星空（中国）官方网站-官方授权体育平台

　　随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。

　　同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。

　　通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。

　　满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。本次改造工作的主要内容,通过网络系统改造及安全加固,满足对外网日常办公需要,保障重要网络及业务系统的安全运行。

　　《信息技术信息系统安全等级保护方案设计规范》BS7799/ISO17799《信息安全管理实践准则》

　　对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究包括任务、性能、结构、可靠性、可维护性等,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略,

　　应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括,行政法律手段、各种管理制度人员审查、工作流程、维护保障制度等以及专业技术措施访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等。一个较好的安全措施往往是多种方法适当综合的应用结果。

　　计算机网络的各个环节,包括个人使用、维护、管理、设备含设施、软件含应用系统、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构,

　　网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全系统的动态性是指,安全是

　　3/18随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了

　　〔如更换了某个机器,原来安全的系统就变的不安全了,在一段时间里安全的系统,时间发生变化了〔如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了,原来的系统就会变的不安全。所以,建设的安全防护系统不是一劳永逸的事情,

　　一致性原则主要是指网络安全问题应当与具体的安全措施保持同步,并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略,各个策略之间能够相互互补,并针对具体的问题,从不同的侧面执行一致性的策略,避免出现策略自身的矛盾和失误,

　　安全措施的策略应当统一下发,强制执行,应避免各个环节的安全措施各自为政,从而也保障了安全策略的一致性,保障各个环节的安全措施能够相互互补,真正的为系统提供有效的保护,

　　安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性,其次,措施的采用不能影响系统的正常运行。

　　任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

　　对外网共计约120名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机,到机房的链路介质为两条光纤。

　　目前,对外网现有四台二层交换机需要更新升级。同时办公场所没有无线网络覆盖,且无内网安全防护设备。

　　为了满足大容量并且以备扩容和发展,室内无线AP要求必须支持两个射频模块,可以工作在2.4GHz和5.8GHz频段;

　　无线系统能够对用户角色制定不同的策略,满足授权管理〔访问控制、流量控制功能,

　　充分考虑WLAN的安全性,采用先进的WLAN安全技术保障。无线局域网系统要能方便和灵活地调整与扩充。

　　根据现场实际勘测、信号测试情况,无线网络采取蜂窝式部署方式。AP安装在走廊/墙壁上。

　　结合用户无线网络需求情况,结合产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照AP+控制器的结构化无线网络解决方案进行设计。

　　使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN 频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。

　　在设计上采用无线局域网多SSID 技术,设置多业务区分方式。例如一个SSID可给内部员工所用,而另一个可给外来的客户专用。

　　〔1多SSID ,可以根据需要,如用户的种类、应用的种类设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的接入。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID 出现的范围也是实现安全性的一种手段。

　　〔2加密,无线系统支持国际标准的多种数据加密方式,保护数据不被窃取,用户可根据实际需要自行选择。

　　在无线系统中可以设定用户的角色,同时,可根据角色进行访问的管控与流量的管理。 比如,办公人员及领导具有较高的网络权限,可以访问更多的网络资源,或者对某些特殊的来宾开放某些VIP账号,分配给其较高权限的权限。分配较高的带宽供使用。而访客分配有限的权限,限制带宽和禁止访问内网,同时也可进行时间的限制。

　　5 室内AP 8 台 为用户提供无线 核心交换及安全设备UPS 电源保证

　　通过核心信息机房布放核心交换机,核心网络安全设备,无线网控制器等,为保证这些设备在停电状态下的正常工作,我们配置了5K的ups电源,为核心网络设备提供延迟1小时的不间断电源保证。

　　通过本次网络系统升级改造,网络的基础设施可以满足未来5年扩展需求。根据业务需求优化网络系统,保证网络系统可用性、工程实施的简便快捷。满足网络系统等基础设施的需求,降低基础设施对信息化发展的制约,顺利完成重要业务系统的部署及信息系统的整合,促进对外网信息化可持续发展。

　　针对系统的安全建设需求,在安全域划分的基础之上,提出了有针对性的安全技术措施,来构建整个信息安全技术防护体系。具体部署方式如下图所示,结合实际业务保障需要,本着适度安全,保护重点的原则,我们建议采用以下安全技术措施来构建安全保障体系的技术支撑平台。

　　采用防火墙,对信息网络中重要的安全域提供边界访问控制,严格控制进出网络各个安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问,同时有效预防、发现、处理异常的网

　　部署位置,在房与办公区域之间部署防火墙设备。部署模式, 防火墙采用路由方式部署。

　　部署位置,在行政、财务等重要部门与其他办公区域之间部署防火墙设备。部署模式, 防火墙采用透明方式部署。

　　基于用户防护、 面向应用安全、 高效转发平台、 多层级冗余架构、 全方位可视化及安全技术融合六大特性的NGFW® 下一代防火墙系列产品。全新的NGFW® 下一代防火墙产品线,不论是在性能方面还是在功能方面都完全符合用户对下一代防火墙产品的各种需求。

　　灵活且强大的用户身份管理系统,支持RAD IUS 、 TACACS 、 LDAP 、AD 、邮件、证书、 Ukey、短信等多种认证协议和认证方式。在用户管理方面,实现了分级、分组、权限、继承关系等星空体育网站 星空体育首页功能,充分考虑到各种应用环境下不同的用户需求。基于上述特性,网络终端在访问网络前,被强制要求到NGFW® 下一代防火墙进行身份认证来完成对其的合法性检查。除此之外,NGFW® 下一代防火墙还集成了强大的安全准入控制功能,针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的合规性检查。通过对网络终端合法性与合规性的双重审核后,NGFW® 下一代防火墙将根据其身份认证信息〔用户ID通过智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控。

　　9 / 18技术。其能够在一次数据拆包过程中,对数据进行并行深度检测,从而保证了协议深度识别的高效性。另外,NGFW® 下一代防火墙产品基于八元组高级访问控制设计,除传统的五元组控制以外,实现了用户身份信息、应用程序指纹及内容特征的识别与控制,充分体现了下一代防火墙关注用户与应用的设计理念。

　　NGFW® 系列产品基于厂家公司十余年高品质安全产品开发经验结晶的TOS 〔Topsec OperatingSystem安全系统平台。随着多核技术的广泛应用,TOS 以多核硬件架构为基础,分为系统内核层、硬件抽象层及安全引擎层。在安全引擎层内,根据安全功能模块协议特性的不同,分为网络引擎组

　　〔NETWORK Engines 与应用引擎组〔APP Engines。通过将引擎组与多核硬件架构的完美整合,使TOS 在系统层面实现了全功能多核并行流处理。而在硬件抽象层则采用多种加速技术,根据各个核心的实时负载情况,将流量按会话的方式动态均衡到CPU 的各个核心,从而确保整个CPU效率执行的最大化。

　　TopTURBO 是自主原创实现数据层多核快速转发的高性能业务处理技术。通过NGFW® 产品研发团队在TOS系统平台上所进行的大量性能优化工作,利用TopTURBO 技术将数据层高速处理解决方案平滑迁移到多核硬件平台上,与当今最先进的高性能多核架构合而为一,从而获得更高的网络处理性能。

　　串联部署上网行为管理系统,依据业务系统使用情况配置网络带宽和用户对外访问的带宽,满足业务应用系统带宽使用,同时保障网络畅通。

　　认证方式,用户只需用微信扫描企业提供的二维码,关注公众号并申请上网,即可完成身份认证过程。 同时支持扫一扫的方式认证上网。

　　上网行为管理设备支持二层网络环境和三层网络环境的IP、 MAC 、IP+MAC 和VLAN ID的绑定,可自动阻断哪些非法占用他人IP的用户上

　　对于一些临时的用户,通过有效期的限定可以控制这些用户的上网时间范围,当用户超出预设的时间有效期,就不能上网。很好的控制了外来用户上网的准入性和上网时长。同时可以设定用户离线多久就自动删除该用户,从而大大的简化了动态用户的管理,增强了用户管理的灵活性。

　　支持与微信结合的认证方式,用户关注微信公众号后即通过身份认证,后台记录用户ID

　　上网行为管理设备支持网页重定向的功能。当用户认证成功后,上网行为管理设备可以将其第一次的WEB 访问重定向到预设的URL链接。此功能适合于政府机关、企业集团、大中小学等、或者酒店等网络环境,便于用户上网的时候直接导向最新的公告信息。

　　通过专业的带宽管理和分配算法,上网行为管理设备提供流量优先级、最大带宽限制、保障带宽、预留带宽、 以及随机公平队列等一系列的应用优化和带宽管理控制功能。

　　上网行为管理,能自动发现网络中私接的有线路由器、无线wifi等共享上网行为,能够及时对私接行为进行管控,在系统中能够实时查看管控记录和日志

　　一套完整的接入管理流程,从基本的接入身份标识,到接入后的合规检查和修复向导以及实名审计等,整体包装终端准入的安全性,纯净化与抗抵赖作用。

　　可信用户,系统提供实名制的准入功能,并可与AD域联动,将网络准入同域认证有机结合。

　　支持智能终端无线准入,无需安装客户端,支持Android、 IOS 、 Windows Phone等主流操作系统。

　　网络安全准入系统可适应各类复杂网络和混合型部署网络,支持多种接入方式,支持有线和无线的准入。支持CISCO 、 H3C 、华为等多个厂商的设备,很好的满足及适应了客户网络的复杂性。

　　从识别系统特征,到操作系统以及杀毒软件的特征,全面支持对客户端主机的各种安全检查,除基本的安全检查项外〔杀毒软件、注册表、进程等,可以由

　　12 / 18管理员自定义制订检查安全监测任务。用户可根据实际需求选择符合自己的合规检查。

　　基于最新硬件平台而构建的NAC 硬件准入网关,公司十五年的硬件产品技术积累,硬件平台广泛应用于防火墙、 IPS、 VPN等其他硬件产品。该产品基于具有自主知识产权的安全操作系统TOS Topsec Operating System 。

　　准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外,还提供多种数据接口和二次开发接口。可根据实际需要快速进行功能定制,也可与TSM 产品TD/TA-NET/TA-DB 联合部署,并可提供基于实名认证审计功能。

　　机房与云IPSEC VPN 建立安全访问通道。采用基于IPSEC协议的虚拟专用网〔VPN 机制,结合可靠的认证、授权和密码技术,保护远程通信过程和传输数据的真实性、完整性、保密性,防止重要业务数据在传输过程中被窃取、篡改

　　IPSec作为一个通用性的安全标准,要求所有IPSec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。 IPSec VPN 产品经过国家密码管理局的严格鉴定,符合国密局最新制定的《IPSEC VPN 技术规范》 ,可以和其他符合规范的的VPN产品实现互通。

　　在实际物理网络部署中,网络管理员首先通过物理线路〔可能是光纤、双绞线、线等连接各个路由设备,然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSec VPN 网络中,将每一条隧道视为连接两台VPN设备的虚拟网络线路,隧道建立成功后,虚拟线路连接工作就完成了。基于这些虚拟线路,网络管理员可以在IPSec VPN 网关上采用同样的方法配置静态、动态路由协议,完成整个VPN 网络的灵活部署。这种隧道路由机制的优点在于,

　　网关的配置概念和方法与路由器类似,减少网络管理员对于部署VPN 网络的学习和熟悉过程,

　　通过隧道路由规则的配置,可以完成VPN数据流在VPN 网关之间的灵活转发,从而可以实现星型网络拓扑,并解决双向NAT 穿越问题,

　　通过动态隧道路由协议的配置,可以实现整个VPN 网络的自适应部署,VPN 网络拓扑的自动学习、 自动寻径,

　　随着VPN 技术在政府、金融等高安全性要求领域的应用不断深入,用户对VPN 网络的认证功能与其原有的PKI体系进行无缝结合的需求也越来越强烈。网络卫士VPN产品全面支持标准PKI体系结构,既能够通过内置的CA模块独立为移动用户签发数字证书,又能够通过导入CA根证书,CRL 列表方式对第三方CA签发的证书进行认证,同时还能够通过OCSP/LDAP 等标准协议向第三方CA提交在线证书认真请求。具体PKI功能包括,

　　支持同时导入多个CA根证书和CRL列表,对不同CA签发证书进行认证,支持通过OCSP/LDAP 等标准协议向第三方CA进行在线证书认证,支持生成PKCS10 格式的证书请求,可生成证书请求,由第三方CA签名, ,支持CRL列表文件的导入和通过HTTP 自动下载,

　　与吉大正元、上海格尔、天威诚信、江南计算所等国内主要CA厂商有着长期的合作,网络卫士VPN 网关与这些厂商的CA系统均能够无缝集成。

　　采用基于PKI 的数字证书技术实现服务器和用户端的双向身份认证,并采用数字签名技术保证数据传输的完整性和交易的抗抵赖性,可方便地实现移动办公用户利用互联网对系统的安全访问。可结合USB KEY提供证书和密钥的存储,增强用户身份认证的安全性。

　　采用自主知识产权的安全操作系统—TOS 〔Topsec Operating System,TOS 拥有优秀的模块化设计架构,有效保障了防火墙、VPN 、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。 TOS 具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

　　前面已经分析了目前主流的各种VPN星空体育网站 星空体育首页 技术的优缺点,这些技术有其不同的适用范围。在实际的用户网络中,不同的用户需求往往需要多种VPN 技术综合应用,在这种情况下往往需要用户购买多台不同的VPN设备来满足需求,这既浪费资源又带来用户管理维护的工作量,同时网络环境变得更加复杂,网络运行的稳定性和安全性都会面临新的挑战。

　　VONE 网关是厂家公司在多年各种独立的VPN产品研发和销售的基础上,推出的一款融合IPSEC/SSL/PPTP/L2TP 等多种VPN技术的综合安全网关产品。在TOS 平台强大的整合能力保障下,各种VPN 模块进行了有机的整合,为用户提供一个统一完整的VPN接入平台。

　　目前SSLVPN 接入技术大致分为三类, WEB 转发〔WEB FORWARD, 端口转发〔PORT FORWARD 和全网接入〔NETWORK ACCESS 或者称为IP TUNNEL 。这三种技术的技术特点和适用范围各不相同,在厂家VONE 网关中对这三种SSLVPN 接入技术都做了很好的支持,用户可以根据自身应用系统的特点选择使用一种或多种接入方式。

　　WEB 转发模式可以实现用户的完全无客户端接入,支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统,而且对客户应用系统的依赖性较强。厂家VONE 网关通过在WEB 转发模式中应用独创的智能URL 重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架,支持为用户个性化的业务系统自定义特殊的URL替换规则,进一步提高了系统的适应性。

　　端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL 协议封装和转发。这种模式的适应性比WEB 转发要好,但其要求在客户端安装一个ACTIVEX 控件。厂家VONE 网关实现了客户端透明代理,用户不需要修改本地的任何配置即能完成代理控件的安装和使用,大大简化了用户操作步骤。

　　全网接入模式通过SSL隧道转发客户端所有的IP请求报文,其适应性最好,能够支持基于IP协议的所有B/S和C/S业务系统,其同样要求在客户端系统上安装一个ACTIVEX 的控件。 网关通过全网接入模式能够实现移动用户的虚拟IP地址分配,实现各种访问控制策略的下发,支持移动用户以分离隧道〔SPLIT