昆仑联通在出版行业IT系统安全规划案例

客户背景

客户是国内出版界历史悠久的中央级出版社,出版科技图书、教材、大众图书、电子出版物及科技期刊等五大类。经过几十年的发展,已成为专业特色突出、品牌优势明显、图书市场占有率较高、有良好知名度和信誉度的中央级综合科技出版社,荣获“全国百佳图书出版单位”称号,国家一级出版社。

 

项目需求

随着客户IT信息化程度逐年提高,IT架构复杂性逐步加大,业务数据量已达50TB,信息安全问题日趋凸显,数据保护力度增加。另外,当前的网络、系统安全环境面临着新的变化,APT、0-DAY 等网络攻击正在不断利用未知威胁对网络安全造成严峻挑战,勒索软件等多种新兴攻击对数据安全造成极大威胁。

 

针对客户IT环境的现状分析,主要面临如下几个方面的挑战:

1)  随着网络攻击日益多样化,新的安全威胁令现有的传统防火墙和UTM(统一威胁管理)产品力不从心,需要部署更加有效的防护措施和产品;

2)  业务排版数据较大,约50TB,而且以300-500GB/周的速度递增,完全备份的时间窗口越来越大;

3)  现有备份软件(BE2010)版本较低,BE+带库的架构性能和功能瓶颈逐渐凸显,备份和恢复时间窗口无法满足需求,每次全备需要2-3天;

4)  未部署企业级防病毒产品,对病毒、木马、勒索软件、间谍软件、僵尸程序防护程度低;

5)  外包研发项目较多,服务器管理账户存在安全隐患,外包人员操作和行为审计未做统一控制。

 

昆仑联通解决方案

昆仑联通项目组调集了技术专家,分析客户现有的IT环境和面临的种种问题,确定了分别从下一代防火墙、数据备份、防病毒/勒索软件和安全运维管理四个方面来完善和加强客户的IT系统安全。

 

1)下一代防火墙

防火墙作为网络安全经典产品,发挥了巨大的作用。目前在各企业中部署最多的仍是传统四层防火墙(FireWall)设备,然而伴随网络攻击日益多样化,新的安全威胁已令传统防火墙和UTM(统一威胁管理)产品力不从心。

 

传统防火墙采用基于代码特征的检测方式,只能发现特征库中所涵盖的威胁类型。一旦恶意代码采用代码混淆或加密等方式进行变种,成为未知威胁,传统防火墙则无法识别。这是目前APT 等网络攻击屡屡得逞的重要原因。

 

昆仑联通项目团队帮助客户部署下一代防火墙,通过深入洞察网络流量中的应用和内容,保护企业网络。下一代防火墙除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、Web攻击防护、信息泄露防护、深度内容检测、高性能等特征。而且它可实现架构上一次解包完成全部检查,突破了性能瓶颈;再结合其高效、可视化、易管理等特性,成为取代传统安全产品的新趋势。

 

2)数据管理

企业数据一般分为两种,在线数据,如OA、邮件、文件等,企业业务运营需要实时更新的数据;离线数据,如备份数据。数据管理要按照实际业务,针对不同的数据,分级分类管理,以节省成本,简化运维管理。

 

昆仑联通技术专家针对客户企业的业务特点,对客户数据管理提出如下方案:

 

存储方面,采用主存储和次级存储两级架构,根据不同需求,搭配不同档次的产品。

主存储:使用高性能、高可靠性的共享存储,配置SSD、10k或15k SAS 盘,存放数据库、虚拟化等核心数据;

次级存储:使用成本相对较低的NL-SAS盘,存放需要在线查询的历史归档数据。

 

备份数据,选用高性能备份一体机作为一级备份,满足备份/恢复的性能需求;使用相对低价的设备做二级备份,满足容量需求即可。

一级备份:配置统一管理,集成重复数据删除、海量文件加速、虚拟化即时恢复等功能的企业级备份系统,保证备份窗口,简化备份数据有效性的验证。

二级备份:配置相对廉价备份存储或者磁带库,做磁带出库,长期保留。

 

1504766330102405.jpg

备份系统

 

3)防病毒/勒索软件

虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位内部。在国内,高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度,造成内部网络木马、病毒、恶意软件肆虐,各种0day漏洞、APT攻击层出不穷。

 

面对上述问题,昆仑联通帮助客户部署了360天擎终端安全管理系统作为防病毒方案,以大数据技术为支撑、可靠服务为保障,它能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护等诸多功能。

 

4)运维管理

客户的信息系统的安全运行直接关系到企业效益,构建一个强健的IT运维安全管理体系对企业信息化的发展至关重要,对运维的安全性提出了更高的要求。

 

昆仑联通为客户部署了绿盟安全审计系统-堡垒机搭建安全运维系统,可以有效解决因不同背景的运维人员给企业信息系统安全运行带来潜在的风险。账号管理无序,暗藏巨大风险;粗放式权限管理,安全性难以保证;设备自身日志粒度粗,难以有效定位安全事件;第三方代维人员安全隐患等问题得到解决。

 

1504766372572239.jpg

安全运维平台

 

安全运维系统的建立,帮助客户实现了:

集中账号管理

建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接;

集中访问控制

通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事;

集中安全审计

基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件的实时发现与预警。

 

客户收益

昆仑联通的整体IT系统安全规划方案,结合客户现状,全方位分析网络安全、数据存储备份、病毒/勒索软件防御等突出问题,结合当下企业普遍面临的运维困境,帮助客户建设了安全管理系统,为客户的IT系统安全保驾护航。

参与厂商: 
Veritas TechnologiesJuniper