【正文】 慮到必須保證業(yè)務的高可用性。同時，在服務器上備份所有的文件審查日志。有效提高企業(yè)在市場上的競爭力。保證知識產權，就相當于保障企業(yè)的生存空間。CA認證系統(tǒng)和VPN遠程訪問控制相結合，更能保障身份唯一性，并大幅提高互聯(lián)網(wǎng)訪問的安全性。CA認證體系建設和該平臺相結合，使單點登錄系統(tǒng)更安全，并便于管理。如下圖所示：簽名服務器數(shù)字證書應用支撐平臺SSL安全代理服務器身份認證系統(tǒng)時間戳服務器數(shù)字證書備案系統(tǒng)數(shù)字證書綜合監(jiān)管平臺數(shù)字證書安全審計系統(tǒng)KMCCARA數(shù)字證書簽發(fā)服務平臺. CA認證體系應用建設 應用系統(tǒng)身份認證利用CA認證體系同現(xiàn)有應用系統(tǒng)的身份認證方式相結合，針對重要業(yè)務系統(tǒng)或重要崗位，進行身份驗證，保留登錄記錄，落實責任，方便管理。. 建設規(guī)劃內容. CA認證體系平臺建設按照《XXXX行業(yè)行業(yè)CA認證體系建設方案》規(guī)范，XXXX公司工業(yè)行業(yè)CA認證體系項目由數(shù)字證書簽發(fā)服務平臺標準版、數(shù)字證書應用支撐平臺和數(shù)字證書系綜合監(jiān)管平臺組成，如下圖所示。. 建設規(guī)劃目標通過建設CA認證體系，為業(yè)務應用系統(tǒng)提供穩(wěn)定可靠的信息安全服務，切實保障系統(tǒng)使用人員身份的真實性、信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性，為信息化建設和發(fā)展奠定安全基礎。由于該服務器架設比較簡單，在windows操作系統(tǒng)下即可輕松搭建NTP服務器，此處不再給出具體方案。 制定周期性掃描計劃，實現(xiàn)周期性的安全自評，為有效的風險管理提供參考和支持。 通過對網(wǎng)絡設備，操作系統(tǒng)，應用系統(tǒng)的掃描，有效了解系統(tǒng)弱點，為實施安全防護方案和制定安全管理策略提供依據(jù)和參考。網(wǎng)絡安全審計系統(tǒng)基于網(wǎng)絡旁路監(jiān)聽的方式實現(xiàn)獨立的審計與三權分立，完善了IT內控機制。網(wǎng)絡安全審計系統(tǒng)提供業(yè)務流量監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡環(huán)境的安全狀況。n 直觀掌握業(yè)務系統(tǒng)運行的安全狀況業(yè)務系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網(wǎng)絡環(huán)境。由于目標系統(tǒng)不能區(qū)別不同人員使用同一個帳號進行維護操作，所以不能界定維護人員的真實身份。n 有效減少核心信息資產的破壞和泄漏對企業(yè)的業(yè)務系統(tǒng)來說，真正重要的核心信息資產往往存放在少數(shù)幾個關鍵系統(tǒng)上（如數(shù)據(jù)庫服務器、應用服務器等），通過使用網(wǎng)絡安全審計系統(tǒng)，能夠加強對這些關鍵系統(tǒng)的審計，從而有效地減少對核心信息資產的破壞和泄漏。一是等級保護的要求；二是行業(yè)規(guī)范的要求。比如，在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而銀行業(yè)則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求。上網(wǎng)行為管理設備可以基于應用的重要程度進行帶寬資源的合理分配，從而保證重要的、時效性高的應用能夠獲得較多的帶寬，最終能夠保障關鍵應用的正常運行。同樣的，針對不同訪問需求的用戶也可以進行服務的分級處理，對帶寬要求高的人員可以獲得較多的帶寬，從而保證其訪問的需求。服務分級處理可以比喻為一個多車道并行的高速公路，其中各種不同的車輛都按照一定的規(guī)則行駛在不同的車道上，帶寬管理設備在這里就相當于分流的路口。服務分級服務分級是一種帶寬管理的理解方式。各種P2P應用占用了大量網(wǎng)絡帶寬(如BitTorrent，Kazza，Emule等)，消耗了網(wǎng)絡中的大量帶寬，隨之而來的是，由網(wǎng)絡鏈路擁塞引發(fā)的應用性能下降問題也日益嚴重，極大地影響了組織正常業(yè)務的開展及用戶正常網(wǎng)絡應用的服務質量。尤其是在P2P技術出現(xiàn)之后，此問題更加嚴重和突出。如下圖所示。n 抗DoS攻擊采用特征控制和異?？刂葡嘟Y合的手段，有效保障抗拒絕服務攻擊的準確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為。. 實現(xiàn)安全功能n 訪問控制IP地址過濾、MAC地址過濾、IP＋MAC綁定、用戶認證、流量整形、連接數(shù)控制等n IPS防御體系通過繼承的IPS功能，精確抵御黑客攻擊、蠕蟲、木馬、后門；抑制間諜軟件、灰色軟件、網(wǎng)絡釣魚的泛濫；并可有效防止拒絕服務攻擊。. 安全網(wǎng)關設備. 部署位置一體化安全網(wǎng)關部署在互聯(lián)網(wǎng)出口處，做互聯(lián)網(wǎng)邊界綜合防護。216。216。216。216。通過此次安全域的劃分和網(wǎng)絡改造，使防火墻主要可以起到如下幾類作用：216。需要部署防火墻將網(wǎng)絡分割成不同安全區(qū)域，并對核心業(yè)務系統(tǒng)形成縱深保護體系。如下圖所示。同時滿足《XXXX行業(yè)行業(yè)信息安全保障體系建設指南》中在技術體系建設方面對網(wǎng)絡安全部分的要求。此過程保證在設備層面實現(xiàn)安全技術體系。是實現(xiàn)系統(tǒng)化全方位網(wǎng)絡安全防護的必要條件。網(wǎng)絡安全產品的類型是由網(wǎng)絡安全技術決定的，為了實現(xiàn)全面的安全防護，以不同的實體出現(xiàn)的安全設備要在技術上覆蓋所有的安全領域，也就是所有安全設備功能的總和在技術層面應該能夠防御目前網(wǎng)絡環(huán)境下所有安全威脅的總和。. XXX單位網(wǎng)絡系統(tǒng)改造建議 建議將核心交換更改為雙機冗余方式，可采取主備模式或者一臺設備冷備的方式； 單獨部署服務器交換機，可采取主備模式或者一臺設備冷備的方式，其中冷備設備可與核心備用機器為同一臺設備； 可考慮新增一條備用通訊線路，例如選用ADSL線路作為應急通訊線路，通過VPN方式與XXXX公司工業(yè)網(wǎng)絡進行通訊； 對于辦公網(wǎng)內接入交換上聯(lián)核心的線路可考慮部署雙線路方式，實現(xiàn)線路冗余，這樣可避免因為意外狀況造成線路中斷后的網(wǎng)絡中斷，接入交換設備可增加12臺冷備設備； 可在網(wǎng)絡邊界部署防火墻設備進行訪問控制。 新增匯聚層網(wǎng)絡設施域，部署四臺三層交換機，核心部件采用冗余配置，作為整個網(wǎng)絡的匯聚層，這樣既便于接入?yún)^(qū)和服務區(qū)的訪問控制，又將生產區(qū)和辦公區(qū)進行了區(qū)分，并分擔了核心交換機的負擔。. 現(xiàn)有的安全技術防護手段 互聯(lián)網(wǎng)訪問通過專線到達XXXX公司工業(yè)后訪問，因此防護技術手段與XXXX公司工業(yè)相同； 內網(wǎng)部署了趨勢的網(wǎng)絡防病毒系統(tǒng)， 內網(wǎng)部署了圣博潤的內網(wǎng)管理系統(tǒng)，可對內部網(wǎng)絡終端進行接入管理、主機維護管理、補丁管理、主機行為審計等。此問題可與XXXX公司工業(yè)解決建議方案同時解決。此問題可與XXXX公司工業(yè)解決建議方案同時及解決。. 網(wǎng)絡安全域劃分不明XXX單位一號工程、僅簡單的通過VLAN與辦公網(wǎng)其他主機劃分，并未采取其它防護措施的隔離，非常不利于隔離防護及后期的安全規(guī)劃建設。上聯(lián)鏈路僅為一條電信專線，沒有其它冗余的廣域網(wǎng)鏈路，存在遠程接入鏈路單點故障。網(wǎng)絡核心交換S5516如果癱瘓，整個網(wǎng)絡通訊將斷開；服務器直接連接漏洞交換機，一旦設備出現(xiàn)故障則一號工程、內網(wǎng)管理等業(yè)務系統(tǒng)無法正常工作，將引起業(yè)務系統(tǒng)網(wǎng)絡通訊的中斷。網(wǎng)絡骨干設備性能較差，擴展能力很弱。. 現(xiàn)有的安全技術防護手段 在互聯(lián)網(wǎng)出口部署了東軟的NetEyes FW4201防火墻兩臺，同時設置訪問規(guī)則對Web服務器和內網(wǎng)用戶對互聯(lián)網(wǎng)的訪問進行網(wǎng)絡層控制； 在核心交換機上部署了東軟的NetEyes IDS2200入侵檢測系統(tǒng)，對核心交換上的數(shù)據(jù)信息進行入侵行為的檢測； 在郵件系統(tǒng)部署了防垃圾郵件系統(tǒng)，可對垃圾郵件進行過濾； 內網(wǎng)部署了趨勢的網(wǎng)絡防病毒系統(tǒng)， 內網(wǎng)部署了圣博潤的內網(wǎng)管理系統(tǒng)，可對內部網(wǎng)絡終端進行接入管理、主機維護管理、補丁管理、主機行為審計等。全網(wǎng)缺乏一套集中的安全運營管理中心，當前網(wǎng)絡設備、安全設備、主機及業(yè)務系統(tǒng)的日志及安全運行狀況監(jiān)控，僅由各自維護人員手工操作，直接登錄設備檢查分析。遠程接入西倉和XXX單位專線直接接入到核心交換機Cisco3845上，兩端均未部署防火墻實施訪問控制。當前未進行分類隔離，統(tǒng)一安全策略。當前主要根據(jù)辦公物理位置，各自接入到辦公網(wǎng)中，未與普通辦公人員網(wǎng)絡區(qū)域隔離。各生產網(wǎng)與辦公網(wǎng)未嚴格隔離，未整合邊界，未實施集中安全防護。ERP、一號工程、協(xié)同辦公、營銷等重要系統(tǒng)混雜在一起，與其它服務器都部署在同一個區(qū)域，非常不利于隔離防護及后期的安全規(guī)劃建設。外網(wǎng)服務器區(qū)的Web和Mail服務器的互聯(lián)網(wǎng)連接和訪問均為單線路，存在單點故障。. 網(wǎng)絡單點故障當前網(wǎng)絡核心層為冗余設備，下聯(lián)接入層交換為冗余線路，其它對外連接均為單設備和單線路連接，存在網(wǎng)絡單點故障隱患。遠程接入?yún)^(qū)域，包括XXX單位通過專線直接接入到核心交換機C6509上，其它的上聯(lián)國家局、XXXX公司工業(yè)局、西倉等專線鏈路也直接接入到核心交換機C6509上，除國家局配置有防火墻外，其它連接均未經過任何匯聚或訪問控制設備。 通過基于網(wǎng)絡的認證確?；A網(wǎng)絡的完整性. 現(xiàn)有信息技術體系描述. XXXX公司工業(yè)現(xiàn)有網(wǎng)絡拓撲. XXXX公司工業(yè)網(wǎng)絡結構脆弱性評估. 網(wǎng)絡結構層次不清晰當前網(wǎng)絡骨干區(qū)域，基本形成以兩臺C6509為核心，多臺C2970/C2950等為接入的架構，網(wǎng)絡骨干設備性能優(yōu)異，擴展能力較強。 通過備份、冗余確?；A網(wǎng)絡的可用性216。 網(wǎng)絡泄密216。 審計和檢測. 網(wǎng)絡基礎設施域. 網(wǎng)絡基礎設施域的劃分圖 2_5網(wǎng)絡基礎設施域劃分圖. 網(wǎng)絡基礎設施域的威脅分析主要威脅有：216。 帶外管理和網(wǎng)絡加密216。 非授權訪問和濫用（如業(yè)務操作人員越權操作其他業(yè)務系統(tǒng)）216。. 支撐設施域的威脅分析支撐設施域是跨越多個業(yè)務系統(tǒng)和地域的，它的保密級別和完整性要求較高，對可用性的要求略低，主要的威脅有：216。 對信息資產的訪問控制. 支撐設施域. 支撐設施域的劃分圖 2_4支撐基礎設施域劃分圖如上圖所示，將網(wǎng)絡管理、安全管理和業(yè)務運維（業(yè)務操作監(jiān)控）放置在獨立的安全域中，不僅能夠有效的保護上述三個高級別信息系統(tǒng)，同時在突發(fā)事件中也有利于保障后備通訊能力。 身份認證與行為審計同時也輔助以其他的防護手段：216。 應用和業(yè)務開發(fā)維護安全216。 內部人員抵賴行為216。 軟硬件故障216。 內部人員越權和濫用216。 核心區(qū)核心區(qū)用于存放級別非常高（資產級別大于等于4）的信息資產，如核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要服務區(qū)跳轉。 一般服務區(qū)用于存放防護級別較低（資產級別小于等于3），需直接對外提供服務的信息資產，如辦公服務器等，一般服務區(qū)與外界有直接連接，同時不能夠訪問核心區(qū)（避免被作為攻擊核心區(qū)的跳板）；216。 惡意代碼防護（防病毒）用于應對蠕蟲病毒216。 入侵檢測與防御（IDSamp。 訪問控制（如防火墻）用于應對外部攻擊216。 越權（非授權接入）216。 黑客攻擊（外部入侵）216。 組織內的異地連接（如不同地理位置的分支結構）216。 不同組織間的連接（可信的）216。 組織單獨控制的連接（內部接入）216。XXXX公司工業(yè)公司安全域總體設計計劃劃分為4個域，分別是邊界接入域、網(wǎng)絡基礎設施域、計算域、支撐設施域。邊界接入域是各類接入的設備和終端以及業(yè)務系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內聯(lián)網(wǎng)接入和內網(wǎng)接入。支撐設施域是其他上層域需要公共使用的部分，主要包括：安全系統(tǒng)、網(wǎng)管系統(tǒng)和其他支撐系統(tǒng)等。. 總體架構如下圖所示：安全域的劃分如下：圖 2_1安全與總體框架本次建議的劃分方法是立體的，即：各個域之間不是簡單的相交或隔離關系，而是在網(wǎng)絡和管理上有不同的層次。l 提供依據(jù)組織內進行了安全域的設計和劃分，便于組織發(fā)現(xiàn)現(xiàn)有信息系統(tǒng)的缺陷和不足，并為今后進行系統(tǒng)改造和新系統(tǒng)的設計提供相關依據(jù)，也簡化了新系統(tǒng)上線安全防護的設計過程。 主機和系統(tǒng)……. 安全域作用l 理順系統(tǒng)架構進行安全域劃分可以幫助理順網(wǎng)絡和應用系統(tǒng)的架構，使得信息系統(tǒng)的邏輯結構更加清晰，從而更便于進行運行維護和各類安全防護的設計。 人和組織216。 策略和流程216。這些IT要素包括但不僅限于：216。. 目標規(guī)劃的理論依據(jù). 安全域簡介安全域是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，相同的網(wǎng)絡安全域共享一樣的安全策略。也是層次化立體化防御以及落實安全管理政策，制定合理安全管理制度的基礎。威脅和風險是在不斷變化的，安全體系也應當根據(jù)新的風險的引入或風險累積到一定程度后，適時進行策略調整和體系完善；另一方面是在方案的制定和產品的選取中，注重方案和產品的自愈、自適應功能，在遭遇攻擊時，具有一定的自動恢復和應急能力。其中，隔離安全服務包括身份認證、訪問控制、抗抵賴和強審計等；連接安全服務包括傳輸過程中的保密、完整和可用等。綜合考慮信息性質、使用主體等要素，XXXX公司工業(yè)網(wǎng)絡劃分為計算域、支撐域、接入域、基礎設施域四種類型安全域。n 分層保護的思想按照XXXX公司工業(yè)業(yè)務承載網(wǎng)絡的核心層、接入（匯聚）層、接入局域網(wǎng)三個層次，根據(jù)確定的安全策略，規(guī)范設置相應的安全防護、檢測、響應功能，利用虛擬專用網(wǎng)絡（例如MPLS VPN、IPSec VPN、SSL VPN）、公鑰基礎設施/授權管理基礎設施（PKI/PMI）、防火墻、在線入侵抵御、入侵檢測、防病毒、強審計、冷熱備份、線路冗余等多種安全技術和產品，進行全方位的安全保護。n 可擴展性原則規(guī)范應具有良好的可擴展性，能適應安全技術的快速發(fā)展和更新，能隨著網(wǎng)絡安全需求的變化而變化，網(wǎng)絡安全保護周期應與整個網(wǎng)絡的工作周期相同步，充分保證投資的效益。n 可靠性原則加強網(wǎng)絡安全產品的集中管理，保證關鍵網(wǎng)絡安全設備的冷熱備份，避免骨干傳輸線路的單點連接，保證系統(tǒng)7*24小時不間斷可靠運行。各種安全技術措施盡顯其長，相互補充。 《XXXX行業(yè)行業(yè)信息安全保障體系建設指南》. 管理體系規(guī)劃參考模型及標準. 國家信息安全標準、指南1. GB/T 20274—2006 信息系統(tǒng)安全保障評估框架2. GB/T —2005 信息技術—信息技術安全管理指南第1部分：信息技術安全概念和模型3. GB/T —2005 信息技術—信息技術安全管理指南第2部分：管理和規(guī)劃信息技術安全4. GB/T 19716—2005 信息技術—信息安全管理實用規(guī)則. 國際信息安全標準1. ISO/IEC 27001:2005信息安全技術 信息系統(tǒng)安全管理要求2. ISO/IEC 13335—1: 2004 信息技術 信息技術安全管理指南 第1部分：信息技術安全概念和模型3. ISO/IEC TR 15443—1: 2005 信息技術安全保障框架 第一部分 概述和框架4. ISO