QR汽车网络安全规划方案2016.pptxVIP

奇瑞汽车网络安全规划方案?[Restricted] ONLY for designated groups and individuals?目录1安全挑战及现状分析2需求分析3信息安全整体规划4Check Point网络安全及安全管理解决方案?[Restricted] ONLY for designated groups and individuals?01安全挑战及现状分析安全挑战近年来，伴随互联网的普及和发展，大部分企业所面临的网络安全威胁日益增多，主要表现在以下方面：非法访问和攻击恶意软件和病毒僵尸网络未知威胁和APT攻击?[Restricted] ONLY for designated groups and individuals?网络现状及风险分析四层防火墙，无法防御病毒、僵尸网络、攻击等高级威胁四层防火墙，无法防御病毒、僵尸网络、攻击等高级威胁两个服务器区之间没有任何安全设备提供防护02需求分析需求分析1、Internet出口所使用的四层防火墙无法防御病毒、僵尸网络、网络攻击等高级威胁。2、奇瑞信息对外业务区和奇瑞汽车服务器区之间需要通过安全设备进行安全域的隔离。3、对VMware虚拟服务器之间东西向的流量防护。4、对终端的安全防护。?[Restricted] ONLY for designated groups and individuals?03信息安全整体规划移动终端网络边界数据中心 / 私有云Endpoint Security端点安全套件Sandbox沙盒Mobile Security（For iOS、Android）虚拟防火墙安全网关基于私有云的虚拟安全网关抗DDoS设备终端Endpoint Security端点安全套件?[Restricted] ONLY for designated groups and individuals?奇瑞汽车服务器区安全加固建议服务器区部署了公司全部的核心应用，建议首先对其进行安全加固，建议如下：网络安全：部署NGFW(下一代防火墙)应用安全：部署WAF（Web Application Firewall）数据库安全：部署数据库审计产品原则：逐步推进，分步实施。?[Restricted] ONLY for designated groups and individuals?04Check Point网络安全及安全管理解决方案奇瑞汽车网络安全及安全管理部署建议（一期）Check Point NGTP安全网关防火墙异构四层防火墙→NGFW（防火墙、IPS、应用控制）Check Point NGFW安全网关提供4/7层防火墙和IPS入侵防御SmartCenter，对全网Check Point设备和产品的统计管理?[Restricted] ONLY for designated groups and individuals?奇瑞汽车网络安全及安全管理部署建议（二期、三期）Check Point NGTP安全网关旁路部署，检测办公网东西向流量终端安装SandBlast Agent?[Restricted] ONLY for designated groups and individuals?THANK YOU?[Restricted] ONLY for designated groups and individuals?1.Background2.整个网络分为奇瑞汽车办公区、奇瑞汽车服务器区、奇瑞信息对外业务区等几个区域。奇瑞汽车和奇瑞信息分别有各自的Internet出口，奇瑞汽车的Internet出口通过链路负载均衡设备接入多链路，通过四层防火墙和深信服上网行为管理设备下连核心交换，奇瑞信息的Internet出口处通过一台四层防火墙下连奇瑞信息的核心交换。目前所使用的防火墙均为四层防火墙，只能提供基于四层的访问控制功能，对于病毒、僵尸网络、网络攻击等高级威胁都无能为力。奇瑞汽车服务器区放置为奇瑞汽车内部业务提供服务的服务器，包括ERP、CRM、数据库服务器等核心应用，奇瑞信息对外业务区有业务服务器映射到公网，对外网提供服务。奇瑞信息对外业务区与放置核心应用的奇瑞汽车服务器区之间通过核心交换机直连，目前中间没有任何安全设备提供防护。奇瑞汽车服务器区有大量的VMware虚拟服务器，目前对于虚机之间东-西向的流量无法进行控制，对其中存在的威胁无法进行防御。奇瑞汽车办公区内的终端目前安装了趋势的防病毒软件。Let’s start with what we don’t know1、目前Internet出口所使用的四层防火墙无法防御病毒、僵尸网络、网络攻击等高级威胁，需要采用高级威胁防御设备提供防护。2、奇瑞信息对外业务区面向公网提供服务，而奇瑞汽车服务器区放置了公司的核心应用，中间需要通过安全设