论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-25 16:56 
离线
新手

注册: 2012-08-05 09:44
最近: 2015-02-26 10:37
拥有: 219.00 安全币

奖励: 2 安全币
在线: 1242 点
帖子: 11
网络环境:
1.入口使用深信服的WOC(广域网加速器)连接至上级公司,主要网络设备有天融信的防火墙,华为的S5700及S3700交换机;
2.终端大概100-150台,包括笔记本、台式机、智能手机等,目前使用有线、路由器、无线AP多种接入方式;
3.网关使用了IPSEC VPN连接至上级公司,防火墙上开通了PPTP VPN用于系统维护;
4.网络使用人员包括内部员工、外委临时工作人员;

内网管控需求:
1.要对内部员工和访客进行区分,访客只能使用外网,内部员工可使用外网和内网;
2.解决各办公室私自拉接无线路由器、无线AP的问题;
3.解决内网病毒泛滥,尤其是OA文件病毒较多的问题;
4.员工生活营地不需要做管控;
5.用户终端不能安装客户端及任何插件。

我想的办法有两个大方向,一是物理隔离,现有光纤分两路,两个账户,分别连接至营地和厂区;另一个是逻辑隔离,但两者情况下,厂区都需要对接入终端做控制。

我是做信息化方面的,公司没有专门做信息安全的,现在这个事情我来做,请教论坛里的行业高人们,以上需求如何实现好?以下是我们的网络拓扑,比较简单。

另外请大家赐些安全币啊,想下载些文档学习下!!!不甚感激!!!

附件:
网络拓扑.jpg
网络拓扑.jpg [ 76.15 KiB | 被浏览 7617 次 ]


--------本帖迄今已累计获得73安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-25 22:23 
离线
新手

注册: 2011-05-26 11:56
最近: 2014-10-13 21:40
拥有: 1,030.00 安全币

奖励: 22 安全币
在线: 4130 点
帖子: 11
crack1985 写道:
网络环境:
1.入口使用深信服的WOC(广域网加速器)连接至上级公司,主要网络设备有天融信的防火墙,华为的S5700及S3700交换机;
2.终端大概100-150台,包括笔记本、台式机、智能手机等,目前使用有线、路由器、无线AP多种接入方式;
3.网关使用了IPSEC VPN连接至上级公司,防火墙上开通了PPTP VPN用于系统维护;
4.网络使用人员包括内部员工、外委临时工作人员;

内网管控需求:
1.要对内部员工和访客进行区分,访客只能使用外网,内部员工可使用外网和内网;
2.解决各办公室私自拉接无线路由器、无线AP的问题;
以上通过网络准入控制的技术可以解决。
3.解决内网病毒泛滥,尤其是OA文件病毒较多的问题;
结合网络准入+终端安全管理技术。
4.员工生活营地不需要做管控;
5.用户终端不能安装客户端及任何插件。
不能安装什么客户端?没有看明白?

我想的办法有两个大方向,一是物理隔离,现有光纤分两路,两个账户,分别连接至营地和厂区;另一个是逻辑隔离,但两者情况下,厂区都需要对接入终端做控制。

我是做信息化方面的,公司没有专门做信息安全的,现在这个事情我来做,请教论坛里的行业高人们,以上需求如何实现好?以下是我们的网络拓扑,比较简单。

另外请大家赐些安全币啊,想下载些文档学习下!!!不甚感激!!!

附件:
网络拓扑.jpg


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 09:57 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
准入结合域控应该能达到你大多数的需求,病毒的防御可以使用网关级防病毒产品,但如果不安装客户端控制软件和防病毒软件的话,很难控制病毒的泛滥,因为可以通过移动存储来传播,就算移动存储管控了,其实仅仅网关级别的防病毒软件的话问题很大,病毒一旦攻破网关的话就不可收拾了。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:11 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
这是论坛网友的求助帖,您在新浪微博的专业评论我也会转发到论坛,当然也欢迎您直接到论坛交流,多谢您的关注!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:15 
离线
新手

注册: 2012-08-05 09:44
最近: 2015-02-26 10:37
拥有: 219.00 安全币

奖励: 2 安全币
在线: 1242 点
帖子: 11
flb_2001 写道:
准入结合域控应该能达到你大多数的需求,病毒的防御可以使用网关级防病毒产品,但如果不安装客户端控制软件和防病毒软件的话,很难控制病毒的泛滥,因为可以通过移动存储来传播,就算移动存储管控了,其实仅仅网关级别的防病毒软件的话问题很大,病毒一旦攻破网关的话就不可收拾了。


的确,网关防病毒比较难防止病毒传播,现在我们公司主要就是文件流转造成的病毒传播,个人电脑装有杀软,但是员工技能不足,效果很不好,看来只有安装网络杀毒软件,需要装客户端,就是不知道效果如何!!!希望有实施经验的同行谈谈啊!

前面的需求,准入的,这个倒倾向不安装客户端软件了,因为节点不多且网络结构并不算复杂,我想就采用简单的绑定???域控没试过,也不了解,不知道对网络有什么要求

谢谢您的回复!


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:17 
离线
新手

关注按钮

注册: 2013-04-26 11:17
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 3
回复@信息安全论坛:额,适合大企业客户的内网安全需要专门的解决方案。这不是个人书面能简单提出来的 需要到做市场调研然后才可以量身出解决方案- -


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:17 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
回复@又一个叫冯晓飞的:确实如此,网上交流只是起到一些辅助作用。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:22 
离线
新手

关注按钮

注册: 2013-04-26 11:17
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 3
回复@信息安全论坛:能辅助最好,怕只怕误导。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:22 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
回复@又一个叫冯晓飞的:那是当然,就是安全咨询项目也可能误导用户,用户自己需要判断取舍。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 11:28 
离线
新手

关注按钮

注册: 2013-04-26 11:17
最近: 1970-01-01 08:00
拥有: 0.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 3
回复@信息安全论坛:恩。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-26 15:17 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
crack1985 写道:
flb_2001 写道:
准入结合域控应该能达到你大多数的需求,病毒的防御可以使用网关级防病毒产品,但如果不安装客户端控制软件和防病毒软件的话,很难控制病毒的泛滥,因为可以通过移动存储来传播,就算移动存储管控了,其实仅仅网关级别的防病毒软件的话问题很大,病毒一旦攻破网关的话就不可收拾了。


的确,网关防病毒比较难防止病毒传播,现在我们公司主要就是文件流转造成的病毒传播,个人电脑装有杀软,但是员工技能不足,效果很不好,看来只有安装网络杀毒软件,需要装客户端,就是不知道效果如何!!!希望有实施经验的同行谈谈啊!

前面的需求,准入的,这个倒倾向不安装客户端软件了,因为节点不多且网络结构并不算复杂,我想就采用简单的绑定???域控没试过,也不了解,不知道对网络有什么要求

谢谢您的回复!

文件流转的话有很多方面,之前说的移动存储、还有邮件、共享等等,我想邮件可以由邮件网关层面进行过滤,但共享比较难管理,需要安装客户端管控软件。
网络版的防毒软件的话就需要安装客户端软件了,对于网络版的比较好管理,能知道哪台安装了,哪台经常离线,哪台的病毒库是最新的等等。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-27 16:07 
离线
顶级用户

注册: 2004-05-17 09:34
最近: 2014-04-10 16:48
拥有: 11,637.80 安全币

奖励: 9451 安全币
在线: 12129 点
帖子: 638
还是先了解清楚你们的真实需求和预算以及领导的期望值。

你是子公司,总公司的信息安全策略和规范没有覆盖?你们要超前?

把握好需求场景,技术层面很容易控制,关键是实施以后的管理成本和运维成本,要重点考虑。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-27 18:49 
离线
新手

注册: 2012-08-05 09:44
最近: 2015-02-26 10:37
拥有: 219.00 安全币

奖励: 2 安全币
在线: 1242 点
帖子: 11
sun_bone 写道:
还是先了解清楚你们的真实需求和预算以及领导的期望值。

你是子公司,总公司的信息安全策略和规范没有覆盖?你们要超前?

把握好需求场景,技术层面很容易控制,关键是实施以后的管理成本和运维成本,要重点考虑。


我们新公司,总公司都才成立几年,信息安全策略及管理体系级别没有,信息化都才起步,上级公司谈不上能指导我们多少,子公司现在先做些简单的,更偏向于技术实现吧

哎,杀毒这个我现在自己先试下360杀毒的企业版,貌似里面也有准入。。。不过好像是ARP的
现在自己公司IT以及ITSEC底子差,人员技术弱,只有慢慢摸索了


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-27 21:45 
离线
中级用户

注册: 2008-08-23 17:08
最近: 2017-06-07 09:29
拥有: 3,514.00 安全币

奖励: 1486 安全币
在线: 6532 点
帖子: 136
crack1985 写道:
网络环境:
1.入口使用深信服的WOC(广域网加速器)连接至上级公司,主要网络设备有天融信的防火墙,华为的S5700及S3700交换机;
2.终端大概100-150台,包括笔记本、台式机、智能手机等,目前使用有线、路由器、无线AP多种接入方式;
3.网关使用了IPSEC VPN连接至上级公司,防火墙上开通了PPTP VPN用于系统维护;
4.网络使用人员包括内部员工、外委临时工作人员;

内网管控需求:
1.要对内部员工和访客进行区分,访客只能使用外网,内部员工可使用外网和内网;
基本的网络访问控制,可以考虑NAC方案
2.解决各办公室私自拉接无线路由器、无线AP的问题;
这个也是需要准入控制+非法路由策略,一旦发现存在该情况,立刻断网
3.解决内网病毒泛滥,尤其是OA文件病毒较多的问题;
要求必须安装防病毒软件,否则不能准入,准入+桌面管理
4.员工生活营地不需要做管控;
5.用户终端不能安装客户端及任何插件。
这个可以通过portal认证实现,但是不装客户端前面的违规都检测不到
[size=150]如果是想做个数据防泄漏的解决方案,要的东西多了,比如移动设备管理,文档加密,上网行为管理,入侵检测,对管理员操作的审计等等,关键还是看你们的预算是多少。[/size]我想的办法有两个大方向,一是物理隔离,现有光纤分两路,两个账户,分别连接至营地和厂区;另一个是逻辑隔离,但两者情况下,厂区都需要对接入终端做控制。

我是做信息化方面的,公司没有专门做信息安全的,现在这个事情我来做,请教论坛里的行业高人们,以上需求如何实现好?以下是我们的网络拓扑,比较简单。

另外请大家赐些安全币啊,想下载些文档学习下!!!不甚感激!!!

附件:
网络拓扑.jpg


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 公司打算做内网安全管控,请教下怎么实现!(内有网络拓扑图)
帖子发表于 : 2013-04-28 12:41 
离线
新手

注册: 2012-03-23 07:58
最近: 2015-04-10 11:28
拥有: 241.00 安全币

奖励: 2 安全币
在线: 433 点
帖子: 8
我想问几个问题?
1、解决各办公室私自拉接无线路由器、无线AP的问题;
禁用无线路由器、无线AP是为了什么,是防止私自上互联网,还是有别的想法
2、解决内网病毒泛滥,尤其是OA文件病毒较多的问题;
这个要是细化的话,可能会涉及到终端防毒、外设(U盘、光驱等)管理、补丁更新等。
3、用户终端不能安装客户端及任何插件。
这个是员工反感,还是部署不方便。

如果要是满足以上需求,有一套终端管理软件+一套终端防病毒软件,应该能有所改善。


--------本帖迄今已累计获得60安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012