【正文】 帳號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶帳號(hào)安全策略。通過建立集中帳號(hào)管理，業(yè)務(wù)系統(tǒng)可以實(shí)現(xiàn)將帳號(hào)與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)，以滿足審計(jì)的需要。2. 產(chǎn)品部署本次項(xiàng)目中在新聞系統(tǒng)A網(wǎng)、B網(wǎng)的運(yùn)維管理區(qū)各部署1套運(yùn)維安全審計(jì)系統(tǒng)，連接在運(yùn)維管理區(qū)的接入層交換機(jī)上。運(yùn)維安全審計(jì)引擎連接到接入層交換機(jī)和審計(jì)數(shù)據(jù)中心。運(yùn)維安全審計(jì)系統(tǒng)部署拓?fù)鋱D：新聞系統(tǒng)運(yùn)維安全審計(jì)系統(tǒng)部署圖 惡意代碼防范根據(jù)GD/J 0382011基本要求，系統(tǒng)內(nèi)部應(yīng)具備惡意代碼防范能力。因臺(tái)內(nèi)已經(jīng)購(gòu)買并部署了賽門鐵克的SEP軟件，需要根據(jù)XXX電視臺(tái)制播網(wǎng)現(xiàn)狀，進(jìn)一步完善已購(gòu)買的SEP軟件防病毒相關(guān)策略。 入侵防范1. 功能設(shè)計(jì)入侵檢測(cè)系統(tǒng)最主要的功能是對(duì)網(wǎng)絡(luò)入侵行為的檢測(cè)，它可以自動(dòng)識(shí)別各種入侵模式，在對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析時(shí)與這些模式進(jìn)行匹配，一旦發(fā)現(xiàn)某些入侵的企圖，就會(huì)進(jìn)行報(bào)警。入侵檢測(cè)系統(tǒng)也支持基于網(wǎng)絡(luò)異常狀況的檢測(cè)方式。入侵檢測(cè)系統(tǒng)具有強(qiáng)大的碎片重組功能，能夠抵御各種高級(jí)的入侵方式。新聞系統(tǒng)的IDS系統(tǒng)需要具備如下功能：（1） 跨網(wǎng)段檢測(cè)入侵檢測(cè)系統(tǒng)應(yīng)具備多個(gè)網(wǎng)絡(luò)接口，可同時(shí)處理多個(gè)端口接受到的鏡像流量。應(yīng)支持VLAN，能夠識(shí)別被鏡像端口中不同VLAN的標(biāo)記并分別處理。（2） 多種入侵方式檢測(cè)入侵檢測(cè)系統(tǒng)應(yīng)該具備涵蓋大量攻擊類型的入侵特征庫(kù)，并能夠基于時(shí)間、地點(diǎn)、用戶賬戶以及協(xié)議類型、攻擊類型等等制定安全策略。通過對(duì)安全策略的調(diào)整，能夠很方便地將入侵檢測(cè)系統(tǒng)自定義成為符合需要的入侵檢測(cè)系統(tǒng)。（3） 病毒檢測(cè)入侵檢測(cè)系統(tǒng)應(yīng)能夠內(nèi)置病毒檢測(cè)引擎和病毒庫(kù)，從而將病毒檢查、入侵檢測(cè)、威脅發(fā)現(xiàn)高效地整合在一起，對(duì)通過此邊界的數(shù)據(jù)進(jìn)行精確的病毒檢查，這在高危病毒開始大范圍傳播的初期能夠起到非常好的監(jiān)控效果，幫助運(yùn)維人員進(jìn)行有效控制，避免高危病毒的大范圍擴(kuò)散。（4） 多端口接入根據(jù)新聞系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)結(jié)構(gòu)，新聞系統(tǒng)的接入交換機(jī)為萬(wàn)兆光纖上聯(lián)，千兆接入。考慮設(shè)備處理性能及成本問題，建議采用千兆入侵檢測(cè)系統(tǒng)，通過接入交換機(jī)的千兆接口將指定VLAN的流量鏡像至入侵檢測(cè)設(shè)備。因此入侵檢測(cè)系統(tǒng)應(yīng)具備多個(gè)千兆接口。（5） 基于會(huì)話檢測(cè)入侵檢測(cè)系統(tǒng)采用基于會(huì)話的檢測(cè)方式，可對(duì)各種協(xié)議會(huì)話進(jìn)行會(huì)話監(jiān)控，并可對(duì)連接會(huì)話進(jìn)行手工阻斷，同時(shí)可對(duì)連接會(huì)話的內(nèi)容進(jìn)行保存、報(bào)文回放等處理。（6） 日志審計(jì)與報(bào)警入侵檢測(cè)設(shè)備應(yīng)支持自定義報(bào)表功能，支持日志備份。應(yīng)能通過Email、SNMP消息等實(shí)現(xiàn)事件報(bào)警，審計(jì)日志應(yīng)集中發(fā)送到安全管理平臺(tái)上做集中日志審計(jì)。2. 部署方式新聞系統(tǒng)的入侵檢測(cè)系統(tǒng)以旁路鏡像方式部署，在A網(wǎng)的運(yùn)維管理區(qū)部署2臺(tái)千兆入侵檢測(cè)系統(tǒng)，各具備至少4個(gè)千兆監(jiān)聽口，分別監(jiān)聽A網(wǎng)應(yīng)用區(qū)的2臺(tái)交換機(jī)、終端區(qū)的5臺(tái)交換機(jī)。在B網(wǎng)的運(yùn)維管理區(qū)部署1臺(tái)千兆入侵檢測(cè)系統(tǒng)，具備至少3個(gè)千兆監(jiān)聽口，分別監(jiān)聽B網(wǎng)應(yīng)用區(qū)2臺(tái)交換機(jī)、終端區(qū)的1臺(tái)。部署圖如下：新聞系統(tǒng)入侵檢測(cè)系統(tǒng)部署圖 通信完整性與保密性根據(jù)GD/J 0382011基本要求，為保障應(yīng)用系統(tǒng)的通信完整性，應(yīng)采用校驗(yàn)碼技術(shù)、特定的音視頻文件格式協(xié)議或等同強(qiáng)度手段進(jìn)行傳輸，信息系統(tǒng)與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，在雙方建立連接之前應(yīng)用利密碼技術(shù)信息系統(tǒng)與外部網(wǎng)絡(luò)進(jìn)行會(huì)話初始化驗(yàn)證，并對(duì)通信過程中的用戶身份鑒別信息等敏感信息字段進(jìn)行加密。目前在XXX電視臺(tái)制播網(wǎng)絡(luò)新聞系統(tǒng)中，所處理的信息可分為消息與媒體文件兩類。其中媒體文件的遷移使用校驗(yàn)碼技術(shù)和MXF等專用文件格式協(xié)議進(jìn)行傳輸。但消息傳輸過程中未進(jìn)行加密，存在明文傳送用戶敏感信息的情況。因此建議通過業(yè)務(wù)系統(tǒng)的改造對(duì)其進(jìn)行加密處理。 軟件容錯(cuò)與資源控制根據(jù)GD/J 0382011基本要求，系統(tǒng)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)長(zhǎng)度格式、范圍、數(shù)據(jù)類型等符合設(shè)定要求，防止諸如 SQL 注入、跨站攻擊、溢出攻擊等惡意行為，對(duì)非法輸入進(jìn)行明確的錯(cuò)誤提示并報(bào)警；應(yīng)提供自動(dòng)保護(hù)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前狀態(tài)，保證系統(tǒng)能夠進(jìn)行恢復(fù)。同時(shí)系統(tǒng)應(yīng)能夠?qū)Σl(fā)會(huì)話連接數(shù)、資源分配情況和服務(wù)水平的變化進(jìn)行檢測(cè)、控制或報(bào)警。目前在XXX電視臺(tái)制播網(wǎng)絡(luò)新聞系統(tǒng)中，未全面的考慮此類功能的設(shè)計(jì)，有可能存在被溢出攻擊、拒絕服務(wù)攻擊、可用資源耗盡等情況。因此建議通過業(yè)務(wù)系統(tǒng)的改造對(duì)其進(jìn)行處理。 數(shù)據(jù)備份與恢復(fù)根據(jù)GD/J 0382011基本要求，應(yīng)能對(duì)重要業(yè)務(wù)數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)的完整性進(jìn)行檢測(cè)并提供恢復(fù)措施。同時(shí)應(yīng)能對(duì)重要數(shù)據(jù)進(jìn)行異地備份，并進(jìn)行本地備份和恢復(fù)，完全數(shù)據(jù)備份至少每周一次，增量備份或差分備份至少每天一次。備份介質(zhì)應(yīng)在數(shù)據(jù)執(zhí)行所在場(chǎng)地外存放。目前在XXX電視臺(tái)制播網(wǎng)絡(luò)新聞系統(tǒng)中，對(duì)數(shù)據(jù)庫(kù)等重要業(yè)務(wù)數(shù)據(jù)能夠?qū)崿F(xiàn)完整性檢測(cè)與恢復(fù)，備份周期符合要求。建議可考慮利用老臺(tái)設(shè)備進(jìn)行異地備份，以滿足該項(xiàng)要求。 安全管理中心設(shè)計(jì)根據(jù)GD/J 0382011基本要求，應(yīng)實(shí)現(xiàn)跨級(jí)別的安全管理中心設(shè)計(jì)。 新聞系統(tǒng)安全設(shè)備部署圖 總編室系統(tǒng)方案詳細(xì)設(shè)計(jì) 設(shè)計(jì)概述根據(jù)XXX電視臺(tái)制播網(wǎng)信息系統(tǒng)定級(jí)結(jié)果，總編室系統(tǒng)屬于第三級(jí)信息系統(tǒng)。根據(jù)GD/J 0382011基本要求，結(jié)合技術(shù)方案總體設(shè)計(jì)，總編室系統(tǒng)安全方案詳細(xì)設(shè)計(jì)主要從基礎(chǔ)網(wǎng)絡(luò)安全、邊界安全、計(jì)算環(huán)境安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全）、安全管理中心等幾個(gè)層面進(jìn)行詳細(xì)設(shè)計(jì)，達(dá)到等級(jí)保護(hù)第三級(jí)信息系統(tǒng)的安全防護(hù)要求。 基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計(jì)根據(jù)GD/J 0382011基本要求，基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計(jì)主要從網(wǎng)絡(luò)結(jié)構(gòu)安全和網(wǎng)絡(luò)設(shè)備安全設(shè)計(jì)兩個(gè)角度進(jìn)行。其中網(wǎng)絡(luò)結(jié)構(gòu)安全包括網(wǎng)絡(luò)安全域設(shè)計(jì)（主要實(shí)現(xiàn)根據(jù)各信息系統(tǒng)與播出業(yè)務(wù)的播出相關(guān)度不同所形成的網(wǎng)絡(luò)縱深結(jié)構(gòu)），以及對(duì)于單個(gè)信息系統(tǒng)內(nèi)部的安全分區(qū)（根據(jù)系統(tǒng)所承載業(yè)務(wù)類型的不同而形成的網(wǎng)絡(luò)縱深結(jié)構(gòu)）；網(wǎng)絡(luò)設(shè)備安全包括網(wǎng)絡(luò)設(shè)備安全審計(jì)、網(wǎng)絡(luò)設(shè)備自身的安全等。 網(wǎng)絡(luò)結(jié)構(gòu)安全根據(jù)GD/J 0382011基本要求的結(jié)構(gòu)安全設(shè)計(jì)要求，除基于播出相關(guān)度的信息系統(tǒng)網(wǎng)絡(luò)安全縱深外，在信息系統(tǒng)內(nèi)部，還應(yīng)根據(jù)業(yè)務(wù)類型、業(yè)務(wù)重要性、物理位置等因素，劃分不同的子網(wǎng)或網(wǎng)段。根據(jù)技術(shù)方案總體設(shè)計(jì)，信息系統(tǒng)內(nèi)部應(yīng)劃分為終端區(qū)、應(yīng)用區(qū)和運(yùn)維區(qū)。由于總編室系統(tǒng)的業(yè)務(wù)特殊性，它不僅為制播網(wǎng)各業(yè)務(wù)系統(tǒng)提供節(jié)目代碼管理及節(jié)目串聯(lián)單制作，還為播出系統(tǒng)提供播出整備功能。因此在劃分安全域時(shí)，考慮總編室系統(tǒng)的特點(diǎn)，建議將總編室系統(tǒng)的內(nèi)部劃分為應(yīng)用服務(wù)區(qū)、終端區(qū)、運(yùn)維管理區(qū)和備播區(qū)四個(gè)安全分區(qū)。1. 應(yīng)用服務(wù)區(qū)應(yīng)用服務(wù)區(qū)包括數(shù)據(jù)庫(kù)服務(wù)器、轉(zhuǎn)碼服務(wù)器、存儲(chǔ)管理服務(wù)器、組件服務(wù)器\WEB服務(wù)器、F5負(fù)載均衡設(shè)備、IIS服務(wù)器和應(yīng)用服務(wù)器等。表格2總編室應(yīng)用服務(wù)區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別端口數(shù)量1CETCODE1CETCODE44轉(zhuǎn)碼服務(wù)器42CEMDS1CEMDS44存儲(chǔ)管理服務(wù)器83CENAS1CENAS22存儲(chǔ)訪問服務(wù)器44CEAKMIG1CEAKMIG22AK近線遷移服務(wù)器35CEMGR1CEMGR22備播媒資管理平臺(tái)36CEFISECSYNC1CEFISECSYNC22Fisecsync服務(wù)器4總數(shù)量為44臺(tái)，約占用74個(gè)千兆以太端口。2. 終端區(qū)終端區(qū)包括技審、內(nèi)審、編單、上下載工作站等?？偩幨医K端區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1ZBSYCTMDY1ZBSYCTMDY211新老臺(tái)遠(yuǎn)程上載2ZBSYCSZ1ZBSYCSZ663ZBSYCGGXZ1ZBSYCGGXZ224ZBSYCBF115ZBSCLDBP1ZBSCLDBP88頻道播出串聯(lián)單編排/審查工作站6ZBSNRSC1ZBSNRSC66節(jié)目?jī)?nèi)容審查工作站7ZBSJSSC1ZBSJSSC1616節(jié)目技術(shù)審查工作站8ZBSJMJHSP1ZBSJMJHSP22節(jié)目計(jì)劃審批工作站16ZBSGZZGL11總編室管理工作站17ZBSTMDY1ZBSTMDY33總編室條碼打印工作站總數(shù)量為100臺(tái)，約占用100個(gè)千兆以太端口。3. 運(yùn)維管理區(qū)運(yùn)維管理區(qū)包括域控服務(wù)器、防病毒服務(wù)器、WSUS服務(wù)器及各類安全設(shè)備等。表格3總編室運(yùn)維管理區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1CEAV1CEAV22防病毒服務(wù)器2CEDC1CEDC22域控服務(wù)器總數(shù)量為4臺(tái)，約占用4個(gè)千兆以太端口。4. 備播區(qū)備播區(qū)包括送播遷移服務(wù)器等。表格4總編室備播區(qū)設(shè)備列表序號(hào)設(shè)備名稱設(shè)備數(shù)量類別1CEMIG1CEMIG44送播遷移服務(wù)器2ZBSMIG1——ZBSMIG88送播遷移服務(wù)器總數(shù)量為12臺(tái)，約占用12個(gè)千兆以太端口。5. 結(jié)構(gòu)安全實(shí)現(xiàn)根據(jù)以上安全分區(qū)劃分結(jié)果，建議通過劃分VLAN來實(shí)現(xiàn)各安全分區(qū)的隔離，可以在交換機(jī)上部署ACL來實(shí)現(xiàn)安全分區(qū)間的訪問控制。可以在總編室系統(tǒng)的匯聚交換機(jī)上增加4個(gè)VLAN，分別作為應(yīng)用服務(wù)區(qū)、終端區(qū)、運(yùn)維服務(wù)區(qū)和備播區(qū)接入。，因此可將新增VLAN接口地址規(guī)劃如下：表格5總編室新增VLAN接口地址列表VLAN號(hào)（供參考）用途接口地址設(shè)備所需地址數(shù)量（估算）371應(yīng)用服務(wù)區(qū)372運(yùn)維管理區(qū)373備播區(qū)374終端區(qū)在原有系統(tǒng)匯聚交換機(jī)上增加以上VLAN，并分別按照每個(gè)區(qū)域的接入交換機(jī)數(shù)量劃分端口給每個(gè)VLAN。原有接入交換機(jī)與匯聚交換機(jī)間可使用TRUNK方式連接，在接入交換機(jī)上配置其所連接的VLAN。如下圖所示：總編室系統(tǒng)各區(qū)域端口分配圖 網(wǎng)絡(luò)設(shè)備安全根據(jù)GD/J 0382011基本要求，網(wǎng)絡(luò)設(shè)備的安全包括安全審計(jì)、身份鑒別、訪問控制和設(shè)備冗余等幾個(gè)部分。1. 安全審計(jì)總編室系統(tǒng)網(wǎng)絡(luò)設(shè)備安全審計(jì)應(yīng)包含以下內(nèi)容：216。 設(shè)備啟動(dòng)和停止的日志：包括網(wǎng)絡(luò)設(shè)備或者板卡啟動(dòng)和停止的信息；216。 端口啟動(dòng)和停止的日志：包括網(wǎng)絡(luò)設(shè)備端口啟動(dòng)或者關(guān)閉的信息；216。 MAC地址沖突的日志：發(fā)生網(wǎng)絡(luò)異?；蛘逜RP攻擊時(shí)應(yīng)采集MAC地址沖突的信息；216。 用戶賬戶的登錄和變更：包括賬戶名、口令的修改，用戶登錄登出行為；216。 配置更改：包括設(shè)備配置的保存更改，路由配置更改等。為了滿足等級(jí)保護(hù)對(duì)安全審計(jì)記錄的要求，且為了方便信息安全事件的管理及追溯，應(yīng)該將審計(jì)記錄通過SNMP、SYSLOG或?qū)Ｓ媒涌诘确绞桨l(fā)送到安全管理中心進(jìn)行集中管理。網(wǎng)絡(luò)設(shè)備安全審計(jì)記錄采集有以下兩種方式：a) SYSLOG發(fā)送日志在網(wǎng)絡(luò)設(shè)備上，配置日志服務(wù)器的IP地址，將所有審計(jì)日志配置發(fā)送到安裝了SYSLOG軟件系統(tǒng)的日志服務(wù)器，SYSLOG使用UDP作為傳輸協(xié)議，目的端口為514，SYSLOG日志服務(wù)器自動(dòng)接收日志數(shù)據(jù)并寫到日志文件中。b) 采集SNMP trap方式建立在簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP上的網(wǎng)絡(luò)管理，使用SNMP Trap 機(jī)制進(jìn)行日志數(shù)據(jù)采集，配置SNMP trap的發(fā)送地址，可以將安全事件進(jìn)行發(fā)送，目的端口設(shè)置為UDP/162。2. 身份鑒別當(dāng)用戶登錄網(wǎng)絡(luò)設(shè)備進(jìn)行設(shè)備維護(hù)、狀態(tài)查看等操作時(shí)，應(yīng)采用用戶名和具有一定復(fù)雜度的口令方式進(jìn)行身份鑒別，這種復(fù)雜度可以定義為密碼長(zhǎng)度在8位以上，同時(shí)由數(shù)字、字母、下劃線等兩種或兩種以上符號(hào)組成。對(duì)于網(wǎng)絡(luò)設(shè)備的特權(quán)用戶則應(yīng)通過令牌、基于生物特征、數(shù)字證書以及其他具有相應(yīng)安全強(qiáng)度的認(rèn)證機(jī)制進(jìn)行雙因素認(rèn)證。對(duì)總編室系統(tǒng)的網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理和運(yùn)維時(shí)，建議通過運(yùn)維審計(jì)系統(tǒng)（堡壘主機(jī)）以HTTPS或SSH方式，并采用基于證書的身份認(rèn)證系統(tǒng)實(shí)現(xiàn)。關(guān)于身份認(rèn)證和運(yùn)維審計(jì)的詳細(xì)設(shè)計(jì)，參考計(jì)算環(huán)境安全設(shè)計(jì)中的相關(guān)章節(jié)。3. 訪問控制當(dāng)用戶或管理員對(duì)網(wǎng)絡(luò)設(shè)備發(fā)起訪問時(shí)，網(wǎng)絡(luò)設(shè)備應(yīng)采取結(jié)束會(huì)話、限制非法登錄次數(shù)和連接超時(shí)自動(dòng)退出等措施來進(jìn)行登錄失敗處理。應(yīng)關(guān)閉網(wǎng)絡(luò)設(shè)備上不必要的服務(wù)和端口，當(dāng)運(yùn)維工作站通過遠(yuǎn)程管理地址訪問被管理設(shè)備時(shí)，應(yīng)通過HTTPS、SSH等安全的通信協(xié)議進(jìn)行，并對(duì)運(yùn)維工作站的IP地址進(jìn)行限制。4. 設(shè)備冗余為了避免由于網(wǎng)絡(luò)設(shè)備硬件自身出現(xiàn)故障，第二級(jí)（及）以上信息系統(tǒng)的核心交換機(jī)、匯聚交換機(jī)，第三級(jí)（及）以上還包括接入交換機(jī)都應(yīng)配置冗余設(shè)備，并設(shè)置可自動(dòng)切換至備機(jī)狀態(tài)，避免由于關(guān)鍵節(jié)點(diǎn)的單點(diǎn)故障影響安全播出。除此之外，還應(yīng)保證各網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)帶寬具備冗余空間。目前總編室系統(tǒng)中的網(wǎng)絡(luò)設(shè)備滿足此設(shè)計(jì)要求。 邊界安全設(shè)計(jì)總編室系統(tǒng)的邊界主要是總編室系統(tǒng)與主干平臺(tái)系統(tǒng)的邊界，以及與播出系統(tǒng)的邊界組成。根據(jù)《基本要求》，結(jié)合網(wǎng)絡(luò)安全縱深防御設(shè)計(jì)思想，總編室系統(tǒng)邊界的安全主要包括訪問控制、入侵防范、惡意代碼防范、安全審計(jì)等內(nèi)容?？偩幨蚁到y(tǒng)邊界包括總編室系統(tǒng)與主干、新聞、制作系統(tǒng)等的邊界，也包括總編室系統(tǒng)與播出系統(tǒng)的邊界。根據(jù)之前的等級(jí)保護(hù)需求分析，本次項(xiàng)目中僅考慮總編室系統(tǒng)與主干系統(tǒng)之間的邊界，總編室與播出邊界在第十章項(xiàng)目未來建議中進(jìn)行考慮。 訪問控制1. 功能設(shè)計(jì)XXX電視臺(tái)制播網(wǎng)總編室系統(tǒng)邊界防火墻系統(tǒng)需要具備如下功能：216。 訪問控制對(duì)通過總編室系統(tǒng)邊界的服務(wù)請(qǐng)求進(jìn)行訪問控制。防火墻可以通過白名單機(jī)制實(shí)現(xiàn)系統(tǒng)內(nèi)外交互資源的可控，拒絕一切未被明確允許的訪問請(qǐng)求，以保證網(wǎng)絡(luò)的安全性。216。 高可用性考慮業(yè)務(wù)的連續(xù)性和網(wǎng)絡(luò)的健壯性，需要配備兩臺(tái)防火墻，互為備份，放置于需要進(jìn)行訪問控制的區(qū)域前端，需