安全加固项目实施文档

昆明轨道交通集团平安加固方案实施文档系统集成方案工程概述工程背景伴随着昆明轨道交通集团信息化需求程度的提高，业务逻辑与流程体系对于信息系统的依赖程度不断增加，不断推动信息价值的显露和提升；信息平安的盲点和隐患也日渐凸现。正是由于信息资产威胁无处不在，信息损失的代价愈加昂贵，保障平安已经从一个宏观论调转化为IT建设无法躲避的根底策略。昆明轨道交通集团企业信息平安保障工作是信息化建设的关键组成局部，其直接制约着企业生产进程、行业的稳键开展，以及IT业务核心的机密性、完整性和可用性。昆明轨道交通集团产业拥有成熟的标准化产业结构，组织管理机制严谨，业务框架鲜明，平安敏感程度高；因而其信息化建设的方针必然以要求“整体资源可控制、可信任、可生存的平安风险管理与运维能力〞为主题。信息资源的价值流失即是“风险〞。等级化的信息平安防护思想应运而生，其原理即是通过中立性的“风险识别/分析、风险控制与平安监管治理策略〞的定制，最细粒度的梳理IT资产的脆弱环节和业务保障要求，依据分区分级分域的规划原那么，躲避与未知的平安事件；从而保障信息资源在该体系内拥有明确的受保护等级、风险控制规程、多层次的纵深防御能力、平安监管与治理策略以及业务持续性保障能力等。形成完备的事前监控预警、事中防御控制、事后审查追溯与应急生存的运行机制；构建昆明轨道交通集团信息系统的平安运行闭环。建设目标昆明轨道交通集团通过此次网络信息平安一期建设工程，实现以下目标：实现外网病毒过滤、入侵检测防御，保障网络系统的平安稳定运行；实现内网不同办公区防护，实现业务系统的等级保护，保障内网平安；实现VPN远程办公接入，平安访问公司内网进行日常办公；实现全面的邮件系统防护，增强邮件信息平安；实现邮件系统法规遵从，诉讼保存，内部审计与管理；实现邮件系统冗余恢复，知识管理，邮件存储管理优化；总体设计思路设计思路网络信息平安建设的本质就是为了保证昆明轨道交通集团业务的有效、可靠、持续开展，而成功的关键在于结合风险管理和合规管理两种思路进行信息平安建设。风险管理的思路是分析评估信息系统的风险，通过有效的管控措施消除或者减少平安风险。合规管理的思路是遵循国际、国家或者行业、上级的标准要求进行建设。因此昆明轨道交通集团的平安建设需要实现风险管理和合规管理的有机结合，实现“两者皆符、融会贯穿〞，最终通过测评，这也就是本方案的核心设计思路。参考标准《计算机信息系统平安保护等级划分准那么》〔GB17859-1999〕《信息系统平安保护等级定级指南》〔GB22239-2023〕《信息平安等级保护实施指南》〔送审稿〕《信息系统平安等级保护根本要求》〔GB22240-2023〕设计与建设原那么稳定性设计提供能够保障硬件设备及相关软件稳定运行的设计方案。此次部署深信服下一代防火墙、深信服SSLVPN、梭子鱼病毒及垃圾邮件防火墙、梭子鱼邮件归档网关均采用硬件部署，梭子鱼本身提供硬盘RAID冗余，进一步提高了系统的可靠性。并且深信服下一代防火墙、深信服SSLVPN、梭子鱼病毒及垃圾邮件防火墙均支持双机热备，可以配置成集群模式。高可用性设计深信服下一代防火墙、深信服SSLVPN、梭子鱼病毒及垃圾邮件防火墙都支持双机热备的高可用性设计，可以有效保证硬件设备效劳的连续性。深信服下一代防火墙、深信服SSLVPN、梭子鱼病毒及垃圾邮件防火墙都支持部署为双机集群模式，实现容灾备份，性能堆叠。可扩展性设计提供硬件设备及相关软件未来的可扩展性设计，软硬件的升级设计。深信服提供系统版本的升级、模块的升级、规那么库和病毒库升级。梭子鱼提供系统版本的升级，规那么库和病毒库提供每小时的实时升级。支持外接第三方存储扩展容量，镜像冗余。可管理性设计提供软硬件的可管理性设计方案，包括软硬件的日常管理，报表及日志信息的分析设计方案。深信服支持日志功能，支持报表生成功能。梭子鱼支持发送邮件过滤。自动发送系统报告。向收邮件和发邮件发送NDRs消息解释被阻挡原因。在日志内可以查看，并搜索所有的邮件进行重发，自定义黑白名单等管理。满足诉讼需求为了满足诉讼需求，可以通过梭子鱼搜索归档文件，创立警告信息当某些邮件违反了标准或者是自定义的策略。通过使用高级的基于角色的用户端口以及防篡改存储，可以强制使用内部访问控制策略来配合公司的规章制度。满足法规遵从为了满足国际与国内的相关方案需求，原那么上邮件都需要保存一年以上，而对于一些基金，证券公司，5年及以上的邮件都需要保存，并能随时进行索引，投递等。国际：为加强对公众企业〔如上市公司〕的监管，欧美各国出台相关法规，要求对电子信息进行审计，邮件系统是重要内容。其中影响最为广泛的有萨班斯法案。许多非上市的公司，例如贸易公司、物流公司、高科技企业，邮件是企业最主要的沟通方式，基于企业内部审计〔防止机密泄露或不当使用电子邮件〕、知识管理〔邮件是企业重要的知识库〕，个人化的备份复原等需求，也需要邮件归档设备。国内：发改委、证监会等也规划出台类似萨班斯法案的法规；其中证监会原那么上已经要求基金证券公司对电子信息进行审计，包括电子邮件归档的要求。局部基金公司已经实施了该工程。许多国内企业特别是上市公司，外贸型企业，高科技企业也实施了邮件归档。满足存储管理梭子鱼邮件具备导入历史邮件和PST文件的功能。可以满足法定的需求来归档邮件。通过实现单一实例存储和压缩，梭子鱼可以减少存储本钱。通过将历史邮件归档的移植以及对小邮件存储的管理，梭子鱼可以帮助实现运营效益的最大化。梭子鱼同时利用梭子鱼本身在平安领域的专业技术，确保了历史邮件在被重新获取前，经过病毒扫描，间谍软件和其他恶意软件扫描，以确保邮件的平安性。规那么库升级保证梭子鱼拥有最新的策略定义，用来监控合规性，最新的文档格式升级用来对邮件附件进行内容解码，以及平安升级用来抵御最新的漏洞和恶意软件威胁。详细技术方案部署拓扑图部署说明深信服下一代防火墙〔外网〕：通过在互联网边界位置部署一台深信服下一代防火墙AF-1580，为内网用户提供互联网效劳，将需要对外发布的应用进行映射，对流经防火墙的数据进行应用层访问控制、病毒查杀，保障网络平安；深信服下一代防火墙〔内网〕：昆明轨道交通集团内部数据中心的效劳承载的业务尤为重要，是整个信息化系统的核心组成局部。通过在数据中心核心交换机外侧部署一台深信服下一代防火墙AF-1120，开启IPS漏洞防护及效劳器防护功能模块，作为效劳器区与办公区之间的平安隔离及防护设备，可以精确管理面向用户、应用的平安访问，7层的内容平安监测可以有效保障核心业务，并且强大的报表功能可以帮助管理员进行全网平安状况分析；深信服SSLVPN：在核心交换机上旁路部署一台深信服SSLVPN-2050，根据客户需要对应用进行平安发布，防止将效劳器直接挂在公网上造成风险。客户能通过VPN设备，远程访问内网应用及数据；梭子鱼反垃圾邮件网关：通过在邮件系统边界部署一台梭子鱼病毒及垃圾邮件防火墙400a过滤所有接收和外发的垃圾邮件，可以将垃圾邮件隔离在邮件域外或阻止内部向外发送垃圾邮件，将垃圾邮件阻挡在邮件系统边界外将大大提升邮件效劳器的平安。而阻断内部向外发送垃圾邮件可以防止因为发送垃圾邮件而被反垃圾邮件组织参加黑名单；梭子鱼邮件归档网关：通过部署一台梭子鱼邮件归档网关350a能帮助企业建立符合政府法规或企业标准的邮件存储方案。能帮助企业实现：综合的邮件管理、集中式存储管理、集中式管理、病毒检测、邮件审计。设备清单招标需求品牌型号配置描述数量下一代防火墙〔外网〕深信服AF-1580深信服AF-1520，开通IPS漏洞防护+效劳器防护功能模块、AV网关杀毒功能模块、URL及应用识别库更新，增加一条Internet线路的授权。开通三年模块升级、三年软件升级、三年URL库更新、三年硬件维护及质保。1台下一代防火墙〔内网〕深信服AF-1120深信服AF-1120，开通IPS漏洞防护+效劳器防护功能模块、URL及应用识别库更新。开通三年模块升级、三年软件升级、三年URL库更新、三年硬件维护及质保。1台SSLVPN深信服SSLVPN-2050深信服SSLVPN-2050，提供80个VPN接入授权，开通远程应用发布模块，并提供30个远程应用发布授权〔含于VPN接入授权〕，提供10个USBKEY。开通三年模块升级、三年软件升级、三年硬件维护及质保。1台反垃圾邮件网关梭子鱼病毒及垃圾邮件防火墙400a梭子鱼病毒及垃圾邮件防火墙400a,开通三年软件升级、三年URL库升级、三年硬件维护及质保，并且设备在效劳期内出现任何硬件故障，厂家负责免费替换一台相同型号的全新设备。1台邮件归档网关梭子鱼邮件归档网关350a梭子鱼邮件归档网关350a，开通三年软件升级、三年硬件维护及质保，设备在效劳期内出现任何硬件故障，厂家负责免费替换一台相同型号的全新设备。1台设备部署深信服AF-1580部署确定部署模式本次部署将深信服AF-1580部署采取透明模式进行部署，这样部署不会改变原有的网络环境变化。根本网络配置首先将将两个网口设置成透明口，划到vlan1，配置vlan1的管理地址：将默认路由指向出口防火墙，回包路由指向核心交换机：定义相关IP组，方便策略的下发与配置添加一条放通策略登陆地址与初始密码根本网络配置完成后，设备的登陆地址为：s://192.168.100.2初始用户名和密码为：admin/sangfor2023僵尸网络监测策略配置IPS防护策略配置配置两条针对效劳器和PC客户端的IPS防护策略Web应用防护策略配置实施漏洞分析配置系统维护查看系统是否有更新及到期时间设备的配置与复原管理员账号添加、删除、修改密码深信服AF-1120部署确定部署模式本次部署将深信服AF-1120采用虚拟线路的部署模式在效劳器前，同时将效劳器组的网线聚合到设备上，起到保护内网效劳器的作用。根本网络配置管理口的配置将设备的eth5口作为设备的管理口，并配置管理地址创立两对虚拟网线，分别连接效劳器区域和外网区域将默认路由指向网关；定义相关IP组，方便策略的下发添加一条放通策略登陆地址与初始密码根本网络配置完成后，设备的登陆地址为：,初始用户名和密码为：admin/sangfor2023IPS防护策略配置添加针对内网的IPS防护策略添加Web应用防护策略添加WEB应用防护策略，已保护内网应用效劳器平安实施漏洞分析配置系统维护查看系统是否有更新及到期时间设备的配置与复原管理员账号添加、删除、修改密码深信服SSLVPN-2050部署确定部署模式采用单臂模式进行部署添加内网域名解析：登陆地址与初始密码在防火墙上进行转发将外网地址转发到内网192.168.100.5上，已实现外网用户的访问。SSLVPN设备默认使用s的4430作为管理口，s的443端口作为默认用户的登陆地址。内网管理登陆地址为：s://192.168.100.5:4430初始密码为:sangfor2023用户创立新建用户：保存以后点击立即生效：创立并发布资源对需要访问内网资源的用户进行授权系统维护管理员账号的添加设备备份与复原全局备份：SSLVPN配置备份：梭子鱼垃圾邮件网关部署梭子鱼垃圾邮件网关部署模式如下列图，梭子鱼安装在防火墙之后，邮件效劳器的地址为，梭子鱼的地址配置为1：完成初始化设置以及通电，激活后进行需进行一下操作：在防火墙上，将原本转发到邮件效劳器的SMTP流量〔25端口〕设置为转发〔端口地址映射〕到梭子鱼即1上。在梭子鱼中设置将过滤好的邮件发送到目标邮件效劳器即10.10.1.3上。这种安装模式不需要改变MX记录，只需要调整防火墙的PAT规那么，因而也称之为端口转发安装模式，多数中小企业使用这种部署方式垃圾邮件网关配置步骤设备初始化首先给设备配置IP地址。可以选择通过笔记本直连设备修改或者通过接上显示器和键盘修改。因为设备开机初始化是要到互联网去验证、同步规那么库等等，所以笔记本直连设备修改设备IP，登陆://192.168.200.200:8000会很慢或者卡死的状态。对于新设备因为没有激活，所以必须要通过接上显示器和键盘修改，而且设备上配置的IP地址必须可以上Internet。新设备激活新设备需要到梭子鱼后台注册，点击界面的激活，输入以下信息，点击激活。如下列图。设备登录能登录设备的前提是梭子鱼反垃圾网关配置的IP地址能上网链接外网。否那么无法web登录梭子鱼的管理后台。两种方式可以登录梭子鱼设备：登录地址：s://10.10.1.31:4343/://10.10.1.31:8000账号：admin密码：3edc$RFV设备根本配置点击“根本设置〞-“IP设置〞，如下列图所以，具体情况根据客户的实际环境而定。修改IP，系统会重启一次。点击“根本设置〞-“系统管理〞，修改时区和默认语言，填入邮件通知的邮箱地址，如下列图所示，具体配置情况根据客户的实际环境而定。修改时区，系统会再次重启。点击“根本设置〞-“信任转发〞，修改时区和默认语言，填入邮件通知的邮箱地址，如下列图所示，具体配置情况根据客户的实际环境而定。修改时区，系统会再次重启。点击“根本设置〞-“垃圾邮件扫描〞，根据客户到要求设置评分规那么，分值越高规那么越严。阻断分值应该设置最高，其次是隔离分值，分值最低位标记。选上使用贝叶斯〔如下列图所示〕开启意图分析和图像分析及贝叶斯分析：高级设置端口转发由于昆明轨道交通的防火墙做的是地址映射，所以需要把个别端口转发给邮件效劳器。具体设置：高级设置----高级网络配置。系统升级建议每半年升级一次版本。高级设置---系统升级。点击下载版本，版本下载完全后，点了立即适用，系统重启，自动完成升级。反垃圾规那么库和病毒库，设备会自动升级，无需人工维护。设备维护可以通过设备诊断工具和远程技术支持中心来管理和维护设备。开启远程维护