【正文】 P CP CP CP C接入層的安全級別如上圖所示：管理網中，可以上外網的 Inter 接入終端的安全級別低；只能訪問管理網業(yè)務系統(tǒng)的接入終端，安全級別較高。. 子系統(tǒng)規(guī)劃. 網絡隔離系統(tǒng)1. 出口防火墻通過部署兩臺千兆出口防火墻實現(xiàn) Inter 與**內網的隔離。兩臺防火墻一主一備，提高出口可靠性。出口防火墻劃分的內外網之間的訪問策略為：內網到公網基本不做限制，主要是考慮到內網的上網終端上網需求，另有些設備需要到公網升級；公網到備內網只針對 DMZ 區(qū)域開放相應端口（如 80） 。部署在出口區(qū)域的設備如有和內網核心服務器通訊的需求，在出口防火墻上對這些需求打開相應的 IP 和端口。2. 內網防火墻通過內網防火墻實現(xiàn)核心內網區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺防火墻采用雙活方式工作，不同業(yè)務的數(shù)據(jù)流分別通過不同的防火墻，實現(xiàn)數(shù)據(jù)流的動態(tài)分擔。實現(xiàn)安全的同時兼顧傳輸效率。部署內網防火墻后，要針對業(yè)務的情況制訂特定的訪問策略，策略制定完成后只開放特定主機的 IP 與服務端口，其他訪問一律禁止。26 / 31. 入侵檢測系統(tǒng)**網絡系統(tǒng)需在網絡的關鍵位置部署入侵防御系統(tǒng)（IPS） 。建議在網絡前端核心設備部署兩臺 IPS 設備?？杀O(jiān)控內網與公網之間的數(shù)據(jù)交互、公網對 DMZ 區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入/DMZ 區(qū)域終端對核心內網的數(shù)據(jù)交互。. 漏洞掃描系統(tǒng)為了防止網站被黑客入侵，需要在網絡系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對網絡系統(tǒng)進行安全性分析，發(fā)現(xiàn)并修正存在的弱點和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網絡通信數(shù)據(jù)流、發(fā)現(xiàn)網絡漏洞并解決問題的有力工具。針對本系統(tǒng)的網絡設計，我們將漏洞掃瞄系統(tǒng)部署在核心內網管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對待評估系統(tǒng)進行訪問。漏洞掃描系統(tǒng)部署后，將會對**的各個業(yè)務系統(tǒng)以及安全系統(tǒng)設備進行掃描，根據(jù)掃描評估結果可以及時發(fā)現(xiàn)系統(tǒng)漏洞并及時采取措施。. 安管平臺系統(tǒng)安全管理審計工作作為安全體系的重要組成部分，需要部署安全管理平臺系統(tǒng)。其中安全管理平臺服務器部署在**核心內網管理區(qū)域，由防火墻提供保護，外網用戶不允許訪問該服務器。被管對象和安全管理平臺服務器有數(shù)據(jù)傳輸，它們之間要路由可達。本次安全管理平臺需要管理重要服務器和所有安全設備，收集日志后并做出分析，分出告警級別。也可以通過聲光電或郵件、短信等方式報警，及時提醒管理員。. 防病毒系統(tǒng)防病毒系統(tǒng)的建設首先要依據(jù)本次系統(tǒng)設計的總體結構，從網絡中業(yè)務系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進行設計和考慮。通過分析**網絡系統(tǒng)的特點，可以總結病毒感染的途徑如下：27 / 31? 部分服務器如 windows 平臺容易受到病毒攻擊；? 公司內部員工若有訪問互聯(lián)網的權限，則可能感染網絡病毒，并通過HTTP、FTP 等流量把病毒和惡意的移動代碼帶入網站；? 通過 U 盤傳播病毒；? 各種蠕蟲病毒主動地通過網絡傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護的主體著手，根據(jù)他們之間的訪問關系施加防護及病毒監(jiān)控。本次方案防病毒系統(tǒng)采用防病毒網關與網絡防病毒系統(tǒng)相互結合的方式，建立完整的防病毒體系。其中防病毒網關服務可集成在出口防火墻上，在內網部署網絡防病毒系統(tǒng)，實現(xiàn)對系統(tǒng)中的關鍵服務器以及內部終端進行病毒防護，嚴防病毒感染關鍵服務器以及終端后造成業(yè)務系統(tǒng)受病毒影響。. 統(tǒng)一用戶/身份管理用戶是 IT 系統(tǒng)中各類活動的實體，如人、組織、虛擬團隊等。用戶管理是指在 IT 系統(tǒng)中對用戶和權限的控制，包括了身份管理、用戶授權、用戶認證等，身份管理是基礎，用戶授權和認證是之上的服務。身份是一個實體區(qū)別于其它實體的特性，IT 系統(tǒng)中的身份通常指一個人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實體的抽象，是屬于一個特定的實體的屬性的集合。身份屬性具有一些特點：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。身份管理就是產生和維護身份屬性的過程，也是管理不同實體之間關系的能力。身份管理（Identity Management）是用戶管理(User Administration)的一部分。統(tǒng)一用戶管理（UUM）就是對不同的應用系統(tǒng)進行統(tǒng)一的用戶認證，通過統(tǒng)一的用戶認證平臺提供一個單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時經過統(tǒng)一用戶管理平臺認證，就具備了使用相關應用的權利。同時統(tǒng)一用戶管理平臺還提供對長時間無應用操作的超時重認證功能，更加可靠的保證安全。統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安全性能更高的 CA、USB Key 等，使用戶在使用統(tǒng)一身份認證平臺上有更靈活的選擇。在認證手段上，統(tǒng)一用戶管理提供支持 LDAP/AD 協(xié)議的認證中心管理，支持多種認證中心認證，保證用戶信息的安全、可靠。28 / 31. 單點登錄單點登錄（SSO，Single Signon）是一種方便用戶訪問多個系統(tǒng)的技術，用戶只需在登錄時進行一次注冊，就可以在多個系統(tǒng)間自由穿梭，不必重復輸入用戶名和密碼來確定身份。單點登錄的實質就是安全上下文（Security Context）或憑證（Credential）在多個應用系統(tǒng)之間的傳遞或共享。當用戶登錄系統(tǒng)時，客戶端軟件根據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統(tǒng)用這個安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權限。目前業(yè)界已有很多產品支持 SSO，但各家 SSO 產品的實現(xiàn)方式也不盡相同。如通過 Cookie 記錄認證信息，通過 Session 共享認證信息。Cookie 是一種客戶端機制，它存儲的內容主要包括：名字、值、過期時間、路徑和域，路徑與域合在一起就構成了 Cookie 的作用范圍，因此用 Cookie 方式可實現(xiàn) SSO，但域名必須相同；Session 是一種服務器端機制，當客戶端訪問服務器時，服務器為客戶端創(chuàng)建一個惟一的 SessionID，以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應用自行指定，因此用 Session 方式實現(xiàn) SSO，不能在多個瀏覽器之間實現(xiàn)單點登錄，但卻可以跨域。. 上網行為管理系統(tǒng)針對內部上網的人員，一方面從安全角度考慮，需對網站資源進行篩選過濾，29 / 31對非授權人員訪問互聯(lián)網，以及內部人員訪問惡意站點等行為進行阻斷；另一方面從管理角度考慮，需對內部人員上網方式進行管理，使上網訪問資源可控。針對這種需求，我們建議將上網行為管理設備部署在互聯(lián)網出口處。對所有上網終端進行安全防護，實現(xiàn)對內網用戶的上網行為進行管理、過濾和審計，可通過用戶身份認證、上網時間管理、網頁訪問控制、IM 管理、郵件管理、論壇管理、P2P 管理、游戲管理等方式對上網行為進行限制和審計。. 終端安全管理系統(tǒng)由于目前互聯(lián)網安全問題突出，針對內部上網終端只有防病毒系統(tǒng)是遠遠不夠的。需要對終端安全情況進行統(tǒng)一管理，包括硬件資產管理、補丁管理、軟件管理、進程管理、安全軟件管理等。對終端的安全情況進行加固后方允許接入網絡，否則不允許接入。提高整個內部局域網的安全準入能力。. 時鐘系統(tǒng)由于對數(shù)據(jù)庫的訪問需要各業(yè)務系統(tǒng)保證時鐘的統(tǒng)一，因此建議在網絡中部署一臺時鐘服務器，網絡中其它設備通過 NTP 協(xié)議將自己的時鐘與該服務器上的時間信息進行同步，從而統(tǒng)一內網服務器的時間。在為信息系統(tǒng)時鐘系統(tǒng)進行設計時，充分考慮到時鐘系統(tǒng)的可靠性與準確性，保證內網的時間是準確和穩(wěn)定的。. 設備選型建議產品選型信息如下表所示：序號 產品名稱 選型建議 配置描述 數(shù)量1 防火墻網御 Power V3220UTM 或啟明星辰 2022D標準 2U 機箱，冗余電源，配 4 個10/100/1000MBaseT 接口,可選配 IPS、VPN 和防病毒模塊62 入侵防御設備天清入侵防御系統(tǒng)NIPS3060D包括 NIPS3060D 硬件平臺一臺，NIPS3060D 千兆檢測引擎軟件一套，天清入侵防御系統(tǒng) NIPS 數(shù)據(jù)中心軟件一套，帶一年的入侵防御特征庫升級授權23鏈路負載均衡設備 Array3520NAPV3520 NetVelocity Edition 鏈路負載均衡,12 千兆電口+4 千兆光口(SFP，LC，多模)，冗余 430 / 31序號 產品名稱 選型建議 配置描述 數(shù)量電源4應用負載均衡設備般固 BGADC2022L8 個 10/100/1000Mbps 端口，4 個可選千兆光纖端口，1 個 Core 2 Duo 處理器，4GB 內存，220V AC 冗余電源25 時鐘系統(tǒng) DNTS82OGGPS,雙網口 10/100M 內置恒溫晶振,高精度保持,LCD,RS232/485,1pps,本地告警,機架式 16 漏洞掃描系統(tǒng)綠盟 NSFOCUS RSAS X綠盟 NSFOCUS RSAS X 遠程安全評估系統(tǒng)，硬件產品，支持 256 個 IP 掃描，三年服務 17統(tǒng)一認證和單點登錄系統(tǒng) 統(tǒng)一認證系統(tǒng) 統(tǒng)一認證系統(tǒng)含 50 用戶 USBKey 18 安管平臺系統(tǒng)啟明星辰安全管理中心軟件啟明星辰安全管理中心軟件，包含事件收集、事件監(jiān)控、域與資產管理、風險管理、告警和預警、報表管理等模塊，支持 20 臺安全設備管理19 防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)，5 個服務器端，1個管理中心，25 個客戶端 110上網行為管理系統(tǒng)深信服上網優(yōu)化網關 SG6500L包括上網加速、帶寬管理、上網安全、上網認證、上網代理、訪問控制、外發(fā)管理、審計、監(jiān)控、報表211終端安全管理系統(tǒng)北信源或 BTA終端安全管理系統(tǒng)終端安全管理軟件，3000 客戶端