网络安全架构设计和网络 安全设备的部署
合理分域，准确定级
• 信息系统等级保护以系统所处理信息的最高重要程度来确定
安全等级 • 在合理划分安全域边界安全可控的情况下，各安全域可根据 信息的最高重要程度单独定级，实施“分域分级防护”的策略， 从而降低系统建设成本和管理风险 • 信息系统安全域之间的边界应划分明确，安全域与安全域之 间的所有数据通信都应安全可控 • 对于不同等级的安全域间通信，应实施有效的访问控制策略 和机制，控制高密级信息由高等级安全域流向低等级安全域。
监听
交换机7
信息发布门户
安全防护体系
入侵防御3 业务审计组4
等保二级域
企业服务上报 数据服务器 监听
融合数据中 心Web应用 应用服务器
预警响应体系
互联网管控1
等保二级域
防火墙11 中心交换机4
数据区
经济分析 数据库 防火墙2

公众服务域
交换机13
GIS应用服务器
Gis数据库
传统安全防护思想——头疼医头，脚痛医脚
Windows 安全 安全应用 基本 安全机制 安全的 组织保障 物理隔离卡 密码机 LAN/WAN 的安全 TEMPEST 外网互连 安全 防火墙 网络管理 安全 数据库 个人机安全 保护 防病毒 CA认证 UNIX 安全 操作系统
入侵检测
PKI 安全审计 PMI
安全中心区 等保二级域
前置区 等 交换机8 保 二 级 域 融合数据
中心前置
运维管控2
融合数据中心 数据库服务器
交换机9
政务外网区域 理中心
安全管
病毒控 CA身份设备控 漏扫控 数字 制中心 认证 制台 制中心 签名
终端 管理
配置 核查
1.专线 连接管 委会和 托管机 房 2.等保 二级、 三级和 管理采 用波分 复用 3.原有 链路利 旧 4.租赁 模式新 增冗余 链路
网络安全
结构安全（G） 访问控制（G） 安全审计（G） 边界完整性检查（S） 入侵防范（G） 恶意代码防范（G） 网络设备防护（G）
主机安全
身份鉴别（S） 安全标记（S）
访问控制（S） 可信路径（S） 安全审计（G） 剩余信息保护（S） 入侵防范（G） 恶意代码防范（G） 资源控制（A）
应用安全
身份鉴别（S） 安全标记（S）
控，在网络安全技术中起到了不可替代的作用。
入侵检测系统的作用
实时检测
实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文
安全审计
对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据
主动响应
主动切断连接或与防火墙联动，调用其他程序处理
Internet 区域
重点子网
内部工作子网
将访问记录 写进日志文 件
DMZ区域与外网的访问控制
WWW 内部WWW DMZ区域 Mail DNS
一般子网 发起访问 请求 管理子网
合法请求则允 许对外访问
边界路由器
Internet
Internet 区域 重点子网 禁止对外 发起连结 请求 进 行 访 问 规 则 检查 发起访问请求
内部工作子网 将访问记录 写进日志文 件
防火墙在此处的功能： 1、DMZ网段与外部子网的物理隔离 2、访问控制 3、对DMZ子网做MAP映射 4、日志记录
防火墙的不足 防火墙并非万能，防火墙不能完成的工作：
源于内部的攻击 不通过防火墙的连接 完全新的攻击手段 不能防病毒
防火墙的局限性
漏洞发现
防火墙4
业务审计1
中心交换机1
交换机n
管 委 会 办 公 用 户
预警响应
用户区
漏扫引擎2 入侵检测2 交换机4
运维管控1
用户区 管理区
防火墙3
等保二级域
等保二级域
交换机3
安全监控 采集器1
管委会政 务网用户
RTX 服务器 BVM服务器
CA服务器
档案服务器
网络安全防护产品 防火墙、防水墙 WEB防火墙、网页防篡改 入侵检测、入侵防御、防病毒 统一威胁管理UTM 身份鉴别、虚拟专网 加解密、文档加密、数据签名 物理隔离网闸、终端安全与上网行为管理 内网安全、审计与取证、漏洞扫描、补丁分发 安全管理平台 灾难备份产品
采集存储
巡检管理 组织人员管理
服务商管理 应急管理
运行体系 Operation
风险评估 优化加固
安全整改 日常维护
安全巡检 安全报告
项目管理 驻场运维
环境安全 应急恢复
IT层次架构与安全体系架构的结合
组织、人员、制度、运行
信息内容和数据
组织体系
外 部 环 境
人员和组织 策略、制度和规范
管理体系
应用系统 网络和系统
Dial-Up NAT Pool 10.1.1.0/24 10.1.1.1 --- 10.1.1.10
SSL VPN
SSL VPN是解决远程用户访问敏感公司数据最简单最安全 的解决技术。与复杂的IPSec VPN相比，SSL通过简单易 用的方法实现信息远程连通。
任何安装浏览器的机器都可以使用SSL VPN， 这是因为
灾备中心
政务外网
应用区
机房2
路由器2 路由器1
Internet
首信专线
互联网区域
融合 数据 中心 前置
原链路 路由器3
政务外网区域 一体化安全运营中心 应用区
移动办公 应用 应用服务器
应用区
链路负载 均衡1
互联网区域
财务应用
交换机16
链路负载均衡2
等保二级域
抗DDoS管理中心
等保二级域 前置区 数据区 等保二 级域
信息安全的基本概念
•信息安全的内涵和外延是什么？
机密性 完整性 •信息安全保障的目标是什么？ 可用性
•什么样的系统是安全的？
可控性
不可抵赖性
可审计性
信息系统等级保护标准
GB/T 17859系列标准
技术要求
物理安全
物理位置的选择（G）
物理访问控制（G） 防盗窃和破坏（G） 防雷/火/水（G） 防静电（G） 温湿度控制（G） 电力供应（A）
远程局域 网络 分支机构
VPN Gateway
总部 Internet VPN Gateway 总部 网络
单个 用户
ISP Modems
VPN 可以省去专线租用费用或者长距离电话费用，大大降低成本 VPN 可以充分利用 internet 公网资源，快速地建立起公司的广域连接
传统VPN联网方式
信息内容和数据安全 应用系统安全
物理设备和环境
技术体系
网络和系统层 示意 服务器
服务器
客户端 物理安全 运行安全
网络
用户
网络和系统安全
网络
设备 运行体系
环境
客户端
用户
外部环境
实施企业的安全防护/预警体系
Internet
冗余链路
机房1
VPN网关1
抗DDoS监测1
通过政务网连接市 灾备中心，实现异 地数据备份
VPN设备 公共网络 VPN设备
公司总部
VPN设备 办事处/SOHO VPN client VPN通道
VPN 解决方案
合作伙伴
内部网
远程访问
虚拟私有网
Internet
分支机构
基于PPTP/L2TP的拨号VPN
1.1.1.1
2.2.2.2
3.3.3.3
• 在Internal 端网络定义远程地址池 • 每个客户端动态地在地址池中为VPN会话获取地址 • 客户端先得拨号（163/169）得到一个公网地址 ， 然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立 • 建立VPN 的用户可以访问公司内部网络的所有资源， 就象在内部网中一样 • 客户端不需要附加软件的安装，简单方便
NSAE应用安全通信网关1
数据区
协同办公与重 大项目周期数 据库
传输加密
交换机12
Gis数据库
三 级 业 务 区
入侵行为
等保二级域
入侵防御2 入侵防御1
交换机2 财务数据库
数据库 数据库
深入检测
交换机6 防火墙6 入侵检测1
NSAE应用安全通信网关2
流量清洗
业务审计3
内部服务域
交换机11
Gis 数据 交换 GIS应用服务器 重大项目管理
企业服务上 报数据库 融合数据中 心数据库 入侵检测4
安全监控中心
防火墙12
抗DDoS清洗1
应用门户
安全审计中心
防火墙5 服务器 负载均衡
应用服务器
安全运维中心
防火墙1 病毒网关1 交换机1 ） 流控1 应用服务 应用服务
Web防火墙1 交换机组14
邮件应用 服务
漏扫引擎4 防病毒网关2 业务审计5
防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为被攻击 的首要目标。 防火墙不能根据网络被恶意使用和攻击的情况动 态调整自己的策略。
什么是 VPN
VPN (Virtual Private Network) 是通过 internet 公共网络在局域 网络之间或单点之间安全地传递数据的技术
防火墙在此处的功能： 1、工作子网与外部子网的物理 隔离 2、访问控制 3、对工作子网做NAT地址转换 4、日志记录
内部子网与DMZ区的访问控制
WWW Mail DNS DMZ区域
内部WWW
一般子网