【正文】 （————）安全規(guī)劃方案 第 7 頁二、網絡及安全現狀分析. 網絡結構分析網絡為典型的二級結構，其中核心區(qū)是一臺 7505R，服務器群和 Inter 對外訪問鏈路都接在此核心設備上，向下分為二級交換結構。 （————）安全規(guī)劃方案 第 6 頁另外，我們認為，網絡安全是一個動態(tài)的全面的有機整體，傳統的網絡安全產品單獨羅列在網絡之上的單點防御部署方法，事實已經證明不能夠及時有效的解決網絡的威脅，網絡安全已經進入人民戰(zhàn)爭階段，必須有效整合網絡中的每一個節(jié)點設備資源，通過加固、聯動、嵌入等多種技術手段使安全因素 DNA 滲透到網絡的每一個設備中，為用戶提供一個可實現可管理的安全網絡。在下面的（————）信息系統安全方案設計中，我們將首先通過信息網絡的層次劃分，把其安全系統劃分成若干個安全層次，并針對每一個安全層次，分析其業(yè)務安全需求，提出安全解決方案，最后形成一個全面的安全解決方案。? 縱深維為安全管理維：貫穿于上述三個維度，以及各個維度內部各個層次的是安全管理，我們認為，全面的安全管理是信息網絡安全的一個基本保證，只有通過切實的安全管理，才能夠保證各種安全技術能夠真正起到其應有的作用，常言說：“三分技術，七分管理” ，安全管理是保證網絡安全的基礎，安全技術只是配合安全管理的有效的輔助措施。基本的模塊可以劃分為桌面、服務器、外網、內網等幾個模塊，這些模塊的劃分可以根據需要進行組合或者細化，進行模塊劃分的主要目的是為前面相對抽象的安全需求分析提供具體可實施的對象，保證整個安全措施有效可實施性。通過這種抽象的層次的劃分，可以以不同的層次對象為目標，分析這些層次對不同的安全服務要素 （————）安全規(guī)劃方案 第 5 頁的需求情況，進行層次化的、有針對性的系統安全需求分析。為了系統、科學地分析網絡安全方案涉及的各種安全問題，在大量理論分析和調查研究的基礎上，H3C 公司提出了 i3SAFE 網絡安全模型，以此模型為基礎，可以進行整個網絡安全體系的有效的分析與合理規(guī)劃。 （————）安全規(guī)劃方案 第 4 頁. 安全體系模型安全方案必須架構在科學的安全體系和安全模型之上，因為安全模型是安全方案設計和分析的基礎。? 可行性、可靠性原則在采用全面的網絡安全措施之后，應該不會對（————）的網絡上的應用系統有大的影響，實現在保證網絡和應用系統正常運轉的前提下，有效的提高網絡及應用的安全強度，保證整個信息資產的安全。（————）網絡安全系統規(guī)劃方案2022 年 4 月 （————）安全規(guī)劃方案 第 2 頁目 錄一、 安全系統整體規(guī)劃 .........................................................................................................................3. 方案設計原則.............................................................................................................................3. 安全體系模型.............................................................................................................................4. 方案設計思路.............................................................................................................................5二、 網絡及安全現狀分析 .....................................................................................................................7. 網絡結構分析.............................................................................................................................7. 安全層次的分析模型.................................................................................................................8. 安全需求分析.............................................................................................................................9. 網絡層 ................................................................................................................................9. 系統層 ..............................................................................................................................10. 管理層 ..............................................................................................................................10. 用戶層 ..............................................................................................................................11. 安全需求總結...........................................................................................................................11三、 （———— ）網絡安全整體解決方案 .......................................................................................13. （———— ）網絡安全總體方案...........................................................................................13. 基礎設施安全部署 ..........................................................................................................15. 防火墻系統防護方案 ......................................................................................................20. 建立內部入侵防御機制 ..................................................................................................23. 建立入侵防御機制 ..........................................................................................................25. 建立端點準入控制系統 ..................................................................................................27. 完善的病毒防范機制 ......................................................................................................28. 防 DOS 設備安全防護方案 ...........................................................................................30. 網絡漏洞掃描機制 ..........................................................................................................30. 建立科學的安全管理機制 ..............................................................................................33四、 安全方案總結 ...............................................................................................................................36 （————）安全規(guī)劃方案 第 3 頁一、安全系統整體規(guī)劃. 方案設計原則在規(guī)劃（————）信息系統安全時，我們將遵循以下原則，以這些原則為基礎，提供完善的體系化的整體網絡安全解決方案? 體系化設計原則通過分析信息網絡的網絡層次關系、安全需求要素以及動態(tài)的實施過程，提出科學的安全體系和安全模型，并根據安全體系和安全模型分析網絡中可能存在的各種安全風險，針對這些風險以動態(tài)實施過程為基礎，提出整體網絡安全解決方案，從而最大限度地解決可能存在的安全問題。? 全局性、均衡性原則安全解決方案的設計從全局出發(fā)，綜合考慮信息資產的價值、所面臨的安全風險，平衡兩者之間的關系，根據信息資產價值的大小和面臨風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。? 可動態(tài)演進的原則方案應該針對（————）制定統一技術和管理方案，采取相同的技術路線，實現統一安全策略的制定，并能實現整個網絡從基本防御的網絡，向深度防御的網絡以及智能防御的網絡演進，形成一個閉環(huán)的動態(tài)演進網絡安全系統。只有在先進的網絡安全理論模型的基礎上，才能夠有效地實現我們在上面分析的網絡安全系統規(guī)劃的基本原則，從而保證整個網絡安全解決方案的先進性。下面我們對此網絡安全模型進行具體的闡述和說明：i3SAFE 安全理論模型示意圖i3SAFE 安全理論模型是一個三維立體結構，基于此三維結構安全理論模型，形成一個智能的（intelligence） ，集成的（integrated） ，定制的（individuality）的網絡安全解決方案，真正達到 SAFE 的目的，下面是每個層次的詳細分析描述：? 第一維為應用層次維：這個維度實現對整個信息體系進行描述，通過這個維度，以層次化對整個信息體系進行劃分，層次的劃分依據信息體系的建設結構，把整個信息體系劃分為網絡層：提供信息流通的平臺；用戶層：信息應用的終端；業(yè)務層：信息應用的提供層。? 第二維為網絡空間維：這個維度從實際的信息系統結構的組成的角度，對信息系統進行模塊化的劃分。? 第三維為業(yè)務流程維：這個維度主要描述一個完善的