【正文】 應(yīng)用系統(tǒng)之間的安全策略根據(jù)應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)和應(yīng)用系統(tǒng)之間關(guān)系，制定了應(yīng)用系統(tǒng)之間的安全訪問規(guī)則。對應(yīng)的安全控制策略如下：n 劃分VLAN，隔離各應(yīng)用系統(tǒng)和各應(yīng)用系統(tǒng)內(nèi)部處在不同安全層次上的服務(wù)器；n 根據(jù)確定的類規(guī)則在VLAN上部署ACL。 客戶端與服務(wù)器之間的安全策略客戶端與服務(wù)器之間的安全控制，主要采用了部署專用硬件防火墻和設(shè)置客戶端和服務(wù)器之間的嚴(yán)格的訪問規(guī)則來實現(xiàn)。安全控制設(shè)計如下：n 在服務(wù)器區(qū)邊界部署專用硬件防火墻，防火墻采用雙機(jī)主備工作模式，保障系統(tǒng)可靠性；n 在防火墻上部署嚴(yán)格的安全控制策略，對數(shù)據(jù)流執(zhí)行雙向控制；n 確定客戶端和服務(wù)器之間的訪問規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上。 客戶端之間的安全策略在某分行局域網(wǎng)內(nèi)客戶端區(qū)，存在著管理類客戶端和業(yè)務(wù)1類客戶端，兩者之間的安全策略設(shè)計如下：n 在客戶端區(qū)劃分VLAN，管理類客戶端和業(yè)務(wù)1類客戶端分屬不同的VLAN；n 在管理類客戶端和業(yè)務(wù)1類客戶端的VLAN上部署ACL，限制兩類客戶端之間的互訪。 預(yù)防惡意代碼的安全策略網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發(fā)作時，對網(wǎng)絡(luò)安全有嚴(yán)重的影響。預(yù)防惡意代碼的安全控制策略如下：n 根據(jù)已知的各類惡意代碼，識別其傳輸特征，編寫相應(yīng)的ACL；n 把ACL部署在關(guān)鍵的控制點上，這些控制點包括：216。 各功能區(qū)的出口交換機(jī)上（防火墻默認(rèn)情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時，也可以部署在功能區(qū)內(nèi)各VLAN上，達(dá)到更進(jìn)一步控制惡意代碼傳播的目的。ACL單向部署，控制從區(qū)內(nèi)出（out）的流量。216。 在RTP區(qū)的上下聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這些端口出（out）和入（in）的流量。 網(wǎng)絡(luò)設(shè)備自身安全策略網(wǎng)絡(luò)設(shè)備自身安全防護(hù)，安全策略設(shè)計如下：n 物理安全：216。 安裝環(huán)境溫度、濕度、空氣潔凈度需要滿足設(shè)備正常運行條件；216。 禁止非授權(quán)人員物理接觸設(shè)備。n 網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認(rèn)有軟件Bug的網(wǎng)絡(luò)服務(wù)和可能對自身產(chǎn)生安全威脅的服務(wù)；n 加密設(shè)備密碼；n 用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對操作有相應(yīng)的授權(quán)、認(rèn)證和審計）n 網(wǎng)管SNMP安全，對SNMP訪問設(shè)置ACL控制，只允許許可范圍內(nèi)的IP地址通過SNMP管理設(shè)備。 分區(qū)安全策略的部署 核心區(qū)安全策略的部署核心區(qū)作為分行局域網(wǎng)高速交換區(qū)，不做過多的安全策略，只要求部署交換機(jī)自我保護(hù)策略。 服務(wù)器區(qū)安全策略的部署1. 控制客戶端對服務(wù)器的訪問各區(qū)域?qū)Ψ?wù)器區(qū)訪問要受到嚴(yán)格控制，控制策略在防火墻上雙向?qū)嵤?，控制策略參照下面的表格。業(yè)務(wù)1類WEB業(yè)務(wù)2類WEBOA WEB基礎(chǔ)設(shè)施類網(wǎng)管安管類Internet業(yè)務(wù)客戶端允許訪問禁止訪問禁止訪問禁止訪問允許訪問禁止訪問OA客戶端禁止訪問允許訪問允許訪問禁止訪問允許訪問允許訪問安全控制策略具體描述如下：l 業(yè)務(wù)1類客戶端能訪問業(yè)務(wù)1類WEB服務(wù)器。限定客戶ip地址段、應(yīng)用系統(tǒng)ip地址集、端口號集。l 業(yè)務(wù)1類客戶端能訪問網(wǎng)管安管類服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。l 管理類客戶端能訪問業(yè)務(wù)2類WEB、管理類WEB服務(wù)器和網(wǎng)管安管類服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。l 管理類客戶端能訪問Internet。不限制目標(biāo)的IP地址、端口，限制源IP地址2. 應(yīng)用系統(tǒng)服務(wù)器之間的訪問控制根據(jù)建行安全規(guī)范和應(yīng)用系統(tǒng)訪問需求，應(yīng)用系統(tǒng)間必須增加訪問控制，控制策略在服務(wù)器交換機(jī)上使用訪問控制列表實施，控制策略參照下。l 業(yè)務(wù)1和業(yè)務(wù)2互訪，業(yè)務(wù)1和基礎(chǔ)設(shè)施互訪。限定訪問源應(yīng)用系統(tǒng)主機(jī)IP地址集，目的應(yīng)用系統(tǒng)主機(jī)IP地址集，目的端口集。l 業(yè)務(wù)管理類和基礎(chǔ)設(shè)施能相互訪問。僅對應(yīng)用系統(tǒng)類別IP地址段進(jìn)行限制。l 網(wǎng)管安管和業(yè)務(wù)1互訪，網(wǎng)管安管和業(yè)務(wù)2互訪，網(wǎng)管安管和管理類互訪，網(wǎng)管安管和基礎(chǔ)設(shè)施互訪。不限制源IP地址，限制目標(biāo)的ip地址集、端口集。3. 預(yù)防惡意代碼服務(wù)器區(qū)不做惡意代碼防范，防惡意代碼工作實施在其他邊緣區(qū)域，保證惡意代碼不會侵犯到服務(wù)器區(qū)。4. 網(wǎng)絡(luò)設(shè)備自身安全保護(hù)為了防止對網(wǎng)絡(luò)設(shè)備的非法入侵，服務(wù)器區(qū)交換機(jī)和服務(wù)器區(qū)防火墻應(yīng)做好自我保護(hù)。5. 安全策略特例總推分應(yīng)用系統(tǒng)安全策略在部署中與上述原則有沖突，須向總行提出申請需求，總行將根據(jù)應(yīng)用需求修改安全策略方案。分行自建應(yīng)用系統(tǒng)按照總推分應(yīng)用系統(tǒng)安全策略調(diào)整。 客戶端區(qū)安全策略的部署客戶端區(qū)劃分VLAN，隔離業(yè)務(wù)1類客戶端和管理類客戶端，在兩類客戶端的VLAN上部署ACL，限制兩類客戶端之間的互訪。在客戶端區(qū)的出口交換機(jī)（匯聚交換機(jī)）連接核心區(qū)核心交換機(jī)端口上，部署防惡意代碼ACL，方向為out，單向部署。在客戶端區(qū)的網(wǎng)絡(luò)設(shè)備上，根據(jù)網(wǎng)絡(luò)設(shè)備自身安全策略設(shè)計，配置相應(yīng)的安全管理命令。 廣域網(wǎng)區(qū)安全策略的部署廣域網(wǎng)區(qū)安全策略在上聯(lián)和下聯(lián)路由器上實現(xiàn)，保持現(xiàn)有策略不變。 外聯(lián)區(qū)安全策略的部署外聯(lián)區(qū)保持現(xiàn)有策略不變，詳細(xì)參見《一級分行統(tǒng)一外聯(lián)平臺建設(shè)網(wǎng)絡(luò)技術(shù)規(guī)范_詳細(xì)設(shè)計規(guī)范》。 對已有安全策略的支持除在防火墻和交換機(jī)上配置詳細(xì)的安全訪問策略外，本項目必須遵守總行相關(guān)各項安全管理規(guī)定。如有沖突或例外，必須上報總行，經(jīng)批準(zhǔn)后才能執(zhí)行。第7章 割接方案 割接計劃割接對象：總部核心路由器、分支機(jī)構(gòu)上聯(lián)路由器割接時間：200X年X月X日 0：005：00參與人員：甲，電話： ，（客戶方工程負(fù)責(zé)人） 乙，電話： ，（施工方工程負(fù)責(zé)人） 丙，電話： ，（客戶方分支機(jī)構(gòu)配合人員） 丁，電話： ，（施工方分支機(jī)構(gòu)實施人員）割接過程中，如果出現(xiàn)嚴(yán)重影響業(yè)務(wù)的問題，允許排查時間：60分鐘。 準(zhǔn)備工作在正式割接之前，需要完成以下準(zhǔn)備工作：序號工作內(nèi)容要求完成時間操作人確認(rèn)人1制定割接方案，發(fā)給項目技術(shù)負(fù)責(zé)人或廠商進(jìn)行審查。割接前二周施工方客戶2客戶總部下文通知相關(guān)單位割接時間，下發(fā)割接方案。割接前一周客戶施工方3完成割接設(shè)備之間的線纜布放，測試線纜的連通性，設(shè)備之間不實際連接。割接前三天施工方客戶4完成新設(shè)備的配置，準(zhǔn)備好現(xiàn)網(wǎng)設(shè)備的配置變更腳本，確保配置的正確性。有條件時應(yīng)使用與現(xiàn)網(wǎng)設(shè)備類似型號的設(shè)備進(jìn)行割接演練。割接前二天施工方客戶5正式割接之前確認(rèn)現(xiàn)網(wǎng)設(shè)備、業(yè)務(wù)運行是否正常，如有問題應(yīng)先排除后再割接。割接前2小時施工方客戶6保存相關(guān)設(shè)備的運行配置，并備份至外部存儲介質(zhì)。割接前1小時客戶施工方7保存相關(guān)設(shè)備的運行狀態(tài)，便于割接后對比：display cpuusagedisplay memeoryusagedisplay ospf peerdisplay ip routingtable割接前30分鐘施工方客戶 割接步驟完成所有準(zhǔn)備工作后，可以開始正式割接，具體步驟如下： 總部：序號工作內(nèi)容開始完成時間操作人確認(rèn)人1通知分支機(jī)構(gòu)開始操作?？蛻羰┕し?完成線纜連接，原線纜保留，以便出現(xiàn)問題回退。施工方客戶3修改設(shè)備運行配置，但不保存施工方客戶4測試驗證，確認(rèn)割接后的路由、網(wǎng)絡(luò)連通性以及設(shè)備狀態(tài)是否正常（詳細(xì)內(nèi)容見《網(wǎng)絡(luò)割接業(yè)務(wù)測試報告》）。施工方客戶5通知相關(guān)部門進(jìn)行業(yè)務(wù)測試客戶施工方6如果一切正常，轉(zhuǎn)到5；如果出現(xiàn)問題， 回退步驟。施工方客戶7保存設(shè)備的運行配置。施工方客戶分支機(jī)構(gòu)：序號工作內(nèi)容開始完成時間操作人確認(rèn)人1接總部通知開始操作?？蛻羰┕し?完成線纜連接，原線纜保留，以便出現(xiàn)問題回退。施工方客戶3修改設(shè)備運行配置，但不保存施工方客戶4測試驗證，確認(rèn)割接后的路由、網(wǎng)絡(luò)連通性以及設(shè)備狀態(tài)是否正常（詳細(xì)內(nèi)容見《網(wǎng)絡(luò)割接業(yè)務(wù)測試報告》）。施工方客戶5通知相關(guān)部門進(jìn)行業(yè)務(wù)測試客戶施工方6如果一切正常，轉(zhuǎn)到5；如果出現(xiàn)問題， 回退步驟。施工方客戶7保存設(shè)備的運行配置。施工方客戶 回退步驟序號工作內(nèi)容所需時間實施人確認(rèn)人1故障排查。15分鐘施工方客戶2如果無法定位和解決問題，請示相關(guān)領(lǐng)導(dǎo)，啟動回退機(jī)制。5分鐘施工方客戶3重新啟動設(shè)備，恢復(fù)原配置，恢復(fù)原來的線纜連接。10分鐘施工方客戶4確認(rèn)設(shè)備工作狀態(tài)正常。10分鐘施工方客戶5確認(rèn)業(yè)務(wù)運行正常。10分鐘客戶施工方第8章 測試方案 測試項目序號測試項目編號測試項目測試子項目測試結(jié)論表示方式說明1HARD_01硬件測試硬件運行狀態(tài)測試OK：測試結(jié)果全部正確POK：測試結(jié)果大部分正確NG：測試結(jié)果有較大的錯誤NT：由于各種原因本次無法測試2HARD_02CPU和內(nèi)存測試3ROUT_01路由測試OSPF和BGP鄰居檢查4ROUT_02路由檢查5CONN_01連通性測試ICMP測試6REDU_01冗余性測試設(shè)備冗余性測試7REDU_02線路冗余性測試8APPL_01業(yè)務(wù)測試郵件測試9APPL_02主機(jī)訪問測試總項目數(shù)9 硬件測試 硬件運行狀態(tài)測試測試編號HARD_01_01測試目的檢查網(wǎng)絡(luò)設(shè)備的硬件運行狀態(tài)。測試工具PC測試對象總部骨干路由器預(yù)制條件割接完成測試步驟1．登錄到測試設(shè)備的命令行，查看硬件運行狀態(tài)：display device預(yù)期結(jié)果正常情況下，所有板卡、模塊顯示為normal。測試結(jié)果qOK qPOK qNG qNT備注測試編號HARD_01_02測試目的檢查網(wǎng)絡(luò)設(shè)備的硬件運行狀態(tài)。測試工具PC測試對象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測試步驟1．登錄到測試設(shè)備的命令行，查看硬件運行狀態(tài)：display device預(yù)期結(jié)果正常情況下，所有板卡、模塊顯示為normal。測試結(jié)果qOK qPOK qNG qNT備注 CPU和內(nèi)存檢查測試編號HARD_02_01測試目的檢查網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用情況。測試工具PC測試對象總部骨干路由器預(yù)制條件割接完成測試步驟1．登錄到測試設(shè)備的命令行，查看cpu、內(nèi)存使用率：display cpuusagedisplay memoryusage預(yù)期結(jié)果正常情況下，CPU使用率平均值應(yīng)該低于50%，內(nèi)存使用率應(yīng)該低于50%。CPU Usage 50%Memory Used Percentage 50%測試結(jié)果qOK qPOK qNG qNT備注測試編號HARD_02_02測試目的檢查網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用情況。測試工具PC測試對象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測試步驟1．登錄到測試設(shè)備的命令行，查看cpu、內(nèi)存使用率：display cpuusagedisplay memoryusage預(yù)期結(jié)果正常情況下，CPU使用率平均值應(yīng)該低于50%，內(nèi)存使用率應(yīng)該低于50%。CPU Usage 50%Memory Used Percentage 50%測試結(jié)果qOK qPOK qNG qNT備注 路由測試 OSPF和BGP鄰居檢查測試編號ROUT_01_01測試目的檢查OSPF和BGP的鄰居狀態(tài)。測試工具PC測試對象總部骨干路由器預(yù)制條件割接完成測試步驟1．在路由器上查看OSPF和BGP鄰居狀態(tài)：display ospf 1 peerdisplay bgp peer預(yù)期結(jié)果正常情況下，OSPF和BGP鄰居狀態(tài)如下：OSPF peer stateXXXXXXXXXXX FullXXXXXXXXXXX FullBGP peer stateXXXXXXXXXXXX EstablishedXXXXXXXXXXXX EstablishedXXXXXXXXXXXX EstablishedXXXXXXXXXXXX EstablishedXXXXXXXXXXXX Established測試結(jié)果qOK qPOK qNG qNT備注測試編號ROUT_01_02測試目的檢查OSPF和BGP的鄰居狀態(tài)。測試工具PC測試對象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測試步驟1．在路由器上查看OSPF和BGP鄰居狀態(tài)：display ospf 1 peerdisplay bgp peer預(yù)期結(jié)果