集团企业安全解决方案

集团安全解决方案

目录

一. 项目背景 (1)

二. 现状分析 (1)

三. 解决方案 (2)

3.1技术实现 (2)

3.2部署方案.................................................... 错误!未定义书签。

3.2.1 解决方式一.............................................. 错误!未定义书签。

3.2.2 解决方式二.............................................. 错误!未定义书签。

3.3产品架构 (3)

3.4产品功能 (7)

3.5产品特点 (8)

3.6竞争优势.................................................... 错误!未定义书签。

3.6.1 领先的专业安全厂商...................................... 错误!未定义书签。

3.6.2 技术基础研究............................................ 错误!未定义书签。

3.6.3 安全产品开发............................................ 错误!未定义书签。

3.6.4 专业安全服务............................................ 错误!未定义书签。

四. 方案总结 (9)

4.1方案效益分析 (30)

4.2方案投入分析 (30)

一. 项目背景

在XX集团信息化建设高速发展的同时，随之而来面临日趋严重的信息安全问题，账户被盗、数据泄露、身份伪造、资产损失、撞库、脱库、数据截取等安全威胁，由于使用环境脱离内网、终端设备由固定PC变为移动终端，使各种攻击手段在传统安全防护措施面前更得心应手、难于防范。目前XX集团已进入到云计算时代，随之而来的信息安全隐患随处可见。脱离传统信息安全防护，应用场景更多元化、面向内部办公、对外提供服务均移动化，传统的帐户密码面临着钓鱼、暴力破解、拖库等众多的风险，并且传统安全设备局限于性能瓶颈，无法满足庞大信息量、众多用户需求。

二. 现状分析

随着XX集团信息化发展，逐年增多的应用系统，这些系统建设有先有后，由于建设初期对安全问题认识的局限性及各类系统的安全需求既有共性又有个性，这就直接导致各应用的安全体系结构及安全策略的差异，其安全处理流程错综复杂，主要问题如下：

1)用户身份认证：业务系统中包含公众个人隐私信息及资金等敏感信息，传统账户/密码认

证登录的方式对系统使用人员身份确认无法控制，不能确认登录人员真伪性。

2)安全信息共享问题：多个具有异构认证机制的业务系统协同完成任务时，认证结果无法

传递，重复登录、认证频繁，容易导致认证信息泄露或遗忘等，大多数人员在多业务系统下通常会建立相同账号密码。

3)数据传输问题：认证登录后，用户终端在与服务器进行数据信息交互过程中，由于网络

及数据均为透明传输，无法保证传输过程的安全屏蔽。

4)账户及权限体系管理的混乱：由于应用业务系统多元化，涉及开发语言种类繁多；认证

源、认证协议各异等问题。由于各业务系统互相独立，账户、权限均独立管理导致业务系统管理、使用均无法统一；用户数量庞大、用户种类多样、应用业务系统日益增加，

导致管理任务繁重、难于维护；业务系统使用人员针对每个应用系统使用时均需按照相应的系统认证方式进行登录，需要记录大量账户、密码实现系统登录，给用户带来诸多不便同时也产生大量安全隐患，易受到外来截获和非法攻击的可能性大大增加。

5)目前无终端安全防护手段，内部终端、服务器长期遭受木马、病毒入侵风险；

6)操作系统、应用、数据库等漏洞频出，不及时修复漏洞，易于被黑客和蠕虫病毒利用，

危害影响比较大；

7)终端系统防护薄弱易于受到黑客入侵、病毒和木马危害，当内网计算机被植入木马和感

染僵尸程序，攻击者轻而易举地窃取内网计算机中的企业重要文件，并且可以长期监控计算机中的操作行为；

三. 解决方案

3.1 技术实现

针对当前项目统一身份认证需求，解决方案分为如下三个场景：

1、集团运维人员需通过统一身份认证后，方可对集团安全设备、网络设备、服务器、应用系

统等进行运维；

2、集团路段收费系统业务人员需通过统一身份认证后，方可访问业务系统，获取相关业务处

理权限；

3、收费系统中网络设备需定期获取交通运输密钥管理与证书认证系统中密钥证书。

3.1.1身份认证流程

针对以上三个场景，具体解决方案如下：

1、由统一身份认证平台定期至交通运输密钥管理与证书认证系统中获取密钥证书，并转发至需要密钥证书的网络设备中；

2、针对运维及业务人员，由统一身份认证平台根据签发的数字签名证书进行统一身份认证。

运维/业务场景下，利用PKI进行身份认证流程：

●用户利用用户名和密码请求登录。服务端收到请求，验证用户名和密码。验证成功后，

服务端会生成一个token，然后把这个token发送给客户端。客户端收到token后把它存储起来，可以放在统一身份认证平台里。客户端每次向服务端发送请求的时候都需要带上服务端发给的token。服务端收到请求，然后去验证客户端请求里面带着token，如果验证成功，就向客户端返回请求的数据。

●统一身份认证平台对用户的认证证书(token)进行管理，用户先通过IC卡、指纹、手机

app等进行身份验证后，方可通过统一身份认证平台获取应用Token，再通过单点登录的方式与服务端进行登录校验，校验通过后方可使用业务系统或应用；

3.1.2终端安全防护

以终端安全建设为目标，提高网络安全防护手段和降低维护成本为基础，建立终端安全防护及控制为一体的安全体系，包括终端的安全检测、防护、管理和响应，管控服务端集成一台服务器中，统一由终端安全管理控制台管理，实现集中管控、统一策略下发等管理操作。帮助XX集团提升终端安全管理水平，建立高效主动防御体系，有效防范病毒感染、漏洞攻击及未知威胁，通过整体统一管控，规范终端使用行为，减少网络资源滥用，降低敏感数据泄露风险，确保企业内网安全合法合规，通过一键式远程维护及外设管控策略，大幅提升运维工作效率，全量安全行为审计回溯，实现安全可视化，为安全事件追踪、数据取证、风险加