【正文】 . 設(shè)備選型建議產(chǎn)品選型信息如下表所示：序號 產(chǎn)品名稱 選型建議 配置描述 數(shù)量1 防火墻網(wǎng)御 Power V3220UTM 或啟明星辰 2022D標(biāo)準(zhǔn) 2U 機箱，冗余電源，配 4 個10/100/1000MBaseT 接口,可選配 IPS、VPN 和防病毒模塊62 入侵防御設(shè)備天清入侵防御系統(tǒng)NIPS3060D包括 NIPS3060D 硬件平臺一臺，NIPS3060D 千兆檢測引擎軟件一套，天清入侵防御系統(tǒng) NIPS 數(shù)據(jù)中心軟件一套，帶一年的入侵防御特征庫升級授權(quán)23鏈路負載均衡設(shè)備 Array3520NAPV3520 NetVelocity Edition 鏈路負載均衡,12 千兆電口+4 千兆光口(SFP，LC，多模)，冗余 430 / 31序號 產(chǎn)品名稱 選型建議 配置描述 數(shù)量電源4應(yīng)用負載均衡設(shè)備般固 BGADC2022L8 個 10/100/1000Mbps 端口，4 個可選千兆光纖端口，1 個 Core 2 Duo 處理器，4GB 內(nèi)存，220V AC 冗余電源25 時鐘系統(tǒng) DNTS82OGGPS,雙網(wǎng)口 10/100M 內(nèi)置恒溫晶振,高精度保持,LCD,RS232/485,1pps,本地告警,機架式 16 漏洞掃描系統(tǒng)綠盟 NSFOCUS RSAS X綠盟 NSFOCUS RSAS X 遠程安全評估系統(tǒng)，硬件產(chǎn)品，支持 256 個 IP 掃描，三年服務(wù) 17統(tǒng)一認(rèn)證和單點登錄系統(tǒng) 統(tǒng)一認(rèn)證系統(tǒng) 統(tǒng)一認(rèn)證系統(tǒng)含 50 用戶 USBKey 18 安管平臺系統(tǒng)啟明星辰安全管理中心軟件啟明星辰安全管理中心軟件，包含事件收集、事件監(jiān)控、域與資產(chǎn)管理、風(fēng)險管理、告警和預(yù)警、報表管理等模塊，支持 20 臺安全設(shè)備管理19 防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)，5 個服務(wù)器端，1個管理中心，25 個客戶端 110上網(wǎng)行為管理系統(tǒng)深信服上網(wǎng)優(yōu)化網(wǎng)關(guān) SG6500L包括上網(wǎng)加速、帶寬管理、上網(wǎng)安全、上網(wǎng)認(rèn)證、上網(wǎng)代理、訪問控制、外發(fā)管理、審計、監(jiān)控、報表211終端安全管理系統(tǒng)北信源或 BTA終端安全管理系統(tǒng)終端安全管理軟件，3000 客戶端 1。. 時鐘系統(tǒng)由于對數(shù)據(jù)庫的訪問需要各業(yè)務(wù)系統(tǒng)保證時鐘的統(tǒng)一，因此建議在網(wǎng)絡(luò)中部署一臺時鐘服務(wù)器，網(wǎng)絡(luò)中其它設(shè)備通過 NTP 協(xié)議將自己的時鐘與該服務(wù)器上的時間信息進行同步，從而統(tǒng)一內(nèi)網(wǎng)服務(wù)器的時間。對終端的安全情況進行加固后方允許接入網(wǎng)絡(luò)，否則不允許接入。. 終端安全管理系統(tǒng)由于目前互聯(lián)網(wǎng)安全問題突出，針對內(nèi)部上網(wǎng)終端只有防病毒系統(tǒng)是遠遠不夠的。針對這種需求，我們建議將上網(wǎng)行為管理設(shè)備部署在互聯(lián)網(wǎng)出口處。Cookie 是一種客戶端機制，它存儲的內(nèi)容主要包括：名字、值、過期時間、路徑和域，路徑與域合在一起就構(gòu)成了 Cookie 的作用范圍，因此用 Cookie 方式可實現(xiàn) SSO，但域名必須相同；Session 是一種服務(wù)器端機制，當(dāng)客戶端訪問服務(wù)器時，服務(wù)器為客戶端創(chuàng)建一個惟一的 SessionID，以使在整個交互過程中始終保持狀態(tài)，而交互的信息則可由應(yīng)用自行指定，因此用 Session 方式實現(xiàn) SSO，不能在多個瀏覽器之間實現(xiàn)單點登錄，但卻可以跨域。目前業(yè)界已有很多產(chǎn)品支持 SSO，但各家 SSO 產(chǎn)品的實現(xiàn)方式也不盡相同。單點登錄的實質(zhì)就是安全上下文（Security Context）或憑證（Credential）在多個應(yīng)用系統(tǒng)之間的傳遞或共享。在認(rèn)證手段上，統(tǒng)一用戶管理提供支持 LDAP/AD 協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶信息的安全、可靠。同時統(tǒng)一用戶管理平臺還提供對長時間無應(yīng)用操作的超時重認(rèn)證功能，更加可靠的保證安全。統(tǒng)一用戶管理（UUM）就是對不同的應(yīng)用系統(tǒng)進行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺提供一個單一的用戶登陸入口。身份管理就是產(chǎn)生和維護身份屬性的過程，也是管理不同實體之間關(guān)系的能力。身份是一個實體區(qū)別于其它實體的特性，IT 系統(tǒng)中的身份通常指一個人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實體的抽象，是屬于一個特定的實體的屬性的集合。. 統(tǒng)一用戶/身份管理用戶是 IT 系統(tǒng)中各類活動的實體，如人、組織、虛擬團隊等。本次方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。通過分析**網(wǎng)絡(luò)系統(tǒng)的特點，可以總結(jié)病毒感染的途徑如下：27 / 31? 部分服務(wù)器如 windows 平臺容易受到病毒攻擊；? 公司內(nèi)部員工若有訪問互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過HTTP、FTP 等流量把病毒和惡意的移動代碼帶入網(wǎng)站；? 通過 U 盤傳播病毒；? 各種蠕蟲病毒主動地通過網(wǎng)絡(luò)傳播。也可以通過聲光電或郵件、短信等方式報警，及時提醒管理員。被管對象和安全管理平臺服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達。. 安管平臺系統(tǒng)安全管理審計工作作為安全體系的重要組成部分，需要部署安全管理平臺系統(tǒng)。針對本系統(tǒng)的網(wǎng)絡(luò)設(shè)計，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對待評估系統(tǒng)進行訪問。. 漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，發(fā)現(xiàn)并修正存在的弱點和漏洞。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺 IPS 設(shè)備。部署內(nèi)網(wǎng)防火墻后，要針對業(yè)務(wù)的情況制訂特定的訪問策略，策略制定完成后只開放特定主機的 IP 與服務(wù)端口，其他訪問一律禁止。由于數(shù)據(jù)流較大，兩臺防火墻采用雙活方式工作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實現(xiàn)數(shù)據(jù)流的動態(tài)分擔(dān)。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對這些需求打開相應(yīng)的 IP 和端口。兩臺防火墻一主一備，提高出口可靠性。25 / 31匯聚交換機接入層安全級別示意圖接入交換機 接入交換機 接入交換機接入交換機P C安 全 隔 離管理網(wǎng) （ M E S 、 O A ）安全級別高I n t e r n e t 接入終端安全級別低P C P CP CP CP CP CP C接入層的安全級別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的 Inter 接入終端的安全級別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級別較高。. 安全體系結(jié)構(gòu)**網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖如下：24 / 31一煉匯聚交換機S 5 6 2 4一軋匯聚交換機S 5 3 2 4二煉匯聚交換機S 5 6 2 4二軋匯聚交換機S 5 6 2 4銷售部匯聚交換機S 5 3 2 4軋鋼總降匯聚交換機S 6 5 0 6自動化車間匯聚交換機S 6 3 2 4一煉接入網(wǎng)一軋接入網(wǎng)二煉接入網(wǎng) 二軋接入網(wǎng)自動化車間接入網(wǎng)銷售部接入網(wǎng)軋鋼總降接入網(wǎng)產(chǎn)銷O A質(zhì)量中心服務(wù)器集群M E SI n t e r n e tD N SW W WM A I LD M Z 區(qū)域聯(lián)通移動出口區(qū)域人事設(shè)備管理原料采購原生產(chǎn)網(wǎng)核心交換機華為 S 8 5 1 2核心交換機 1華為 S 1 2 8 0 8核心交換機 2華為 S 1 2 8 0 8生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機安全級別低安全級別中安全級別高安全級別最高舞鋼網(wǎng)絡(luò)安全區(qū)域劃分圖安全管理遠程計量網(wǎng)能源網(wǎng)防火墻 1 防火墻 2管理網(wǎng)區(qū)域**網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所示，**網(wǎng)絡(luò)系統(tǒng)劃分為多個安全區(qū)域，分別為：出口區(qū)域、DMZ 區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和核心交換區(qū)。. 多重保護原則本次**安全系統(tǒng)要建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。23 / 31. 需求、風(fēng)險、代價平衡的原則對網(wǎng)絡(luò)要進行實際的研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等） ，并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險以及付出的代價進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。. 一致性原則一致性原則只要指安全策略的部署應(yīng)與其他系統(tǒng)的實施工作同時進行，方案的整體安全架構(gòu)要與網(wǎng)絡(luò)平臺結(jié)構(gòu)相結(jié)合。只有從系統(tǒng)整體的角度去看待和分析才可能得到有效，可行的措施。. 系統(tǒng)設(shè)計原則. 整體性原則建設(shè)**安全系統(tǒng)時應(yīng)充分考慮各個層面的因素，總體規(guī)劃各個出入口網(wǎng)關(guān)的安全策略。同時進行主機的風(fēng)險評估和安全加固服務(wù)，提前屏蔽漏洞風(fēng)險。21 / 31. 設(shè)備選型建議. 華為產(chǎn)品選型方案產(chǎn)品類型 選型建議 配置描述 數(shù)量 備注華為 S12808背板帶寬：32Tbps；包轉(zhuǎn)發(fā)率：9600Mpps；8 個業(yè)務(wù)槽位；支持基于 LayerLayerLayer4 優(yōu)先級等的組合流分類支；電源功率：≤10800W；2 　核心交換機華為 S9306背板帶寬：6Tbps；包轉(zhuǎn)發(fā)率：1152Mpps；擴展模塊：6 個業(yè)務(wù)槽位；支持基于 Layer2 協(xié)議；安全管理： 認(rèn)證1生活區(qū)寬帶網(wǎng)核心交換機華為 S632424 個 GE SFP/10 GE SFP+端口,雙電源槽位,含 USB接口，交流供電；轉(zhuǎn)發(fā)性能:715 M；交換容量:960 G；2 　匯聚交換機華為 S