网络安全规划建议书

XXX安全解决方案目录TOC\o"1-7"\h\z\u1 信息系统现状 41.1 总体描述 41.2 需求调研 42 风险分析 52.1 可能面临的威胁影响 52.1.1 对资产产生的影响 52.1.2 对系统产生的影响 82.1.3 对业务产生的影响 102.1.4 对机构产生的影响 123 需求分析 133.1 系统规划 133.1.1 现状描述及分析 133.1.2 分析结论 133.2 核心网络系统分析 143.3 集团信息系统安全分析 143.3.1 服务器及数据存储问题 143.3.2 网络边界防护问题 153.3.3 网络链路安全问题 153.3.4 数据信息保护措施 153.3.5 病毒防护问题 153.3.6 应用交付问题 163.3.7 应用审计和带宽管理问题 163.3.8 运维管理问题 163.3.9 分析结论 174 总体安全技术部署建议 184.1 数据存储及应用服务器解决方案 184.1.1 服务器产品选型及参数 184.1.2 解决方案说明 204.1.3 存储产品选型及参数 264.1.4 存储解决方案说明 274.2 网络边界安全建议 284.2.1 网络访问控制 28 产品推荐及参数 29 山石网科防火墙解决方案 304.2.2 入侵防御系统 31 产品推荐及参数 32 山石网科入侵防御解决方案 334.2.3 加密传输系统 35 产品推荐 37 深信服VPN及加速解决方案 384.2.4 异地容灾备份系统 40 产品推荐及参数 41 备份及应用容灾解决方案 414.2.5 上网审计系统 45 产品推荐及参数 45 上网审计解决方案 464.2.6 WEB防护系统 47 产品推荐 48 网站安全防护解决方案 484.2.7 防病毒系统 50 网关防毒墙系统 50 防毒墙部署方案 50 产品推荐 50 趋势防病毒解决方案 514.2.8 流量控制系统 53 产品推荐及参数介绍 53 深信服流量管理功能介绍 544.2.9 负载均衡系统 57 产品推荐及参数 57 深信服应用交付解决方案 584.2.10 运维管理系统 60 产品推荐及功能介绍 624.3 安全建设建议规划拓扑图 675 规划总结 686 清单 69信息系统现状总体描述XXXXXX集团有限公司是XXXXX公司。是闻名遐迩的“淮盐”主产地，总部位于XXXX。公司下辖XXXXXX，历史悠久。主要从事于XXXXXXX等生产经营，前景辉煌。随着企业规模的增加，以前的信息化管理已经不能很好的满足发展的需要了，随着企业规模的增加，信息化的更新也越来越显得重要。企业管理人员可以借助于信息化的建设更好的使企业的办公效率和人员管理方面变得简洁。因此盐化集团领导深切的意识到这点，预借助企业管理系统来使得企业的不断发展变得更加有效。需求调研随着信息化程度的不断加深，机关或者企业单位对于信息化的使用程度也越来越高，越来越多的信息需要通过网络来进行交互，才能使得办公的效率不断提高。XXXXXX与下属十多家下属企业需要通过ERP系统建立起一套完善的机遇信息化的管理流程，才能够面对企业的不断发展所带来的问题。而且信息化的建设也会随之带来企业管理的效率，可以有效的降低企业的管理成本。根据XXXXXX信息系统建设的要求，需要实现以下两点要求建成总部集团的数据中心，配备相关的硬件设备。下属各企业需要通过某种方式加入到总部集团的管理范围内，进行有效的远距离高效管理。我们将根据已有的信息化系统和对于未来建设的要求，为XXXXXX集团搭建安全的信息平台。风险分析可能面临的威胁影响ERP.BPM等信息系统面临着威胁，而系统本身又存在着相应的脆弱性，一旦条件成熟，安全威胁发生成为安全事件，就有可能对整个系统造成很大的影响。下面根据造成影响的不同程度和受到影响的不同对象来分析每一种威胁对资产、系统、业务以及机构产生的影响。对资产产生的影响在上述的描述中，将资产分为硬件资产、软件资产和数据资产。每一种威胁都会对不同的资产造成不同的影响。具体描述如下：用户身份的假冒可能会使服务器、终端设备、网络设备等硬件资产受到一定程度的破坏，从而影响这些设备的正常运作。服务器、工作站等的破坏也会造成依赖于这些硬件设备存在的软件和数据资产遭受破坏，导致它们的不可用。对软件资产来说，这个威胁也会导致系统软件、业务应用软件、办公自动化软件和其他软件被破坏，影响软件的相关功能，甚至使软件不能运行。最后，这种威胁对数据资产发生的可能性最大，特别是ERP业务数据，一旦被非法用户假冒成功，其可用性、完整性和保密性都会遭受到破坏。应用程序的非授权使用主要会影响软件资产和数据资产。软件资产若遭受非授权使用，可能会影响软件的可靠性、稳定性和健壮性，破坏软件的重要功能。对数据资产来说，这种威胁可能会导致对受限文件的读取、对数据的未授权操作等越权行为，造成重要数据的泄露、非法删除或更改。损害或破坏性程序的引入会给服务器、终端设备带来一定的硬件损伤，常见的如CIH病毒会导致主板损坏。对软件资产而言，这种威胁发生将破坏软件的正常运行，甚至导致系统死机，扰乱了工作和业务秩序。若数据资产遭受这种威胁，可能会导致数据的不可用、破坏和泄露。系统资源的不正当使用主要影响网络布线系统、电源空调照明等辅助设备和业务数据、办公数据等。就硬件资产而言，这个威胁会导致相关材料和设备的短缺和不正当损耗，不能满足XXXXXX集团工作和业务需要。就数据资产而言，这个威胁主要是职员滥用XXXXXX集团的信息资源，可能会使重要数据外泄，破坏了数据的保密性。通信渗透对软件资产和数据资产会产生影响。整个信息系统是一个完整的网络系统，但这个网络并不一定是安全的，因此诸如黑客攻击等通信渗透威胁的影响不可忽视。对软件资产来说，这种威胁一旦发生，可能会造成软件系统的破坏，影响系统软件、ERP业务应用软件和办公软件的正常运行，严重时会使软件系统崩溃。数据资产受到这种威胁，可能会造成数据的破坏，特别对ERP业务数据，如果攻击的次数增多，甚至会使系统因承载能力不够而中断，从而使重要数据不可用时间较长。通信侦听主要是对ERP业务数据、办公自动化数据等应用类数据资产产生影响。引起通信侦听的主要原因是传输介质和协议不安全，非法用户通过搭线窃听、无线接听等方式，导致这些重要数据的泄露，破坏数据的保密性。通信操纵影响着软件资产和数据资产。诸如错误的信息插入、故意的无序传送、故意的错误路由等操纵手段，会扰乱软件系统的运行秩序，使软件功能的正常发挥大受影响。对数据资产而言，这种威胁会导致数据的非法生成、变更、泄露、丢失和破坏，从而影响正常的数据处理和分析，妨碍相关的业务和工作。意外数据量的增大对ERP业务数据有影响。这种威胁发生后，可能会造成是某些业务数据的不可用时间较长，数据传输速度减慢，影响相关业务的正常进行。抵赖会对ERP业务数据有影响。这种威胁是合法用户对业务数据的否认，一旦这种事件发生，会影响数据的正确性，使部分重要数据暂时不可用，给整个ERP业务带来一定的影响。连接失败影响着ERP业务数据和办公自动化数据等数据资产。连接失败是属于意外的威胁，是无法事先估计的，因此它的影响的程度弹性很大。它主要会导致数据不可用，甚至使数据被丢失或破坏，妨碍相应的工作和业务。恶意代码的嵌入对软件资产和数据资产有影响。这种通过网络途径进入的恶意代码，可以攻击到系统、ERP业务和办公自动化等软件，从而破坏了软件的功能，扰乱了系统的正常运行，甚至导致系统的瘫痪。对数据资产而言，这种威胁发生也会破坏数据的可用性、完整性和保密性，给相关的业务和工作造成较大的影响。意外错误的路线会对业务数据和办公数据等网络通信中传输的数据资产产生影响，可能导致这些数据的泄露、破坏或丢失以及不可用，影响业务的正常运行。主机技术故障的威胁会使服务器的可用性受到影响，另外，依附在它上面的软件资产和数据资产也可能因此受到破坏，甚至造成数据的丢失。工作站技术故障的威胁会使终端设备的可用性受到影响，而且依附在它上面的软件资产和数据资产也会因此受到破坏或丢失。存储设备技术故障是针对数据资产而言的，这种威胁一旦发生，就会导致数据的丢失或破坏，从而影响整个工作和业务的正常进行。网络分布组件的技术故障发生，可能会影响到网络设备及传输中的业务数据和办公数据等，造成它们的不可用。网络管理/服务技术故障如果出现问题，如访问控制出错、网络协议出错，可能会导致数据资产的不可用或在传输中被破坏和泄露。网络接口技术故障也是针对数据资产而言的，这种威胁若成为事件，可能会造成传输的业务数据和办公数据不可用时间较长。系统或网络软件故障对软件资产和数据资产都会产生影响。这些软件所有应用软件和重要业务数据的支撑平台，它们出现故障，可能会导致系统运行不正常，甚至是系统软件自身及应用软件和数据资产的不可用和破坏。电源故障如果成为事件，硬件资产可能会造成部分硬件的损坏，影响更大的是数据资产，因为断电的突然性，会导致数据丢失和不可用。空调故障，这种威胁发生后，可能对一些重要的硬件会造成某种程度的损伤，影响它们的正常工作。操作错误和维护错误是人为的原因，因此对所有硬件资产、软件资产和数据资产都会有影响。这种威胁发生，会使硬件资产遭到不同程度的损坏。对软件资产同样，错误的操作会使软件受到破坏甚至不能再运行。数据资产是最重要，也最难恢复，用户操作错误严重时，会导致数据不可用、破坏或丢失。火灾、水灾和自然灾害对硬件资产、软件资产和数据资产也都会产生影响。这些事件意外的可能性较大，造成的后果也会很严重。它们发生后，硬件资产最先受到破坏，甚至是毁灭，从而依附于服务器或终端等的软件和数据也就不复存在，影响非常大。偷窃的威胁是对硬件资产和数据资产来说的，最终导致物理设备和数据资产的丢失，从而使整个系统和业务发生中断。人员故意损害是对硬件资产、软件资产和数据资产的威胁。一旦发生这种事件，可能造成的影响会很严重，使硬件资产的硬件受损以至不可用，软件资产功能受破坏或不能再正常运行，使数据资产的可用性和完整性受到破坏，从而影响整个系统的正常运行。对系统产生的影响上述威胁一旦成为事件，对整个网络系统会造成不同程度的影响，具体分析如下：用户身份的假冒，这种威胁发生后可能会造成系统的某些硬件、软件方面的破坏或数据的不可用，从而引起整个网络系统不能正常运行，甚至中断。应用程序的非授权使用，是非法用户或特权小的用户的越权行为，这种事件发生后，可能使软件资产或数据资产遭受破坏，从而使系统的正常运行受到影响或发生中断。损害或破坏性程序的引入，会导致硬件的损坏，软件不能正常运行，可能表现在系统运行速度变慢，系统死机等状况，从而造成系统的部分中断，甚至是整个系统的瘫痪。系统资源的不正当使用，可能会因数据量增加或网络线路容量的减少导致系统线路的堵塞，影响系统的运行速度。通信渗透，是通过网络对系统进行的攻击，不同的攻击类型对系统造成不同的影响，可能系统运行的正常性遭到破坏，也可能使整个系统中断。通信侦听是对数据的窃取，不会造成系统的破坏。通信操纵，是通过网络进入系统并进行破坏性的操作，不同的操纵类型可能对系统造成的的影响不同，一般只是单纯的影响系统正常运行，严重时也会使系统中断。意外数据量的增大是发生频率较大的威胁，这种威胁发生后，可能会导致系统运行速度减慢，网络线路阻塞甚至导致服务器CPU承载能力不够而死机，从而使整个系统瘫痪。抵赖，一般是系统用户对自己的操作或未操作行为的否认，不会造成系统的破坏。连接失败，这种威胁发生后对系统影响很大，可能只是暂时使系统中断，也有可能造成系统中断很长时间。恶意代码的嵌入，这种通过网络通信的途径传播的破坏性代码，可能会破坏系统软件或业务应用软件，从而影响了系统的正常运行，如运行速度变慢，系统死机等。意外错误的路线，不会对系统的运行造成较大的影响。主机技术故障，即服务器出现故障，对系统的影响依赖于故障的大小，可能对系统正常运行影响轻微，也可能因故障严重导致系统中断。工作站技术故障，在这里指终端设备出现故障，如果仅仅是办公网的微机的问题，对整个系统的运行影响很小，如果是其他中间设备出现问题，对系统的影响就要依赖于故障的大小了，可能对系统影响很小，也可能导致系统中断。存储设备技术故障，即存放的数据受到了破坏，或者不可用，或者丢失，而系统的运行离不开数据，所以只能导致系统的中断。网络分布组件技术故障，对系统的影响同样依赖于故障的严重程度，故障很小可能只是轻微的影响系统的正常运行，故障大就可能造成系统的中断。网络管理/服务技术故障，一般是指软件方面的网络管理/服务出现故障，如通讯协议出错，这对系统的正常运行影响较大。网络接口技术故障，这些网络系统的关键部位出现问题，对系统影响较大，可能不能正常运行，可能出现中断。系统或网络软件故障，对系统影响严重，轻的使系统运行出错，严重时系统瘫痪。应用软件的故障，是应用软件中出现错误，同样对系统影响严重。电源故障，对系统运行影响严重。系统的运行离不开供电，因此电源一旦出现问题，系统即中断。空调故障，这种威胁发生后，可能对硬件方面造成某种程度的损伤，间接的影响了系统的正常运行。操作错误，一般小错误不会对系统造成特别严重的的影响，但也可能影响系统的正常运行，或发生暂时的系统中断。维护错误，同上面的错误，对系统影响一般。火灾，水灾及自然灾害，这些威胁发生后，可能整个网络系统至少发生中断，甚至是瘫痪，造成巨大的损失。偷窃，是非法用户对ERP机构硬件资产和数据资产的威胁，这些重要的资产一旦丢失，可能会使系统发生中断，影响系统正常运行。人员不足，对系统的影响是间接的，系统发生的任何问题都需要足够的技术人员来维护，在关键时候人员的不足也会给XXXXXX集团造成巨大的损失。人员故意损害，对系统的影响是不可估量的，可能仅仅使系统的正常运行受到轻微影响，也可能造成整个系统的瘫痪。对业务产生的影响威胁发生后，对整个业务造成的影响是最关心的，即使影响很小，也要对此采取相应的措施。对于每种威胁所造成影响的具体分析如下：用户身份的假冒，这种威胁发生后，如果某项业务或多项业务的重要硬件、软件方面发生物理损坏，或者重要业务数据不可用，可能会造成这项业务或多项业务不能正常运行，甚至发生中断。另外，不同业务用户间的身份假冒也会对业务的正常运行造成一定的影响。应用程序的非授权使用，可能会因软件资产或数据资产的破坏，影响各具体业务的正常运行，甚至使某些业务发生中断。损害或破坏性程序的引入，这种威胁发生机率较大，特别是对交互和资金清算业务影响较大，一旦造成硬件或软件的损坏，可能会使整个业务系统的运行发生中断，甚至瘫痪。系统资源的不正当使用，可能会因系统的运行速度受到影响而使各业务运行速度下降。通信渗透，是对网络系统的攻击，系统造成的影响不同，各业务所受到的影响也就不同，可能运行只受轻微影响，也可能造成整个业务系统中断。通信操纵，这种操纵手段一旦成功，对各业务影响都较大，可能使业务运行时发生错误，也可能使其中断。意外数据量的增大是在业务量波动较大时发生频率较大的威胁，这种威胁发生后，可能会造成是ERP公文交换、内部邮件、网站等业务运行速度减慢，网络线路阻塞甚至导致服务器CPU承载能力不够而死机，从而使整个ERP业务受到严重影响。抵赖，一般是系统用户对自己的操作或未操作行为的否认，不会造成业务影响。连接失败，这种威胁发生后对各业务影响都很大，可能只是暂时中断，也有可能造成业务中断很长时间。恶意代码的嵌入，如果这种威胁发生，一旦破坏了系统软件或业务应用软件，可能会影响到各业务的正常运行，甚至导致业务中断和崩溃。意外错误的路线，可能使业务数据泄漏或丢失，从而影响了ERP业务的正常运行，但不会对业务造成太大的影响。网络分布组件技术故障，对业务的影响依赖于故障的严重程度，故障很小可能只是轻微的影响业务的正常运行，故障大可能造成业务发生中断。网络管理/服务技术故障，一般是指软件方面的网络管理/服务出现故障，如系统访问控制出错、通讯协议出错等，这对各业务的正常运行影响较大，也可能会造成业务的运行出错。网络接口技术故障，这些网络系统的关键部位出现问题，对部分数据传输业务影响较大，可能不能正常运行，可能出现中断。系统或网络软件故障，对各业务影响严重，轻的使业务运行出错，严重时业务瘫痪。应用软件的故障，对业务影响严重，哪种软件出现故障，则哪种业务受到影响，可能会运行出错，也可能系统瘫痪。电源故障，对各业务影响严重。所有业务的运行离不开供电，因此电源一旦出现问题，业务即中断。空调故障，对硬件方面造成某种程度的损伤，间接的影响了业务的正常运行。操作错误，一般小错误不会对业务造成特别严重的的影响，但也可能影响业务的正常运行，或发生暂时的业务中断。维护错误，同上面的操作错误，对业务的影响依赖于维护人员的错误程度。火灾，水灾及自然灾害，这些威胁发生后，可能会导致各种业务发生中断，甚至是瘫痪，造成巨大的损失。偷窃，可能造成硬件资产和数据资产的丢失，间接的影响了业务，导致业务发生中断，影响它的正常运行。人员不足，对业务的影响也是间接的，各ERP业务中发生的所有问题都需要足够的专业人员来维护，在关键时候人员的不足也会给XXXXXX集团机构造成巨大的损失。人员故意损害，对各业务的影响是不可估量的，可能仅仅使业务的正常运行受到轻微影响，也可能造成整个业务的瘫痪，特别是公文交换系统出现问题，影响巨大。对机构产生的影响对XXXXXX集团的声誉或政绩影响较大的威胁有：用户身份假冒，损害或破坏性程序的引入，通信渗透，通信操纵，意外数据量的增大，抵赖，连接失败，恶意代码的嵌入，主机技术故障，存储设备技术故障，网络分布组件技术故障，网络接口技术故障，系统或网络软件故障，应用软件故障，电源故障，操作错误，维护错误，火灾，水灾，自然灾害，人员故意损害。对XXXXXX集团的声誉影响较小的威胁有：应用程序的非授权使用，系统资源的不正当使用，通信侦听，意外错误的路线，工作站技术故障，网络管理/服务技术故障，空调故障，偷窃，人员不足。需求分析系统规划现状描述及分析为了使XXXXXX的信息化建设能够跟上XXXXXX对于企业的管理需求，XXXXXX应该增添一些相关的硬件设备，配合XXXXXX的内部管理制度，从而建成一套完整、先进的信息化系统。系统分析此次XXXXXX要建设一套适合于集团的ERP管理系统，该系统应该会包含人力资源管理、企业流程办公、物流系统、财务系统等多套企业管理其他，因此会产生大量的企业管理数据，而这些数据对于企业来说是属于机密的数据，因此需要加强对这些数据的安全管理问题。集团总部预建设一套完整安全的信息中心，下属各企业通过不同权限访问至总部中心网络，可能过程中会遭遇到数据窃听、篡改等威胁，因此可能会由于一些潜在的威胁造成危害，从而使得企业造成一定的损失，因此需要加强对于数据的安全保护。另外，随着数字信息的不断膨胀以及数据的安全性，对于数据的备份要求越来越高，我们也需要对XXXXXX集团中心的数据实现异地灾备，防止由于天灾而引起机房整体设备损害导致数据丢失。因为我们知道，设备可以用钱购买，而数据丢失了则无法找回或者会花费数倍于设备的金钱来获得原始数据。在第二章节的分析中我们可以看到，任何信息系统都会面临到许多威胁，我们只有通过一系列的手段来加强安全措施，才可以更好的利用信息化系统为企业服务，才能够保证信息化可以更加高效的产生效益。分析结论根据XXXXXX集团的信息建设的需求描述以及对网络中心的系统分析、安全性考虑，我们为XXXXXX集团中心网络搭建一个适合于集团的网络结构图。如下图所示。:图1：XXXXXX集团网结构图核心网络系统分析集团信息系统安全分析通过对XXXXXX集团网进行调研，结合各业务系统安全需求特点分析，对XXXXXX集团网络硬件平台搭建提出几点安全分析：服务器及数据存储问题XXXXXX集团有多种业务应用系统支撑平时业务运作，有大量的电子数据需要保存，如何搭建高速有效，大容量的数据运行的依赖环境也成为本次信息系统建设的重要事情。如何为XXXXXX集团搭建高性能、先进的服务器存储架构也是本次信息系统建设的重中之重。因为保证服务器、存储的高稳定以及高性能运行才能更好的使运行其上的多种应用系统更好的为XXXXXX集团提供服务，提高生产效率。网络边界防护问题目前XXXXXX集团网络对于INTERNET来说属于透明无防范的，因为XXXXXX集团的数据安全级别较高，因此新建成的对于安全级别要求较高的集团网络是不合格的。根据风险测评机构给出的定义，除了内部的基础设备，与其他互联的任何网络都被视作风险来源。于是互联网对于XXXXXX集团来说是风险来源，XXXXXX集团应该利用边界防护设备过滤XXXXXX集团与外网的数据交互，可以通过防火墙，入侵检测等设备过滤internet和下属企业单位对XXXXXX集团的访问。网络链路安全问题集团信息中心网络链路没有建立安全加密隧道。尤其数据在internet中传播的时候会存在许多不安全的因素，如果数据透明未加密的话可能就会很容易的被人窃取到，因此必须保证数据在安全加密的传输隧道中进行传输，这样才能更加的提高数据安全的级别。否则，数据有可能会在传输过程中被截取，而造成机密数据的丢失和泄露。对数据进行加密后即使数据被窃取，如果无密钥进行解密的话，数据对于获得者是无效的。数据信息保护措施我们知道安全是没有绝对的安全的，如果在防范未果的情况下，数据确实出现丢失，而且这个时候我们又没有数据的备份，这个时候的损失可谓是无可弥补的了，因此我们不但应该要做好安全的防护措施，还应该做好应急措施。对数据进行异地容灾备份，这个时候无论发生天灾或人祸，我们在安全的级别上大大提高了数据的安全性。可以保证正本数据丢失、损坏的情况下能给得到恢复。病毒防护问题病毒攻击占日常普通攻击行为的比重约为70%，XXXXXX集团接收来自各机关单位的数据，很难避免在数据交互过程中病毒的入侵。一旦病毒侵入数字中心内部可能会造成数据的丢失，信息系统的瘫痪。因此XXXXXX集团应该把病毒阻止在XXXXXX集团前端，防止病毒的爆发而造成XXXXXX集团的网络问题。XXXXXX集团与各单位相连接，为了防止病毒通过专网传播到XXXXXX集团核心业务区，本建议中使用防毒墙技术，提供对XXXXXX集团的病毒安全防护。建议在XXXXXX集团核心业务区前部署防病毒网关。应用交付问题大量的系统访问会使得部分服务器承受访问量较大，而另外一部分会比较空闲，对于新建成的集团中心网络，会有大量的服务器设备，如何保证各服务器发挥其最大功效，不会因为单台服务故障而造成业务系统中断？因此我们考虑通过应用交付技术使的服务器设备发挥最大功效，保证办公效率。应用审计和带宽管理问题随着Internet接入的普及和带宽的增加，一方面员工上网条件得到改善，另一方面也给机构带来更高的网络使用危险性、复杂性和混乱性。据IDC调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。IDC的数据统计显示，员工30%-40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。而中国员工比其它地区的员工每周多花7.6小时使用IM、玩游戏、P2P软件或流媒体。互联网滥用，给中国企业、政府、高校、行业用户等各行业带来了巨大的损失。因此我们应该通过一些手段控制网络资源的正常使用，保证正常办公业务的带宽，才可以更好的让信息系统为企业服务。运维管理问题随着信息系统的不断完善建设，IT管理人员将会面临越来越复杂的网络以及越来越多的网络设备，而随之带来了管理上的问题，IT管理人员需要对每一项设备进行观察监测，以面对信息系统出问题的时候如何进行解决。因此IT管理人员的工作量将会越来越繁重和复杂。也会因此带来IT管理工作的效率问题。因此如何对众多设备进行统一的监管，也是信息系统建设所需要面临和解决的一项重要问题。分析结论XXXXXX集团中心网络存在的网络安全隐患将直接影响到企业办公的安全和稳定。在上述分析中，通过在边界、传输路径、内部以及在管理上缺陷的部分做分析，多方位的保证XXXXXX集团网络系统的安全。“罗马不是一天建成的”，安全也不是光靠设备就能完成的，还应该配合管理制度，人员的培训等多方面出发，保证信息系统的安全稳定运行。总体安全技术部署建议根据XXXXXX集团中心网络现状分析，我们提出了由多种安全技术和多层防护措施构成的一整套安全技术方案，具体包括：在网络层划分安全域，部署防火墙系统、上网审计系统、入侵防御系统；在系统层部署病毒防范系统，提供系统加固建议；具体建议如下：数据存储及应用服务器解决方案在此次应用服务器解决方案中，我们使用惠普刀片服务器来提供解决方案。其实在众多服务器解决方案中除了刀片解决方案之外还有类似于普通PC服务器以及小型机解决方案等多种应用解决方案。在类似于XXXXXX集团基础应用中一般使用高端类似于小型机或者刀片服务器。在这里我们推荐使用刀片服务器的主要原因是：刀片服务器的运算密度、存储密度大大高于小型机；大规模刀片服务器集群可以做超级计算机系统，小型机不能，因为I/O能力不足。小型机依赖于特定的软件环境和特定的电脑应用，刀片服务器则没有这个限制。刀片服务器适合集中式和分布式的应用，小型机仅适合于集中式应用。刀片服务器维护类似于普通PC服务器。而小型机应用水平较高，需要掌握特定的小型机维护技能才可以对小型机进行维护。服务器产品选型及参数根据需求分析调查推，我们推荐以下刀片服务器系列；产品型号描述数量应用服务器HPBL460cG7E56206G1PSvr（3台）标配一个4核E5620处理器(2.40GHz,12MBL3Cache,80W,DDR3-1066,HT,Turbo1/1/2/2)，可扩至二路处理器；标配6GB(3x2GB)PC3-10600(DDR3-1333)RegisteredDIMMs；12个DIMM插槽,最大可扩展192G内存,集成NC553i双端口FlexFabric多功能万兆网卡,支持FCoE和iSCSI，集成iLO3远程管理，提供额外的10/100兆服务器管理端口给iLO3远程管理；集成SmartArrayP410i控制器（RAID0/1），支持两个小尺寸SSD或者SAS或者SATA热插拔硬盘或者两个；提供2个I/O扩展槽；提供一个为安全设备使用的内部USB2.0端口，提供一个内部的SD-HC卡端口,提供一个内部TPM1.2模块接口3HPBL460cG7E5620(2.40GHz,12MBL3Cache,80W)第二个4核CPU3HP2GB2Rx8PC3-10600R-9Kit3146GB10KSAS6G2.5"双端口热插拔硬盘6QLogicQMH24624Gb双通道FC主机适配卡3ERP服务器HPBL680cG7E75302P16GSvr（3台）标配两颗6核E7530至强处理器(6core1.86GHz,12MBL3cache,5.86GT/sQPI,105W)，可扩至四路处理器；标配16GB(4x4GB)DDR3-1033RegisteredDIMMs；64个DIMM插槽,最大可扩展1TB内存,集成6个NC553i10GB双端口FlexFabric多功能万兆网卡,支持FCoE.Flex-10和iSCSI，集成iLO3远程管理，提供额外的10/100兆服务器管理端口给iLO3远程管理；集成SmartArrayP410i控制器（RAID0/1），支持4个小尺寸SSD或者SAS或者SATA热插拔硬盘；支持raid5，提供最多7个I/O扩展槽；提供一个为安全设备使用的内部USB2.0端口，提供一个内部的SD-HC卡端口,提供一个内部TPM1.2模块接口3HPBL680cG7E7530第一,三个CPU6HP146GB6GSAS15K双端口热插拔硬盘(G7用硬盘)9QLogicQMH24624Gb双通道FC主机适配卡3网络互联模块HPBLC1/10GB-FVC-EnetModule

(1)*10GbE-CX4,(2)*10GbEXFP,(2)*1GbESFP,(4)*10/100/1000BASE-T上行链路，可堆叠。

所有端口全线速，包含VCM（VirtualConnectManager）2HPB-series8/12cBladeSystemSANSwitch

8Gb光纤交换机；12口可用；2*短波8Gb收发器；WebTools许可；Zoning许可；全光纤连接，支持文档；每机箱最多6个2HP8GbShortwaveB-seriesFCSFP+1Pack4刀片机箱HPc7000机箱（带单相电源箱，2个2400W电源模块，4个风扇，8个ICE30天试用版License；带KVM）1HPBLc-classC7000机箱一个风扇模块6HP2400W高效电源（带2mIECC20-C19电源线）4HP32ACoreOnlyCordedPDU（输入IEC309，输出4*IEC320C19）2解决方案说明本次方案描述:客户可以根据自己的工作负载、数据量和投资规模选择自己的系统配置，也可以构成双机备份的配置、满足高可用性的需要。HP提供如下硬件系统配置供参考。建议采用HP新一代BladeSystemc-Class刀片服务器能够支持Integrity和基于x86架构处理器的服务器刀片的混合配置，提供高性能及最佳性价比，支持多操作系统，而且以3项创新技术帮助用户实现基础设施统一管理、节能和灵活的网络联接，成为支持应用有力的武器。HPBladeSystemC7000机箱上配置2个网络模块连接到核心交换机，2个光纤模块连接到外围的2个光纤磁盘阵列，能够实现系统的灵活性和高可用性，满足用户对于双机热备应用的需求。3台BL460C2路服务器用于运行OA,MAIL,WEB等多种应用服务，3台BL680C4路服务器用于ERP系统，后期更可以通过虚拟化手段，增加衍生应用，提高投资回报。设备选型介绍为什么选择惠普刀片服务器惠普刀片解决方案采用了业界市场占有率第一的刀片C-Class系列产片，刀片服务器专为大型企业数据中心而设计，HP工业标准服务器，采用经扩展的内存和I/O，将继续提供功率高效的计算能力，实现最大性能，适用于拥有庞杂应用的大型数据中心。降低数据中心相关成本相对于机架产品，刀片产品可节省：4倍的数据中心空间16倍的连线成本30%的散热成本50%的管理成本10%-20%的采购成本更高效更安全的故障迁移传统的数据中心存在管理和扩展性能的局限性，刀片服务器全方位的优点已经使得该产品成为IT项目SERVER设备中的主流产品和趋势。硬件硬件人力第三方数据中心硬件人力第三方数据中心64台2U机架式工作站及配套设备64台刀片式工作站及配套设备采购支出运营成本以1U服务器为例，42U标准机柜可以摆放42台机架式服务器，而如果换成刀片服务器，一个42U机柜可以摆放多达64个，而且单个刀片服务器的性能远超1U机架服务器。刀片服务器将原有的设备进行了高度集成，在一个机箱内实现了多种产品整合，有效降低了采购成本。在目前IT的日常管理中，最让管理员头疼的就是布线和检测，繁杂的线缆让人无从下手，刀片服务器强大的集成性能，使得线缆的数量实现最小化，简单清爽。能源的智控化管理可以最大程度的体现在电费的支出上，一年节省30%的电费，对于投资人的资产实现了最大的保护。更加安全、稳定的架构-刀片系统创建新的模块化服务器架构，采用无需工具的机械设计，热插拔组件，增加系统冗余、和可靠性，高度冗余的电源，风扇，电源任意坏掉3个，风扇任意坏掉4个，整个机箱正常工作，I/O模块高度冗余，提供了8个i/o插槽，满足各种网络需求和高可靠性要求。整合的基础设施可避免由于各种原因所造成的停机现象，诸如线缆、服务器、开关故障；人为配置错误、以及软件、电源和散热问题。解决这些问题的时间也可大幅度减少，每年计划内和计划外的停机时间可减少近100%；同时共用基础架构模块，可节省20%硬件成本；刀片系统采用了惠普独有的能量智控技术(ThermalLogic)的HPActiveCool风扇以及HPPARSEC体系结构，与传统机架式服务器相比，刀片服务器可在最需要冷却的地方获得最多的气流，而所需的电力也大为减少。事实上使用惠普(HP)能量智控技术(ThermalLogic)以及HPBladeSystem系统套件，不仅比相同数量的机架式服务器冷却所需气流降低50%且耗电减少30%统一管理平台刀片系统的统一管理平台对机房内的所有刀片设备进行远程统一监控和管理，进行全面的系统状态、远程控制、漏洞扫描和补丁管理，并能够进行自动的操作系统分发部署和电源管理。刀片服务器故障自动恢复：通过惠普独有的虚拟连接交换机加上IDVSE的软件，轻松实现硬件级别的故障自动恢复，大大降低了宕机时间，减少因为应用宕机而造成的损失。存储产品选型及参数根据需求分析调查推，我们推荐一下存储解决方案；P2000FC解决方案描述P2000FC双控制器版本，每个控制器2个8Gb/sFC接口AP845AHPStorageWorksP2000G3FibreChannelDualController12-bayArraySystemP2000FC双控制器磁盘阵列SAN交换机及配件,2台SAN交换机之间级联221692-B225MSWLC/LCFCCableALL5m光纤线,根据需要购买SFP有SAN交换机必选，每个激活的端口需1个硬盘一个扩展箱最多12个硬盘AW555AHPP20002TB6GSAS7.2K3.5inMDLHDD软件TA808AHPP2000RemoteSnapSoftwareLTU存储解决方案说明存储系统的基本目标是满足企业的业务要求。存储结构是众多业务解决方案的基础，对于企业能否在最短的时间内及对现有业务干扰最小的情况下快速创建安全的、集成的企业应用程序至关重要。此外，存储体系结构还能最小化数据损失的可能性；严重的数据损失会对公司的未来营运产生重大影响数据存储系统是保证未来城信息系统正常运行的最基本单元，无论是OA系统还是其他的企业服务信息系统，都可以依赖于存储系统为基础，从而提供良好而稳定的服务。存储系统有三种结构技术：1．DAS技术对于DAS，存储器通过光纤或铜线之类的连接介质直接与服务器相连接。DAS的一些例子包括通过集成设备电路（IDE）或RAID（独立磁盘冗余阵列）控制器的SCSI接口访问本地磁盘驱动器。DAS的主要特征在于对直接附加的服务器提供快速数据存取；当然，只有从所连接的服务器上才能访问该存储器。2．NAS技术NAS是一种能够提供灵活的、可伸缩的解决方案的存储类型，能够满足组织的文件共享需求。NAS设备是一种运行专门设计用于处理文件服务的操作系统的服务器。网络附加存储的主要特点是可以通过TCP/IP等LAN协议从局域网上直接访问存储器。使用网络协议的存储访问的不利之处在于（相对于直接存取存储设备，其运用本地总线速度）数据存取速度以及相应的终端用户性能取决于网络基础结构的响应速度。3．SAN技术存储区域网络（SAN）是一种专用网络，能够提供高性能与高度可用的存储子系统。SAN由专门的设备组成，例如主机服务器中的主机总线适配器（HBA）、帮助路由存储流量的交换机（所用的方法类似于LAN网络交换机）、磁盘存储子系统与磁带库。所有上述设备都通过光纤或铜线相互连接。SAN的一个主要特性是存储系统通常可供多台主机同时使用，从而能够提供可伸缩性与灵活性。SANHBA与交换机所具备的特性提供了优于NAS的性能优势。虽然DAS的数据传输率更快，但是DAS与SAN技术之间的性能差距却在不断缩小。SAN存储解决方案可供多台服务器使用的优点抵消了其在总体存取速度上存在的缺陷。通过上面对三种存储的介绍以及比较，我们在存储设计阶段推荐使用SAN存储，能够很好的满足企业数据存储需求，网络拓扑是存储解决方案性能以及远程站点存储布局的关键所在。使用SAN能够提供排除数据流量的方案，从而提高性能。而且使用存储阵列做为数据存储能够更好的对数据进行保护。如下图所示：网络边界安全建议网络访问控制划分安全域为了提高XXXXXX集团的安全性和可靠性，应在XXXXXX集团网络划分不同安全域。访问控制措施对安全等级较高的安全域，在其边界部署防火墙，对安全等级较低的安全域的边界则可以使用VLAN或访问控制列表来代替。根据对XXXXXX集团对整体网络的区域划分，我们将在不同安全域边界采用不同的访问控制措施：在边界部署高性能防火墙，只允许来自外联单位服务器发起的特定访问，禁止其他一切数据通讯；另一方面控制前置机服务区与业务服务区域之间的访问，只允许前置服务器发起的应用相关的特定访问，禁止其他一切数据通讯；即使攻击者成功获得外联网防火墙的控制权，也不能轻易攻入业务网络；产品推荐及参数根据需求分析调查推荐总部使用SG-6000-G2120指标SG-6000-G2120防火墙吞吐量(标配/最大)4GbpsIPSec吞吐量(1)1.5Gbps最大并发连接(标配/最大)100/200万防病毒吞吐量(2)350Mbps900Mbps（选配FEC-AV-30卡）IPS吞吐量(3)800Mbps每秒新建连接(4)45,000IPSec隧道数4,000最大SSLVPN用户数2,000管理接口1个配置口，1个AUX口，1个USB2.0口网络接口8个千兆电口，4个SFP口外形尺寸(W×D×H,mm)1U(436x366x44)根据需求分析调查推荐总部使用SG-6000-M3100指标SG-6000-M3100防火墙吞吐量1GbpsIPSec吞吐量(1)500Mbps最大并发连接(标配/最大)40/100万防病毒吞吐量(2)70MbpsIPS吞吐量(3)200Mbps每秒新建连接(4)10,000IPSec隧道数1,000最大SSLVPN用户数500管理接口1个配置口，1个USB2.0口网络接口8个千兆电口外形尺寸(W×D×H,mm)1U(442x241x44)山石网科防火墙解决方案SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-G2120处理能力高达4Gbps，而SG-6000-M3100处理能力也高达1Gbps广泛适用于企业及其分支机构，可部署在网络的主要节点、及Internet出口，为网络提供基于角色、深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。应用识别全新一代基于应用行为和特征的应用识别；多达几百种的应用特征库；应用特征库可以通过网络实时更新防火墙全新一代基于应用的防火墙；；基于应用/角色的安全策略；可防范DNSQueryFlood、SYNFlood、DoS/DDoS等攻击；各种畸形报文攻击防护；ARP欺骗防护；流量管理基于角色、应用、IP地址、时间等的流量管理策略；支持基于服务等级(CoS)的流控，兼容DiffServ标记；弹性流控，可以动态分配带宽VPN支持各种标准IPSecVPN协议及部署方式；创新的PnPVPN®(即插即用VPN)；支持SSLVPN(可选USB-key)；支持L2TPVPN网页访问控制基于角色、时间、优先级等条件的Web网页访问策略控制；总数超过2千万条域名的分类Web页面库，支持Web页面库实时更新；基于网页分类类别控制，控制对不良网站访问；支持自定义Web页面类别病毒过滤基于流、低延时、高并发、高性能的病毒过滤；支持大病毒文件的扫描；实时病毒连接阻断，病毒事件记录；支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描；超过40万的病毒特征库、病毒库可以做到实时更新入侵防御基于状态、精准的高性能攻击检测和防御；实时攻击源阻断、IP屏蔽、攻击事件记录；支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多种协议和应用的攻击检测和防御集中监管和细粒度分析审计(HSM)设备集中管理；性能、流量监控与分析入侵防御系统在前面通过防火墙系统实现了对网络边界的控制，但是对于内网中重要的服务器还需要进行进一步的防护，可以采用入侵防御系统来实现。防火墙职能实现基于IP层的访问控制，初步抵御来自非信任网络的攻击；为了弥补目前防火墙对攻击防护能力的不足，我们需要一种新的工具用于保护业务系统不受黑客攻击的影响。这种工具不仅仅能够精确识别各种黑客攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。入侵防御技术可以实时地监控网络中所有的数据流，同时发现访问过程中的攻击行为，可以对攻击行为进行警报或者阻断。入侵防御系统也叫IPS。入侵防御是网络安全非常重要的一个环节，主要是通过从计算机网络系统中的若干关键点收集信息，并分析这些信息，以监控网络中是否有违反安全策略的行为或者是否存在入侵行为，并对违反的行为进行响应。入侵防御系统作为安全侦测防御的最后一道防线，能提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控并响应，是其它安全措施的必要补充，在信息安全技术中起到了不可替代的作用，是安全防御体系的一个重要组成部分。在外网边界部署入侵防御系统，对外界网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断。IPS系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种网络攻击行为，因其是以在线串联方式部署的，对检测到的各种攻击行为均可直接阻断并生成日志报告和报警信息。另外，在此IPS上还可部署一路IDS，可以做到对网络进行实时监控与阻断响应。通过使用IPS系统可以做到：阻止来自外部或内部的蠕虫、病毒和黑客等的威胁，确保信息资产的安全。阻止间谍软件的威胁，保护机密。实时保障网络系统7x24不间断运行，提高整体的网络安全水平。智能、自动化的安全防御，降低整体的安全费用和网络安全领域人才的需求。高效、全面的流量分析、事件统计，能迅速定位网络故障，提高网络稳定性。提供准确和智能的检测和防护，以预防已知和未知攻击，使需要管理人员干预的程度最小化，有效减轻攻击报警处理的压力。集成IDS功能，完全可做到一台设备两大功能原理。通过IPS功能可以做到：对网络核心业务服务器的数据流量进行监测，防止入侵者的蓄意破坏和篡改。监测网络上所有的数据流量，发现异常的数据流量，帮助网络管理人员发现入侵，检测、分析病毒,帮助查杀病毒。监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作。对用户的非正常活动进行统计分析，发现入侵行为的规律。对关键正常事件及异常行为记录日志，进行审计跟踪管理。产品推荐及参数根据需求分析调查推荐总部使用SG-6000-G2120-IPS；指标SG-6000-G2120-IPS防火墙吞吐量(标配/最大)4GbpsIPSec吞吐量(1)1.5Gbps最大并发连接(标配/最大)100/200万IPS吞吐量(3)800Mbps每秒新建连接(4)45,000管理接口1个配置口，1个AUX口，1个USB2.0口网络接口8个千兆电口，4个SFP口电源规格单100W，可选双冗余电源输入范围交流100-240V50/60Hz外形尺寸(W×D×H,mm)1U(436x366x44)重量9kg工作环境温度0-40℃工作环境湿度10-95%(不结露)山石网科入侵防御解决方案1、基于深度应用识别Hillstone山石网科采用了全新一代基于应用行为和特征的应用识别，其基于深度应用识别的技术，突破传统基于端口的网络防御方式，只有真实的识别出流量对应的应用，才能有针对性的去防范针对应用的攻击。StoneOS支持超过几百种以上的应用特征库，同时，应用特征库是支持定时自动升级，无需更换软件版本。在对网络应用可视化的前提下，StoneOS入侵防御支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多种协议和应用的攻击检测和防御。2、可扩展的全并行多核PlusG2硬件架构山石网科自主开发的64位实时安全操作系统StoneOS®，具备强大的并行处理能力。StoneOS®采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS®实现了从网络层到应用层的多核全并行处理。因此，较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能的无法两全的局限。同时，其基于模块化的设计可以实现：性能可扩展，存储可扩展和接口可扩展。模块化设计可充分保护投资。图SEQFigure\*ARABIC1:可扩展的全并行多核PlusG2硬件架构3、基于深度应用原理和攻击原理的入侵防御简单的入侵防御规则匹配，肯定已经不能满足用户对入侵防御检测率和误报率的需求。从技术原理来分析，如何才能保证入侵防御具有精准的检测率呢？一是系统本身需要有强劲的处理能力，能够满足深度应用分析和攻击分析的需求；二是精准防御是建立在深度应用识别之上的；三是对攻击的分析应该是基于原理的而不仅仅是基于简单的规则匹配的。基于深度应用和攻击原理的入侵防御手段能防御一些攻击的躲避技术，提高攻击检测的准确率。从基于深度应用的状态检测，协议规范检测等，再到攻击原理的分析，最后才会是规则特征库的模式匹配。图2:基于深度应用和攻击原理的入侵防御4、攻击迅速响应防御最新攻击支持超过3,000种的攻击检测和防御

，安全专家，安全专员分析，积极应对新攻击，支持攻击特征库离线在线更新，定期自动更新多种方式。图3:积极攻击响应，防御最新攻击5、基于策略的入侵防御功能山石网科入侵防御功能与策略引擎完全集成。管理员能够完全控制以下各方面：哪些域的流量需要进行入侵防御，以及哪些服务器和应用被保护，并且可以根据服务器的具体应用定制入侵防御规则集。加密传输系统XXXXXX集团具有开放性和互连性。同时，由于财务或者EPR数据属于秘密数据，所以网上传输的信息的安全和保密是一个至关重要的问题。所以对接入用户的身份识别和访问控制、以及数据传输安全性也就成为安全、高效、稳定运行的关键。为了满足政务网和预算单位接入，建议在该接入区部署SSLVPN安全接入网关。我们所部署的SSLVPN安全接入网关应该具备以下一些功能：无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。由于SSLVPN使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。可绑定客户端应用考虑到用户使用方便，应提供客户端应用绑定的功能，让用户可以针对某一个应用服务设定使用哪一种客户端的应用程序。客户端应用绑定设置，也可由管理员完成，让用户免于设置操作。支持多种基于TCP/UDP的应用系统虽然SSL协议主要用于保护Web应用系统，但是SSLVPN应该也能够支持多种基于TCP/UDP的Client/Server结构的应用软件。管理员只需通过简单的管理接口，即可在服务器上定义需要支持的应用或配置服务器使用的端口。支持第三方Radius/WindowsAD/LDAP认证系统作为远程接入VPN网关，SSLVPN最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。为了减轻管理员的管理操作，SSLVPN不应只提供内置用户认证数据库，也应可以同常用的Radius/WindowsAD/LDAP用户认证系统结合，提供一体化的用户认证设施。支持WindowsAD/LDAP用户数据库同步企业一般都会有集中的用户管理系统，例如基于WindowsAD的用户管理系统。虽然IT管理人员希望只需维护一个用户数据库，但也要求在不同的应用系统及网关上进行细粒度的配置。若系统支持同WindowsAD/LDAP服务器之间实现帐号同步，即可保持服务器与企业用户数据库的一致。支持基于信任链表的PKI证书应用基于公开密钥证书的认证系统具有安全性高、扩展性好等特点，因此很多用户已经开始使用PKI作为基础的认证设施。因此用户会要求远程接入网关，能够支持多个CA签发的证书的用户认证。检查客户端安全措施一旦有用户接入到企业内部网络中，那么远端用户的计算机就成了企业网络的边缘。因此IT管理人员需要确保远端用户的计算机满足企业的安全策略要求。为保证客户端的安全性，SSLVPN提供如下措施：主机检查与缓存清除主机保护访问限制列表用户登录锁定SSL协议/加密算法设置在主机检查与缓存清除方面，SSLVPN允许管理员设置需要在客户端检查的条目，例如：允许/禁止哪些进程运行允许/禁止哪些文件存在允许/禁止哪些网络端口打开允许/禁止安装的杀毒软件/个人防火墙提供基于角色的细粒度访问控制访问控制是SSLVPN提供的核心安全服务。SSLVPN所使用的基于角色的访问控制，便于管理员快速地针对企业现状配置对应的更改控制规则。通过角色将系统的访问用户同系统保护资源联系起来，既非常直观，而且在访问控制策略发生变化的时候，也无需为每一种资源或者每一个用户修改权限，而只需要修改某一种服务/角色/用户的属性。在SSLVPN中，一个用户可以属于多个角色、访问多种服务，而一个服务可以被多个不同的角色访问。另外，管理员也可以设定角色的有效时间。产品推荐传统VPN应用中，能够简单的保证数据在传输过程的加密传输，却无法保证如何在低带宽保证的情况下依旧有效的进行业务办公。我们推荐的深信服VPN，能够实现VPN加速，实现流缓存技术，有效的节省了带宽应用，更加快速的实现分部至总部的访问。根据需求分析调查推荐总部使用SANGFORVPN-2150，分部推荐使用SANGFORVPN-2050，设备硬件参数规格如下所示；SANGFORVPN-2150参数如下：分类功能详细指标SSLVPN性能参数SSLVPN加密速度（RC4128bits）≥200Mbps并发SSL用户数≥800每秒新用户数≥90防火墙性能参数防火墙吞吐量（双向256bits包）≥500Mbps最大并发会话数目≥600000IPSecVPN性能参数IPSecVPN加密速度（AES128bits）≥280MbpsIPSecVPN隧道数≥4000并发IPSec客户端数≥4000网络接口局域网接口≥1000BASE-T(RJ-45)*2广域网接口≥1000BASE-T(RJ-45)*2SANGFORVPN-2050参数如下：分类功能详细指标SSLVPN性能参数SSLVPN加密速度（RC4128bits）≥100Mbps并发SSL用户数≥300每秒新用户数≥60防火墙性能参数防火墙吞吐量（双向256bits包）≥150Mbps最大并发会话数目≥350000IPSecVPN性能参数IPSecVPN加密速度（AES128bits）≥75MbpsIPSecVPN隧道数≥3000并发IPSec客户端数≥3000网络接口局域网接口≥1000BASE-T(RJ-45)*2广域网接口≥1000BASE-T(RJ-45)*2深信服VPN及加速解决方案1.数据强加密：SANGFORSSLVPN设备使用基于应用层的SSLVPN协议进行数据加密处理，在客户终端与SSL设备之间构建一条旁人无法破译的专有通道，保证数据在传输中的绝对安全性。2.安全发布应用，访问便利：使用SSLVPN对内网应用进行发布，并根据组织原有的Internet线路通过浏览器内置的SSL协议构建在单点接入用户和内部的应用系统之间架设一条安全的通道。无需安装任何客户端软件，实现分公司和移动办公人员的安全、方便的远程接入。3.细致权限划分：SANGFORSSLVPN通过“角色”的设置，进行用户、用户组、应用资源的绑定，并可通过基于时间的客户端检查授权规则赋予用户、用户组不同时间的不用应用的访问权限，实现基于用户、用户组、时间、应用的细致权限划分。4.安全桌面技术：可指定部分或全部对数据安全性要求较高的应用必须置于安全桌面中访问。当客户端登录SSLVPN后，该应用将置于通过虚拟技术在客户端生成的一个封闭式安全桌面使用，应用在与服务器所交互数据将被强加密处理。在使用时该安全桌面中的数据不可拷贝到默认桌面中，不可通过网络与局域网主机或外网进行通讯，不可通过USB等外设拷贝出去。当用户退出SSLVPN中，所有安全桌面中数据将一并销毁，将通过SSLVPN访问应用的各种数据彻底清理出本机，保证了应用访问过程中与SSLVPN退出后数据的安全性。5.融合多种加速技术：SANGFORSSLVPN结合了多种加速技术，分别从数据削减、线路优化、传输提速三方面全面的提升数据传输速度。通过流缓存技术、B/S、C/S压缩将削减冗余数据，通过HTP快速传输协议针对丢包延时现象进行线路优化，通过基于码流特征的数据优化技术在保证数据实时性和完整性的前提下大幅降低数据传输量、提升传输速度，使用多线路技术、Web优化、WebCache、资源负载均衡、IP服务加速进行数据传输的提速，打造“最快速”的SSLVPN应用访问。6.多种认证方式相结合：针对单一用户名/密码认证的安全强度不足的问题，SANGFORSSLVPN支持多种认证方式“与”、“或”方式相结合，包括短信认证、CA认证、LDAP、RADIUS、动态令牌卡的多种方式，加强了认证的安全性。7.客户端安全检查：SANGFORSSLVPN支持客户端的安全检测策略，通过检查终端的操作系统、注册表、进程、文件、接入线路的IP、接入线路的时间、登录IP等各项信息对客户端进行全面检测，并进行允许/不允许接入SSLVPN或授予不同的应用访问权限的操作。从源头对终端接入带来的安全风险进行控制，保障了总部的安全。8.终端易用性：SANGFORSSLVPN通过浏览器就能实现对内网资源的访问，无需安装客户端软件。并支持B/S和C/S应用的单点登录，用户通过认证并登录到SSLVPN后，直接可以打开相应的资源进行内网应用的访问，不需要再反复的输入用户名密码，大大降低在终端上访问内网办公的复杂程度。9.管理员分级管理：SANGFORSSLVPN支持设置多达16级的多级管理员，上级管理员可对其下级管理员进行相应的权限设置和配置的强制继承，既切合组织网络管理的结构，又保证了管理配置上的一致性。异地容灾备份系统伴随着IT信息化的推进，组织运营对IT系统的依赖度越来越高，IT系统的可持续化运行，以及IT系统中数据的安全性，已经是对组织运营风险控制产生重大影响。而容灾正是这样一门技术和方案，它可提供一个防止IT系统遭受各种灾难影响破坏的保护系统，为IT系统的可持续化运行和数据安全提供一道保护屏障。什么是容灾，其实简单的说就是尽可能的减少和避免灾难发生所造成的数据损失和业务中断。备份和恢复是“容