外网安全改造技术方案.PPT

谢 谢 外网安全建设 技术方案 技术基础部 信息化推进中心 提纲 需求分析 风险分析 设计目标 技术方案 应用场景 清单报价 一、需求分析—应用状态和特点 十四所外网应用系统进展： 特点：1.由单一应用向多应用发展 2.是十四所科研管理重要的环节 2003年 2008年 2009年 信息中心 接入10M网通 解决本室上外网需求 新区搬家 接入100M电信线路 解决整个园区上外网需求 M 正式启用 从单一解决内部上网，到第一个应用系统上线 上网终端70个 搭建了第一个 应用系统 邮件系统上线 上网终端3个 www主页系统上线 HR人才系统上线 SRM系统上线 ERP系统上线 保密检查系统上线 虚拟化APP应用上线 MES系统上线 2012年至今 至今 2012年之后，基于互联网的应用成井喷模式增长，随着关键业务MES系统的上线，14所外网也越发的重要。 序号 业务系统 服务类型 重要程度 区域 1 MES系统 生产 高（5） A类 2 SRM应用 生产 高（4） A类 3 APP应用 生产 高（3） B类 4 ERP应用 生产 高（3） B类 5 保密检查系统 管理 中（2） C类 6 Mail 管理 中（2） C类 7 HR 管理 中（2） C类 8 www 公共服务 低（1） C类 一、需求分析—系统重要性分析 根据业务系统的重要性，划分区域 外部系统具体情况如下： MES系统：外协厂家B2B应用，外协生产制造供应链应用，大约800用户； 集团ERP部分：中国电科基于互联网的财务系统接入； 下属子公司部分：下属国睿集团分公司及控股公司等； 公共网部：WWW主页、Mail系统、HR系统等； 一、需求分析—系统重要性分析 外网重要系统 MES系统 工作流 PPT模板下载：/moban/ 行业PPT模板：/hangye/ 节日PPT模板：/jieri/ PPT素材下载：/sucai/ PPT背景图片：/beijing/ PPT图表下载：/tubiao/ 优秀PPT下载：/xiazai/ PPT教程： /powerpoint/ Word教程： /word/ Excel教程：/excel/ 资料下载：/ziliao/ PPT课件下载：/kejian/ 范文下载：/fanwen/ 试卷下载：/shiti/ 教案下载：/jiaoan/ 现有拓扑图 一、需求分析—现有防护手段 内部管控区域，具体情况如下： 集中上网部分（网吧）：大约20台左右互联网集中上网计算机； 单个终端上网部分：79台上网终端，分散在本所园区各个楼宇内； 管理网部分：交换机10台+管理计算机1台； ERP服务区：中国电科，包含两台物理服务器，提供ERP服务； 普通应用服务部分：针对广域网用户提供的服务，比如WWW，Mail等； 安全管理服务部分：部署终端审计、保密检查系统、身份识别、网络防病毒； 核心重要服务部分：外协MES系统，SRM系统等。 目前主要安全设备包括防火墙一台、VPN一台、IPS一台、防毒墙一台、身份认证刷卡系统一套，交换机若干。 一、所内现状—现有情况 需求分析 风险分析 设计目标 技术方案 应用场景 清单报价 电力、制冷等 单链路故障、非法访问、病毒木马、DDOS等 代码漏洞、逻辑错误等 SQL注入、XSS攻击、网页篡改、CC攻击等 误操作误删除、逻辑错误等 管理制度、授权等 要素 物理安全 网络安全 开发安全 应用安全 数据安全 安全运营 风险类型 已经建设到位 1 存在链路单点故障，无有效身份识别手段，对病毒木马防护能力不足，分布式攻击防护不足 2 缺少系统漏洞防御手段 3 缺少应用层防护手段 4 备份恢复手段缺失 5 完善现有管理制度 6 存在问题 序号 二、风险分析—问题要素 根据等保安全防护要求，提炼问题要素 需求分析 风险分析 设计目标 技术方案 应用场景 清单报价 设计目标 能够发现和抵御内外部的黑客攻击行为 MTBF ：30天 （MTBF 平均无故障时间大于30天） MTTR： 10分钟 （MTTR 平均修复时间小于10分钟） 提高数据可靠性 RPO ： 1小时 （故障恢复点小于1小时 ） 增强整个网络可靠性 关键设备及链路的冗余，加强整个网络高可用性，高可靠性。 四、设计目标-目标 主要参考标准 参照公安部等级保护三级的防护要求 四、设计目标-参考标准 第三级安全防护建设内容 通道安全 用于建立加密隧道的设备 移动终端接入的设备 部署在边