【文章內(nèi)容簡介】 遠程受電，滿足 標準。 外形尺寸 (W╳D╳ H) 216mm x 40mm x 117mm 436mm x 42mm x 200mm 436mm x 42mm x 240mm 四川省 XXX 院 信息安全 建設(shè)方案 5 成都 XXXX 信息技術(shù)有限公司 重量 2kg ≤3kg ≤3kg 電源 采用外置電源供電，外置電源的輸入電壓及輸出電壓如下： 輸入額定電壓范圍：100240V . ；50/60Hz 輸入最大電壓范圍：90264V . ； 50/60Hz 輸出電壓： 12V 輸出電流： 1A AC： 額定電壓范圍： 100240V . ； 50/60Hz 最大電壓范圍： 90264V . ； 50/60Hz DC： 額定電壓范圍： 48 60V . 最大電壓范圍： 36 72V .. 功耗 8W 12W 15W 工作環(huán)境溫度 0～ 45℃ 工作環(huán)境濕度 10%～ 90% (無凝結(jié) ) 在這一 拓撲 結(jié)構(gòu)下，總體帶寬已經(jīng)不能滿足現(xiàn)有需求和今后進一步發(fā)展的要求，交換設(shè)備，特別是接入層設(shè)備不支持千兆擴展、安全性及組播能力、 IPV6支持等，均顯不足，應(yīng)考慮升級 。 在核心交換機上，劃分了多個 VLAN，在一定程度上方便了管理，并能在一定程度上抑制廣播風(fēng)暴。 但網(wǎng)絡(luò)總體對病毒、攻擊等安全威脅的防范能力、措施不足 ，在現(xiàn)有需求和進一步發(fā)展的需求上，必須加強。 在基于網(wǎng)絡(luò)的應(yīng)用越來越復(fù)雜、網(wǎng)絡(luò)的使用越來越頻繁的情況 下，加之使用者的計算機應(yīng)用能力參差不齊，行為難以規(guī)范，我單位網(wǎng)絡(luò)經(jīng)常面臨 ARP、蠕蟲、木馬 等病毒、攻擊和 眾多的威脅 ，我們必須在仔細分析的基礎(chǔ)上，部署安全設(shè)備和措施、防病毒和來自內(nèi)外的威脅對網(wǎng)絡(luò)和信息系統(tǒng)造成威脅、 并且進行用戶行為管理、流量控制，同時，必須考慮今后我單位向公眾提供資源服務(wù)后的應(yīng)用安全。 四川省 XXX 院 信息安全 建設(shè)方案 6 成都 XXXX 信息技術(shù)有限公司 2 安全威脅分析 通過對現(xiàn)狀的分析，我 單位 網(wǎng)絡(luò)安全 正遭受著 來自 Inter 以及內(nèi) 網(wǎng) 的大量威脅，要解決網(wǎng)絡(luò)安全 、數(shù)據(jù)及信息安全、流量控制、服務(wù)質(zhì)量保證、病毒及攻擊防范等 ，必須針對我 單位 網(wǎng)絡(luò)安全威脅進行全面分析 。 外部威脅分析 我 單位 網(wǎng) 絡(luò)通過電信 10M出口直接接入 Inter，現(xiàn)在只部署了 1 臺路由器，沒 有部署 防火墻設(shè)備 ，除私有 IP 的應(yīng)用和 NAT 外，內(nèi)網(wǎng)基本完全暴露在 Inter上，面臨巨大的威脅 。 由于 Inter 上資源的多樣性、用戶的復(fù)雜性，存在很多插件、威脅軟件、采用密灌技術(shù)的網(wǎng)站、流氓 網(wǎng)站、流氓 軟件等 ，使得 網(wǎng) 絡(luò) 用戶在不知情情況下便感染 病毒 、 受到 攻擊或其它 安全威脅。 因此，必須 采用 相應(yīng) 技術(shù)手段 及設(shè)備 防止這類威脅 對我單位網(wǎng)絡(luò)及信息系統(tǒng)的影響 ； 同時，由于我 單位 網(wǎng)絡(luò)接入到Inter，給外來黑客攻擊 、間諜軟件提供了入侵機會，此類威脅 將對今后的業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)造成巨大威脅 ，我們必須嚴加防范。 內(nèi)部威脅分析 由于我單位網(wǎng)絡(luò)用戶達 400，由于其安全意識、技術(shù)水平等參差不齊，給網(wǎng)絡(luò) 及信息系統(tǒng) 安全帶來了極大的威脅，主要包括以下幾點： (1) 不按要求私自使用 U盤等移動存儲設(shè)備，將病毒等威脅在網(wǎng) 內(nèi) 進行傳播； (2) 擅自訪問有威脅的網(wǎng)站，下載插件，給網(wǎng)絡(luò)造成安全威脅； (3) 擅自訪問有病毒、有流氓軟件的網(wǎng)站和網(wǎng)絡(luò)資源，給網(wǎng)絡(luò)造成安全威脅； (4) 擅自安裝聊天、游戲、電影、 P2P 等應(yīng)用軟件，帶來病毒等安全威脅； (5) 擅自訪問、下載有害資源 ； (6) 擅自使用 P2P 下載軟件、在線視頻等，大量消耗網(wǎng)絡(luò)帶寬 ； (7) MAC 攻擊：占滿交換機的 MAC 地址表； (8) DHCP 攻擊：使用戶無法正常分配到 IP 地址； (9) ARP 攻擊：無法正常上網(wǎng)、通訊中斷、流量消耗； 四川省 XXX 院 信息安全 建設(shè)方案 7 成都 XXXX 信息技術(shù)有限公司 (10) STP 攻擊：導(dǎo)致網(wǎng)絡(luò)癱瘓； (11) DOS/DDOS 攻擊： 占用網(wǎng)絡(luò)帶寬，占用服務(wù)器提供的服務(wù)資源 ； 從 分析 看來，內(nèi)部威脅給我 單位 網(wǎng)絡(luò)帶來的危害 絲毫不比來自外網(wǎng)的小，在一定程度上更 為頻繁、破壞 更為 嚴重，因此，必須 加強管理 。 總體威脅分析 序號 來源 內(nèi)容 原因 風(fēng)險 級別 1 Inter 病毒、蠕蟲、木馬 不知情 的情況下 網(wǎng) 絡(luò)傳播 普通 2 Inter 黑客、間諜軟件 惡意 普通 3 內(nèi)部行為 病毒、蠕蟲、木馬 移動存儲設(shè)備使用 極高 4 內(nèi)部行為 黑客、間諜軟件 惡意 低 5 內(nèi)部行為 病毒、蠕蟲、木馬 收發(fā)郵件 極高 6 內(nèi)部行為 病毒、蠕蟲、木馬 訪問非安全網(wǎng)站 極高 7 內(nèi)部行為 病毒、蠕蟲、木馬 私自安裝軟件 極高 8 內(nèi)部行為 黑客、間諜軟件 使用聊天軟件或其它 極高 9 內(nèi)部行為 帶寬資源消耗 P2P、電影或其它 高 10 內(nèi) 、 外 MAC 攻擊 病毒、惡意 高 11 內(nèi) 、 外 ARP 攻擊 病 毒、惡意 極高 12 內(nèi) 、 外 DHCP 攻擊 病毒、惡意 高 13 內(nèi) 、 外 STP 攻擊 病毒、惡意 高 14 內(nèi) 、 外 DOS/DDOS 攻擊 病毒、惡意 高 15 內(nèi) 、 外 應(yīng)用數(shù)據(jù)竊取、破壞 病毒、木馬、惡意 極高 通過以上分析， 我單位網(wǎng)絡(luò)及信息系統(tǒng)所面臨的安全威脅很多，影響極大 ，因此，我們在對 外網(wǎng) 威脅因素進行監(jiān)控、防范的同時，必須對內(nèi)部行為造成的威脅進行嚴格控制、管理，必須從源頭上遏制住病毒、蠕蟲、木馬 、惡意使用網(wǎng)絡(luò)、惡意攻擊 等威脅對我 單位 網(wǎng)絡(luò) 和信息系統(tǒng) 造成的影響。 四川省 XXX 院 信息安全 建設(shè)方案 8 成都 XXXX 信息技術(shù)有限公司 3 總體需求 及主要內(nèi)容 根據(jù) 以 上的分析和 總結(jié)，我們提出以下應(yīng)用需求： ? 需要部署防火墻保證內(nèi)外數(shù)據(jù)交換安全； ? 在局域網(wǎng)內(nèi)布置防病毒攻擊 ； ? 終端計算機管理方案（主要是端口和 IP 地址與機器碼綁定管理） ； ? 流量監(jiān)控與控制； ? 未來涉及對公眾提供對外資源服務(wù)，數(shù)據(jù)交換量較大， 需要包含對外資源服務(wù)建設(shè)規(guī)劃。 通過對應(yīng)用需求、安全威脅分析，我們提出信息安全體系建設(shè)的總體需求及主要內(nèi)容下如： ? 改造網(wǎng)絡(luò)出口，部署防火墻，保證數(shù)據(jù)交換安全； ? 對網(wǎng)絡(luò)主干實施千兆拓展，構(gòu)建萬兆核心、千兆骨干、百兆 (千兆 )桌面的高速網(wǎng)絡(luò)； ? 部署 防毒墻、 網(wǎng)絡(luò)版殺毒軟件 ，有效防止病 毒和惡意軟件的傳播、感染 ； ? 加強內(nèi)網(wǎng)行為管理，通過軟硬體系，構(gòu)建全局安全網(wǎng)絡(luò)和統(tǒng)一威脅管理； ? 實現(xiàn)內(nèi)網(wǎng)實名制上網(wǎng)，對上網(wǎng)用戶進行身份認證； ? 實現(xiàn)終端設(shè)備 IP 地址、 MAC 地址、交換機端口綁定，有效防范 ARP欺騙、 ARP 病毒及攻擊； ? 實現(xiàn)基于應(yīng)用的多策略的流量監(jiān)控與控制； ? 在提供對外資源服務(wù)時，構(gòu)建服務(wù)器 DMZ 區(qū)、部署入侵檢測系統(tǒng)、 建設(shè)數(shù)據(jù)中心確保數(shù)據(jù)安全可靠。 四川省 XXX 院 信息安全 建設(shè)方案 9 成都 XXXX 信息技術(shù)有限公司 4 網(wǎng)絡(luò)及信息安全體系總體方案 設(shè)計原則 本 方案按以下原則設(shè)計和實施： ? 軟、硬結(jié)合 ，技術(shù)手段與管理制度結(jié)合 ； ? 重軟硬件的同時，必須強調(diào)安全意識的培養(yǎng)和 強化，網(wǎng)絡(luò) 和信息系統(tǒng) 安全問題必須提高到政治高度 ； ? 內(nèi)外兼顧，重 外 來威脅防范的同時，強調(diào)內(nèi)部威脅管理，對內(nèi)部威脅來源嚴防死守 ； ? 立足現(xiàn)狀、預(yù)見未來，在能解決目前問題的同時，必須有效預(yù)見將來會有的安全威脅 ； ? 事先防范、事后定位 、快速恢復(fù) ，在威脅變?yōu)槲：η埃右苑婪?，一旦出現(xiàn)危害，應(yīng)快速找出原因、分析了判斷故障，快速恢復(fù) 。 總體方案 針對我 單位 網(wǎng)絡(luò)安全所受威脅的分析，我們必須提出一個行之有效的解決方案，包括以下內(nèi)容： (1) 物理 拓撲 結(jié)構(gòu) 改造及 優(yōu)化； (2) 科學(xué)、合理的 IP 地址規(guī)劃 及 優(yōu)化； (3) 實施 出口安全實施 ； (4) 實施防病毒的軟 、硬方案； (5) 構(gòu)建全局安全網(wǎng)絡(luò)體系； (6) 確保 服務(wù)器與數(shù)據(jù)庫安全 ，建設(shè)數(shù)據(jù)中心，部署容災(zāi)容錯備份系統(tǒng) ； (7) 實施 運行 保障體系 。 四川省 XXX 院 信息安全 建設(shè)方案 10 成都 XXXX 信息技術(shù)有限公司 5 詳細設(shè)計 拓撲結(jié)構(gòu)調(diào)整 光 纖 接 入出 口 路 由 器1000M安 全 接 入 交 換 機核 心 交 換 機100M防 火 墻 / 應(yīng) 用 控 制 引 擎數(shù) 據(jù) 中 心入 侵 檢 測 系 統(tǒng)服 務(wù) 器 D M Z 區(qū)安 全 網(wǎng) 關(guān) ( 防 毒 墻 ) 出口安全設(shè)計 應(yīng)部署專業(yè)防火墻設(shè)備。 出口 防火墻 應(yīng)具備擴展的狀態(tài)檢測功能、防范入侵及其它（如 URL 過濾、HTTP 透明代理、 SMTP 代理、分離 DNS、 NAT 功能和審計 /報告等）附加功能。處理能力應(yīng)可達 1000Mbps。 應(yīng)支持支持擴展的狀態(tài)檢測技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序 (如 VoIP、 H323 等 )時，可提供強有力的安全信道。 應(yīng)支持安全協(xié)議棧、具備強大的處理功能，在防范外網(wǎng)病毒和攻擊的同時，應(yīng)具備完整的內(nèi)網(wǎng)安全管理，能對用戶使用網(wǎng)絡(luò)的情況進行實時監(jiān)控，并可及時隔離異?？蛻舳恕? 四川省 XXX 院 信息安全 建設(shè)方案 11 成都 XXXX 信息技術(shù)有限公司 網(wǎng)絡(luò)防病毒 內(nèi)容安全網(wǎng)關(guān) (防毒墻 ) 硬件安全網(wǎng)關(guān)透明接入防火墻和核心交換機之間，位于網(wǎng)絡(luò)咽喉，一臺設(shè)備可防護全網(wǎng)，同時在黨政網(wǎng)中任何一臺計算機可以進行管理和配置。 開啟防毒墻的 HTTP、 FTP、 SMTP、 POP3 等協(xié)議的掃描，可以防止瀏覽網(wǎng)頁、上傳下載和收發(fā)電子郵件帶來的病毒，同時阻斷進出 Mail 服 務(wù)器的垃圾郵件，保證郵件服務(wù)器的安全和高效，還可以啟用內(nèi)容過濾模塊，對進出服務(wù)器的內(nèi)容進行過濾。 防毒墻通過輸入激活碼后，便可以每隔一小時自動到網(wǎng)上更新。 同時自帶的冗余系統(tǒng)，可以保證系統(tǒng)自身的穩(wěn)定運行，是網(wǎng)關(guān)防毒的首選產(chǎn)品。 企業(yè)級網(wǎng)絡(luò)版防病毒軟件 在網(wǎng)絡(luò)防病毒方面，可采用網(wǎng)絡(luò)版殺毒軟件。 應(yīng) 方便對網(wǎng)絡(luò)中所有計算機的保護配置和更新，這些計算機包括：工作站 、文件服務(wù)器 、 郵件服務(wù)器 、 SMTP 網(wǎng)關(guān)和邊界服務(wù)器。 它不僅 應(yīng) 抵御病毒，蠕蟲和特洛依木馬，還防護新的 Inter 攻擊，如垃圾郵件 、 間諜程序 、 撥號器 、 黑客工具和惡作劇 等 ，以及針對系統(tǒng)漏洞，并提供保護阻止安全冒險。 應(yīng) 具有不間斷保護功能，至少每天一次將已作的更新自動分發(fā)到網(wǎng)絡(luò)中。這是由于采用了向用戶透明的新機制，其結(jié)果是提高了產(chǎn)品的質(zhì)量，使管理員可以集中精力到其它工作中 。 應(yīng)具備以下功能特性： ? 應(yīng)能 保護所有電子郵件通訊，保護 所有接收和發(fā)送的電子郵件通訊安全而免受病毒感染； ? 可 保護整個網(wǎng)絡(luò)的邊界，保護了 內(nèi) 網(wǎng)和 Inter 之間的所有連接； ? 可 抵擋所有類型的 Inter 攻擊，它包括客戶端桌面保護； ? 可 通過中央管理工具 ，從一臺計算機進行整個網(wǎng)絡(luò)的集中管理； 四川省 XXX 院 信息安全 建設(shè)方案 12 成都 XXXX 信息技術(shù)有限公司 ? 對于預(yù)計將大量傳播和感染的攻擊信息， 可 通過預(yù)先提示信息系統(tǒng)，發(fā)布最新詳細的相關(guān)信息 ； ? 可 每日自動更新將抵擋新病毒。 構(gòu)建全局安全網(wǎng)絡(luò)體系 概述 根據(jù)現(xiàn)有需求，并考慮到未來的發(fā)展趨勢，需要建立一個統(tǒng)一的信息傳輸網(wǎng)絡(luò)， 以 滿足數(shù)據(jù)、語音、視頻、圖像、多媒體等相關(guān)信息的傳輸， 并 可實現(xiàn)辦公、財務(wù)各部門等正常地訪問網(wǎng)絡(luò)，同時滿足內(nèi)部網(wǎng)絡(luò)之間的高速轉(zhuǎn)發(fā)。 網(wǎng)絡(luò)的總體設(shè)計思路是，采用星型 高速 以太網(wǎng)的網(wǎng)絡(luò)主體架構(gòu)。這樣架構(gòu)可以充分提高網(wǎng)絡(luò)的可擴展性、易維護性以及穩(wěn)定性。 采用千兆主干，百兆到桌面的設(shè)計思路。采用“核心 — 匯 聚 — 接入”的三層網(wǎng)絡(luò)架構(gòu)，核心到匯聚、匯聚到接入交換 機均應(yīng) 采用千兆連接，同時通過匯聚層的安全功能，大大減輕核心層的路由、安全處理的壓力，提高整體網(wǎng)絡(luò)的性能。 (1)網(wǎng)絡(luò)出口采用防火墻 設(shè)備 ，提供 抵 抗外網(wǎng)攻擊等功能，有效地防止蠕蟲等病毒的攻擊，同時還可以有效地防止 BT/電驢等對網(wǎng)絡(luò)帶寬的占用。 (2)核心層 可 沿用原有核心交換機。 (3)接入層 可升級為 安全智能交換機， 應(yīng)支持 豐富的 ACL 策略，防 ARP 欺騙功能等，提供豐富的安全策略，防止病毒對網(wǎng)絡(luò)的攻擊與危害 ， 并 能 提供千兆擴展接口。 (4)部署一套 綜合 網(wǎng)絡(luò) 及安全 管理 軟件負責(zé)整個網(wǎng)絡(luò)設(shè)備、服務(wù)器及用戶 PC的拓撲發(fā)現(xiàn)和設(shè)備的管理，并做到實時的網(wǎng)絡(luò)流量監(jiān)控及預(yù)警功能，通過這套軟件可以讓網(wǎng)管人員足不出戶就可以管理到網(wǎng)絡(luò)中的每一臺設(shè)備和每