同要求划分成了多个安全域,提升整体安全性。数据中心划分为应用业务安全域、数据库安全域、 运维管理安全域,出口防护安全域四个个安全域。
应用业务安全域
部署防火墙:主要对数据中心内部,各服务器及虚拟机之间进行安全隔离,访问控制。
部署WAF (Web Application Firewall, Web应用防火墙),通过基于HTTP/HTTPS的安全策略进行网站等Web应用防护,防止网站文字、图片等内容被篡改。
部署IPS 入侵防御系统 访问服务器的流量都要经过IPS会对数据的网络层 ,传输层,应用层中各字段做分析并与特征库做比对,如果没有问题,才转发出去,保护服务器安全。
数据库安全域应部署数据库审计设备, 对数据库系统中的操作进行记录、监控和分析的过程,用于检查和评估数据库的安全性、合规性和完整性。
出口防护区
部署防火墙设备,配置NAT,实现内、外网地址转换,访问互联网。配置访问安全策略,防止非法访问和网络攻击。配置ACL流策略等,实现内网用户访问不同的出口网络,当带宽溢出时,访问备用出口。
部署DDoS异常流量检测与清洗设备,对来自Internet的各种DDoS攻击进行清洗。
安全运维管理安全域
管理区运维审计:通过对核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制,满足相关法规、标准要求,实现对核心资源统一接入管理和运维审计;
园区接入部署NAC ( Network Admission Control,网络准入控制) :对接入网络的用户进行认证、授权和 上网行为记录 ,避免非法用户的接入或未授权用户访问核心资产。
部署HiSec Insight
HiSec Insight 作为网络的安全智能分析引擎,实现的是对APT(Advanced Persistent Threat)等高级威胁检测,其核心思想是以持续检测应对持续攻击,在部署模式上,将采集组件部署在关键部门和关键资产相关位置,通过对实时流量信息和离线信息进行持续检测、分析,从而有效发现高级威胁,通过和网络设备、安全设备、流量探针设备等多种能力联动,实现安全威胁的分析和闭环。
同时部署 旁挂漏洞扫描设备,定期对数据中心内服务器等关键设备进行扫描,及时发现安全漏洞和威胁,可供修复和完善。
完整的安全体系不可能一蹴而就,是一个长期经营、不断完善的过程。公司在满足等级保护要求的基础网络安全能力之外,不断提升各行业的网络安全运维人员的安全技能,增强 广大员工的安全意识,积极参加公安部组织护网行动,以攻促防从而不断完善公司网络安全体系。
传统网络网管只能监控网络KPI,无法感知用户体验,IT人员无法第一时间感知业务故障;故障发生后更多是依赖专业人员的运维经验判定业务故障原因,故障无法快速定位;
网络指标劣化后,需要由IT人员借助网管评估网络状况,做出针对性的优化策略并部署,网络无法实现自主优化。
本次项目引入,华为 iMaster NCE-CampusInsight 基于AI加持的iMaster NCE-CampusInsight分析组件,
实时采集和分析Wi-Fi网络及用户数据,并提供7个维度的网络健康度评估,让IT人员直观了解当前网络状态和质量;
用户体验可视,从用户接入网络到断开连接的整个过程,CampusInsight可提供用户全旅程体验感知;
当用户接入发生故障时,通过接入协议回放快速定位故障及根因,并提供修复建议,辅助IT人员快速排障。
更为重要的是,CampusInsight可通过大数据及AI技术学习网络模型并进行业务趋势预测,基于预测结果对Wi-Fi网络进行智能的射频调整和优化,
