京港地铁新OA网安全解决方案20081212.doc

京港地铁新OA网安全解决方案 V2.0 Check Point 2008年12月  文档信息 文档名称 京港地铁新OA网络安全方案建议书 必威体育官网网址级别 商密 文档版本编号 2．0 文档管理编号 管理人 制作人 吴航 制作日期 200 复审人 复审日期 200 扩散范围 京港地铁相关人员 版本纪录 版本编号 版本日期 修改者 说明 V1.0 2008-12- 王建龙 根据2008-12-4日沟通结果修改 V1.1 200 吴航 进一步细化需求以及产品配置 目 录 TOC \o 1-3 \h \z \u 1. 前言 4 2. 京港地铁新办公OA网络系统概述 5 3. 安全需求分析 6 3.1安全风险分析 6 3.2安全需求分析 7 4. 京港地铁新办公OA网络系统方案设计 8 4.1 设计原则 8 4.2 安全域划分 9 4.3方案设计 9 4.3.1总体方案设计 9 4.3.2边界安全设计 11 4.3.3办公网端点安全方案设计 16 4.3.5远程安全方案设计 21 4.3.6安全审计设计 25 4.3.7安全集中管理设计 26 4.4产品选型清单 27 5. 附录:产品介绍 29 5.1 Check Point防火墙 29 5.2 CheckPoint Connectra 安全接入解决方案 41 5.3 CheckPoint EndPoint Security解决方案 46 5.4 CheckPoint Eventia 安全审计系统 51 5.5 Check Point SmartCenter集中安全管理 56 5.6 Web Intelligence安全防护 61 前言 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。 计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。 随着网络和信息技术的迅猛发展，电子商务、物流系统开始成为铁路信息化的建设热点。铁路已经开始从铁道部政府站点、中铁贸易网、中铁物流网、铁路集装箱运输入手进行试点工程建设，开发相关的电子商务系统并进行试验，与之相配套的物流配送体系也开始逐渐进入设计和建设日程. 北京京港地铁有限公司是有北京市基础设施投资有限公司(BII)和北京首都创业集团有限公司(BCG)以及香港地铁公司以特许经营模式合作投资、建设和运营北京地铁四号线的特许经营公司，同样面临着信息安全的高度要求。本方案的主要目的是针对京港地铁公司新办公楼OA网络，全面分析网络结构与应用情况提出整体的安全解决方案。 京港地铁新办公OA网络系统概述 京港地铁目前共有员工约1000人，共有26个地铁站点、一个OCC中心以及位于工艺西桥的新办公楼。在马家堡建有一数据中心，在龙北村有一灾备中心。本次网络安全建设主要是在新办公大楼。 互联网接入主要分别通过网通和电信两条10M线路，并通过专线与MTR相连。新大楼的OA网络设计结构为三层架构，分为核心层、汇聚层和接入层三层，并且实现了千兆到桌面的传输速率。网络区域可划分为办公区、服务器区、以及外部互联网。 示意架构如图： OA网络中多种业务，有Exchange邮件服务、Web服务、生产业务服务、语音视频业务等，服务器数量约50台。主要是HP平台，并且计划通过HP Openview进行统一监控和管理。另外，网络中已经部署了SMS服务器，进行客户端的管理。 本方案主要针对各网络区域所面临的风险以及安全级别不同进行全面的安全设计。 安全需求分析 3.1安全风险分析 京港地铁目前主要业务为北京地铁四号线的运营，近期又签署了大兴线的运营。交通建设是未来近几年北京市城市建设重点中的重点，地铁运营是北京是交通建设至关重要的一个环节。所以京港地铁应该充分考虑到信息系统所面临的安全风险，并加以有效控制。 综合分析地铁运营对信息网络系统的要求，可以总结出如下安全风险： 业务服务及网络不可访问的风险 业务服务是整个网络中最为重要的部分，各站点员工以及内部其它员工都会通过内部或外部网络实时访问对相应业务，所以高可用性是该部分