【正文】 應(yīng)用系統(tǒng)之間的安全策略根據(jù)應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)和應(yīng)用系統(tǒng)之間關(guān)系，制定了應(yīng)用系統(tǒng)之間的安全訪問(wèn)規(guī)則。對(duì)應(yīng)的安全控制策略如下：n 劃分VLAN，隔離各應(yīng)用系統(tǒng)和各應(yīng)用系統(tǒng)內(nèi)部處在不同安全層次上的服務(wù)器；n 根據(jù)確定的類規(guī)則在VLAN上部署ACL。 客戶端與服務(wù)器之間的安全策略客戶端與服務(wù)器之間的安全控制，主要采用了部署專用硬件防火墻和設(shè)置客戶端和服務(wù)器之間的嚴(yán)格的訪問(wèn)規(guī)則來(lái)實(shí)現(xiàn)。安全控制設(shè)計(jì)如下：n 在服務(wù)器區(qū)邊界部署專用硬件防火墻，防火墻采用雙機(jī)主備工作模式，保障系統(tǒng)可靠性；n 在防火墻上部署嚴(yán)格的安全控制策略，對(duì)數(shù)據(jù)流執(zhí)行雙向控制；n 確定客戶端和服務(wù)器之間的訪問(wèn)規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上。 客戶端之間的安全策略在某分行局域網(wǎng)內(nèi)客戶端區(qū)，存在著管理類客戶端和業(yè)務(wù)1類客戶端，兩者之間的安全策略設(shè)計(jì)如下：n 在客戶端區(qū)劃分VLAN，管理類客戶端和業(yè)務(wù)1類客戶端分屬不同的VLAN；n 在管理類客戶端和業(yè)務(wù)1類客戶端的VLAN上部署ACL，限制兩類客戶端之間的互訪。 預(yù)防惡意代碼的安全策略網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發(fā)作時(shí)，對(duì)網(wǎng)絡(luò)安全有嚴(yán)重的影響。預(yù)防惡意代碼的安全控制策略如下：n 根據(jù)已知的各類惡意代碼，識(shí)別其傳輸特征，編寫相應(yīng)的ACL；n 把ACL部署在關(guān)鍵的控制點(diǎn)上，這些控制點(diǎn)包括：216。 各功能區(qū)的出口交換機(jī)上（防火墻默認(rèn)情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時(shí)，也可以部署在功能區(qū)內(nèi)各VLAN上，達(dá)到更進(jìn)一步控制惡意代碼傳播的目的。ACL單向部署，控制從區(qū)內(nèi)出（out）的流量。216。 在RTP區(qū)的上下聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這些端口出（out）和入（in）的流量。 網(wǎng)絡(luò)設(shè)備自身安全策略網(wǎng)絡(luò)設(shè)備自身安全防護(hù)，安全策略設(shè)計(jì)如下：n 物理安全：216。 安裝環(huán)境溫度、濕度、空氣潔凈度需要滿足設(shè)備正常運(yùn)行條件；216。 禁止非授權(quán)人員物理接觸設(shè)備。n 網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認(rèn)有軟件Bug的網(wǎng)絡(luò)服務(wù)和可能對(duì)自身產(chǎn)生安全威脅的服務(wù)；n 加密設(shè)備密碼；n 用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對(duì)操作有相應(yīng)的授權(quán)、認(rèn)證和審計(jì)）n 網(wǎng)管SNMP安全，對(duì)SNMP訪問(wèn)設(shè)置ACL控制，只允許許可范圍內(nèi)的IP地址通過(guò)SNMP管理設(shè)備。 分區(qū)安全策略的部署 核心區(qū)安全策略的部署核心區(qū)作為分行局域網(wǎng)高速交換區(qū)，不做過(guò)多的安全策略，只要求部署交換機(jī)自我保護(hù)策略。 服務(wù)器區(qū)安全策略的部署1. 控制客戶端對(duì)服務(wù)器的訪問(wèn)各區(qū)域?qū)Ψ?wù)器區(qū)訪問(wèn)要受到嚴(yán)格控制，控制策略在防火墻上雙向?qū)嵤?，控制策略參照下面的表格。業(yè)務(wù)1類WEB業(yè)務(wù)2類WEBOA WEB基礎(chǔ)設(shè)施類網(wǎng)管安管類Internet業(yè)務(wù)客戶端允許訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)允許訪問(wèn)禁止訪問(wèn)OA客戶端禁止訪問(wèn)允許訪問(wèn)允許訪問(wèn)禁止訪問(wèn)允許訪問(wèn)允許訪問(wèn)安全控制策略具體描述如下：l 業(yè)務(wù)1類客戶端能訪問(wèn)業(yè)務(wù)1類WEB服務(wù)器。限定客戶ip地址段、應(yīng)用系統(tǒng)ip地址集、端口號(hào)集。l 業(yè)務(wù)1類客戶端能訪問(wèn)網(wǎng)管安管類服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。l 管理類客戶端能訪問(wèn)業(yè)務(wù)2類WEB、管理類WEB服務(wù)器和網(wǎng)管安管類服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。l 管理類客戶端能訪問(wèn)Internet。不限制目標(biāo)的IP地址、端口，限制源IP地址2. 應(yīng)用系統(tǒng)服務(wù)器之間的訪問(wèn)控制根據(jù)建行安全規(guī)范和應(yīng)用系統(tǒng)訪問(wèn)需求，應(yīng)用系統(tǒng)間必須增加訪問(wèn)控制，控制策略在服務(wù)器交換機(jī)上使用訪問(wèn)控制列表實(shí)施，控制策略參照下。l 業(yè)務(wù)1和業(yè)務(wù)2互訪，業(yè)務(wù)1和基礎(chǔ)設(shè)施互訪。限定訪問(wèn)源應(yīng)用系統(tǒng)主機(jī)IP地址集，目的應(yīng)用系統(tǒng)主機(jī)IP地址集，目的端口集。l 業(yè)務(wù)管理類和基礎(chǔ)設(shè)施能相互訪問(wèn)。僅對(duì)應(yīng)用系統(tǒng)類別IP地址段進(jìn)行限制。l 網(wǎng)管安管和業(yè)務(wù)1互訪，網(wǎng)管安管和業(yè)務(wù)2互訪，網(wǎng)管安管和管理類互訪，網(wǎng)管安管和基礎(chǔ)設(shè)施互訪。不限制源IP地址，限制目標(biāo)的ip地址集、端口集。3. 預(yù)防惡意代碼服務(wù)器區(qū)不做惡意代碼防范，防惡意代碼工作實(shí)施在其他邊緣區(qū)域，保證惡意代碼不會(huì)侵犯到服務(wù)器區(qū)。4. 網(wǎng)絡(luò)設(shè)備自身安全保護(hù)為了防止對(duì)網(wǎng)絡(luò)設(shè)備的非法入侵，服務(wù)器區(qū)交換機(jī)和服務(wù)器區(qū)防火墻應(yīng)做好自我保護(hù)。5. 安全策略特例總推分應(yīng)用系統(tǒng)安全策略在部署中與上述原則有沖突，須向總行提出申請(qǐng)需求，總行將根據(jù)應(yīng)用需求修改安全策略方案。分行自建應(yīng)用系統(tǒng)按照總推分應(yīng)用系統(tǒng)安全策略調(diào)整。 客戶端區(qū)安全策略的部署客戶端區(qū)劃分VLAN，隔離業(yè)務(wù)1類客戶端和管理類客戶端，在兩類客戶端的VLAN上部署ACL，限制兩類客戶端之間的互訪。在客戶端區(qū)的出口交換機(jī)（匯聚交換機(jī)）連接核心區(qū)核心交換機(jī)端口上，部署防惡意代碼ACL，方向?yàn)閛ut，單向部署。在客戶端區(qū)的網(wǎng)絡(luò)設(shè)備上，根據(jù)網(wǎng)絡(luò)設(shè)備自身安全策略設(shè)計(jì)，配置相應(yīng)的安全管理命令。 廣域網(wǎng)區(qū)安全策略的部署廣域網(wǎng)區(qū)安全策略在上聯(lián)和下聯(lián)路由器上實(shí)現(xiàn)，保持現(xiàn)有策略不變。 外聯(lián)區(qū)安全策略的部署外聯(lián)區(qū)保持現(xiàn)有策略不變，詳細(xì)參見《一級(jí)分行統(tǒng)一外聯(lián)平臺(tái)建設(shè)網(wǎng)絡(luò)技術(shù)規(guī)范_詳細(xì)設(shè)計(jì)規(guī)范》。 對(duì)已有安全策略的支持除在防火墻和交換機(jī)上配置詳細(xì)的安全訪問(wèn)策略外，本項(xiàng)目必須遵守總行相關(guān)各項(xiàng)安全管理規(guī)定。如有沖突或例外，必須上報(bào)總行，經(jīng)批準(zhǔn)后才能執(zhí)行。第7章 割接方案 割接計(jì)劃割接對(duì)象：總部核心路由器、分支機(jī)構(gòu)上聯(lián)路由器割接時(shí)間：200X年X月X日 0：005：00參與人員：甲，電話： ，（客戶方工程負(fù)責(zé)人） 乙，電話： ，（施工方工程負(fù)責(zé)人） 丙，電話： ，（客戶方分支機(jī)構(gòu)配合人員） 丁，電話： ，（施工方分支機(jī)構(gòu)實(shí)施人員）割接過(guò)程中，如果出現(xiàn)嚴(yán)重影響業(yè)務(wù)的問(wèn)題，允許排查時(shí)間：60分鐘。 準(zhǔn)備工作在正式割接之前，需要完成以下準(zhǔn)備工作：序號(hào)工作內(nèi)容要求完成時(shí)間操作人確認(rèn)人1制定割接方案，發(fā)給項(xiàng)目技術(shù)負(fù)責(zé)人或廠商進(jìn)行審查。割接前二周施工方客戶2客戶總部下文通知相關(guān)單位割接時(shí)間，下發(fā)割接方案。割接前一周客戶施工方3完成割接設(shè)備之間的線纜布放，測(cè)試線纜的連通性，設(shè)備之間不實(shí)際連接。割接前三天施工方客戶4完成新設(shè)備的配置，準(zhǔn)備好現(xiàn)網(wǎng)設(shè)備的配置變更腳本，確保配置的正確性。有條件時(shí)應(yīng)使用與現(xiàn)網(wǎng)設(shè)備類似型號(hào)的設(shè)備進(jìn)行割接演練。割接前二天施工方客戶5正式割接之前確認(rèn)現(xiàn)網(wǎng)設(shè)備、業(yè)務(wù)運(yùn)行是否正常，如有問(wèn)題應(yīng)先排除后再割接。割接前2小時(shí)施工方客戶6保存相關(guān)設(shè)備的運(yùn)行配置，并備份至外部存儲(chǔ)介質(zhì)。割接前1小時(shí)客戶施工方7保存相關(guān)設(shè)備的運(yùn)行狀態(tài)，便于割接后對(duì)比：display cpuusagedisplay memeoryusagedisplay ospf peerdisplay ip routingtable割接前30分鐘施工方客戶 割接步驟完成所有準(zhǔn)備工作后，可以開始正式割接，具體步驟如下： 總部：序號(hào)工作內(nèi)容開始完成時(shí)間操作人確認(rèn)人1通知分支機(jī)構(gòu)開始操作。客戶施工方2完成線纜連接，原線纜保留，以便出現(xiàn)問(wèn)題回退。施工方客戶3修改設(shè)備運(yùn)行配置，但不保存施工方客戶4測(cè)試驗(yàn)證，確認(rèn)割接后的路由、網(wǎng)絡(luò)連通性以及設(shè)備狀態(tài)是否正常（詳細(xì)內(nèi)容見《網(wǎng)絡(luò)割接業(yè)務(wù)測(cè)試報(bào)告》）。施工方客戶5通知相關(guān)部門進(jìn)行業(yè)務(wù)測(cè)試客戶施工方6如果一切正常，轉(zhuǎn)到5；如果出現(xiàn)問(wèn)題， 回退步驟。施工方客戶7保存設(shè)備的運(yùn)行配置。施工方客戶分支機(jī)構(gòu)：序號(hào)工作內(nèi)容開始完成時(shí)間操作人確認(rèn)人1接總部通知開始操作。客戶施工方2完成線纜連接，原線纜保留，以便出現(xiàn)問(wèn)題回退。施工方客戶3修改設(shè)備運(yùn)行配置，但不保存施工方客戶4測(cè)試驗(yàn)證，確認(rèn)割接后的路由、網(wǎng)絡(luò)連通性以及設(shè)備狀態(tài)是否正常（詳細(xì)內(nèi)容見《網(wǎng)絡(luò)割接業(yè)務(wù)測(cè)試報(bào)告》）。施工方客戶5通知相關(guān)部門進(jìn)行業(yè)務(wù)測(cè)試客戶施工方6如果一切正常，轉(zhuǎn)到5；如果出現(xiàn)問(wèn)題， 回退步驟。施工方客戶7保存設(shè)備的運(yùn)行配置。施工方客戶 回退步驟序號(hào)工作內(nèi)容所需時(shí)間實(shí)施人確認(rèn)人1故障排查。15分鐘施工方客戶2如果無(wú)法定位和解決問(wèn)題，請(qǐng)示相關(guān)領(lǐng)導(dǎo)，啟動(dòng)回退機(jī)制。5分鐘施工方客戶3重新啟動(dòng)設(shè)備，恢復(fù)原配置，恢復(fù)原來(lái)的線纜連接。10分鐘施工方客戶4確認(rèn)設(shè)備工作狀態(tài)正常。10分鐘施工方客戶5確認(rèn)業(yè)務(wù)運(yùn)行正常。10分鐘客戶施工方第8章 測(cè)試方案 測(cè)試項(xiàng)目序號(hào)測(cè)試項(xiàng)目編號(hào)測(cè)試項(xiàng)目測(cè)試子項(xiàng)目測(cè)試結(jié)論表示方式說(shuō)明1HARD_01硬件測(cè)試硬件運(yùn)行狀態(tài)測(cè)試OK：測(cè)試結(jié)果全部正確POK：測(cè)試結(jié)果大部分正確NG：測(cè)試結(jié)果有較大的錯(cuò)誤NT：由于各種原因本次無(wú)法測(cè)試2HARD_02CPU和內(nèi)存測(cè)試3ROUT_01路由測(cè)試OSPF和BGP鄰居檢查4ROUT_02路由檢查5CONN_01連通性測(cè)試ICMP測(cè)試6REDU_01冗余性測(cè)試設(shè)備冗余性測(cè)試7REDU_02線路冗余性測(cè)試8APPL_01業(yè)務(wù)測(cè)試郵件測(cè)試9APPL_02主機(jī)訪問(wèn)測(cè)試總項(xiàng)目數(shù)9 硬件測(cè)試 硬件運(yùn)行狀態(tài)測(cè)試測(cè)試編號(hào)HARD_01_01測(cè)試目的檢查網(wǎng)絡(luò)設(shè)備的硬件運(yùn)行狀態(tài)。測(cè)試工具PC測(cè)試對(duì)象總部骨干路由器預(yù)制條件割接完成測(cè)試步驟1．登錄到測(cè)試設(shè)備的命令行，查看硬件運(yùn)行狀態(tài)：display device預(yù)期結(jié)果正常情況下，所有板卡、模塊顯示為normal。測(cè)試結(jié)果qOK qPOK qNG qNT備注測(cè)試編號(hào)HARD_01_02測(cè)試目的檢查網(wǎng)絡(luò)設(shè)備的硬件運(yùn)行狀態(tài)。測(cè)試工具PC測(cè)試對(duì)象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測(cè)試步驟1．登錄到測(cè)試設(shè)備的命令行，查看硬件運(yùn)行狀態(tài)：display device預(yù)期結(jié)果正常情況下，所有板卡、模塊顯示為normal。測(cè)試結(jié)果qOK qPOK qNG qNT備注 CPU和內(nèi)存檢查測(cè)試編號(hào)HARD_02_01測(cè)試目的檢查網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用情況。測(cè)試工具PC測(cè)試對(duì)象總部骨干路由器預(yù)制條件割接完成測(cè)試步驟1．登錄到測(cè)試設(shè)備的命令行，查看cpu、內(nèi)存使用率：display cpuusagedisplay memoryusage預(yù)期結(jié)果正常情況下，CPU使用率平均值應(yīng)該低于50%，內(nèi)存使用率應(yīng)該低于50%。CPU Usage 50%Memory Used Percentage 50%測(cè)試結(jié)果qOK qPOK qNG qNT備注測(cè)試編號(hào)HARD_02_02測(cè)試目的檢查網(wǎng)絡(luò)設(shè)備的CPU、內(nèi)存使用情況。測(cè)試工具PC測(cè)試對(duì)象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測(cè)試步驟1．登錄到測(cè)試設(shè)備的命令行，查看cpu、內(nèi)存使用率：display cpuusagedisplay memoryusage預(yù)期結(jié)果正常情況下，CPU使用率平均值應(yīng)該低于50%，內(nèi)存使用率應(yīng)該低于50%。CPU Usage 50%Memory Used Percentage 50%測(cè)試結(jié)果qOK qPOK qNG qNT備注 路由測(cè)試 OSPF和BGP鄰居檢查測(cè)試編號(hào)ROUT_01_01測(cè)試目的檢查OSPF和BGP的鄰居狀態(tài)。測(cè)試工具PC測(cè)試對(duì)象總部骨干路由器預(yù)制條件割接完成測(cè)試步驟1．在路由器上查看OSPF和BGP鄰居狀態(tài)：display ospf 1 peerdisplay bgp peer預(yù)期結(jié)果正常情況下，OSPF和BGP鄰居狀態(tài)如下：OSPF peer stateXXXXXXXXXXX FullXXXXXXXXXXX FullBGP peer stateXXXXXXXXXXXX EstablishedXXXXXXXXXXXX EstablishedXXXXXXXXXXXX EstablishedXXXXXXXXXXXX EstablishedXXXXXXXXXXXX Established測(cè)試結(jié)果qOK qPOK qNG qNT備注測(cè)試編號(hào)ROUT_01_02測(cè)試目的檢查OSPF和BGP的鄰居狀態(tài)。測(cè)試工具PC測(cè)試對(duì)象分支機(jī)構(gòu)骨干路由器預(yù)制條件割接完成測(cè)試步驟1．在路由器上查看OSPF和BGP鄰居狀態(tài)：display ospf 1 peerdisplay bgp peer預(yù)期結(jié)果