【正文】 r，部分設(shè)備也可由 Inter 訪問，但均不可由公網(wǎng)直接路由到，安全級(jí)別為中； 管理網(wǎng)接入求 負(fù)責(zé) 公司二級(jí)接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域的數(shù)據(jù)交互， 安全級(jí)別為高 ；中心服務(wù)器區(qū)域設(shè)備為 **核心數(shù)據(jù)，在公網(wǎng)不可以訪問，內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后 訪問特定服務(wù)，安全級(jí)別最高 。 **網(wǎng)絡(luò)改造項(xiàng)目 規(guī)劃方案 25 匯 聚 交 換 機(jī)接 入 層 安 全 級(jí) 別 示 意 圖接 入 交 換 機(jī) 接 入 交 換 機(jī)接 入 交 換 機(jī)接 入 交 換 機(jī)P C安 全 隔 離管 理 網(wǎng) （ M E S 、 O A ）安 全 級(jí) 別 高I n t e r n e t 接 入 終 端安 全 級(jí) 別 低P C P CP CP CP CP CP C 接入層的安全級(jí)別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的 Inter 接入終端的安全級(jí)別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級(jí)別較高。 . 子系統(tǒng)規(guī)劃 . 網(wǎng)絡(luò)隔離系統(tǒng) 1. 出口防火墻 通過部署兩臺(tái)千兆出口防火墻實(shí)現(xiàn) Inter 與 **內(nèi)網(wǎng)的隔離。兩臺(tái)防火墻一主一備，提高出口可靠性。 出口防火墻劃分的內(nèi)外網(wǎng)之間的訪問策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級(jí)；公網(wǎng)到 備 內(nèi)網(wǎng)只針 對(duì) DMZ 區(qū)域開放相應(yīng)端口（如 80）。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對(duì)這些需求打開相應(yīng)的 IP 和端口。 2. 內(nèi)網(wǎng) 防火墻 通過 內(nèi)網(wǎng) 防火墻實(shí)現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺(tái)防火墻采用雙活方式工作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實(shí)現(xiàn)數(shù)據(jù)流的動(dòng)態(tài)分擔(dān)。實(shí)現(xiàn)安全的同時(shí)兼顧傳輸效率。 部署 內(nèi)網(wǎng) 防火墻后，要針對(duì)業(yè)務(wù)的情況制訂特定的訪問策略，策略制定完成后只開放特定主機(jī)的 IP 與服務(wù)端口，其他訪問一律禁止。 **網(wǎng)絡(luò)改造項(xiàng)目 規(guī)劃方案 26 . 入侵檢測(cè)系統(tǒng) **網(wǎng)絡(luò) 系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)（ IPS）。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺(tái) IPS 設(shè)備?？杀O(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對(duì) DMZ 區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入 /DMZ 區(qū)域終端對(duì)核心內(nèi)網(wǎng)的數(shù)據(jù)交互。 . 漏洞掃描系統(tǒng) 為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的有力工具。 針對(duì)本系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對(duì)待評(píng)估系統(tǒng)進(jìn)行訪問。 漏洞掃描系統(tǒng) 部署后，將會(huì)對(duì) **的各個(gè) 業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進(jìn)行掃描，根據(jù)掃描評(píng)估結(jié)果可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)采取措施。 . 安管平臺(tái)系統(tǒng) 安全管理審計(jì)工作作為安全體系的重要組成部分，需要部署安全管理平臺(tái)系統(tǒng)。其中安全管理平臺(tái)服務(wù)器部署在 **核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護(hù)，外網(wǎng)用戶不允許訪問該服務(wù)器。被管對(duì)象和安全管理平臺(tái)服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達(dá)。 本次安全管理平臺(tái)需要管理重要服務(wù)器和所有安全設(shè)備，收集日志后并做出分析，分出告警級(jí)別。也可以通過聲光電或郵件、短信等方式報(bào)警，及時(shí)提醒管理員。 . 防病毒系統(tǒng) 防 病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計(jì)的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進(jìn)行設(shè)計(jì)和考慮。 通過分析 **網(wǎng)絡(luò) 系統(tǒng)的特點(diǎn)，可以總結(jié)病毒感染的途徑如下： ? 部分服務(wù)器如 windows 平臺(tái)容易受到病毒攻擊； **網(wǎng)絡(luò)改造項(xiàng)目 規(guī)劃方案 27 ? 公司內(nèi)部員工 若有訪問互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過 HTTP、FTP 等流量把病毒和惡意的移動(dòng)代碼帶入網(wǎng)站； ? 通過 U 盤傳播病毒； ? 各種蠕蟲病毒主動(dòng)地通過網(wǎng)絡(luò)傳播。 從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護(hù)的主體著手，根據(jù)他們之間的訪問關(guān)系施加防護(hù)及病毒監(jiān)控。 本次方案 防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)系統(tǒng)中的關(guān)鍵服務(wù)器以及 內(nèi)部 終端進(jìn)行病毒防護(hù)，嚴(yán)防病毒感染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。 . 統(tǒng)一用戶 /身份管理 用戶是 IT 系統(tǒng)中各類活動(dòng)的實(shí)體，如人、組織、虛擬團(tuán)隊(duì)等。用戶管理是指在IT 系統(tǒng)中對(duì)用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認(rèn)證等，身份管理是基礎(chǔ)，用戶授權(quán)和認(rèn)證是之上的服務(wù)。身份是一個(gè)實(shí)體區(qū)別于其它實(shí)體的特性，IT 系統(tǒng)中的身份通常指 一個(gè)人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實(shí)體的抽象，是屬于一個(gè)特定的實(shí)體的屬性的集合。身份屬性具有一些特點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。 身份管理就是產(chǎn)生和維護(hù)身份屬性的過程，也是管理不同實(shí)體之間關(guān)系的能力。身份管理（ Identity Management）是用戶管理 (User Administration)的一部分。 統(tǒng)一用戶管理（ UUM）就是對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺(tái)提供一個(gè)單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時(shí)經(jīng)過統(tǒng)一用戶管理平臺(tái) 認(rèn)證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時(shí)統(tǒng)一用戶管理平臺(tái)還提供對(duì)長時(shí)間無應(yīng)用操作的超時(shí)重認(rèn)證功能，更加可靠的保證安全。 統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安全性能更高的 CA、 USB Key 等，使用戶在使用統(tǒng)一身份認(rèn)證平臺(tái)上有更靈活的選擇。在認(rèn)證手段上，統(tǒng)一用戶管理提供支持 LDAP/AD 協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶信息的安全、可靠。 **網(wǎng)絡(luò)改造項(xiàng)目 規(guī)劃方案 28 . 單點(diǎn)登錄 單點(diǎn)登錄（ SSO， Single Signon）是一種方便用戶訪問多個(gè)系統(tǒng)的技術(shù)，用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以在多個(gè) 系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點(diǎn)登錄的實(shí)質(zhì)就是安全上下文（ Security Context）或憑證（ Credential）在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登錄系統(tǒng)時(shí)，客戶端軟件根據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個(gè)安全上下文，安全上下文包含用于驗(yàn)證用戶的安全信息，系統(tǒng)用這個(gè)安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。 目前業(yè)界已有很多產(chǎn)品支持 SSO，但各家 SSO 產(chǎn)品的實(shí)現(xiàn)方式也不盡相同。如通過 Cookie 記錄認(rèn)證信息，通過 Session 共享認(rèn)證信 息。 Cookie 是一種客戶端機(jī)制，它存儲(chǔ)的內(nèi)容主要包括：名字、值、過期時(shí)間、路徑和域，路徑與域合在一起就構(gòu)成了 Cookie 的作用范圍，因此用 Cookie 方式可實(shí)現(xiàn) SSO，但域名必須相同；Session 是一種服務(wù)器端機(jī)制，當(dāng)客戶端訪問服務(wù)器時(shí)，服務(wù)器為客戶端創(chuàng)建一個(gè)惟一的 SessionID，以使在整個(gè)交互過程中始終保持狀態(tài)，而交互的信息則可由應(yīng)用自行指定，因此用 Session 方式實(shí)現(xiàn) SSO，不能在多個(gè)瀏覽器之間實(shí)現(xiàn)單點(diǎn)登錄，但卻可以跨域。 . 上網(wǎng)行為管理系統(tǒng) 針對(duì) 內(nèi)部 上網(wǎng)的人員，一方面從安全角度考慮，需對(duì)網(wǎng)站資 源進(jìn)行篩選過濾，**網(wǎng)絡(luò)改造項(xiàng)目 規(guī)劃方案 29 對(duì)非授權(quán)人員訪問互聯(lián)網(wǎng)，以及 內(nèi)部 人員訪問惡意站點(diǎn)等行為進(jìn)行阻斷；另一方面從管理角度考慮，需對(duì) 內(nèi)部 人員上網(wǎng)方式進(jìn)行管理，使上網(wǎng)訪問資源可控。 針對(duì)這種需求，我們建議將上網(wǎng)行為管理設(shè)備部署在互聯(lián)網(wǎng)出口處。對(duì)所有上網(wǎng)終端進(jìn)行安全防護(hù)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管理、過濾和審計(jì)，可通過用戶身份認(rèn)證、上網(wǎng)時(shí)間管理、網(wǎng)頁訪問控制、 IM 管理、郵件管理、論壇管理、 P2P管理、游戲管理等方式對(duì)上網(wǎng)行為進(jìn)行限制和審計(jì)。 . 終端安全管理系統(tǒng) 由于目前互聯(lián)網(wǎng)安全問題突出，針對(duì)內(nèi)部上網(wǎng)終端只有防病毒系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。 需要對(duì)終端安全情況進(jìn)行統(tǒng)一管理，包括硬件資產(chǎn)管理、補(bǔ)丁管理、軟件管理、進(jìn)程管理、安全軟件管理等。對(duì)終端的安全情況進(jìn)行加固后方允許接入網(wǎng)絡(luò)，否則不允許接入。提高整個(gè)內(nèi)部局域網(wǎng)的安全準(zhǔn)入能力。 . 時(shí)鐘系統(tǒng) 由于對(duì)數(shù)據(jù)庫的訪問需要各業(yè)務(wù)系統(tǒng)保證時(shí)鐘的統(tǒng)一，因此建議在網(wǎng)絡(luò)中部署一臺(tái)時(shí)鐘服務(wù)器，網(wǎng)絡(luò)中其它設(shè)備通過 NTP 協(xié)議將自己的時(shí)鐘與該服務(wù)器上的時(shí)間信息進(jìn)行同步，從而統(tǒng)一內(nèi)網(wǎng)服務(wù)器的時(shí)間。在為信息系統(tǒng)時(shí)鐘系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，充分考慮到時(shí)鐘系統(tǒng)的可靠性與準(zhǔn)確性，保證內(nèi)網(wǎng)的時(shí)間是準(zhǔn)確和穩(wěn)定的。 . 設(shè)備 選型 建議 產(chǎn)品選型信息如下 表所示： 序號(hào) 產(chǎn)品名稱 選型建議 配置描述 數(shù)量 1 防火墻 網(wǎng)御 Power V3220UTM 或啟明星辰 2020D 標(biāo)準(zhǔn) 2U 機(jī)箱，冗余電源，配 4 個(gè)10/100/1000MBaseT 接口 ,可選配 IPS、 VPN 和防病毒模塊 6 2 入侵防御設(shè)備 天清入侵防御系統(tǒng) NIPS3060D 包括 NIPS3060D 硬件平臺(tái)一臺(tái)， NIPS3060D 千兆檢測(cè)引擎軟件一套，天清入侵防御系統(tǒng) NIPS 數(shù)據(jù)中心軟件一套，帶一年的入侵防御特征庫升級(jí)授權(quán) 2 3 鏈路負(fù)載均衡設(shè)備 Array3520N APV3520 NetVelocity Edition 鏈路負(fù)載均衡 ,12千兆電口 +4 千兆光口 (SFP， LC，多模 )，冗余電 4 **網(wǎng)絡(luò)改造項(xiàng)目 規(guī)劃方案 30 序號(hào) 產(chǎn)品名稱 選型建議 配置描述 數(shù)量 源 4 應(yīng)用負(fù)載均衡設(shè)備 般固BGADC2020L 8 個(gè) 10/100/1000Mbps 端口， 4 個(gè)可選千兆光纖端口， 1 個(gè) Core 2 Duo 處理器， 4GB 內(nèi)存， 220V AC 冗余電源 2 5 時(shí)鐘系統(tǒng) DNTS82OG GPS,雙網(wǎng)口 10/100M 內(nèi)置恒溫晶振 ,高精度保持 ,LCD,RS232/485,1pps,本地告警 ,機(jī)架式 1 6 漏洞掃描系統(tǒng) 綠盟 NSFOCUS RSAS X 綠盟 NSFOCUS RSAS X 遠(yuǎn)程安全評(píng)估系統(tǒng)，硬件產(chǎn)品，支持 256 個(gè) IP 掃描，三年服務(wù) 1 7 統(tǒng)一認(rèn)證和單點(diǎn)登錄系統(tǒng) 統(tǒng)一認(rèn)證系統(tǒng) 統(tǒng)一認(rèn)證系統(tǒng)含 50 用戶 USBKey 1 8 安管平臺(tái)系統(tǒng) 啟明星辰安全管理中心軟件 啟明星辰安全管理中心軟件，包含事件收集、事件監(jiān)控、域與資產(chǎn)管理、風(fēng)險(xiǎn)管理、告警和預(yù)警、報(bào)表管理等模塊，支持 20 臺(tái)安全設(shè)備管理 1 9 防病毒系統(tǒng) 瑞星企業(yè)專用版防病毒系統(tǒng) 瑞星企業(yè)專用版防病毒系統(tǒng)， 5 個(gè)服務(wù)器端， 1 個(gè)管理中心， 25 個(gè)客戶端 1 10 上網(wǎng)行為管理系統(tǒng) 深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)SG6500L 包括上網(wǎng)加速、帶寬管理、上網(wǎng)安全、上網(wǎng)認(rèn)證、上網(wǎng)代理、訪問控制、外發(fā)管理、審計(jì)、監(jiān)控、報(bào)表 2 11 終端安全管理系統(tǒng) 北信源或 BTA終端安全管理系統(tǒng) 終端安全管理軟件， 3000 客戶端 1