【正文】 omed Gateway） ? 屏蔽主機(jī)網(wǎng)關(guān)（ Screened Host Gateway） ? 屏蔽子網(wǎng) （ Screened Sub） 57 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 包過(guò)濾防火墻的基本功能安全要求 未鑒別的端到端策略：一個(gè)內(nèi)部或外部網(wǎng)絡(luò)上的主體通過(guò)防火墻發(fā)送數(shù)據(jù)流到一個(gè)外部或內(nèi)部網(wǎng)絡(luò)上的客體。 ? 用戶數(shù)據(jù)保護(hù)功能 ? 識(shí)別與鑒別功能 ? 保密功能 ? 可信安全功能保護(hù) ? 安全審計(jì)功能 58 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 應(yīng)用網(wǎng)關(guān)防火墻的基本功能安全要求 有鑒別的端到端策略：一個(gè)內(nèi)部或外部網(wǎng)絡(luò)上的主體在發(fā)送數(shù)據(jù)流前，必須通過(guò)防火墻的鑒別，才能將數(shù)據(jù)流傳送給一個(gè)外部或內(nèi)部網(wǎng)絡(luò)上的客體。 ? 用戶數(shù)據(jù)保護(hù)功能 ? 識(shí)別與鑒別功能 ? 保密功能 ? 可信安全功能保護(hù) ? 安全審計(jì)功能 59 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻的特殊功能安全要求 ? 模塊化多端口 ? 多級(jí)過(guò)濾 ? 內(nèi)容過(guò)濾 ? 多種形式審計(jì)告警 ? VPN（ IPsec 和 SSL） ? 入侵檢測(cè) ? 帶寬管理 ? 集中的安全網(wǎng)管 ? 支持 60 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻安全策略 防火墻安全策略配置 : ? 通信策略 ? 訪問(wèn)策略 ? 應(yīng)用策略 安全策略管理流程： ? 增添安全策略 ? 更改安全策略 ? 刪除安全策略 61 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻管理人員角色分類(lèi) ?超級(jí)管理員 負(fù)責(zé)本公司 IP網(wǎng)絡(luò)安全管理員和安全審計(jì)員的選用和監(jiān)督，負(fù)責(zé)生成安全管理員和安全審計(jì)員的賬號(hào)及相應(yīng)權(quán)限 ?安全管理員 負(fù)責(zé)職權(quán)范圍內(nèi) IP網(wǎng)絡(luò)安全防范工作的具體實(shí)施、安全配置操作和維護(hù)工作、以及相關(guān)網(wǎng)絡(luò)安全問(wèn)題的處理。 ?安全審計(jì)員 負(fù)責(zé)所管理主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的安全定期審查和維護(hù)工作。安全審計(jì)員僅可以對(duì)日志進(jìn)行審計(jì)分析。 62 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻用戶參數(shù)管理 ? 認(rèn)證模式 ? 有效時(shí)間 ? 連續(xù)認(rèn)證失敗時(shí)間 ? 連續(xù)認(rèn)證失敗次數(shù) ? 恢復(fù)時(shí)間 ? 口令管理 ? 閑置時(shí)間 ? 并發(fā)用戶管理 63 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻日志審計(jì)與監(jiān)控 ? 日志收集 ? 日志分析 ? 建立安全基線 ? 界定可疑活動(dòng) ? 日志存儲(chǔ) ? 安全審計(jì)建議 ? 建立安全審計(jì)報(bào)告 ? 安全問(wèn)題應(yīng)對(duì)流程 ? 審計(jì)與整體監(jiān)控系統(tǒng)配合 64 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻日常維護(hù)管理 ?防火墻系統(tǒng)資源監(jiān)控 ?系統(tǒng)日志監(jiān)控 ?數(shù)據(jù)包捕獲分析 ?定期備份 同步備份、手動(dòng)備份、 自動(dòng)備份 遠(yuǎn)程異地方式、 本地存儲(chǔ)方式 65 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－單級(jí)防火墻結(jié)構(gòu) 防火墻典型模型 ( 1 )i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pE xt e r n a l D M Z66 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻適用環(huán)境－多級(jí)防火墻結(jié)構(gòu) 防火墻典型模型 (2)i s pR o u t e rM a i n F WE xt e r n a l W e b S e r ve rE xt e r n a l D N S S e r ve rI n t e r n a l W e b S e r ve rI n t e r n a l D N S S e r ve rI n t e r n a l E m a i l S e r ve rD e s kt o pI n t e r n a l F WD e s kt o pE xt e r n a l D M ZI n t e r n a l D M Z67 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 防火墻部署原則 ?骨干層 ?匯聚層 ?接入層 68 Presentation Title | Confidential | Document ID IBM China Company Ltd 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)安全域規(guī)范 IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 安全域規(guī)范的主要內(nèi)容 ?企業(yè)信息化系統(tǒng)的現(xiàn)狀 ?企業(yè)信息化系統(tǒng)的安全域劃分 ?安全域的管理、技術(shù)、設(shè)備需求定義 ?安全域的威脅等級(jí)和保護(hù)等級(jí) ?企業(yè)信息化系統(tǒng)安全域的網(wǎng)絡(luò)保護(hù) 70 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應(yīng)用系統(tǒng)現(xiàn)狀 ? 統(tǒng)一信息 平臺(tái)應(yīng)用： 統(tǒng)一信息平臺(tái)包括了 OA系統(tǒng)，主要提供企業(yè)各種公文處理、電子郵件和信息發(fā)布等功能；同時(shí)還包括統(tǒng)計(jì)查詢、電子報(bào)銷(xiāo)、資源預(yù)定、辦公用品申領(lǐng)、電子期刊、檔案管理、知識(shí)管理、考核管理、研發(fā)項(xiàng)目管理、搜索引擎、遠(yuǎn)程辦公應(yīng)用等。 ? MIS應(yīng)用： MIS包括財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)、綜合統(tǒng)計(jì)系統(tǒng)等應(yīng)用系統(tǒng)；還包括電子采購(gòu)系統(tǒng)、全面預(yù)算管理系統(tǒng)等。 對(duì)外通過(guò)合作伙伴門(mén)戶與外部的合作伙伴連接，對(duì)內(nèi)與 BOSS系統(tǒng)和網(wǎng)管系統(tǒng)存在接口。 71 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應(yīng)用系統(tǒng)現(xiàn)狀（圖） 72 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的網(wǎng)絡(luò)架構(gòu)（圖） 73 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應(yīng)用架構(gòu) ? 緊密耦合結(jié)構(gòu)的應(yīng)用： 例如終端標(biāo)準(zhǔn)化，有一個(gè)全集團(tuán)的終端標(biāo)準(zhǔn)化系統(tǒng)，還有各個(gè)業(yè)務(wù)單位終端標(biāo)準(zhǔn)化子系統(tǒng)。 ? 松散耦合結(jié)構(gòu)的應(yīng)用： 例如 OA系統(tǒng)，各個(gè)業(yè)務(wù)單位都有自身的 OA系統(tǒng)，其服務(wù)器在各個(gè)業(yè)務(wù)單位的服務(wù)器區(qū)域，而 OA互連主要通過(guò)公文網(wǎng)關(guān)。 ? 全部集中在集團(tuán)總部的應(yīng)用： 例如電子采購(gòu)系統(tǒng)，各個(gè)業(yè)務(wù)單位沒(méi)有單獨(dú)的電子采購(gòu)系統(tǒng)，只有集中的系統(tǒng)。 74 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化系統(tǒng)的應(yīng)用架構(gòu) （圖） 集團(tuán)總部 信息化 廣域?qū)＞W(wǎng) CMNET VPN PSTN 省公司 信息化 全集團(tuán) 信息化系統(tǒng) 服務(wù)器 集團(tuán)總部 75 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 集團(tuán)總部企業(yè)信息化的網(wǎng)絡(luò)拓?fù)洌▓D） 76 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 省公司企業(yè)信息化的網(wǎng)絡(luò)拓?fù)洌▓D） 集團(tuán)公司 CMNet 網(wǎng)管 省計(jì)費(fèi)中心 SOC 外部接入 OA 辦公自動(dòng)化 DCN 省信息化 集團(tuán)總部 信息化 …… 內(nèi)部 辦公 局域 網(wǎng) 網(wǎng)管網(wǎng)管地市 1 銀證郵 / ISP 地市 信息化 銀證郵縣級(jí)信息化 省網(wǎng)管中心 MIS服務(wù)器 地市 分公司 MIS OA服務(wù)器 因特網(wǎng) 網(wǎng)管 網(wǎng)管BOSS統(tǒng)一信息平臺(tái) 統(tǒng)一信息 平臺(tái)服務(wù)器 集團(tuán)公司 全集團(tuán)公司 信息化 CMNet 專(zhuān)線 集團(tuán)總部 77 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化的一級(jí)安全域劃分 公共區(qū) 不在中國(guó)移動(dòng)直接控制范圍內(nèi)的區(qū)域。 包括外界的各種訪問(wèn)設(shè)備和用戶資源，從外部對(duì)中國(guó)移動(dòng)信息化系統(tǒng)進(jìn)行訪問(wèn)并要求服務(wù)。 半安全區(qū) 安全區(qū) 核心安全區(qū) 位于中國(guó)移動(dòng)信息化系統(tǒng)控制范圍內(nèi)，是公共區(qū)與安全區(qū)之間的“過(guò)渡”區(qū)域。 包括所有能被非信任來(lái)源直接訪問(wèn)并提供服務(wù)的系統(tǒng)和設(shè)備。 位于中國(guó)移動(dòng)信息化系統(tǒng)控制范圍內(nèi)，是安全控制和保護(hù)級(jí)別較高的區(qū)域。 包括中國(guó)移動(dòng)信息化系統(tǒng)內(nèi)部用戶終端和一些重要程度不高且經(jīng)常使用的服務(wù)器。 位于中國(guó)移動(dòng)信息化系統(tǒng)控制范圍內(nèi)，是安全控制和保護(hù)級(jí)別最高的區(qū)域。 包括中國(guó)移動(dòng)信息化系統(tǒng)重要的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、管理控制臺(tái)和服務(wù)器。 78 Presentation Title | Confidential | Document ID IBM China Company Ltd. 169。 Copyright IBM Corporation 2023 企業(yè)信息化一級(jí)安全域的安全措施 公共區(qū)