中石油华南销售公司网络安全建设技术方案华三通信(编辑修改稿)

中石油华南销售公司网络安全建设技术方案华三通信(编辑修改稿)内容摘要：

事件的实时感知、安全策略的动态部署、网络安全设备的自动响应，将智能的安全融入企业业务流程中，形成开放融合、相互渗透的安全实体，才能实现真正的网络安全智能化。 帮助企业将业务信息的所有状态都控制在安全管理的范围内，这样的需求正是智能安全产生的原动力。 完善的安全管理体制是加强信息系统安全防范的组织保证。 iSPN全局安全管理平台可以对 全网的安全 信息 做到统一管理 、 统一下发安全策略 以及 统一分析安全数据，保证 企业 信息系统的安全运行。 iSPN全局 安全 管理平台 以开放的 安全管理中心和智能管理中心 为框架，将安全体系中各层次的安全产品、网络设备、用户终端、 网络 服务等纳入一个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个 智能 安全防御体系，大幅度提高企业网络的整体安全防御能力。 H3C全局安全管理平台 由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信 息交互接口形成一个完整的 协同防御体系。 高效的安全解决方案不仅仅在于当安全事件发生时，我们能够迅速察觉、准确定位，更杭州华三通信 技术有限公司 6 重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。 在局部安全、全局安全的基础上， H3C iSPN为实现这一目标而构建了 专业安全服务、 开放 应用架构和 可持续演进的 全局 安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起 来，构成了一个智能的、联动的闭环响应体系，可在保护现有网络基础设施投资的基础上 有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。 H3C将以全新的 iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案，为企业打造一个领先的、全面的、可信赖的 IP安全平台。 3. 建设原则 及设计思路 . 安全平台 设计思路 中石油华南销售公司 的网络应用 对安全的要求比较 高，根据对 中石油华南销售公司 网络和应用的理解，结合在 中石油华南销售公司 行业 的成功经验，提出了如下安全建设思路。 . 以安全为核心 划分区域 现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。 例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。 而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。 并按照以安全为核心的设计思路的要求对网络进行重新设计。 所谓以安全为核心的设计思路就是要求在进行网络设计时，首先根据现有以及未来的网络应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式的安全隔离，比如采用防火 墙隔离业务网和办公网。 针对 中石油华南销售公司 X网络安全实际情况 ， 可 划分出不同的安全分区级别 ，详细定义如下：  DMZ 区： DMZ 区包括省级网络连接贵州省电子政务网区域、 INTERNET 服务区以及贵州省劳动和社会保障厅对社会公众提供服务的服务群（如：对外发布系统服务器区等），该区域都是暴露在外面的系统，因此，对安全级别要求比较高。 杭州华三通信 技术有限公司 7  互联网服务区： 互联网业务应用系统集合构成的安全区域，主要实现公开网站、外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的 VPN接入等功能。  远程接入区： 合作业务应用系统集合构 成的安全区域，主要实现与原材料供应商、渠道商等合作伙伴的业务应用功能。 考虑到部分合作伙伴会采用 VPN方式接入，基于安全性考虑，其与互联网服务区应该有独立的物理连接。 根据应用要求，可以进一步划分为互联网业务区、 VPN接入区等。  广域网分 区： 在之前的网络建设中，企业通过专线连接国内的分支机构。 广域网连接区就是专线网络的链路及全部路由器构成的安全区域，这一安全区域内部没有具体的应用系统，主要实现网络连接功能，定义这一安全区域是为了方便网络管理。  数据中心 区： 由贵州省金保业务服务区服务群构成，是贵州省金保一切业务应 用活动的基础，包括生产区、交换区、决策区。 这个区域的安全性要求最高，对业务连续性要求也最高。 要求不能随便进行任何可能影响业务的操作，包括为服务器打补丁，管理起来也最为复杂。  网络管理区： 网络管理员及网管应用系统构成的安全区域，一切网络及安全的管理和维护工作都在这一区域完成。 网络管理区域的资产在定义中属于支撑部门资产集合，但是鉴于网络管理的特殊性，将这一部分资产独立设置安全区域。  内部办公区： 数据中心内部办公计算机构成的安全区域。 安全性和业务持续性要求最低，管理难度大，最容易遭受蠕虫的威胁。 杭州华三通信 技术有限公司 8 . 用防火墙。