【文章內容簡介】 C2601路由器至XXXX公司工業(yè)，下聯(lián)S3026接入交換機連接終端。網(wǎng)絡骨干設備性能較差，擴展能力很弱。各區(qū)域存在結構層次不清晰、不合理之處。網(wǎng)絡核心交換S5516如果癱瘓，整個網(wǎng)絡通訊將斷開；服務器直接連接漏洞交換機，一旦設備出現(xiàn)故障則一號工程、內網(wǎng)管理等業(yè)務系統(tǒng)無法正常工作，將引起業(yè)務系統(tǒng)網(wǎng)絡通訊的中斷。. 網(wǎng)絡單點故障核心設備、上聯(lián)線路為單條線路，存在網(wǎng)絡單點故障隱患。上聯(lián)鏈路僅為一條電信專線，沒有其它冗余的廣域網(wǎng)鏈路，存在遠程接入鏈路單點故障。一號工程、內網(wǎng)管理服務器僅單線連接在樓層交換機上，樓層交換本身為單線連接核心交換，連接和訪問均為單線路，存在單點故障。. 網(wǎng)絡安全域劃分不明XXX單位一號工程、僅簡單的通過VLAN與辦公網(wǎng)其他主機劃分，并未采取其它防護措施的隔離，非常不利于隔離防護及后期的安全規(guī)劃建設。. 部分節(jié)點區(qū)域缺乏必要安全防護措施內部終端用戶訪問內部服務器、互聯(lián)網(wǎng)絡沒有有效的控制行為；能夠訪問互聯(lián)網(wǎng)的終端不能有效控制訪問帶寬并進行行為審計。此問題可與XXXX公司工業(yè)解決建議方案同時及解決。全網(wǎng)缺乏一套集中的安全運營管理中心，當前網(wǎng)絡設備、安全設備、主機及業(yè)務系統(tǒng)的日志及安全運行狀況監(jiān)控，僅由各自維護人員手工操作，直接登錄設備檢查分析。此問題可與XXXX公司工業(yè)解決建議方案同時解決。內網(wǎng)服務器區(qū)、生產(chǎn)服務器區(qū)缺乏業(yè)務審計設備，無法記錄關鍵的業(yè)務、維護操作行為。. 現(xiàn)有的安全技術防護手段 互聯(lián)網(wǎng)訪問通過專線到達XXXX公司工業(yè)后訪問，因此防護技術手段與XXXX公司工業(yè)相同； 內網(wǎng)部署了趨勢的網(wǎng)絡防病毒系統(tǒng)， 內網(wǎng)部署了圣博潤的內網(wǎng)管理系統(tǒng)，可對內部網(wǎng)絡終端進行接入管理、主機維護管理、補丁管理、主機行為審計等。. 技術體系規(guī)劃主要內容. 網(wǎng)絡安全域改造建設規(guī)劃. XXXX公司工業(yè)網(wǎng)絡系統(tǒng)規(guī)劃建議改造建議說明： 新增管理支撐域，作為整個網(wǎng)絡的設備和系統(tǒng)管理中心。 新增匯聚層網(wǎng)絡設施域，部署四臺三層交換機，核心部件采用冗余配置，作為整個網(wǎng)絡的匯聚層，這樣既便于接入?yún)^(qū)和服務區(qū)的訪問控制，又將生產(chǎn)區(qū)和辦公區(qū)進行了區(qū)分，并分擔了核心交換機的負擔。 在核心交換和新增的匯聚交換間部署防火墻進行服務域的訪問控制； 將原有的服務器使用VLAN方式劃分為核心服務域和一般服務域； 更換互聯(lián)網(wǎng)出口防火墻為安全網(wǎng)關，采用雙機冗余方式部署，并啟用IPS檢測、AV檢測功能，為對外提供服務的WEB和MAIL服務器制定保護策略； 在互聯(lián)網(wǎng)安全網(wǎng)關后增加上網(wǎng)行為管理系統(tǒng)，采用雙機冗余方式部署，對訪問互聯(lián)網(wǎng)的流量和訪問進行控制和審計； 將互聯(lián)網(wǎng)出口替換下的防火墻部署到單獨劃分的財務服務域前端，進行必要的訪問控制保護； 將XXX單位和西倉連接線路由原來的連接核心C6509改為連接新增加的匯聚層防火墻上，增加外部訪問的訪問控制。. XXX單位網(wǎng)絡系統(tǒng)改造建議 建議將核心交換更改為雙機冗余方式，可采取主備模式或者一臺設備冷備的方式； 單獨部署服務器交換機，可采取主備模式或者一臺設備冷備的方式，其中冷備設備可與核心備用機器為同一臺設備； 可考慮新增一條備用通訊線路，例如選用ADSL線路作為應急通訊線路，通過VPN方式與XXXX公司工業(yè)網(wǎng)絡進行通訊； 對于辦公網(wǎng)內接入交換上聯(lián)核心的線路可考慮部署雙線路方式，實現(xiàn)線路冗余，這樣可避免因為意外狀況造成線路中斷后的網(wǎng)絡中斷，接入交換設備可增加12臺冷備設備； 可在網(wǎng)絡邊界部署防火墻設備進行訪問控制。. 網(wǎng)絡安全設備建設規(guī)劃網(wǎng)絡安全設備分為邊界保護類，入侵檢測/防御類，終端保護等多種。網(wǎng)絡安全產(chǎn)品的類型是由網(wǎng)絡安全技術決定的，為了實現(xiàn)全面的安全防護，以不同的實體出現(xiàn)的安全設備要在技術上覆蓋所有的安全領域，也就是所有安全設備功能的總和在技術層面應該能夠防御目前網(wǎng)絡環(huán)境下所有安全威脅的總和。安全產(chǎn)品雖然不是安全防護體系的決定因素，卻是安全防御體系的基石。是實現(xiàn)系統(tǒng)化全方位網(wǎng)絡安全防護的必要條件。在充分分析目前XXXX公司工業(yè)已經(jīng)部署的網(wǎng)絡安全設備的前提下，又結合了風險評估的結果，以及安全域劃分和網(wǎng)絡改造的具體需求，得出了最終需要新增的網(wǎng)絡安全設備需求。此過程保證在設備層面實現(xiàn)安全技術體系。部署完成后，XXXX公司工業(yè)所有安全設備防護功能的總和在技術層面上將能夠滿足防護和應對目前已知安全威脅。同時滿足《XXXX行業(yè)行業(yè)信息安全保障體系建設指南》中在技術體系建設方面對網(wǎng)絡安全部分的要求。結合規(guī)劃的安全域，在新的安全環(huán)境下，規(guī)劃的安全設備部署示意圖如下：. 防火墻設備. 部署位置防火墻部署在核心層和匯聚層之間。如下圖所示。. 安全功能防火墻系統(tǒng)是進行安全域邊界防護的有效手段。需要部署防火墻將網(wǎng)絡分割成不同安全區(qū)域，并對核心業(yè)務系統(tǒng)形成縱深保護體系。在新增的匯聚網(wǎng)絡層和核心網(wǎng)絡層之間冗余部署四臺防火墻設備，實現(xiàn)生產(chǎn)接入域、辦公接入域和其他區(qū)域訪問的控制，生產(chǎn)接入域和辦公接入域之間的訪問控制。通過此次安全域的劃分和網(wǎng)絡改造，使防火墻主要可以起到如下幾類作用：216。 限制各個接入網(wǎng)絡對網(wǎng)絡設備的訪問。216。 限制接入網(wǎng)絡穿過的源。216。 限制接入網(wǎng)絡能訪問的目的。216。 限制接入網(wǎng)絡穿過的應用端口。216。 限制能提供的應用端口。. 安全網(wǎng)關設備. 部署位置一體化安全網(wǎng)關部署在互聯(lián)網(wǎng)出口處，做互聯(lián)網(wǎng)邊界綜合防護。如下圖所示。. 實現(xiàn)安全功能n 訪問控制IP地址過濾、MAC地址過濾、IP＋MAC綁定、用戶認證、流量整形、連接數(shù)控制等n IPS防御體系通過繼承的IPS功能，精確抵御黑客攻擊、蠕蟲、木馬、后門；抑制間諜軟件、灰色軟件、網(wǎng)絡釣魚的泛濫；并可有效防止拒絕服務攻擊。n 網(wǎng)絡防病毒能夠有效抵御文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件等。n 抗DoS攻擊采用特征控制和異?？刂葡嘟Y合的手段，有效保障抗拒絕服務攻擊的準確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為。. 上網(wǎng)行為管理設備. 部署位置上網(wǎng)行為管理部署在互聯(lián)網(wǎng)出口處。如下圖所示。. 安全功能P2P流量控制目前幾乎在所有組織中都存在著帶寬濫用和浪費的現(xiàn)象。尤其是在P2P技術出現(xiàn)之后，此問題更加嚴重和突出。XXXX公司工業(yè)也不例外，存在著P2P泛濫，帶寬濫用等現(xiàn)象。各種P2P應用占用了大量網(wǎng)絡帶寬(如BitTorrent，Kazza，Emule等)，消耗了網(wǎng)絡中的大量帶寬，隨之而來的是，由網(wǎng)絡鏈路擁塞引發(fā)的應用性能下降問題也日益嚴重，極大地影響了組織正常業(yè)務的開展及用戶正常網(wǎng)絡應用的服務質量。 因此必須對P2P的應用加以控制，例如提供最大帶寬限制、保證帶寬、帶寬租借、應用優(yōu)先級等一系列帶寬管理功能，最終可實現(xiàn)禁止使用P2P軟件或限制P2P軟件的可用帶寬，從而達到控制P2P流量的目標，將寶貴的、有限的帶寬資源保留給組織中關鍵的應用和業(yè)務。服務分級服務分級是一種帶寬管理的理解方式。也可以理解為某種程度上QoS。服務分級處理可以比喻為一個多車道并行的高速公路，其中各種不同的車輛都按照一定的規(guī)則行駛在不同的車道上，帶寬管理設備在這里就相當于分流的路口。比如，視頻點播業(yè)務需要很高的帶寬，并且要保證數(shù)據(jù)流的連續(xù)性，要達到這樣的要求，必須為其預留出單獨的高帶寬通道；而一般的郵件服務和聊天等占據(jù)很少帶寬的業(yè)務，可能會被分配為較低的優(yōu)先級，使用一個窄帶傳輸。同樣的，針對不同訪問需求的用戶也可以進行服務的分級處理，對帶寬要求高的人員可以獲得較多的帶寬，從而保證其訪問的需求。關鍵應用保障目前XXXX公司工業(yè)在應用方面已經(jīng)建立基于互聯(lián)網(wǎng)的Web和Mail系統(tǒng)，需要在應用層加以優(yōu)先保證。上網(wǎng)行為管理設備可以基于應用的重要程度進行帶寬資源的合理分配，從而保證重要的、時效性高的應用能夠獲得較多的帶寬，最終能夠保障關鍵應用的正常運行。. 業(yè)務安全審計設備. 部署位置網(wǎng)絡安全審計設備主要部署在核心業(yè)務區(qū)域，按照XXXX公司工業(yè)安全域的規(guī)劃，需要部署業(yè)務審計系統(tǒng)的位置為服務域（核心服務域+一般服務域），生產(chǎn)服務域（卷包中控、物流中控、制絲中控、動力中控），重點審計內容是人為通過網(wǎng)絡對各服務器系統(tǒng)、數(shù)據(jù)的訪問行為審計和控制，部署示意圖如下：服務域審計系統(tǒng)部署示意圖生產(chǎn)服務域審計系統(tǒng)部署示意圖. 安全功能n 滿足合規(guī)要求目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而銀行業(yè)則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求。XXXX公司工業(yè)面也面臨著合規(guī)性的要求。一是等級保護的要求；二是行業(yè)規(guī)范的要求。在國煙辦的147號文件中，明確要求部署網(wǎng)絡審計設備。n 有效減少核心信息資產(chǎn)的破壞和泄漏對企業(yè)的業(yè)務系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關鍵系統(tǒng)上（如數(shù)據(jù)庫服務器、應用服務器等），通過使用網(wǎng)絡安全審計系統(tǒng)，能夠加強對這些關鍵系統(tǒng)的審計，從而有效地減少對核心信息資產(chǎn)的破壞和泄漏。n 追蹤溯源，便于事后追查原因與界定責任一個單位里負責運維的部門通常擁有目標系統(tǒng)或者網(wǎng)絡設備的最高權限（例如掌握DBA帳號的口令），因而也承擔著很高的風險（誤操作或者是個別人員的惡意破壞）。由于目標系統(tǒng)不能區(qū)別不同人員使用同一個帳號進行維護操作，所以不能界定維護人員的真實身份。試用網(wǎng)絡安全審計系統(tǒng)提供基于角色的審計，能夠有效地區(qū)分不同維護人員的身份，便于事后追查原因與界定責任。n 直觀掌握業(yè)務系統(tǒng)運行的安全狀況業(yè)務系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網(wǎng)絡環(huán)境。對管理部門來說，網(wǎng)絡環(huán)境的安全狀況事關重大。網(wǎng)絡安全審計系統(tǒng)提供業(yè)務流量監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡環(huán)境的安全狀況。n 實現(xiàn)獨立審計與三權分立，完善IT內控機制從內控的角度來看，IT系統(tǒng)的使用權、管理權與監(jiān)督權必須三權分立。網(wǎng)絡安全審計系統(tǒng)基于網(wǎng)絡旁路監(jiān)聽的方式實現(xiàn)獨立的審計與三權分立，完善了IT內控機制。. 漏洞掃描設備. 部署位置漏洞掃描系統(tǒng)部署在管理支撐域，通過一個二層接入交換機接入到核心交換機，示意圖如下圖所示：. 安全功能216。 通過對網(wǎng)絡設備，操作系統(tǒng)，應用系統(tǒng)的掃描，有效了解系統(tǒng)弱點，為實施安全防護方案和制定安全管理策略提供依據(jù)和參考。216。 制定周期性掃描計劃，實現(xiàn)周期性的安全自評，為有效的風險管理提供參考和支持。. 補充設備部署由于系統(tǒng)已經(jīng)規(guī)劃部署了業(yè)務審計系統(tǒng)，為了防止各系統(tǒng)時間不同步，從而導致審計數(shù)據(jù)記錄時間不同，進而影響審計系統(tǒng)數(shù)據(jù)的參考價值，因此需要在內網(wǎng)部署時間同步服務器。由于該服務器架設比較簡單，在windows操作系統(tǒng)下即可輕松搭建NTP服務器，此處不再給出具體方案。. CA認證體系建設. 現(xiàn)狀XXXX公司工業(yè)目前暫無CA認證系統(tǒng)，但按照國家總局的統(tǒng)一建設要求，已經(jīng)將CA認證系統(tǒng)作為即將開始的項目。. 建設規(guī)劃目標通過建設CA認證體系，為業(yè)務應用系統(tǒng)提供穩(wěn)定可靠的信息安全服務，切實保障系統(tǒng)使用人員身份的真實性、信息傳輸?shù)谋Ｃ苄浴?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性，為信息化建設和發(fā)展奠定安全基礎。按照《國家XXXX行業(yè)專賣局辦公室關于印發(fā)XXXX行業(yè)行業(yè)CA認證體系建設方案的通知》(國煙辦綜〔2008〕116號)文件要求，結合自身實際情況，建立XXXX公司工業(yè)CA，是XXXX行業(yè)行業(yè)的二級CA，為本企業(yè)所屬范圍內的行業(yè)內人員，或者與本單位有業(yè)務聯(lián)系的單位及人員提供數(shù)字證書的發(fā)放和管理服務。. 建設規(guī)劃內容. CA認證體系平臺建設按照《XXXX行業(yè)行業(yè)CA認證體系建設方案》規(guī)范，XXXX公司工業(yè)行業(yè)CA認證體系項目由數(shù)字證書簽發(fā)服務平臺標準版、數(shù)字證書應用支撐平臺和數(shù)字證書系綜合監(jiān)管平臺組成，如下圖所示。參考上圖，本次建設的企業(yè)級數(shù)字證書簽發(fā)服務平臺標準版，主要建設內容包括CA、RA、KMC系統(tǒng)；數(shù)字證書應用支撐服務平臺，主要建設內容包括：簽名服務器、SSL安全代理服務器、身份認證系統(tǒng)、時間戳服務器；數(shù)字證書綜合監(jiān)管平臺，主要建設內容包括：數(shù)字證書備案系統(tǒng)、數(shù)字證書安全審計系統(tǒng)。如下圖所示：簽名服務器數(shù)字證書應用支撐平臺SSL安全代理服務器身份認證系統(tǒng)時間戳服務器數(shù)字證書備案系統(tǒng)數(shù)字證書綜合監(jiān)管平臺數(shù)字證書安全審計系統(tǒng)KMCCARA數(shù)字證書簽發(fā)服務平臺. CA認證體系應用建設 應用系統(tǒng)身份認證利用CA認證體系同現(xiàn)有應用系統(tǒng)的身份認證方式相結合，針對重要業(yè)務系統(tǒng)或重要崗位，進行身份驗證，保留登錄記錄，落實責任，方便管理。 綜合應用平臺單點登錄對已建設的信息系統(tǒng)進行整合和數(shù)據(jù)交流，并提供統(tǒng)一身份驗證平臺，實行信息門戶單點登錄。CA認證體系建設和該平臺相結合，使單點登錄系統(tǒng)更安全，并便于管理。 遠程VPN訪問身份認證由于營銷人員等分布全國各地，需要遠程訪問公司服務器。CA認證系統(tǒng)和VPN遠程訪問控制相結合，更能保障身份唯一性，并大幅提高互聯(lián)網(wǎng)訪問的安全性。. 數(shù)據(jù)安全保障. 建設規(guī)劃目標. 知識產(chǎn)權保障知識產(chǎn)權就是現(xiàn)代企業(yè)的生命，現(xiàn)在的企業(yè)越來越重視知識產(chǎn)權的保護，根據(jù)國家知識產(chǎn)權局的統(tǒng)計，每年知識產(chǎn)權相關的案件數(shù)量在以30%以上的速度進行遞增。保證知識產(chǎn)權，就相當于保障企業(yè)的生存空間。通過部署電子文檔安全系統(tǒng)，使得企業(yè)成為電子數(shù)據(jù)的真正所有者，保證企業(yè)知識產(chǎn)權。有效提高企業(yè)在市場上的競爭力。. 電子文檔管理流程優(yōu)化通過部署電子文檔安全系統(tǒng)，優(yōu)化文檔安全管理工作的效率，從前需要人工審核的部門由計算機網(wǎng)絡取代，提高了工作效率。同時，在服務器上備份所有的文件審查日志。數(shù)據(jù)的完整性、可靠性都得到了極大的提升，也減免了傳統(tǒng)的紙質備份保密資料給企業(yè)帶來的成本。. 建設規(guī)劃內容. 建議部署結構 在進行文檔保護系統(tǒng)部署結構時，考慮到必須保證業(yè)務的高可用性。因此，采用了雙服務端熱備設計，此舉能夠保證，在一臺服務器出現(xiàn)故障的時候，另一臺會接管故障服務器的工作，保證業(yè)務的可用性。 如果XXX單位和分支機構的網(wǎng)絡和總部的鏈路穩(wěn)定，那么可使分支結構客戶端直接聯(lián)入總部的服務端；如果分公司的網(wǎng)絡和總部的鏈路不穩(wěn)定，則可在