【正文】 P CP CP CP C接入層的安全級別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的 Inter 接入終端的安全級別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級別較高。. 子系統(tǒng)規(guī)劃. 網(wǎng)絡(luò)隔離系統(tǒng)1. 出口防火墻通過部署兩臺千兆出口防火墻實現(xiàn) Inter 與**內(nèi)網(wǎng)的隔離。兩臺防火墻一主一備，提高出口可靠性。出口防火墻劃分的內(nèi)外網(wǎng)之間的訪問策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級；公網(wǎng)到備內(nèi)網(wǎng)只針對 DMZ 區(qū)域開放相應(yīng)端口（如 80） 。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對這些需求打開相應(yīng)的 IP 和端口。2. 內(nèi)網(wǎng)防火墻通過內(nèi)網(wǎng)防火墻實現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺防火墻采用雙活方式工作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實現(xiàn)數(shù)據(jù)流的動態(tài)分擔(dān)。實現(xiàn)安全的同時兼顧傳輸效率。部署內(nèi)網(wǎng)防火墻后，要針對業(yè)務(wù)的情況制訂特定的訪問策略，策略制定完成后只開放特定主機(jī)的 IP 與服務(wù)端口，其他訪問一律禁止。26 / 31. 入侵檢測系統(tǒng)**網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)（IPS） 。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺 IPS 設(shè)備?？杀O(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對 DMZ 區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入/DMZ 區(qū)域終端對核心內(nèi)網(wǎng)的數(shù)據(jù)交互。. 漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的有力工具。針對本系統(tǒng)的網(wǎng)絡(luò)設(shè)計，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對待評估系統(tǒng)進(jìn)行訪問。漏洞掃描系統(tǒng)部署后，將會對**的各個業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進(jìn)行掃描，根據(jù)掃描評估結(jié)果可以及時發(fā)現(xiàn)系統(tǒng)漏洞并及時采取措施。. 安管平臺系統(tǒng)安全管理審計工作作為安全體系的重要組成部分，需要部署安全管理平臺系統(tǒng)。其中安全管理平臺服務(wù)器部署在**核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護(hù)，外網(wǎng)用戶不允許訪問該服務(wù)器。被管對象和安全管理平臺服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達(dá)。本次安全管理平臺需要管理重要服務(wù)器和所有安全設(shè)備，收集日志后并做出分析，分出告警級別。也可以通過聲光電或郵件、短信等方式報警，及時提醒管理員。. 防病毒系統(tǒng)防病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進(jìn)行設(shè)計和考慮。通過分析**網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，可以總結(jié)病毒感染的途徑如下：27 / 31? 部分服務(wù)器如 windows 平臺容易受到病毒攻擊；? 公司內(nèi)部員工若有訪問互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過HTTP、FTP 等流量把病毒和惡意的移動代碼帶入網(wǎng)站；? 通過 U 盤傳播病毒；? 各種蠕蟲病毒主動地通過網(wǎng)絡(luò)傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護(hù)的主體著手，根據(jù)他們之間的訪問關(guān)系施加防護(hù)及病毒監(jiān)控。本次方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對系統(tǒng)中的關(guān)鍵服務(wù)器以及內(nèi)部終端進(jìn)行病毒防護(hù)，嚴(yán)防病毒感染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。. 統(tǒng)一用戶/身份管理用戶是 IT 系統(tǒng)中各類活動的實體，如人、組織、虛擬團(tuán)隊等。用戶管理是指在 IT 系統(tǒng)中對用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認(rèn)證等，身份管理是基礎(chǔ)，用戶授權(quán)和認(rèn)證是之上的服務(wù)。身份是一個實體區(qū)別于其它實體的特性，IT 系統(tǒng)中的身份通常指一個人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實體的抽象，是屬于一個特定的實體的屬性的集合。身份屬性具有一些特點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。身份管理就是產(chǎn)生和維護(hù)身份屬性的過程，也是管理不同實體之間關(guān)系的能力。身份管理（Identity Management）是用戶管理(User Administration)的一部分。統(tǒng)一用戶管理（UUM）就是對不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺提供一個單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時經(jīng)過統(tǒng)一用戶管理平臺認(rèn)證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時統(tǒng)一用戶管理平臺還提供對長時間無應(yīng)用操作的超時重認(rèn)證功能，更加可靠的保證安全。統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安全性能更高的 CA、USB Key 等，使用戶在使用統(tǒng)一身份認(rèn)證平臺上有更靈活的選擇。在認(rèn)證手段上，統(tǒng)一用戶管理提供支持 LDAP/AD 協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶信息的安全、可靠。28 / 31. 單點(diǎn)登錄單點(diǎn)登錄（SSO，Single Signon）是一種方便用戶訪問多個系統(tǒng)的技術(shù)，用戶只需在登錄時進(jìn)行一次注冊，就可以在多個系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點(diǎn)登錄的實質(zhì)就是安全上下文（Security Context）或憑證（Credential）在多個應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登錄系統(tǒng)時，客戶端軟件根據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統(tǒng)用這個安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。目前業(yè)界已有很多產(chǎn)品支持 SSO，但各家 SSO 產(chǎn)品的實現(xiàn)方式也不盡相同。如通過 Cookie 記錄認(rèn)證信息，通過 Session 共享認(rèn)證信息。Cookie 是一種客戶端機(jī)制，它存儲的內(nèi)容主要包括：名字、值、過期時間、路徑和域，路徑與域合在一起就構(gòu)成了 Cookie 的作用范圍，因此用 Cookie 方式可實現(xiàn) SSO，但域名必須相同；Session 是一種服務(wù)器端機(jī)制，當(dāng)客戶端訪問服務(wù)器時，服務(wù)器為客戶端創(chuàng)建一個惟一的 SessionID，以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應(yīng)用自行指定，因此用 Session 方式實現(xiàn) SSO，不能在多個瀏覽器之間實現(xiàn)單點(diǎn)登錄，但卻可以跨域。. 上網(wǎng)行為管理系統(tǒng)針對內(nèi)部上網(wǎng)的人員，一方面從安全角度考慮，需對網(wǎng)站資源進(jìn)行篩選過濾，29 / 31對非授權(quán)人員訪問互聯(lián)網(wǎng)，以及內(nèi)部人員訪問惡意站點(diǎn)等行為進(jìn)行阻斷；另一方面從管理角度考慮，需對內(nèi)部人員上網(wǎng)方式進(jìn)行管理，使上網(wǎng)訪問資源可控。針對這種需求，我們建議將上網(wǎng)行為管理設(shè)備部署在互聯(lián)網(wǎng)出口處。對所有上網(wǎng)終端進(jìn)行安全防護(hù)，實現(xiàn)對內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管理、過濾和審計，可通過用戶身份認(rèn)證、上網(wǎng)時間管理、網(wǎng)頁訪問控制、IM 管理、郵件管理、論壇管理、P2P 管理、游戲管理等方式對上網(wǎng)行為進(jìn)行限制和審計。. 終端安全管理系統(tǒng)由于目前互聯(lián)網(wǎng)安全問題突出，針對內(nèi)部上網(wǎng)終端只有防病毒系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。需要對終端安全情況進(jìn)行統(tǒng)一管理，包括硬件資產(chǎn)管理、補(bǔ)丁管理、軟件管理、進(jìn)程管理、安全軟件管理等。對終端的安全情況進(jìn)行加固后方允許接入網(wǎng)絡(luò)，否則不允許接入。提高整個內(nèi)部局域網(wǎng)的安全準(zhǔn)入能力。. 時鐘系統(tǒng)由于對數(shù)據(jù)庫的訪問需要各業(yè)務(wù)系統(tǒng)保證時鐘的統(tǒng)一，因此建議在網(wǎng)絡(luò)中部署一臺時鐘服務(wù)器，網(wǎng)絡(luò)中其它設(shè)備通過 NTP 協(xié)議將自己的時鐘與該服務(wù)器上的時間信息進(jìn)行同步，從而統(tǒng)一內(nèi)網(wǎng)服務(wù)器的時間。在為信息系統(tǒng)時鐘系統(tǒng)進(jìn)行設(shè)計時，充分考慮到時鐘系統(tǒng)的可靠性與準(zhǔn)確性，保證內(nèi)網(wǎng)的時間是準(zhǔn)確和穩(wěn)定的。. 設(shè)備選型建議產(chǎn)品選型信息如下表所示：序號 產(chǎn)品名稱 選型建議 配置描述 數(shù)量1 防火墻網(wǎng)御 Power V3220UTM 或啟明星辰 2022D標(biāo)準(zhǔn) 2U 機(jī)箱，冗余電源，配 4 個10/100/1000MBaseT 接口,可選配 IPS、VPN 和防病毒模塊62 入侵防御設(shè)備天清入侵防御系統(tǒng)NIPS3060D包括 NIPS3060D 硬件平臺一臺，NIPS3060D 千兆檢測引擎軟件一套，天清入侵防御系統(tǒng) NIPS 數(shù)據(jù)中心軟件一套，帶一年的入侵防御特征庫升級授權(quán)23鏈路負(fù)載均衡設(shè)備 Array3520NAPV3520 NetVelocity Edition 鏈路負(fù)載均衡,12 千兆電口+4 千兆光口(SFP，LC，多模)，冗余 430 / 31序號 產(chǎn)品名稱 選型建議 配置描述 數(shù)量電源4應(yīng)用負(fù)載均衡設(shè)備般固 BGADC2022L8 個 10/100/1000Mbps 端口，4 個可選千兆光纖端口，1 個 Core 2 Duo 處理器，4GB 內(nèi)存，220V AC 冗余電源25 時鐘系統(tǒng) DNTS82OGGPS,雙網(wǎng)口 10/100M 內(nèi)置恒溫晶振,高精度保持,LCD,RS232/485,1pps,本地告警,機(jī)架式 16 漏洞掃描系統(tǒng)綠盟 NSFOCUS RSAS X綠盟 NSFOCUS RSAS X 遠(yuǎn)程安全評估系統(tǒng)，硬件產(chǎn)品，支持 256 個 IP 掃描，三年服務(wù) 17統(tǒng)一認(rèn)證和單點(diǎn)登錄系統(tǒng) 統(tǒng)一認(rèn)證系統(tǒng) 統(tǒng)一認(rèn)證系統(tǒng)含 50 用戶 USBKey 18 安管平臺系統(tǒng)啟明星辰安全管理中心軟件啟明星辰安全管理中心軟件，包含事件收集、事件監(jiān)控、域與資產(chǎn)管理、風(fēng)險管理、告警和預(yù)警、報表管理等模塊，支持 20 臺安全設(shè)備管理19 防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)，5 個服務(wù)器端，1個管理中心，25 個客戶端 110上網(wǎng)行為管理系統(tǒng)深信服上網(wǎng)優(yōu)化網(wǎng)關(guān) SG6500L包括上網(wǎng)加速、帶寬管理、上網(wǎng)安全、上網(wǎng)認(rèn)證、上網(wǎng)代理、訪問控制、外發(fā)管理、審計、監(jiān)控、報表211終端安全管理系統(tǒng)北信源或 BTA終端安全管理系統(tǒng)終端安全管理軟件，3000 客戶端