信息安全加固解决方案.docx-淘文阁

资源描述

《信息安全加固解决方案.docx》由会员分享，可在线阅读，更多相关《信息安全加固解决方案.docx（36页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、1.1 平安加固解决方案平安加固范围及方法确定加固的范围是陕西电视台全台网中的主机系统和网络设备，以及相关的数据库系统。主要17：服务器加固。主要包括对Windows服务器和Unix服务器的评估加固, 其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。网络设备加固。主要包括对防火墙，交换机的评估加固。平安加固服务主要以人工的方式实现。1.1.1 平安加固流程服务器等方式保持系统补丁及时得到更新。解决方案名称控制类控制点指标名称措施名称改进动作改进对象系统平安加固主机安全剩余信息保护a应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用

2、户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；鉴别信息存储空间清除操作系统与数据库平安配置与加固操作系统和数据库b应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。存储空间清除操作系统与数据库平安配置与加固操作系统和数据库资源控制a应通过设定终端接入方式、网络地址范围等条件限制终端登录；主机平安配置与加固操作系统与数据库平安配置与加固操作系统b应根据平安策略设置登录终端的操作超时锁定;主机平安配置与加固操作系统与数据库平安配置与加固操作系统c应对重要服务器进行监

3、视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；采购部署网管监控现重要服务器监控采购部署主机性能管理d应限制单个用户对系统资源的最大或最小使用限度；主机平安配置与加固操作系统与数据库平安配置与加固操作系统e应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。配置网管系统的监控与报警，实现服务水平监控产品配置主机性能管理解决方案名称控制类控制点指标名称措施名称改进动作改进对象平安加固解决方案应用安全访问控制a应提供访问控制功能，依据平安策略控制用户对文件、数据库表等客体的访问：访问控制功能应用软件平安开发与改造业

4、务系统b访问控制的覆盖范围应包括与资源访问相访问控制主体、客应用软件平安开发业务系统关的主体、客体及它们之间的操作；体及操作要求与改造C应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；配置访问控制策略应用软件平安开发与改造业务系统d应授予不同帐户为完成各自承当任务所需的最小权限，并在它们之间形成相互制约的关系。最小权限与制约应用软件平安开发与改造业务系统e应具有对重要信息资源设置敏感标记的功能：设置敏感标记的功能应用软件平安开发与改造业务系统f应依据平安策略严格控制用户对有敏感标记重要信息资源的操作；控制敏感重要信息资源操作

5、应用软件平安开发与改造业务系统剩余信息保护a应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；鉴别信息存储空间清除应用软件平安开发与改造业务系统b应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。存储空间清除应用软件平安开发与改造业务系统抗抵赖a应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；配置抗抵赖应用软件平安开发与改造业务系统b应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。配置抗抵赖应用

6、软件平安开发与改造业务系统软件容错a应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；输入有效性验证，防止溢出或注入应用软件平安开发与改造业务系统b应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进设保功发动态开自状litl稔能应用软件平安开发与改造业务系统行恢复。表0-3平安加固等保符合性说明表2解决方案名称控制类控制点指标名称措施名称改进动作改进对象平安加固解决方案应用安全资源控a当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话;业务系统开

7、发应用软件平安开发与改造操作系统和业务系统b应能够对系统的最大并发会话连接数进行限制；配置操作系统及业务系统应用软件平安开发与改造操作系统和业务系统c应能够对单个帐户的多重并发会话进行限制；配置操作系统及业务系统应用软件平安开发与改造操作系统和业务系统d应能够对一个时间段内可能的并发会话连接数进行限制；配置操作系统及业务系统应用软件平安开发与改造操作系统和业务系统e应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；配置操作系统及业务系统应用软件平安开发与改造操作系统和业务系统f应能够对系统服务水平降低

8、到预先规定的最小值进行检测和报警；配置操作系统及业务系统应用软件平安开发与改造操作系统和业务系统g应提供服务优先级设定功能，并在安装后根据平安策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。配置操作系统及业务系统应用软件平安开发与改造操作系统和业务系统平安加固服务器可行性报告范文模板北京*2022年7月1 工程介绍151.1 工程背景151.2 工程目标151.3 参考标准151.4 方案设计原那么161.5 网络系统现状17网络系统升级改造方案191.6 网络系统建设要求191.7 网络系统升级改造方案191.8 网络设备部署及用途221.9

9、核心交换及平安设备UPS电源保证221.10 网络系统升级改造方案总结22网络系统平安加固技术方案241.11 网络系统平安加固建设要求241.12 网络系统平安加固技术方案241.13 平安设备部署及用途351.14 平安加固方案总结36产品清单错误!未定义书笺工程介绍工程背景随着对外网信息化的开展，业务系统对外网络系统、信息系统的依赖程度也越来越高，信息平安的问题也越来越突出。为了有效防范和化解风险，保证对外网信息系统平稳运行和业务持续开展，须对对外网现有的网络升级，并建立信息平安保障体系，以增强对外网的信息平安风险防范能力。同时随着全球化和网络化，全球信息化建设的加快对我国的影响

10、越来越大。由于利益的驱使，针对信息系统的平安威胁越来越多，必需加强自身的信息平安保护工作，建立完善的平安机制来抵御外来和内在的信息平安威胁。为提升对外网整体信息平安管理水平和抗风险能力，我们需要根据国内外先进信息平安管理机制结合对外网自身特点和需求来开展一项科学和系统的信息平安体系建设和规划设计工作。通过系统的信息平安体系规划和建设，将为对外网加强内部控制和内部管理, 降低运营风险，建立高效、统一、运转协调的管理体制的重要因素。工程目标满足对外网对网络系统等基础设施的需求，降低基础设施对对外网信息化发展的制约，顺利完成业务系统、网络系统与信息平安系统的整合，促进对外网信息化可持

11、续开展。本次改造工作的主要内容：通过网络系统改造及平安加固，满足对外网日常办公需要，保障重要网络及业务系统的平安运行。参考标准本方案重点参考的政策和标准包括：中华人民共和国政府信息公开条例（中华人民共和国国务院令第492号）中华人民共和国计算机信息网络国际联网管理暂行规定国务院办公厅关于做好中央政府门户网站内容保障工作的意见（国办发（2005） 31号）信息技术信息系统平安等级保护实施指南信息技术信息系统平安等级保护基本要求信息技术信息系统平安等级保护方案设计规范BS7799ZISO17799信息平安管理实践准那么方案设计原那么本方案在设计中将严格遵循以下原那么：需式风险；代价平

12、衡分析的原那么对任一网络，绝对平安难以到达，也不一定是必要的。对一个网络要进行实际的研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承当的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的平安策略；综合性、整体性原那么应运用系统工程的观点、方法，分析网络的平安及具体措施。平安措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业技术措施（访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等）。一个较好的平安措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人（使用、维护、管理）、设备（含设施

13、）、软件（含应用系统）、数据等，在网络平安中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的平安措施其代价、效果对不同网络并不完全相同。计算机网络平安应遵循整体平安性原那么，根据确定的平安策略制定出合理的网络体系结构及网络平安体系结构；动态保护原那么.网络平安是整体的、动态的。网络平安的整体性是指一个平安系统的建立，即包括采用相应的平安设备，又包括相应的管理手段。平安设备不是指单一的某种平安设备，而是指几种平安设备的综合。网络平安系统的动态性是指，平安是随着环境、时间的变化而变化的，在一定环境下是平安的系统，环境发生变化了（如更换了某个机器

14、），原来平安的系统就变的不平安了；在一段时间里平安的系统，时间发生变化了（如今天是平安的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不平安了），原来的系统就会变的不平安。所以，建设的安全防护系统不是一劳永逸的事情；一致性原那么致性原那么主要是指网络平安问题应当与具体的平安措施保持同步，并且在网络平安建设中所采取的各类平安措施应当执行统一的平安策略，各个策略之间能够相互互补，并针对具体的问题，从不同的侧面执行一致性的策略，防止出现策略自身的矛盾和失误；强制性原那么平安措施的策略应当统一下发，强制执行，应防止各个环节的平安措施各自为政，从而也保障了平安策略的一致性，保障各个环

15、节的平安措施能够相互互补, 真正的为系统提供有效的保护；易操作性原那么平安措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了平安性；其次，措施的采用不能影响系统的正常运行。多重保护原那么任何平安措施都不是绝对平安的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的平安。网络系统现状对外网共计约120名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机，到机房的链路介质为两条光纤。网络系统现状拓扑目前，对外网现有四台二层交换机需要更新升级。同时办公场所没有无线网络覆盖，且无内网平安防护设备。网络系统升级改造方案网络系

16、统建设要求网络系统建设要求如下：升级替换二层交换机。采用集中控管的组网方式，集中控制管理所有的AP。 AP采用POE供电的方式。为了满足大容量并且以备扩容和开展，室内无线AP要求必须支持两个射频模块，可以工作在2.4GHz和5.8GHz频段；无线系统能够对用户角色制定不同的策略，满足授权管理（访问控制、流量控制）功能；充分考虑WLAN的平安性，采用先进的WLAN平安技术保障。无线局域网系统要能方便和灵活地调整与扩充。为核心网络交换及平安设备提供UPS电源保证。网络系统升级改造方案网络系统升级改造方案拓扑图如下:平安加固流程图图0T平安加固流程图互联网亦庄无线AC控制器财务行政

17、其他部门无线AP1.1.1 有线网络升级替换四台现有二层交换机。1.1.2 新建无线网络 AP布放设计根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。办公区域接入8个AP供办公人员日常业务使用。无线组网方式结合用户无线网络需求情况，结合产品自身技术特点，为了满足用户构建一个高速、稳定、平安、可靠、易于管理的无线接入网络的需求，本设计方案按照 AP+控制器的结构化无线网络解决方案进行设计。信道规划使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、

18、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。多业务区分设计在设计上采用无线局域网多SSID技术，设置多业务区分方式。例如一个 SSID可给内部员工所用，而另一个可给外来的客户专用。无线平安性设计在无线系统中，可以在多个层面对系统构筑平安防护，其平安性设计如下：（1）多SSID：可以根据需要，如用户的种类、应用的种类设置多个SSID, 不同的SSID采用不同的平安策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该SSID不广播，用户无法看到，防止非法用户的接入。SSID还可以选择在某些AP上出现，某些AP上

19、不出现，限制SSID 出现的范围也是实现平安性的一种手段。（2）加密：无线系统支持国际标准的多种数据加密方式，保护数据不被窃取，用户可根据实际需要自行选择。（3）多重接入认证方式：厂家无线系统支持多重认证方式结合：开放式、WPA-PSK、WPA2-PSK （个人）、开放式+Portal认证、 WPA-PSK/WPA2-PSK+Portal 认证、WPA（企业）、WPA2 （企业）、WPA/WPA2 （企业）；网络与用户管理在无线系统中可以设定用户的角色，同时，可根据角色进行访问的管控与流量的管理。比方，办公人员及领导具有较高的网络权限，可以访问更多的网络资源，或者对某些特殊的来宾开放某

20、些VIP账号，分配给其较高权限的权限。分配较高的带宽供使用。而访客分配有限的权限，限制带宽和禁止访问内网，同时也可进行时间的限制。网络设备部署及用途本次网络系统升级改造中各设备部署及用途如下:序号设备名称数量单位用途1接入交换机1台与机房三层交换机对接2终端接入交换机4台提供终端PC的接入网络3POE交换机1台为AP设备供电4AC控制器1台用于控制管理AP5室内AP8台为用户提供无线数据接入核心交换及平安设备UPS电源保证通过核心信息机房布放核心交换机，核心网络平安设备，无线网控制器等, 为保证这些设备在停电状态下的正常工作，我们配置了 5K的ups电源，为核心网络设备提供延迟1小时的

21、不间断电源保证。网络系统升级改造方案总结通过本次网络系统升级改造，网络的基础设施可以满足未来5年扩展需求。根据业务需求优化网络系统，保证网络系统可用性、工程实施的简便快捷。满足网络系统等基础设施的需求，降低基础设施对信息化开展的制约，顺利完成重要业务系统的部署及信息系统的整合，促进对外网信息化可持续开展。网络系统平安加固技术方案网络系统平安加固建设要求网络系统平安加固建设要求如下：1、网络边界平安防护2、财务等重要部门平安防护3、限制网速，控制上网；访客可通过扫码或关注微信公众号，认证上网4、网络准入5 IPSECVPN：与阿里云对接6、SSLVPN设备：移动办公网络系统平安加固技术方

22、案针对系统的平安建设需求，在平安域划分的基础之上，提出了有针对性的安全技术措施，来构建整个信息平安技术防护体系。具体部署方式如下列图所示:结合实际业务保障需要，本着“适度平安，保护重点”的原那么，我们建议采用以下平安技术措施来构建平安保障体系的技术支撑平台。边界平安保护措施采用防火墙，对信息网络中重要的平安域提供边界访问控制，严格控制进出网络各个平安区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保对外网信息网络正常访问活动。网络边界平安防护部署位置：在房与办公区域之间部署防火墙设备。部署模式

23、：防火墙采用路由方式部署。重要部门平安防护部署位置：在行政、财务等重要部门与其他办公区域之间部署防火墙设备。部署模式：防火墙采用透明方式部署。产品功能特点“基于用户防护“、“面向应用平安”、”高效转发平台”、“多层级冗余架构”、 “全方位可视化及平安技术融合六大特性的NGFW下一代防火墙系列产品。全新的NGFW下一代防火墙产品线，不管是在性能方面还是在功能方而都完全符合用户对下一代防火墙产品的各种需求。基于用户防护全方便可视化高效转发平台多层级冗余杂峋基于用户防护灵活且强大的用户身份管理系统，支持RADIUS TACACS. LDAP、 AD、邮件、证书、Ukcy、短信等多种认证协议和认

24、证方式。在用户管理方面，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。基于上述特性，网络终端在访问网络前，被强制要求到 NGFW下一代防火墙进行身份认证来完成对其的“合法性”检查。除此之外, NGFW下一代防火墙还集成了强大的平安准入控制功能，针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的“合规性”检查。通过对网络终端“合法性” 与“合规性的双重审核后,NGFW下一代防火墙将根据其身份认证信息(用户ID)通过智能过滤引擎实现基于用户身份的平安防护策略部署与可视化监控。令一体化智能过滤引

25、擎NGFW下一代防火墙系列产品，采用高度集成的一体化智能过滤引擎技术。其能够在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协议深度识别的高效性。另外，NGFW下一代防火墙产品基于八元组高级访问控制设计，除传统的五元组控制以外，实现了用户身份信息、应用程序指纹及内容特征的识别与控制，充分表达了下一代防火墙关注“用户”与 “应用”的设计理念。高效转发平台。TOS平安系统平台NGFW系列产品基于厂家公司十余年高品质平安产品开发经验结晶的TOS (Topsec Operating System)平安系统平台。随着多核技术的广泛应用，TOS以多核硬件架构为基础，分为系统内核层、硬件

26、抽象层及平安引擎层。在平安引擎层内，根据平安功能模块协议特性的不同，分为网络引擎组(NETWORK Engines)与应用引擎组(APP Engines)0通过将引擎组与多核硬件架构的完美整合，使TOS在系统层面实现了全功能多核并行流处理。而在硬件抽象层那么采用多种加速技术，根据各个核心的实时负载情况, 将流量按会话的方式动态均衡到CPU的各个核心，从而确保整个CPU效率执行的最大化。令TopTURBO数据层高速处理TopTURBO是自主原创实现数据层多核快速转发的高性能业务处理技术。通过NGFW产品研发团队在TOS系统平台上所进行的大量性能优化工作，利用TopTURBO技术将数据

27、层高速处理解决方案平滑迁移到多核硬件平台上，与当今最先进的高性能多核架构合而为一，从而获得更高的网络处理性能。WdMl OLI Mwtftnr HA f=W(UuSV15ta.-ControlP1ane-IVIanageTTM?nt Encjkie网络流量控制防护措施串联部署上网行为管理系统，依据业务系统使用情况配置网络带宽和用户对外访问的带宽，满足业务应用系统带宽使用，同时保障网络畅通。网络流量控制防护部署位置：在防火墙设备与内网三层交换机之间。部署模式：采用透明方式部署。认证方式:用户只需用微信扫描企业提供的二维码，关注公众号并申请上网, 即可完成身份认证过程。同时支持扫一扫的方

28、式认证上网。产品功能特点 IP/MAC/VLAN 绑定上网行为管理设备支持二层网络环境和三层网络环境的IP、MAC、 IP+MAC和VLAN ID的绑定，可自动阻断哪些非法占用他人IP的用户上网。认证账户有效期对于一些临时的用户，通过有效期的限定可以控制这些用户的上网时间范围，当用户超出预设的时间有效期，就不能上网。很好的控制了外来用户上网的准入性和上网时长。同时可以设定用户离线多久就自动删除该用户，从而大大的简化了动态用户的管理，增强了用户管理的灵活性。微信认证支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证, 后台记录用户ID 登录重定向上网行为管理设备支持网页重定向

29、的功能。当用户认证成功后，上网行为管理设备可以将其第一次的WEB访问重定向到预设的URL链接。此功能适合于政府机关、企业集团、大中小学等、或者酒店等网络环境，便于用户上网的时候直接导向最新的公告信息。带宽资源管理通过专业的带宽管理和分配算法，上网行为管理设备提供流量优先级、最大带宽限制、保障带宽、预留带宽、以及随机公平队列等一系列的应用优化和带宽管理控制功能。防共享上网上网行为管理，能自动发现网络中私接的有线路由器、无线路由、图0-2系统加固实施流程图2平安加固步骤1 .准备工作一人操作，一人记录，尽量防止可能出现的误操作。2 .收集系统信息加固之前收集所有的系统信息和用户服务需

30、求，收集所有应用和服务软件信息，做好加固前预备工作。3 .做好备份工作系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的360wifi等共享上网行为，能够及时对私接行为进行管控，在系统中能够实时查看管控记录和日志网络准入网络准入部署位置：内网三层交换机。部署模式：采用旁路方式部署。产品功能特点完整的接入管理流程一套完整的接入管理流程，从基本的接入身份标识，到接入后的合规检查和修复向导以及实名审计等，整体包装终端准入的平安性，纯洁化与抗抵赖作用。全方位的可信准入可信终端：只允许合法终端的接入，细粒度的健康检查保证接入终端的合规性；可信用户：系统提供实名制的准入功能，并可

31、与AD域联动，将网络准入同域认证有机结合。无线准入业界领先支持传统PC有线和无线认证、健康检查、动态VLAN划分；支持智能终端无线准入，无需安装客户端，支持AndroidIOS Windows Phone等主流操作系统。具有很好的网络环境适应性，不需要大幅调整网络结构网络平安准入系统可适应各类复杂网络和混合型部署网络，支持多种接入方式，支持有线和无线的准入。支持CISCO、H3C、华为等多个厂商的设备，很好的满足及适应了客户网络的复杂性。细粒度的合规检查从识别系统特征，到操作系统以及杀毒软件的特征，全面支持对客户端主机的各种平安检查，除基本的平安检查项外（杀毒软件、注册表、进程等

32、），可以由管理员自定义制订检查平安监测任务。用户可根据实际需求选择符合自己的合规检篦高性能，高稳定性的设备基于最新硬件平台而构建的NAC硬件准入网关，公司十五年的硬件产品技术积累，硬件平台广泛应用于防火墙、IPS、VPN等其他硬件产品。该产品基于具有自主知识产权的平安操作系统TOS (Topsec Operating System)o强大的可扩展性准入平安检查技术上除了满足客户端平安监控、客户端平安加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。可根据实际需要快速进行功能定制，也可与TSM产品(TD/TA-NET/TA-DB)联合部署，并可提供基于实名认证审计功能。

33、 IPSEC VPN机房与云IPSEC VPN建立平安访问通道。采用基于IPSEC协议的虚拟专用网(VPN)机制，结合可靠的认证、授权和密码技术，保护远程通信过程和传输数据的真实性、完整性、保密性，防止重要业务数据在传输过程中被窃取、篡改和破坏。 IPSEC VPN部署位置：机房三层交换机。部署模式：采用旁路方式部署。产品功能特点全面支持国密局IPSec协议规范IPScc作为一个通用性的平安标准，要求所有IPSec的实现必须严格遵循其各种协议规范，以便实现不同产品之间的互通。IPSec VPN产品经过国家密码管理局的严格鉴定，符合国密局最新制定的IPSEC VPN技术规范，可以和其

34、他符合规范的的VPN产品实现互通。本产品遵循国密局最新制定的IPSEC VPN技术规范标准协议。支持ESP、AH加密认证协议支持隧道模式、传输模式的协议封装格式支持密钥交换协议支持主模式、快速模式多种协商模式支持证书认证方式通过隧道路由技术实现VPN网络的灵活自动部署在实际物理网络部署中，网络管理员首先通过物理线路（可能是光纤、双绞线、线等）连接各个路由设备，然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSecVPN网络中，将每一条隧道视为连接两台VPN设备的虚拟网络线路，隧道建立成功后，虚拟线路连接工作就完成了。基于这些虚拟线路，网络管理员可以在IP

35、Sec VPN网关上采用同样的方法配置静态、动态路由协议，完成整个VPN网络的灵活部署。这种隧道路由机制的优点在于：网关的配置概念和方法与路由器类似，减少网络管理员对于部署VPN网络的学习和熟悉过程；通过隧道路由规那么的配置，可以完成VPN数据流在VPN网关之间的灵活转发，从而可以实现星型网络拓扑，并解决双向NAT穿越问题；通过动态隧道路由协议的配置，可以实现整个VPN网络的自适应部署，VPN 网络拓扑的自动学习、自动寻径；通过基于策略的隧道路由配置，可以实现VPN网关的冗余备份和负载均衡。完善的PKI体系提高用户网络的平安等级随着VPN技术在政府、金融等高平安性要求领域的应用不断深入

36、，用户对 VPN网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士 VPN产品全面支持标准PKI体系结构，既能够通过内置的CA模块独立为移动用户签发数字证书，又能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过OCSP/LDAP等标准协议向第三方 CA提交在线证书认真请求。具体PKI功能包括：支持标准X509.V3格式数字证书；支持DER、PEM、PKCS12等多种证书编码格式；支持通过内置CA模块为用户签发标准数字证书；支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证；支持通过OCSP/LDAP等标准协议向第

37、三方CA进行在线证书认证；支持生成PKCS10格式的证书请求，可生成证书请求，由第三方CA签名；支持CRL列表文件的导入和通过HTTP自动下载；与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作，网络卫士 VPN网关与这些厂商的CA系统均能够无缝集成。 SSL VPN采用基于PKI的数字证书技术实现服务器和用户端的双向身份认证，并采用数字签名技术保证数据传输的完整性和交易的抗抵赖性，可方便地实现移动办公用户利用互联网对系统的平安访问。可结合USB KEY提供证书和密钥的存储, 增强用户身份认证的平安性。 SSLVPN部署位置：机房防火墙DMZ区。部署模式：采用

38、旁路方式部署。产品功能特点自主平安操作系统平台采用自主知识产权的平安操作系统一TOS(Topsec Operating System), TOS 拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有高平安性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。多种VPN技术有机融合前面已经分析了目前主流的各种VPN技术的优缺点，这些技术有其不同的适用范围。在实际的用户网络中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满

39、足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和平安性都会面临新的挑战。VONE网关是厂家公司在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IPSEC/SSL/PPTP/L2Tp等多种VPN技术的综合平安网关产品。在TOS平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。多种SSLVPN技术结合实现应用全覆盖目前SSLVPN接入技术大致分为三类：WEB转发（WEB FORWARD）,端口转发（PORT FORWARD）和全网接入（NETWORK ACCESS或者称为IP TU

40、NNEL）o这三种技术的技术特点和适用范围各不相同，在厂家VONE网关中对这三种SSLVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。厂家VONE网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规那么框架，支持为用户个性化的业务系统自定义特殊的URL替换规那么，进一步提高了系统的适应性。端口转

41、发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发要好，但其要求在客户端安装一个 ACTIVEX控件。厂家VONE网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。网关通过全网接入模式能够实现移动用户的虚拟IP 地址分配，实现各种访问控制策略的下发，支持移动用户以别离隧道（SPLIT TUNNEL即可以同时访问

42、VPN和因特网）或完全隧道（FULLTUNNEL即只能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了远程接入的平安性和灵活性。支持虚拟门户功能SSL VPN提供了虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。适应多种终端和系统平台目前移动互联已成为新的应用趋势，VPN针对各种终端系统提供了多种安全接入技术，能方便的实现移动办公应用。具备集二、三层VPN,应用级VPN 及平安SDK于一体的移动平安接入VPN技术,全面适应各种移动应用接

43、入环境。支持虚拟桌面和虚拟应用发布技术，实现“数据不落地”，保障数据平安性；支持iOS IPSEC“零安装”及Android SSL全网接入客户端，满足多应用同时访问；提供集成SSL功能的平安浏览器，能平安的访问各种基于WEB的移动应用。随着移动设备的不断开展，移动智能设备操作系统也不断涌现。厂家公司的移动平安客户端产品，不但支持传统的Windows、Linux操作系统，还支持iOS、 Android等移动操作系统。丰富的操作系统平台支持，意味着用户可以自由的选择终端产品，无需受限于某个特定的系统。平安设备部署及用途各设备部署及用途如下:序号设备名称数量单位用途1网络边界防火墙1台

44、机房与办公区域之间的访问控制2网络边界防火墙3台行政、财务等重要部门与其他办公区域之间的访问控制3流控设备1台对网络带宽控制，并提供上网认证功能4网络准入设备1台提供终端准入功能5IPSEC VPN1台与云IPSEC VPN建立平安访问通道6SSL VPN1台提供移动办公用户VPN接入平安加固方案总结结合信息化实际情况，对网络与信息平安体系的框架结构、平安要素基本要求进行规划和建设，并根据实际优化调整，在保证关键技术实现的前提下，采用成熟国产产品，保证系统的可用性、工程实施的简便快捷。开展信息系统平安规划、整改及建设工作，落实平安防护技术措施，建立健全平安管理制度，进一步提高信息系统

45、的平安保障能力和防护水平，确保网络与信息系统的平安运行，推进信息化的平安、健康、协调开展。风险，当加固失败时，可以恢复到加固前状态。4 .加固系统按照系统加固核对表，逐项按顺序执行操作。5 .复查配置对加固后的系统，全部复查一次所作加固内容，确保正确无误。6 .应急恢复当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时与平安专家小组取得联系，寻求帮助，解决问题平安加固内容表o-i平安加固内容说明表加固对象操作系统加固工程说明UNIX系统及类UNIX 系统Solaris , HP-UX, AIX, 1inux,FreeBSD , OpenBSI), SCO补丁从厂家网站或者可信任站点下载系统的补丁包，不同的操作系统版本以及运行不同的服务，都可能造成需要安装的补丁包不同，所以必须选择适合本机的补丁包安装。视机器配置而定文件系统UNIX文件系统的权限配置工程繁多，要求也很严格，不适当的配置可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。有30项左右配置配置文件UNIX配置文件功能有点类似微软的注册表,UNIX对操作系统配置基本上都是通过各种配置文件来完成，不合理的配置文件可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。例如： /etc/inittab文件是系统加载时首先自动执行的文

展开阅读全文