星空（中国）官方网站-官方授权体育平台

　　随着对外网信息化的发展，业务系统对外网络系统、信息系统的依赖程度也越来越高，信息安全的问题也越来越突出。为了有效防X和化解风险，保证对外网信息系统平稳运行和业务持续开展，须对对外网现有的网络升级，并建立信息安全保障体系，以增强对外网的信息安全风险防X能力。

　　同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大。由于利益的驱使，针对信息系统的安全威胁越来越多，必需加强自身的信息安全保护工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力，我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。

　　满足对外网对网络系统等基础设施的需求，降低基础设施对对外网信息化发展的制约，顺利完成业务系统、网络系统与信息安全系统的整合，促进对外网信息化可持续发展。本次改造工作的主要内容：通过网络系统改造与安全加固，满足对外网日常办公需要，保障重要网络与业务系统的安全运行。

　　对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁与可能承担的风险进行定性与定量相结合的分析，然后制定规X和措施，确定系统的安全策略；

　　应运用系统工程的观点、方法，分析网络的安全与具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以与专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。

　　计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构与网络安全体系结构；

　　网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全系统的动态性是指，安

　　全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了〔如更换了某个机器〕，原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了〔如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了〕，原来的系统就会变的不安全。所以，建设的安全防护系统不是一劳永逸的事情；

　　一致性原则主要是指网络安全问题应当与具体的安全措施保持同步，并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略，各个策略之间能够相互互补，并针对具体的问题，从不同的侧面执行一致性的策略，避免出现策略自身的矛盾和失误；

　　安全措施的策略应当统一下发，强制执行，应避免各个环节的安全措施各自为政，从而也保障了安全策略的一致性，保障各个环节的安全措施能够相互互补，真正的为系统提供有效的保护；

　　安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

　　系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

　　对外网共计约120名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机，到机房的链路介质为两条光纤。

　　根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。 AP 安装在走廊/墙壁上。

　　结合用户无线网络需求情况，结合产品自身技术特点，为了满足用户构建 一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求，本设计方案 按照 AP+控制器的结构化无线网络解决方案进行设计。

　　使用 2.4GHz 频点为例，为保证信道之间不相互干扰，要求两个信道之间 间隔不低于 25MHz 。在一个覆盖区内， 最多可以提供 3 个不重叠的频点同时工 作，通常采用 1、6、11 三个频点。 WLAN 频率规划需综合考虑建筑结构、 穿 透损耗以与布线系统等具体情况进行。

　　在设计上采用无线局域网多 SSID 技术，设置多业务区分方式。例如一个 SSID 可给内部员工所用， 而另一个可给外来的客户专用。

　　〔1〕多 SSID ：可以根据需要， 如用户的种类、应用的种类设置多个 SSID ， 不同的 SSID 采用不同的安全策略，这样可以对不同的用户与应用进行区分服

　　务。另外 SSID 还可以选择隐藏的方式，该 SSID 不广播，用户无法看到，防 止非法用户的接入。 SSID 还可以选择在某些 AP 上出现，某些 AP 上不出现， 限制 SSID 出现的 X 围也是实现安全性的一种手段。

　　〔2 〕加密：无线系统支持国际标准的多种数据加密方式，保护数据不被 窃取，用户可根据实际需要自行选择。

　　在无线系统中可以设定用户的角色，同时，可根据角色进行访问的管控与 流量的管理。比如，办公人员与领导具有较高的网络权限，可以访问更多的网 络资源， 或者对某些特殊的来宾开放某些 VIP 账号，分配给其较高权限的权限。 分配较高的带宽供使用。 而访客分配有限的权限，限制带宽和禁止访问内网， 同时也可进行时间的限制。

　　通过核心信息机房布放核心交换机， 核心网络安全设备， 无线网控制器等， 为保证这些设备在停电状态下的正常工作， 我们配置了 5K的 ups 电源， 为核心 网络设备提供延迟 1 小时的不间断电源保证。

　　通过本次网络系统升级改造，网络的基础设施可以满足未来 5 年扩展需求。 根据业务需求优化网络系统，保证网络系统可用性、工程实施的简便快捷。满 足网络系统等基础设施的需求，降低基础设施对信息化发展的制约，顺利完成 重要业务系统的部署与信息系统的整合，促进对外网信息化可持续发展。

　　部署位置： 在行政、财务等重要部门与其他办公区域之间部署防火墙设备。 部署模式： 防火墙采用透明方式部署。

　　AD、、证书、 Ukey 、短信等多种认证协议和认证方式。在用户管理方面，

　　认证方式： 用户只需用微信扫描企业提供的二维码， 关注公众号并申请上网，

　　IP+MAC 和 VLAN ID 的绑定，可自动阻断哪些非法占用他人IP 的用户上

　　间 X 围，当用户超出预设的时间有效期， 就不能上网。 很好的控制了外来

　　用户，从而大大的简化了动态用户的管理，增强了用户管理的灵活性。 微信认证

　　支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证， 后台记录用户 ID

　　上网行为管理设备支持网页重定向的功能。当用户认证成功后，上网 行为管理设备可以将其第一次的 WEB 访问重定向到预设的 URL 。此功能 适合于政府机关、企业集团、学等、或者酒店等网络环境，便于用户上网 的时候直接导向最新的公告信息。

　　通过专业的带宽管理和分配算法，上网行为管理设备提供流量优先级、 最大带宽限制、保障星空体育官方入口 星空体育官网带宽、预留带宽、以与随机公平队列等一系列的应用 优化和带宽管理控制功能。

　　上网行为管理，能自动发现网络中私接的有线wifi 等共享上网行为，能够与时对私接行为进行管控，在系统中能够实 时查看管控记录和日志

　　一套完整的接入管理流程，从基本的接入身份标识，到接入后的合规检查 和修复向导以与实名审计等， 整体包装终端准入的安全性， 纯净化与抗抵赖作 用。

　　可信终端：只允许合法终端的接入，细粒度的健康检查保证接入终端的合 规性；

　　可信用户：系统提供实名制的准入功能，并可与 AD 域联动，将网络准入 同域认证有机结合。

　　支持智能终端无线准入， 无需安装客户端，支持 Android 、IOS 、Windows Phone 等主流操作系统。

　　网络安全准入系统可适应各类复杂网络和混合型部署网络，支持多种接入 方式，支持有线和无线的准入。支持 CISCO 、H3C 、华为等多个厂商的设备， 很好的满足与适应了客户网络的复杂性。

　　从识别系统特征，到操作系统以与杀毒软件的特征，全面支持对客户端主 机的各种安全检查，除基本的安全检查项外〔杀毒软件、注册表、进程等〕，可

　　以由管理员自定义制订检查安全监测任务。用户可根据实际需求选择符合自己 的合规检查。

　　基于最新硬件平台而构建的 NAC 硬件准入网关，公司十五年的硬件产品 技术积累，硬件平台广泛应用于防火墙、IPS 、VPN 等其他硬件产品。该产品

　　准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端 管理等要求之外， 还提供多种数据接口和二次开发接口。可根据实际需要快速 进行功能定制， 也可与 TSM 产品(TD/TA-NET/TA-DB) 联合部署，并可提供基 于实名认证审计功能。

　　机房与云 IPSEC VPN 建立安全访问通道。采用基于 IPSEC 协议的虚拟专 用网〔 VPN 〕机制，结合可靠的认证、授权和密码技术，保护远程通信过程和 传输数据的真实性、完整性、 XX 性，防止重要业务数据在传输过程中被窃取、 篡改和破坏。

　　IPSec 作为一个通用性的安全标准，要求所有 IPSec 的实现必须严格遵循 其各种协议规 X，以便实现不同产品之间的互通。 IPSec VPN 产品经过国家密 码管理局的严格鉴定，符合国密局最新制定的《 IPSEC VPN 技术规 X》，可以 和其他符合规 X 的的 VPN 产品实现互通。

　　本产品遵循国密局最新制定的《IPSEC VPN 技术规 X》标准协议。 支持 ESP 、AH 加密认证协议

　　在实际物理网络部署中，网络管理员首先通过物理线路〔可能是光纤、双 绞线、 线等〕连接各个路由设备，然后通过在路由器上配置静态路由或者动 态路由完成各种规模网络的灵活部署。 在 IPSec VPN 网络中， 将每一条隧道视 为连接两台 VPN 设备的虚拟网络线路， 隧道建立成功后，虚拟线路连接工作 就完成了。基于这些虚拟线路， 网络管理员可以在 IPSec VPN 网关上采用同样

　　的方法配置静态、动态路由协议，完成整个 VPN 网络的灵活部署。这种隧道 路由机制的优点在于：

　　网关的配置概念和方法与路由器类似，减少网络管理员对于部署 VPN 网 络的学习和熟悉过程；

　　通过隧道路由规则的配置，可以完成 VPN 数据流在 VPN 网关之间的灵活 转发，从而可以实现星型网络拓扑，并解决双向 NAT 穿越问题；

　　通过动态隧道路由协议的配置，可以实现整个 VPN 网络的自适应部署， VPN 网络拓扑的自动学习、自动寻径；

　　通过基于策略的隧道路由配置，可以实现 VPN 网关的冗余备份和负载均 衡。

　　随着 VPN 技术在政府、金融等高安全性要求领域的应用不断深入，用户 对 VPN 网络的认证功能与其原有的 PKI 体系进行无缝结合的需求也越来越强 烈。网络卫士 VPN 产品全面支持标准 PKI 体系结构，既能够通过内置的 CA 模块独立为移动用户签发数字证书，又能够通过导入 CA 根证书＋ CRL 列表方 式对第三方 CA 签发的证书进行认证， 同时还能够通过 OCSP/LDAP 等标准协 议向第三方 CA 提交在线证书认真请求。 具体 PKI 功能包括：

　　支持同时导入多个 CA 根证书和 CRL 列表，对不同 CA 签发证书进行认证； 支持通过 OCSP/LDAP 等标准协议向第三方 CA 进行在线证书认证；

　　支持生成PKCS10 格式的证书请求，可生成证书请求，由第三方CA 签名；； 支持 CRL 列表文件的导入和通过自动下载；

　　与吉大正元、XX 格尔、天威诚信、江南计算所等国内主要 CA 厂商有着长 期的合作，网络卫士 VPN 网关与这些厂商的 CA 系统均能够无缝集成。

　　用数字签名技术保证数据传输的完整性和交易的抗抵赖性，可方便地实现移动 办公用户利用互联网对系统的安全访问。可结合 USB KEY 提供证书和密钥的 存储，增强用户身份认证的安全性。

　　TOS 拥有优秀的模块化设计架构，有效保障了防星空体育官方入口 星空体育官网火墙、 VPN 、内容过滤、抗攻 击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提 供了无限可能。 TOS 具有高安全性、 高可靠性、 高实时性、 高扩展性与多体系 结构平台适应性的特点。

　　前面已经分析了目前主流的各种 VPN 技术的优缺点，这些技术有其不同 的适用 X 围。在实际的用户网络中，不同的用户需求往往需要多种 VPN 技术 综合应用， 在这种情况下往往需要用户购买多台不同的 VPN 设备来满足需求， 这既浪费资源又带来用户管理维护的工作量， 同时网络环境变得更加复杂，网 络运行的稳定性和安全性都会面临新的挑战。

　　VONE 网关是厂家公司在多年各种独立的 VPN 产品研发和销售的基础上， 推出的一款融合 IPSEC/SSL/PPTP/L2TP 等多种 VPN 技术的综合安全网关产 品。在 TOS 平台强大的整合能力保障下，各种 VPN 模块进行了有机的整合， 为用户提供一个统一完整的 VPN 接入平台。