【正文】 目建設(shè)的一個(gè)重要目標(biāo)。 XX 電力公司信息系統(tǒng)安全域的整體劃分和實(shí)現(xiàn)如下圖所示： 為了提高整個(gè) XX 電力信息系統(tǒng)的系統(tǒng)安全性和結(jié)構(gòu)合理性，建議將 XX 電力公司信息網(wǎng)絡(luò)根據(jù)其業(yè)務(wù)特性、職能劃分及連接對象劃分為 Inter 接入?yún)^(qū)、DMZ 區(qū)（外網(wǎng)，為公共信息服務(wù)、撥號接入、小區(qū)住宅接入及 Extra 接入 等應(yīng)用提供等）、辦公區(qū)、 IDC 數(shù)據(jù)核心區(qū)（內(nèi)網(wǎng)服務(wù)器集中保護(hù)區(qū)）及廣域網(wǎng)接入?yún)^(qū)等 5 大區(qū)域。但不允許低安全域中的用戶訪問高安全域中的非授權(quán)資源。在內(nèi)外網(wǎng)互聯(lián)部分采用千 兆防火墻系統(tǒng)進(jìn)行隔離；在 IDC 核心數(shù)據(jù)區(qū)，采用千兆防火墻系統(tǒng)進(jìn)行隔離。 Juniper Netscreen 可提供單獨(dú)的 IDP 系統(tǒng)或者與防火墻硬件集成的方案。同時(shí)， Juniper NetscreenSA 系列的 SSL VPN 安全接入系統(tǒng)平臺還可以強(qiáng)制對遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要求；可支持用戶的 C/S 、 B/S 應(yīng)用；可支持包括雙因素、數(shù)字證書在內(nèi)的各種強(qiáng)認(rèn)證方法；可支持比 IPSEC 高得多的訪問控制粒度。主要包括網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)及平臺系統(tǒng)等系統(tǒng)自身的安全及安全加固（如用戶弱口令強(qiáng)化、非使用網(wǎng)絡(luò)服務(wù)關(guān)閉及系統(tǒng)升級打補(bǔ)丁等）；安全域的劃分及安全強(qiáng)化設(shè)施（如防火墻、防病毒、入侵監(jiān)測、漏 洞掃描、物理隔離等）的合理部署。 安全管理平臺：安全管理平臺是安全技術(shù)體系的核心組成部分。 電力 網(wǎng)絡(luò) 是 一個(gè)多應(yīng)用和多連接的網(wǎng)絡(luò)。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失。 隨著電力網(wǎng)絡(luò)的逐漸復(fù)雜化，應(yīng)用系統(tǒng)的逐漸增多，外聯(lián)單位的逐漸眾多，原有的居于簡單安全域劃分的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)已越來越不能適應(yīng)電力行業(yè)信息網(wǎng)絡(luò)建設(shè)的需要。 第 13 頁 共 61 頁 XX電力 網(wǎng)絡(luò)安全域劃分及防火墻部署方案 安全域的邏輯劃分 根據(jù)我公司對實(shí)際需求的分析并結(jié)合國調(diào)對二次系統(tǒng)的相關(guān)建設(shè)要求，我們將 XX 電力信息系統(tǒng)劃分為以下幾個(gè)大的網(wǎng)絡(luò)安全域： IDC 核心區(qū)、辦公區(qū)、廣域網(wǎng)接入?yún)^(qū)、 Intra DMZ 區(qū)（即外網(wǎng)部分，含 Inter DMZ 區(qū)）和 Inter 區(qū)等 5 個(gè)安全域。 考慮到 IDC 核心區(qū)及辦公區(qū)網(wǎng)絡(luò)系統(tǒng)在整個(gè) XX 電力信息系統(tǒng)中的核心地位，我們建議將原有的單機(jī)單網(wǎng)的核心網(wǎng)絡(luò)交換機(jī)升級成為雙機(jī)雙網(wǎng)的的結(jié)構(gòu)，通過雙網(wǎng)雙機(jī)的備份提高系統(tǒng)的性能及可靠性。 XX 電力總公司安全域的邏輯細(xì)分圖如下圖所示： 第 14 頁 共 61 頁 各地市公司的安全域邏輯細(xì)分如下圖所示： 第 15 頁 共 61 頁 建議關(guān)鍵地市采用模式一雙機(jī)方式，其他地市局采用模式二方式。 鑒于可能受到來自公司總部局域網(wǎng)的非法入侵和攻擊。 根據(jù)具體管理及安全要求的不同該區(qū)可進(jìn)一步細(xì)分為領(lǐng)導(dǎo)、財(cái)務(wù)、人事和普通辦公 VLAN 等子安全域； 第 16 頁 共 61 頁 廣域網(wǎng)接入?yún)^(qū) 完成廣域網(wǎng)的安全接入功能。 各安全子域的具體功能描述如下： 撥號接入?yún)^(qū) 為移動撥號用戶提供安全接入； Extra 接入?yún)^(qū) 為相關(guān) Extra 行業(yè)單位提供安全接入； 小區(qū)、住宅接入?yún)^(qū) 為住宅區(qū)網(wǎng)絡(luò)系統(tǒng)提供 內(nèi)部局域網(wǎng)和 Inter 訪問服務(wù)； 公共信息服務(wù)區(qū) DNS，安全代理、應(yīng)用安全網(wǎng)關(guān)、郵件網(wǎng)關(guān)防病毒、防垃圾服務(wù)等公共服務(wù)部署在 DMZ 區(qū)，與關(guān)鍵的業(yè)務(wù)系統(tǒng)分離開來，為內(nèi)部關(guān)鍵業(yè)務(wù)提供非軍事化停火區(qū)，進(jìn)一步提高公司總部內(nèi)部局域網(wǎng)的安全性； Inter 接入?yún)^(qū)： 在 inter 接入?yún)^(qū)，可以通過防火墻、在線入侵防御系統(tǒng)、帶寬管理系統(tǒng)、鏈路負(fù)載均衡設(shè)備等來提高 inter 接入的安全性和可靠性，保護(hù)局域網(wǎng)免受各種網(wǎng)絡(luò)行為攻擊。所以可以說，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。這樣，防火墻系統(tǒng)就成為不同網(wǎng)段或 VLAN 之間相互訪問的唯一通道，所有跨網(wǎng)段或VLAN 間的流量都要經(jīng)過防火墻模塊的檢測，實(shí)現(xiàn)安全域的劃分。 在本方 案中我 們建議 系統(tǒng) 采用 Netscren 千兆 防火墻 系列 產(chǎn)品：NetscreenISG1000, NetscreenISG2020 與 Netscreen5200 。 本規(guī)劃書中我們采用防火墻系統(tǒng)來對企業(yè)網(wǎng)絡(luò)的所有不同安全域互聯(lián)接口進(jìn)行安全控制，包括 Inter 進(jìn)出口控制、內(nèi)網(wǎng)外網(wǎng)接口控制、廣域網(wǎng)進(jìn)出口控制及 IDC 進(jìn)出口控制 總公司防火墻系統(tǒng)部署圖如下圖所示： FW1: NetscreenISG1000； FW2: NetscreenISG2020 FW3/4: NetscreenISG1000 FW5/6: NetscreenISG2020 各地市公司的防火墻部署如下圖所示： 第 19 頁 共 61 頁 FW1/2: NetscreenISG1000 FW3/4: NetscreenISG2020； FW1 : NetscreenISG1000 FW2 : NetscreenISG2020 防火墻高可用性設(shè)計(jì) 由于 XX 電力公司的核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫服務(wù)器及所有的核心數(shù)據(jù)存儲都位于 IDC 核心數(shù)據(jù)區(qū)，因此 IDC 數(shù)據(jù)核心網(wǎng)絡(luò)是否能安全可靠運(yùn)行關(guān)系到整個(gè)企業(yè)信息系統(tǒng)的安全性和穩(wěn)定性。真正意義上做到高可靠性和高性能兼得的雙機(jī)運(yùn)行。 防火墻 雙機(jī) 解決方案 所 采用 的 先進(jìn)故障切換算法 可提供 網(wǎng)絡(luò)流量重新路由，以免在出現(xiàn)設(shè)備故障的情況下發(fā)生連接中斷。 ? 主動 /被動：一臺設(shè)備作為主要設(shè)備，而另一臺設(shè)備用作其備份。每一臺設(shè)備約處理 50%的網(wǎng)絡(luò)和 VPN 流量。在全網(wǎng)狀模式下，必須進(jìn)行吞吐量調(diào)整以確保在出現(xiàn)故障切換時(shí)設(shè)備性能不會受到影響。后期隨著系統(tǒng)安全可靠性要求進(jìn)一步提升，及信息中心技術(shù)人員技術(shù)的提升，我們建議將該防火墻雙機(jī)系統(tǒng)的連接方式升級為 Full Mesh 方式。 2. 防火墻工作模式建議防火墻的部署模式為路由模式，防火墻兩側(cè)為不 同的網(wǎng)段，內(nèi)側(cè)為服務(wù)器群所處的網(wǎng)段，服務(wù)器的網(wǎng)關(guān)為防火墻內(nèi)網(wǎng)口地址。防火墻之間用 HA 線連接保證狀態(tài)同步、協(xié)同工作以及必要數(shù)據(jù)轉(zhuǎn)發(fā)。由于 Netscreen ASIC 技術(shù)的成熟度以及與 CPU 配合處理的機(jī)制，保證了產(chǎn)品的功能集成度和擴(kuò)展性， Netscreen 防火墻從推出至今，其功能集成度和擴(kuò)展速度一直保持業(yè)界領(lǐng)先 5．網(wǎng)絡(luò)層訪問控制： Netscreen 防火墻可以基于源、目的地址、源、目的端口、協(xié)議類型、用戶和時(shí)間進(jìn)行細(xì)粒度的設(shè)置訪問控制規(guī)則，控制進(jìn)入服務(wù)器網(wǎng)段的流量和訪問企圖。 7．防病毒： NetscreenISG 系列防火墻可擴(kuò)展集成趨勢科技的防病毒引擎和病毒庫，可以不需要其它設(shè)備而實(shí)現(xiàn)對內(nèi)部服務(wù)器的病毒 /蠕蟲防御功能，NetScreen 防火墻能夠?qū)κ盏降?SMTP、 HTTP、 POP3， FTP 封包進(jìn)行病毒掃描。具體方法為：我們需要部署一臺 RSA 認(rèn)證服務(wù)器，建議將 RSA 服務(wù)器也部署在服務(wù)器網(wǎng)段，使其同樣受到防火墻的保護(hù)，在 RSA 服務(wù)器上設(shè)置了管理員用戶 第 26 頁 共 61 頁 的帳號庫。 10．帶寬管理：在一個(gè)高效管理的網(wǎng)絡(luò)結(jié)構(gòu)里，帶寬管理是非常重要的功能，它能夠避免在網(wǎng)絡(luò)關(guān)鍵 節(jié)點(diǎn)產(chǎn)生擁塞。通過實(shí)施帶寬管理，可以保證關(guān)鍵應(yīng)用的順暢進(jìn)行，同時(shí)，可以防止某些應(yīng)用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬。 正因?yàn)槿绱?，那些認(rèn)為在網(wǎng)絡(luò)安全接口處設(shè)置傳統(tǒng)防火墻系統(tǒng)就足以保護(hù)企業(yè)網(wǎng)絡(luò)安全的想法是不切實(shí)際的。 經(jīng)過近幾年的發(fā)展， IDS 產(chǎn)品開始步入一個(gè)快速的成長期，用戶也開始認(rèn)可IDS 在網(wǎng)絡(luò)安全防御中不可替代的作用。其在線工作方式，多重有效的檢測方式，及硬件級的高性能可使用戶同時(shí)兼得 IDS 的全部技術(shù)優(yōu)勢及防火墻系統(tǒng)的在線執(zhí)行能力。 Juniper 網(wǎng)絡(luò)公司ISG 系列防火墻 中的 IDP 應(yīng)用層防護(hù)模塊 先進(jìn)的攻擊防護(hù)功能具有以下特點(diǎn)： ? 多種檢測方法，包括復(fù)合簽名、狀態(tài)簽名、協(xié)議異常以及后門檢測。 ? 復(fù) 合簽名：能夠?qū)顟B(tài)簽名和協(xié)議異常結(jié)合到單個(gè)攻擊對象中，以檢測單個(gè)會話中的復(fù)雜攻擊，從而提高檢測速度。 Juniper 網(wǎng)絡(luò)公司 ISG 防火墻中 的 IDP 應(yīng)用層防護(hù)模塊 采用多重方法檢測技術(shù)能夠最大限度地檢測出各 種攻擊類型，確保不會遺漏關(guān)鍵的威脅。 狀態(tài)簽名檢測 某些攻擊可以采用攻擊簽名進(jìn)行識別，在網(wǎng)絡(luò)流量中 可以發(fā)現(xiàn)這種攻擊模式。 例如，要確定某人是否嘗試以根用戶身份登錄服務(wù)器，傳統(tǒng)的基于簽名的IDS 會在傳輸中出現(xiàn) root字樣時(shí)隨時(shí)發(fā)送告警，導(dǎo)致錯誤告警的產(chǎn)生。這兩種功能使用戶能夠確定對其環(huán)境的重要部分，并確保系統(tǒng)也能夠識別出這個(gè)重要部分。 ISG 防火墻集成的 IDP 系統(tǒng)可以實(shí)現(xiàn)對攻擊簽名庫的每日升級， JUNIPER公司將在自己的安全網(wǎng)站上進(jìn)行攻擊特征的每日更新，目前的攻擊特征包括應(yīng)用層攻擊，蠕蟲特征、網(wǎng)絡(luò)病毒特征、 P2P 應(yīng)用特征等多種攻擊特征。例如，這種檢測可識別出那種采用不確定的流量以試圖躲避檢測、并威脅網(wǎng)絡(luò)和 /或主機(jī)安全的攻擊。如果協(xié)議不被支持，則無法在網(wǎng)絡(luò)中檢測出使用該協(xié)議的攻擊。后門攻擊進(jìn)入網(wǎng)絡(luò)并允許攻擊者完全控制系統(tǒng)，這經(jīng)常導(dǎo)致數(shù)據(jù)丟失，例如，攻擊者可以利用系統(tǒng)的薄弱點(diǎn) 將特洛伊木馬病毒加載到網(wǎng)絡(luò)資源中，然后通過與該系統(tǒng)進(jìn)行交互來對其進(jìn)行控制。 第 31 頁 共 61 頁 2. 設(shè)備部署初期，對于需要檢測的流量，我們首先可以將應(yīng)用層 防護(hù)模塊采用 Inline_Tap 模式，這樣的話，網(wǎng)絡(luò)數(shù)據(jù)就會在通過防火墻檢測后，直接進(jìn)行轉(zhuǎn)發(fā)，而緊緊是復(fù)制一遍到應(yīng)用層保護(hù)模塊，這個(gè)時(shí)候應(yīng)用層保護(hù)模塊相當(dāng)于一個(gè)旁路的檢測設(shè)備，僅僅對攻擊進(jìn)行報(bào)警，而不會對數(shù)據(jù)流有任何的影響。如果發(fā)現(xiàn)這種攻擊，我們可以在線的進(jìn)行阻擋，對于其他的攻擊，可以暫時(shí)采用僅僅報(bào)警的方式，繼續(xù)修改相關(guān)的攻擊特征碼，最大限度的提高攻擊檢測的準(zhǔn)確性。 NetScreenSecurity Manager 全面支持 Juniper 防火墻 /VPN 第 32 頁 共 61 頁 方案的特性，將原本重復(fù)繁重的 VPN 規(guī)劃、配置、維護(hù)、監(jiān)控等工作從全局性的角度實(shí)現(xiàn)，簡化了操作，提高了效率。同樣，通過根據(jù)員工的技能來分配系統(tǒng)訪問權(quán)限，企業(yè)可以支持基于角色的管理。 管理員只需要點(diǎn)擊幾下鼠標(biāo)就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級。 NetScreenSecurity Manager 采用了一種 3 層的體系結(jié)構(gòu)，該 結(jié)構(gòu)通過一條基于 TCP 的安全通信信道－安全服務(wù)器協(xié)議（ SSP）相連接。這種工具在一個(gè)統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報(bào)告功能，同時(shí)還使 IT 部門的所有工作人員可以協(xié)同工作。 企業(yè)通過 Inter 數(shù)據(jù)傳輸平臺，實(shí)施加密的 VPN 實(shí)現(xiàn)安全接入的辦法主要有兩種：一種是 IPsec VPN，另一種是 SSL VPN。雙向身份驗(yàn)證 強(qiáng)加密 端到端安全 低（無需任何附加客戶端軟件） 通常需要長時(shí)間的配置 需要培訓(xùn) 第 35 頁 共 61 頁 E mail Juniper Netscreen SA 系列的遠(yuǎn)程接入產(chǎn)品是廣受好評的 SSL VPN 產(chǎn)品，采用的是 Instant Virtual Extra(IVE)的系統(tǒng)平臺，客戶只要有標(biāo)準(zhǔn)的 web 瀏覽器，無需進(jìn)行任何部署獲安裝硬件、軟件客戶端設(shè)備，也無需對內(nèi)部服務(wù)器進(jìn)行任何修改，沒有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護(hù)，所以可以方便地讓用戶安全地接入網(wǎng)絡(luò)。 并且在安全策略上實(shí)施的是應(yīng)用層面的安全策略，可以比 IPsec 更加細(xì)化；由于 Juniper Netscreen SA 系列的遠(yuǎn)程接入產(chǎn)品是堅(jiān)固可靠的應(yīng)用層網(wǎng)關(guān)，采用應(yīng)用層面的安全策略后，內(nèi)部的應(yīng)用服務(wù)器可以得到有效保護(hù)，而不必將服務(wù)器的第 4 層端口完全暴露給外部；前端的防火墻上只需配置打開 tcp SSL 端口的策略即可。 SSL VPN 安全接入設(shè)備部署在外網(wǎng) DMZ 服務(wù)區(qū)。 和 Secure Computing SafeWord? PremierAccess?以及 客戶端數(shù)字證書），也可在設(shè)備上建立本地用戶數(shù)據(jù)庫，更支持 LDAP/Active Directory 的用戶組的特性，方便管理員定義策略。 SSL VPN 安全接入系統(tǒng)不運(yùn)行通常的用戶和一樣程序服務(wù)，因此不會打開針對這些服務(wù)的攻擊。包過濾限制了流量從系統(tǒng)到想要連接的系統(tǒng)。 SSL 對系統(tǒng)之間的交換數(shù)據(jù)的完整性和機(jī)密性的保護(hù)，確保任何未經(jīng)授權(quán)訪問的發(fā)生。 如果用戶信息是合法的，然后系統(tǒng)產(chǎn)生一個(gè)認(rèn)證令牌。因?yàn)?SSL 通道和認(rèn)證子系統(tǒng)對客戶端和不完全最終端點(diǎn)進(jìn)行驗(yàn)證，你也可以使用該日志對訪問進(jìn)行審計(jì)。 第 40 頁 共 61 頁 SSL 遠(yuǎn)程安全接入方案實(shí)現(xiàn)說明 1) 用戶認(rèn)證，結(jié)合雙因素認(rèn)證 Juniper SSL VPN 系統(tǒng)（以下簡稱 IVE）支持雙因素用戶認(rèn)證， 工作過程：（ 1）需要接入的互聯(lián)網(wǎng)用戶通過瀏覽器（如 IE）發(fā)出連接請求， IVE 首先對客戶