云平台安全等级保护建设项目安全技术方案详细设计.doc

云平台安全等级保护建设项目安全技术方案详细设计 天融信在本项目的整改方案设计中，针对 XX 的三级等级保 护整改建设，依据一个中心三重防护的思路展开详细设计。 具体设计面向以下的几个方面：  aiit幵发区 FG■爭U存诵 QSP肖賣田 IF-S4N^p# 1 4耐11汕III rj i  联通ISP 接入路由器 A/S DMZ区 防病毒过滤网关 A/S 互 联 网 接 入 区 -一抗DDoS系统 A/S A/S II 1 Il / r- 3 c k 1 II 1 1 1 1 1 防火墙 X 1 II （Cisco ） 1 1 1 A/S 1 \ ■ 2 入侵防御系统 核心交换区  互联网接入区作为云平台发布门户网站，用户接入，以及将 来与各下属单位数据中心通过虚拟专网连接的重要接入区 域，是XX的对外唯一通路。担负着重要的边界防护使命。 ?本期方案计划部署如下安全产品： 抗DDoS系统：部署两台千兆级别的抗 DDoS系统，以 A/S模式，透明方式部署；对入站方向的 DDoS攻击流 量进行清洗，保护内网直接对外服务的网站防病毒过滤网关： 部署两台千兆级别的防病毒过滤网 关，以 A/S 模式，透明方式部署； 对入站方向的 HTTP、 SMTP POP3 IMAP等流量进行防病毒过滤清洗，主要 保护内网中直接对外提供服务的网站，邮件系统，以 及各办公终端。 入侵防御系统： 部署两台千兆级别的入侵防御系统， 以 A/S 模式，透明方式部署；对入站方向的数据包进 行包还原，检测攻击行为，攻击特征，若发现攻击行 为则进行阻断。 接入防火墙：利用现有Cisco ASA5555防火墙，以A/S 模式，路由方式部署； 负责入站方向 IP 包的访问控制， 对DM亦的WE删站进行端口访问控制；另外开启VPN 功能，对接下属机构数据中心，进行虚拟专网连接， 同时第三方运维人员可借由 VPN远程登入。此处接入 防火墙作为纵深防御体系的第一道屏障，与内网各重 要边界防火墙异构 DMZ区承载XX的对外服务网站，担负着XX门户的重要使 命。本区域中的安全设计主要针对 WEB网站防护，网页防 篡改等 ?本期方案计划部署如下安全产品: WEB应用防火墙： 部署两台千兆级别的 WEB应用防火 墙，以A/S模式，反向代理方式部署；对 WEB访问流 量进行针对性防护。 网页防篡改系统： 部署一套网页防篡改软件系统（需安装在一台服务器中），通过文件驱动级监控 +触发器 的方式，监控所有对 WEB实体服务器中网页内容的修 改行为，只有来自 WEB发布服务器的修改行为会被放 行，其他一切修改行为将被阻断。 核心交换区安全设计 核心交换区主要由两台高性能核心交换机组成，作为整个内 网的核心，负责所有内网区域间流量的交换转发。在此区域 主要部署审计类安全产品，对网络中的流量进行行为审计和 入侵检测。 ?本期方案计划部署如下安全产品: 网络审计系统： 部署一台万兆级别的网络审计系统， 以旁路方式，对接两台核心交换机的镜像端口；核心 交换机需将其他安全域的流量镜像至网络审计系统， 供网络审计系统审计记录；审计记录可通过报表展示 给用户，并可发送至安全管理平台，进行综合的安全 态势分析和展示。 入侵检测系统： 部署一台万兆级别的入侵检测系统， 以旁路方式，对接两台核心交换机的镜像端口；核心 交换机需将其它安全域的流量镜像至入侵检测系统， 供入侵检测系统进行入侵行为检测；审计记录可通过 报表展示给用户，并可发送至安全管理平台，进行综 合的安全态势分析和展示。 测试开发区安全设计 测试开发区是对自研应用系统和新上线设备进行测试的区 域，其中还包含重要的开发文档，对该区域的安全设计主要 体现在边界访问控制（需筛选可建立连接的条件） ?本期方案计划部署如下安全产品： 测试开发区边界防火墙： 部署两台千兆级别的防火墙 系统，以A/S模式，透明方式部署；筛选可以建立的 连接（规定内网中哪些IP地址可以访问本区域， 规定 区域内的应用系统端口开放策略），通过策略完成访问 控制。 安全管理运维区安全设计 安全管理运维区是整个 XX内网负责安全管理、安全运维和 与之相关的用户管理、云平台管理、备份管理等各个组件的 集合区域。是维系云平台正常运转，制定各类安全策略的核 心区域。 ? 本期方案计划部署如下安全产品： 安全管理运维区边界防火墙： 部署两台千兆级别的防 火墙系统，以 A/S 模式，透明方式部署；筛选可以建 立的连接（规定内网中哪些 IP 地址可以访问本区域， 规定区域内的应用系统端口开放策略） ，通过策略完成 访问控制。 日志审计系统： 需新购置一台服务器级存储，安装日 志审计软件，收集数据中心内其他各类 IT 组件的日 志，并集中存储；另应提供备份存储空间，通过