登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
2.5 客户端安全状态评估――应用软件安装状态
有的时候用户安装了一些软件也给网络带来安全隐患,EAD系统提供黑白软件统一管理功能。管理员可根据企业的IT政令,在安全策略服务器定义员工终端黑白软件列表,通过安全客户端实时检测、网络设备联动控制,完成对用户终端的软件安装运行状态的统一监控和管理。
管理员根据软件运行的进程名称,在安全策略服务器定义黑白软件列表;同时对每一种受控软件规则定义相应的安全模式,即当用户终端接入网络时,安全客户端发现该规则被违反时,系统采取的策略。其次,管理员在安全策略中添加黑白软件控制规则。
在安全策略服务器完成对黑白软件列表和安全策略中软件控制部分的定义之后,用户终端的软件安装状态便可以通过EAD解决方案来完成统一监控和管理。
2.6 客户端安全状态评估――多种处理方式
对于EAD的应用,经常会有用户担心部署了EAD系统会带来带来很多麻烦,EAD解决方案除了基本的下线模式外还有多种应用模式,在实际部署之中可以根据不同的用户制定不同应用模式,使部署更加灵活方便。
EAD解决方案对于每一种安全状态的检测,按照处理模式可分为隔离模式、警告模式、监控模式。
三种模式对于实现的终端安全状态监控功能各有不同,对安全设备的要求也不相同。可以根据自己的安全管理政策决定采用哪一种模式。例如对于重要的网络用户,比如领导,管理员对其网络访问的管理也可应用监控模式,只了解用户的安全状态,不做任何处理,待用户方便的时候再进行处理。
2.7 合法用户动态授权――实现内部安全策略控制
身份认证是网络端点准入控制的基础。从网络接入端点的安全控制入手,结合认证服务器、安全策略服务器、网络设备、802.1x协议以及第三方软件系统(病毒和系统补丁服务器,如LANDESK),杜绝企业员工对不良网站和危险资源的访问,防止间谍软件、恶意代码等软件对企业内网带来的安全风险。
EAD解决方案在保证终端用户具备自防御能力并安全接入的前提下,通过动态分配ACL、VLAN等合理控制用户的网络权限,保障网络资源的合法使用和网络环境的安全,提升网络的整体安全防御能力。
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
2.8 用户行为审计
EAD解决方案除支持用户名、密码与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定之外,结合EAD强大的用户身份、权限的管理和UBAS详尽的用户网络行为日志,可以实现:
精确到用户的网络行为审计:充分结合EAD完善的用户帐号、卡号管理和UBAS基于用户IP地址的日志审计,将网络行为审计精确定义到用户个体;
完善的网络行为跟踪:充分利用UBAS各类日志信息,轻松掌握EAD管理的帐号用户、卡号用户的网络行为,如访问哪些网站,访问哪些网页(DIG组网环境)、发送哪些Email(DIG组网环境)、发送哪些文件(DIG组网环境)等。
准确的非法网络行为用户定位:利用EAD的设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等信息绑定功能,对进行非法网络行为的用户一经发现,即时准确定位。
3 网络层安全设计
3.1 虚拟防火墙解决方案
以企业的具体业务模式为依据,企业中的不同业务总是可以根据其重要程度划分为不同的安全等级和安全区域。对于高等级的安全区域需要更加严格的访问控制和安全保护。本组网利用Secblade和基础网络的融合实现园区网整体安全防护。在汇聚层利用SecBlade和95产品的组合对企业网中的核心安全区域实现进一步的安全防护。
这样的组网模式能够满足企业对不同安全区域的安全等级划分,并且可在不同区域间实现独立安全策略的制定,从而使整网拓扑大大简化,在保持高扩展性的基础上减轻了管理的复杂度。
因此,对企业信息管理人员来说,如何灵活方便的实现企业各业务部门的安全区域划分,以及如何在安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。
为此,H3C推出了虚拟安全解决方案,灵活运用虚拟防火墙技术,旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂,用户安全拥有成本高等几大问题。通过在汇聚交换机上面配置的防火墙插卡解决不同区域内的安全防护。
3.1.1 重点楼层重点客户安全防御方案
在网络中,总有些客户对于自己部门或者自己的数据信息安全特别敏感,而且他们的信息也是极为重要的。为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
为了对这些用户提供保护,我们可以在汇聚交换机中配置H3C SecBlade防火墙插卡进行数据保护业务。其优点是:
实现病毒防护和业务控制双重功能。
在防火墙上配置安全访问策略,设置访问权限,保护内部网络的安全。
SecBlade防火墙插卡具有对业务的良好支持,作为NAT ALG或者ASPF过滤,都能够满足正常业务的运行。
SecBlade防火墙插卡易于管理,让管理员舒心。
SecBlade利用虚拟防火墙技术实现为不同业务和用户实现不同安全防护。
虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上提供多个防火墙实体,即,将一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立,一般情况下不允许相互通信。
H3C SecPath/SecBlade虚拟防火墙具有如下技术特点:
每个虚拟防火墙维护自己一组安全区域;
每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等)
每个虚拟防火墙维护自己的包过滤策略
每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略
限制每个虚拟防火墙占用资源数:防火墙Session以及ASPF Session数目
除此之外,在防火墙的日常维护工作中,主要的工作就是定义和维护大量的访问控制策略,正是因为这样的应用,用户需要一种强大,直观,简便的管理工具来对防火墙设备进行管理,尤其是在增加了虚拟防火墙特性之后。H3C系列防火墙的面向对象配置管理技术充分考虑到管理员在一台设备上管理多种配置的复杂性,提供了对地址资源、服务资源、网络流量的形象化定义,让用户可以将网络中的网段、主机和服务等各种资源抽象为更加直观的、便于记忆和理解的对象。
SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。
SecBlade 防火墙模块可以对需要保护的区域进行策略定制,可以支持所有报文的安全检测,同时SecBlade 防火墙模块支持多安全区域的设置,支持Secure VLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将Secure VLAN绑缚到其中的一个SecBlade 防火墙插卡上,这样可以通过设置Secure VLAN来对交换机内网之间(不同VLAN之间)的访问策略进行定制。
此外,端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。
3.2 部署防ARP攻击解决方案
当计算机连接正常,却无法打开网页;或者计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。
ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏、网银、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
ARP攻击已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
近日,陕西全省出现大范围持续高温天气,用电负荷攀升。继7月14日陕西电网用电负荷达4245万千瓦后,7月15日17时25分,陕西电网用电负荷达4371万千瓦,再创新高。为积极应对夏季负荷高峰,国网陕西省电力有限公司滚动校核并科学调整电网运行方式,密切监测重要断面潮流、中枢点电压等运行指标,加强对新
5月15日,在国家电网公司分布式电源和微电网控制实验室,一排排机柜不眠不休地闪烁着灯光,百纳秒级的超高精度实时仿真计算正在快速运行着,这是中国电科院配电专业技术团队研发的世界首套有源配电网CPS仿真平台。我国城乡配电网跨越五个电压等级(220-110-35-10-0.4千伏),接入了大量分布式电源,有
一个好的微电网能量管理系统需要做好运行状态的规划,能够向各组成单元下达控制指令,监督执行情况并随时进行调整。而这些功能的完成需要建立起稳定的数据采集和信息传递能力,所以对终端设备也就提出了要求。传统的电力信息传输中,主站和终端之间的信息传递包含四个方面,分别为“遥信”、“遥测”、
在发展数字经济与实现“双碳”目标的背景下,人工智能技术的爆发式增长正引发算力需求的指数级攀升。工业和信息化部数据显示,截至2024年9月底,我国在用算力中心超过880万标准机架,算力总规模达268EFLOPS(每秒百亿亿次浮点运算次数)。中国信息通信研究院《中国绿色算力发展研究报告(2024年)》显
北极星氢能网获悉,近日,四川省四大实验室成功入选优化重整后的四川省重点实验室序列,分别是氢电转换四川省重点实验室、东方电气集团流体机械及工程四川省重点实验室、能源清洁低碳热转化利用技术与装备四川省重点实验室和能源装备工控网络安全四川省重点实验室。氢电转换四川省重点实验室该实验室依
1月20日,国网福州供电公司发布关于2024年政府信息公开工作年度报告。2024年,国网福州供电公司按照市政府的要求,结合本单位工作实际,规范政府信息公开工作流程,有序推进政府信息公开工作,保障广大市民能够及时、准确地知晓各类电力信息的权益。具体如下:(一)全面推进政务信息公开。依托“中国
2024年12月30日,国网浙江电力信息技术应用创新实验室(国网浙江电力信创实验室)通过专家现场考评,被授予“浙江省信创适配实验室”称号。该实验室将为全省电力行业提供信创咨询规划、适配测试、运维保障和人才培训等专业服务。国网浙江电力信创实验室于2022年建成,主要开展信创技术可行性研究、选型
北极星输配电网通过梳理发现,近期电网公司成立了很多新的机构、中心。具体,每个中心目标是什么,主要职能包括了什么?更多信息,如有网友知道的,欢迎留言告知。国网福建电力环保中心成立日前,国网福建电力环保中心在福建电力科学研究院揭牌成立。据介绍,国网福建电力环保中心下设环保技术室和绿色
从国网天津市电力公司了解到,日前,由该公司牵头组建的天津市电力规划研究中心正式成立。该中心将专注于能源电力行业的发展战略、政策与规划研究,同时推动电力新技术研发与应用,承担电力信息的收集与分析任务,为天津市能源电力规划工作提供智力支持。据了解,该中心由国网天津经研院负责运营,将围
北极星输配电网获悉,近日,由国网天津电力牵头组建的天津市电力规划研究中心正式成立。该中心将围绕“电源发展、电网发展、负荷需求、储能发展、技术创新、市场研究、政策研究、能源规划”八大重点领域开展工作,并专注于能源电力行业的发展战略、政策与规划研究,同时推动电力新技术研发与应用,承担
渝北区10KV光竹线智能馈线终端上的‘量子+5G’通信终端装置已完成检修,工作运行正常。”近日,国网重庆市北供电公司电力调度控制中心开展了“量子+5G”配网服务平台承载配电自动化业务应用检修。该条线路自2022年量子化改造上线以来已累计完成上万次量子密钥的分发。重庆地形复杂、气候多变,长距离的
7月17日日,四川省遂宁安居化工园智慧化改造及近零碳排放项目勘察设计招标公告发布。公告显示,项目总投资2.34亿,项目规模为园区危化专用停车场扩容升级建设,占地约60亩,配套相关设施设备等附属设施;建设化工园智能化安全管控体系一套、减污降碳协同治理体系一套、应急消防与危化品处置站一座、减
上半年,中国大唐集团有限公司宁夏分公司紧紧围绕“效益”和“发展”两大任务,积极应对市场变化,不断优化生产经营策略,发电量同比增长23.18%,经营利润同比增长21.77%,顺利实现“双过半”任务目标。该公司深入推进安全生产治本攻坚行动,严格落实安全生产责任制,加强设备运维管理,“一盘棋”统筹
7月10日,随着下水库左坝肩正式启动开挖作业,佛坪抽水蓄能电站下水库主体工程正式开工建设,这是继输水发电系统标段开工后又一重要标段进入实质性施工阶段,标志着工程建设全面迈入多点同步、协同推进的新阶段。下水库作为电站枢纽工程的重要组成部分,承担着调蓄、供水、泄洪等多重功能,施工内容主
近期,龙岩地区发布高温红色预警。国能龙岩发电公司坚持“安全第一、预防为主、综合治理”,通过加强安全教育、设备治理、安全管控等措施全力筑牢迎峰度夏安全生产防线。该公司把安全生产工作与迎峰度夏深度融合,修订完善迎峰度夏应急预案,设置极端天气、厂用电中断、人员中暑等6类场景,开展无脚本
盛夏时节,不仅是万物生长好时节,也是工程施工“黄金期”。在国家《抽水蓄能中长期发展规划(2021—2035年)》“十四五”重点实施项目现场,建设者奋战当下,从浙江松阳到湖北南漳,再到安徽石台、青海南山口、重庆菜籽坝等,项目一线捷报频传,一批工程安全施工,顺利实现新突破、迎来新进展。浙江松
7月8日,国网辽宁丹东供电公司孔家沟220千伏变电站主变扩建工程顺利投运,进一步优化了辽宁丹东地区电网网架结构,满足远期经济社会发展供电需求。孔家沟220千伏变电站是丹东主城区重要变电站之一,于1987年投入运行。近年来,随着地方经济快速发展和居民用电需求激增,以现有用电增速预估将于2028年达
随着云南新能源大规模持续投产、并网规模不断增加,今年,南方电网云南电网有限责任公司首次带着超6600万千瓦的新能源(占比41%)装机入汛。预计度夏期间云南省内最高负荷约3700万千瓦,“西电东送”预计超过3300万千瓦,送境外40万千瓦,电力电量供应充裕。云南水电大发,潮流大方式、远距离传输,对
近日,全国各地迎来高温天气,能源保供进入关键期,中国广核集团作为能源央企,积极部署迎峰度夏相关工作,保障电力稳定供应。2025年上半年,中广核在运清洁能源项目累计上网电量约1861亿千瓦时,其中,在运核电机组总上网电量约1133.6亿千瓦时,境内在运新能源项目总上网电量约500亿千瓦时,境外在运
最近,《国家电网报》刊发国网江苏省电力有限公司董事长、党委书记谢永胜署名文章《深入推进安全生产治本攻坚为高质量发展提供坚强保障》,深入贯彻习近平总书记关于安全生产、能源保供的重要论述和重要指示批示精神,扎实推进安全生产治本攻坚三年行动,全力为企业和电网高质量发展保驾护航。坚持“两
当光伏产业告别粗放式的规模扩张,迈入价值深耕的新阶段,一座电站能否平稳跨越25年生命周期、实现全生命周期度电成本最优,已然成为市场竞争的核心焦点。在此背景下,鉴衡认证中心与阳光电源近期联合发布《阳光电源直流安全AI全域管理方案白皮书》,以直流安全为核心切入点,不仅深入剖析了直流侧故障
热浪席卷,电力迎峰度夏保供战已全面打响。截至7月9日17时,南方电网最高电力负荷达2.52亿千瓦。南方电网公司坚决扛牢电力保供政治责任,从智能调度、运行管理、市场化改革、应急抢修等方面,抓实迎峰度夏保供电措施,确保电网安全稳定运行和电力可靠供应,全力打赢这场关乎经济发展、关乎民生福祉的电
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!