中國(guó)商飛信息化技術(shù)策劃方案網(wǎng)絡(luò)安全平臺(tái)

18/18中國(guó)商飛公司信息化網(wǎng)絡(luò)安全平臺(tái)技術(shù)方案項(xiàng)目號(hào)文檔編號(hào)工程編號(hào)版本號(hào)1.1保密級(jí)不一般秘密機(jī)密絕密

上海寶信軟件股份有限公司2009年03月

中國(guó)商飛公司信息化網(wǎng)絡(luò)安全平臺(tái)技術(shù)方案編制：編制日期：審核：審核日期：批準(zhǔn)：批準(zhǔn)日期：上海寶信軟件股份有限公司修訂歷史日期作者版本修訂緣故要緊修訂內(nèi)容

目錄TOC\o"1-3"\h\z\u1. 網(wǎng)絡(luò)及安全基礎(chǔ)平臺(tái)介紹 51.1. 網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)概述 51.2. 網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)規(guī)劃目標(biāo)及支撐范圍 52. 技術(shù)方案 62.1. 網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)層次架構(gòu) 62.1.1. 涉密網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)層次架構(gòu)圖 62.1.2. 業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)層次架構(gòu)圖 62.2. 網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)功能 72.2.1. 涉密網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)功能 82.2.2. 業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)功能 93. 建設(shè)打算建議 12網(wǎng)絡(luò)及安全基礎(chǔ)平臺(tái)介紹網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)概述中國(guó)商飛公司網(wǎng)絡(luò)作為設(shè)計(jì)、制造、服務(wù)、治理等應(yīng)用的數(shù)據(jù)流轉(zhuǎn)平臺(tái)，按照地域劃分為公司行政辦公區(qū)、客戶服中心、總裝制造和研發(fā)設(shè)計(jì)中心四個(gè)區(qū)域，其中公司總部在張楊路，設(shè)計(jì)研發(fā)中心在龍華，總裝制造中心在大場(chǎng)而客戶服務(wù)中心則在閔行紫竹，各區(qū)域之間通過(guò)租用運(yùn)營(yíng)商線路的方式實(shí)現(xiàn)高速互聯(lián)，而公司客戶和國(guó)內(nèi)外供應(yīng)商則通過(guò)IPSECVPN、SSLVPN等方式接入，此外各協(xié)作單位通過(guò)專線等方式接入。而在職能上，中國(guó)商飛公司網(wǎng)絡(luò)又劃分為涉密網(wǎng)和業(yè)務(wù)網(wǎng)兩個(gè)物理隔離的網(wǎng)絡(luò)。其中涉密網(wǎng)同上級(jí)主管單位以及保密部門互聯(lián)，要緊用于涉密文件、流程的處理。業(yè)務(wù)網(wǎng)則為集團(tuán)與各成員單位之間在飛機(jī)設(shè)計(jì)、飛機(jī)制造、客戶服務(wù)等各個(gè)環(huán)節(jié)有效的信息傳遞、交換和共享，形成基于數(shù)字化的飛機(jī)研制、生產(chǎn)、服務(wù)治理的業(yè)務(wù)環(huán)境提供服務(wù)，并對(duì)外提供IPSECVPN、SSLVPN等安全的接入方式。四個(gè)區(qū)域中都包含有涉密網(wǎng)以及業(yè)務(wù)網(wǎng)兩部分。網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)規(guī)劃目標(biāo)及支撐范圍參照公安部于2005年公布的《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)差不多要求》，從長(zhǎng)遠(yuǎn)角度動(dòng)身對(duì)中國(guó)商飛公司網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)建設(shè)進(jìn)行規(guī)劃工作，實(shí)現(xiàn)涉密網(wǎng)網(wǎng)絡(luò)安全平臺(tái)建設(shè)達(dá)到信息系統(tǒng)安全等級(jí)愛(ài)護(hù)差不多要求第四級(jí)以及業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全平臺(tái)建設(shè)達(dá)到信息系統(tǒng)安全等級(jí)愛(ài)護(hù)差不多要求第三級(jí)的目標(biāo)，為商飛公司PDM、ERP、MES等數(shù)字化信息系統(tǒng)運(yùn)行提供安全、可靠、高效的基礎(chǔ)支撐環(huán)境。技術(shù)方案網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)層次架構(gòu)涉密網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)層次架構(gòu)圖圖一：涉密網(wǎng)整體網(wǎng)絡(luò)安全層次架構(gòu)圖架構(gòu)圖講明：商飛公司涉密網(wǎng)網(wǎng)絡(luò)安全架構(gòu)層次共劃分為5個(gè)大安全區(qū)域：涉密網(wǎng)、涉密骨干網(wǎng)區(qū)域、屬地涉密辦公網(wǎng)區(qū)、屬地涉密服務(wù)器區(qū)以及涉密網(wǎng)數(shù)據(jù)中心/災(zāi)備區(qū)域，安全級(jí)不依次遞升；涉密網(wǎng)外聯(lián)區(qū)：定位于商飛公司內(nèi)部涉密網(wǎng)與外部的涉密主干網(wǎng)互聯(lián)區(qū)域；涉密骨干網(wǎng)區(qū)域：定位于為各區(qū)域所屬涉密網(wǎng)同其它區(qū)域涉密網(wǎng)互聯(lián)而設(shè)立的區(qū)域；屬地涉密網(wǎng)辦公區(qū)：定位于為各區(qū)域所屬涉密網(wǎng)中的辦公用戶接入而設(shè)立的區(qū)域；屬地涉密網(wǎng)服務(wù)器區(qū)：定位于為各區(qū)域所屬涉密網(wǎng)中內(nèi)部服務(wù)器接入而設(shè)立的區(qū)域；涉密網(wǎng)數(shù)據(jù)中心/災(zāi)備區(qū)域：定位于為商飛公司涉密網(wǎng)核心數(shù)字化信息系統(tǒng)接入而設(shè)立的區(qū)域；業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)層次架構(gòu)圖圖二：業(yè)務(wù)網(wǎng)整體網(wǎng)絡(luò)安全層次架構(gòu)圖架構(gòu)圖講明：商飛公司業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全架構(gòu)層次共劃分為5個(gè)大安全區(qū)域：Internet區(qū)域、業(yè)務(wù)骨干網(wǎng)區(qū)域、屬地業(yè)務(wù)網(wǎng)辦公區(qū)、屬地業(yè)務(wù)網(wǎng)服務(wù)器區(qū)及業(yè)務(wù)網(wǎng)數(shù)據(jù)中心/災(zāi)備區(qū)域，安全級(jí)不依次遞升；Internet區(qū)域：定位于為商飛公司業(yè)務(wù)網(wǎng)提供安全的因特網(wǎng)訪問(wèn)和對(duì)外信息公布接入而設(shè)立的區(qū)域。對(duì)因特網(wǎng)提供服務(wù)的安全系統(tǒng)和應(yīng)用系統(tǒng)均部署在此區(qū)域；業(yè)務(wù)骨干網(wǎng)區(qū)域：定位于為各區(qū)域所屬業(yè)務(wù)網(wǎng)同其它區(qū)域業(yè)務(wù)網(wǎng)以及數(shù)據(jù)中心互聯(lián)而設(shè)立的區(qū)域；屬地業(yè)務(wù)網(wǎng)辦公區(qū)：定位于為各區(qū)域所屬業(yè)務(wù)網(wǎng)中的辦公用戶接入而設(shè)立的區(qū)域；屬地業(yè)務(wù)網(wǎng)服務(wù)器區(qū)：定位于為各區(qū)域所屬業(yè)務(wù)網(wǎng)中內(nèi)部服務(wù)器接入而設(shè)立的區(qū)域；業(yè)務(wù)網(wǎng)數(shù)據(jù)中心/災(zāi)備區(qū)域：定位于為商飛公司業(yè)務(wù)網(wǎng)核心數(shù)字化信息系統(tǒng)接入而設(shè)立的區(qū)域；網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)功能中國(guó)商飛公司網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)分為涉密網(wǎng)以及業(yè)務(wù)網(wǎng)兩套物理隔離的網(wǎng)絡(luò)，每套網(wǎng)絡(luò)都有各自獨(dú)立的結(jié)構(gòu)化綜合布線系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)。兩套網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)的建設(shè)均參照信息系統(tǒng)安全等級(jí)愛(ài)護(hù)差不多要求中的技術(shù)標(biāo)準(zhǔn)進(jìn)行規(guī)劃。涉密網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)功能建議在涉密骨干網(wǎng)出口畫上防火墻，否則邊界上缺少防護(hù)了。建議在涉密骨干網(wǎng)出口畫上防火墻，否則邊界上缺少防護(hù)了。圖三：涉密網(wǎng)網(wǎng)絡(luò)安全拓?fù)浼軜?gòu)圖商飛公司涉密網(wǎng)網(wǎng)絡(luò)及安全基礎(chǔ)平臺(tái)規(guī)劃中采納的架構(gòu)及技術(shù)以信息系統(tǒng)安全等級(jí)愛(ài)護(hù)差不多要求第四級(jí)中的以下指標(biāo)為依據(jù)：結(jié)構(gòu)安全（G4）訪問(wèn)操縱（G4）邊界完整性檢查（G4）入侵防范（G4）惡意代碼防范（G4）網(wǎng)絡(luò)設(shè)備防護(hù)（G4）通訊保密性（S4）數(shù)據(jù)安全及備份恢復(fù)（S4）涉密網(wǎng)網(wǎng)絡(luò)平臺(tái)功能規(guī)劃：商飛公司涉密網(wǎng)按功能劃分為涉密骨干網(wǎng)和屬地涉密網(wǎng)兩部分。核心層高性能路由器部署在涉密骨干網(wǎng)中，所有屬地涉密網(wǎng)以及涉密網(wǎng)數(shù)據(jù)中心/災(zāi)備中心均通過(guò)雙路上聯(lián)至骨干網(wǎng)路由器上，再轉(zhuǎn)而接入至涉密網(wǎng)中。每個(gè)屬地涉密網(wǎng)由辦公網(wǎng)以及服務(wù)器區(qū)兩部分組成，其中辦公網(wǎng)用于用戶的接入而服務(wù)器區(qū)域則為屬地內(nèi)部服務(wù)器提供接入，屬地涉密網(wǎng)采納千兆主干、百兆至桌面的網(wǎng)絡(luò)架構(gòu)，不同安全區(qū)域間通過(guò)防火墻進(jìn)行邏輯隔離，通訊鏈接間采納專用設(shè)備進(jìn)行鏈路加密，此外網(wǎng)絡(luò)中的核心節(jié)點(diǎn)以及鏈路均考慮到了冗余設(shè)計(jì)。商飛涉密網(wǎng)規(guī)劃建立主、備兩個(gè)數(shù)據(jù)中心，兩個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)保持一致，采納核心、接入兩層架構(gòu)，網(wǎng)絡(luò)核心以及接入設(shè)備均采納千兆架構(gòu)以滿足高速、大量的數(shù)據(jù)傳輸要求，兩個(gè)網(wǎng)絡(luò)中心間通過(guò)專線實(shí)現(xiàn)互備，并部署專門的線路僅供兩個(gè)中心間備份數(shù)據(jù)傳輸使用，保障數(shù)據(jù)備份的可用性、可靠性。此外，網(wǎng)絡(luò)中的核心節(jié)點(diǎn)以及鏈路均考慮到了冗余設(shè)計(jì)。涉密網(wǎng)安全平臺(tái)功能規(guī)劃：涉密骨干網(wǎng)：使用專門的鏈路加密設(shè)備對(duì)涉密骨干網(wǎng)同屬地涉密網(wǎng)以及涉密主干網(wǎng)互聯(lián)的線路進(jìn)行加密，保障重要數(shù)據(jù)在涉密網(wǎng)中流轉(zhuǎn)時(shí)的機(jī)密性以及可靠性要求。在涉密骨干網(wǎng)中部署入侵防護(hù)設(shè)備，該設(shè)備具有實(shí)時(shí)檢測(cè)和攔截多種攻擊特征的實(shí)時(shí)入侵防范功能，能夠?qū)﹃P(guān)鍵信息資源進(jìn)行完全愛(ài)護(hù)，保障商飛涉密網(wǎng)的安全。通過(guò)流量監(jiān)控設(shè)備，分析涉密網(wǎng)流量及其使用的網(wǎng)絡(luò)協(xié)議，為確定網(wǎng)絡(luò)使用狀況及帶寬使用率等提供準(zhǔn)確的資料。屬地涉密網(wǎng)：在屬地涉密網(wǎng)出口部署防火墻設(shè)備，通過(guò)防火墻將涉密辦公網(wǎng)、涉密服務(wù)器區(qū)域、涉密骨干網(wǎng)以及其它屬地涉密網(wǎng)進(jìn)行邏輯隔離以及訪問(wèn)操縱。在屬地涉密網(wǎng)中部署屬地防病毒系統(tǒng)，對(duì)屬地辦公網(wǎng)和服務(wù)器區(qū)終端防病毒客戶端進(jìn)行統(tǒng)一治理，實(shí)現(xiàn)立體全方位的病毒防護(hù)體系。在屬地涉密網(wǎng)辦公區(qū)中部署終端安全準(zhǔn)入操縱系統(tǒng)，通過(guò)終端接入健康檢測(cè)、IP地址治理、資產(chǎn)信息治理、進(jìn)程監(jiān)控、組織機(jī)構(gòu)治理、外設(shè)與端口監(jiān)控、非法外聯(lián)監(jiān)控、軟硬件變更監(jiān)控等操縱措施，確保涉密辦公網(wǎng)的終端接入安全要求。通過(guò)在商飛涉密網(wǎng)中部署網(wǎng)絡(luò)治理系統(tǒng)，實(shí)現(xiàn)對(duì)涉密網(wǎng)絡(luò)系統(tǒng)的拓?fù)浒l(fā)覺(jué)、故障報(bào)警、Log信息收集等功能。涉密網(wǎng)數(shù)據(jù)中心/災(zāi)備中心：在數(shù)據(jù)中心網(wǎng)出口部署高性能防火墻設(shè)備，通過(guò)防火墻將數(shù)據(jù)中心、涉密骨干網(wǎng)以及其它接入?yún)^(qū)域進(jìn)行邏輯隔離以及訪問(wèn)操縱。在主、備兩個(gè)數(shù)據(jù)中心間部署專門的通訊線路，為數(shù)據(jù)中心間備份數(shù)據(jù)同步提供高速、可靠的承載平臺(tái)。業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)功能協(xié)作單位接入骨干網(wǎng)應(yīng)應(yīng)該考慮骨干網(wǎng)一側(cè)的操縱。建議畫上防火墻，對(duì)端畫不畫到不要緊。協(xié)作單位接入骨干網(wǎng)應(yīng)應(yīng)該考慮骨干網(wǎng)一側(cè)的操縱。建議畫上防火墻，對(duì)端畫不畫到不要緊。圖四：業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)安全拓?fù)浼軜?gòu)圖商飛公司業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)及安全基礎(chǔ)平臺(tái)規(guī)劃中采納的架構(gòu)及技術(shù)以信息系統(tǒng)安全等級(jí)愛(ài)護(hù)差不多要求第三級(jí)中的以下指標(biāo)為依據(jù)：結(jié)構(gòu)安全（G3）訪問(wèn)操縱（G3）安全審計(jì)（G3）邊界完整性檢查（S3）入侵防范（G3）惡意代碼防范（G3）網(wǎng)絡(luò)設(shè)備防護(hù)（G3）通訊保密性（S3）數(shù)據(jù)安全及備份恢復(fù)（S3）業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)平臺(tái)功能規(guī)劃：商飛公司業(yè)務(wù)網(wǎng)按功能劃分為Internet出口、業(yè)務(wù)骨干網(wǎng)、屬地業(yè)務(wù)網(wǎng)以及業(yè)務(wù)網(wǎng)數(shù)據(jù)中心。核心層高性能路由器部署在業(yè)務(wù)骨干網(wǎng)中，所有屬地業(yè)務(wù)網(wǎng)以及數(shù)據(jù)中心/災(zāi)備數(shù)據(jù)中心均通過(guò)雙路上聯(lián)至骨干網(wǎng)路由器上，從而實(shí)現(xiàn)商飛業(yè)務(wù)網(wǎng)的互聯(lián)。所有需要訪問(wèn)Internet的業(yè)務(wù)網(wǎng)用戶通過(guò)統(tǒng)一的Internet出口實(shí)現(xiàn)訪問(wèn)需求，需要對(duì)外提供服務(wù)的各應(yīng)用以及安全系統(tǒng)均部署在Internet區(qū)域中。公司客戶、國(guó)內(nèi)外供應(yīng)商、駐外辦事處以及移動(dòng)辦公用戶可通過(guò)Internet區(qū)域設(shè)置的IPSECVPN、SSLVPN訪問(wèn)到業(yè)務(wù)網(wǎng)中所必需的資源，而各協(xié)作單位則采納專線方式直接接入到業(yè)務(wù)骨干網(wǎng)中。每個(gè)屬地業(yè)務(wù)網(wǎng)由辦公網(wǎng)以及服務(wù)器區(qū)兩部分組成，其中辦公網(wǎng)用于用戶的接入而服務(wù)器區(qū)域則為屬地內(nèi)部服務(wù)器提供接入，屬地業(yè)務(wù)網(wǎng)采納千兆主干、百兆至桌面的網(wǎng)絡(luò)架構(gòu)，不同安全區(qū)域間通過(guò)防火墻進(jìn)行邏輯隔離，通訊鏈接間采納專用設(shè)備進(jìn)行鏈路加密，此外網(wǎng)絡(luò)中的核心節(jié)點(diǎn)以及鏈路均考慮到了冗余設(shè)計(jì)。商飛業(yè)務(wù)網(wǎng)規(guī)劃建立主、備兩個(gè)數(shù)據(jù)中心，兩個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)保持一致，采納核心、接入兩層架構(gòu)，網(wǎng)絡(luò)核心以及接入設(shè)備均采納千兆架構(gòu)以滿足高速、大量的數(shù)據(jù)傳輸要求，兩個(gè)網(wǎng)絡(luò)中心間通過(guò)專線實(shí)現(xiàn)互備，并部署專門的線路僅供兩個(gè)中心間備份數(shù)據(jù)傳輸使用，保障數(shù)據(jù)備份的可用性、可靠性。此外，網(wǎng)絡(luò)中的核心節(jié)點(diǎn)以及鏈路均考慮到了冗余設(shè)計(jì)。業(yè)務(wù)網(wǎng)安全平臺(tái)功能規(guī)劃：Internet區(qū)域：在Internet區(qū)域部署多條不同ISP提供的Internet線路，并通過(guò)專門的鏈路負(fù)載均衡設(shè)備實(shí)現(xiàn)Internet線路的負(fù)載均衡以及冗余備份。通過(guò)防火墻設(shè)備操縱來(lái)自外部接入網(wǎng)的連接請(qǐng)求，同時(shí)屏蔽內(nèi)部對(duì)企業(yè)關(guān)鍵資產(chǎn)及敏感信息的非法訪問(wèn)，并為國(guó)內(nèi)外供應(yīng)商以及駐外辦事處提供IPSECVPN接入。在Internet區(qū)域中部署入侵防護(hù)設(shè)備，該設(shè)備具有實(shí)時(shí)檢測(cè)和攔截多種攻擊特征的實(shí)時(shí)入侵防范功能，能夠?qū)﹃P(guān)鍵任務(wù)資源進(jìn)行完全愛(ài)護(hù)，從而保障商飛業(yè)務(wù)網(wǎng)的安全。針對(duì)不同用戶、應(yīng)用關(guān)于Internet帶寬使用的不同要求，通過(guò)專門的帶寬治理設(shè)備來(lái)實(shí)現(xiàn)Internet帶寬分區(qū)、分類網(wǎng)絡(luò)流量、基于應(yīng)用級(jí)不的帶寬分配需求，進(jìn)一步保障關(guān)鍵應(yīng)用的可用性。通過(guò)專門的SSLVPN產(chǎn)品并結(jié)合雙因素身份認(rèn)證的方式，為公司客戶以及移動(dòng)辦公人員在Internet環(huán)境下訪問(wèn)業(yè)務(wù)網(wǎng)中重要應(yīng)用資源提供安全的通道。通過(guò)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)以及流量監(jiān)控設(shè)備，對(duì)業(yè)務(wù)網(wǎng)用戶的上網(wǎng)行為進(jìn)行實(shí)時(shí)監(jiān)控，并記錄保存相關(guān)日志。同時(shí)分析上網(wǎng)流量及其使用的網(wǎng)絡(luò)協(xié)議，為確定網(wǎng)絡(luò)使用狀況及帶寬使用率等提供準(zhǔn)確的資料。通過(guò)Web反向代理設(shè)備，規(guī)避了外部Web服務(wù)器以及應(yīng)用直接暴露在外部用戶前而可能存在的安全隱患。業(yè)務(wù)骨干網(wǎng)：使用專門的鏈路加密設(shè)備對(duì)業(yè)務(wù)骨干網(wǎng)同屬地業(yè)務(wù)網(wǎng)以及業(yè)務(wù)網(wǎng)數(shù)據(jù)中心互聯(lián)的線路進(jìn)行加密，保障重要數(shù)據(jù)在業(yè)務(wù)網(wǎng)中流轉(zhuǎn)時(shí)的機(jī)密性以及可靠性要求。通過(guò)部署網(wǎng)絡(luò)治理系統(tǒng)的方式，對(duì)業(yè)務(wù)主干網(wǎng)絡(luò)系統(tǒng)的拓?fù)浒l(fā)覺(jué)、故障報(bào)警、Log信息收集等功能。屬地業(yè)務(wù)網(wǎng)：在屬地業(yè)務(wù)網(wǎng)出口部署高性能防火墻設(shè)備，通過(guò)防火墻將屬地辦公網(wǎng)、屬地服務(wù)器區(qū)域、業(yè)務(wù)骨干網(wǎng)以及其它屬地業(yè)務(wù)網(wǎng)進(jìn)行邏輯隔離以及訪問(wèn)操縱。在屬地業(yè)務(wù)網(wǎng)中部署屬地防病毒系統(tǒng)，對(duì)屬地辦公網(wǎng)和服務(wù)器區(qū)終端防病毒客戶端進(jìn)行統(tǒng)一治理，實(shí)現(xiàn)立體全方位的病毒防護(hù)體系。在屬地辦公網(wǎng)中部署終端安全準(zhǔn)入操縱系統(tǒng)，通過(guò)終端接入健康檢測(cè)、IP地址治理、資產(chǎn)信息治理、進(jìn)程監(jiān)控、組織機(jī)構(gòu)治理、外設(shè)與端口監(jiān)控、非法外聯(lián)監(jiān)控、軟硬件變更監(jiān)控等操縱措施，確保屬地辦公網(wǎng)的終端接入安全要求。商飛數(shù)據(jù)中心（主、備）：在數(shù)據(jù)中心網(wǎng)出口部署高性能防火墻設(shè)備，通過(guò)防火墻將數(shù)據(jù)中心、業(yè)務(wù)骨干網(wǎng)以及其它接入?yún)^(qū)域進(jìn)行邏輯隔離以及訪問(wèn)操縱。在主、備兩個(gè)數(shù)據(jù)中心間部署專門的通訊線路，為數(shù)據(jù)中心間數(shù)據(jù)同步提供高速、可靠的承載平臺(tái)。涉密網(wǎng)與業(yè)務(wù)網(wǎng)關(guān)系講明商飛公司網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)依照職能劃分為涉密網(wǎng)與業(yè)務(wù)網(wǎng)兩套物理隔離的網(wǎng)絡(luò)，每套網(wǎng)絡(luò)都具有獨(dú)立的結(jié)構(gòu)化綜合布線系統(tǒng)以及網(wǎng)絡(luò)安全系統(tǒng)，但從兩套網(wǎng)絡(luò)設(shè)備部署的物理位置上來(lái)講，各屬地以及數(shù)據(jù)中心下的涉密網(wǎng)、業(yè)務(wù)網(wǎng)相關(guān)設(shè)備都部署在臨近的地理位置內(nèi)。依照信息安全等級(jí)愛(ài)護(hù)差不多要求，由于涉密網(wǎng)、業(yè)務(wù)網(wǎng)兩套網(wǎng)絡(luò)的安全等級(jí)有差異（涉密網(wǎng)為第四集，業(yè)務(wù)網(wǎng)為第三級(jí)），兩個(gè)網(wǎng)絡(luò)間不同意在沒(méi)有任何防護(hù)措施的情況下進(jìn)行數(shù)據(jù)交互，必要時(shí)需要采納手工的方式進(jìn)行數(shù)據(jù)的流轉(zhuǎn)。但若業(yè)務(wù)網(wǎng)同涉密網(wǎng)間數(shù)據(jù)傳輸要求較高，采納手工的方式效率過(guò)低，阻礙到了公司業(yè)務(wù)的正常流轉(zhuǎn)，則能夠在業(yè)務(wù)網(wǎng)與涉密網(wǎng)間通過(guò)建立安全愛(ài)護(hù)等級(jí)均滿足第四級(jí)要求的通訊接口作為兩網(wǎng)間數(shù)據(jù)傳遞的安全通道，以下為兩網(wǎng)間數(shù)據(jù)傳輸安全通道的建立方式。圖五：業(yè)務(wù)網(wǎng)、涉密網(wǎng)數(shù)據(jù)傳遞安全通道架構(gòu)在業(yè)務(wù)網(wǎng)與涉密網(wǎng)內(nèi)各部署一臺(tái)專門用于網(wǎng)間數(shù)據(jù)流轉(zhuǎn)的專用前置機(jī)，兩個(gè)前置機(jī)間通過(guò)隔離網(wǎng)閘實(shí)現(xiàn)數(shù)據(jù)傳遞安全通道的建立，并僅在必要時(shí)開(kāi)通。建設(shè)打算建議網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)建設(shè)內(nèi)容：完