说明:
现状与挑战工业控制系统如SCADA系统、DCS系统和PLC等目前已广泛应用于工业基础设施的各个领域,是工业自动化的核心组成部分,工业自动化的中枢神经。然而,工业控制系统自身也存在较多的安全漏洞与隐患,并可能被利用,一旦发生安全事件,直接造成的影响是生产停滞或设备损坏,给企业或市政机关带来较大的经济损失,更严重的还可能对生产人员的生命、健康产生危害。2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),强调加强工业信息安全的重要性、紧迫性,并明确了重点领域工业控制系统信息安全的管理要求。方案描述目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性并不现实,需要针对目前工业控协议的脆弱性以及安全防护关键点进行风险分析,并部署相应的安全防护技术措施和安全产品,辅之以工控网安全管理和运维手段的提升,来进一步提高工业控制系统整体安全水平。通过在工业控制网络中部署捷普工业防火墙、可信工业控制安全网关、可信主机安全防护平台、网络与数据库操作行为审计等安全设备,综合防御来自企业信息网以及监控管理层的安全威胁,保障监控中心关键设施及数据信息的安全,其中,可信工业控制安全网关能够对工业以太网环境下工业控制协议的深度协议解析与攻击防护,能够保障监控管理层和过程控制层之间数据访问与控制指令的安全性。方案优势通过本方案的建设与实施,帮助行业用户建立起工业基础设施安全保障体系,增强安全风险防范能力,促进工业控制系统安全、稳定运行,并满足行业监管机构的合规要求。该方案目前已在河南中烟新郑卷烟厂、漯河卷烟厂、新郑州卷烟厂、中国化工、华北油田等行业用户中得到很好应用,并将广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等涉及国计民生的工业基础设施安全建设...
说明:
安全现状互联网技术的快速发展,逐渐成为人们工作和生活必不可少的一部分,政府机关和企事业单位为顺应时代的发展,纷纷利用互联网的资源进行快速建设,利用自建的网站进行业务快速推广,现如今网站逐渐成为单位信息化建设的重点工作内容,中央在网络文化建设工作中对网站的建设也定义为企业事业单位的窗口和基础平台。然而在大规模业务扩展过程中,有的不仅仅是效率的提升,同时也浮现出来特别严重的安全问题,根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2013年的统计报告,我国境内被篡改的网站数量为2万4千多个,相比2012年的1万6千大幅增长了46.7%,而次状况还依然在持续增长,网站安全形势依然很严峻。在网站建设方面,国家层面也一再强调安全建设的重要性,从公安部第82号令《互联网安全保护技术措施规定》和等级保护,以及《信息安全技术 基于互联网电子政务信息安全实施指南》相关条例中明确要求在网站建设过程应该遵循的安全条款,以保障后期业务的可用性。所以在业务基础设施发展的同时也一定要考虑安全层面的迫切需求。安全需求网站问题归根结底为网站整体防护不到位,在建设和维护过程中都不可避免的引入安全漏洞,而这些漏洞在后期业务开展过程中又缺乏完善,从而导致篡改和信息泄露。针对网站的攻击主要集中在以下方面:利用网站应用程序漏洞,使用SQL注入攻击针对缺陷的操作进行攻击,以获取系统或数据库管理员权限,从而破坏网站信息。利用XSS(跨站脚本攻击)攻击危害访问网站业务的用户,攻击者在网站中插入恶意的攻击代码,使用户在浏览网站或办理业务时执行恶意的代码,从而达到窃取访问用户的隐私信息。利用木马、病毒、蠕虫和间谍软件,对网站后台系统进行攻击,从而破坏网站的可用性。恶意人员常用的网站攻击手段莫属DDOS攻击,利用数量众多的业务请求使服务器过载,从而瘫痪服务器使得网站不能正常提供业务。安全防护方案鉴于网站安全问题...
说明:
现状与挑战某证券公司网上交易系统可以为广大股民用户提供快捷、安全的交易通道,同时为证券公司业务创新提供支持。由于网上交易信息涉及到客户的账密信息以及股票买卖信息,因此对网上交易业务信息的机密性、完整性也提出了非常高的要求。方案描述部署捷普下一代防火墙系统:在互联网与交易外网之间部署捷普下一代防火墙系统来进行访问控制、病毒防护和线路加密等。在办公网和交易网之间也部署捷普下一代防火墙系统进行控制。部署捷普入侵检测系统:在核心交换机上部署入侵检测系统,检测来及内外网的各种攻击和异常流量;部署捷普信息审计系统:针对各种行为和事件进行审计,尤其是增强对假冒用户进行交易的行为进行审计,及时发现非法交易;部署捷普信息安全一体化集中管理系统(SOC):提供全面的安全管理平台,包括资产管理、风险管理、安全事件和应急响应进行全局、综合管理,有效提升安全管理能力;部署捷普终端安全管理系统:在各终端上部署捷普终端安全管理系统。通过强化桌面登录、限制外来U盘使用、禁止非法外联、检测病毒软件、补丁和安全策略等来确保终端系统的安全,防止不安全的接入。方案优势抵御来自外部网络的攻击、蠕虫及恶意代码传播;解决终端对互联网资源滥用,有效控制带;解决终端访问内网时的违规、违法行为;解决全局的信息安全统一管理。
说明:
现状与挑战为了落实和贯彻公安部、国家保密局、国家密码管理局、广电总局等国家有关部门信息安全等级保护工作要求,某广播电视单位全面开展完善信息安全防护体系,落实“双网双机、分区分域、等级防护、多层防御”的安全防护策略,确保等级保护工作在电视台业务系统的顺利实施,提高电视台整体信息安全防护水平。方案描述为帮助广播电视单位落实国家信息安全等级保护制度与广电总局信息安全等级保护工作要求,交大捷普公司从身份认证、访问控制、内容安全、监控审计与备份恢复五个层面为电视台提供融合化的等级保护解决方案,有针对性的提供了防火墙、安全审计、漏洞扫描、入侵检测、防病毒网关、服务器群组防护系统、信息安全一体化集中管理系统(SOC)等产品。方案优势交大捷普“电视台等级保护解决方案”依据国家信息安全等级保护相关政策标准与广播电视行业的相关标准与要求,结合电视台信息化安全实际需求进行设计,可全面提升电视台信息安全防护能力与安全管理能力,满足等级保护测评要求,为广播电视单位顺利推行等级保护建设,提供优质、全面、系统、高效的服务。
说明:
业务场景随着医院信息化建设的不断深入,越来越多的日常医疗活动依赖于医院信息系统的正常运行。医院信息系统一方面承载大量核心业务应用,还涉及与上级主管部门、银行、社保等多个单位的联系与互通,而在系统的建设、使用和管理等方面都存在大量的安全隐患。目前,在全国范围内,由于医院信息泄露、管理不当等问题引起的安全事件也是层出不穷,使医院在经济效益和社会效益方面都蒙受了巨大的损失。2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。2011年底,原卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。安全需求对于三甲医院的信息系统而言,安全建设应该主要考虑以下几个方面:符合国家等级保护三级的要求结合三级甲等医院网络的实际情况,充分考虑等级保护体系和标准要求,是方案设计的出发点和重要基础。在方案编制过程中,围绕着《信息安全等级保护管理办法》,对《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统等级保护安全设计技术要求》等多个等级保护标准进行深入分析,在技术体系中,将等级保护标准的要求转化为好理解的、具体的、方便实施的项目,使等级保护工作在三级甲等医院进行推进和落地成为现实。整个方案设计既体现了指标覆盖的全面性,又考虑了新成果的体现。实现三甲医院安全融合医院信息化安全防护需求多样化,主要关注数据库审计、终端安全管理、边界安全防护、网站系统防护、互联网上网行为管理等。交大捷普专注于网络安全与终端安全领域,针对多样化的需求可提供全方位的产品与解决方案,全面提升医院信息化系统的安全性、可用性、可靠性。保障三甲医院业务系统稳定运行医院...
说明:
现状与挑战中石油某销售公司作为中国石油天然气集团公司的重要销售单位,承担着整个省的油品销售工作。作为一家省级单位,总部与下面多个地市分公司形成连接,同时分布在各个地市的加油站点需要与当地分公司形成互连,利用互联网资源是一种经济的通信资源,然而随着互联网木马、病毒等多样化攻击的日益泛滥,未经安全防护的网络架构无可避免会影响到整个石油供销系统的安全。方案描述为了提供一种安全的接入方式,省公司需要考虑一套既方便集中管理又具有一定安全性的解决方案,最终选择SSL VPN这样一种接入方式来组建集中管理的业务传输系统。针对中石油某省公司的网络情况,在省级销售公司部署一台捷普SSLVPN设备,并配以防火墙、入侵防御系统及WEB防护系统对各业务系统的访问进行授权、准入、控制、审计,实现完整的接入安全保护。方案优势(1) 采用SSL VPN不需要安装任何客户端,只要有浏览器即可快速登录财务和报销系统,方便站长和审算员操作。(2) 以VPN安全接入控制+访问控制+WEB防护+入侵防御的一体化解决方案,保证财务和各营销系统接入的安全。(3) 全面提高访问速度,提高办公效率。
说明:
业务背景近年来,基础教育的信息化水平有了较大的提高、软硬件建设有了长足的进步,但是当前的教育信息化水平还不能满足教育现代化的发展要求和人民群众的需求期盼,与国际先进水平相比还有明显的差距。“三通两平台”是教育部对“十二五”期间教育信息化核心目标,是在《国家中长期教育改革和发展规划纲要(2010-2020年)》纲领性文件的背景下,总结提炼出“三通两平台”的建设核心目标。其中两平台是指教育公共管理服务平台和教育公共资源服务平台,基本上都是基于云计算技术构建教育服务平台,为民众提供教育相关的业务和服务。在教育服务平台的部署和实施的过程中,如何在保障云计算平台自身安全,更好的为客户提供服务,成为需要重点关注的问题。安全挑战教育服务平台面临的主要安全威胁如下:1.针对教育服务平台的恶意攻击通过拒绝服务攻击等手段,大量消耗服务平台的网络性能和计算性能,导致整个平台无法对外服务2.借助教育服务平台对外攻击利用教育服务平台强大服务、计算和网络能力,对公网其他系统发起的攻击,成为攻击者攻击的资源。3.内部员工的违规操作内部员工、运维人员对教育平台的操作权利,将导致权利滥用造成的数据篡改、数据破坏等安全问题。4.数据共享引发泄露可能由于重要信息的集中存储和使用,引发信息共享和泄密风险。由于平台对外服务多样、系统复杂,攻克单个系统将造成整个平台的数据丢失或破坏。5.不安全的对外服务接口教育服务平台作为资源整合平台,聚集了大量的上下游、发展业务伙伴。系统和业务间通过服务接口相互通信,由于开发标准不统一、对安全风险的认识不足,开发过程中很容易引入漏洞或缺陷,造成潜在的入侵风险。6.安全管理手段缺乏由于教育服务平台的业务复杂性,造成支撑系统众多、交互流程繁杂、安全防护等级和防护手段各异。对于平台管理和运维人员来讲,缺乏有效的资源、网络、业务监控手段,很难准确掌握服务平台的运行情况和安全水平。解决方案交...
说明:
业务背景电子政务内网作为内部信息和公文传输平台,开通政府系统的一些日常业务,运行着大量需要保护的数据和信息,有其自身特殊性。如果系统的安全性被破坏,造成敏感信息暴露或丢失,或网络被攻击等安全事件,可能导致严重的后果。因此,构建电子政务内网信息安全保障体系就变得尤为重要。但如何设计完善的信息安全系统,如何形成有效的信息安全管理体系等问题都是电子政务信息化的难点和要点。同时,推广办公自动化系统是建立高效率政府的必要条件,移动办公、信息协同、自带设备(BYOD)等众多需求必然带来新的信息安全风险。安全不是一个目标,而应该作为一个过程去考虑、设计、实现、执行。只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证,它包括:安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。由于信息安全涉及到政府工作的方方面面,有必要对影响到信息安全的各方面威胁进行关注及分析,并针对每一项威胁制定相应的策略。交大捷普针对政务内网提供了一套完整的信息安全整体框架及综合解决方案。安全挑战政务内网由于其较高级别的保密程度,首先需要跟政务外网完全物理隔离。其次需要考虑的安全威胁如下:1. 内网网络的恶意攻击。由于各种不可控的使用途径,内网也会存在蠕虫、病毒等攻击方式。2. 出差人员远程办公访问过程需要加密。3. 移动存储介质的交叉使用。对于电子政务内网的计算机来讲,在上互联网的计算机上使用过的U盘,移动硬盘都不能在政务内网上使用。U盘病毒和间谍木马会把内网中的保密信息和敏感数据带到互联网上,回传给木马的制作者。并且,病毒还会在内网上传播,消耗系统资源,降低平台的性能,影响政务内网各种业务的正常流转。4. 内网的身份认证和权限管理问题。防止...
说明:
现状与挑战近年来,信息技术的广泛应用已经对烟草行业的发展产生了越来越深刻的影响和促进,信息化建设以成为烟草管理上水平的重要手段和重要组成部分,随着网络规模不断地增加,它的危险系数也在逐渐变大,一些不法分子利用黑客技术进入网络内部窃取数据、修改内容,给烟草局带来很大的麻烦。方案描述根据国家局的要求,各省烟草专卖局、中烟进行了信息安全技术和管理方面的部署,在充分了解业务安全需求的基础上,针对烟草的网络的风险评估工作,对安全现状进行了深入分析,提出了捷普分布式解决方案。本方案在烟草的网络中部署捷普的防火墙、入侵检测系统及网络脆弱性智能评估系统。通过监视事件日志、系统受到攻击后的行为,及时作出反应。这样,网络脆弱性智能评估系统就能分析整个网络的安全漏洞,发现重点隐患,以便更好的做出安全决策。方案优势捷普分布式解决方案的整体安全性、整体可控性、整体有效性和资源共享在烟草局得到了充分体现,在网络安全日志分析、防火墙、IDS、网络防杀毒软件等其他安全措施的帮助下,黑客的攻击被成功地阻止了。
说明:
应用背景许多大型企业的网站遭到攻击,访问这些网页的用户可能遭遇病毒感染和身份盗窃。如索尼PlayStation、2008欧洲杯门票售卖公司和英国独立广播电台等公司旗下的知名娱乐网站都曾在这个问题上饱受困扰;尤其随着Web 2.0 社会关系网站的逐渐流行,这些攻击更加具有杀伤力,即绕过了防火墙等常规防护手段,通过使用各种攻击手法来直接Web应用层进行攻击,等于直接侵入了企业网络内部,企业的WEB服务器毫无安全可言。因此,保证Web服务器的安全显得尤为重要。为Web服务器提供一道完善的防护迫在眉睫。用户需求如何更好地保证网络内容的安全性、服务器运行的安全可控性,已经成为某研究所面临的重要问题。经过严格测试和筛选,该研究所选择了捷普服务器群组防护产品来实现内部服务器群组的安全防护。根据该研究所的要求,Web服务器应该受到严密的保护,避免遭受任何针对Web服务器发起的攻击,这些攻击包括:跨站脚本攻击、SQL注入攻击、网页篡改、cookie中毒、缓冲区溢出、参数篡改、错误返回信息截取等方案实施根据网络环境和需求,捷普为该研究所提供捷普Web防火墙,部署在两台Web服务器之前,实现反向代理,达到保护该研究所Web服务器的目的。捷普WEB应用防火墙在部署之后,能对下列一般方法无法检测的Web应用层攻击手段进行有效的防护:植入恶意脚本Cookie / Session投毒Form表单 / 隐藏域修改缓存溢出参数篡改跨站式脚本攻击强制浏览 / 目录探测Sql注入 / 命令注入数据窃取 / 身份窃取已知漏洞攻击 / Zero Day漏洞攻击应用程序Dos在实施过程中时,捷普Web应用防火墙具有基于应用层的检测,同时又拥有基于状态的网络防火墙优势的双重特点,对应用数据录入完整检查、HTTP包头重写、强制HTT...
说明:
上携程定机票,逛淘宝来败金,用卓越来充电,用网票买电影票,用网银来缴费、汇款、炒股、还款……在互联网与电子商务大行其道的今天,网上支付与网上银行在让我们的生活变得更加便捷的同时,也让我们的资金暴露在网络日益泛滥的信息安全攻击面前,密码不再保密,账户不再隐私,消费不再安全……网银安全之痛互联网应用对广大普通消费者带来的是一把便捷使用与应用安全的双刃剑。据统计,网上银行已经成为了各商业银行最重要的业务渠道之一。今年前一个季度电子银行交易额达到了70万亿元人民币,通过电子银行渠道办理的业务已占到全部业务量的46.2%,比去年同期提升了6.7个百分点。与此同时,网银系统也一直面临着来自互联网的DDoS、病毒、蠕虫、协议异常等WEB应用层的安全攻击的威胁,用户信息与帐户安全受到了严重的安全挑战。虽然目前银行的IT基础设施建设保持着在全国同行中的领先地位,但此前部署的一些安全防护设备,包括防火墙、IDS(入侵检测系统)在内,已经无法全面应对新兴的针对WEB应用层的安全攻击。一方面,网银流量增长迅速,从06年到08年年平均增长率都超过100%,原先百兆级防护能力面临极大的挑战。另一方面,原先部署的IDS产品在网银流量的压力下漏报错报情况严重,海量日志无法及时有效的筛选,造成管理员工作量巨大。据了解,银行平均每个月的IDS报警量超过70万条,无效报警的比例很高,对管理员实施有效的控制策略提出了几乎不可完成的任务。另外,面对层出不穷的各类SQL注入攻击,整个网银WEB系统的数据都可能遭受到恶意修改,破坏力极大。为了向广大网银用户提供更加安全的使用体验,银行急需部署高端的安全设备,在线及时阻断攻击和在线防御病毒入侵已经成为工商银行数据中心防护的迫切需求。网银安全的保障西安交大捷普网络科技有限公司的入侵防御系统IPS安全防护解决方案帮助银行赢得了一场又一场没有硝烟的“网银安全保卫战”。捷普IPS...
说明:
现状与挑战移动VPDN业务(以下简称VPDN业务)是利用中国移动基于TD-SCDMA的3G宽带高速分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络,并能提供差异化的、安全可靠的无线数据解决方案。方案描述交大捷普作为某省级移动公司VPDN项目的承包商,使用自主研发的捷普VPN产品为用户提供解决方案,在认真研究用户对VPN业务的需求的基础上,严格遵循技术规范中所约定的各项技术规范条款,认真履行职责,完成新增软硬件的安装实施及联调测试工作。统一接入平台厂家通过在汇聚交换机旁挂负载均衡器的方式,实现对接入流量实现负载分担,并在每台VPN设备上部署所有接入客户的虚拟化Portal界面,实现本期工程要求的统一接入功能。方案优势本期工程建设的VPDN统一接入平台使托管在移动IDC托管机房的企业服务器,实现通过接入VPN统一接入平台实现与托管服务器之间通过IPSEC VPN实现数据的安全访问以及与多个下属分支机构之间实现高速VPN互访,同时企业内部用户通过SSL VPN方式安全、快速、便捷地访问企业业务系统服务器的资源。