【正文】 目建設的一個重要目標。 XX 電力公司信息系統(tǒng)安全域的整體劃分和實現(xiàn)如下圖所示： 為了提高整個 XX 電力信息系統(tǒng)的系統(tǒng)安全性和結構合理性，建議將 XX 電力公司信息網(wǎng)絡根據(jù)其業(yè)務特性、職能劃分及連接對象劃分為 Inter 接入?yún)^(qū)、DMZ 區(qū)（外網(wǎng)，為公共信息服務、撥號接入、小區(qū)住宅接入及 Extra 接入 等應用提供等）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務器集中保護區(qū)）及廣域網(wǎng)接入?yún)^(qū)等 5 大區(qū)域。但不允許低安全域中的用戶訪問高安全域中的非授權資源。在內(nèi)外網(wǎng)互聯(lián)部分采用千 兆防火墻系統(tǒng)進行隔離；在 IDC 核心數(shù)據(jù)區(qū)，采用千兆防火墻系統(tǒng)進行隔離。 Juniper Netscreen 可提供單獨的 IDP 系統(tǒng)或者與防火墻硬件集成的方案。同時， Juniper NetscreenSA 系列的 SSL VPN 安全接入系統(tǒng)平臺還可以強制對遠程用戶的安裝防火墻及防病毒軟件做出要求；可支持用戶的 C/S 、 B/S 應用；可支持包括雙因素、數(shù)字證書在內(nèi)的各種強認證方法；可支持比 IPSEC 高得多的訪問控制粒度。主要包括網(wǎng)絡系統(tǒng)、主機系統(tǒng)及平臺系統(tǒng)等系統(tǒng)自身的安全及安全加固（如用戶弱口令強化、非使用網(wǎng)絡服務關閉及系統(tǒng)升級打補丁等）；安全域的劃分及安全強化設施（如防火墻、防病毒、入侵監(jiān)測、漏 洞掃描、物理隔離等）的合理部署。 安全管理平臺：安全管理平臺是安全技術體系的核心組成部分。 電力 網(wǎng)絡 是 一個多應用和多連接的網(wǎng)絡。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)和主機，引起大范圍的癱瘓和損失。 隨著電力網(wǎng)絡的逐漸復雜化，應用系統(tǒng)的逐漸增多，外聯(lián)單位的逐漸眾多，原有的居于簡單安全域劃分的網(wǎng)絡設計結構已越來越不能適應電力行業(yè)信息網(wǎng)絡建設的需要。 第 13 頁 共 61 頁 XX電力 網(wǎng)絡安全域劃分及防火墻部署方案 安全域的邏輯劃分 根據(jù)我公司對實際需求的分析并結合國調(diào)對二次系統(tǒng)的相關建設要求，我們將 XX 電力信息系統(tǒng)劃分為以下幾個大的網(wǎng)絡安全域： IDC 核心區(qū)、辦公區(qū)、廣域網(wǎng)接入?yún)^(qū)、 Intra DMZ 區(qū)（即外網(wǎng)部分，含 Inter DMZ 區(qū)）和 Inter 區(qū)等 5 個安全域。 考慮到 IDC 核心區(qū)及辦公區(qū)網(wǎng)絡系統(tǒng)在整個 XX 電力信息系統(tǒng)中的核心地位，我們建議將原有的單機單網(wǎng)的核心網(wǎng)絡交換機升級成為雙機雙網(wǎng)的的結構，通過雙網(wǎng)雙機的備份提高系統(tǒng)的性能及可靠性。 XX 電力總公司安全域的邏輯細分圖如下圖所示： 第 14 頁 共 61 頁 各地市公司的安全域邏輯細分如下圖所示： 第 15 頁 共 61 頁 建議關鍵地市采用模式一雙機方式，其他地市局采用模式二方式。 鑒于可能受到來自公司總部局域網(wǎng)的非法入侵和攻擊。 根據(jù)具體管理及安全要求的不同該區(qū)可進一步細分為領導、財務、人事和普通辦公 VLAN 等子安全域； 第 16 頁 共 61 頁 廣域網(wǎng)接入?yún)^(qū) 完成廣域網(wǎng)的安全接入功能。 各安全子域的具體功能描述如下： 撥號接入?yún)^(qū) 為移動撥號用戶提供安全接入； Extra 接入?yún)^(qū) 為相關 Extra 行業(yè)單位提供安全接入； 小區(qū)、住宅接入?yún)^(qū) 為住宅區(qū)網(wǎng)絡系統(tǒng)提供 內(nèi)部局域網(wǎng)和 Inter 訪問服務； 公共信息服務區(qū) DNS，安全代理、應用安全網(wǎng)關、郵件網(wǎng)關防病毒、防垃圾服務等公共服務部署在 DMZ 區(qū)，與關鍵的業(yè)務系統(tǒng)分離開來，為內(nèi)部關鍵業(yè)務提供非軍事化停火區(qū)，進一步提高公司總部內(nèi)部局域網(wǎng)的安全性； Inter 接入?yún)^(qū)： 在 inter 接入?yún)^(qū)，可以通過防火墻、在線入侵防御系統(tǒng)、帶寬管理系統(tǒng)、鏈路負載均衡設備等來提高 inter 接入的安全性和可靠性，保護局域網(wǎng)免受各種網(wǎng)絡行為攻擊。所以可以說，網(wǎng)絡安全系統(tǒng)最為關鍵的組成部分實際上是利用上述的各種技術手段，通過對網(wǎng)絡出入口的控制實現(xiàn)安全服務的目的。這樣，防火墻系統(tǒng)就成為不同網(wǎng)段或 VLAN 之間相互訪問的唯一通道，所有跨網(wǎng)段或VLAN 間的流量都要經(jīng)過防火墻模塊的檢測，實現(xiàn)安全域的劃分。 在本方 案中我 們建議 系統(tǒng) 采用 Netscren 千兆 防火墻 系列 產(chǎn)品：NetscreenISG1000, NetscreenISG2020 與 Netscreen5200 。 本規(guī)劃書中我們采用防火墻系統(tǒng)來對企業(yè)網(wǎng)絡的所有不同安全域互聯(lián)接口進行安全控制，包括 Inter 進出口控制、內(nèi)網(wǎng)外網(wǎng)接口控制、廣域網(wǎng)進出口控制及 IDC 進出口控制 總公司防火墻系統(tǒng)部署圖如下圖所示： FW1: NetscreenISG1000； FW2: NetscreenISG2020 FW3/4: NetscreenISG1000 FW5/6: NetscreenISG2020 各地市公司的防火墻部署如下圖所示： 第 19 頁 共 61 頁 FW1/2: NetscreenISG1000 FW3/4: NetscreenISG2020； FW1 : NetscreenISG1000 FW2 : NetscreenISG2020 防火墻高可用性設計 由于 XX 電力公司的核心業(yè)務服務器、數(shù)據(jù)庫服務器及所有的核心數(shù)據(jù)存儲都位于 IDC 核心數(shù)據(jù)區(qū)，因此 IDC 數(shù)據(jù)核心網(wǎng)絡是否能安全可靠運行關系到整個企業(yè)信息系統(tǒng)的安全性和穩(wěn)定性。真正意義上做到高可靠性和高性能兼得的雙機運行。 防火墻 雙機 解決方案 所 采用 的 先進故障切換算法 可提供 網(wǎng)絡流量重新路由，以免在出現(xiàn)設備故障的情況下發(fā)生連接中斷。 ? 主動 /被動：一臺設備作為主要設備，而另一臺設備用作其備份。每一臺設備約處理 50%的網(wǎng)絡和 VPN 流量。在全網(wǎng)狀模式下，必須進行吞吐量調(diào)整以確保在出現(xiàn)故障切換時設備性能不會受到影響。后期隨著系統(tǒng)安全可靠性要求進一步提升，及信息中心技術人員技術的提升，我們建議將該防火墻雙機系統(tǒng)的連接方式升級為 Full Mesh 方式。 2. 防火墻工作模式建議防火墻的部署模式為路由模式，防火墻兩側為不 同的網(wǎng)段，內(nèi)側為服務器群所處的網(wǎng)段，服務器的網(wǎng)關為防火墻內(nèi)網(wǎng)口地址。防火墻之間用 HA 線連接保證狀態(tài)同步、協(xié)同工作以及必要數(shù)據(jù)轉發(fā)。由于 Netscreen ASIC 技術的成熟度以及與 CPU 配合處理的機制，保證了產(chǎn)品的功能集成度和擴展性， Netscreen 防火墻從推出至今，其功能集成度和擴展速度一直保持業(yè)界領先 5．網(wǎng)絡層訪問控制： Netscreen 防火墻可以基于源、目的地址、源、目的端口、協(xié)議類型、用戶和時間進行細粒度的設置訪問控制規(guī)則，控制進入服務器網(wǎng)段的流量和訪問企圖。 7．防病毒： NetscreenISG 系列防火墻可擴展集成趨勢科技的防病毒引擎和病毒庫，可以不需要其它設備而實現(xiàn)對內(nèi)部服務器的病毒 /蠕蟲防御功能，NetScreen 防火墻能夠?qū)κ盏降?SMTP、 HTTP、 POP3， FTP 封包進行病毒掃描。具體方法為：我們需要部署一臺 RSA 認證服務器，建議將 RSA 服務器也部署在服務器網(wǎng)段，使其同樣受到防火墻的保護，在 RSA 服務器上設置了管理員用戶 第 26 頁 共 61 頁 的帳號庫。 10．帶寬管理：在一個高效管理的網(wǎng)絡結構里，帶寬管理是非常重要的功能，它能夠避免在網(wǎng)絡關鍵 節(jié)點產(chǎn)生擁塞。通過實施帶寬管理，可以保證關鍵應用的順暢進行，同時，可以防止某些應用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬。 正因為如此，那些認為在網(wǎng)絡安全接口處設置傳統(tǒng)防火墻系統(tǒng)就足以保護企業(yè)網(wǎng)絡安全的想法是不切實際的。 經(jīng)過近幾年的發(fā)展， IDS 產(chǎn)品開始步入一個快速的成長期，用戶也開始認可IDS 在網(wǎng)絡安全防御中不可替代的作用。其在線工作方式，多重有效的檢測方式，及硬件級的高性能可使用戶同時兼得 IDS 的全部技術優(yōu)勢及防火墻系統(tǒng)的在線執(zhí)行能力。 Juniper 網(wǎng)絡公司ISG 系列防火墻 中的 IDP 應用層防護模塊 先進的攻擊防護功能具有以下特點： ? 多種檢測方法，包括復合簽名、狀態(tài)簽名、協(xié)議異常以及后門檢測。 ? 復 合簽名：能夠?qū)顟B(tài)簽名和協(xié)議異常結合到單個攻擊對象中，以檢測單個會話中的復雜攻擊，從而提高檢測速度。 Juniper 網(wǎng)絡公司 ISG 防火墻中 的 IDP 應用層防護模塊 采用多重方法檢測技術能夠最大限度地檢測出各 種攻擊類型，確保不會遺漏關鍵的威脅。 狀態(tài)簽名檢測 某些攻擊可以采用攻擊簽名進行識別，在網(wǎng)絡流量中 可以發(fā)現(xiàn)這種攻擊模式。 例如，要確定某人是否嘗試以根用戶身份登錄服務器，傳統(tǒng)的基于簽名的IDS 會在傳輸中出現(xiàn) root字樣時隨時發(fā)送告警，導致錯誤告警的產(chǎn)生。這兩種功能使用戶能夠確定對其環(huán)境的重要部分，并確保系統(tǒng)也能夠識別出這個重要部分。 ISG 防火墻集成的 IDP 系統(tǒng)可以實現(xiàn)對攻擊簽名庫的每日升級， JUNIPER公司將在自己的安全網(wǎng)站上進行攻擊特征的每日更新，目前的攻擊特征包括應用層攻擊，蠕蟲特征、網(wǎng)絡病毒特征、 P2P 應用特征等多種攻擊特征。例如，這種檢測可識別出那種采用不確定的流量以試圖躲避檢測、并威脅網(wǎng)絡和 /或主機安全的攻擊。如果協(xié)議不被支持，則無法在網(wǎng)絡中檢測出使用該協(xié)議的攻擊。后門攻擊進入網(wǎng)絡并允許攻擊者完全控制系統(tǒng)，這經(jīng)常導致數(shù)據(jù)丟失，例如，攻擊者可以利用系統(tǒng)的薄弱點 將特洛伊木馬病毒加載到網(wǎng)絡資源中，然后通過與該系統(tǒng)進行交互來對其進行控制。 第 31 頁 共 61 頁 2. 設備部署初期，對于需要檢測的流量，我們首先可以將應用層 防護模塊采用 Inline_Tap 模式，這樣的話，網(wǎng)絡數(shù)據(jù)就會在通過防火墻檢測后，直接進行轉發(fā)，而緊緊是復制一遍到應用層保護模塊，這個時候應用層保護模塊相當于一個旁路的檢測設備，僅僅對攻擊進行報警，而不會對數(shù)據(jù)流有任何的影響。如果發(fā)現(xiàn)這種攻擊，我們可以在線的進行阻擋，對于其他的攻擊，可以暫時采用僅僅報警的方式，繼續(xù)修改相關的攻擊特征碼，最大限度的提高攻擊檢測的準確性。 NetScreenSecurity Manager 全面支持 Juniper 防火墻 /VPN 第 32 頁 共 61 頁 方案的特性，將原本重復繁重的 VPN 規(guī)劃、配置、維護、監(jiān)控等工作從全局性的角度實現(xiàn)，簡化了操作，提高了效率。同樣，通過根據(jù)員工的技能來分配系統(tǒng)訪問權限，企業(yè)可以支持基于角色的管理。 管理員只需要點擊幾下鼠標就可以配置設備、創(chuàng)建安全策略或管理軟件升級。 NetScreenSecurity Manager 采用了一種 3 層的體系結構，該 結構通過一條基于 TCP 的安全通信信道－安全服務器協(xié)議（ SSP）相連接。這種工具在一個統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報告功能，同時還使 IT 部門的所有工作人員可以協(xié)同工作。 企業(yè)通過 Inter 數(shù)據(jù)傳輸平臺，實施加密的 VPN 實現(xiàn)安全接入的辦法主要有兩種：一種是 IPsec VPN，另一種是 SSL VPN。雙向身份驗證 強加密 端到端安全 低（無需任何附加客戶端軟件） 通常需要長時間的配置 需要培訓 第 35 頁 共 61 頁 E mail Juniper Netscreen SA 系列的遠程接入產(chǎn)品是廣受好評的 SSL VPN 產(chǎn)品，采用的是 Instant Virtual Extra(IVE)的系統(tǒng)平臺，客戶只要有標準的 web 瀏覽器，無需進行任何部署獲安裝硬件、軟件客戶端設備，也無需對內(nèi)部服務器進行任何修改，沒有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護，所以可以方便地讓用戶安全地接入網(wǎng)絡。 并且在安全策略上實施的是應用層面的安全策略，可以比 IPsec 更加細化；由于 Juniper Netscreen SA 系列的遠程接入產(chǎn)品是堅固可靠的應用層網(wǎng)關，采用應用層面的安全策略后，內(nèi)部的應用服務器可以得到有效保護，而不必將服務器的第 4 層端口完全暴露給外部；前端的防火墻上只需配置打開 tcp SSL 端口的策略即可。 SSL VPN 安全接入設備部署在外網(wǎng) DMZ 服務區(qū)。 和 Secure Computing SafeWord? PremierAccess?以及 客戶端數(shù)字證書），也可在設備上建立本地用戶數(shù)據(jù)庫，更支持 LDAP/Active Directory 的用戶組的特性，方便管理員定義策略。 SSL VPN 安全接入系統(tǒng)不運行通常的用戶和一樣程序服務，因此不會打開針對這些服務的攻擊。包過濾限制了流量從系統(tǒng)到想要連接的系統(tǒng)。 SSL 對系統(tǒng)之間的交換數(shù)據(jù)的完整性和機密性的保護，確保任何未經(jīng)授權訪問的發(fā)生。 如果用戶信息是合法的，然后系統(tǒng)產(chǎn)生一個認證令牌。因為 SSL 通道和認證子系統(tǒng)對客戶端和不完全最終端點進行驗證，你也可以使用該日志對訪問進行審計。 第 40 頁 共 61 頁 SSL 遠程安全接入方案實現(xiàn)說明 1) 用戶認證，結合雙因素認證 Juniper SSL VPN 系統(tǒng)（以下簡稱 IVE）支持雙因素用戶認證， 工作過程：（ 1）需要接入的互聯(lián)網(wǎng)用戶通過瀏覽器（如 IE）發(fā)出連接請求， IVE 首先對客戶