24小时服务热线:
企业办公网全网安全管控方案
更新时间:2019-09-16 14:02:43
企业办公网建设是IT建设的一大核心随着互联网的持续发展,当前大量企业通过网络将集团总部与各分公司/厂区结合起来,便捷的沟通和共享方式...
企业办公网建设是IT建设的一大核心
随着互联网的持续发展,当前大量企业通过网络将集团总部与各分公司/厂区结合起来,便捷的沟通和共享方式大大提高了企业的生产力和工作效率,如何能够保障一个稳定、安全、便捷的整体网络成为企业IT建设的重要课题。深信服对大量企业用户进行调研后发现,在企业全网建设过程中IT管理者普遍面对着四个方面的问题。
此可见,企业办公网作为承载业务和人员办公的重要基础设施,同时其建设状况存在大量问题,因此办公网建设已然成为了IT建设的一大核心。
综合上图所列举的企业网络建设所面临的主要问题,我们可以清楚地发现,如何让企业全网办公获得更安全、更稳定、更高效的办公体验,让管理部门更简单、更直观地进行运维管理已经成为IT建设的突破点。
深信服企业办公网全网安全管控建设思路
基于当前企业办公网建设需求以及其中的信息安全挑战,深信服提出了完整的企业办公网全网安全管控建设解决思路,主要目标是提升企业集团总部对各分支网络的集中建设与管控能力,在******简单有效、用户体验、控制成本的原则下,解决办公网内的业务需求和普遍安全问题。
根据企业办公网的建设现状和主要挑战,办公网全网安全建设可以分为四个模块:
深信服企业办公网全网安全管控建设方案
本方案是站立在企业用户全局视角,对用户全网建设需求进行深入分析,结合用户网络建设体系所设计的一套安全加固方案,结合既定的建设思路和企业常见网络结构,我们绘制出以下企业全网安全管控建设拓扑图。
以下是本方案建设所需清单。
方案价值
n 安全防护,统一组网
Ø 在总部和分支的边界分别建立2到7层的边界全面防护体系,能够识别抵御常见的网络攻击行为;同时在总部实现了全网安全监测能力,能够及时发现内网安全威胁,追根溯源,保障网络持续稳定运行。
Ø 分支机构结合具体建设需求,采用相应标准设备作为网络出口,通过加密VPN隧道组网通信,划分逻辑隔离的企业内网。
n 内网管控,统一认证
Ø 灵活管理总部及分支员工上网行为,可以禁止或双向管控敏感部门和用户使用外发类(文件传输、图片外发)、降低工作效率类(游戏类、购物类、视频类)应用以及带宽消耗类应用,审计记录用户上网行为,提供溯源依据,规避法律风险。
Ø 建立完善的认证管理体系,可结合AD域或者其他第三方认证平台进行用户识别和上网权限控制,支持各种类型的单点登录认证,可实现总部分支全网统一实名制认证,支持多种认证方式组合,包括微信认证、短信认证、一键上网,APP认证等满足不同场景需求
n 集中管理,统一运维
Ø 采用集中管理平台对分布各地的网络设备进行实时监控、智能告警、配置下发、统一更新、远程接入、日志查询,有效提高网络管理效率,降低管理成本,减轻管理负担。
Ø 支持管理员分级分域管理,可同步所有受控端设备日志到统一日志中心,显示所有在线网点的网络吞吐带宽展示、当前用户流量信息、分支设备配置信息。
n 行为分析,安全可视
Ø 结合总部内部流量与分支安全日志进行统一分析,获取全网整体安全态势,集中展现各分支安全状态。
Ø 基于全网用户海量的上网日志和用户行为特征进行深度建模,分析整体流速状态、应用流量占用比例、各单位流量排行,发现存在不良上网行为的单位,帮助运维人员实时监控整体网络流量状态。
Ø 协助网络运维管理员迅速发现分支的网络故障情况,结合集中管理平台帮助管理员快速定位并解决问题。
Ø 支持大屏展示,生成运维报表,汇报运维管理情况,为IT建设提供数据依据,体现建设价值。
用户案例
随着互联网的持续发展,当前大量企业通过网络将集团总部与各分公司/厂区结合起来,便捷的沟通和共享方式大大提高了企业的生产力和工作效率,如何能够保障一个稳定、安全、便捷的整体网络成为企业IT建设的重要课题。深信服对大量企业用户进行调研后发现,在企业全网建设过程中IT管理者普遍面对着四个方面的问题。
此可见,企业办公网作为承载业务和人员办公的重要基础设施,同时其建设状况存在大量问题,因此办公网建设已然成为了IT建设的一大核心。
综合上图所列举的企业网络建设所面临的主要问题,我们可以清楚地发现,如何让企业全网办公获得更安全、更稳定、更高效的办公体验,让管理部门更简单、更直观地进行运维管理已经成为IT建设的突破点。
深信服企业办公网全网安全管控建设思路
基于当前企业办公网建设需求以及其中的信息安全挑战,深信服提出了完整的企业办公网全网安全管控建设解决思路,主要目标是提升企业集团总部对各分支网络的集中建设与管控能力,在******简单有效、用户体验、控制成本的原则下,解决办公网内的业务需求和普遍安全问题。
根据企业办公网的建设现状和主要挑战,办公网全网安全建设可以分为四个模块:| 模块一 | 构筑办公网安全边界,分支通过加密稳定可管理的通道与总部通信,建立逻辑隔离的办公内网。 |
| 模块二 | 加强内网管控与防护,全网统一认证,实现用户******管理,******用户上网体验 |
| 模块三 | 统一安全运维实现集中简化的管理架构,实现全网设备统一运维,集中告警,统一策略下发,形成全网运维可视能力。 |
| 模块四 | 形成全网安全可视能力,实时了解总部及分支网络状态、用户行为,实现全局安全可视化。 |
本方案是站立在企业用户全局视角,对用户全网建设需求进行深入分析,结合用户网络建设体系所设计的一套安全加固方案,结合既定的建设思路和企业常见网络结构,我们绘制出以下企业全网安全管控建设拓扑图。
以下是本方案建设所需清单。| 部署位置 | 部署产品 | 用途 |
| 集团网络出口 | 下一代防火墙(NGAF) | 构建边界的L2-7层的完整安全防御体系,进行互联网边界安全防护。 |
| 上网行为管理(AC) | 集团用户上网认证、行为管控和审计,提升集团员工的工作效率,提升集团管理能力。 | |
| 安全管理中心 | 统一认证平台 (AC-pt) |
全网统一用户认证平台,结合用户组织架构、角色权限进行相应认证 操作。 |
| 集中管理平台 | 全网多分支设备统一管理平台,对分支进行智能监控、远程策略配置、运维告警等集中化操作。 | |
| 全网安全感知平台(SIS) | 汇总来自于潜伏威胁探针、下一代防火墙、上网行为管理等安全设备的数据或日志,进行深入分析,可视化呈现全网安全态势、服务器漏洞态势等,并对主机和服务器风险问题进行******定位。 | |
| 潜伏威胁探针(STA) | 通过镜像经过核心交换机的全部流量,具备深度监测能力、异常会话监测能力、违规访问监测能力、僵尸主机检测能力等。 | |
| 行为感知系统(BA) | 通过大数据技术对汇总的上网行为记录进行用户行为趋势建模分析,展示多维度多场景分析数据,如全网上网态势分析,办公网上网态势分析、泄密追踪分析、带宽分析等。 | |
| 统一日志中心 (Log Server) |
网络设备及服务器日志收集、保存、汇总。 | |
| 分支机构 | 上网行为管理(AC) | 分支机构通过IPsec VPN模块与总部组网,建立稳定的访问连接;同时实现分支用户的统一认证、行为管理和审计,提高员工工作效率,提升集团管理能力。 |
| 下一代防火墙(NGAF) | 分支机构通过IPSec VPN模块与总部组网,建立稳定的访问连接;同时涵盖访问控制、入侵防御等功能实现分支机构的2到7层安全防护建设;分支安全数据汇总至总部全网安全感知平台,由总部整体 |
n 安全防护,统一组网
Ø 在总部和分支的边界分别建立2到7层的边界全面防护体系,能够识别抵御常见的网络攻击行为;同时在总部实现了全网安全监测能力,能够及时发现内网安全威胁,追根溯源,保障网络持续稳定运行。
Ø 分支机构结合具体建设需求,采用相应标准设备作为网络出口,通过加密VPN隧道组网通信,划分逻辑隔离的企业内网。
n 内网管控,统一认证
Ø 灵活管理总部及分支员工上网行为,可以禁止或双向管控敏感部门和用户使用外发类(文件传输、图片外发)、降低工作效率类(游戏类、购物类、视频类)应用以及带宽消耗类应用,审计记录用户上网行为,提供溯源依据,规避法律风险。
Ø 建立完善的认证管理体系,可结合AD域或者其他第三方认证平台进行用户识别和上网权限控制,支持各种类型的单点登录认证,可实现总部分支全网统一实名制认证,支持多种认证方式组合,包括微信认证、短信认证、一键上网,APP认证等满足不同场景需求
n 集中管理,统一运维
Ø 采用集中管理平台对分布各地的网络设备进行实时监控、智能告警、配置下发、统一更新、远程接入、日志查询,有效提高网络管理效率,降低管理成本,减轻管理负担。
Ø 支持管理员分级分域管理,可同步所有受控端设备日志到统一日志中心,显示所有在线网点的网络吞吐带宽展示、当前用户流量信息、分支设备配置信息。
n 行为分析,安全可视
Ø 结合总部内部流量与分支安全日志进行统一分析,获取全网整体安全态势,集中展现各分支安全状态。
Ø 基于全网用户海量的上网日志和用户行为特征进行深度建模,分析整体流速状态、应用流量占用比例、各单位流量排行,发现存在不良上网行为的单位,帮助运维人员实时监控整体网络流量状态。
Ø 协助网络运维管理员迅速发现分支的网络故障情况,结合集中管理平台帮助管理员快速定位并解决问题。
Ø 支持大屏展示,生成运维报表,汇报运维管理情况,为IT建设提供数据依据,体现建设价值。
用户案例
| 国家开发投资公司 | 绿地集团 | 中信证券 | 京东商城 | 美的电器 |
| 中国南方航空集团公司 | 德祐地产 | 招商银行 | 携程网 | 联塑集团 |
| 招商局集团有限公司 | 德邦物流 | 中银保险 | 新浪科技 | 锦江之星 |