1、數(shù)據(jù)中心項(xiàng)目安全設(shè)計(jì)方案-NetScreen 防火墻部分20134 年 11 月1名目第 1 章設(shè)計(jì)范圍及目標(biāo) (3)設(shè)計(jì)范圍 (3)設(shè)計(jì)目標(biāo) (3)本設(shè)計(jì)方案中“安全”的定義 (3) 第 2 章設(shè)計(jì)依據(jù) (4)第 3 章設(shè)計(jì)原則 (5)全局性、綜合性、整體性設(shè)計(jì)原則 (5)需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則 (5)可行性、牢靠性、安全性 (5)多重愛(ài)護(hù)原則 (5)全都性原則 (6)可管理、易操作原則 (6)適應(yīng)性、機(jī)敏性原則 (6)要考慮投資愛(ài)護(hù) (6)設(shè)計(jì)方案要考慮今后網(wǎng)絡(luò)和業(yè)務(wù)進(jìn)展的需求 (6)設(shè)計(jì)方案要考慮實(shí)施的風(fēng)險(xiǎn) (6)要考慮方案的實(shí)施周期和成本 (7)技術(shù)設(shè)計(jì)方案要與相應(yīng)的管理制度同

2、步實(shí)施 (7) 第 4 章設(shè)計(jì)方法 (8)安全體系結(jié)構(gòu) (8)安全域分析方法 (9)安全機(jī)制和技術(shù) (9)安全設(shè)計(jì)流程 (9)具體網(wǎng)絡(luò)安全方案設(shè)計(jì)的步驟: (10) 第 5 章安全方案具體設(shè)計(jì) (12)網(wǎng)銀 Internet 接入安全方案 (12)綜合出口接入安全方案. 錯(cuò)誤!未定義書(shū)簽。OA 與生產(chǎn)網(wǎng)隔離安全方案錯(cuò)誤!未定義書(shū)簽。控管中心隔離安全方案. 錯(cuò)誤!未定義書(shū)簽。留意事項(xiàng)及故障回退. 錯(cuò)誤!未定義書(shū)簽。第 6 章防火墻集中管理系統(tǒng)設(shè)計(jì) . (16) 第 1 章概述設(shè)計(jì)范圍本次 Juniper 防火墻部署主要是為了協(xié)作 XX 數(shù)據(jù)中心的建設(shè),對(duì)不同安全等級(jí)網(wǎng)絡(luò)間的隔離防護(hù),依據(jù)業(yè)務(wù)流的

3、流向從網(wǎng)絡(luò)層進(jìn)行安全防護(hù)部署。設(shè)計(jì)目標(biāo)通過(guò)本次安全防護(hù)設(shè)計(jì),明確安全區(qū)域,針對(duì)每個(gè)安全區(qū)域依據(jù)其安全等級(jí)進(jìn)行相應(yīng)的安全防護(hù),以達(dá)到使整個(gè)系統(tǒng)結(jié)構(gòu)合理、提高安全性、降低風(fēng)險(xiǎn),使之易于管理維護(hù),實(shí)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)的可控性,在保證安全性的同時(shí)不以犧牲性能及易用性為代價(jià)。其具體目標(biāo)如下:對(duì)數(shù)據(jù)中心進(jìn)行分層隔離防護(hù),利用 Juniper Netscreen 防火墻高包轉(zhuǎn)發(fā)率低延遲的優(yōu)勢(shì)和機(jī)敏的安全把握策,愛(ài)護(hù)網(wǎng)上銀行 DB 層的數(shù)據(jù)安全,并以高牢靠性冗余架構(gòu)保證業(yè)務(wù)連續(xù)性和可用性。對(duì)數(shù)據(jù)中心互聯(lián)網(wǎng)網(wǎng)與生產(chǎn)網(wǎng)之間,明確安全等級(jí)的劃分,明確應(yīng)用數(shù)據(jù)的訪問(wèn)方向,利用 Juniper 防火墻的細(xì)粒度安全把握機(jī)制及深度

4、檢測(cè)功能在保證正常業(yè)務(wù)通訊的同時(shí),屏蔽互聯(lián)網(wǎng)對(duì)生產(chǎn)網(wǎng)造成的風(fēng)險(xiǎn)。本設(shè)計(jì)方案中“安全”的定義本次“安全設(shè)計(jì)方案”中的“安全”,主要指以下五個(gè)方面的內(nèi)容:各個(gè)Internet 邊界點(diǎn)或內(nèi)網(wǎng)安全等級(jí)劃分邊界點(diǎn)的安全、設(shè)備(產(chǎn)品)本身的安全、安全技術(shù)和策略,牢靠性,安全管理。第 2 章設(shè)計(jì)依據(jù)本次設(shè)計(jì)方案主要依據(jù)以下內(nèi)容:網(wǎng)絡(luò)現(xiàn)狀報(bào)告網(wǎng)絡(luò)安全工程協(xié)調(diào)會(huì)會(huì)議紀(jì)要相關(guān)國(guó)際安全標(biāo)準(zhǔn)及規(guī)范相關(guān)國(guó)家的安全標(biāo)準(zhǔn)及規(guī)范已頒布和執(zhí)行的國(guó)家、地方、行業(yè)的法規(guī)、規(guī)范及管理方法第 3 章設(shè)計(jì)原則本次安全設(shè)計(jì)方案的核心目標(biāo)是實(shí)現(xiàn)對(duì)比 XX 網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過(guò)程的有效把握和管理。網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程,網(wǎng)絡(luò)安全體系建設(shè)應(yīng)

5、依據(jù)“統(tǒng)一規(guī)劃、統(tǒng)籌支配,統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行,接受先進(jìn)的“平臺(tái)化”建設(shè)思想, 避開(kāi)重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益,堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在設(shè)計(jì)的網(wǎng)絡(luò)安全系統(tǒng)時(shí),我們將遵循以下原則:全局性、綜合性、整體性設(shè)計(jì)原則安全方案將運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法,從網(wǎng)絡(luò)整體角度動(dòng)身,分析安全問(wèn)題, 提出一個(gè)具有相當(dāng)高度、可擴(kuò)展性的安全解決方案。從網(wǎng)絡(luò)的實(shí)際狀況看,單純依靠一種安全措施,并不能解決全部的安全問(wèn)題。而且一個(gè)較好的安全體系往往是多種安全技術(shù)綜合應(yīng)用的結(jié)果。本方案將從系統(tǒng)綜合的整體角度去看待和分析各種安全措施的使用。需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則對(duì)任一網(wǎng)絡(luò)來(lái)說(shuō),確定安全難以達(dá)到,也不肯定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,對(duì)網(wǎng)絡(luò)面臨的威逼及可能擔(dān)當(dāng)?shù)娘L(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。愛(ài)護(hù)成本、被愛(ài)護(hù)信息的價(jià)值必需平衡。在設(shè)計(jì)安全方案時(shí),將均衡考慮各種安全措施的效果,供應(yīng)具有最優(yōu)的性能價(jià)格比的安全解決方案。安全需要付出代價(jià)(資金、性能損失等),但是任何單純?yōu)榱税踩豢紤]代價(jià)的安全方案都是不切實(shí)際的。方案設(shè)計(jì)同時(shí)供應(yīng)了可操作的分步實(shí)施方案。可行性、牢靠性、安全性作為一個(gè)工程項(xiàng)目,可行性是設(shè)計(jì)安全方案的根本,它將直接影響