等保建設(shè)交流--深信服ppt課件1信息安全等級(jí)保護(hù)建設(shè)信息安全等級(jí)保護(hù)建設(shè)2等級(jí)保護(hù)政策介紹和建設(shè)思路等級(jí)保護(hù)政策介紹等級(jí)保護(hù)政策解讀等級(jí)保護(hù)建設(shè)思路探討等保建設(shè)方案統(tǒng)一規(guī)劃等保項(xiàng)目注意事項(xiàng)目錄等級(jí)保護(hù)政策介紹和建設(shè)思路目錄3信息安全等級(jí)保護(hù)制度信息安全等級(jí)保護(hù)（以下簡(jiǎn)稱等保）是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。信息安全等級(jí)保護(hù)制度信息安全等級(jí)保護(hù)（以下簡(jiǎn)稱等保）是指對(duì)國(guó)4等保的5個(gè)監(jiān)管等級(jí)對(duì)象等級(jí)合法權(quán)益社會(huì)秩序和

公共利益國(guó)家安全損害嚴(yán)重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)

重?fù)p害損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害一般

系統(tǒng)一級(jí)√二級(jí)√√重要

系統(tǒng)三級(jí)√√四級(jí)√√極端重

要系統(tǒng)五級(jí)√等保采用分系統(tǒng)定級(jí)的方法，當(dāng)擁有多個(gè)信息系統(tǒng)時(shí)，需要分別進(jìn)行定級(jí)，并分別進(jìn)行保護(hù)。在五個(gè)監(jiān)管等級(jí)中，三級(jí)與四級(jí)系統(tǒng)為監(jiān)管的重點(diǎn)，也是建設(shè)的重點(diǎn)。等保的5個(gè)監(jiān)管等級(jí)對(duì)象等級(jí)合法權(quán)益社會(huì)秩序和

公共利益國(guó)家安決定等級(jí)的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服務(wù)范圍業(yè)務(wù)處理的自動(dòng)化程度業(yè)務(wù)重要性業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性業(yè)務(wù)依賴性基于業(yè)務(wù)的重要性和依賴性分析關(guān)鍵要素，確定業(yè)務(wù)數(shù)據(jù)安全性和業(yè)務(wù)處理連續(xù)性要求。業(yè)務(wù)數(shù)據(jù)安全性業(yè)務(wù)處理連續(xù)性信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)業(yè)務(wù)數(shù)據(jù)安全性和業(yè)務(wù)處理連續(xù)性要求確定安全保護(hù)等級(jí)。從等保的定級(jí)要求可以看出，等保關(guān)注的重點(diǎn)在于業(yè)務(wù)的可靠性和信息保密性。決定等級(jí)的主要因素分析信息系統(tǒng)所屬類型業(yè)務(wù)數(shù)據(jù)類別信息系統(tǒng)服6不同級(jí)別之間保護(hù)能力的區(qū)別總體來(lái)看，各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力不同，即能夠?qū)瓜到y(tǒng)面臨的威脅的程度以及在遭到威脅破壞后，系統(tǒng)能夠恢復(fù)之前的各種狀態(tài)的能力是不同的。一級(jí)具有15個(gè)技術(shù)目標(biāo)，16個(gè)管理目標(biāo)；二級(jí)具有29個(gè)技術(shù)目標(biāo)，25個(gè)管理目標(biāo)；三級(jí)具有36個(gè)技術(shù)目標(biāo)，27個(gè)管理目標(biāo)；四級(jí)具有41個(gè)技術(shù)目標(biāo)，28個(gè)管理目標(biāo)。技術(shù)要求的變化包括：安全要求的增加安全要求的增強(qiáng)管理要求的變化包括：管理活動(dòng)控制點(diǎn)的增加，每個(gè)控制點(diǎn)具體管理要求的增多管理活動(dòng)的能力逐步加強(qiáng)，借鑒能力成熟度模型（CMM）不同級(jí)別之間保護(hù)能力的區(qū)別總體來(lái)看，各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力不7安全控制定級(jí)指南過(guò)程方法確定系統(tǒng)等級(jí)啟動(dòng)采購(gòu)/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄確定安全需求設(shè)計(jì)安全方案安全建設(shè)安全測(cè)評(píng)監(jiān)督管理運(yùn)行維護(hù)暫不考慮特殊需求等級(jí)需求基本要求產(chǎn)品使用選型監(jiān)督管理測(cè)評(píng)準(zhǔn)則流程方法監(jiān)管流程應(yīng)急預(yù)案應(yīng)急響應(yīng)等級(jí)保護(hù)定義的信息安全建設(shè)過(guò)程等級(jí)保護(hù)工作對(duì)應(yīng)完整的信息安全建設(shè)生命周期安全定級(jí)指南過(guò)程確定系統(tǒng)等級(jí)啟動(dòng)采購(gòu)/開發(fā)實(shí)施運(yùn)行/維護(hù)廢棄8等級(jí)保護(hù)建設(shè)的一般過(guò)程整改評(píng)估定級(jí)評(píng)測(cè)確定系統(tǒng)或者子系統(tǒng)的安全等級(jí)依據(jù)等級(jí)要求，對(duì)現(xiàn)有技術(shù)和管理手段的進(jìn)行評(píng)估，并給出改進(jìn)建議針對(duì)評(píng)估過(guò)程中發(fā)現(xiàn)的不滿足等保要求的地方進(jìn)行整改評(píng)測(cè)機(jī)構(gòu)依據(jù)等級(jí)要求，對(duì)系統(tǒng)是否滿足要求進(jìn)行評(píng)測(cè)，并給出結(jié)論監(jiān)管對(duì)系統(tǒng)進(jìn)行周期性的檢查，以確定系統(tǒng)依然滿足等級(jí)保護(hù)的要求等級(jí)保護(hù)建設(shè)的一般過(guò)程整改評(píng)估定級(jí)評(píng)測(cè)確定系統(tǒng)或者子系統(tǒng)的安9等級(jí)保護(hù)政策介紹和建設(shè)思路等級(jí)保護(hù)政策介紹等級(jí)保護(hù)政策與技術(shù)解讀等級(jí)保護(hù)建設(shè)思路探討等保建設(shè)方案統(tǒng)一規(guī)劃等保分步實(shí)施實(shí)踐目錄等級(jí)保護(hù)政策介紹和建設(shè)思路目錄10等保的地位和作用是信息安全工作的基本制度；是信息安全工作的基本國(guó)策；是信息安全工作的基本方法；是保護(hù)信息化、維護(hù)國(guó)家信息安全的根本保障，是國(guó)家意志的體現(xiàn)；是開展信息安全工作的抓手，也是靈魂?！怨膊康念I(lǐng)導(dǎo)講話等保的地位和作用是信息安全工作的基本制度；——摘自公安部的領(lǐng)11等保核心思想：適度安全信息安全工作中，等保給予用戶明確的目標(biāo)，幫助用戶更清晰的認(rèn)識(shí)安全薄弱環(huán)節(jié)。沒(méi)有100%的安全，適度安全的核心思想讓用戶達(dá)到投資/收益最佳比。系統(tǒng)重要程度系統(tǒng)保護(hù)要求安全基線安全基線安全基線一級(jí)二級(jí)三級(jí)四級(jí)等保核心思想：適度安全信息安全工作中，等保給予用戶明確的目標(biāo)12等?；颈Ｗo(hù)要求框架物理安全安全管理制度網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理技術(shù)要求管理要求某級(jí)要求等保基本保護(hù)要求框架物理安全安全管理制度網(wǎng)絡(luò)安全系統(tǒng)安全應(yīng)用13等保不同級(jí)別的保護(hù)能力的區(qū)別各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力不同，即能夠?qū)瓜到y(tǒng)面臨的威脅的程度以及在遭到威脅破壞后，系統(tǒng)能夠恢復(fù)之前的各種狀態(tài)的能力是不同的。技術(shù)要求：安全要求的增加安全要求的增強(qiáng)管理要求：管理活動(dòng)控制點(diǎn)的增加，每個(gè)控制點(diǎn)具體管理要求的增多管理活動(dòng)的能力逐步加強(qiáng)，借鑒能力成熟度模型（CMM）等保不同級(jí)別的保護(hù)能力的區(qū)別各級(jí)系統(tǒng)應(yīng)對(duì)威脅的能力不同，即能14等級(jí)保護(hù)技術(shù)要求歸納13個(gè)核心技術(shù)要求涉及層面涉及1級(jí)系統(tǒng)涉及2級(jí)系統(tǒng)涉及3級(jí)系統(tǒng)涉及4級(jí)系統(tǒng)身份鑒別和自主訪問(wèn)控制網(wǎng)絡(luò)、主機(jī)、應(yīng)用√√√√強(qiáng)制訪問(wèn)控制主機(jī)

√√安全審計(jì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用

√√√完整性和保密性保護(hù)網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)√√√√邊界保護(hù)網(wǎng)絡(luò)

√√√資源控制網(wǎng)絡(luò)、主機(jī)、應(yīng)用√√√入侵防范和惡意代碼防范網(wǎng)絡(luò)、主機(jī)、應(yīng)用√√√√可信路徑設(shè)置網(wǎng)絡(luò)、主機(jī)、應(yīng)用√系統(tǒng)防滲透措施網(wǎng)絡(luò)、主機(jī)、應(yīng)用√安全管理平臺(tái)設(shè)置網(wǎng)絡(luò)、主機(jī)、應(yīng)用√√備份與恢復(fù)網(wǎng)絡(luò)、數(shù)據(jù)√√密碼技術(shù)應(yīng)用網(wǎng)絡(luò)、主機(jī)、應(yīng)用√√環(huán)境與設(shè)施安全物理√√√√等級(jí)保護(hù)技術(shù)要求歸納13個(gè)核心技術(shù)要求涉及層面涉及1級(jí)系統(tǒng)涉15不同等級(jí)保護(hù)技術(shù)措施要求不同等級(jí)保護(hù)技術(shù)措施要求16不同等級(jí)保護(hù)技術(shù)措施要求不同等級(jí)保護(hù)技術(shù)措施要求17等級(jí)保護(hù)管理要求安全管理制度信息安全管理的前提安全管理機(jī)構(gòu)信息安全管理的基礎(chǔ)人員安全管理信息安全管理的保障系統(tǒng)建設(shè)管理圍繞安全建設(shè)的設(shè)計(jì)、采購(gòu)、實(shí)施，不斷完善信息安全系統(tǒng)運(yùn)維管理信息安全管理的核心安全管理安全管理的目標(biāo)是讓管理制度切實(shí)落地，日常運(yùn)維是最繁雜的工作。等級(jí)保護(hù)管理要求安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)18等級(jí)保護(hù)政策介紹和建設(shè)思路等級(jí)保護(hù)政策介紹等級(jí)保護(hù)政策解讀等級(jí)保護(hù)建設(shè)思路探討等保建設(shè)方案統(tǒng)一規(guī)劃等保分步實(shí)施實(shí)踐目錄等級(jí)保護(hù)政策介紹和建設(shè)思路目錄19建設(shè)思路：主動(dòng)應(yīng)對(duì)，借梯上樓借梯上樓方法：以等保為契機(jī)，統(tǒng)一進(jìn)行安全規(guī)劃和建設(shè)，加強(qiáng)整個(gè)系統(tǒng)的信息安全優(yōu)點(diǎn)：重整優(yōu)化IT基礎(chǔ)架構(gòu)有計(jì)劃地滿足等保缺點(diǎn)：改造工作資金投入較大對(duì)象：沒(méi)有針對(duì)某安全體系標(biāo)準(zhǔn)進(jìn)行重整過(guò)的查漏補(bǔ)缺方法：在現(xiàn)有IT架構(gòu)中收集證據(jù)，不滿足的地方適當(dāng)修補(bǔ)優(yōu)點(diǎn)：改造工作資金投入小缺點(diǎn)：IT架構(gòu)越補(bǔ)越復(fù)雜，最后補(bǔ)不勝補(bǔ)等保滿足時(shí)間點(diǎn)不可預(yù)期對(duì)象：已經(jīng)采用其他安全體系標(biāo)準(zhǔn)的IT系統(tǒng)，例如運(yùn)營(yíng)商等保建設(shè)中常見的兩種應(yīng)對(duì)思路：借梯上樓是主動(dòng)的改造思路。對(duì)于大多數(shù)IT系統(tǒng)，建議采用“借梯上樓”的方法，優(yōu)化IT架構(gòu)，滿足等保建設(shè)思路：主動(dòng)應(yīng)對(duì)，借梯上樓借梯上樓查漏補(bǔ)缺等保建設(shè)中常20分責(zé)運(yùn)維等級(jí)保護(hù)建設(shè)流程建議廣域網(wǎng)改造數(shù)據(jù)中心安全局域網(wǎng)加固全網(wǎng)審計(jì)安全管理中心應(yīng)急聯(lián)動(dòng)分步建設(shè)數(shù)據(jù)中心廣域網(wǎng)局域網(wǎng)數(shù)據(jù)安全應(yīng)用安全主機(jī)安全網(wǎng)絡(luò)安全物理安全分區(qū)分域統(tǒng)一規(guī)劃分責(zé)運(yùn)維等級(jí)保護(hù)建設(shè)流程建議廣域網(wǎng)改造局域網(wǎng)加固安全管理中心21關(guān)于統(tǒng)一規(guī)劃三點(diǎn)建議分區(qū)分域?yàn)榛A(chǔ)整個(gè)IT系統(tǒng)的安全基礎(chǔ)在于信息資產(chǎn)的有序排列，排列方法即根據(jù)業(yè)務(wù)對(duì)資產(chǎn)分區(qū)分域，并針對(duì)性地實(shí)施安全策略。分模塊設(shè)計(jì)，便于分步建設(shè)在分區(qū)分域基礎(chǔ)上，統(tǒng)一規(guī)劃，同時(shí)針對(duì)每個(gè)區(qū)域模塊化設(shè)計(jì)，每區(qū)域可獨(dú)立實(shí)施，方便后期分步建設(shè)。注重技術(shù)支撐管理規(guī)劃方案中，管理的方便性做為統(tǒng)一規(guī)劃的重點(diǎn)“三分技術(shù)，七分管理”，通過(guò)技術(shù)手段，可以減少管理的工作量，讓管理制度更好的落地。關(guān)于統(tǒng)一規(guī)劃三點(diǎn)建議分區(qū)分域?yàn)榛A(chǔ)22公安部《等級(jí)保護(hù)設(shè)計(jì)要求》公安部《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》設(shè)計(jì)要求從安全威脅角度的劃分，高度抽象了安全關(guān)注的場(chǎng)景。公安部《等級(jí)保護(hù)設(shè)計(jì)要求》公安部《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技23等保模塊化設(shè)計(jì)框架基礎(chǔ)

網(wǎng)絡(luò)數(shù)據(jù)

中心安全

管理計(jì)算存儲(chǔ)通信安全監(jiān)控安全審計(jì)CDP遠(yuǎn)程災(zāi)備應(yīng)用安全系統(tǒng)安全以信息的三種狀態(tài)為基礎(chǔ)，針對(duì)等保物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)技術(shù)方面要求和安全管理要求，劃分出可分步實(shí)施的局域網(wǎng)、廣域網(wǎng)、數(shù)據(jù)中心、安全管理中心等模塊。等保模塊化設(shè)計(jì)框架基礎(chǔ)

網(wǎng)絡(luò)數(shù)據(jù)

中心安全

管理計(jì)算存儲(chǔ)通信24技術(shù)建設(shè)漏洞監(jiān)控，脆弱性管理集中策略部署管理行為監(jiān)控/異常流量監(jiān)控安全事件集中采集監(jiān)控病毒集中采集監(jiān)控安全審計(jì)工具風(fēng)險(xiǎn)評(píng)估工具威脅定位，響應(yīng)管理管理建設(shè)安全管理機(jī)構(gòu)建設(shè)安全管理制度完善應(yīng)急響應(yīng)流程制定、演練人員培訓(xùn)安全區(qū)域劃分，目標(biāo)制定符合法規(guī)要求持續(xù)改進(jìn)、優(yōu)化、預(yù)防重技術(shù)、輕管理，或者是重管理、輕技術(shù)都是不可取的技術(shù)與管理并重技術(shù)建設(shè)漏洞監(jiān)控，脆弱性管理集中策略部署管理行為監(jiān)控/異常流25分責(zé)運(yùn)維：技術(shù)支撐管理行為審計(jì)安全監(jiān)控身份認(rèn)證權(quán)限控制......數(shù)據(jù)備份恢復(fù)技術(shù)體系管理體系網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全物理安全通過(guò)技術(shù)手段，減輕運(yùn)維中的工作量和復(fù)雜度，讓管理制度更好落地分責(zé)運(yùn)維：技術(shù)支撐管理行為審計(jì)身份認(rèn)證......數(shù)據(jù)備份恢26等級(jí)保護(hù)政策介紹和建設(shè)思路等保建設(shè)方案統(tǒng)一規(guī)劃區(qū)域劃分方法分域設(shè)計(jì)方案等保分步實(shí)施實(shí)踐目錄等級(jí)保護(hù)政策介紹和建設(shè)思路目錄27分區(qū)分域方法橫向分區(qū)，縱向分域按照等保要求，業(yè)務(wù)系統(tǒng)需要保持邊界完整性，橫向分區(qū)保持業(yè)務(wù)系統(tǒng)隔離縱向根據(jù)業(yè)務(wù)系統(tǒng)的不同角色，劃分為數(shù)據(jù)中心/廣域網(wǎng)/局域網(wǎng)虛擬分區(qū)，靈活節(jié)約多業(yè)務(wù)系統(tǒng)共用一套物理網(wǎng)絡(luò)，虛擬分區(qū)保障業(yè)務(wù)系統(tǒng)隔離的同時(shí)，節(jié)省投資，在增加/變更業(yè)務(wù)系統(tǒng)時(shí)靈活方便四級(jí)業(yè)務(wù)四級(jí)業(yè)務(wù)二級(jí)業(yè)務(wù)一級(jí)業(yè)務(wù)數(shù)據(jù)中心域廣域網(wǎng)安全域局域網(wǎng)安全域縱向分域橫向虛擬分區(qū)三級(jí)業(yè)務(wù)三級(jí)業(yè)務(wù)分區(qū)分域方法橫向分區(qū)，縱向分域四級(jí)業(yè)務(wù)四級(jí)業(yè)務(wù)二級(jí)業(yè)務(wù)一級(jí)業(yè)28分域：控制業(yè)務(wù)訪問(wèn)流程按照業(yè)務(wù)訪問(wèn)流程，將整個(gè)網(wǎng)絡(luò)劃分為三個(gè)域：數(shù)據(jù)中心、廣域網(wǎng)、局域網(wǎng)域之間進(jìn)行嚴(yán)格的訪問(wèn)控制，針對(duì)攻擊進(jìn)行全面防范域內(nèi)包含多個(gè)業(yè)務(wù)的情況下，通過(guò)分區(qū)的方法進(jìn)行隔離權(quán)限控制攻擊防范資源控制鏈路安全攻擊防范廣域網(wǎng)優(yōu)化局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心終端數(shù)據(jù)數(shù)據(jù)備份行為控制行為審計(jì)

終端認(rèn)證分域：控制業(yè)務(wù)訪問(wèn)流程按照業(yè)務(wù)訪問(wèn)流程，將整個(gè)網(wǎng)絡(luò)劃分為三個(gè)29分區(qū)：保持業(yè)務(wù)系統(tǒng)的獨(dú)立性通過(guò)分區(qū)，各業(yè)務(wù)系統(tǒng)具有獨(dú)立的IT環(huán)境保持邊界完整，滿足業(yè)務(wù)之間隔離需求每套業(yè)務(wù)系統(tǒng)具有獨(dú)立資源，更好滿足業(yè)務(wù)連續(xù)性要求分區(qū)隔離的方法網(wǎng)絡(luò)改造進(jìn)行物理隔離，例如涉密內(nèi)網(wǎng)與其他業(yè)務(wù)系統(tǒng)結(jié)合應(yīng)用類型采用IPSec或者SSL實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)虛擬劃分局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心業(yè)務(wù)A業(yè)務(wù)B業(yè)務(wù)CIPSecSSL分區(qū)：保持業(yè)務(wù)系統(tǒng)的獨(dú)立性通過(guò)分區(qū)，各業(yè)務(wù)系統(tǒng)具有獨(dú)立的IT30生產(chǎn)分區(qū)物理資源辦公分區(qū)Internet分區(qū)虛擬化分區(qū)在一套物理資源上，采用VPN技術(shù)為多個(gè)業(yè)務(wù)系統(tǒng)虛擬出隔離的IT環(huán)境虛擬化分區(qū)具有獨(dú)立的邏輯資源：帶寬、計(jì)算、策略數(shù)、管理員、QoS虛擬化分區(qū)：節(jié)省投資數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)數(shù)據(jù)中心廣域網(wǎng)生產(chǎn)分區(qū)物理資源辦公分區(qū)Internet分區(qū)虛擬化分區(qū)在一套31等級(jí)保護(hù)政策介紹和建設(shè)思路等保建設(shè)方案統(tǒng)一規(guī)劃區(qū)域劃分方法分域設(shè)計(jì)方案等保分步實(shí)施實(shí)踐目錄等級(jí)保護(hù)政策介紹和建設(shè)思路目錄32數(shù)據(jù)中心對(duì)內(nèi)服務(wù)域非涉密內(nèi)網(wǎng)辦公域Internet外聯(lián)域網(wǎng)絡(luò)核心交換域分支廣域網(wǎng)域數(shù)據(jù)中心核心交換域數(shù)據(jù)中心對(duì)外服務(wù)域補(bǔ)丁與特征庫(kù)升級(jí)服務(wù)域網(wǎng)絡(luò)與安全管理域涉密內(nèi)網(wǎng)辦公域異地災(zāi)備中心VPN路由器SGInternetAD等保分域設(shè)計(jì)方案SSL/NGAF/ADMPLS數(shù)據(jù)中心區(qū)域圖例局域網(wǎng)區(qū)域廣域網(wǎng)區(qū)域安全管理中心GAPWOCNGAFBMNGAFADInternetNGAFNGAFNGAFNGAFWOCNGAF數(shù)據(jù)中心對(duì)內(nèi)服務(wù)域非涉密內(nèi)網(wǎng)辦公域Internet外聯(lián)域網(wǎng)33金融行業(yè)金融行業(yè)34某政府行業(yè)基礎(chǔ)網(wǎng)絡(luò)：拓?fù)?路由/資源共享智能安全數(shù)據(jù)災(zāi)難回復(fù)與備份IP智能管理中心(IMC)戰(zhàn)略與決策資源化管理平臺(tái)廣域網(wǎng)絡(luò)局域交換接入網(wǎng)絡(luò)互聯(lián)網(wǎng)安全服務(wù)無(wú)線服務(wù)存儲(chǔ)服務(wù)計(jì)算服務(wù)應(yīng)急指揮服務(wù)語(yǔ)音視訊服務(wù)IP網(wǎng)絡(luò)存儲(chǔ)IP監(jiān)控IP集合通信應(yīng)用系統(tǒng)三大業(yè)務(wù)平臺(tái)：情報(bào)信息綜合應(yīng)用、警用地理信息應(yīng)用、警務(wù)綜合信息系統(tǒng)8大信息資源庫(kù)全國(guó)人口基本信息全國(guó)出入境人員信息全國(guó)機(jī)動(dòng)車駕駛?cè)诵畔⑷珖?guó)警員基本信息全國(guó)在逃人員信息全國(guó)違法犯罪人員信息全國(guó)被盜搶汽車信息全國(guó)安全重點(diǎn)單位信息一類應(yīng)用系統(tǒng)信息中心應(yīng)急指揮中心協(xié)作溝通平臺(tái)風(fēng)險(xiǎn)隱患檢測(cè)防控指揮調(diào)度應(yīng)急保障視頻監(jiān)控系統(tǒng)攝

像

系

統(tǒng)顯

示

系

統(tǒng)編

碼

器視頻管理系統(tǒng)智

能

分析模

數(shù)

互

控解

碼

器應(yīng)急評(píng)估預(yù)警預(yù)測(cè)會(huì)議電視系統(tǒng)電話通信系統(tǒng)通信自動(dòng)化系統(tǒng)全國(guó)邊防前臺(tái)查詢系統(tǒng)全國(guó)公民出國(guó)境管理信息系統(tǒng)全國(guó)境外人員管理信息系統(tǒng)全國(guó)在逃人員信息系統(tǒng)全國(guó)重大刑事案件信息系統(tǒng)全國(guó)現(xiàn)場(chǎng)指紋遠(yuǎn)程傳輸系統(tǒng)全國(guó)法輪功邪教組織重點(diǎn)人員。。。。公安外事管理信息系統(tǒng)公安部國(guó)有資產(chǎn)管理信息系統(tǒng)公安信息網(wǎng)遠(yuǎn)程教育系統(tǒng)公安部機(jī)關(guān)電子政務(wù)系統(tǒng)公安信息化標(biāo)準(zhǔn)動(dòng)態(tài)發(fā)布維護(hù)系統(tǒng)公安檔案信息管理系統(tǒng)機(jī)要文件交換自動(dòng)化管理系統(tǒng)。。。。二三類應(yīng)用系統(tǒng)應(yīng)急綜合應(yīng)用平臺(tái)某政府行業(yè)基礎(chǔ)網(wǎng)絡(luò)：拓?fù)?路由/資源共享智能安全數(shù)據(jù)災(zāi)難回復(fù)35等級(jí)保護(hù)政策介紹和建設(shè)思路等保建設(shè)方案統(tǒng)一規(guī)劃區(qū)域劃分方法分域設(shè)計(jì)方案等保分步實(shí)施實(shí)踐目錄等級(jí)保護(hù)政策介紹和建設(shè)思路目錄36三大區(qū)域的核心技術(shù)措施要求編號(hào)10個(gè)核心技術(shù)要求數(shù)據(jù)中心

設(shè)計(jì)目標(biāo)廣域網(wǎng)

設(shè)計(jì)目標(biāo)局域網(wǎng)

設(shè)計(jì)目標(biāo)1身份鑒別和自主訪問(wèn)控制是是是2安全審計(jì)是是是3完整性和保密性保護(hù)是是是4邊界保護(hù)是是是5資源控制是是否6入侵防范和惡意代碼防范是是是7安全管理平臺(tái)設(shè)置是是是8備份與恢復(fù)是否否9強(qiáng)制訪問(wèn)控制是否否10環(huán)境與設(shè)施安全是是是三大區(qū)域的核心技術(shù)措施要求編號(hào)10個(gè)核心技術(shù)要求數(shù)據(jù)中心

設(shè)37措施解讀1：身份鑒別和自主訪問(wèn)控制第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求要求身份鑒別，允許設(shè)置給其他用戶共享資源，限制非授權(quán)訪問(wèn)(同左)(增加)采用兩種以上身份識(shí)別技術(shù)(同左)網(wǎng)絡(luò)

要求防火墻要求有包過(guò)濾功能；VPN接入控制粒度為用戶組防火墻要求基于狀態(tài)過(guò)濾；VPN接入控制粒度為單個(gè)用戶對(duì)便攜設(shè)備接入進(jìn)行控制；VPN實(shí)現(xiàn)分級(jí)分權(quán)訪問(wèn)(SSLVPN)禁止通用協(xié)議和移動(dòng)便攜設(shè)備；禁止VPN用戶接入主機(jī)

和應(yīng)用

要求對(duì)操作系統(tǒng)和服務(wù)器進(jìn)行訪問(wèn)控制(同左)要求兩種接入控制措施，可采取Windows域賬戶/SSLVPN相結(jié)合方式(同左)措施解讀1：身份鑒別和自主訪問(wèn)控制第一級(jí)第二級(jí)第三級(jí)第四級(jí)總應(yīng)用訪問(wèn)控制網(wǎng)站訪問(wèn)言論發(fā)布文件傳輸郵件收發(fā)IM/P2P等應(yīng)用控制與提醒要求1：身份鑒別和自主訪問(wèn)控制（1）需求描述：針對(duì)互聯(lián)網(wǎng)業(yè)務(wù)鑒別用戶身份，對(duì)不同用戶進(jìn)行不同權(quán)限下發(fā)，控制其可訪問(wèn)的資源。技術(shù)方案：通過(guò)AC或者SG針對(duì)用戶互聯(lián)網(wǎng)訪問(wèn)完成多維度的自主訪問(wèn)控制認(rèn)證服務(wù)器AC/SG應(yīng)用訪問(wèn)控制要求1：身份鑒別和自主訪問(wèn)控制（1）需求描述：針39與或

組合用戶名密碼硬件特征碼短信認(rèn)證USBKEY認(rèn)證動(dòng)態(tài)令牌CA認(rèn)證LDAPRADIUS要求1：身份鑒別和自主訪問(wèn)控制（2）需求描述：對(duì)關(guān)鍵業(yè)系統(tǒng)的訪問(wèn)，可進(jìn)行身份鑒別并根據(jù)鑒別結(jié)果設(shè)置細(xì)粒度的訪問(wèn)權(quán)限。技術(shù)方案：通過(guò)SSL

VPN，結(jié)合多種認(rèn)證方式，控制內(nèi)/外部用戶的訪問(wèn)權(quán)限。角色細(xì)粒度授權(quán)，URL級(jí)別授權(quán)主從賬號(hào)綁定服務(wù)器地址偽裝、資源隱藏基于客戶端安全級(jí)別的授權(quán)應(yīng)用權(quán)限控制身份鑒別局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心終端系統(tǒng)SSL與或

組合用戶名密碼硬件特征碼短信認(rèn)證USBKEY認(rèn)證動(dòng)態(tài)40措施解讀2：強(qiáng)制訪問(wèn)控制第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體要求資源分類分級(jí)標(biāo)記，按照訪問(wèn)控制策略，控制用戶的訪問(wèn)要求(同左)主機(jī)要求主體粒度為用戶級(jí)，對(duì)客體粒度為文件、數(shù)據(jù)庫(kù)表/記錄、字段級(jí)（建議采取SSLVPN配合數(shù)據(jù)庫(kù)管理工具滿足）(同左)措施解讀2：強(qiáng)制訪問(wèn)控制第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體要求資源措施解讀3：安全審計(jì)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求對(duì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)、用戶行為進(jìn)行審計(jì)、記錄(增加)對(duì)審計(jì)的統(tǒng)計(jì)分析和報(bào)警、確保審計(jì)記錄可用，防止被非法訪問(wèn)和破壞(增加)違例行為中止要求網(wǎng)絡(luò)、主機(jī)

和應(yīng)用

要求網(wǎng)絡(luò)流量分析（BM）服務(wù)器訪問(wèn)和上網(wǎng)行為審計(jì)(AC)對(duì)日志進(jìn)行收集分析，輸出審計(jì)報(bào)表；并增加抗抵賴要求安全事件統(tǒng)一管理審計(jì)，跟蹤監(jiān)測(cè)到的安全侵害事件，并終止違規(guī)進(jìn)程措施解讀3：安全審計(jì)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求對(duì)網(wǎng)絡(luò)病毒日志、安全日志等其他文件傳輸、炒股、網(wǎng)游等各種行為Email、Webmail正文和附件精細(xì)的SSL應(yīng)用訪問(wèn)日志URL地址、網(wǎng)頁(yè)內(nèi)容、發(fā)貼內(nèi)容流量審計(jì)、時(shí)間審計(jì)要求3：安全審計(jì)需求描述：覆蓋網(wǎng)絡(luò)、安全、應(yīng)用的行為進(jìn)行審計(jì)。技術(shù)方案：網(wǎng)絡(luò)中旁掛或者在線部署審計(jì)系統(tǒng)，審計(jì)所有流量，分析網(wǎng)絡(luò)/主機(jī)/應(yīng)用行為，提供豐富的審計(jì)報(bào)表，定期自動(dòng)發(fā)送。局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心終端系統(tǒng)SSLNGAFACNGAF病毒日志、安全日志等其他文件傳輸、炒股、網(wǎng)游等各種行為Ema43要求3：安全審計(jì)（補(bǔ)充）針對(duì)數(shù)據(jù)庫(kù)、設(shè)備操作、主機(jī)等方面的審計(jì)我們暫不涉及收集&分析Syslog審計(jì)網(wǎng)關(guān)操作日志主機(jī)系統(tǒng)SOC系統(tǒng)事件網(wǎng)絡(luò)事件行為事件數(shù)據(jù)庫(kù)事件數(shù)據(jù)庫(kù)系統(tǒng)SNMP網(wǎng)絡(luò)系統(tǒng)安全事件防火墻/IPS行為日志要求3：安全審計(jì)（補(bǔ)充）針對(duì)數(shù)據(jù)庫(kù)、設(shè)備操作、主機(jī)等方面的審44措施解讀4：完整性和保密性保護(hù)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求數(shù)據(jù)和信息完整性要求(增加)對(duì)信息加密、防泄漏、可重用要求(增加)對(duì)信息完整性要求，重要信息恢復(fù)要求(同左)網(wǎng)絡(luò)

要求關(guān)注帶寬和拓?fù)浜侠硇杂布哂嘣O(shè)計(jì)(雙機(jī)熱備)和防地址欺騙功能QoS功能，配置恢復(fù)應(yīng)用

要求無(wú)對(duì)敏感信息加密(VPN)非對(duì)稱密鑰加密(SSLVPN)硬件設(shè)備加密(網(wǎng)關(guān)+USBKey)數(shù)據(jù)

要求有選擇的備份具備自動(dòng)備份功能剩余數(shù)據(jù)要清除重要系統(tǒng)本地?zé)醾洌惖貍浞軨DP方案)重要系統(tǒng)本/異地?zé)醾?CDP方案)措施解讀4：完整性和保密性保護(hù)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求4：完整性和保密性需求描述：通過(guò)加密技術(shù)、完整性校驗(yàn)技術(shù)保障。技術(shù)方案：采用SSL或者IPSec

VPN的方式，對(duì)內(nèi)/外部訪問(wèn)內(nèi)容加密實(shí)現(xiàn)。外部數(shù)據(jù)中心接入點(diǎn)移動(dòng)用戶分支/機(jī)構(gòu)SSL

VPNIPSec

VPNIPSec/WOC/ACEasyConnSSLVPN內(nèi)部專網(wǎng)分支/機(jī)構(gòu)EasyConn內(nèi)部數(shù)據(jù)中心IPSec/SSL二合一業(yè)務(wù)A業(yè)務(wù)BSSL

VPN引導(dǎo)虛擬門戶，針對(duì)不同等級(jí)業(yè)務(wù)系統(tǒng)進(jìn)行隔離引導(dǎo)主從綁定、國(guó)密算法、精細(xì)控制要求4：完整性和保密性需求描述：通過(guò)加密技術(shù)、完整性校驗(yàn)技術(shù)46措施解讀5：邊界保護(hù)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求防止非授權(quán)外聯(lián)要求(增加)防止非授權(quán)接入、防止信息非授權(quán)交換(同左)網(wǎng)絡(luò)

要求防止內(nèi)部用戶非法外聯(lián)(NGAF、AC、SSL)(增加)防止非法接入網(wǎng)絡(luò)(終端軟件)(同左)措施解讀5：邊界保護(hù)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求防止非要求5：邊界保護(hù)需求描述：保持邊界完整性，業(yè)務(wù)系統(tǒng)之間隔離。技術(shù)方案：采用NGAF+VPN，構(gòu)造2-7層的全面隔離體系。物理層鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層基礎(chǔ)安全深度安全NGAFVPN如何定義邊界：通俗來(lái)說(shuō)就是在各個(gè)安全域之間，可以有內(nèi)部邊界、外部邊界等等。內(nèi)部邊界：數(shù)據(jù)中心內(nèi)部、數(shù)據(jù)中心與廣域網(wǎng)、廣域網(wǎng)與局域網(wǎng)外部邊界：外聯(lián)區(qū)與互聯(lián)網(wǎng)、局域網(wǎng)與互聯(lián)網(wǎng)、終端撥號(hào)要求5：邊界保護(hù)需求描述：保持邊界完整性，業(yè)務(wù)系統(tǒng)之間隔離。48措施解讀6：資源控制第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求分配用戶資源使用權(quán)限，保護(hù)主機(jī)和系統(tǒng)資源要求(增加)對(duì)系統(tǒng)軟硬件資源進(jìn)行配置和檢測(cè)，對(duì)違規(guī)使用行為進(jìn)行報(bào)警要求(增加)系統(tǒng)管理員配置和檢測(cè)資源，安全管理員分配資源權(quán)限應(yīng)用

和主機(jī)要求通過(guò)FW控制單個(gè)用戶和系統(tǒng)總共連接數(shù)AC控制單個(gè)用戶對(duì)系統(tǒng)資源的使用；AD對(duì)服務(wù)資源進(jìn)行檢測(cè)和分配全部資源采取優(yōu)先級(jí)訪問(wèn)；限制違規(guī)終端登陸措施解讀6：資源控制第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求分配用要求5：入侵防范和惡意代碼防范需求描述：保護(hù)終端和服務(wù)器不受入侵/病毒的攻擊。技術(shù)方案：采用NGAF/AC及網(wǎng)絡(luò)版防病毒軟件

，實(shí)現(xiàn)從終端到應(yīng)用系統(tǒng)的端到端防護(hù)，保障特征庫(kù)的即時(shí)升級(jí)。終端安全終端安全檢查

URL過(guò)濾過(guò)濾腳本、插件危險(xiǎn)流量封堵查殺木馬、病毒

系統(tǒng)安全

服務(wù)器隱藏

Web防護(hù)

漏洞防護(hù)

抗DDoS查殺木馬、病毒

局域網(wǎng)廣域網(wǎng)數(shù)據(jù)

中心終端系統(tǒng)要求5：入侵防范和惡意代碼防范需求描述：保護(hù)終端和服務(wù)器不受50措施解讀7：入侵防范和惡意代碼防范第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求要求防范病毒等惡意代碼(增加)檢測(cè)入侵攻擊網(wǎng)絡(luò)、系統(tǒng)行為要求(增加)防范惡意代碼入侵、植入、發(fā)作、傳播要求，報(bào)警和清除要求(增加)實(shí)時(shí)報(bào)警和清除措施網(wǎng)絡(luò)、主機(jī)

和應(yīng)用要求重要服務(wù)器安裝殺毒軟件，并實(shí)時(shí)升級(jí)(終端軟件自動(dòng)完成)服務(wù)器和重要終端安全殺毒軟件；邊界有入侵檢測(cè)和防病毒網(wǎng)關(guān)(推薦具有專業(yè)病毒庫(kù)的IPS實(shí)現(xiàn)(增加)攻擊日志記錄，通過(guò)安全管理中心

記錄入侵源、目的、類型、時(shí)間等(增加)入侵實(shí)時(shí)告警、阻斷；所有服務(wù)器和終端安裝殺毒軟件措施解讀7：入侵防范和惡意代碼防范第一級(jí)第二級(jí)第三級(jí)第四級(jí)總要求6：資源控制需求描述：保護(hù)服務(wù)器、帶寬等資源的合理分配。技術(shù)方案：網(wǎng)絡(luò)資源控制，部署廣域網(wǎng)優(yōu)化WOC，為廣域網(wǎng)傳輸過(guò)程中的關(guān)鍵業(yè)務(wù)提供帶寬保障。服務(wù)器資源控制，部署應(yīng)用交付AD設(shè)備，限制訪問(wèn)者及其連接數(shù)，提升服務(wù)器的響應(yīng)速度和計(jì)算性能，節(jié)省服務(wù)器資源。負(fù)荷80％負(fù)荷80％負(fù)荷80％廣域網(wǎng)控制服務(wù)器最大連接數(shù)控制單用戶新建連接、并發(fā)連接、超時(shí)連接提升服務(wù)器對(duì)用戶請(qǐng)求的響應(yīng)速度根據(jù)用戶、業(yè)務(wù)類別，分配不同的帶寬資源提供數(shù)據(jù)、鏈路、應(yīng)用的全面優(yōu)化，提升廣域網(wǎng)訪問(wèn)速度應(yīng)用交付AD廣域網(wǎng)優(yōu)化WOC要求6：資源控制需求描述：保護(hù)服務(wù)器、帶寬等資源的合理分配。52措施解讀10：安全管理平臺(tái)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求要求進(jìn)行集中安全管理和控制(同左)網(wǎng)絡(luò)、主機(jī)

和應(yīng)用

要求建立安管中心統(tǒng)一收集日志，下發(fā)安全策略，統(tǒng)一升級(jí)病毒特征庫(kù)(同左)措施解讀10：安全管理平臺(tái)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求需求10：安全管理平臺(tái)設(shè)置需求描述：集中策略部署，集中審計(jì)，集中響應(yīng)。技術(shù)方案：數(shù)據(jù)中心的安全事件必須及時(shí)上報(bào)道安全管理平臺(tái)，且接受管理平臺(tái)統(tǒng)一的策略部署。支持將所有產(chǎn)品的安全事件支持統(tǒng)一上報(bào)SOC，由安全管理中心進(jìn)行聯(lián)動(dòng)分析SOC需求10：安全管理平臺(tái)設(shè)置需求描述：集中策略部署，集中審計(jì)，54措施解讀11：備份與恢復(fù)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求要求系統(tǒng)資源本、異地備份，能夠有效恢復(fù)(同左)網(wǎng)絡(luò)

和數(shù)據(jù)要求對(duì)重要業(yè)務(wù)本地?zé)醾洹惖貍浞?CDP方案)，網(wǎng)絡(luò)設(shè)備、通信線路和服務(wù)器硬件冗余所有數(shù)據(jù)本/異地實(shí)時(shí)備份，并且有災(zāi)備要求(CDP方案)措施解讀11：備份與恢復(fù)第一級(jí)第二級(jí)第三級(jí)第四級(jí)總體

要求要需求10：備份與恢復(fù)需求描述：數(shù)據(jù)及時(shí)備份，發(fā)生威脅時(shí)可快速恢復(fù)業(yè)務(wù)。技術(shù)方案：通過(guò)CDP及WSAN技術(shù)，提供實(shí)時(shí)遠(yuǎn)程的備份恢復(fù)功能。FC磁盤陣列虛擬化虛擬化IPSAN系列災(zāi)備生產(chǎn)卷C快照快照快照備份卷B生產(chǎn)卷A生產(chǎn)卷B快照快照快照備份卷C快照快照快照備份卷A可達(dá)秒級(jí)的最佳數(shù)據(jù)恢復(fù)技術(shù)自動(dòng)連續(xù)快照保護(hù)，預(yù)防軟災(zāi)難支持小帶寬的廣域網(wǎng)備份實(shí)時(shí)在線備份與恢復(fù)NAS需求10：備份與恢復(fù)需求描述：數(shù)據(jù)及時(shí)備份，發(fā)生威脅時(shí)可快速56其他技術(shù)要求編號(hào)目標(biāo)實(shí)現(xiàn)方法9強(qiáng)制訪問(wèn)控制配置操作系統(tǒng)，使用戶不可閱讀超出權(quán)限文檔，也不可寫文檔為低權(quán)限。即做到“不上讀，不下寫”。10可信路徑設(shè)置（四級(jí)要求）要求VPN在用戶身份認(rèn)證之前建立。H3CVPN產(chǎn)品均在身份認(rèn)證前有加密保護(hù)措施。11系統(tǒng)防滲透措施（四級(jí)要求）關(guān)閉主機(jī)編程功能。例如禁止ActiveX，禁止Coding，禁止Email附件的運(yùn)行等12密碼技術(shù)應(yīng)用所購(gòu)買密碼產(chǎn)品需要滿足國(guó)家密碼管理辦公室規(guī)定，有相關(guān)認(rèn)證13環(huán)境與設(shè)施安全機(jī)房與辦公場(chǎng)所按照國(guó)標(biāo)GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361-88《計(jì)算站場(chǎng)地安全要求》建設(shè)其他技術(shù)要求編號(hào)目標(biāo)實(shí)現(xiàn)方法9強(qiáng)制訪問(wèn)控制配置操作系統(tǒng)，使用57等保方案設(shè)計(jì)——數(shù)據(jù)中心對(duì)內(nèi)服務(wù)區(qū)SSLVPN業(yè)務(wù)A業(yè)務(wù)B業(yè)務(wù)C核心交換匯聚交換NGAF資源優(yōu)化與控制安全加固安全管理平臺(tái)方案描述NGAF：有效防范2~7層攻擊，進(jìn)行應(yīng)用訪問(wèn)控制AD：限制單用戶資源分配，提升服務(wù)器響應(yīng)速度和處理能力，提供SSL加密SSLVPN：保證鏈路安全性，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)間的安全隔離和精細(xì)化控制，并進(jìn)行訪問(wèn)審計(jì)APM：針對(duì)業(yè)務(wù)連續(xù)性提供監(jiān)測(cè)依據(jù)異地備份恢復(fù)中心AD園區(qū)網(wǎng)廣域網(wǎng)APM等保方案設(shè)計(jì)——數(shù)據(jù)中心對(duì)內(nèi)服務(wù)區(qū)SSLVPN業(yè)務(wù)A業(yè)務(wù)B58Internet外網(wǎng)NGAF托管區(qū)邊界FW互聯(lián)網(wǎng)接口DMZ區(qū)服務(wù)托管區(qū)內(nèi)網(wǎng)區(qū)ADAD鏈路分擔(dān)NGAF等保方案設(shè)計(jì)——數(shù)據(jù)中心對(duì)外服務(wù)區(qū)網(wǎng)銀WEB網(wǎng)銀APP網(wǎng)銀DB數(shù)據(jù)中心核心層交換機(jī)服務(wù)器分擔(dān)ADSSLVPNNGAFInternet外網(wǎng)NGAF托管區(qū)邊界FW互聯(lián)網(wǎng)DMZ區(qū)服務(wù)方案描述IPSecVPN：實(shí)現(xiàn)跨廣域網(wǎng)的加密傳輸/不同級(jí)別系統(tǒng)隔離需求NGAF：配合VPN，防范廣域網(wǎng)上2~7層攻擊WOC：實(shí)現(xiàn)全網(wǎng)帶