【正文】 置、防火墻系統(tǒng)的部署、入侵檢測(cè)防御系統(tǒng)的部署、SSL VPN 遠(yuǎn)程安全接入及審計(jì)管理、防火墻運(yùn)行維護(hù)和日志分析等方面作出了詳細(xì)的設(shè)計(jì)方案。 第 5 頁(yè) 共 61 頁(yè) 方案設(shè)計(jì)概述 在上一章中，我們對(duì)本次項(xiàng)目建設(shè)的目標(biāo)以及系統(tǒng)的現(xiàn)狀進(jìn)行了分析。 從 XX 電力目前信息系統(tǒng)整體情況來(lái)看 ， 如何規(guī)劃一個(gè)結(jié)構(gòu)合理、技術(shù)先進(jìn)、可管理、便于擴(kuò)展的信息網(wǎng)絡(luò)安防體系是本次項(xiàng)目建設(shè)的一個(gè)關(guān)鍵。 綜上所述，為適應(yīng) XX 電力將來(lái)信息系統(tǒng)建設(shè)發(fā)展的需求， XX 電力的信息安全系統(tǒng)建設(shè)仍然有很長(zhǎng)的路走。且每個(gè)用戶需要面對(duì)大量用戶名及口令，使用麻煩且極不安全存在極大安全隱患。 14. 無(wú)全 網(wǎng)統(tǒng)一的網(wǎng)絡(luò)身份管理系統(tǒng)。 12. 缺乏為關(guān)鍵應(yīng)用提供強(qiáng)認(rèn)證及數(shù)據(jù)保密及數(shù)據(jù)一致性的安全基礎(chǔ)設(shè)施PKI 系統(tǒng)。 11. 缺乏移動(dòng)安全接入的有效手段。 10. 入侵防御系統(tǒng)漏報(bào)、誤報(bào)，且僅提供帶外監(jiān)測(cè)，無(wú)法對(duì)其所發(fā)現(xiàn)的入侵行為進(jìn)行有效響應(yīng)。 6. Inter 的接入?yún)^(qū)僅靠防火墻系統(tǒng)進(jìn)行安全保護(hù)，對(duì)數(shù)據(jù)流的深入分析能力較差，無(wú)法對(duì) DOS/DDOS 攻擊、垃圾郵件、協(xié)議非法使用、病毒等安全事件進(jìn)行網(wǎng)關(guān)級(jí)的應(yīng)對(duì)； 7. 無(wú)法對(duì)有限的 Inter 互連網(wǎng)帶寬資源進(jìn)行有效帶寬分配及控制；（如：無(wú)法對(duì) BT 等 PP 軟件通過 80 端口對(duì)帶寬進(jìn)行非法占用進(jìn)行控制） 8. 無(wú)法對(duì)有限的廣域網(wǎng)帶寬資源進(jìn)行有效帶寬分配及控制；（如：進(jìn)行電 第 4 頁(yè) 共 61 頁(yè) 視會(huì)議或 VOIP 時(shí)是否有足夠的廣域網(wǎng)帶寬支持，是否會(huì)出現(xiàn)馬賽克） 9. 下級(jí)單位、兄弟單位及小區(qū)的接入在安全上不可控， 尤其是小區(qū)的接入。應(yīng)用服務(wù)器群直接裸露在骨干網(wǎng)核心交換機(jī)上，極易受到病毒、黑客的攻擊，造成應(yīng)用系統(tǒng)的癱瘓。全省的網(wǎng)絡(luò)接入不論性質(zhì)一律以生產(chǎn)數(shù)據(jù)網(wǎng)核心交換機(jī)為交換中心，低安全級(jí)別系統(tǒng)對(duì)高安全級(jí)別系統(tǒng)進(jìn)行穿越，破壞安全體系，給信息網(wǎng)造成極大的安全隱患。其單一劃一的核心接入?yún)R聚方式已不能適應(yīng)各業(yè)務(wù)單位的信息系統(tǒng)建設(shè)安全及資源保障要求。 2. 網(wǎng)絡(luò)結(jié)構(gòu)不合理。其在信息安全技術(shù)上表現(xiàn)出的問題及需要解決的問題主要表現(xiàn)為： 1. 無(wú)完整的安全系統(tǒng)體系。 第 3 頁(yè) 共 61 頁(yè) 通過多年的安全建設(shè)及安全實(shí)踐工作 XX 電力從網(wǎng)絡(luò)安全設(shè)施及安全運(yùn)作上已經(jīng)具備網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的基本保障能力。而一個(gè)安全可靠、結(jié)構(gòu)合理、支持?jǐn)?shù)字、視頻和語(yǔ)音 的網(wǎng)絡(luò)平臺(tái)則是企業(yè)信息化建設(shè)高效進(jìn)行的前提和保障。因此盡早在 XX電力建立和實(shí)施一套先進(jìn)高效并基于風(fēng)險(xiǎn)控制與管理理論的完整的信息安全保障系統(tǒng)勢(shì)在必行。 但是，隨著近年來(lái)與外界接口的增加，特別是與電廠、銀行等合作單位中間業(yè)務(wù)的接口、網(wǎng)上電力服務(wù)、三網(wǎng)融合、應(yīng)用 /數(shù)據(jù)集中化、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的日益增多，其安全問題已 不僅僅局限于內(nèi)部事件了，來(lái)自外界及第三方合作伙伴的威脅已越來(lái)越多，已經(jīng)成為電力信息網(wǎng)不可忽視的安全問題。信息安全系統(tǒng)的目的是為營(yíng)銷管理、財(cái)務(wù)管理、生產(chǎn)管理、物資管理、辦公自動(dòng)化、信息共享、數(shù)據(jù)管理以及其它網(wǎng)絡(luò)應(yīng)用提供必備的安全網(wǎng)絡(luò)環(huán)境和運(yùn)行平臺(tái)，為 XX 電力公司的信息化建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。 _________________________________________________________________________________ Juniper 一體化信息安全解決方案 Juniper Networks, Inc. _________________________________________________________________________________ Juniper Networks, Inc. 第 1 頁(yè) 目 錄 1. 總體描述及總體方案建議 .......................................................................................... 2 綜述 ............................................................................................................................................... 2 系統(tǒng)現(xiàn)狀和需求分析 ................................................................................................................. 2 方案設(shè)計(jì)概述 .............................................................................................................................. 5 安全域的劃分 ..................................................................................................................... 6 安全策略設(shè)計(jì)： ................................................................................................................. 6 防火墻系統(tǒng)的部署 ............................................................................................................. 7 入侵檢測(cè)防御系統(tǒng)（ IDP）的部署： ............................................................................ 8 SSL VPN 安全接入系統(tǒng)部署 .......................................................................................... 8 2. 系統(tǒng)詳細(xì)設(shè)計(jì)方案 .................................................................................................... 10 解決方案綜述 ............................................................................................................................10 一體化信息安全技術(shù)模型 ..............................................................................................10 電力信息系統(tǒng)安全域基本概念 ......................................................................................12 XX 電力網(wǎng)絡(luò)安全域劃分及防火墻部署方案 .......................................................................13 安全域的邏輯劃 分 ...........................................................................................................13 防火墻系統(tǒng)部署方案 ......................................................................................................17 入侵檢測(cè)防御系統(tǒng)設(shè)計(jì)與部署 ...............................................................................................26 入侵檢測(cè)防御系統(tǒng)的需求及選 型 ..................................................................................26 IDP 應(yīng)用層防護(hù)的步驟 ..................................................................................................30 安全管理解決方案 ...........................................................................................................31 SSL VPN 安全接入系統(tǒng)建設(shè) ................................................................................................33 安全接入技術(shù)的選擇 ......................................................................................................33 方案建議 ...........................................................................................................................35 SSL VPN 安全接入系統(tǒng)對(duì)安全的控制 ........................................................................38 SSL 遠(yuǎn)程安全接入方案實(shí)現(xiàn)說(shuō)明 ................................................................................40 3. 方案產(chǎn)品介紹 ............................................................................................................ 47 Juniper ISG 防火墻與入侵防 護(hù)（ IDP）產(chǎn)品介紹 .........................................................47 Juniper SSL VPN 產(chǎn)品介紹 ..................................................................................................52 4. Juniper 公司介紹 ..................................................................................................... 54 第 2 頁(yè) 共 61 頁(yè) 1. 總體描述及總體方案建議 綜述 XX 電力公司是一家大型國(guó)有企業(yè)。 XX 電力信息安全系統(tǒng)是 XX 電力公司計(jì)算機(jī)信息網(wǎng)絡(luò)的重要組成部分。 由于電力系統(tǒng)一直以來(lái)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對(duì)封閉性， 電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本 產(chǎn)生于內(nèi)部 。 計(jì)算機(jī)系統(tǒng)的安全重點(diǎn)在于防范于未然，即在安全事故發(fā)生之前就給予充分的重視，制定綜合的安全管理策略，并建立起一套行之有效的可操作控制和集中管理的信息安全保障系統(tǒng)，對(duì)安全風(fēng)險(xiǎn)做到可知、可控、可防。 系統(tǒng)現(xiàn)狀和需求分析 信息技術(shù)是公司提高生產(chǎn)和管理效率的一個(gè)有力手段。 如下圖所示，從 200X 年開始 XX 電力就開始了網(wǎng)絡(luò)安全的建設(shè)工作，至今已建設(shè)完成：總公司 Inter DMZ 安全接入、總公司銀行網(wǎng)關(guān)安全接入、全省桌面防病毒系統(tǒng)、總公司入侵檢測(cè)系統(tǒng)、總公司安全掃描系統(tǒng)等安全子系統(tǒng)。但隨著電力行業(yè)完成組織機(jī)構(gòu)重組和區(qū)域的重新劃分之后，廠網(wǎng)分開、競(jìng)價(jià)上網(wǎng)的經(jīng)營(yíng)模式將逐步變?yōu)楝F(xiàn)實(shí)，這意味著電力系統(tǒng)一直以來(lái)相對(duì)封閉性網(wǎng)絡(luò) 結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)將被打破，與外界接口將進(jìn)一步增加，特別是與銀行、電廠等合作單位中間業(yè)務(wù)的接口，電力營(yíng)銷、網(wǎng)上客服、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求將進(jìn)一步發(fā)展， XX 電力的安全問題將不僅僅局限于內(nèi)部事件了，來(lái)自外界的攻擊將越來(lái)越多，原有的安全結(jié)構(gòu)及安全基礎(chǔ)設(shè)施已越來(lái)越不適應(yīng) XX 電力下一步信息化建設(shè)發(fā)展的需求。未形成從網(wǎng)絡(luò)安