【正文】 omed Gateway） ? 屏蔽主機網關（ Screened Host Gateway） ? 屏蔽子網 （ Screened Sub） 57 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 包過濾防火墻的基本功能安全要求 未鑒別的端到端策略：一個內部或外部網絡上的主體通過防火墻發(fā)送數(shù)據流到一個外部或內部網絡上的客體。 ? 用戶數(shù)據保護功能 ? 識別與鑒別功能 ? 保密功能 ? 可信安全功能保護 ? 安全審計功能 58 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 應用網關防火墻的基本功能安全要求 有鑒別的端到端策略：一個內部或外部網絡上的主體在發(fā)送數(shù)據流前，必須通過防火墻的鑒別，才能將數(shù)據流傳送給一個外部或內部網絡上的客體。 ? 用戶數(shù)據保護功能 ? 識別與鑒別功能 ? 保密功能 ? 可信安全功能保護 ? 安全審計功能 59 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻的特殊功能安全要求 ? 模塊化多端口 ? 多級過濾 ? 內容過濾 ? 多種形式審計告警 ? VPN（ IPsec 和 SSL） ? 入侵檢測 ? 帶寬管理 ? 集中的安全網管 ? 支持 60 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻安全策略 防火墻安全策略配置 : ? 通信策略 ? 訪問策略 ? 應用策略 安全策略管理流程： ? 增添安全策略 ? 更改安全策略 ? 刪除安全策略 61 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻管理人員角色分類 ?超級管理員 負責本公司 IP網絡安全管理員和安全審計員的選用和監(jiān)督，負責生成安全管理員和安全審計員的賬號及相應權限 ?安全管理員 負責職權范圍內 IP網絡安全防范工作的具體實施、安全配置操作和維護工作、以及相關網絡安全問題的處理。 ?安全審計員 負責所管理主機系統(tǒng)及網絡設備的安全定期審查和維護工作。安全審計員僅可以對日志進行審計分析。 62 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻用戶參數(shù)管理 ? 認證模式 ? 有效時間 ? 連續(xù)認證失敗時間 ? 連續(xù)認證失敗次數(shù) ? 恢復時間 ? 口令管理 ? 閑置時間 ? 并發(fā)用戶管理 63 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻日志審計與監(jiān)控 ? 日志收集 ? 日志分析 ? 建立安全基線 ? 界定可疑活動 ? 日志存儲 ? 安全審計建議 ? 建立安全審計報告 ? 安全問題應對流程 ? 審計與整體監(jiān)控系統(tǒng)配合 64 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻日常維護管理 ?防火墻系統(tǒng)資源監(jiān)控 ?系統(tǒng)日志監(jiān)控 ?數(shù)據包捕獲分析 ?定期備份 同步備份、手動備份、 自動備份 遠程異地方式、 本地存儲方式 65 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－單級防火墻結構 防火墻典型模型 ( 1 )i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pE xt e r n a l D M Z66 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－多級防火墻結構 防火墻典型模型 (2)i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pI n t e r n a l F WD e s kt o pE xt e r n a l D M ZI n t e r n a l D M Z67 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻部署原則 ?骨干層 ?匯聚層 ?接入層 68 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)安全域規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全域規(guī)范的主要內容 ?企業(yè)信息化系統(tǒng)的現(xiàn)狀 ?企業(yè)信息化系統(tǒng)的安全域劃分 ?安全域的管理、技術、設備需求定義 ?安全域的威脅等級和保護等級 ?企業(yè)信息化系統(tǒng)安全域的網絡保護 70 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應用系統(tǒng)現(xiàn)狀 ? 統(tǒng)一信息 平臺應用： 統(tǒng)一信息平臺包括了 OA系統(tǒng)，主要提供企業(yè)各種公文處理、電子郵件和信息發(fā)布等功能；同時還包括統(tǒng)計查詢、電子報銷、資源預定、辦公用品申領、電子期刊、檔案管理、知識管理、考核管理、研發(fā)項目管理、搜索引擎、遠程辦公應用等。 ? MIS應用： MIS包括財務系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計系統(tǒng)等應用系統(tǒng)；還包括電子采購系統(tǒng)、全面預算管理系統(tǒng)等。 對外通過合作伙伴門戶與外部的合作伙伴連接，對內與 BOSS系統(tǒng)和網管系統(tǒng)存在接口。 71 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應用系統(tǒng)現(xiàn)狀（圖） 72 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的網絡架構（圖） 73 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應用架構 ? 緊密耦合結構的應用： 例如終端標準化，有一個全集團的終端標準化系統(tǒng)，還有各個業(yè)務單位終端標準化子系統(tǒng)。 ? 松散耦合結構的應用： 例如 OA系統(tǒng)，各個業(yè)務單位都有自身的 OA系統(tǒng)，其服務器在各個業(yè)務單位的服務器區(qū)域，而 OA互連主要通過公文網關。 ? 全部集中在集團總部的應用： 例如電子采購系統(tǒng)，各個業(yè)務單位沒有單獨的電子采購系統(tǒng)，只有集中的系統(tǒng)。 74 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應用架構 （圖） 集團總部 信息化 廣域專網 CMNET VPN PSTN 省公司 信息化 全集團 信息化系統(tǒng) 服務器 集團總部 75 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 集團總部企業(yè)信息化的網絡拓撲（圖） 76 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 省公司企業(yè)信息化的網絡拓撲（圖） 集團公司 CMNet 網管 省計費中心 SOC 外部接入 OA 辦公自動化 DCN 省信息化 集團總部 信息化 …… 內部 辦公 局域 網 網管網管地市 1 銀證郵 / ISP 地市 信息化 銀證郵縣級信息化 省網管中心 MIS服務器 地市 分公司 MIS OA服務器 因特網 網管 網管BOSS統(tǒng)一信息平臺 統(tǒng)一信息 平臺服務器 集團公司 全集團公司 信息化 CMNet 專線 集團總部 77 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化的一級安全域劃分 公共區(qū) 不在中國移動直接控制范圍內的區(qū)域。 包括外界的各種訪問設備和用戶資源，從外部對中國移動信息化系統(tǒng)進行訪問并要求服務。 半安全區(qū) 安全區(qū) 核心安全區(qū) 位于中國移動信息化系統(tǒng)控制范圍內，是公共區(qū)與安全區(qū)之間的“過渡”區(qū)域。 包括所有能被非信任來源直接訪問并提供服務的系統(tǒng)和設備。 位于中國移動信息化系統(tǒng)控制范圍內，是安全控制和保護級別較高的區(qū)域。 包括中國移動信息化系統(tǒng)內部用戶終端和一些重要程度不高且經常使用的服務器。 位于中國移動信息化系統(tǒng)控制范圍內，是安全控制和保護級別最高的區(qū)域。 包括中國移動信息化系統(tǒng)重要的應用服務器、數(shù)據庫服務器、管理控制臺和服務器。 78 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化一級安全域的安全措施 公共區(qū)