1、信息系統(tǒng)安全保障體系規(guī)劃方案V1.5文檔信息文檔名稱XXXXXXXXXXXX信息系統(tǒng)安全保障體系規(guī)劃方案保密級別商業(yè)秘密文檔編號制作人制作日期復審人復審日期復審日期分發(fā)控制讀者文檔權(quán)限與文檔的主要關(guān)系創(chuàng)建、修改、讀取負責編制、修改、審核本技術(shù)方案XXXXXXXXXXXX閱讀版本控制時間版本說明修改人V1.0文檔初始化V1.5修改完善目 錄1.概述51.1.引言51.2.背景51.2.1.XXXX行業(yè)行業(yè)相關(guān)要求51.2.2.國家等級保護要求61.2.3.三個體系自身業(yè)務要求71.3.三個體系規(guī)劃目標71.3.1.安全技術(shù)和安全運維體系規(guī)劃目標71.3.2.安全管理體系規(guī)劃目標81.4.技術(shù)及運

2、維體系規(guī)劃參考模型及標準101.4.1.參考模型101.4.2.參考標準121.5.管理體系規(guī)劃參考模型及標準121.5.1.國家信息安全標準、指南121.5.2.國際信息安全標準131.5.3.行業(yè)規(guī)范132.技術(shù)體系建設(shè)規(guī)劃142.1.技術(shù)保障體系規(guī)劃142.1.1.設(shè)計原則142.1.2.技術(shù)路線142.2.信息安全保障技術(shù)體系規(guī)劃152.2.1.安全域劃分及網(wǎng)絡改造152.2.2.現(xiàn)有信息技術(shù)體系描述242.3.技術(shù)體系規(guī)劃主要內(nèi)容292.3.1.網(wǎng)絡安全域改造建設(shè)規(guī)劃292.3.2.網(wǎng)絡安全設(shè)備建設(shè)規(guī)劃322.3.3.CA認證體系建設(shè)402.3.4.數(shù)據(jù)安全保障422.3.5.終端安

3、全管理452.3.6.備份與恢復462.3.7.安全運營中心建設(shè)472.3.8.周期性風險評估及風險管理482.4.技術(shù)體系建設(shè)實施規(guī)劃492.4.1.安全建設(shè)階段492.4.2.建設(shè)項目規(guī)劃503.運維體系建設(shè)規(guī)劃513.1.風險評估及安全加固513.1.1.風險評估513.1.2.安全加固513.2.信息安全運維體系建設(shè)規(guī)劃513.2.1.機房安全規(guī)劃513.2.2.資產(chǎn)和設(shè)備安全523.2.3.網(wǎng)絡和系統(tǒng)安全管理553.2.4.監(jiān)控管理和安全管理中心603.2.5.備份與恢復613.2.6.惡意代碼防范623.2.7.變更管理633.2.8.信息安全事件管理643.2.9.密碼管理673

4、.3.運維體系建設(shè)實施規(guī)劃683.3.1.安全建設(shè)階段683.3.2.建設(shè)項目規(guī)劃684.管理體系建設(shè)規(guī)劃704.1.體系建設(shè)704.1.1.建設(shè)思路704.1.2.規(guī)劃內(nèi)容714.2.信息安全管理體系現(xiàn)狀724.2.1.現(xiàn)狀724.2.2.問題744.3.管理體系建設(shè)規(guī)劃754.3.1.信息安全最高方針754.3.2.風險管理764.3.3.組織與人員安全764.3.4.信息資產(chǎn)管理794.3.5.網(wǎng)絡安全管理914.3.6.桌面安全管理934.3.7.服務器管理934.3.8.第三方安全管理954.3.9.系統(tǒng)開發(fā)維護安全管理974.3.10.業(yè)務連續(xù)性管理984.3.11.項目安全建設(shè)管

5、理1004.3.12.物理環(huán)境安全1024.4.管理體系建設(shè)規(guī)劃1034.4.1.項目規(guī)劃1034.4.2.總結(jié)1041. 概述1.1. 引言本文檔基于對XXXX公司（以下簡稱“XXXX公司工業(yè)”）信息安全風險評估總體規(guī)劃的分析，提出XXXX公司工業(yè)信息安全技術(shù)工作的總體規(guī)劃、目標以及基本原則，并在此基礎(chǔ)上從信息安全保障體系的視角描繪了未來的信息安全總體架構(gòu)。本文檔內(nèi)容為信息安全技術(shù)體系、運維體系、管理體系的評估和規(guī)劃，是信息安全保障體系的主體。1.2. 背景1.2.1. XXXX行業(yè)行業(yè)相關(guān)要求國家XXXX行業(yè)總局一直以來十分重視信息安全管理工作，先后下發(fā)了涉及保密計算機運行、等級保護定級等

6、多個文件，在2008年下發(fā)了147號文XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南，指南從技術(shù)、管理、運維三個方面對安全保障提出了建議，如下圖所示。圖 1_1行業(yè)信息安全保障體系框架1.2.2. 國家等級保護要求等級保護工作作為我國信息安全保障工作中的一項基本制度，對提高基礎(chǔ)網(wǎng)絡和重要信息系統(tǒng)安全防護水平有著重要作用，國家XXXX行業(yè)專賣局在2008年8月下發(fā)了國煙辦綜2008358號文國家XXXX行業(yè)專賣局辦公室關(guān)于做好XXXX行業(yè)行業(yè)信息系統(tǒng)安全等級定級工作的通知，而在信息系統(tǒng)安全等級保護基本要求中對信息安全管理和信息安全技術(shù)也提出了要求，如下圖所示。圖 1_2等?；疽罂蚣軋D1.2.3.

7、三個體系自身業(yè)務要求在國家數(shù)字XXXX行業(yè)政策的引導下，近年來信息系統(tǒng)建設(shè)日趨完善，尤其是隨著國家局統(tǒng)一建設(shè)的一號工程的上線，業(yè)務系統(tǒng)對信息系統(tǒng)的依賴程度逐漸增加，信息系統(tǒng)的重要性也逐漸提高，其安全保障就成為了重點。此外，除了一號工程外，信息系統(tǒng)的重要組成部分還有MES系統(tǒng)、ERP系統(tǒng)、網(wǎng)站系統(tǒng)、工商協(xié)同營銷系統(tǒng)、LIMS系統(tǒng)、OA系統(tǒng)及生產(chǎn)系統(tǒng)（卷包中控系統(tǒng)、物流中控系統(tǒng)、制絲中控系統(tǒng)、動力中控系統(tǒng)）等。企業(yè)生產(chǎn)已經(jīng)高度依賴于企業(yè)的信息化和各信息系統(tǒng)。信息系統(tǒng)現(xiàn)階段還無法達到完全的自動化和智能化運行。因此需要各級技術(shù)人員對信息系統(tǒng)進行運行和維護。在整個信息系統(tǒng)運行的過程中，起主導作用的仍然是

8、人，是各級管理員。設(shè)備的作用仍然僅僅停留在執(zhí)行層面。因此信息系統(tǒng)的穩(wěn)定運行的決定因素始終都在于人員的操作。信息安全運維體系的作用是在安全管理體系和安全技術(shù)體系的運行過程中，發(fā)現(xiàn)和糾正各類安全保障措施存在的問題和不足，保證它們穩(wěn)定可靠運行，有效執(zhí)行安全策略規(guī)定的目標和原則。當運行維護過程中發(fā)現(xiàn)目前的信息安全保障體系不能滿足本單位信息化建設(shè)的需要時，就可以對保障體系進行新的規(guī)劃和設(shè)計。從而使新的保障體系能夠適應企業(yè)不斷發(fā)展和變化的安全需求。這也仍遵循和完善了PDCA原則。1.3. 三個體系規(guī)劃目標1.3.1. 安全技術(shù)和安全運維體系規(guī)劃目標建立技術(shù)體系的目的是通過使用安全產(chǎn)品和技術(shù)，支撐和實現(xiàn)安全

9、策略，達到信息系統(tǒng)的保密、完整、可用等安全目標。按照P2DR2模型，行業(yè)信息安全技術(shù)體系涉及信息安全防護、檢測、響應和恢復四個方面的內(nèi)容：1) 防護：通過訪問控制、信息系統(tǒng)完整性保護、系統(tǒng)與通信保護、物理與環(huán)境保護等安全控制措施，使信息系統(tǒng)具備比較完善的抵抗攻擊破壞的能力。2) 檢測：通過采取入侵檢測、漏洞掃描、安全審計等技術(shù)手段，對信息系統(tǒng)運行狀態(tài)和操作行為進行監(jiān)控和記錄，對信息系統(tǒng)的脆弱性以及面臨的威脅進行評估，及時發(fā)現(xiàn)安全隱患和入侵行為并發(fā)出告警。3) 響應：通過事件監(jiān)控和處理工具等技術(shù)措施，提高應急處理和事件響應能力，保證在安全事件發(fā)生后能夠及時進行分析、定位、跟蹤、排除和取證。4)

10、恢復：通過建立信息系統(tǒng)備份和恢復機制，保證在安全事件發(fā)生后及時有效地進行信息系統(tǒng)設(shè)施和重要數(shù)據(jù)的恢復。1.3.2. 安全管理體系規(guī)劃目標本次項目通過風險評估對XXXX公司工業(yè)自身安全管理現(xiàn)狀進行全面了解后，對信息安全管理整體提出以下目標：1.3.2.1. 健全信息安全管理組織建立全面、完整、有效的信息安全保障體系，必須健全、完善信息安全管理組織，這是XXXX公司工業(yè)信息安全保障體系建立的首要任務。信息安全管理組織的健全需要明確角色模型，在此基礎(chǔ)上設(shè)計信息安全崗位職責和匯報關(guān)系，充分考慮XXXX公司工業(yè)與下屬單位的組織模式和特點，做到信息安全職責分工明確合理、責任落實到位。1.3.2.2. 建立

11、信息安全專業(yè)服務團隊隨著XXXX公司工業(yè)信息化的推進，XXXX公司工業(yè)需要有一支擁有各種專業(yè)技能的團隊提供身份認證、安全監(jiān)控、威脅和弱點管理、風險評估等信息安全服務。信息安全團隊建設(shè)的關(guān)鍵在于人才培養(yǎng)和服務團隊的設(shè)立。XXXX公司工業(yè)將在明確信息安全服務團隊設(shè)立方案的基礎(chǔ)上制定人才培養(yǎng)計劃，逐步培養(yǎng)在信息安全各個領(lǐng)域的專業(yè)技術(shù)人才，在3-5年的時間內(nèi)建立起一支高素質(zhì)的，能夠滿足XXXX公司工業(yè)信息安全需求的專業(yè)服務團隊。1.3.2.3. 建立完善的信息安全風險管理流程作為XXXX公司工業(yè)信息安全保障體系的基本理念之一，信息安全風險管理的實現(xiàn)需要建立完善的流程，XXXX公司工業(yè)將建立針對信息安全

12、風險的全程管理能力和信息安全管理持續(xù)改進能力，將信息安全的管理由針對結(jié)果的管理變成針對過程的管理。XXXX公司工業(yè)信息安全風險管理流程需要覆蓋需求分析、控制實施、運行監(jiān)控、響應恢復四個環(huán)節(jié)，識別相應的信息安全風險管理核心流程，并進行流程設(shè)計和實施。1.3.2.4. 完善信息安全制度與標準信息安全制度與標準是信息安全工作在管理、控制、技術(shù)等方面制度化、標準化后形成的一整套文件。XXXX公司工業(yè)已經(jīng)制定并發(fā)布執(zhí)行了一些信息安全相關(guān)的制度和標準，但是在完整性、針對性、可用性和執(zhí)行效果方面都有較大的改進空間。例如在信息安全管理制度的上，沒有依據(jù)XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南或者是ISMS體系

13、建設(shè)等標準和規(guī)范制定，從而使管理規(guī)定缺乏系統(tǒng)性。在前期調(diào)研中，發(fā)現(xiàn)只有系統(tǒng)支持和維護管理控制程序、信息設(shè)備及軟件控制程序等少量管理文檔，不足以滿足XXXX公司工業(yè)對整個信息系統(tǒng)安全管理的需求。XXXX公司工業(yè)需要有計劃的逐步建立一套完整的，可操作的信息安全制度與標準，并通過對執(zhí)行效果的持續(xù)跟蹤，不斷完善，以形成一套真正符合XXXX公司工業(yè)需求、完整有效的信息安全制度與標準，為信息安全工作的開展提供依據(jù)和指導。1.3.2.5. 建立規(guī)范化的流程隨著信息化建設(shè)的推進，XXXX公司工業(yè)需要建設(shè)越來越多的應用系統(tǒng)，這些系統(tǒng)目前日常維護工作基本依靠系統(tǒng)維護人員的經(jīng)驗，因此逐步建立專業(yè)化的信息安全服務和規(guī)

14、范化的流程成為信息安全保障體系建立的重要目標之一。1.4. 技術(shù)及運維體系規(guī)劃參考模型及標準1.4.1. 參考模型目前安全模型已經(jīng)從以前的被動保護轉(zhuǎn)到了現(xiàn)在的主動防御，強調(diào)整個生命周期的防御和恢復。PDR模型就是最早提出的體現(xiàn)這樣一種思想的安全模型。所謂PDR模型指的就是基于防護（Protection）、檢測（Detection）、響應（Reaction）的安全模型。上個世紀90年代末，ANS聯(lián)盟在PDR模型的基礎(chǔ)上建立了新的P2DR模型。該模型是可量化、可由數(shù)學證明、基于時間的、以PDR為核心的安全模型。這里P2DR2是策略（Policy）、防護（Protection）、檢測（Detecti

15、on）、響應（Response）、恢復（Recovery）的縮寫。如下圖所示。ProtectionDetectionResponseRecoveryPolicy圖 1_2 P2DR2模型 策略（Policy）策略是P2DR模型的核心，所有的防護、檢測、響應都是依據(jù)策略。它描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等。 防護（Protection）防護是主動防御的防御部分，系統(tǒng)的安全最終是依靠防護來實現(xiàn)的。防護的對象涵蓋了系統(tǒng)的全部，防護手段也因此多種多樣。 檢測（Detection）檢測是動態(tài)響應和加強防護的依據(jù)。通過不間斷的檢測網(wǎng)絡和系統(tǒng)，來發(fā)現(xiàn)威脅。 響應（Response）

16、響應是主動防御的實現(xiàn)。根據(jù)策略以及檢測到的情況動態(tài)的調(diào)整防護，達到主動防御的目的。信息系統(tǒng)的安全是基于時間特性的，P2DR安全模型的特點就在于動態(tài)性和基于時間的特性。我們可以通過定義下列時間量來描述P2DR模型的時間特性。 防護時間Pt：表示從入侵開始到侵入系統(tǒng)的時間。防護時間由兩方面共同決定：入侵能力，防護能力。高的入侵能力和相對弱的防護能力可以使得防護時間Pt縮短。顯然防護時間越長系統(tǒng)越安全。 檢測時間Dt：表示檢測系統(tǒng)發(fā)現(xiàn)系統(tǒng)的安全隱患和潛在攻擊檢測的時間。改進檢測算法和設(shè)計可縮短Dt。 響應時間Rt：表示從檢測到系統(tǒng)漏洞或監(jiān)控到非法攻擊到系統(tǒng)啟動處理措施的時間。一個監(jiān)控系統(tǒng)的響應可能包

17、括見識、切換、跟蹤、報警、反擊等內(nèi)容。而安全事件的事后處理（如恢復、總結(jié)等）不納入事件響應的范疇之內(nèi)。 暴露時間Et：表示系統(tǒng)處于不安全狀態(tài)的時間?？梢远xEtDtRtPt。顯然Et越小表示系統(tǒng)越安全，當Et0時，可以認為系統(tǒng)是安全的。隨著技術(shù)的進步，人們在P2DR模型以后又提出了APPDRR模型，即在P2DR模型中加入恢復（Recovery）手段。這樣一旦系統(tǒng)安全事故發(fā)生了，也能恢復系統(tǒng)功能和數(shù)據(jù)，恢復系統(tǒng)的正常運行。1.4.2. 參考標準主要參考標準： 信息保障技術(shù)框架v3.1（IATF）美國國家安全局 信息系統(tǒng)安全管理指南（ISO 13335）國際標準化組織 信息安全風險評估指南（國標審

18、議稿）中華人民共和國質(zhì)監(jiān)總局其它參考標準： AS/NZS 4360: 1999 風險管理標準 ISO/IEC 17799:2005 /BS7799 Part 1 ISO/IEC 27001:2005 /BS7799 Part 2 ISO/IEC 15408（CC） GB17859-1999 等級保護實施意見（公通字200466號） 計算機信息系統(tǒng)安全保護等級劃分準則GB 17859行業(yè)參考標準： XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南1.5. 管理體系規(guī)劃參考模型及標準1.5.1. 國家信息安全標準、指南1. GB/T 202742006 信息系統(tǒng)安全保障評估框架2. GB/T 19715.

19、12005 信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念和模型3. GB/T 19715.22005 信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全4. GB/T 197162005 信息技術(shù)信息安全管理實用規(guī)則1.5.2. 國際信息安全標準1. ISO/IEC 27001:2005信息安全技術(shù) 信息系統(tǒng)安全管理要求2. ISO/IEC 133351: 2004 信息技術(shù) 信息技術(shù)安全管理指南 第1部分：信息技術(shù)安全概念和模型3. ISO/IEC TR 154431: 2005 信息技術(shù)安全保障框架 第一部分 概述和框架4. ISO/IEC TR 154432: 200

20、5信息技術(shù)安全保障框架 第二部分 保障方法5. ISO/IEC WD 154433 信息技術(shù)安全保障框架 第三部分 保障方法分析6. ISO/IEC PDTR 19791: 2004 信息技術(shù) 安全技術(shù) 運行系統(tǒng)安全評估1.5.3. 行業(yè)規(guī)范1. 數(shù)字XXXX行業(yè)發(fā)展綱要2. XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南（國煙辦綜2008147號）3. XXXX行業(yè)行業(yè)計算機網(wǎng)絡和信息安全技術(shù)與管理規(guī)范(國煙法200317號)4. XXXX行業(yè)行業(yè)計算機網(wǎng)絡建設(shè)技術(shù)與管理規(guī)范(國煙辦綜2006312號)5. XXXX行業(yè)行業(yè)CA認證體系的建設(shè)方案（國煙辦綜2008116號）2. 技術(shù)體系建設(shè)規(guī)劃2

21、.1. 技術(shù)保障體系規(guī)劃2.1.1. 設(shè)計原則技術(shù)保障體系的規(guī)劃遵循一下原則：n 先進性原則采用的技術(shù)和形成的規(guī)范，在路線上應與當前世界的主流發(fā)展趨勢相一致，保證依據(jù)規(guī)范建成的XXXX公司工業(yè)網(wǎng)絡安全系統(tǒng)具有先進性和可持續(xù)發(fā)展性。n 實用性原則具備多層次、多角度、全方位、立體化的安全保護功能。各種安全技術(shù)措施盡顯其長，相互補充。當某一種或某一層保護失效時，其它仍可起到保護作用。n 可靠性原則加強網(wǎng)絡安全產(chǎn)品的集中管理，保證關(guān)鍵網(wǎng)絡安全設(shè)備的冷熱備份，避免骨干傳輸線路的單點連接，保證系統(tǒng)7*24小時不間斷可靠運行。n 可操作性原則根據(jù)XXXX公司工業(yè)風險評估結(jié)果，制定出各具特色、有較強針對性和可

22、操作性的網(wǎng)絡安全技術(shù)保障規(guī)劃，適用于XXXX公司工業(yè)信息安全的規(guī)劃、建設(shè)、運行、維護和管理。n 可擴展性原則規(guī)范應具有良好的可擴展性，能適應安全技術(shù)的快速發(fā)展和更新，能隨著網(wǎng)絡安全需求的變化而變化，網(wǎng)絡安全保護周期應與整個網(wǎng)絡的工作周期相同步，充分保證投資的效益。2.1.2. 技術(shù)路線n 分級保護的思想遵照XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南（國煙辦綜2008147號）、關(guān)于信息安全等級保護工作的實施意見（公通字【2007】33號）的要求，結(jié)合XXXX公司工業(yè)網(wǎng)絡應用實際，XXXX公司工業(yè)網(wǎng)絡的信息安全防護措施需要滿足安全等級保護要求，必須按照確定的安全策略，整體實施安全保護。n 分層保護

23、的思想按照XXXX公司工業(yè)業(yè)務承載網(wǎng)絡的核心層、接入（匯聚）層、接入局域網(wǎng)三個層次，根據(jù)確定的安全策略，規(guī)范設(shè)置相應的安全防護、檢測、響應功能，利用虛擬專用網(wǎng)絡（例如MPLS VPN、IPSec VPN、SSL VPN）、公鑰基礎(chǔ)設(shè)施/授權(quán)管理基礎(chǔ)設(shè)施（PKI/PMI）、防火墻、在線入侵抵御、入侵檢測、防病毒、強審計、冷熱備份、線路冗余等多種安全技術(shù)和產(chǎn)品，進行全方位的安全保護。n 分域保護的思想控制大型網(wǎng)絡安全的另一種思想是把網(wǎng)絡劃分成不同的邏輯網(wǎng)絡安全域，每一個網(wǎng)絡安全域由所定義的安全邊界來保護。綜合考慮信息性質(zhì)、使用主體等要素，XXXX公司工業(yè)網(wǎng)絡劃分為計算域、支撐域、接入域、基礎(chǔ)設(shè)施域

24、四種類型安全域。通過在相連的兩個網(wǎng)絡之間采用訪問控制措施來進行網(wǎng)絡的隔離和連接服務。其中，隔離安全服務包括身份認證、訪問控制、抗抵賴和強審計等；連接安全服務包括傳輸過程中的保密、完整和可用等。n 動態(tài)安全的思想動態(tài)網(wǎng)絡安全的思想，一方面是要安全體系具備良好的動態(tài)適應性和可擴展性。威脅和風險是在不斷變化的，安全體系也應當根據(jù)新的風險的引入或風險累積到一定程度后，適時進行策略調(diào)整和體系完善；另一方面是在方案的制定和產(chǎn)品的選取中，注重方案和產(chǎn)品的自愈、自適應功能，在遭遇攻擊時，具有一定的自動恢復和應急能力。2.2. 信息安全保障技術(shù)體系規(guī)劃2.2.1. 安全域劃分及網(wǎng)絡改造安全域劃分及網(wǎng)絡改造是系統(tǒng)

25、化安全建設(shè)的基礎(chǔ)性工作。也是層次化立體化防御以及落實安全管理政策，制定合理安全管理制度的基礎(chǔ)。此過程保證在網(wǎng)絡基礎(chǔ)層面實現(xiàn)系統(tǒng)的安全防御。2.2.1.1. 目標規(guī)劃的理論依據(jù)2.2.1.1.1. 安全域簡介安全域是指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，相同的網(wǎng)絡安全域共享一樣的安全策略。相對以上安全域的定義，廣義的安全域概念是指：具有相同和相似的安全要求和策略的IT要素的集合。這些IT要素包括但不僅限于： 物理環(huán)境 策略和流程 業(yè)務和使命 人和組織 網(wǎng)絡區(qū)域 主機和系統(tǒng)2.2.1.1.2. 安全域作用l 理順系統(tǒng)架構(gòu)進行安全域劃分可以幫

26、助理順網(wǎng)絡和應用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清晰，從而更便于進行運行維護和各類安全防護的設(shè)計。l 簡化復雜度基于安全域的保護實際上是一種工程方法，它極大的簡化了系統(tǒng)的防護復雜度：由于屬于同一安全域的信息資產(chǎn)具備相同的IT要素，因此可以針對安全域而不是信息資產(chǎn)來進行防護，這樣會比基于資產(chǎn)的等級保護更易實施； l 降低投資由于安全域?qū)⒕邆渫瑯覫T特征的信息資產(chǎn)集合在一起，因此在防護時可以采用公共的防護措施而不需要針對每個資產(chǎn)進行各自的防護，這樣可以有效減少重復投資；同時在進行安全域劃分后，信息系統(tǒng)和信息資產(chǎn)將分出不同的防護等級，根據(jù)等級進行安全防護能夠提高組織在安全投資上的ROI（投資回

27、報率）。l 提供依據(jù)組織內(nèi)進行了安全域的設(shè)計和劃分，便于組織發(fā)現(xiàn)現(xiàn)有信息系統(tǒng)的缺陷和不足，并為今后進行系統(tǒng)改造和新系統(tǒng)的設(shè)計提供相關(guān)依據(jù)，也簡化了新系統(tǒng)上線安全防護的設(shè)計過程。特別是針對組織的分支機構(gòu)，安全域劃分的方案也有利于協(xié)助他們進行系統(tǒng)安全規(guī)劃和防護，從而進行規(guī)范的、有效的安全建設(shè)工作。2.2.1.1.3. 總體架構(gòu)如下圖所示：安全域的劃分如下：圖 2_1安全與總體框架本次建議的劃分方法是立體的，即：各個域之間不是簡單的相交或隔離關(guān)系，而是在網(wǎng)絡和管理上有不同的層次。網(wǎng)絡基礎(chǔ)設(shè)施域是所有域的基礎(chǔ)，包括所有的網(wǎng)絡設(shè)備和網(wǎng)絡通訊支撐設(shè)施域，網(wǎng)絡基礎(chǔ)設(shè)施域分為骨干區(qū)、匯集區(qū)和接入?yún)^(qū)。支撐設(shè)施域

28、是其他上層域需要公共使用的部分，主要包括：安全系統(tǒng)、網(wǎng)管系統(tǒng)和其他支撐系統(tǒng)等。計算域主要是各類的服務器、數(shù)據(jù)庫等，主要分為一般服務區(qū)、重要服務區(qū)和核心區(qū)。邊界接入域是各類接入的設(shè)備和終端以及業(yè)務系統(tǒng)邊界，按照接入類型分為：互聯(lián)網(wǎng)接入、外聯(lián)網(wǎng)接入、內(nèi)聯(lián)網(wǎng)接入和內(nèi)網(wǎng)接入。圖 2_1安全域立體結(jié)構(gòu)圖2.2.1.1.4. 多層次體系根據(jù)XXXX公司工業(yè)公司的情況，安全域的劃分原則和劃分方法，域是本次安全域劃分的第一層結(jié)構(gòu)，劃分的原則是業(yè)務行為。XXXX公司工業(yè)公司安全域總體設(shè)計計劃劃分為4個域，分別是邊界接入域、網(wǎng)絡基礎(chǔ)設(shè)施域、計算域、支撐設(shè)施域。2.2.1.2. 建設(shè)規(guī)劃內(nèi)容2.2.1.2.1. 邊

29、界接入域2.2.1.2.1.1. 邊界接入域的劃分ISO 13335信息系統(tǒng)管理指南中將一個組織中可能的接入類型分為以下幾種： 組織單獨控制的連接（內(nèi)部接入） 公共網(wǎng)絡的連接（如互聯(lián)網(wǎng)接入） 不同組織間的連接（可信的） 不同組織間的連接（不可信的） 組織內(nèi)的異地連接（如不同地理位置的分支結(jié)構(gòu)） 組織內(nèi)人員從外部接入（如出差時接入內(nèi)部網(wǎng)）邊界接入域的劃分，根據(jù)XXXX公司工業(yè)公司的實際情況，相對于ISO 13335定義的接入類型，分別有如下對應關(guān)系：ISO 13335實際情況組織單獨控制的連接內(nèi)部網(wǎng)接入（終端接入，如辦公網(wǎng)）；業(yè)務邊界（如核心服務邊界）公共網(wǎng)絡的連接互聯(lián)網(wǎng)接入（如Web和郵件服務

30、器的外部接入，辦公網(wǎng)的Internet接入等）不同組織間的連接外聯(lián)網(wǎng)接入（如各個部門間的接入等）組織內(nèi)的異地連接內(nèi)聯(lián)網(wǎng)接入（如XXX單位接入、城區(qū)內(nèi)如西倉等其他部門等通過專網(wǎng)接入）組織內(nèi)人員從外部接入遠程接入（如移動辦公和遠程維護）2.2.1.2.1.2. 邊界接入域威脅分析由于邊界接入域是XXXX公司工業(yè)公司信息系統(tǒng)中與外部相連的邊界，因此主要威脅有： 黑客攻擊（外部入侵） 惡意代碼（病毒蠕蟲） 越權(quán)（非授權(quán)接入） 終端違規(guī)操作2.2.1.2.1.3. 邊界接入域的防護針對邊界接入域的主要威脅，相應的防護手段有： 訪問控制（如防火墻）用于應對外部攻擊 遠程接入管理（如VPN）用于應對非授權(quán)接

31、入 入侵檢測與防御（IDS&IPS）用于應對外部入侵和蠕蟲病毒 惡意代碼防護（防病毒）用于應對蠕蟲病毒 終端管理（注入控制、補丁管理、資產(chǎn)管理等）對終端進行合規(guī)管理2.2.1.2.2. 計算域2.2.1.2.2.1. 計算域的劃分計算域是各類應用服務、中間件、大機、數(shù)據(jù)庫等局域計算設(shè)備的集合，根據(jù)計算環(huán)境的行為不同和所受威脅不同，分為以下三個區(qū)： 一般服務區(qū)用于存放防護級別較低（資產(chǎn)級別小于等于3），需直接對外提供服務的信息資產(chǎn)，如辦公服務器等，一般服務區(qū)與外界有直接連接，同時不能夠訪問核心區(qū)（避免被作為攻擊核心區(qū)的跳板）； 重要服務區(qū)重要服務區(qū)用于存放級別較高（資產(chǎn)級別大于3），不需要直接對

32、外提供服務的信息資產(chǎn)，如前置機等，重要服務區(qū)一般通過一般服務區(qū)與外界連接，并可以直接訪問核心區(qū)； 核心區(qū)核心區(qū)用于存放級別非常高（資產(chǎn)級別大于等于4）的信息資產(chǎn)，如核心數(shù)據(jù)庫等，外部對核心區(qū)的訪問需要通過重要服務區(qū)跳轉(zhuǎn)。計算域的劃分參見下圖：圖 2_3計算域劃分圖2.2.1.2.2.2. 計算域威脅分析由于計算域處于信息系統(tǒng)的內(nèi)部，因此主要威脅有： 內(nèi)部人員越權(quán)和濫用 內(nèi)部人員操作失誤 軟硬件故障 內(nèi)部人員篡改數(shù)據(jù) 內(nèi)部人員抵賴行為 對外服務系統(tǒng)遭受攻擊及非法入侵2.2.1.2.2.3. 計算域的防護針對計算域主要是內(nèi)部威脅的特點，主要采取以下防護手段： 應用和業(yè)務開發(fā)維護安全 基于應用的審計

33、 身份認證與行為審計同時也輔助以其他的防護手段： 對網(wǎng)絡異常行為的檢測 對信息資產(chǎn)的訪問控制2.2.1.2.3. 支撐設(shè)施域2.2.1.2.3.1. 支撐設(shè)施域的劃分圖 2_4支撐基礎(chǔ)設(shè)施域劃分圖如上圖所示，將網(wǎng)絡管理、安全管理和業(yè)務運維（業(yè)務操作監(jiān)控）放置在獨立的安全域中，不僅能夠有效的保護上述三個高級別信息系統(tǒng)，同時在突發(fā)事件中也有利于保障后備通訊能力。其中，安全設(shè)備、網(wǎng)絡設(shè)備、業(yè)務操作監(jiān)控的管理端口都應該處于獨立的管理VLAN中，如果條件允許，還應該分別劃分安全VLAN、網(wǎng)管VLAN和業(yè)務管理VLAN。2.2.1.2.3.2. 支撐設(shè)施域的威脅分析支撐設(shè)施域是跨越多個業(yè)務系統(tǒng)和地域的，它

34、的保密級別和完整性要求較高，對可用性的要求略低，主要的威脅有： 網(wǎng)絡傳輸泄密（如網(wǎng)絡管理人員在網(wǎng)絡設(shè)備上竊聽業(yè)務數(shù)據(jù)） 非授權(quán)訪問和濫用（如業(yè)務操作人員越權(quán)操作其他業(yè)務系統(tǒng)） 內(nèi)部人員抵賴（如對誤操作進行抵賴等）2.2.1.2.3.3. 支撐設(shè)施域的防護針對支撐設(shè)施域的威脅特點和級別，應采取以下防護措施： 帶外管理和網(wǎng)絡加密 身份認證和訪問控制 審計和檢測2.2.1.2.4. 網(wǎng)絡基礎(chǔ)設(shè)施域2.2.1.2.4.1. 網(wǎng)絡基礎(chǔ)設(shè)施域的劃分圖 2_5網(wǎng)絡基礎(chǔ)設(shè)施域劃分圖2.2.1.2.4.2. 網(wǎng)絡基礎(chǔ)設(shè)施域的威脅分析主要威脅有： 網(wǎng)絡設(shè)備故障 網(wǎng)絡泄密 物理環(huán)境威脅2.2.1.2.4.3. 網(wǎng)絡

35、基礎(chǔ)設(shè)施域的防護相應的防護措施為： 通過備份、冗余確?；A(chǔ)網(wǎng)絡的可用性 通過網(wǎng)絡傳輸加密確保基礎(chǔ)網(wǎng)絡的保密性 通過基于網(wǎng)絡的認證確?；A(chǔ)網(wǎng)絡的完整性2.2.2. 現(xiàn)有信息技術(shù)體系描述2.2.2.1. XXXX公司工業(yè)現(xiàn)有網(wǎng)絡拓撲2.2.2.2. XXXX公司工業(yè)網(wǎng)絡結(jié)構(gòu)脆弱性評估2.2.2.2.1. 網(wǎng)絡結(jié)構(gòu)層次不清晰當前網(wǎng)絡骨干區(qū)域，基本形成以兩臺C6509為核心，多臺C2970/C2950等為接入的架構(gòu)，網(wǎng)絡骨干設(shè)備性能優(yōu)異，擴展能力較強。但部分區(qū)域仍然存在結(jié)構(gòu)層次不清晰、不合理之處。遠程接入?yún)^(qū)域，包括XXX單位通過專線直接接入到核心交換機C6509上，其它的上聯(lián)國家局、XXXX公司工業(yè)局

36、、西倉等專線鏈路也直接接入到核心交換機C6509上，除國家局配置有防火墻外，其它連接均未經(jīng)過任何匯聚或訪問控制設(shè)備。核心交換機C6509同時兼具上述多條專線接入設(shè)備的任務，網(wǎng)絡邏輯層次結(jié)構(gòu)較為模糊。2.2.2.2.2. 網(wǎng)絡單點故障當前網(wǎng)絡核心層為冗余設(shè)備，下聯(lián)接入層交換為冗余線路，其它對外連接均為單設(shè)備和單線路連接，存在網(wǎng)絡單點故障隱患。各遠程接入鏈路均為一條電信專線，沒有其它冗余的廣域網(wǎng)鏈路，存在遠程接入鏈路單點故障。外網(wǎng)服務器區(qū)的Web和Mail服務器的互聯(lián)網(wǎng)連接和訪問均為單線路，存在單點故障。2.2.2.2.3. 網(wǎng)絡安全域劃分不明公司大多數(shù)內(nèi)網(wǎng)服務器系統(tǒng)分布在10.99.128.0/

37、24網(wǎng)段，沒有進一步的VLAN劃分及其它防護措施的隔離。ERP、一號工程、協(xié)同辦公、營銷等重要系統(tǒng)混雜在一起，與其它服務器都部署在同一個區(qū)域，非常不利于隔離防護及后期的安全規(guī)劃建設(shè)。下屬卷包、物流、制絲、動力車間存在生產(chǎn)網(wǎng)與辦公網(wǎng)絡混用的情況。各生產(chǎn)網(wǎng)與辦公網(wǎng)未嚴格隔離，未整合邊界，未實施集中安全防護。業(yè)務維護人員、網(wǎng)絡管理人員、安全管理人員以及第三方運維人員，未劃分專門的管理支撐域。當前主要根據(jù)辦公物理位置，各自接入到辦公網(wǎng)中，未與普通辦公人員網(wǎng)絡區(qū)域隔離。遠程接入?yún)^(qū)域，根據(jù)對端可信度及管理職責等，可以劃分為四類，1、國家XXXX行業(yè)；2、省商業(yè)公司鏈路；3、同城的西倉庫接入；4、XXX單位

38、接入。當前未進行分類隔離，統(tǒng)一安全策略。2.2.2.2.4. 部分節(jié)點區(qū)域缺乏必要安全防護措施內(nèi)部終端用戶訪問內(nèi)部服務器、互聯(lián)網(wǎng)絡沒有有效的控制行為；能夠訪問互聯(lián)網(wǎng)的終端不能有效控制訪問帶寬并進行行為審計。遠程接入西倉和XXX單位專線直接接入到核心交換機Cisco3845上，兩端均未部署防火墻實施訪問控制。XXX單位用戶可以任意訪問到總部網(wǎng)絡，任意訪問內(nèi)網(wǎng)服務器。全網(wǎng)缺乏一套集中的安全運營管理中心，當前網(wǎng)絡設(shè)備、安全設(shè)備、主機及業(yè)務系統(tǒng)的日志及安全運行狀況監(jiān)控，僅由各自維護人員手工操作，直接登錄設(shè)備檢查分析。內(nèi)網(wǎng)服務器區(qū)、生產(chǎn)服務器區(qū)缺乏業(yè)務審計設(shè)備，無法記錄關(guān)鍵的業(yè)務、維護操作行為。2.2.

39、2.2.5. 現(xiàn)有的安全技術(shù)防護手段1、 在互聯(lián)網(wǎng)出口部署了東軟的NetEyes FW4201防火墻兩臺，同時設(shè)置訪問規(guī)則對Web服務器和內(nèi)網(wǎng)用戶對互聯(lián)網(wǎng)的訪問進行網(wǎng)絡層控制；2、 在核心交換機上部署了東軟的NetEyes IDS2200入侵檢測系統(tǒng)，對核心交換上的數(shù)據(jù)信息進行入侵行為的檢測；3、 在郵件系統(tǒng)部署了防垃圾郵件系統(tǒng)，可對垃圾郵件進行過濾；4、 內(nèi)網(wǎng)部署了趨勢的網(wǎng)絡防病毒系統(tǒng)，5、 內(nèi)網(wǎng)部署了圣博潤的內(nèi)網(wǎng)管理系統(tǒng)，可對內(nèi)部網(wǎng)絡終端進行接入管理、主機維護管理、補丁管理、主機行為審計等。2.2.2.3. XXX單位現(xiàn)有網(wǎng)絡拓撲2.2.2.4. XXX單位網(wǎng)絡結(jié)構(gòu)脆弱性評估2.2.2.4

40、.1. 網(wǎng)絡結(jié)構(gòu)層次不清晰當前網(wǎng)絡骨干區(qū)域，是以S5516為單核心設(shè)備連接上聯(lián)C2601路由器至XXXX公司工業(yè)，下聯(lián)S3026接入交換機連接終端。網(wǎng)絡骨干設(shè)備性能較差，擴展能力很弱。各區(qū)域存在結(jié)構(gòu)層次不清晰、不合理之處。網(wǎng)絡核心交換S5516如果癱瘓，整個網(wǎng)絡通訊將斷開；服務器直接連接漏洞交換機，一旦設(shè)備出現(xiàn)故障則一號工程、內(nèi)網(wǎng)管理等業(yè)務系統(tǒng)無法正常工作，將引起業(yè)務系統(tǒng)網(wǎng)絡通訊的中斷。2.2.2.4.2. 網(wǎng)絡單點故障核心設(shè)備、上聯(lián)線路為單條線路，存在網(wǎng)絡單點故障隱患。上聯(lián)鏈路僅為一條電信專線，沒有其它冗余的廣域網(wǎng)鏈路，存在遠程接入鏈路單點故障。一號工程、內(nèi)網(wǎng)管理服務器僅單線連接在樓層交換機

41、上，樓層交換本身為單線連接核心交換，連接和訪問均為單線路，存在單點故障。2.2.2.4.3. 網(wǎng)絡安全域劃分不明XXX單位一號工程、內(nèi)網(wǎng)管理服務器系統(tǒng)分布在10.99.134.0/24網(wǎng)段，僅簡單的通過VLAN與辦公網(wǎng)其他主機劃分，并未采取其它防護措施的隔離，非常不利于隔離防護及后期的安全規(guī)劃建設(shè)。2.2.2.4.4. 部分節(jié)點區(qū)域缺乏必要安全防護措施內(nèi)部終端用戶訪問內(nèi)部服務器、互聯(lián)網(wǎng)絡沒有有效的控制行為；能夠訪問互聯(lián)網(wǎng)的終端不能有效控制訪問帶寬并進行行為審計。此問題可與XXXX公司工業(yè)解決建議方案同時及解決。全網(wǎng)缺乏一套集中的安全運營管理中心，當前網(wǎng)絡設(shè)備、安全設(shè)備、主機及業(yè)務系統(tǒng)的日志及安

42、全運行狀況監(jiān)控，僅由各自維護人員手工操作，直接登錄設(shè)備檢查分析。此問題可與XXXX公司工業(yè)解決建議方案同時解決。內(nèi)網(wǎng)服務器區(qū)、生產(chǎn)服務器區(qū)缺乏業(yè)務審計設(shè)備，無法記錄關(guān)鍵的業(yè)務、維護操作行為。2.2.2.4.5. 現(xiàn)有的安全技術(shù)防護手段1、 互聯(lián)網(wǎng)訪問通過專線到達XXXX公司工業(yè)后訪問，因此防護技術(shù)手段與XXXX公司工業(yè)相同；2、 內(nèi)網(wǎng)部署了趨勢的網(wǎng)絡防病毒系統(tǒng)，3、 內(nèi)網(wǎng)部署了圣博潤的內(nèi)網(wǎng)管理系統(tǒng)，可對內(nèi)部網(wǎng)絡終端進行接入管理、主機維護管理、補丁管理、主機行為審計等。2.3. 技術(shù)體系規(guī)劃主要內(nèi)容2.3.1. 網(wǎng)絡安全域改造建設(shè)規(guī)劃2.3.1.1. XXXX公司工業(yè)網(wǎng)絡系統(tǒng)規(guī)劃建議改造建議說明

43、：1、 新增管理支撐域，作為整個網(wǎng)絡的設(shè)備和系統(tǒng)管理中心。2、 新增匯聚層網(wǎng)絡設(shè)施域，部署四臺三層交換機，核心部件采用冗余配置，作為整個網(wǎng)絡的匯聚層，這樣既便于接入?yún)^(qū)和服務區(qū)的訪問控制，又將生產(chǎn)區(qū)和辦公區(qū)進行了區(qū)分，并分擔了核心交換機的負擔。3、 在核心交換和新增的匯聚交換間部署防火墻進行服務域的訪問控制；4、 將原有的服務器使用VLAN方式劃分為核心服務域和一般服務域；5、 更換互聯(lián)網(wǎng)出口防火墻為安全網(wǎng)關(guān)，采用雙機冗余方式部署，并啟用IPS檢測、AV檢測功能，為對外提供服務的WEB和MAIL服務器制定保護策略；6、 在互聯(lián)網(wǎng)安全網(wǎng)關(guān)后增加上網(wǎng)行為管理系統(tǒng)，采用雙機冗余方式部署，對訪問互聯(lián)網(wǎng)的

44、流量和訪問進行控制和審計；7、 將互聯(lián)網(wǎng)出口替換下的防火墻部署到單獨劃分的財務服務域前端，進行必要的訪問控制保護；8、 將XXX單位和西倉連接線路由原來的連接核心C6509改為連接新增加的匯聚層防火墻上，增加外部訪問的訪問控制。2.3.1.2. XXX單位網(wǎng)絡系統(tǒng)改造建議1、 建議將核心交換更改為雙機冗余方式，可采取主備模式或者一臺設(shè)備冷備的方式；2、 單獨部署服務器交換機，可采取主備模式或者一臺設(shè)備冷備的方式，其中冷備設(shè)備可與核心備用機器為同一臺設(shè)備；3、 可考慮新增一條備用通訊線路，例如選用ADSL線路作為應急通訊線路，通過VPN方式與XXXX公司工業(yè)網(wǎng)絡進行通訊；4、 對于辦公網(wǎng)內(nèi)接入交

45、換上聯(lián)核心的線路可考慮部署雙線路方式，實現(xiàn)線路冗余，這樣可避免因為意外狀況造成線路中斷后的網(wǎng)絡中斷，接入交換設(shè)備可增加1-2臺冷備設(shè)備；5、 可在網(wǎng)絡邊界部署防火墻設(shè)備進行訪問控制。2.3.2. 網(wǎng)絡安全設(shè)備建設(shè)規(guī)劃網(wǎng)絡安全設(shè)備分為邊界保護類，入侵檢測/防御類，終端保護等多種。網(wǎng)絡安全產(chǎn)品的類型是由網(wǎng)絡安全技術(shù)決定的，為了實現(xiàn)全面的安全防護，以不同的實體出現(xiàn)的安全設(shè)備要在技術(shù)上覆蓋所有的安全領(lǐng)域，也就是所有安全設(shè)備功能的總和在技術(shù)層面應該能夠防御目前網(wǎng)絡環(huán)境下所有安全威脅的總和。安全產(chǎn)品雖然不是安全防護體系的決定因素，卻是安全防御體系的基石。是實現(xiàn)系統(tǒng)化全方位網(wǎng)絡安全防護的必要條件。在充分分析

46、目前XXXX公司工業(yè)已經(jīng)部署的網(wǎng)絡安全設(shè)備的前提下，又結(jié)合了風險評估的結(jié)果，以及安全域劃分和網(wǎng)絡改造的具體需求，得出了最終需要新增的網(wǎng)絡安全設(shè)備需求。此過程保證在設(shè)備層面實現(xiàn)安全技術(shù)體系。部署完成后，XXXX公司工業(yè)所有安全設(shè)備防護功能的總和在技術(shù)層面上將能夠滿足防護和應對目前已知安全威脅。同時滿足XXXX行業(yè)行業(yè)信息安全保障體系建設(shè)指南中在技術(shù)體系建設(shè)方面對網(wǎng)絡安全部分的要求。結(jié)合規(guī)劃的安全域，在新的安全環(huán)境下，規(guī)劃的安全設(shè)備部署示意圖如下：2.3.2.1. 防火墻設(shè)備2.3.2.1.1. 部署位置防火墻部署在核心層和匯聚層之間。如下圖所示。2.3.2.1.2. 安全功能防火墻系統(tǒng)是進行安全

47、域邊界防護的有效手段。需要部署防火墻將網(wǎng)絡分割成不同安全區(qū)域，并對核心業(yè)務系統(tǒng)形成縱深保護體系。在新增的匯聚網(wǎng)絡層和核心網(wǎng)絡層之間冗余部署四臺防火墻設(shè)備，實現(xiàn)生產(chǎn)接入域、辦公接入域和其他區(qū)域訪問的控制，生產(chǎn)接入域和辦公接入域之間的訪問控制。通過此次安全域的劃分和網(wǎng)絡改造，使防火墻主要可以起到如下幾類作用： 限制各個接入網(wǎng)絡對網(wǎng)絡設(shè)備的訪問。 限制接入網(wǎng)絡穿過的源。 限制接入網(wǎng)絡能訪問的目的。 限制接入網(wǎng)絡穿過的應用端口。 限制能提供的應用端口。2.3.2.2. 安全網(wǎng)關(guān)設(shè)備2.3.2.2.1. 部署位置一體化安全網(wǎng)關(guān)部署在互聯(lián)網(wǎng)出口處，做互聯(lián)網(wǎng)邊界綜合防護。如下圖所示。2.3.2.2.2. 實

48、現(xiàn)安全功能n 訪問控制IP地址過濾、MAC地址過濾、IPMAC綁定、用戶認證、流量整形、連接數(shù)控制等n IPS防御體系通過繼承的IPS功能，精確抵御黑客攻擊、蠕蟲、木馬、后門；抑制間諜軟件、灰色軟件、網(wǎng)絡釣魚的泛濫；并可有效防止拒絕服務攻擊。n 網(wǎng)絡防病毒能夠有效抵御文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件等。n 抗DoS攻擊采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務攻擊的準確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為。2.3.2.3. 上網(wǎng)行為管理設(shè)備2.3.2.3.1. 部署位置上網(wǎng)行為管理部署在互聯(lián)網(wǎng)出口處。如下圖所示。2.3.2.3.2. 安全功能P2P

49、流量控制目前幾乎在所有組織中都存在著帶寬濫用和浪費的現(xiàn)象。尤其是在P2P技術(shù)出現(xiàn)之后，此問題更加嚴重和突出。XXXX公司工業(yè)也不例外，存在著P2P泛濫，帶寬濫用等現(xiàn)象。各種P2P應用占用了大量網(wǎng)絡帶寬(如BitTorrent，Kazza，Emule等)，消耗了網(wǎng)絡中的大量帶寬，隨之而來的是，由網(wǎng)絡鏈路擁塞引發(fā)的應用性能下降問題也日益嚴重，極大地影響了組織正常業(yè)務的開展及用戶正常網(wǎng)絡應用的服務質(zhì)量。 因此必須對P2P的應用加以控制，例如提供最大帶寬限制、保證帶寬、帶寬租借、應用優(yōu)先級等一系列帶寬管理功能，最終可實現(xiàn)禁止使用P2P軟件或限制P2P軟件的可用帶寬，從而達到控制P2P流量的目標，將寶貴

50、的、有限的帶寬資源保留給組織中關(guān)鍵的應用和業(yè)務。服務分級服務分級是一種帶寬管理的理解方式。也可以理解為某種程度上QoS。服務分級處理可以比喻為一個多車道并行的高速公路，其中各種不同的車輛都按照一定的規(guī)則行駛在不同的車道上，帶寬管理設(shè)備在這里就相當于分流的路口。比如，視頻點播業(yè)務需要很高的帶寬，并且要保證數(shù)據(jù)流的連續(xù)性，要達到這樣的要求，必須為其預留出單獨的高帶寬通道；而一般的郵件服務和聊天等占據(jù)很少帶寬的業(yè)務，可能會被分配為較低的優(yōu)先級，使用一個窄帶傳輸。同樣的，針對不同訪問需求的用戶也可以進行服務的分級處理，對帶寬要求高的人員可以獲得較多的帶寬，從而保證其訪問的需求。關(guān)鍵應用保障目前XXXX

51、公司工業(yè)在應用方面已經(jīng)建立基于互聯(lián)網(wǎng)的Web和Mail系統(tǒng)，需要在應用層加以優(yōu)先保證。上網(wǎng)行為管理設(shè)備可以基于應用的重要程度進行帶寬資源的合理分配，從而保證重要的、時效性高的應用能夠獲得較多的帶寬，最終能夠保障關(guān)鍵應用的正常運行。2.3.2.4. 業(yè)務安全審計設(shè)備2.3.2.4.1. 部署位置網(wǎng)絡安全審計設(shè)備主要部署在核心業(yè)務區(qū)域，按照XXXX公司工業(yè)安全域的規(guī)劃，需要部署業(yè)務審計系統(tǒng)的位置為服務域（核心服務域+一般服務域），生產(chǎn)服務域（卷包中控、物流中控、制絲中控、動力中控），重點審計內(nèi)容是人為通過網(wǎng)絡對各服務器系統(tǒng)、數(shù)據(jù)的訪問行為審計和控制，部署示意圖如下：服務域?qū)徲嬒到y(tǒng)部署示意圖生產(chǎn)服務

52、域?qū)徲嬒到y(tǒng)部署示意圖2.3.2.4.2. 安全功能n 滿足合規(guī)要求目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規(guī)性要求；而銀行業(yè)則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護的合規(guī)性要求。XXXX公司工業(yè)面也面臨著合規(guī)性的要求。一是等級保護的要求；二是行業(yè)規(guī)范的要求。在國煙辦的147號文件中，明確要求部署網(wǎng)絡審計設(shè)備。n 有效減少核心信息資產(chǎn)的破壞和泄漏對企業(yè)的業(yè)務系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫服務器、應用服務器等），通過使用網(wǎng)絡安全審計系統(tǒng)，能夠加

53、強對這些關(guān)鍵系統(tǒng)的審計，從而有效地減少對核心信息資產(chǎn)的破壞和泄漏。n 追蹤溯源，便于事后追查原因與界定責任一個單位里負責運維的部門通常擁有目標系統(tǒng)或者網(wǎng)絡設(shè)備的最高權(quán)限（例如掌握DBA帳號的口令），因而也承擔著很高的風險（誤操作或者是個別人員的惡意破壞）。由于目標系統(tǒng)不能區(qū)別不同人員使用同一個帳號進行維護操作，所以不能界定維護人員的真實身份。試用網(wǎng)絡安全審計系統(tǒng)提供基于角色的審計，能夠有效地區(qū)分不同維護人員的身份，便于事后追查原因與界定責任。n 直觀掌握業(yè)務系統(tǒng)運行的安全狀況業(yè)務系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網(wǎng)絡環(huán)境。對管理部門來說，網(wǎng)絡環(huán)境的安全狀況事關(guān)重大。網(wǎng)絡安全審計系統(tǒng)提供業(yè)務流量

54、監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡環(huán)境的安全狀況。n 實現(xiàn)獨立審計與三權(quán)分立，完善IT內(nèi)控機制從內(nèi)控的角度來看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。網(wǎng)絡安全審計系統(tǒng)基于網(wǎng)絡旁路監(jiān)聽的方式實現(xiàn)獨立的審計與三權(quán)分立，完善了IT內(nèi)控機制。2.3.2.5. 漏洞掃描設(shè)備2.3.2.5.1. 部署位置漏洞掃描系統(tǒng)部署在管理支撐域，通過一個二層接入交換機接入到核心交換機，示意圖如下圖所示：2.3.2.5.2. 安全功能 通過對網(wǎng)絡設(shè)備，操作系統(tǒng)，應用系統(tǒng)的掃描，有效了解系統(tǒng)弱點，為實施安全防護方案和制定安全管理策略提供依據(jù)和參考。 制定周期性掃描計劃，實現(xiàn)周期性的安全自評，為有效的風險管理提供參考和支持。2.3.2.5.3. 補充設(shè)備部署由于系統(tǒng)已經(jīng)規(guī)劃部署了業(yè)務審計系統(tǒng)，為了防止各系統(tǒng)時間不同步，從而導致審計數(shù)據(jù)記錄時間不同，進而影響審計系統(tǒng)數(shù)據(jù)的參考價值，因此需要在內(nèi)網(wǎng)部署時間同步服務器。由于該服務器架設(shè)比較簡單，在windows操作系統(tǒng)下即可輕松搭建NTP服務器，此處不再給出具體方案。2.3.3. CA認證體系建設(shè)2.3.3.1. 現(xiàn)狀XXXX公司工業(yè)目前暫無CA認證系統(tǒng)，但按照國家總局的統(tǒng)一建設(shè)要求，已經(jīng)將CA認證系統(tǒng)作為即將開始的項目。2.3.3.2. 建設(shè)規(guī)劃目標通過建設(shè)CA認證體系，為業(yè)務應用系統(tǒng)提供穩(wěn)定可靠的信息安全服務，切實保障系統(tǒng)使用人員身份的真