【文章內(nèi)容簡(jiǎn)介】 遠(yuǎn)程受電，滿足 標(biāo)準(zhǔn)。 外形尺寸 (W╳D╳ H) 216mm x 40mm x 117mm 436mm x 42mm x 200mm 436mm x 42mm x 240mm 四川省 XXX 院 信息安全 建設(shè)方案 5 成都 XXXX 信息技術(shù)有限公司 重量 2kg ≤3kg ≤3kg 電源 采用外置電源供電，外置電源的輸入電壓及輸出電壓如下： 輸入額定電壓范圍：100240V . ；50/60Hz 輸入最大電壓范圍：90264V . ； 50/60Hz 輸出電壓： 12V 輸出電流： 1A AC： 額定電壓范圍： 100240V . ； 50/60Hz 最大電壓范圍： 90264V . ； 50/60Hz DC： 額定電壓范圍： 48 60V . 最大電壓范圍： 36 72V .. 功耗 8W 12W 15W 工作環(huán)境溫度 0～ 45℃ 工作環(huán)境濕度 10%～ 90% (無(wú)凝結(jié) ) 在這一 拓?fù)?結(jié)構(gòu)下，總體帶寬已經(jīng)不能滿足現(xiàn)有需求和今后進(jìn)一步發(fā)展的要求，交換設(shè)備，特別是接入層設(shè)備不支持千兆擴(kuò)展、安全性及組播能力、 IPV6支持等，均顯不足，應(yīng)考慮升級(jí) 。 在核心交換機(jī)上，劃分了多個(gè) VLAN，在一定程度上方便了管理，并能在一定程度上抑制廣播風(fēng)暴。 但網(wǎng)絡(luò)總體對(duì)病毒、攻擊等安全威脅的防范能力、措施不足 ，在現(xiàn)有需求和進(jìn)一步發(fā)展的需求上，必須加強(qiáng)。 在基于網(wǎng)絡(luò)的應(yīng)用越來(lái)越復(fù)雜、網(wǎng)絡(luò)的使用越來(lái)越頻繁的情況 下，加之使用者的計(jì)算機(jī)應(yīng)用能力參差不齊，行為難以規(guī)范，我單位網(wǎng)絡(luò)經(jīng)常面臨 ARP、蠕蟲(chóng)、木馬 等病毒、攻擊和 眾多的威脅 ，我們必須在仔細(xì)分析的基礎(chǔ)上，部署安全設(shè)備和措施、防病毒和來(lái)自內(nèi)外的威脅對(duì)網(wǎng)絡(luò)和信息系統(tǒng)造成威脅、 并且進(jìn)行用戶行為管理、流量控制，同時(shí)，必須考慮今后我單位向公眾提供資源服務(wù)后的應(yīng)用安全。 四川省 XXX 院 信息安全 建設(shè)方案 6 成都 XXXX 信息技術(shù)有限公司 2 安全威脅分析 通過(guò)對(duì)現(xiàn)狀的分析，我 單位 網(wǎng)絡(luò)安全 正遭受著 來(lái)自 Inter 以及內(nèi) 網(wǎng) 的大量威脅，要解決網(wǎng)絡(luò)安全 、數(shù)據(jù)及信息安全、流量控制、服務(wù)質(zhì)量保證、病毒及攻擊防范等 ，必須針對(duì)我 單位 網(wǎng)絡(luò)安全威脅進(jìn)行全面分析 。 外部威脅分析 我 單位 網(wǎng) 絡(luò)通過(guò)電信 10M出口直接接入 Inter，現(xiàn)在只部署了 1 臺(tái)路由器，沒(méi) 有部署 防火墻設(shè)備 ，除私有 IP 的應(yīng)用和 NAT 外，內(nèi)網(wǎng)基本完全暴露在 Inter上，面臨巨大的威脅 。 由于 Inter 上資源的多樣性、用戶的復(fù)雜性，存在很多插件、威脅軟件、采用密灌技術(shù)的網(wǎng)站、流氓 網(wǎng)站、流氓 軟件等 ，使得 網(wǎng) 絡(luò) 用戶在不知情情況下便感染 病毒 、 受到 攻擊或其它 安全威脅。 因此，必須 采用 相應(yīng) 技術(shù)手段 及設(shè)備 防止這類威脅 對(duì)我單位網(wǎng)絡(luò)及信息系統(tǒng)的影響 ； 同時(shí)，由于我 單位 網(wǎng)絡(luò)接入到Inter，給外來(lái)黑客攻擊 、間諜軟件提供了入侵機(jī)會(huì)，此類威脅 將對(duì)今后的業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)造成巨大威脅 ，我們必須嚴(yán)加防范。 內(nèi)部威脅分析 由于我單位網(wǎng)絡(luò)用戶達(dá) 400，由于其安全意識(shí)、技術(shù)水平等參差不齊，給網(wǎng)絡(luò) 及信息系統(tǒng) 安全帶來(lái)了極大的威脅，主要包括以下幾點(diǎn)： (1) 不按要求私自使用 U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備，將病毒等威脅在網(wǎng) 內(nèi) 進(jìn)行傳播； (2) 擅自訪問(wèn)有威脅的網(wǎng)站，下載插件，給網(wǎng)絡(luò)造成安全威脅； (3) 擅自訪問(wèn)有病毒、有流氓軟件的網(wǎng)站和網(wǎng)絡(luò)資源，給網(wǎng)絡(luò)造成安全威脅； (4) 擅自安裝聊天、游戲、電影、 P2P 等應(yīng)用軟件，帶來(lái)病毒等安全威脅； (5) 擅自訪問(wèn)、下載有害資源 ； (6) 擅自使用 P2P 下載軟件、在線視頻等，大量消耗網(wǎng)絡(luò)帶寬 ； (7) MAC 攻擊：占滿交換機(jī)的 MAC 地址表； (8) DHCP 攻擊：使用戶無(wú)法正常分配到 IP 地址； (9) ARP 攻擊：無(wú)法正常上網(wǎng)、通訊中斷、流量消耗； 四川省 XXX 院 信息安全 建設(shè)方案 7 成都 XXXX 信息技術(shù)有限公司 (10) STP 攻擊：導(dǎo)致網(wǎng)絡(luò)癱瘓； (11) DOS/DDOS 攻擊： 占用網(wǎng)絡(luò)帶寬，占用服務(wù)器提供的服務(wù)資源 ； 從 分析 看來(lái)，內(nèi)部威脅給我 單位 網(wǎng)絡(luò)帶來(lái)的危害 絲毫不比來(lái)自外網(wǎng)的小，在一定程度上更 為頻繁、破壞 更為 嚴(yán)重，因此，必須 加強(qiáng)管理 。 總體威脅分析 序號(hào) 來(lái)源 內(nèi)容 原因 風(fēng)險(xiǎn) 級(jí)別 1 Inter 病毒、蠕蟲(chóng)、木馬 不知情 的情況下 網(wǎng) 絡(luò)傳播 普通 2 Inter 黑客、間諜軟件 惡意 普通 3 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 移動(dòng)存儲(chǔ)設(shè)備使用 極高 4 內(nèi)部行為 黑客、間諜軟件 惡意 低 5 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 收發(fā)郵件 極高 6 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 訪問(wèn)非安全網(wǎng)站 極高 7 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 私自安裝軟件 極高 8 內(nèi)部行為 黑客、間諜軟件 使用聊天軟件或其它 極高 9 內(nèi)部行為 帶寬資源消耗 P2P、電影或其它 高 10 內(nèi) 、 外 MAC 攻擊 病毒、惡意 高 11 內(nèi) 、 外 ARP 攻擊 病 毒、惡意 極高 12 內(nèi) 、 外 DHCP 攻擊 病毒、惡意 高 13 內(nèi) 、 外 STP 攻擊 病毒、惡意 高 14 內(nèi) 、 外 DOS/DDOS 攻擊 病毒、惡意 高 15 內(nèi) 、 外 應(yīng)用數(shù)據(jù)竊取、破壞 病毒、木馬、惡意 極高 通過(guò)以上分析， 我單位網(wǎng)絡(luò)及信息系統(tǒng)所面臨的安全威脅很多，影響極大 ，因此，我們?cè)趯?duì) 外網(wǎng) 威脅因素進(jìn)行監(jiān)控、防范的同時(shí)，必須對(duì)內(nèi)部行為造成的威脅進(jìn)行嚴(yán)格控制、管理，必須從源頭上遏制住病毒、蠕蟲(chóng)、木馬 、惡意使用網(wǎng)絡(luò)、惡意攻擊 等威脅對(duì)我 單位 網(wǎng)絡(luò) 和信息系統(tǒng) 造成的影響。 四川省 XXX 院 信息安全 建設(shè)方案 8 成都 XXXX 信息技術(shù)有限公司 3 總體需求 及主要內(nèi)容 根據(jù) 以 上的分析和 總結(jié)，我們提出以下應(yīng)用需求： ? 需要部署防火墻保證內(nèi)外數(shù)據(jù)交換安全； ? 在局域網(wǎng)內(nèi)布置防病毒攻擊 ； ? 終端計(jì)算機(jī)管理方案（主要是端口和 IP 地址與機(jī)器碼綁定管理） ； ? 流量監(jiān)控與控制； ? 未來(lái)涉及對(duì)公眾提供對(duì)外資源服務(wù)，數(shù)據(jù)交換量較大， 需要包含對(duì)外資源服務(wù)建設(shè)規(guī)劃。 通過(guò)對(duì)應(yīng)用需求、安全威脅分析，我們提出信息安全體系建設(shè)的總體需求及主要內(nèi)容下如： ? 改造網(wǎng)絡(luò)出口，部署防火墻，保證數(shù)據(jù)交換安全； ? 對(duì)網(wǎng)絡(luò)主干實(shí)施千兆拓展，構(gòu)建萬(wàn)兆核心、千兆骨干、百兆 (千兆 )桌面的高速網(wǎng)絡(luò)； ? 部署 防毒墻、 網(wǎng)絡(luò)版殺毒軟件 ，有效防止病 毒和惡意軟件的傳播、感染 ； ? 加強(qiáng)內(nèi)網(wǎng)行為管理，通過(guò)軟硬體系，構(gòu)建全局安全網(wǎng)絡(luò)和統(tǒng)一威脅管理； ? 實(shí)現(xiàn)內(nèi)網(wǎng)實(shí)名制上網(wǎng)，對(duì)上網(wǎng)用戶進(jìn)行身份認(rèn)證； ? 實(shí)現(xiàn)終端設(shè)備 IP 地址、 MAC 地址、交換機(jī)端口綁定，有效防范 ARP欺騙、 ARP 病毒及攻擊； ? 實(shí)現(xiàn)基于應(yīng)用的多策略的流量監(jiān)控與控制； ? 在提供對(duì)外資源服務(wù)時(shí)，構(gòu)建服務(wù)器 DMZ 區(qū)、部署入侵檢測(cè)系統(tǒng)、 建設(shè)數(shù)據(jù)中心確保數(shù)據(jù)安全可靠。 四川省 XXX 院 信息安全 建設(shè)方案 9 成都 XXXX 信息技術(shù)有限公司 4 網(wǎng)絡(luò)及信息安全體系總體方案 設(shè)計(jì)原則 本 方案按以下原則設(shè)計(jì)和實(shí)施： ? 軟、硬結(jié)合 ，技術(shù)手段與管理制度結(jié)合 ； ? 重軟硬件的同時(shí)，必須強(qiáng)調(diào)安全意識(shí)的培養(yǎng)和 強(qiáng)化，網(wǎng)絡(luò) 和信息系統(tǒng) 安全問(wèn)題必須提高到政治高度 ； ? 內(nèi)外兼顧，重 外 來(lái)威脅防范的同時(shí)，強(qiáng)調(diào)內(nèi)部威脅管理，對(duì)內(nèi)部威脅來(lái)源嚴(yán)防死守 ； ? 立足現(xiàn)狀、預(yù)見(jiàn)未來(lái)，在能解決目前問(wèn)題的同時(shí)，必須有效預(yù)見(jiàn)將來(lái)會(huì)有的安全威脅 ； ? 事先防范、事后定位 、快速恢復(fù) ，在威脅變?yōu)槲：η?，加以防范，一旦出現(xiàn)危害，應(yīng)快速找出原因、分析了判斷故障，快速恢復(fù) 。 總體方案 針對(duì)我 單位 網(wǎng)絡(luò)安全所受威脅的分析，我們必須提出一個(gè)行之有效的解決方案，包括以下內(nèi)容： (1) 物理 拓?fù)?結(jié)構(gòu) 改造及 優(yōu)化； (2) 科學(xué)、合理的 IP 地址規(guī)劃 及 優(yōu)化； (3) 實(shí)施 出口安全實(shí)施 ； (4) 實(shí)施防病毒的軟 、硬方案； (5) 構(gòu)建全局安全網(wǎng)絡(luò)體系； (6) 確保 服務(wù)器與數(shù)據(jù)庫(kù)安全 ，建設(shè)數(shù)據(jù)中心，部署容災(zāi)容錯(cuò)備份系統(tǒng) ； (7) 實(shí)施 運(yùn)行 保障體系 。 四川省 XXX 院 信息安全 建設(shè)方案 10 成都 XXXX 信息技術(shù)有限公司 5 詳細(xì)設(shè)計(jì) 拓?fù)浣Y(jié)構(gòu)調(diào)整 光 纖 接 入出 口 路 由 器1000M安 全 接 入 交 換 機(jī)核 心 交 換 機(jī)100M防 火 墻 / 應(yīng) 用 控 制 引 擎數(shù) 據(jù) 中 心入 侵 檢 測(cè) 系 統(tǒng)服 務(wù) 器 D M Z 區(qū)安 全 網(wǎng) 關(guān) ( 防 毒 墻 ) 出口安全設(shè)計(jì) 應(yīng)部署專業(yè)防火墻設(shè)備。 出口 防火墻 應(yīng)具備擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及其它（如 URL 過(guò)濾、HTTP 透明代理、 SMTP 代理、分離 DNS、 NAT 功能和審計(jì) /報(bào)告等）附加功能。處理能力應(yīng)可達(dá) 1000Mbps。 應(yīng)支持支持?jǐn)U展的狀態(tài)檢測(cè)技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序 (如 VoIP、 H323 等 )時(shí)，可提供強(qiáng)有力的安全信道。 應(yīng)支持安全協(xié)議棧、具備強(qiáng)大的處理功能，在防范外網(wǎng)病毒和攻擊的同時(shí)，應(yīng)具備完整的內(nèi)網(wǎng)安全管理，能對(duì)用戶使用網(wǎng)絡(luò)的情況進(jìn)行實(shí)時(shí)監(jiān)控，并可及時(shí)隔離異常客戶端。 四川省 XXX 院 信息安全 建設(shè)方案 11 成都 XXXX 信息技術(shù)有限公司 網(wǎng)絡(luò)防病毒 內(nèi)容安全網(wǎng)關(guān) (防毒墻 ) 硬件安全網(wǎng)關(guān)透明接入防火墻和核心交換機(jī)之間，位于網(wǎng)絡(luò)咽喉，一臺(tái)設(shè)備可防護(hù)全網(wǎng)，同時(shí)在黨政網(wǎng)中任何一臺(tái)計(jì)算機(jī)可以進(jìn)行管理和配置。 開(kāi)啟防毒墻的 HTTP、 FTP、 SMTP、 POP3 等協(xié)議的掃描，可以防止瀏覽網(wǎng)頁(yè)、上傳下載和收發(fā)電子郵件帶來(lái)的病毒，同時(shí)阻斷進(jìn)出 Mail 服 務(wù)器的垃圾郵件，保證郵件服務(wù)器的安全和高效，還可以啟用內(nèi)容過(guò)濾模塊，對(duì)進(jìn)出服務(wù)器的內(nèi)容進(jìn)行過(guò)濾。 防毒墻通過(guò)輸入激活碼后，便可以每隔一小時(shí)自動(dòng)到網(wǎng)上更新。 同時(shí)自帶的冗余系統(tǒng)，可以保證系統(tǒng)自身的穩(wěn)定運(yùn)行，是網(wǎng)關(guān)防毒的首選產(chǎn)品。 企業(yè)級(jí)網(wǎng)絡(luò)版防病毒軟件 在網(wǎng)絡(luò)防病毒方面，可采用網(wǎng)絡(luò)版殺毒軟件。 應(yīng) 方便對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)配置和更新，這些計(jì)算機(jī)包括：工作站 、文件服務(wù)器 、 郵件服務(wù)器 、 SMTP 網(wǎng)關(guān)和邊界服務(wù)器。 它不僅 應(yīng) 抵御病毒，蠕蟲(chóng)和特洛依木馬，還防護(hù)新的 Inter 攻擊，如垃圾郵件 、 間諜程序 、 撥號(hào)器 、 黑客工具和惡作劇 等 ，以及針對(duì)系統(tǒng)漏洞，并提供保護(hù)阻止安全冒險(xiǎn)。 應(yīng) 具有不間斷保護(hù)功能，至少每天一次將已作的更新自動(dòng)分發(fā)到網(wǎng)絡(luò)中。這是由于采用了向用戶透明的新機(jī)制，其結(jié)果是提高了產(chǎn)品的質(zhì)量，使管理員可以集中精力到其它工作中 。 應(yīng)具備以下功能特性： ? 應(yīng)能 保護(hù)所有電子郵件通訊，保護(hù) 所有接收和發(fā)送的電子郵件通訊安全而免受病毒感染； ? 可 保護(hù)整個(gè)網(wǎng)絡(luò)的邊界，保護(hù)了 內(nèi) 網(wǎng)和 Inter 之間的所有連接； ? 可 抵擋所有類型的 Inter 攻擊，它包括客戶端桌面保護(hù)； ? 可 通過(guò)中央管理工具 ，從一臺(tái)計(jì)算機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的集中管理； 四川省 XXX 院 信息安全 建設(shè)方案 12 成都 XXXX 信息技術(shù)有限公司 ? 對(duì)于預(yù)計(jì)將大量傳播和感染的攻擊信息， 可 通過(guò)預(yù)先提示信息系統(tǒng)，發(fā)布最新詳細(xì)的相關(guān)信息 ； ? 可 每日自動(dòng)更新將抵擋新病毒。 構(gòu)建全局安全網(wǎng)絡(luò)體系 概述 根據(jù)現(xiàn)有需求，并考慮到未來(lái)的發(fā)展趨勢(shì)，需要建立一個(gè)統(tǒng)一的信息傳輸網(wǎng)絡(luò)， 以 滿足數(shù)據(jù)、語(yǔ)音、視頻、圖像、多媒體等相關(guān)信息的傳輸， 并 可實(shí)現(xiàn)辦公、財(cái)務(wù)各部門(mén)等正常地訪問(wèn)網(wǎng)絡(luò)，同時(shí)滿足內(nèi)部網(wǎng)絡(luò)之間的高速轉(zhuǎn)發(fā)。 網(wǎng)絡(luò)的總體設(shè)計(jì)思路是，采用星型 高速 以太網(wǎng)的網(wǎng)絡(luò)主體架構(gòu)。這樣架構(gòu)可以充分提高網(wǎng)絡(luò)的可擴(kuò)展性、易維護(hù)性以及穩(wěn)定性。 采用千兆主干，百兆到桌面的設(shè)計(jì)思路。采用“核心 — 匯 聚 — 接入”的三層網(wǎng)絡(luò)架構(gòu)，核心到匯聚、匯聚到接入交換 機(jī)均應(yīng) 采用千兆連接，同時(shí)通過(guò)匯聚層的安全功能，大大減輕核心層的路由、安全處理的壓力，提高整體網(wǎng)絡(luò)的性能。 (1)網(wǎng)絡(luò)出口采用防火墻 設(shè)備 ，提供 抵 抗外網(wǎng)攻擊等功能，有效地防止蠕蟲(chóng)等病毒的攻擊，同時(shí)還可以有效地防止 BT/電驢等對(duì)網(wǎng)絡(luò)帶寬的占用。 (2)核心層 可 沿用原有核心交換機(jī)。 (3)接入層 可升級(jí)為 安全智能交換機(jī)， 應(yīng)支持 豐富的 ACL 策略，防 ARP 欺騙功能等，提供豐富的安全策略，防止病毒對(duì)網(wǎng)絡(luò)的攻擊與危害 ， 并 能 提供千兆擴(kuò)展接口。 (4)部署一套 綜合 網(wǎng)絡(luò) 及安全 管理 軟件負(fù)責(zé)整個(gè)網(wǎng)絡(luò)設(shè)備、服務(wù)器及用戶 PC的拓?fù)浒l(fā)現(xiàn)和設(shè)備的管理，并做到實(shí)時(shí)的網(wǎng)絡(luò)流量監(jiān)控及預(yù)警功能，通過(guò)這套軟件可以讓網(wǎng)管人員足不出戶就可以管理到網(wǎng)絡(luò)中的每一臺(tái)設(shè)備和每