舍神剑――业务受理平台应用方案.doc

舍神剑――业务受理平台应用方案.doc舍神剑――业务受理平台应用方案图1业务受理平台边界示意图图2业务受理平台边界安全解决方案边界概述业务受理平台一般是指大型企业或公共服务部门专门建立的网上业务处理平台,客户可以方便地通过网络办理专门业务,如网上银行、网上报税、移动警务通等。或专网连接的接口处。风险与需求分析业务受理平台的边界(如图1所示),网络,另一边是大型企业或公共服务部门内部高度敏感的业务网络,边界所面临的风险与安全之间的矛盾可想而知。对于业务受理平台的边界安全而言,其在安全防护方面有以下几个迫切要求: ,客户所访问的可能是非常敏感的业务系统,因此一定要保证只有合法身份的人,才能访问到那些允许其访问的敏感信息。这就要求所部署的安全措施必须能对所有访问信息的数据内容进行过滤和控制,并对一切访问提供事后的审计数据。 ,而平台内部又包含了敏感的信息,因此一定会受到各种方式的攻击。这些攻击一旦得逞,所造成的损失可能不仅仅是服务的瘫痪,更有可能造成敏感信息被读取甚至被篡改或者丢失的危险。 ,直接连接的网络最经常面临的、也最难以解决的问题。计算机病毒会直接破坏操作系统和数据文件,导致应用系统无法正常运行。蠕虫病毒更是令人防不胜防,蠕虫病毒一旦在某个子网爆发,它就会立即从一个子网节点迅速蔓延到其他子网区域。通过对以上这些安全需求的分析和总结,我们提出以下有针对性的解决方案。方案概述对于业务受理平台来说,关键的业务处理服务器等重要设备能够直接被外网访问是十分危险的,因此,我们通过在业务受理平台前部署一个业务受理前置区的方式来降低风险性。具体的方案实现如图2: ,并通过防火墙/UTM等设备进行防护。通过部署联想网御防火墙/UTM设备,可以实现对业务受理前置区的访问控制和抗攻击防护,并通过UTM设备所具备的防病毒功能实现对病毒和蠕虫的防御。通过部署联想网御防火墙,可以利用联想网御安全设备所独有的统一安全引擎,将状态检测、协议分析、深度过滤、内容检测等各个安全功能有机地整合为一体,能够充分提高防火墙的处理效率,并实现边界策略的统一配置。连接处部署联想网御UTM产品,除了能实现前面防火墙所能实现的安全控制功能以外,还可以通过先进的ASIC加速芯片实现内容操作和查找等功能的加速。这不但提高了防火墙的处理能力,还实现了对病毒和内容过滤等功能的高速处理。 。通过网络隔离与信息交换设备可以实现以下防护: (1)网络隔离与信息交换设备所特有的“2+1”安全硬件隔离体系,可实现对网络层和应用层各种攻击的100%拦截。(2)在此基础上,还可以通过对应用层的深度过滤和检测功能,实现对所有传输信息的内容控制,并进行安全审计。(3)基于无直接连接穿越的特性,网络隔离与信息交换设备能够对所有病毒和蠕虫的自动传播进行阻断,防范各种已知或未知病毒进入内部业务处理平台。方案优势 (UniformSecurityEngine,统一安全引擎)。它将状态包过滤、VPN、I