安全规划讨论

1、网络安全规划(guhu)讨论共十六页目标(mbio)及原则原则：整体规划、分步实施重点保护标准化、可复制适度(shd)保护合规性目标：规划先进的安全体系，搭建安全框架，在该框架下能满足近期紧迫的安全需求，同时具备长期的扩展能力。满足公安部、工信部法规要求共十六页资产(zchn)用户：城域网宽带接入用户Wlan用户专线用户IDC重要(zhngyo)系统：DNS网管宽带认证sig共十六页威胁(wixi)类别威胁城域网宽带用户/WLANDDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网专线用户DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网、病毒、蠕虫、垃圾邮件、漏洞攻击IDCDD

2、oS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网、病毒、蠕虫、垃圾邮件、漏洞攻击、Web攻击、特定应用攻击、内容合规性检查共十六页威胁(wixi)类别威胁DNSDNS攻击（DDoS攻击、漏洞攻击、虚假域名请求）网管病毒、蠕虫、漏洞攻击宽带认证病毒、蠕虫、漏洞攻击、web篡改（Portal）业务系统支撑系统共十六页风险(fngxin)类别威胁风险城域网宽带用户/wlan用户DDoS攻击网络拥塞，网络不可用网络设备攻击（弱口令）非法修改网络配置，导致网络故障DNS攻击DNS不可用，大面积网络故障违规上网不符合82号令，造成不良社会影响专线用户DDoS攻击网络拥塞，网络不可用网络设备攻击（弱口

3、令）非法修改网络配置，导致网络故障DNS攻击DNS不可用，大面积网络故障违规上网不符合82号令，造成不良社会影响病毒、蠕虫、垃圾邮件、漏洞攻击用户网络、系统故障共十六页风险(fngxin)类别威胁风险IDCDDoS攻击网络拥塞，网络不可用网络设备攻击（弱口令）非法修改网络配置，导致网络故障DNS攻击DNS不可用，大面积网络故障违规上网不符合82号令，造成不良社会影响Web攻击Web网站不可用，隐私资料泄露特定应用攻击应用不可用，数据泄露共十六页技术手段防火墙：访问控制、端口过滤VPN：外部访问安全通道IPS：病毒、蠕虫、漏洞攻击行为审计：上网行为记录、敏感信息过滤异常流量清洗：DDoS攻击防护

4、Web防护：web系统攻击防护、网页防篡改漏洞扫描：漏洞发现、弱口令试探、安全评估负载均衡：业务可用性、可靠性保障、用户体验提升安全服务：安全状态评估、安全加固、应急(yng j)响应、安全培训、安全巡检共十六页技术(jsh)框架总体思路：省公司统一(tngy)监控，地市分公司独立建设地市搭建集中的安全服务平台，满足通用安全需求特定系统独立建设安全防护体系核心网络核心设备深圳核心设备广州流量清洗中心骨干东莞CR安全服务平台共十六页技术(jsh)框架CR1CR2骨干网接入层交换机接入层交换机IDC防火墙IPSDNS攻击防护Web防护负载均衡(jnhng)漏洞扫描DDoSDPI安全服务平台共十六页

5、技术(jsh)框架DDoS：省公司(n s)、地市分公司(n s)二级防护共十六页技术(jsh)框架DPI：地市分公司城域网出口(ch ku)部署业务分析平台分光分光DPtech DPI融合网关分光Radius服务器第三方业务系统镜像管理骨干网省干/城域网DPI融合网关旁挂部署于省干/城域网出口，识别分光流量，并将识别后的流量发送至业务分析平台，实现从“用户+业务+流量”角度动态呈现运营业务的状况共十六页技术(jsh)框架业务(yw)系统独立防护：DNS共十六页技术(jsh)框架业务系统(xtng)独立防护：Wlan Portal共十六页技术(jsh)框架业务系统独立(dl)防护：Wlan 审

6、计无线控制器(AC)BRAS无线控制器(AC)POE交换机城域网节点城域网节点汇集交换机无线AP无线APPOE交换机无线APDPtech流控及审计设备DPtech流控及审计设备DPtech流控及审计设备POE交换机汇集交换机无线AP无线APDPtech UMC管理中心BRAS城域网部署在AP与AC之间，实现基于无线帐号的流量分析、流量控制和上网行为审计，让WLAN“可视、可控、可优化” DPI共十六页内容摘要网络安全规划讨论。规划先进的安全体系，搭建安全框架，在该框架下能满足近期紧迫的安全需求，同时具备长期的扩展(kuzhn)能力。DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网。DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网、病毒、蠕虫、垃圾邮件、漏洞攻击。DDoS攻击、网络设备攻击（弱口令）、DNS攻击、违规上网、病毒、蠕虫、垃圾邮件、漏洞攻击、Web攻击、特定应用攻击、内容合规性检查。DNS攻击（D