網(wǎng)絡(luò)安全設(shè)施成功實(shí)施路徑

單位局域網(wǎng)系統(tǒng)建于2000年，屬組網(wǎng)靈活的星型交換網(wǎng)結(jié)構(gòu)，自建成至現(xiàn)在已經(jīng)多年。聯(lián)網(wǎng)使用終端399臺左右，覆蓋到了總部機(jī)關(guān)部室、專業(yè)室和部分生產(chǎn)車間作業(yè)現(xiàn)場，公司網(wǎng)絡(luò)技術(shù)已整體遷移為可控、可在線檢測和故障診斷和可網(wǎng)管的網(wǎng)絡(luò)。

隨著網(wǎng)絡(luò)終端計算機(jī)的不斷增加以及局域子網(wǎng)的拓展，網(wǎng)絡(luò)應(yīng)用的不斷深入、拓廣，單位運(yùn)轉(zhuǎn)對網(wǎng)絡(luò)的依賴度越來越高，對網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行提出了更高要求，而計算機(jī)網(wǎng)絡(luò)的安全是多層次立體攻防系統(tǒng)工程，其安全的實(shí)效性取決于安全這個“木桶”中的“短板”。這些網(wǎng)絡(luò)安全的“短板”包括諸如物理安全威脅（自然災(zāi)害、電磁輻射、操作失誤和意外產(chǎn)生的系統(tǒng)掉電、系統(tǒng)崩潰）、操作系統(tǒng)的安全缺陷、網(wǎng)絡(luò)協(xié)議的安全缺陷、應(yīng)用軟件的實(shí)現(xiàn)缺陷、用戶使用的缺陷和惡意程序(防病毒、木馬和惡意代碼）等六個方面的安全威脅。單位網(wǎng)絡(luò)系統(tǒng)在安全方面橫比較強(qiáng)，縱比也在提高，但離網(wǎng)絡(luò)安全的完整性和有效性還有一段距離。目前，總部網(wǎng)絡(luò)安全方面主要作了防毒、應(yīng)用級口令和權(quán)限控制、部分網(wǎng)絡(luò)蠕蟲隔離、非法接入控制、網(wǎng)絡(luò)控制監(jiān)測以及行政制度強(qiáng)制管理等，網(wǎng)絡(luò)安全運(yùn)行效果明顯，但其中網(wǎng)關(guān)防毒、入侵檢測和防御、上網(wǎng)內(nèi)容取證相對薄弱或不具備，靠手工排查手段耗時耗力，及時性和精準(zhǔn)性難予保證，為逐步完善計算機(jī)網(wǎng)絡(luò)信息安全體系，保障網(wǎng)絡(luò)長周期安全運(yùn)行，當(dāng)前有必要對下列安全及相關(guān)需求予以分析實(shí)現(xiàn)：

1.由于實(shí)現(xiàn)網(wǎng)關(guān)防毒和入侵防御，將設(shè)備接在主出口通道可實(shí)現(xiàn)，因此其穩(wěn)定性和包處理能力是關(guān)鍵。

2.IP與MAC綁定設(shè)計

除單位原系統(tǒng)各部及1#樓網(wǎng)絡(luò)終端計算機(jī)IP與MAC的已綁定外，其余未實(shí)現(xiàn)綁定，可通過UTM或安全審計技術(shù)設(shè)備實(shí)現(xiàn)對2#樓及相關(guān)單位的PC的IP與MAC綁定。對臨時使用或外來的PC可采取臨時帳戶管理的方式進(jìn)行有效管理。

3.通過安全審計設(shè)備實(shí)現(xiàn)對病毒和入侵的有效過濾和管理。

4.單位內(nèi)部的上網(wǎng)行為可進(jìn)行有效控制，同時針對上網(wǎng)以及外部攻擊進(jìn)行有效記錄和審計，針對設(shè)定的敏感信息進(jìn)行報警提示。

5.網(wǎng)絡(luò)影響較大的BT下載，可通過集團(tuán)UTM或本地安全審計設(shè)備系統(tǒng)的應(yīng)用，采取禁止或限制流量的方法實(shí)現(xiàn)有效管理。

6.內(nèi)部PC出口寬帶可根據(jù)用戶需求設(shè)置各IP的網(wǎng)絡(luò)出口帶寬以有效管理。

7.機(jī)房教學(xué)輔助管理可采用多媒體電子教室軟件，實(shí)現(xiàn)教員機(jī)對學(xué)員機(jī)的廣播、監(jiān)控、語音教學(xué)等操作，輔助員完成電腦及業(yè)務(wù)軟件的學(xué)習(xí)和操作使用。

網(wǎng)絡(luò)系統(tǒng)安全技術(shù)路線及其方案

網(wǎng)絡(luò)安全系統(tǒng)技術(shù)路線：

根據(jù)目前及今后一段時期網(wǎng)絡(luò)安全設(shè)備技術(shù)本身發(fā)展情況和趨勢，減少網(wǎng)絡(luò)安全成本和代價，減輕為網(wǎng)絡(luò)安全產(chǎn)生的維護(hù)量，走網(wǎng)絡(luò)全方位集成安全智能化技術(shù)路線，管理手段和技術(shù)手段并重，逐步增強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)本身的可控性和有效性，為單位業(yè)務(wù)的生產(chǎn)經(jīng)營及其信息化應(yīng)用提供良好的網(wǎng)絡(luò)安全支撐平臺和服務(wù)。

1.網(wǎng)絡(luò)安全設(shè)備系統(tǒng)選擇要求

網(wǎng)絡(luò)安全設(shè)備系統(tǒng)選擇要求：

性能上至少滿足500內(nèi)網(wǎng)終端快捷安全透明訪問任何可上網(wǎng)站；主流病毒的網(wǎng)關(guān)防護(hù)；防火墻功能；入侵檢測和防御；預(yù)留VPN和虛擬主機(jī)功能；2#樓增量終端IP與MAC綁定認(rèn)證；詳實(shí)分類日志記錄審計和內(nèi)容過濾；移動監(jiān)測機(jī)網(wǎng)絡(luò)可疑事件預(yù)警；應(yīng)用及流量控制等。另外，須具國家相關(guān)安全機(jī)構(gòu)認(rèn)證許可書；

根據(jù)統(tǒng)一威脅檢測防御和網(wǎng)絡(luò)安全審計技術(shù)目前發(fā)展?fàn)顩r，單位試用了多種品牌的安全設(shè)備和軟件。結(jié)合市場調(diào)研和近一月的試用情況，綜合有關(guān)安全設(shè)備功能性能表現(xiàn)，及其發(fā)展服務(wù)、價格、目前需求滿足度等因素，擬確定兩種組合方案 備 選：FORTIGATE400A+FORTIANALYZER 100B和網(wǎng)御1000+安全審計軟件。

2.網(wǎng)絡(luò)安全設(shè)備系統(tǒng)拓樸結(jié)構(gòu)示意圖

本次擬配置實(shí)施的UTM/AMM安全網(wǎng)關(guān)系統(tǒng)置于集團(tuán)三層交換與單位主交換系統(tǒng)之間，對進(jìn)出總公司的數(shù)據(jù)流進(jìn)行自動安全檢測和報警，在病毒攻擊影響內(nèi)網(wǎng)的第一時間段定位發(fā)現(xiàn)和防御阻止非法操作及其惡果的產(chǎn)生。安裝連接示意圖如圖1。

圖1 單位安全網(wǎng)關(guān)系統(tǒng)拓樸圖

網(wǎng)絡(luò)工程量

本次網(wǎng)絡(luò)安全設(shè)備系統(tǒng)工程量內(nèi)容:現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)設(shè)備運(yùn)行狀況的調(diào)查分析、網(wǎng)絡(luò)安全新技術(shù)和產(chǎn)品的市場調(diào)查和咨詢、試用、網(wǎng)絡(luò)安全系統(tǒng)方案的設(shè)計和編制、設(shè)備系統(tǒng)招標(biāo)或議標(biāo)采購、現(xiàn)場協(xié)調(diào)安裝和調(diào)試、安全數(shù)據(jù)采集和配置、后續(xù)安全特征代碼及軟件版本的升級服務(wù)，以及驗(yàn)收等工作。

工程目標(biāo)或效果

通過本次網(wǎng)絡(luò)安全系統(tǒng)的配置和設(shè)置，利用網(wǎng)絡(luò)安全新技術(shù)和產(chǎn)品，提升單位網(wǎng)絡(luò)系統(tǒng)整體安全性能，使網(wǎng)絡(luò)的安全運(yùn)用有檢測手段和保障，網(wǎng)絡(luò)管理考核有章有據(jù)，網(wǎng)絡(luò)使用可靠和穩(wěn)定。本次配置至少滿足六年的網(wǎng)絡(luò)安全應(yīng)用需求。最終確保網(wǎng)絡(luò)服務(wù)和應(yīng)用完整、可用，網(wǎng)絡(luò)使用放心可靠，并逐步追求無損計算機(jī)網(wǎng)絡(luò)信息的秘密性。經(jīng)多年運(yùn)行實(shí)證，達(dá)到了預(yù)期目的。