深信服等級(jí)保護(hù)(三級(jí))建設(shè)方案可編輯

等級(jí)保護(hù)（三級(jí)）方案深信服科技朔州市交警隊(duì)等級(jí)保護(hù)（三級(jí)）建設(shè)方案深信服科技（深圳）有限公司TIME\@"yyyy'年'M'月'"2016年7月

目錄1 項(xiàng)目概述 系統(tǒng)集成設(shè)計(jì)軟硬件產(chǎn)品部署圖系統(tǒng)改造前拓?fù)鋱D如下：本次系統(tǒng)改造新增軟硬件產(chǎn)品后的拓?fù)鋱D如下：安全產(chǎn)品部署說(shuō)明外網(wǎng)設(shè)備部署產(chǎn)品數(shù)量部署位置部署作用網(wǎng)絡(luò)審計(jì)系統(tǒng)2臺(tái)外網(wǎng)出口（雙機(jī)）審計(jì)內(nèi)網(wǎng)用戶上網(wǎng)行為，可供公安部82號(hào)令要求封堵與辦公無(wú)關(guān)應(yīng)用，提高員工辦公效率管理內(nèi)部網(wǎng)絡(luò)帶寬，合理分配流量，保障核心業(yè)務(wù)流量下一代防火墻2臺(tái)外網(wǎng)出口（雙機(jī)）保護(hù)安全管理區(qū)設(shè)備的安全對(duì)業(yè)務(wù)網(wǎng)進(jìn)行獨(dú)立防護(hù)，進(jìn)行訪問(wèn)控制、攻擊防御入侵檢測(cè)1臺(tái)核心交換機(jī)旁掛對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)WAF1臺(tái)WEB服務(wù)器前端WEB應(yīng)用防護(hù)，防止web業(yè)務(wù)被破壞、篡改對(duì)傳輸數(shù)據(jù)進(jìn)行內(nèi)容檢測(cè)，保障數(shù)據(jù)安全，防泄密防火墻1臺(tái)連接看守所出口網(wǎng)處做安全隔離，隔離看守所與內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制、攻擊防御隔離安全網(wǎng)關(guān)1臺(tái)辦公網(wǎng)與專網(wǎng)交界處隔離辦公網(wǎng)與專網(wǎng)負(fù)載均衡1臺(tái)服務(wù)器前端服務(wù)器負(fù)載服務(wù)健康檢查服務(wù)器虛擬化1套做2臺(tái)服務(wù)器虛擬化將服務(wù)器虛擬化后，可備份數(shù)據(jù)可將服務(wù)器資源最大化利用SSLVPN一臺(tái)核心交換機(jī)旁掛移動(dòng)辦公安全接入內(nèi)網(wǎng)設(shè)備下一代防火墻2臺(tái)內(nèi)網(wǎng)出口（雙機(jī)）保護(hù)安全管理區(qū)設(shè)備的安全對(duì)業(yè)務(wù)網(wǎng)進(jìn)行獨(dú)立防護(hù)，進(jìn)行訪問(wèn)控制、攻擊防御入侵檢測(cè)系統(tǒng)1臺(tái)旁掛內(nèi)網(wǎng)核心交換機(jī)處對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、等信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)集中管理設(shè)備1臺(tái)旁掛內(nèi)網(wǎng)核心交換機(jī)處統(tǒng)一管理內(nèi)網(wǎng)安全設(shè)備，可實(shí)時(shí)監(jiān)控入侵防御系統(tǒng)2臺(tái)內(nèi)網(wǎng)服務(wù)器前端實(shí)時(shí)監(jiān)控并阻斷針對(duì)數(shù)據(jù)中心核心HIS業(yè)務(wù)服務(wù)器的入侵行為邊界集中進(jìn)行病毒過(guò)濾，防止病毒侵入擴(kuò)散，與網(wǎng)絡(luò)防病毒組成多層次深度防御。負(fù)載均衡1臺(tái)內(nèi)網(wǎng)服務(wù)器前端服務(wù)器負(fù)載服務(wù)健康檢查防火墻1臺(tái)3G內(nèi)外網(wǎng)隔離出做安全隔離，隔離看3G網(wǎng)絡(luò)與執(zhí)行查控服務(wù)器進(jìn)行訪問(wèn)控制、攻擊防御服務(wù)器虛擬化1套做3臺(tái)服務(wù)器虛擬化將服務(wù)器虛擬化后，可備份數(shù)據(jù)可將服務(wù)器資源最大化利用堡壘機(jī)1臺(tái)旁掛內(nèi)網(wǎng)服務(wù)器前段交換機(jī)上管理網(wǎng)絡(luò)中得所有安全設(shè)備數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)旁掛內(nèi)網(wǎng)服務(wù)器前段交換機(jī)上審計(jì)服務(wù)器里的數(shù)據(jù)庫(kù)，以便責(zé)任做到追溯到人等級(jí)保護(hù)（三級(jí)）方案模板深信服科技9.3產(chǎn)品選型選型建議根據(jù)國(guó)家有關(guān)法律法規(guī)，并結(jié)合朔州市交警隊(duì)通信網(wǎng)絡(luò)的實(shí)際要求。我們建議使用具有國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)的產(chǎn)品，并且要完全符合朔州市交警隊(duì)提出的產(chǎn)品資質(zhì)要求：所有產(chǎn)品是經(jīng)公安部、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心等國(guó)家權(quán)威測(cè)試通過(guò)，并獲得安全產(chǎn)品銷售許可證，是在國(guó)內(nèi)政府機(jī)關(guān)、銀行、部隊(duì)、醫(yī)療衛(wèi)生等系統(tǒng)采用較多，運(yùn)行穩(wěn)定的國(guó)產(chǎn)防火墻、上網(wǎng)行為管理、SSLVPN等安全產(chǎn)品，在功能、性能與管理性等方面能夠滿足朔州市交警隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的需求。選型要求1、在產(chǎn)品選型時(shí)，需要廠家可以提供個(gè)性化的安全產(chǎn)品。只有這樣才能保證系統(tǒng)的安全充分滿足客戶的現(xiàn)狀，才能有針對(duì)的為用戶的應(yīng)用和業(yè)務(wù)提供安全保證。國(guó)內(nèi)具有自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品可以隨時(shí)根據(jù)用戶的要求對(duì)產(chǎn)品進(jìn)行相應(yīng)的改進(jìn)，使產(chǎn)品更加適合用戶的實(shí)際需要，而不是一般的通用性產(chǎn)品。2、采用可提供本地化服務(wù)的廠家的產(chǎn)品。可以提供本地化服務(wù)產(chǎn)品對(duì)用戶的安全至關(guān)重要，可以及時(shí)提供應(yīng)急安全響應(yīng)服務(wù)，如在病毒或黑客入侵事件發(fā)生的時(shí)候，可以在第一時(shí)間進(jìn)行響應(yīng)，最大程度的保護(hù)用戶利益。3、在選擇產(chǎn)品時(shí)需要保證符合相應(yīng)的國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)，尤其是國(guó)內(nèi)相關(guān)的安全標(biāo)準(zhǔn)。如國(guó)內(nèi)的安全等級(jí)標(biāo)準(zhǔn)、漏洞標(biāo)準(zhǔn)，安全標(biāo)準(zhǔn)以及國(guó)際的CVE、ISO13335、ISO15408、ISO17799等標(biāo)準(zhǔn)。