1、网络系统安全加固方案北京*有限公司2018 年 3 月第 II 页 目 录1 项目介绍 .31.1 项目背景 .31.2 项目目标 .31.3 参考标准 .31.4 方案设计原则 .41.5 网络系统现状 .52 网络系统升级改造方案 62.1 网络系统建设要求 62.2 网络系统升级改造方案 .72.3 网络设备部署及用途 .92.4 核心交换及安全设备 UPS 电源保证 .102.5 网络系统升级改造方案总结 103 网络系统安全加固技术方案 103.1 网络系统安全加固建设要求 103.2 网络系统安全加固技术方案 113.3 安全设备部署及用途 .223.4 安全加固方案总结 224
2、产品清单 .2431 项目介绍1.1 项目背景随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点
3、和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。1.2 项目目标满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。本次改造工作的主要内容:通过网络系统改造及安全加固,满足对外网日常办公需要,保障重要网络及业务系统的安全运行。1.3 参考标准本方案重点参考的政策和标准包括: 中华人民共和国政府信息公开条例 (中华人民共和国国务院令第492 号) 中华人民共和
4、国计算机信息网络国际联网管理暂行规定4 国务院办公厅关于做好中央政府门户网站内容保障工作的意见 (国办发200531 号) 信息技术 信息系统安全等级保护实施指南 信息技术 信息系统安全等级保护基本要求 信息技术 信息系统安全等级保护方案设计规范 BS7799/ISO17799信息安全管理实践准则1.4 方案设计原则本方案在设计中将严格遵循以下原则:需求、风险、代价平衡分析的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策
5、略;综合性、整体性原则应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施( 访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等) 。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统) 、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理
6、的网络体系结构及网络安全体系结构;动态保护原则网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全系统的动态性是指,安5全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器) ,原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了) ,原来的系统就会变的不安全。所以,建设的安全防护系统不是一劳永逸的事情;一致性原则一致性原则主要是指网络
7、安全问题应当与具体的安全措施保持同步,并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略,各个策略之间能够相互互补,并针对具体的问题,从不同的侧面执行一致性的策略,避免出现策略自身的矛盾和失误;强制性原则安全措施的策略应当统一下发,强制执行,应避免各个环节的安全措施各自为政,从而也保障了安全策略的一致性,保障各个环节的安全措施能够相互互补,真正的为系统提供有效的保护;易操作性原则安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护
8、相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。1.5 网络系统现状对外网共计约 120 名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机,到机房的链路介质为两条光纤。6网络系统现状拓扑目前,对外网现有四台二层交换机需要更新升级。同时办公场所没有无线网络覆盖,且无内网安全防护设备。2 网络系统升级改造方案2.1 网络系统建设要求网络系统建设要求如下: 升级替换二层交换机。 采用集中控管的组网方式,集中控制管理所有的 AP。 AP 采用 POE 供电的方式。 为了满足大容量并且以备扩容和发展,室内无线 AP 要求必须支持两个射频模块,可以工作在 2.4GHz 和 5.8G
9、Hz 频段;7 无线系统能够对用户角色制定不同的策略,满足授权管理(访问控制、流量控制)功能; 充分考虑 WLAN 的安全性,采用先进的 WLAN 安全技术保障。 无线局域网系统要能方便和灵活地调整与扩充。 为核心网络交换及安全设备提供 UPS 电源保证。2.2 网络系统升级改造方案网络系统升级改造方案拓扑图如下:2.2.1 有线网络升级替换四台现有二层交换机。82.2.2 新建无线网络2.2.2.1 AP布放设计根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。办公区域接入 8 个 AP 供办公人员日常业务使用。2.2.2.2 无线组网方式结合用户无线网络需
10、求情况,结合产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照 AP+控制器的结构化无线网络解决方案进行设计。2.2.2.3 信道规划使用 2.4GHz 频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于 25MHz。在一个覆盖区内,最多可以提供 3 个不重叠的频点同时工作,通常采用 1、6 、11 三个频点。WLAN 频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。2.2.2.4 多业务区分设计在设计上采用无线局域网多 SSID 技术,设置多业务区分方式。例如一个SSID 可给内部员工所用,而另一个可给外来的
11、客户专用。2.2.2.5 无线安全性设计在无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:(1)多 SSID:可以根据需要,如用户的种类、应用的种类设置多个9SSID,不同的 SSID 采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外 SSID 还可以选择隐藏的方式,该 SSID 不广播,用户无法看到,防止非法用户的接入。SSID 还可以选择在某些 AP 上出现,某些 AP 上不出现,限制 SSID 出现的范围也是实现安全性的一种手段。(2)加密:无线系统支持国际标准的多种数据加密方式,保护数据不被窃取,用户可根据实际需要自行选择。(3)多重接入认证方式:厂家无
12、线系统支持多重认证方式结合:开放式、WPA-PSK 、WPA2-PSK(个人) 、开放式+Portal 认证、WPA-PSK/WPA2-PSK+Portal 认证、WPA(企业)、WPA2(企业) 、WPA/WPA2(企业) ;2.2.2.6 网络与用户管理在无线系统中可以设定用户的角色,同时,可根据角色进行访问的管控与流量的管理。比如,办公人员及领导具有较高的网络权限,可以访问更多的网络资源,或者对某些特殊的来宾开放某些 VIP 账号,分配给其较高权限的权限。分配较高的带宽供使用。而访客分配有限的权限,限制带宽和禁止访问内网,同时也可进行时间的限制。2.3 网络设备部署及用途本次网络系统升级
13、改造中各设备部署及用途如下:序号 设备名称 数量 单位 用途1 接入交换机 1 台 与机房三层交换机对接2 终端接入交换机 4 台 提供终端 PC 的接入网络3 POE 交换机 1 台 为 AP 设备供电4 AC 控制器 1 台 用于控制管理 AP105 室内 AP 8 台 为用户提供无线数据接入2.4 核心交换及安全设备 UPS 电源保证 通过核心信息机房布放核心交换机,核心网络安全设备,无线网控制器等,为保证这些设备在停电状态下的正常工作,我们配置了 5K 的 ups 电源,为核心网络设备提供延迟 1 小时的不间断电源保证。2.5 网络系统升级改造方案总结通过本次网络系统升级改造,网络的基
14、础设施可以满足未来 5 年扩展需求。根据业务需求优化网络系统,保证网络系统可用性、工程实施的简便快捷。满足网络系统等基础设施的需求,降低基础设施对信息化发展的制约,顺利完成重要业务系统的部署及信息系统的整合,促进对外网信息化可持续发展。3 网络系统安全加固技术方案3.1 网络系统安全加固建设要求网络系统安全加固建设要求如下:1、网络边界安全防护2、财务等重要部门安全防护3、限制网速,控制上网;访客可通过扫码或关注微信公众号,认证上网4、网络准入5、IPSEC VPN:与阿里云对接6、SSLVPN 设备:移动办公113.2 网络系统安全加固技术方案针对系统的安全建设需求,在安全域划分的基础之上,
15、提出了有针对性的安全技术措施,来构建整个信息安全技术防护体系。具体部署方式如下图所示:结合实际业务保障需要,本着“适度安全,保护重点”的原则,我们建议采用以下安全技术措施来构建安全保障体系的技术支撑平台。123.2.1 边界安全保护措施采用防火墙,对信息网络中重要的安全域提供边界访问控制,严格控制进出网络各个安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保对外网信息网络正常访问活动。3.2.1.1 网络边界安全防护 部署位置:在房与办公区域之间部署防火墙设备。 部署模式:防火墙采用路由方式部署。3.
16、2.1.2 重要部门安全防护 部署位置:在行政、财务等重要部门与其他办公区域之间部署防火墙设备。 部署模式:防火墙采用透明方式部署。3.2.1.3 产品功能特点“基于用户防护 ”、 “面向应用安全”、 “高效转发平台”、 “多层级冗余架构”、“全方位可视化 ”及“安全技术融合”六大特性的 NGFW下一代防火墙系列产品。全新的 NGFW下一代防火墙产品线,不论是在性能方面还是在功能方面都完全符合用户对下一代防火墙产品的各种需求。 基于用户防护灵活且强大的用户身份管理系统,支持 RADIUS、TACACS、LDAP 13、AD、邮件、证书、Ukey、短信等多种认证协议和认证方式。在用户管理方面,实
17、现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。基于上述特性,网络终端在访问网络前,被强制要求到 NGFW下一代防火墙进行身份认证来完成对其的“合法性” 检查。除此之外,NGFW 下一代防火墙还集成了强大的安全准入控制功能,针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的“合规性” 检查。通过对网络终端“合法性 ”与“合规性”的双重审核后,NGFW下一代防火墙将根据其身份认证信息(用户 ID)通过智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控。 一体化智能过滤引擎NGFW下一代防火墙系列产品
18、,采用高度集成的一体化智能过滤引擎技术。其能够在一次数据拆包过程中,对数据进行并行深度检测,从而保证了协议深度识别的高效性。另外,NGFW下一代防火墙产品基于八元组高级访问控制设计,除传统的五元组控制以外,实现了用户身份信息、应用程序指纹及内容特征的识别与控制,充分体现了下一代防火墙关注“用户”与“应用”的设计理念。 高效转发平台 TOS 安全系统平台NGFW系列产品基于厂家公司十余年高品质安全产品开发经验结晶的 TOS(Topsec Operating System)安全系统平台。随着多核技术的广泛应14用,TOS 以多核硬件架构为基础,分为系统内核层、硬件抽象层及安全引擎层。在安全引擎层内
19、,根据安全功能模块协议特性的不同,分为网络引擎组(NETWORK Engines)与应用引擎组(APP Engines) 。通过将引擎组与多核硬件架构的完美整合,使 TOS 在系统层面实现了全功能多核并行流处理。而在硬件抽象层则采用多种加速技术,根据各个核心的实时负载情况,将流量按会话的方式动态均衡到 CPU 的各个核心,从而确保整个CPU 效率执行的最大化。 TopTURBO 数据层高速处理TopTURBO 是自主原创实现数据层多核快速转发的高性能业务处理技术。通过 NGFW产品研发团队在 TOS 系统平台上所进行的大量性能优化工作,利用 TopTURBO 技术将数据层高速处理解决方案平滑迁
20、移到多核硬件平台上,与当今最先进的高性能多核架构合而为一,从而获得更高的网络处理性能。153.2.2 网络流量控制防护措施串联部署上网行为管理系统,依据业务系统使用情况配置网络带宽和用户对外访问的带宽,满足业务应用系统带宽使用,同时保障网络畅通。3.2.2.1 网络流量控制防护 部署位置:在防火墙设备与内网三层交换机之间。 部署模式:采用透明方式部署。 认证方式:用户只需用微信扫描企业提供的二维码,关注公众号并申请上网,即可完成身份认证过程。同时支持扫一扫的方式认证上网。3.2.2.2 产品功能特点 IP/MAC/VLAN 绑定 上网行为管理设备支持二层网络环境和三层网络环境的IP、MAC 、
21、IP+MAC 和 VLAN ID 的绑定,可自动阻断哪些非法占用他人IP 的用户上网。 认证账户有效期 对于一些临时的用户,通过有效期的限定可以控制这些用户的上网时间范围,当用户超出预设的时间有效期,就不能上网。很好的控制了外来用户上网的准入性和上网时长。同时可以设定用户离线多久就自动删除该16用户,从而大大的简化了动态用户的管理,增强了用户管理的灵活性。 微信认证 支持与微信结合的认证方式,用户关注微信公众号后即通过身份认证,后台记录用户 ID 登录重定向 上网行为管理设备支持网页重定向的功能。当用户认证成功后,上网行为管理设备可以将其第一次的 WEB 访问重定向到预设的 URL 链接。此功
22、能适合于政府机关、企业集团、大中小学等、或者酒店等网络环境,便于用户上网的时候直接导向最新的公告信息。 带宽资源管理 通过专业的带宽管理和分配算法,上网行为管理设备提供流量优先级、最大带宽限制、保障带宽、预留带宽、以及随机公平队列等一系列的应用优化和带宽管理控制功能。 防共享上网上网行为管理,能自动发现网络中私接的有线路由器、无线路由、360wifi 等共享上网行为,能够及时对私接行为进行管控,在系统中能够实时查看管控记录和日志3.2.3 网络准入3.2.3.1 网络准入 部署位置:内网三层交换机。 部署模式:采用旁路方式部署。3.2.3.2 产品功能特点 完整的接入管理流程一套完整的接入管理
23、流程,从基本的接入身份标识,到接入后的合规检查和修复向导以及实名审计等,整体包装终端准入的安全性,纯净化与抗抵赖作用。17 全方位的可信准入可信终端:只允许合法终端的接入,细粒度的健康检查保证接入终端的合规性;可信用户:系统提供实名制的准入功能,并可与 AD 域联动,将网络准入同域认证有机结合。 无线准入业界领先支持传统 PC 有线和无线认证、健康检查、动态 VLAN 划分;支持智能终端无线准入,无需安装客户端,支持 Android、IOS、Windows Phone 等主流操作系统。 具有很好的网络环境适应性,不需要大幅调整网络结构网络安全准入系统可适应各类复杂网络和混合型部署网络,支持多种
24、接入方式,支持有线和无线的准入。支持 CISCO、H3C 、华为等多个厂商的设备,很好的满足及适应了客户网络的复杂性。 细粒度的合规检查从识别系统特征,到操作系统以及杀毒软件的特征,全面支持对客户端主机的各种安全检查,除基本的安全检查项外(杀毒软件、注册表、进程等) ,可以由管理员自定义制订检查安全监测任务。用户可根据实际需求选择符合自己的合规检查。 高性能,高稳定性的设备基于最新硬件平台而构建的 NAC 硬件准入网关,公司十五年的硬件产品技术积累,硬件平台广泛应用于防火墙、IPS、VPN 等其他硬件产品。该产品基于具有自主知识产权的安全操作系统 TOS (Topsec Operating S
25、ystem)。 强大的可扩展性准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外,还提供多种数据接口和二次开发接口。可根据实际需要快速进行功能定制,也可与 TSM 产品(TD/TA-NET/TA-DB)联合部署,并可提供基于实名认证审计功能。183.2.4 IPSEC VPN机房与云 IPSEC VPN 建立安全访问通道。采用基于 IPSEC 协议的虚拟专用网(VPN)机制,结合可靠的认证、授权和密码技术,保护远程通信过程和传输数据的真实性、完整性、保密性,防止重要业务数据在传输过程中被窃取、篡改和破坏。3.2.4.1 IPSEC VPN 部署位置:机房三层交换机。
26、 部署模式:采用旁路方式部署。3.2.4.2 产品功能特点 全面支持国密局 IPSec 协议规范IPSec 作为一个通用性的安全标准,要求所有 IPSec 的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。IPSec VPN 产品经过国家密码管理局的严格鉴定,符合国密局最新制定的IPSEC VPN 技术规范 ,可以和其他符合规范的的 VPN 产品实现互通。本产品遵循国密局最新制定的IPSEC VPN 技术规范 标准协议。支持 ESP、AH 加密认证协议支持隧道模式、传输模式的协议封装格式支持密钥交换协议支持主模式、快速模式多种协商模式支持证书认证方式 通过隧道路由技术实现 VPN
27、网络的灵活自动部署在实际物理网络部署中,网络管理员首先通过物理线路(可能是光纤、双绞线、电话线等)连接各个路由设备,然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在 IPSec VPN 网络中,将每一条隧道视为连接两台 VPN 设备的虚拟网络线路,隧道建立成功后,虚拟线路连接工作就完成了。基于这些虚拟线路,网络管理员可以在 IPSec VPN 网关上采用同样19的方法配置静态、动态路由协议,完成整个 VPN 网络的灵活部署。这种隧道路由机制的优点在于:网关的配置概念和方法与路由器类似,减少网络管理员对于部署 VPN 网络的学习和熟悉过程;通过隧道路由规则的配置,可以完成
28、 VPN 数据流在 VPN 网关之间的灵活转发,从而可以实现星型网络拓扑,并解决双向 NAT 穿越问题;通过动态隧道路由协议的配置,可以实现整个 VPN 网络的自适应部署,VPN 网络拓扑的自动学习、自动寻径;通过基于策略的隧道路由配置,可以实现 VPN 网关的冗余备份和负载均衡。 完善的 PKI 体系提高用户网络的安全等级随着 VPN 技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN 网络的认证功能与其原有的 PKI 体系进行无缝结合的需求也越来越强烈。网络卫士 VPN 产品全面支持标准 PKI 体系结构,既能够通过内置的 CA 模块独立为移动用户签发数字证书,又能够通过导入
29、CA 根证书CRL 列表方式对第三方 CA 签发的证书进行认证,同时还能够通过 OCSP/LDAP 等标准协议向第三方 CA 提交在线证书认真请求。具体 PKI 功能包括:支持标准 X509.V3 格式数字证书;支持 DER、PEM、PKCS12 等多种证书编码格式;支持通过内置 CA 模块为用户签发标准数字证书;支持同时导入多个 CA 根证书和 CRL 列表,对不同 CA 签发证书进行认证;支持通过 OCSP/LDAP 等标准协议向第三方 CA 进行在线证书认证;支持生成 PKCS10 格式的证书请求,可生成证书请求,由第三方 CA 签名;支持 CRL 列表文件的导入和通过 HTTP 自动下
30、载; 与吉大正元、上海格尔、天威诚信、江南计算所等国内主要 CA 厂商有着长期的合作,网络卫士 VPN 网关与这些厂商的 CA 系统均能够无缝集成。203.2.5 SSL VPN采用基于 PKI 的数字证书技术实现服务器和用户端的双向身份认证,并采用数字签名技术保证数据传输的完整性和交易的抗抵赖性,可方便地实现移动办公用户利用互联网对系统的安全访问。可结合 USB KEY 提供证书和密钥的存储,增强用户身份认证的安全性。3.2.5.1 SSL VPN 部署位置:机房防火墙 DMZ 区。 部署模式:采用旁路方式部署。3.2.5.2 产品功能特点 自主安全操作系统平台采用自主知识产权的安全操作系统
31、 TOS(Topsec Operating System) ,TOS 拥有优秀的模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS 具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。 多种 VPN 技术有机融合前面已经分析了目前主流的各种 VPN 技术的优缺点,这些技术有其不同的适用范围。在实际的用户网络中,不同的用户需求往往需要多种 VPN 技术综合应用,在这种情况下往往需要用户购买多台不同的 VPN 设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加
32、复杂,网络运行的稳定性和安全性都会面临新的挑战。VONE 网关是厂家公司在多年各种独立的 VPN 产品研发和销售的基础上,推出的一款融合 IPSEC/SSL/PPTP/L2TP 等多种 VPN 技术的综合安全网关产品。在 TOS 平台强大的整合能力保障下,各种 VPN 模块进行了有机的整合,为用户提供一个统一完整的 VPN 接入平台。 多种 SSLVPN 技术结合实现应用全覆盖21目前 SSLVPN 接入技术大致分为三类: WEB 转发(WEB FORWARD) ,端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS 或者称为IP TUNNEL) 。这三种技术的技术特点
33、和适用范围各不相同,在厂家 VONE 网关中对这三种 SSLVPN 接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。WEB 转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。但其缺点是仅支持 B/S 模式的应用系统,而且对客户应用系统的依赖性较强。厂家 VONE 网关通过在 WEB 转发模式中应用独创的智能 URL重定向技术和自动分布式页面重构技术大大提高了对用户 B/S 系统的支持率和处理性能。同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的 URL 替换规则,进一步提高了系统的适应性。端口转发模式通过客户端本
34、地代理技术实现对用户访问请求的 SSL 协议封装和转发。这种模式的适应性比 WEB 转发要好,但其要求在客户端安装一个ACTIVEX 控件。厂家 VONE 网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。全网接入模式通过 SSL 隧道转发客户端所有的 IP 请求报文,其适应性最好,能够支持基于 IP 协议的所有 B/S 和 C/S 业务系统,其同样要求在客户端系统上安装一个 ACTIVEX 的控件。网关通过全网接入模式能够实现移动用户的虚拟 IP 地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道(SPLIT TUNNEL
35、即可以同时访问 VPN 和因特网)或完全隧道(FULL TUNNEL 即只能访问 VPN 不能访问因特网)的方式接入 VPN 网络,大大提高了远程接入的安全性和灵活性。 支持虚拟门户功能SSL VPN 提供了虚拟门户功能,从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。 适应多种终端和系统平台目前移动互联已成为新的应用趋势,VPN 针对各种终端系统提供了多种安全接入技术,能方便的实现移动办公应用。具备集二、三层 VPN,应用级22VPN 及安全 SDK 于一体的移动安全接入
36、 VPN 技术,全面适应各种移动应用接入环境。支持虚拟桌面和虚拟应用发布技术,实现“数据不落地” ,保障数据安全性;支持 iOS IPSEC“零安装”及 Android SSL 全网接入客户端,满足多应用同时访问;提供集成 SSL 功能的安全浏览器,能安全的访问各种基于 WEB的移动应用。随着移动设备的不断发展,移动智能设备操作系统也不断涌现。厂家公司的移动安全客户端产品,不但支持传统的 Windows、Linux 操作系统,还支持iOS、 Android 等移动操作系统。丰富的操作系统平台支持,意味着用户可以自由的选择终端产品,无需受限于某个特定的系统。3.3 安全设备部署及用途各设备部署及
37、用途如下:序号 设备名称 数量 单位 用途1 网络边界防火墙 1 台 机房与办公区域之间的访问控制2 网络边界防火墙 3 台行政、财务等重要部门与其他办公区域之间的访问控制3 流控设备 1 台对网络带宽控制,并提供上网认证功能4 网络准入设备 1 台 提供终端准入功能5 IPSEC VPN 1 台与云 IPSEC VPN 建立安全访问通道6 SSL VPN 1 台 提供移动办公用户 VPN 接入3.4 安全加固方案总结结合信息化实际情况,对网络与信息安全体系的框架结构、安全要素基本要求进行规划和建设,并根据实际优化调整,在保证关键技术实现的前提下,23采用成熟国产产品,保证系统的可用性、工程实施的简便快捷。开展信息系统安全规划、整改及建设工作,落实安全防护技术措施,建立健全安全管理制度,进一步提高信息系统的安全保障能力和防护水平,确保网络与信息系统的安全运行,推进信息化的安全、健康、协调发展。
