安全隔离建议方案

南京奥体中心网络安全隔离投标方案

目录1 南京奥体中心网络安全隔离需求分析 31.1 南京奥体中心内部网网络现状 31.2 南京奥体中心网络的安全风险分析 31.3 建立统一安全隔离数据交换安全原则 42 南京奥体中心网络网络安全隔离解决方案 52.1 南京奥体中心网络内网安全隔离与信息交换设计 52.2 安全隔离与信息交换平台实施方案 52.3 近期建议解决方案拓扑图 62.4 解决方案产品选型 73 隔离网闸产品方案设计 83.1 隔离网闸产品概述 83.2 产品内部架构 83.3 产品特点 93.4 产品功能 103.4.1 系统可靠性 103.4.2 系统可用性 113.4.3 安全功能 113.4.4 系统管理 123.4.5 应用支持 133.5 伟思ViGap系统性能参数 144 实施方案 144.1 实施计划 144.2 具体实施步骤 155 验收方案 155.1 设备交货验收 155.2 现场移交验收 165.3 试运转验收测试 166 系统支持与服务方案 166.1 售后服务 166.2 培训计划 17外部主机对内网的访问请求。在该隔离环境下，大量攻击行为都被隔离网闸隔离而无法进入南京奥体中心数据中心网。隔离网闸采用多接口设计可以配合负载均衡器实现应用负载，保证业务的高可靠性设计。部署伟思数据交换系统实现内外网文件数据与数据库数据的同步交换，该系统具备强大的安全审计、木马防护、文件签名校验等功能，能够有效保障数据中心网与外网数据安全可靠的交换。近期建议解决方案拓扑图近期南京奥体中心网络进行初期的业务运行，其用户量在几十数量级，但是考虑到将来的用户数增加较大，为使业务系统将来能够平滑升级和过度，因此，可建议采用单主机、单链路的千兆设备构建安全隔离平台，其初步的整体解决方案如图所示：本方案在南京奥体中心数据中心网络与外网核心交换机间部署隔离网闸，统一实现用户认证、文件安全检查、通讯加密、网络隔离以及文件上传、下载等任务。隔离网闸可采用访问式和同步式两种工作模式，提供内外网数据库、文件服务器的数据同步功能，也可以提供对网络访问的全面控制和策略管理。隔离网闸负责完全屏蔽数据中心网络，进行协议剥离和纯数据静态摆渡，，防止各种已知和未知的攻击行为及木马病毒危害。隔离网闸具有应用文件数据交换功能和数据库数据交换功能，实现内外网数据安全可靠的交换，同时具备强大的安全审计、木马防护、文件签名校验等功能，能够有效防止木马、病毒随文件进入数据中心网。隔离网闸支持白名单安全机制工作，即仅允许专用传输程序访问数据中心网的服务器进行文件上传、下载，任何其它应用程序，包括各类病毒、木马程序都被拒绝访问数据中心网服务器，确保数据中心网服务器安全。随着业务的扩展，隔离网闸丰富的网络接口可以直连对外应用服务器配合负载均衡器实现服务器的冗余，保证业务的可持续性和高可靠性。方案扩展性随着信息化建设的不断推进，未来用户业务量的变化、增加，越来越多的业务系统需要与数据中心的服务器进行数据交换，为了保证业务系统能持续、可靠地提供服务变的尤为重要的，因此安全隔离与信息交换系统的容错性和不间断性显得尤为重要，在原有的基础上增加一台安全隔离设备实现双机热备，从而准确、快速地将原主设备应用切换到备机上继续运行，实现整个业务系统的不间断运行，保证整个业务系统对外服务的正常，为关键业务应用提供强大的保障；扩展可采用叠加方式，不需要改变已有的网络应用结构同时攻击的手段也在不断的更新，应对新的安全风险，只需要在边界安全交换平台两端网络增加安全性扩展设备系统即可，比如：IDS/IPS、防病毒系统、终端安全准入系统、可信文件检测系统等等。解决方案产品选型根据所需防范的具体安全问题类型、期望达到的安全程度，本方案建议选择相应的安全产品，产品的选型遵从如下标准：1)、成熟性：保证安全体系本身的可靠和稳定，也是保证网络安全系统平台能够安全可靠运行的基本要素。2)、先进性：保证安全体系具有较强的适应力、生命力，以便能适应未来一段时期内安全发展的需要。3)、国内自主知识产权，自行生产的网络安全产品。4)、合法性：安全体系建设中所采用的安全技术及其产品须有国家安全部门或具有等效职能机构认证并颁发有许可证。隔离网闸产品方案设计隔离网闸产品概述伟思网络安全技术有限公司作为我国最早研发并率先推出安全隔离与信息交换系统产品的专业信息安全技术公司之一，其安全隔离与信息交换产品已经广泛应用于近百家各种不同行业/部门的用户系统中，多次在一些国家部委及金融单位总部的重要招标中成功中标或入围，获得了用户的普遍高度好评。伟思信安ViGap安全隔离与信息交换系统采用国际先进的GAP硬件隔离反射技术，实现了在网络隔离环境下的可控信息交换，并针对传统安全隔离与信息交换系统应用层安全防护薄弱的现状，运用创新技术开发出基于网络隔离安全基础平台下的应用层防护系统，为各类党政部门、军事单位、金融电信、科研院校及企事业单位等机构的关键业务处理系统与外部不可信网络间信息交换提供了完整的安全隔离与信息交换解决方案。伟思信安ViGap安全隔离与信息交换系统率先采用国际领先的基于ASIC芯片（大规模集成电路芯片）设计的高速硬件电子隔离开关技术，实现了受保护网络与不可信网络（互联网、专网等外部网络）间的物理断开，并通过摆渡机制在可控环境下实现内外网间应用层数据交换。ASIC芯片具有不可编程特性而且通讯方式彻底私有，从技术上消除了传统攻击手段对受保护内部网络的威胁，所有交换数据均经过ViGap的严格安全检查，置于ViGap设备保护之下的内部网络与外部不可信网络在任一时刻内均不存在直接的物理网络连接，从而起到了保护内部网络免遭来自外部已知和未知的网络攻击，实现了安全、可靠的数据交换。产品内部架构伟思信安安全隔离交换系统的系统结构如下图表所示：图表1安全隔离交换系统的隔离体系结构VIGAP安全隔离交换系统的所有控制逻辑由硬件实现的，不能被软件修改；安全隔离交换系统在内外安全主板上各设计了一个隔离开关，称反射GAP。反射GAP实现内外网络之间的物理断开，但同时能交换数据的目的。反射GAP使得内外网中继数据的速率达到物理连通状态的100％，从而消除了因物理断开内外网络而可能造成的通信瓶颈。产品特点ViGap是一款面向大型网络的安全隔离系统，为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护，并在可控状态下实现内部网络或服务器与外界的实时（适度）信息交换。采用独特的“2＋1”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断，实现链路层与网络层的彻底断开。采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构，拥有全线速隔离交换性能，满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUELVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片，该芯片具有500万门电路以及多路Giga位的通道，支持内部高达1060个硬件I/Os通道，使得电子开关具有高速的数据传输能力和并发处理能力。充分考虑关键应用对可靠性、可用性的要求，独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。采用无协议的“GAPReflective”，GAP隔离反射技术实现开放网络通讯协议的剥离与重组，有效阻断来自网络层及服务器OS层的各类已知/未知攻击，弥补其它安全技术对网络未知攻击的防御盲区。广泛支持各类通用应用协议（HTTP、FTP、SMTP、DNS、SQL等），包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议，无需再进行二次开发或单独购买模块。智能化攻击识别与过滤，ViGap采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为，ViGap提供目前市场上丰富的协议分析模块，全面防护各类应用系统安全风险，包括：HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。产品功能系统可靠性双机热备功能ViGap系列产品针对大型网络的应用提供了双机热备份功能，实现系统的稳定可靠运行。通过内置的双机热备系统，连接在同一个网络内的多台ViGap设备可以建立双机热备机制，并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态，一旦主设备出现故障从设备将立即接管并继续提供服务。结合ViGap独有的状态检测系统，管理员能够迅速发现设备故障并作出处理。系统工作状态检测与报警ViGap系列采用基于工业控制系统的架构设计，具备良好的稳定性。并且建立了设备状态检测系统，在开机状态下持续对系统各硬件板卡及软件模块进行检查，并将系统状态显示在液晶面板上，管理员可针对故障信息迅速了解故障原因并作出响应。同时，ViGap系列软件系统采用了先进的自愈技术，当故障发生时可迅速命令系统重启恢复到正常工作状态。系统可用性ViGap系列为满足高性能的网络处理而设计，因此，必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外，ViGap系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。ViGap系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap集群中的平均分配，从而将处理性能大幅提升。安全功能网络隔离功能ViGap系列具有网络隔离功能，通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击。数据静态化采用“裸数据”机制，运用协议剥离和重组技术，在网闸内部实现“裸数据”和数据静态化，有效的防止网络上未知攻击。IDS入侵检测功能ViGap系列在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与ViGAP隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。SAT（服务器地址映射）功能ViGap系列具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap系列的不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。身份认证功能不同于部门级网络，大型网络对身份认证的要求极高，且需要基于第三方的统一身份认证服务。ViGap系列除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。安全代理服务功能ViGap系列允许可信端用户以应用代理方式访问不可信网络，ViGap系列作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。AI安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。ViGap系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveXapplet的攻击。ViGap系列在AI功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。内容及格式检测功能ViGap系列具备内容过滤及文件格式检查功能，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，能够阻止敏感的信息外泄或恶意程序的入侵。规则库后置伟思ViGap将规则库后置在网闸的内网可信端一侧，通过芯片级的隔离部件和“裸数据”摆渡机制的保护，使得放置于GAP产品的受保护网络端（即后端）的规则库具有严格的在外部网络端不可修改特性，保护规则库的安全。系统管理轻松管理ViGap系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略，它就被自动分发到规则指定的所在位置。良好的用户界面ViGap系列提供了一个良好的用户界面，以树型结构组织对象，可在所有规则中共享所有的对象定义（例如：用户、主机、网络和服务等等），以便进行有效的策略创建和安全管理。丰富的日志及审计ViGap系列管理平台能够监控并记录ViGap系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。应用支持安全上网ViGap系列支持用户安全上网应用，可根据身份认证、IP＋MAC绑定等多种安全策略实现用户安全上网应用，同时支持透明应用代理方式，客户端无需设置。数据库应用ViGap系列全面支持各种类型的数据库应用，支持Oracle、MSSQL、MySQL、Sybase等主流的数据库的SQL查询，支持全表复制、增量更新、全表更新等多种数据库同步方式，并支持自定义表和字段。网络应用ViGap系列支持各类TCP/IP以上的网络应用协议，无需二次开发。包括：HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。支持网闸访问的单向、双向自定义。同时，针对用户特殊需求ViGap系列提供API应用开发接口。即插即用网闸设备的应用，不会改变现有网络拓扑结构，不改变原有网络和业务系统，网闸的应用，对原有网络无需做大的改动。伟思ViGap系统性能参数伟思ViGap提供千兆安全隔离与交换系统，其主要性能指标如下：内外各包含5个千兆电口和4个光口网络吞吐量性能：>=800Mbps隔离硬件芯片数据交换速率：5Gbps系统时延：小于1ms并发连接数：>=100000平均无故障运行时间：>60000小时用户数支持：无限制实施方案实施计划为确保本次奥体中心数据网闸项目采购项目的顺利实施，珠海伟思信息技术有限公司制定了详细的项目实施计划。整个项目实施过程分为四个阶段，各阶段跨度包含项目实施前勘查，项目中标后的供货，项目实施部署、实施完成后的试运行。阶段一：项目实施前的现场勘查，我公司项目实施勘查自项目投标前就已开始，项目经理直接参加用户单位的现场勘查，进行现场环境调查与用户环境调研，了解用户需求，便于中标后组织项目实施方案。阶段二：中标后产品供货过程中，我公司组建项目实施团队，将参照前期用户环境勘查结果结合具体用户需求制定详细的现场施工组织方案，并制定详细的实施计划明细表，并在项目开始实施之前制定切实可用的风险回退预案。阶段三：项目实施阶段，公司项目实施团队在本阶段根据项目实施计划参照风险回退预案进行项目实施。实施过程严格按照用户单位需求进行，如遇任何可能出现的不可知因素，将第一时间与用户单位沟通解决。本阶段所有现场实施工作均按日进行记录并将在整个项目结束后提交项目施工日志。‘阶段四：项目试运行阶段，项目实施结束后进入试运行阶段，试运行阶段中，我公司将每周拍专业工程师赴用户现场进行运行情况监测，实时发现解决试运行过程中出现的各种问题，本阶段将就发现的问题进行集中整改，如用户单位本阶段提出进一步需求，将经于用户协商一致后解决。同时本阶段我公司将联合厂商组织人员对用户进行集中培训，培训时间、地点、内容等将与用户协商后确定。具体实施步骤现状：数据中心与信息发布网之间的安全隔离与信息交换系统接入网络中需求：按照方案的要求部署安全隔离与信息交换设备到现有网络中协助：要求：在实施过程中不能影响用户正常的网络使用实施时间：实施步骤：1、按照方案要求配置现有安全隔离与信息交换设备2、安全隔离与信息交换上架，并与非工作时间进行接线3、检查配置，根据网络实际环境进行配置调整4、测试配置，记录成文。验收方案设备交货验收我公司按合同要求在规定的时间内完成产品交货、进场和产品初验。验收测试要求：设备出货前，将依据合同清单，对设备，品种，数量进行核对后，运送到合同规定的地点，并出具《设备送货单》。对于出厂设备，卖方售后项目工程师和销售人员将严格按合同检查施工双方共同核准的设备数量，保证到达买方的设备完全正确。买方可派员参加出货检查，对检查的软、硬件设备，将按合同清单为准，和买方一道完成设备清点，并共同填写《设备送货单》。出货检查后，卖方将对检测、验收的所有设备，包括硬件、软件将列出详细的设备检测情况一览表，并提交正式打印的记录材料－《设备验收报告》。现场移交验收系统安装及测试时，卖方将组织项目实施工程小组。小组成员由施工双方共同确定，以卖方为主，买方参与，协调为辅，工程实施小组将专人负责，对每天安装及测试的内容将有详细的工作文档记录。在开始工程实施前后，卖方将提供：工程实施计划、工程进度安排、工程进展状况、工程问题报告、工程解决方案等工程资料提交买方工程负责人员，直到工程移交为止。工程开始移交测试时，工程实施人员将提供：工程测试方法报告、测试结果报告、测试指标结果报告、工程测试竣工报告等给用户方项目负责人审查。移交测试移交测试将由我方将与用户方双方共同拟定测试内容、测试指标、测试结果说明、测试仪器及方法等内容报告给双方项目负责人和监理单位审查通过。（1)移交测试合格双方移交测试结果经买方审查，若其中有未达到要求之项目，施工双方按合同条款检查，按双方商定的结果做下一步的解决办法。（2)网络系统开通设备由我方或原厂商工程实施小组安装实施完毕后、在开通之前，工程小组将进行开通前准备工作。包括用户设置、网络配置、操作注意事项等。开通时需要双方提供行政上的支持。包括召集相关单位技术人员配合工作，传输通道管理技术人员协同实施问题。对于产品质量问题，由我方与原厂商全面负责，出现问题立即加以解决。试运转验收测试试运转期间，我方工程人员将观察记录安全隔离与信息交换系统设备各项功能运转情况。系统支持与服务方案售后服务我们提供的售后服务内容主要包括以下几个方面：电话支持提供专用售后服务技术电话，为用户进行有关产品使用的电话答疑和操作指导等。我们的技术支持电话为：（0756）3391616－技术部提供免费电话支持服务：400-881-8180E-mail支持提供E-mail支持，解答用户有关安全产品使用疑问的电子邮件。伟思公司的技术支持E-mail为：Service@网站支持在公司网站上发布有关产品的信息，如FAQ、产品使用交流BBS、支持信息等对客户进行知识服务。用户和代理商可随时浏览网站，查看有关内容或进行在线交流等。伟思公司的网址为：。现场支持伟思公司承诺对贵单