安全隔离建议方案(2).doc

安全隔离建议方案(2)南京奥体中心网络安全隔离投标方案目录1 南京奥体中心网络安全隔离需求分析 南京奥体中心内部网网络现状 南京奥体中心网络的安全风险分析 建立统一安全隔离数据交换安全原则 42 南京奥体中心网络网络安全隔离解决方案 南京奥体中心网络内网安全隔离与信息交换设计 安全隔离与信息交换平台实施方案 近期建议解决方案拓扑图 解决方案产品选型 73 隔离网闸产品方案设计 隔离网闸产品概述 产品内部架构 产品特点 产品功能 系统可靠性 系统可用性 安全功能 系统管理 应用支持 伟思ViGap系统性能参数 144 实施方案 实施计划 具体实施步骤 155 验收方案 设备交货验收 现场移交验收 试运转验收测试 166 系统支持与服务方案 售后服务 培训计划 17南京奥体中心网络安全隔离需求分析南京奥体中心内部网网络现状南京奥林匹克奥体中心(以下简称奥体中心)网络系统存在2个不同信任级别的网络(数据中心和场馆网),且相互之间物理隔离,随着网上商城和对外发布网站等业务平台的建立、应用和不断扩展,由于存在内外局域网且两个网络之间目前是物理隔离的状态;为保障业务平台的稳定性、连续性和安全性,同时由于数据交换的需要,内部网络将不再和互联网之间进行纯物理隔离,这时将引入较大的安全隐患。另外随着业务平台的不断发展,也将面临各种安全问题,例如蠕虫病毒爆发、ARP欺骗、黑客攻击等等。我们将采用一个层次化的、多样性的安全措施来保障业务平台的安全。南京奥体中心网络的安全风险分析从南京奥体中心的安全风险分析中,我们可以看出,主要的安全风险在于:奥数据中心内外网之间的数据交换,必然带来一定的安全风险,原来在外部网上传播的病毒可能因为数据交换而感染到内部数据中心网服务器群;原来利用互连网发动攻击的黑客、下级场馆的人员疏忽、恶意试探也可能利用外部办公网络的数据交换的连接尝试攻击本单位数据中心网,可以影响到本单位数据中心网系统内部大量的重要数据正常运行,所以安全问题变得越来越复杂和突出。综合分析网络的攻击的手段,南京奥体中心网络内外部网络的数据交换可能面临的安全风险包括:问题类型问题问题描述协议设计安全问题被忽视制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。其它基础协议问题架构在其他不稳固基础协议之上的协议,即使本身再完善也会有很多问题。流程问题设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。设计错误协议设计错误,导致系统服务容易失效或招受攻击。软件设计设计错误协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。程序错误程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。人员操作操作失误操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。网络通讯信息泄密由于未采用加密手段导致通讯内容被侦听,或用户名/口令在网上明文传输,导致窃取用户身份登录。系统维护默认值不安全软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下,如匿名登录、访问权限不当等。容易遭受病毒、蠕虫、特洛依木马等的攻击。未修补系统软件和操作系统的各种补丁程序没有及时修复。内部安全问题对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。建立统一安全隔离数据交换安全原则根据对以上安全风险的归纳,南京奥体中心数据中心网和外网之间数据交换最大的特点是复杂程度高,信息点多,安全威胁来自从物理层到应用层多个方面。本方案在制定安全系统设计时所采用的基本策略为:主要以安全隔离信息交换技术和数据摆渡技术为主体,构造一个具有最高安全强度的、在较长一段时期内可以防御绝大部分已知和未知的网络攻击手段的、并可以满足用户多种网络应用信息安全交换的网络安全隔离系统平台。南京奥体中心网络内外网信息交换的安全原则和要求体现在如下几个方面:1、建立统一的安全隔离交换平台,内部南京奥体中心数据中心网络应用服务器通过统一出口实现与外部主机、网络间的可信信息交换,统一管理,执行统一的安全策略,实现内部网信息和外部应用网数据交换的高度可控性。2、隔离平台必须提供完整的安全审计功能,能够详细记录、快速查询内外网间的访问行为及安全事件,数据传输