企业网络架构设计
面临岗位
- 售前工程师、解决方案工程师
确定建设场景
- 某个学校
- 某个医院
- 某个电商
- 等
梳理业务流程
-
通过官网、公众号进行挂号服务;
-
门诊区签到,等待叫号,看病,医生可以查看病人信息以及病史,来辅佐病症确认;
-
诊断措施:
- 验血;
- 验尿;
- 拍片(CT、核磁、B超);
- 肠镜;
- 等
-
创建病例;
-
缴费;
-
办理住院手续,入院;
目的
-
确定网络区域划分
- 门诊区;
- 住院区;
- 办公区;
- 服务器区;
- 数据库区;
- 运维区;
- 核心交换区;
-
确定相关设备
- web服务器;
- APP服务器;
- 数据库;
- 签到客户端设备;
- 排号、叫号设备;
- 验血设备;
- CT设备;
- B超设备;
- 护士终端;
- 医生终端;
建设要求
国家要求
-
强制标准(GB):
-
推荐性(GB/T)
上级部门要求
- 《卫生行业信息安全等级保护工作的指导意见》
等保
概述
- 等保为网络安全等级保护的简称,为了适应不同信息系统安全保护工作的需要,通过信息系统和网络安全风险评估,将信息系统或网络安全划分为若干等级,按照等级不同,安全需求也不同,采取相应的安全保护措施和管理制度的过程。
版本
- 1.0
- 2.0
流程
- 网络定级
- 参考:GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南
-
确定安全防护标准
-
参考:GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
-
二级要求:
- 安全物理环境
- 安全通信网络
- 安全区域边界
- 安全审计
安全设备
状态检测防火墙
- 主要功能:通过ACL策略允许或阻止对应报文,实现区域隔离;
- 组网:一般使用串联的方式部署在区域与区域的之间;
WAF(web应用防火墙)
- 主要功能:除基本防火墙功能外,还具备web应用防护,具备分析HTTP和HTTPS流量,并进行检测和防御能力;
- 组网:一般串联在web服务器前;
IDS(入侵检测系统)
- 主要功能:对某个区域或全网的流量进行检测并告警,一般不具备防护能力,可以检测病毒、木马、web工具等;
- 组网:一般旁挂在交换机或路由器的一端,利用镜像端口将流量引入到IDS进行检测
IPS(入侵防御系统)
- 主要功能:对某个区域或全网的流量进行检测并响应(可以拦截对应工具行为);
- 组网:一般串联到某个区域的入口;
上网行为管理
- 主要功能:对内网中的上网终端用户进行上网行为管理(上网认证、访问应用控制、控制访问外网速率、上网行为审计等)
- 组网:一般串联在终端用户前置或主干网络;
堡垒机(运维审计系统)
- 主要功能:对网络中的服务器、网络设备、安全设备、数据库设备等,进行集中权限控制、审计、管理;
- 组网:旁挂在主干网络;
网闸
- 主要功能:实现网络物理隔离,网闸中不允许传输TCP/IP协议簇数据,使用物理交换芯片进行信息交换,一般用在内网系统(保密级别较高)和外网系统之间;
- 组网:串联在两个系统之间;
日志审计
- 主要功能:保留各种操作系统日志;
- 组网:串联在运维区;
终端安全管理系统
- 主要功能:是一套企业级杀毒系统,分为管理端和代理端,在终端设备上安装代理端程序,管理端可以直接管理代理端,实现统一杀毒、杀木马等操作;
- 组网:串联在运维区;
态势感知
- 主要功能:可以对采集的数据(探针)进行分析,配合人工智能技术,实现威胁预判并防护;
- 组网:串联在运维区;
安全厂商
- 深信服
- 奇安信
- 安恒
- 绿盟
- 启明星辰
安全设备价格
- 状态防火墙:1.5w~3w
- 下一代防火墙:3w~8w
- WAF:3w~8w
- IDS:1.5w~4w
- IPS:8~12w
- 上网行为管理:0~5w
- 数据库防火墙:5~10w
- VPN:0~2W
- 态势感知:15w~25w
- 终端安全管理:3w
- 日志审计:1.5~2.5w
- 网闸:20w
方案制定
-
背景
-
目的:为了解决什么问题
-
依据
-
需求分析
-
总体部署
网络拓扑图- 网络区域、区域中设备类型、安全设备
-
区域介绍
-
安全设备介绍(厂商、型号)
-
方案优势
