京港地铁成功案例.pdfVIP

Check Point解决方案不仅满足了我们多功能防护的要求，其强大灵活的可扩展性也为我 们以后的安全部署奠定了基础。. XXX 北京京港地铁有限公司 用户姓名 北京京港地铁有限公司 行业 交通 Check Point 产品 Check Point UTM-1 3070 Check Point Power-1 5070 Check Point Connectra 270 Check Point Smart-1™ 安全管理设备 Check Point Eventia Check Point SmartCenter Check Point SSL Network Extender Check Point Domain Active Directory 满足客户下列需求 网络规划需求 满足未来需求的扩展性 边界安全性防护 安全性需求 远程安全接入 安全审计 简便的集中化管理 京港地铁采用Check Point安全方案 实现多功能防护及灵活的可扩展功能 关于北京京港地铁有限公司 （简称京港地铁） 北京京港地铁有限公司（/ ）是一个致力于地铁建设、运营、 管理的专业化公司。其是有北京市基础设施投资有限公司(BII)和北京首都创业 集团有限公司(BCG)以及香港地铁公司签署原则性协议，以特许经营模式合作投 资、建设和运营北京地铁四号线的特许经营公司，也是国内城市轨道交通领域首 个引入外资的中外合作经营企业。 京港地铁面临的挑战 京港地铁目前共有员工约1000人，地铁站点26个、一个OCC中心、新办公楼、 一个数据中心以及灾备中心。互联网接入主要分别通过网通和电信两条10M线路， 并通过专线与MTR相连。新大楼的OA网络设计结构为三层架构，分为核心层、汇 聚层和接入层，并且实现了千兆到桌面的传输速率。网络区域可划分为办公区、 服务器区以及外部互联网。OA网络中Exchange邮件服务、Web服务、生产业务服 务、语音视频业务等多种业务并存。服务器数量约50台，主要是HP平台，并且计 划通过HP Openview进行统一监控和管理。另外，网络中已经部署了SMS服务器， 进行客户端的管理。 根据京港地铁网络现状以及地铁运营对信息网络系统的要求，其主要面临以 下安全风险：网络规划中的安全风险、业务服务及网络不可访问的风险、互联网 访问带来的安全风险、OA 办公系统的安全风险、无线网络应用的安全风险、远 程访问带来的安全风险、重要数据丢失造成数据泄密的风险、客户端的安全风险、 管理不当带来的风险以及安全设备选型存在的隐性风险。综合以上风险分析、网 络现状以及京港地铁的业务特点，京港地铁对防止互联网入侵、内部终端安全合 规性、防止数据数据泄密以及审计和管理等多个方面的安全需求。 Check Point解决方案 首先为了区别网络中风险及安全需求相近的不同单元，更有效的对不同安全 需求的安全域进行有针对性的安全防护，Check Point对于京港地铁新OA网络安 全域进行了划分，主要分为三个安全域：互联网域、内网用户域以及应用和数据 域。结合京港地铁的安全域，主要从以下几个方面详细边界安全设计。包括：互 联网域边界和应用及数据域边界、互联网双堡垒主机DMZ架构、移动用户的远程 安全接入、全网安全审计以及统一的安全集中管理。 在第一期的部署中主要考虑边界以及安全管理和审计以及将来的扩展性。京 港地铁采用了Check Point Total Security边界安全解决方案, 从网关安全、安 全接入以及安全管理、审计等各个层面进行详细设计。并采用Check Point SMART 管理架构，不但可以实现对边界安全产品的统一管理，更可以满足今后内网安全 部署的需求。 综合考虑京港地铁的员工数量、ISP线路以及业务安全需求后，京港地铁在 其互联网安全域边界部署了双层防火墙，构成典型的“双堡垒”结构，双层防火 墙之间的区域构成DMZ区，将Mail服务器前端，Web服务器放置此区域，组成 “Internet服务器群”，两台Check Point UTM-1 3070防火墙，并部署成Cluster 模式。Check Point的硬件防火墙设备均提供了OSPF动态路由功能，在与核心 机之