云中信息方案主.doc

云中信息办公网接入解决方案二零一四年十月1 概述用户目前对外采用一台路由器，对内采用二层交换机进行数据交换，本次我们通过系统的信息安全体系规划和建设，将为合肥云中信息加强内部控制和内部管理，降低运营风险，建立高效、统一、运转协调的管理体制。目前合肥云中信息网络所面临的主要问题，可以细化为： 网段之间边界不够清晰，控制力度弱，黑客攻击等安全事件容易扩散； 多数业务网段间仅采用VLAN隔离，存在较大风险； 终端与重要服务器处于同一逻辑区域，重要信息服务器存在安全风险； 边界复杂，缺乏对边界策略的统一控制； 网络病毒，木马利用网络大肆传播； 存在IM/P2P、网络游戏等滥用行为，影响工作效率和组织生产力。2 建设原则在设计技术方案时要遵从以下原则： 实用性原则合肥云中信息的安全体系建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合合肥云中信息现有网络和应用情况，充分保证原有系统和结构的可用性。 完整性原则合肥云中信息网络安全建设必需保证整个防御体系的完整性。在安全体系建设中，我们采取多种安全防御的技术和措施来保障合肥云中信息的网络系统安全运行。 整体均衡原则 要对信息系统进行全面均衡的保护，要提高整个信息系统的安全最低点的安全性能，保证各个层面防护的均衡。 安全目标与效率、投入之间的平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。 区域等级原则要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。 动态发展原则 安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。 节省投资原则在满足上述原则的基础上，应尽量作到节省设备采购投资，不要形成一种“用价值10元的设备来保护价值5元 的资产”的局面。3 安全建设的思路和方法鉴于合肥云中信息信息系统的主要问题是边界不清晰，且没有实施各个子网之间的信息隔离与过滤。因此建议首先采用安全域划分方法将整个信息系统分成多个安全等级不同的相对独立的子系统，既按照业务流程的不同层面划分为不同的安全域针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施。由于不同的安全之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证、信息过滤、和安全审计等安全策略的实施。根据对市场已有的安全产品分析，功能全面、维护简单且性价比较高的新一代防火墙产品是较好的选择。根据合肥云中信息信息系统的特点将整个合肥云中信息信息系统分为如下安全域：包括外联区（与互联网相连）、DMZ区（对外公开服务器）、办公区（与业务部门相连）、财务区（与财务和领导相连）、测试区（与业务测试人员网相连）。4 边界安全需求合法接入控制：仅允许可信主机进入办公域，同时仅允许有业务需求的主机访问外部网络。抗拒绝服务攻击：根据网络异常行为判断出拒绝服务攻击并予以阻断。上网行为管理：对IM应用进行管理和控制，对P2P/网络视频等行为进行阻断或者限流，确保带宽的有效利用。传输安全：接入域和其他安全域的互联方式可能需要加密传输，因此需要对敏感数据采用VPN技术进行加密。5 本次建设系统图6 产品功能基本要求为保证防火墙运行的稳定性和高速性，要求设备采用ASIC芯片对各项安全功能进行加速优化处理。访问控制 策略具备接口、地址、服务、时间、用户、带宽等的配置。支持基于特定源地址、目的地址、应用端口组合的会话数限制。支持基于策略、用户组、单个IP、P2P应用的流量限制。支持修改数据包DSCP值。达到基于部门或个人的流量控制。支持查看当前网络会话状态，并能根据源、目标地址、端口、协议等进行查看过滤。支持会话排名查看功能。组网能力支持RIP、OSPF、BGP、IS-IS动态路由协议，能够与网络无缝集成。支持基于源地址、目的地址、协议等内容组合控制策略路由。支持等值路由（ECMP），并支持链路权重设置。支持基于用户身份认证的路由。支持虚拟系统功能，能够在虚拟系统中应用所有安全特性。支持NAT和透明模式部署，在任何模式下都支持虚拟防火墙技术和各种HA功能。支持NAT和透明的混合部署模式。集成无线AC控制器功能，最大可管理32个瘦AP（提供界面截图）支持802.1Q Trunk，支持不同VLAN之间的数据隔离。支持802.3AD链路聚合、支持端口冗余。VPN及加密支持IPSec VPN功能，基于硬件3DES、AES、SHA-1等VPN加密、认证算法。支持基于路由的IPSec VPN，可以实现通过结合RIP/OSPF路由实现VPN线路备份。支持SSL VPN功能，满足远程用户的安全接入内网，支持Web应用模式和Tunnel模式。支持移动终端的VPN与防火墙设备vpn接入。管理功能设备本身支持管理权限分级（大于5级：管理员、一般管理员、节点监控人员、远程协助、特殊应用保留）支持SNMP监视和配置，支持标准MIB和专用MIB。支持热补丁技术，不中断业务更新DoS/IPS/防病毒/反垃圾邮件等防护方法和特征库。日志功能支持日志输出到外置服务器，支持Syslog等。支持样本保留功能。厂商和产品资质厂商具备以下资质：具备提供针对安全事件的远程和现场的紧急响应能力，获得国家信息安全测评认证中心颁发的信息安全服务二级资质证书。厂商具备计算机信息系统集成二级资质。国家计算机信息内容安全重点实验室产品具备以下资质：公安部下一代防火墙安全专用产品销售许可证书，中国信息安全认证中心3C认证证书，国家版权局的计算机软件著作权登记证，软件产品登记证书。注：中间为本方案采用设备7 预算根据网络实际情况以及安全需求，推荐使用如下产品：产品用途推荐型号产品描述数量价格边界接入防火墙任子行下一代防火墙SURF-NGSA-26001U机架式，接口：22个GE电口(1*GE管理口),以便管理和接入网络中，满足多个部门的访问控制。4个复用接口（2个GE,2个SFP）；防火墙吞吐量:2.5Gbps；并发会话数：300万，会话建立速度：2.2万/秒，虚拟防火墙:10个