【正文】 接、 與 銀行 的連接、撥號(hào)用戶接入等）。是企業(yè)的安全管理中心（ SMC）的重要支撐。 應(yīng)用安全平臺(tái)：主要完成網(wǎng)絡(luò)資源的身份管理、身份認(rèn)證及網(wǎng)絡(luò)應(yīng)用資源的訪問控制。 第 9 頁 共 61 頁 第 10 頁 共 61 頁 2. 系統(tǒng)詳細(xì)設(shè)計(jì)方案 解決方案綜述 通過對(duì) XX 電力 公司 信息 系統(tǒng)安全 具 體 需求 的詳細(xì)分析 ， 及對(duì)國內(nèi)多個(gè)兄弟單位信息安全系統(tǒng)建設(shè)經(jīng)驗(yàn)的借鑒，同時(shí)結(jié)合了我們多年的網(wǎng)絡(luò)和安全系統(tǒng)實(shí)踐經(jīng)驗(yàn)，我們建議本次 XX 電力信息安全系統(tǒng)的建設(shè)應(yīng)以電力信息系統(tǒng)安全域的劃分為前提，以深層防御思想為指導(dǎo)，采用國內(nèi)外先進(jìn)的系統(tǒng)安全產(chǎn)品和技術(shù)，建設(shè)符合 XX 電力自身信息系統(tǒng)發(fā)展要求的全面的、系統(tǒng)的安全解決方案。建議該系統(tǒng)配置于 IDC 數(shù)據(jù)核心網(wǎng)絡(luò)與內(nèi)網(wǎng)核心交換機(jī)之間以配合 IDC 的防火墻共同構(gòu)成 IDC 的完整防護(hù)體系。為配合內(nèi)網(wǎng)核心交換及 IDC 數(shù)據(jù)核心的高可用性要求，該兩部分防火墻系統(tǒng)為雙機(jī)熱備工作方式，負(fù)載均衡，互為備份。各安全域的總體安 全策略設(shè)計(jì)示意如下圖所示： 防火墻系統(tǒng)的部署 在 Inter 接入?yún)^(qū)、 DMZ 區(qū)（外網(wǎng)）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)及廣域網(wǎng)接入?yún)^(qū) 5 大區(qū)域的互聯(lián)部分部署防火墻系統(tǒng)對(duì)以上各安全域?qū)嵤┯行У陌踩綦x及安全互聯(lián)。將來如需要還可以進(jìn)一步將安全區(qū)域細(xì)分。 在進(jìn)行方案設(shè)計(jì)時(shí)，我們?cè)敿?xì)分析了 XX 電力公司網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的特點(diǎn)，并以 JUNIPER 公司電力信息系統(tǒng)安全解決方案為指導(dǎo)，針對(duì) XX 電力信息系統(tǒng)就安全域劃分、安全策略設(shè)置、防火墻系統(tǒng)的部署、入侵檢測防御系統(tǒng)的部署、SSL VPN 遠(yuǎn)程安全接入及審計(jì)管理、防火墻運(yùn)行維護(hù)和日志分析等方面作出了詳細(xì)的設(shè)計(jì)方案。 從 XX 電力目前信息系統(tǒng)整體情況來看 ， 如何規(guī)劃一個(gè)結(jié)構(gòu)合理、技術(shù)先進(jìn)、可管理、便于擴(kuò)展的信息網(wǎng)絡(luò)安防體系是本次項(xiàng)目建設(shè)的一個(gè)關(guān)鍵。且每個(gè)用戶需要面對(duì)大量用戶名及口令，使用麻煩且極不安全存在極大安全隱患。 12. 缺乏為關(guān)鍵應(yīng)用提供強(qiáng)認(rèn)證及數(shù)據(jù)保密及數(shù)據(jù)一致性的安全基礎(chǔ)設(shè)施PKI 系統(tǒng)。 10. 入侵防御系統(tǒng)漏報(bào)、誤報(bào)，且僅提供帶外監(jiān)測，無法對(duì)其所發(fā)現(xiàn)的入侵行為進(jìn)行有效響應(yīng)。應(yīng)用服務(wù)器群直接裸露在骨干網(wǎng)核心交換機(jī)上，極易受到病毒、黑客的攻擊，造成應(yīng)用系統(tǒng)的癱瘓。其單一劃一的核心接入?yún)R聚方式已不能適應(yīng)各業(yè)務(wù)單位的信息系統(tǒng)建設(shè)安全及資源保障要求。其在信息安全技術(shù)上表現(xiàn)出的問題及需要解決的問題主要表現(xiàn)為： 1. 無完整的安全系統(tǒng)體系。而一個(gè)安全可靠、結(jié)構(gòu)合理、支持?jǐn)?shù)字、視頻和語音 的網(wǎng)絡(luò)平臺(tái)則是企業(yè)信息化建設(shè)高效進(jìn)行的前提和保障。 但是，隨著近年來與外界接口的增加，特別是與電廠、銀行等合作單位中間業(yè)務(wù)的接口、網(wǎng)上電力服務(wù)、三網(wǎng)融合、應(yīng)用 /數(shù)據(jù)集中化、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的日益增多，其安全問題已 不僅僅局限于內(nèi)部事件了，來自外界及第三方合作伙伴的威脅已越來越多，已經(jīng)成為電力信息網(wǎng)不可忽視的安全問題。 _________________________________________________________________________________ Juniper 一體化信息安全解決方案 Juniper Networks, Inc. _________________________________________________________________________________ Juniper Networks, Inc. 第 1 頁 目 錄 1. 總體描述及總體方案建議 .......................................................................................... 2 綜述 ............................................................................................................................................... 2 系統(tǒng)現(xiàn)狀和需求分析 ................................................................................................................. 2 方案設(shè)計(jì)概述 .............................................................................................................................. 5 安全域的劃分 ..................................................................................................................... 6 安全策略設(shè)計(jì)： ................................................................................................................. 6 防火墻系統(tǒng)的部署 ............................................................................................................. 7 入侵檢測防御系統(tǒng)（ IDP）的部署： ............................................................................ 8 SSL VPN 安全接入系統(tǒng)部署 .......................................................................................... 8 2. 系統(tǒng)詳細(xì)設(shè)計(jì)方案 .................................................................................................... 10 解決方案綜述 ............................................................................................................................10 一體化信息安全技術(shù)模型 ..............................................................................................10 電力信息系統(tǒng)安全域基本概念 ......................................................................................12 XX 電力網(wǎng)絡(luò)安全域劃分及防火墻部署方案 .......................................................................13 安全域的邏輯劃 分 ...........................................................................................................13 防火墻系統(tǒng)部署方案 ......................................................................................................17 入侵檢測防御系統(tǒng)設(shè)計(jì)與部署 ...............................................................................................26 入侵檢測防御系統(tǒng)的需求及選 型 ..................................................................................26 IDP 應(yīng)用層防護(hù)的步驟 ..................................................................................................30 安全管理解決方案 ...........................................................................................................31 SSL VPN 安全接入系統(tǒng)建設(shè) ................................................................................................33 安全接入技術(shù)的選擇 ......................................................................................................33 方案建議 ...........................................................................................................................35 SSL VPN 安全接入系統(tǒng)對(duì)安全的控制 ........................................................................38 SSL 遠(yuǎn)程安全接入方案實(shí)現(xiàn)說明 ................................................................................40 3. 方案產(chǎn)品介紹 ............................................................................................................ 47 Juniper ISG 防火墻與入侵防 護(hù)（ IDP）產(chǎn)品介紹 .........................................................47 Juniper SSL VPN 產(chǎn)品介紹 ..................................................................................................52 4. Juniper 公司介紹 ..................................................................................................... 54 第 2 頁 共 61 頁 1. 總體描述及總體方案建議 綜述 XX 電力公司是一家大型國有企業(yè)。 由于電力系統(tǒng)一直以來網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對(duì)封閉性， 電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本 產(chǎn)生于內(nèi)部 。 系統(tǒng)現(xiàn)狀和需求分析 信息技術(shù)是公司提高生產(chǎn)和管理效率的一個(gè)有力手段。但隨著電力行業(yè)完成組織機(jī)構(gòu)重組和區(qū)域的重新劃分之后，廠網(wǎng)分開、競價(jià)上網(wǎng)的經(jīng)營模式將逐步變?yōu)楝F(xiàn)實(shí)，這意味著電力系統(tǒng)一直以來相對(duì)封閉性網(wǎng)絡(luò) 結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)將被打破，與外界接口將進(jìn)一步增加，特別是與銀行、電廠等合作單位中間業(yè)務(wù)的接口，電力營銷、網(wǎng)上客服、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求將進(jìn)一步發(fā)展， XX 電力的安全問題將不僅僅局限于內(nèi)部事件了，來自外界的攻擊將越來越多，原有的安全結(jié)構(gòu)及安全基礎(chǔ)設(shè)施已越來越不適應(yīng) XX 電力下一步信息化建設(shè)發(fā)展的需求。原有的簡單面向 Inter 接入及簡單網(wǎng)絡(luò)建設(shè)的“核心、匯聚、接入”思想已經(jīng)不適應(yīng)供電公司多業(yè)務(wù)、多合作伙伴、多供應(yīng)商、多客戶及多樣化經(jīng)營、移動(dòng)辦公的業(yè)務(wù)發(fā)展需求。 4. 無安全數(shù)據(jù)中心。當(dāng)網(wǎng)上任一單位發(fā)生病毒或蠕蟲時(shí)會(huì)對(duì)其他單位造成巨大沖擊，無法有效進(jìn)行免疫隔離。無法對(duì)公司的領(lǐng)導(dǎo)及移動(dòng)用戶提供安全有效的移動(dòng)接入方案。造成大量的用戶名及口令數(shù)據(jù)庫系統(tǒng)孤島，重復(fù)投資、重復(fù)建設(shè)。本次項(xiàng)目建設(shè)旨在為 XX 電力公司建立一個(gè)高效、安全、可靠的信息安全平臺(tái)，為后續(xù)信息化建設(shè)奠定堅(jiān)實(shí)的基礎(chǔ)。除了安全設(shè)備的采購和安裝部署外，怎樣進(jìn)行 XX 電力信息網(wǎng)絡(luò)系統(tǒng)的合理安全結(jié)構(gòu)設(shè)計(jì)、進(jìn)行合理的安全域的劃分和安全策略設(shè)計(jì)、進(jìn)一步提高網(wǎng)絡(luò)系統(tǒng)的安全和性能是本項(xiàng)