深信服等级保护(三级)建设方案可编辑

等级保护（三级）方案深信服科技朔州市交警队等级保护（三级）建设方案深信服科技（深圳）有限公司TIME\@"yyyy'年'M'月'"2016年7月

目录1 项目概述 系统集成设计软硬件产品部署图系统改造前拓扑图如下：本次系统改造新增软硬件产品后的拓扑图如下：安全产品部署说明外网设备部署产品数量部署位置部署作用网络审计系统2台外网出口（双机）审计内网用户上网行为，可供公安部82号令要求封堵与办公无关应用，提高员工办公效率管理内部网络带宽，合理分配流量，保障核心业务流量下一代防火墙2台外网出口（双机）保护安全管理区设备的安全对业务网进行独立防护，进行访问控制、攻击防御入侵检测1台核心交换机旁挂对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、等信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护WAF1台WEB服务器前端WEB应用防护，防止web业务被破坏、篡改对传输数据进行内容检测，保障数据安全，防泄密防火墙1台连接看守所出口网处做安全隔离，隔离看守所与内部网络进行访问控制、攻击防御隔离安全网关1台办公网与专网交界处隔离办公网与专网负载均衡1台服务器前端服务器负载服务健康检查服务器虚拟化1套做2台服务器虚拟化将服务器虚拟化后，可备份数据可将服务器资源最大化利用SSLVPN一台核心交换机旁挂移动办公安全接入内网设备下一代防火墙2台内网出口（双机）保护安全管理区设备的安全对业务网进行独立防护，进行访问控制、攻击防御入侵检测系统1台旁挂内网核心交换机处对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、等信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护集中管理设备1台旁挂内网核心交换机处统一管理内网安全设备，可实时监控入侵防御系统2台内网服务器前端实时监控并阻断针对数据中心核心HIS业务服务器的入侵行为边界集中进行病毒过滤，防止病毒侵入扩散，与网络防病毒组成多层次深度防御。负载均衡1台内网服务器前端服务器负载服务健康检查防火墙1台3G内外网隔离出做安全隔离，隔离看3G网络与执行查控服务器进行访问控制、攻击防御服务器虚拟化1套做3台服务器虚拟化将服务器虚拟化后，可备份数据可将服务器资源最大化利用堡垒机1台旁挂内网服务器前段交换机上管理网络中得所有安全设备数据库审计系统旁挂内网服务器前段交换机上审计服务器里的数据库，以便责任做到追溯到人等级保护（三级）方案模板深信服科技9.3产品选型选型建议根据国家有关法律法规，并结合朔州市交警队通信网络的实际要求。我们建议使用具有国内自主知识产权的产品，并且要完全符合朔州市交警队提出的产品资质要求：所有产品是经公安部、国家信息安全测评认证中心等国家权威测试通过，并获得安全产品销售许可证，是在国内政府机关、银行、部队、医疗卫生等系统采用较多，运行稳定的国产防火墙、上网行为管理、SSLVPN等安全产品，在功能、性能与管理性等方面能够满足朔州市交警队计算机网络的需求。选型要求1、在产品选型时，需要厂家可以提供个性化的安全产品。只有这样才能保证系统的安全充分满足客户的现状，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进，使产品更加适合用户的实际需要，而不是一般的通用性产品。2、采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要，可以及时提供应急安全响应服务，如在病毒或黑客入侵事件发生的时候，可以在第一时间进行响应，最大程度的保护用户利益。3、在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准，安全标准以及国际的CVE、ISO13335、ISO15408、ISO17799等标准。