【文章內(nèi)容簡介】 . 網(wǎng)絡(luò)結(jié)構(gòu)層次不清晰當(dāng)前網(wǎng)絡(luò)骨干區(qū)域，是以S5516為單核心設(shè)備連接上聯(lián)C2601路由器至XXXX公司工業(yè)，下聯(lián)S3026接入交換機連接終端。網(wǎng)絡(luò)骨干設(shè)備性能較差，擴展能力很弱。各區(qū)域存在結(jié)構(gòu)層次不清晰、不合理之處。網(wǎng)絡(luò)核心交換S5516如果癱瘓，整個網(wǎng)絡(luò)通訊將斷開；服務(wù)器直接連接漏洞交換機，一旦設(shè)備出現(xiàn)故障則一號工程、內(nèi)網(wǎng)管理等業(yè)務(wù)系統(tǒng)無法正常工作，將引起業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通訊的中斷。. 網(wǎng)絡(luò)單點故障核心設(shè)備、上聯(lián)線路為單條線路，存在網(wǎng)絡(luò)單點故障隱患。上聯(lián)鏈路僅為一條電信專線，沒有其它冗余的廣域網(wǎng)鏈路，存在遠(yuǎn)程接入鏈路單點故障。一號工程、內(nèi)網(wǎng)管理服務(wù)器僅單線連接在樓層交換機上，樓層交換本身為單線連接核心交換，連接和訪問均為單線路，存在單點故障。. 網(wǎng)絡(luò)安全域劃分不明XXX單位一號工程、僅簡單的通過VLAN與辦公網(wǎng)其他主機劃分，并未采取其它防護(hù)措施的隔離，非常不利于隔離防護(hù)及后期的安全規(guī)劃建設(shè)。. 部分節(jié)點區(qū)域缺乏必要安全防護(hù)措施內(nèi)部終端用戶訪問內(nèi)部服務(wù)器、互聯(lián)網(wǎng)絡(luò)沒有有效的控制行為；能夠訪問互聯(lián)網(wǎng)的終端不能有效控制訪問帶寬并進(jìn)行行為審計。此問題可與XXXX公司工業(yè)解決建議方案同時及解決。全網(wǎng)缺乏一套集中的安全運營管理中心，當(dāng)前網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機及業(yè)務(wù)系統(tǒng)的日志及安全運行狀況監(jiān)控，僅由各自維護(hù)人員手工操作，直接登錄設(shè)備檢查分析。此問題可與XXXX公司工業(yè)解決建議方案同時解決。內(nèi)網(wǎng)服務(wù)器區(qū)、生產(chǎn)服務(wù)器區(qū)缺乏業(yè)務(wù)審計設(shè)備，無法記錄關(guān)鍵的業(yè)務(wù)、維護(hù)操作行為。. 現(xiàn)有的安全技術(shù)防護(hù)手段 互聯(lián)網(wǎng)訪問通過專線到達(dá)XXXX公司工業(yè)后訪問，因此防護(hù)技術(shù)手段與XXXX公司工業(yè)相同； 內(nèi)網(wǎng)部署了趨勢的網(wǎng)絡(luò)防病毒系統(tǒng)， 內(nèi)網(wǎng)部署了圣博潤的內(nèi)網(wǎng)管理系統(tǒng)，可對內(nèi)部網(wǎng)絡(luò)終端進(jìn)行接入管理、主機維護(hù)管理、補丁管理、主機行為審計等。. 技術(shù)體系規(guī)劃主要內(nèi)容. 網(wǎng)絡(luò)安全域改造建設(shè)規(guī)劃. XXXX公司工業(yè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃建議改造建議說明： 新增管理支撐域，作為整個網(wǎng)絡(luò)的設(shè)備和系統(tǒng)管理中心。 新增匯聚層網(wǎng)絡(luò)設(shè)施域，部署四臺三層交換機，核心部件采用冗余配置，作為整個網(wǎng)絡(luò)的匯聚層，這樣既便于接入?yún)^(qū)和服務(wù)區(qū)的訪問控制，又將生產(chǎn)區(qū)和辦公區(qū)進(jìn)行了區(qū)分，并分擔(dān)了核心交換機的負(fù)擔(dān)。 在核心交換和新增的匯聚交換間部署防火墻進(jìn)行服務(wù)域的訪問控制； 將原有的服務(wù)器使用VLAN方式劃分為核心服務(wù)域和一般服務(wù)域； 更換互聯(lián)網(wǎng)出口防火墻為安全網(wǎng)關(guān)，采用雙機冗余方式部署，并啟用IPS檢測、AV檢測功能，為對外提供服務(wù)的WEB和MAIL服務(wù)器制定保護(hù)策略； 在互聯(lián)網(wǎng)安全網(wǎng)關(guān)后增加上網(wǎng)行為管理系統(tǒng)，采用雙機冗余方式部署，對訪問互聯(lián)網(wǎng)的流量和訪問進(jìn)行控制和審計； 將互聯(lián)網(wǎng)出口替換下的防火墻部署到單獨劃分的財務(wù)服務(wù)域前端，進(jìn)行必要的訪問控制保護(hù)； 將XXX單位和西倉連接線路由原來的連接核心C6509改為連接新增加的匯聚層防火墻上，增加外部訪問的訪問控制。. XXX單位網(wǎng)絡(luò)系統(tǒng)改造建議 建議將核心交換更改為雙機冗余方式，可采取主備模式或者一臺設(shè)備冷備的方式； 單獨部署服務(wù)器交換機，可采取主備模式或者一臺設(shè)備冷備的方式，其中冷備設(shè)備可與核心備用機器為同一臺設(shè)備； 可考慮新增一條備用通訊線路，例如選用ADSL線路作為應(yīng)急通訊線路，通過VPN方式與XXXX公司工業(yè)網(wǎng)絡(luò)進(jìn)行通訊； 對于辦公網(wǎng)內(nèi)接入交換上聯(lián)核心的線路可考慮部署雙線路方式，實現(xiàn)線路冗余，這樣可避免因為意外狀況造成線路中斷后的網(wǎng)絡(luò)中斷，接入交換設(shè)備可增加12臺冷備設(shè)備； 可在網(wǎng)絡(luò)邊界部署防火墻設(shè)備進(jìn)行訪問控制。. 網(wǎng)絡(luò)安全設(shè)備建設(shè)規(guī)劃網(wǎng)絡(luò)安全設(shè)備分為邊界保護(hù)類，入侵檢測/防御類，終端保護(hù)等多種。網(wǎng)絡(luò)安全產(chǎn)品的類型是由網(wǎng)絡(luò)安全技術(shù)決定的，為了實現(xiàn)全面的安全防護(hù)，以不同的實體出現(xiàn)的安全設(shè)備要在技術(shù)上覆蓋所有的安全領(lǐng)域，也就是所有安全設(shè)備功能的總和在技術(shù)層面應(yīng)該能夠防御目前網(wǎng)絡(luò)環(huán)境下所有安全威脅的總和。安全產(chǎn)品雖然不是安全防護(hù)體系的決定因素，卻是安全防御體系的基石。是實現(xiàn)系統(tǒng)化全方位網(wǎng)絡(luò)安全防護(hù)的必要條件。在充分分析目前XXXX公司工業(yè)已經(jīng)部署的網(wǎng)絡(luò)安全設(shè)備的前提下，又結(jié)合了風(fēng)險評估的結(jié)果，以及安全域劃分和網(wǎng)絡(luò)改造的具體需求，得出了最終需要新增的網(wǎng)絡(luò)安全設(shè)備需求。此過程保證在設(shè)備層面實現(xiàn)安全技術(shù)體系。部署完成后，XXXX公司工業(yè)所有安全設(shè)備防護(hù)功能的總和在技術(shù)層面上將能夠滿足防護(hù)和應(yīng)對目前已知安全威脅。同時滿足《XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南》中在技術(shù)體系建設(shè)方面對網(wǎng)絡(luò)安全部分的要求。結(jié)合規(guī)劃的安全域，在新的安全環(huán)境下，規(guī)劃的安全設(shè)備部署示意圖如下：. 防火墻設(shè)備. 部署位置防火墻部署在核心層和匯聚層之間。如下圖所示。. 安全功能防火墻系統(tǒng)是進(jìn)行安全域邊界防護(hù)的有效手段。需要部署防火墻將網(wǎng)絡(luò)分割成不同安全區(qū)域，并對核心業(yè)務(wù)系統(tǒng)形成縱深保護(hù)體系。在新增的匯聚網(wǎng)絡(luò)層和核心網(wǎng)絡(luò)層之間冗余部署四臺防火墻設(shè)備，實現(xiàn)生產(chǎn)接入域、辦公接入域和其他區(qū)域訪問的控制，生產(chǎn)接入域和辦公接入域之間的訪問控制。通過此次安全域的劃分和網(wǎng)絡(luò)改造，使防火墻主要可以起到如下幾類作用：216。 限制各個接入網(wǎng)絡(luò)對網(wǎng)絡(luò)設(shè)備的訪問。216。 限制接入網(wǎng)絡(luò)穿過的源。216。 限制接入網(wǎng)絡(luò)能訪問的目的。216。 限制接入網(wǎng)絡(luò)穿過的應(yīng)用端口。216。 限制能提供的應(yīng)用端口。. 安全網(wǎng)關(guān)設(shè)備. 部署位置一體化安全網(wǎng)關(guān)部署在互聯(lián)網(wǎng)出口處，做互聯(lián)網(wǎng)邊界綜合防護(hù)。如下圖所示。. 實現(xiàn)安全功能n 訪問控制IP地址過濾、MAC地址過濾、IP＋MAC綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等n IPS防御體系通過繼承的IPS功能，精確抵御黑客攻擊、蠕蟲、木馬、后門；抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚的泛濫；并可有效防止拒絕服務(wù)攻擊。n 網(wǎng)絡(luò)防病毒能夠有效抵御文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件等。n 抗DoS攻擊采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為。. 上網(wǎng)行為管理設(shè)備. 部署位置上網(wǎng)行為管理部署在互聯(lián)網(wǎng)出口處。如下圖所示。. 安全功能P2P流量控制目前幾乎在所有組織中都存在著帶寬濫用和浪費的現(xiàn)象。尤其是在P2P技術(shù)出現(xiàn)之后，此問題更加嚴(yán)重和突出。XXXX公司工業(yè)也不例外，存在著P2P泛濫，帶寬濫用等現(xiàn)象。各種P2P應(yīng)用占用了大量網(wǎng)絡(luò)帶寬(如BitTorrent，Kazza，Emule等)，消耗了網(wǎng)絡(luò)中的大量帶寬，隨之而來的是，由網(wǎng)絡(luò)鏈路擁塞引發(fā)的應(yīng)用性能下降問題也日益嚴(yán)重，極大地影響了組織正常業(yè)務(wù)的開展及用戶正常網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。 因此必須對P2P的應(yīng)用加以控制，例如提供最大帶寬限制、保證帶寬、帶寬租借、應(yīng)用優(yōu)先級等一系列帶寬管理功能，最終可實現(xiàn)禁止使用P2P軟件或限制P2P軟件的可用帶寬，從而達(dá)到控制P2P流量的目標(biāo)，將寶貴的、有限的帶寬資源保留給組織中關(guān)鍵的應(yīng)用和業(yè)務(wù)。服務(wù)分級服務(wù)分級是一種帶寬管理的理解方式。也可以理解為某種程度上QoS。服務(wù)分級處理可以比喻為一個多車道并行的高速公路，其中各種不同的車輛都按照一定的規(guī)則行駛在不同的車道上，帶寬管理設(shè)備在這里就相當(dāng)于分流的路口。比如，視頻點播業(yè)務(wù)需要很高的帶寬，并且要保證數(shù)據(jù)流的連續(xù)性，要達(dá)到這樣的要求，必須為其預(yù)留出單獨的高帶寬通道；而一般的郵件服務(wù)和聊天等占據(jù)很少帶寬的業(yè)務(wù)，可能會被分配為較低的優(yōu)先級，使用一個窄帶傳輸。同樣的，針對不同訪問需求的用戶也可以進(jìn)行服務(wù)的分級處理，對帶寬要求高的人員可以獲得較多的帶寬，從而保證其訪問的需求。關(guān)鍵應(yīng)用保障目前XXXX公司工業(yè)在應(yīng)用方面已經(jīng)建立基于互聯(lián)網(wǎng)的Web和Mail系統(tǒng)，需要在應(yīng)用層加以優(yōu)先保證。上網(wǎng)行為管理設(shè)備可以基于應(yīng)用的重要程度進(jìn)行帶寬資源的合理分配，從而保證重要的、時效性高的應(yīng)用能夠獲得較多的帶寬，最終能夠保障關(guān)鍵應(yīng)用的正常運行。. 業(yè)務(wù)安全審計設(shè)備. 部署位置網(wǎng)絡(luò)安全審計設(shè)備主要部署在核心業(yè)務(wù)區(qū)域，按照XXXX公司工業(yè)安全域的規(guī)劃，需要部署業(yè)務(wù)審計系統(tǒng)的位置為服務(wù)域（核心服務(wù)域+一般服務(wù)域），生產(chǎn)服務(wù)域（卷包中控、物流中控、制絲中控、動力中控），重點審計內(nèi)容是人為通過網(wǎng)絡(luò)對各服務(wù)器系統(tǒng)、數(shù)據(jù)的訪問行為審計和控制，部署示意圖如下：服務(wù)域?qū)徲嬒到y(tǒng)部署示意圖生產(chǎn)服務(wù)域?qū)徲嬒到y(tǒng)部署示意圖. 安全功能n 滿足合規(guī)要求目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而銀行業(yè)則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護(hù)的合規(guī)性要求。XXXX公司工業(yè)面也面臨著合規(guī)性的要求。一是等級保護(hù)的要求；二是行業(yè)規(guī)范的要求。在國煙辦的147號文件中，明確要求部署網(wǎng)絡(luò)審計設(shè)備。n 有效減少核心信息資產(chǎn)的破壞和泄漏對企業(yè)的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等），通過使用網(wǎng)絡(luò)安全審計系統(tǒng)，能夠加強對這些關(guān)鍵系統(tǒng)的審計，從而有效地減少對核心信息資產(chǎn)的破壞和泄漏。n 追蹤溯源，便于事后追查原因與界定責(zé)任一個單位里負(fù)責(zé)運維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限（例如掌握DBA帳號的口令），因而也承擔(dān)著很高的風(fēng)險（誤操作或者是個別人員的惡意破壞）。由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個帳號進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實身份。試用網(wǎng)絡(luò)安全審計系統(tǒng)提供基于角色的審計，能夠有效地區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任。n 直觀掌握業(yè)務(wù)系統(tǒng)運行的安全狀況業(yè)務(wù)系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。對管理部門來說，網(wǎng)絡(luò)環(huán)境的安全狀況事關(guān)重大。網(wǎng)絡(luò)安全審計系統(tǒng)提供業(yè)務(wù)流量監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況。n 實現(xiàn)獨立審計與三權(quán)分立，完善IT內(nèi)控機制從內(nèi)控的角度來看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。網(wǎng)絡(luò)安全審計系統(tǒng)基于網(wǎng)絡(luò)旁路監(jiān)聽的方式實現(xiàn)獨立的審計與三權(quán)分立，完善了IT內(nèi)控機制。. 漏洞掃描設(shè)備. 部署位置漏洞掃描系統(tǒng)部署在管理支撐域，通過一個二層接入交換機接入到核心交換機，示意圖如下圖所示：. 安全功能216。 通過對網(wǎng)絡(luò)設(shè)備，操作系統(tǒng)，應(yīng)用系統(tǒng)的掃描，有效了解系統(tǒng)弱點，為實施安全防護(hù)方案和制定安全管理策略提供依據(jù)和參考。216。 制定周期性掃描計劃，實現(xiàn)周期性的安全自評，為有效的風(fēng)險管理提供參考和支持。. 補充設(shè)備部署由于系統(tǒng)已經(jīng)規(guī)劃部署了業(yè)務(wù)審計系統(tǒng)，為了防止各系統(tǒng)時間不同步，從而導(dǎo)致審計數(shù)據(jù)記錄時間不同，進(jìn)而影響審計系統(tǒng)數(shù)據(jù)的參考價值，因此需要在內(nèi)網(wǎng)部署時間同步服務(wù)器。由于該服務(wù)器架設(shè)比較簡單，在windows操作系統(tǒng)下即可輕松搭建NTP服務(wù)器，此處不再給出具體方案。. CA認(rèn)證體系建設(shè). 現(xiàn)狀XXXX公司工業(yè)目前暫無CA認(rèn)證系統(tǒng)，但按照國家總局的統(tǒng)一建設(shè)要求，已經(jīng)將CA認(rèn)證系統(tǒng)作為即將開始的項目。. 建設(shè)規(guī)劃目標(biāo)通過建設(shè)CA認(rèn)證體系，為業(yè)務(wù)應(yīng)用系統(tǒng)提供穩(wěn)定可靠的信息安全服務(wù)，切實保障系統(tǒng)使用人員身份的真實性、信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性，為信息化建設(shè)和發(fā)展奠定安全基礎(chǔ)。按照《國家XXXX行業(yè)專賣局辦公室關(guān)于印發(fā)XXXX行業(yè)行業(yè)CA認(rèn)證體系建設(shè)方案的通知》(國煙辦綜〔2008〕116號)文件要求，結(jié)合自身實際情況，建立XXXX公司工業(yè)CA，是XXXX行業(yè)行業(yè)的二級CA，為本企業(yè)所屬范圍內(nèi)的行業(yè)內(nèi)人員，或者與本單位有業(yè)務(wù)聯(lián)系的單位及人員提供數(shù)字證書的發(fā)放和管理服務(wù)。. 建設(shè)規(guī)劃內(nèi)容. CA認(rèn)證體系平臺建設(shè)按照《XXXX行業(yè)行業(yè)CA認(rèn)證體系建設(shè)方案》規(guī)范，XXXX公司工業(yè)行業(yè)CA認(rèn)證體系項目由數(shù)字證書簽發(fā)服務(wù)平臺標(biāo)準(zhǔn)版、數(shù)字證書應(yīng)用支撐平臺和數(shù)字證書系綜合監(jiān)管平臺組成，如下圖所示。參考上圖，本次建設(shè)的企業(yè)級數(shù)字證書簽發(fā)服務(wù)平臺標(biāo)準(zhǔn)版，主要建設(shè)內(nèi)容包括CA、RA、KMC系統(tǒng)；數(shù)字證書應(yīng)用支撐服務(wù)平臺，主要建設(shè)內(nèi)容包括：簽名服務(wù)器、SSL安全代理服務(wù)器、身份認(rèn)證系統(tǒng)、時間戳服務(wù)器；數(shù)字證書綜合監(jiān)管平臺，主要建設(shè)內(nèi)容包括：數(shù)字證書備案系統(tǒng)、數(shù)字證書安全審計系統(tǒng)。如下圖所示：簽名服務(wù)器數(shù)字證書應(yīng)用支撐平臺SSL安全代理服務(wù)器身份認(rèn)證系統(tǒng)時間戳服務(wù)器數(shù)字證書備案系統(tǒng)數(shù)字證書綜合監(jiān)管平臺數(shù)字證書安全審計系統(tǒng)KMCCARA數(shù)字證書簽發(fā)服務(wù)平臺. CA認(rèn)證體系應(yīng)用建設(shè) 應(yīng)用系統(tǒng)身份認(rèn)證利用CA認(rèn)證體系同現(xiàn)有應(yīng)用系統(tǒng)的身份認(rèn)證方式相結(jié)合，針對重要業(yè)務(wù)系統(tǒng)或重要崗位，進(jìn)行身份驗證，保留登錄記錄，落實責(zé)任，方便管理。 綜合應(yīng)用平臺單點登錄對已建設(shè)的信息系統(tǒng)進(jìn)行整合和數(shù)據(jù)交流，并提供統(tǒng)一身份驗證平臺，實行信息門戶單點登錄。CA認(rèn)證體系建設(shè)和該平臺相結(jié)合，使單點登錄系統(tǒng)更安全，并便于管理。 遠(yuǎn)程VPN訪問身份認(rèn)證由于營銷人員等分布全國各地，需要遠(yuǎn)程訪問公司服務(wù)器。CA認(rèn)證系統(tǒng)和VPN遠(yuǎn)程訪問控制相結(jié)合，更能保障身份唯一性，并大幅提高互聯(lián)網(wǎng)訪問的安全性。. 數(shù)據(jù)安全保障. 建設(shè)規(guī)劃目標(biāo). 知識產(chǎn)權(quán)保障知識產(chǎn)權(quán)就是現(xiàn)代企業(yè)的生命，現(xiàn)在的企業(yè)越來越重視知識產(chǎn)權(quán)的保護(hù)，根據(jù)國家知識產(chǎn)權(quán)局的統(tǒng)計，每年知識產(chǎn)權(quán)相關(guān)的案件數(shù)量在以30%以上的速度進(jìn)行遞增。保證知識產(chǎn)權(quán)，就相當(dāng)于保障企業(yè)的生存空間。通過部署電子文檔安全系統(tǒng)，使得企業(yè)成為電子數(shù)據(jù)的真正所有者，保證企業(yè)知識產(chǎn)權(quán)。有效提高企業(yè)在市場上的競爭力。. 電子文檔管理流程優(yōu)化通過部署電子文檔安全系統(tǒng)，優(yōu)化文檔安全管理工作的效率，從前需要人工審核的部門由計算機網(wǎng)絡(luò)取代，提高了工作效率。同時，在服務(wù)器上備份所有的文件審查日志。數(shù)據(jù)的完整性、可靠性都得到了極大的提升，也減免了傳統(tǒng)的紙質(zhì)備份保密資料給企業(yè)帶來的成本。. 建設(shè)規(guī)劃內(nèi)容. 建議部署結(jié)構(gòu) 在進(jìn)行文檔保護(hù)系統(tǒng)部署結(jié)構(gòu)時，考慮到必須保證業(yè)務(wù)的高可用性。因此，采用了雙服務(wù)端熱備設(shè)計，此舉能夠保證，在一臺服務(wù)器出現(xiàn)故障的時候，另一臺會接管故障服務(wù)器的工作，保證業(yè)務(wù)的可用性。 如果XXX單位和分支機構(gòu)的網(wǎng)絡(luò)和總部的鏈路穩(wěn)定，那么可使