深信服等級保護(三級)建設(shè)方案可編輯

等級保護（三級）方案深信服科技朔州市交警隊等級保護（三級）建設(shè)方案深信服科技（深圳）有限公司TIME\@"yyyy'年'M'月'"2016年7月

目錄1 項目概述 系統(tǒng)集成設(shè)計軟硬件產(chǎn)品部署圖系統(tǒng)改造前拓撲圖如下：本次系統(tǒng)改造新增軟硬件產(chǎn)品后的拓撲圖如下：安全產(chǎn)品部署說明外網(wǎng)設(shè)備部署產(chǎn)品數(shù)量部署位置部署作用網(wǎng)絡(luò)審計系統(tǒng)2臺外網(wǎng)出口（雙機）審計內(nèi)網(wǎng)用戶上網(wǎng)行為，可供公安部82號令要求封堵與辦公無關(guān)應(yīng)用，提高員工辦公效率管理內(nèi)部網(wǎng)絡(luò)帶寬，合理分配流量，保障核心業(yè)務(wù)流量下一代防火墻2臺外網(wǎng)出口（雙機）保護安全管理區(qū)設(shè)備的安全對業(yè)務(wù)網(wǎng)進行獨立防護，進行訪問控制、攻擊防御入侵檢測1臺核心交換機旁掛對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護WAF1臺WEB服務(wù)器前端WEB應(yīng)用防護，防止web業(yè)務(wù)被破壞、篡改對傳輸數(shù)據(jù)進行內(nèi)容檢測，保障數(shù)據(jù)安全，防泄密防火墻1臺連接看守所出口網(wǎng)處做安全隔離，隔離看守所與內(nèi)部網(wǎng)絡(luò)進行訪問控制、攻擊防御隔離安全網(wǎng)關(guān)1臺辦公網(wǎng)與專網(wǎng)交界處隔離辦公網(wǎng)與專網(wǎng)負載均衡1臺服務(wù)器前端服務(wù)器負載服務(wù)健康檢查服務(wù)器虛擬化1套做2臺服務(wù)器虛擬化將服務(wù)器虛擬化后，可備份數(shù)據(jù)可將服務(wù)器資源最大化利用SSLVPN一臺核心交換機旁掛移動辦公安全接入內(nèi)網(wǎng)設(shè)備下一代防火墻2臺內(nèi)網(wǎng)出口（雙機）保護安全管理區(qū)設(shè)備的安全對業(yè)務(wù)網(wǎng)進行獨立防護，進行訪問控制、攻擊防御入侵檢測系統(tǒng)1臺旁掛內(nèi)網(wǎng)核心交換機處對入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護集中管理設(shè)備1臺旁掛內(nèi)網(wǎng)核心交換機處統(tǒng)一管理內(nèi)網(wǎng)安全設(shè)備，可實時監(jiān)控入侵防御系統(tǒng)2臺內(nèi)網(wǎng)服務(wù)器前端實時監(jiān)控并阻斷針對數(shù)據(jù)中心核心HIS業(yè)務(wù)服務(wù)器的入侵行為邊界集中進行病毒過濾，防止病毒侵入擴散，與網(wǎng)絡(luò)防病毒組成多層次深度防御。負載均衡1臺內(nèi)網(wǎng)服務(wù)器前端服務(wù)器負載服務(wù)健康檢查防火墻1臺3G內(nèi)外網(wǎng)隔離出做安全隔離，隔離看3G網(wǎng)絡(luò)與執(zhí)行查控服務(wù)器進行訪問控制、攻擊防御服務(wù)器虛擬化1套做3臺服務(wù)器虛擬化將服務(wù)器虛擬化后，可備份數(shù)據(jù)可將服務(wù)器資源最大化利用堡壘機1臺旁掛內(nèi)網(wǎng)服務(wù)器前段交換機上管理網(wǎng)絡(luò)中得所有安全設(shè)備數(shù)據(jù)庫審計系統(tǒng)旁掛內(nèi)網(wǎng)服務(wù)器前段交換機上審計服務(wù)器里的數(shù)據(jù)庫，以便責(zé)任做到追溯到人等級保護（三級）方案模板深信服科技9.3產(chǎn)品選型選型建議根據(jù)國家有關(guān)法律法規(guī)，并結(jié)合朔州市交警隊通信網(wǎng)絡(luò)的實際要求。我們建議使用具有國內(nèi)自主知識產(chǎn)權(quán)的產(chǎn)品，并且要完全符合朔州市交警隊提出的產(chǎn)品資質(zhì)要求：所有產(chǎn)品是經(jīng)公安部、國家信息安全測評認證中心等國家權(quán)威測試通過，并獲得安全產(chǎn)品銷售許可證，是在國內(nèi)政府機關(guān)、銀行、部隊、醫(yī)療衛(wèi)生等系統(tǒng)采用較多，運行穩(wěn)定的國產(chǎn)防火墻、上網(wǎng)行為管理、SSLVPN等安全產(chǎn)品，在功能、性能與管理性等方面能夠滿足朔州市交警隊計算機網(wǎng)絡(luò)的需求。選型要求1、在產(chǎn)品選型時，需要廠家可以提供個性化的安全產(chǎn)品。只有這樣才能保證系統(tǒng)的安全充分滿足客戶的現(xiàn)狀，才能有針對的為用戶的應(yīng)用和業(yè)務(wù)提供安全保證。國內(nèi)具有自主知識產(chǎn)權(quán)的安全產(chǎn)品可以隨時根據(jù)用戶的要求對產(chǎn)品進行相應(yīng)的改進，使產(chǎn)品更加適合用戶的實際需要，而不是一般的通用性產(chǎn)品。2、采用可提供本地化服務(wù)的廠家的產(chǎn)品。可以提供本地化服務(wù)產(chǎn)品對用戶的安全至關(guān)重要，可以及時提供應(yīng)急安全響應(yīng)服務(wù)，如在病毒或黑客入侵事件發(fā)生的時候，可以在第一時間進行響應(yīng)，最大程度的保護用戶利益。3、在選擇產(chǎn)品時需要保證符合相應(yīng)的國際、國內(nèi)標準，尤其是國內(nèi)相關(guān)的安全標準。如國內(nèi)的安全等級標準、漏洞標準，安全標準以及國際的CVE、ISO13335、ISO15408、ISO17799等標準。