網絡安全設施成功實施路徑

單位局域網系統建于2000年，屬組網靈活的星型交換網結構，自建成至現在已經多年。聯網使用終端399臺左右，覆蓋到了總部機關部室、專業室和部分生產車間作業現場，公司網絡技術已整體遷移為可控、可在線檢測和故障診斷和可網管的網絡。

隨著網絡終端計算機的不斷增加以及局域子網的拓展，網絡應用的不斷深入、拓廣，單位運轉對網絡的依賴度越來越高，對網絡的安全穩定運行提出了更高要求，而計算機網絡的安全是多層次立體攻防系統工程，其安全的實效性取決于安全這個“木桶”中的“短板”。這些網絡安全的“短板”包括諸如物理安全威脅（自然災害、電磁輻射、操作失誤和意外產生的系統掉電、系統崩潰）、操作系統的安全缺陷、網絡協議的安全缺陷、應用軟件的實現缺陷、用戶使用的缺陷和惡意程序(防病毒、木馬和惡意代碼）等六個方面的安全威脅。單位網絡系統在安全方面橫比較強，縱比也在提高，但離網絡安全的完整性和有效性還有一段距離。目前，總部網絡安全方面主要作了防毒、應用級口令和權限控制、部分網絡蠕蟲隔離、非法接入控制、網絡控制監測以及行政制度強制管理等，網絡安全運行效果明顯，但其中網關防毒、入侵檢測和防御、上網內容取證相對薄弱或不具備，靠手工排查手段耗時耗力，及時性和精準性難予保證，為逐步完善計算機網絡信息安全體系，保障網絡長周期安全運行，當前有必要對下列安全及相關需求予以分析實現：

1.由于實現網關防毒和入侵防御，將設備接在主出口通道可實現，因此其穩定性和包處理能力是關鍵。

2.IP與MAC綁定設計

除單位原系統各部及1#樓網絡終端計算機IP與MAC的已綁定外，其余未實現綁定，可通過UTM或安全審計技術設備實現對2#樓及相關單位的PC的IP與MAC綁定。對臨時使用或外來的PC可采取臨時帳戶管理的方式進行有效管理。

3.通過安全審計設備實現對病毒和入侵的有效過濾和管理。

4.單位內部的上網行為可進行有效控制，同時針對上網以及外部攻擊進行有效記錄和審計，針對設定的敏感信息進行報警提示。

5.網絡影響較大的BT下載，可通過集團UTM或本地安全審計設備系統的應用，采取禁止或限制流量的方法實現有效管理。

6.內部PC出口寬帶可根據用戶需求設置各IP的網絡出口帶寬以有效管理。

7.機房教學輔助管理可采用多媒體電子教室軟件，實現教員機對學員機的廣播、監控、語音教學等操作，輔助員完成電腦及業務軟件的學習和操作使用。

網絡系統安全技術路線及其方案

網絡安全系統技術路線：

根據目前及今后一段時期網絡安全設備技術本身發展情況和趨勢，減少網絡安全成本和代價，減輕為網絡安全產生的維護量，走網絡全方位集成安全智能化技術路線，管理手段和技術手段并重，逐步增強網絡安全系統本身的可控性和有效性，為單位業務的生產經營及其信息化應用提供良好的網絡安全支撐平臺和服務。

1.網絡安全設備系統選擇要求

網絡安全設備系統選擇要求：

性能上至少滿足500內網終端快捷安全透明訪問任何可上網站；主流病毒的網關防護；防火墻功能；入侵檢測和防御；預留VPN和虛擬主機功能；2#樓增量終端IP與MAC綁定認證；詳實分類日志記錄審計和內容過濾；移動監測機網絡可疑事件預警；應用及流量控制等。另外，須具國家相關安全機構認證許可書；

根據統一威脅檢測防御和網絡安全審計技術目前發展狀況，單位試用了多種品牌的安全設備和軟件。結合市場調研和近一月的試用情況，綜合有關安全設備功能性能表現，及其發展服務、價格、目前需求滿足度等因素，擬確定兩種組合方案 備 選：FORTIGATE400A+FORTIANALYZER 100B和網御1000+安全審計軟件。

2.網絡安全設備系統拓樸結構示意圖

本次擬配置實施的UTM/AMM安全網關系統置于集團三層交換與單位主交換系統之間，對進出總公司的數據流進行自動安全檢測和報警，在病毒攻擊影響內網的第一時間段定位發現和防御阻止非法操作及其惡果的產生。安裝連接示意圖如圖1。

圖1 單位安全網關系統拓樸圖

網絡工程量

本次網絡安全設備系統工程量內容:現有網絡安全系統設備運行狀況的調查分析、網絡安全新技術和產品的市場調查和咨詢、試用、網絡安全系統方案的設計和編制、設備系統招標或議標采購、現場協調安裝和調試、安全數據采集和配置、后續安全特征代碼及軟件版本的升級服務，以及驗收等工作。

工程目標或效果

通過本次網絡安全系統的配置和設置，利用網絡安全新技術和產品，提升單位網絡系統整體安全性能，使網絡的安全運用有檢測手段和保障，網絡管理考核有章有據，網絡使用可靠和穩定。本次配置至少滿足六年的網絡安全應用需求。最終確保網絡服務和應用完整、可用，網絡使用放心可靠，并逐步追求無損計算機網絡信息的秘密性。經多年運行實證，達到了預期目的。