南京奧體中心網絡安全隔離投標方案

目錄1 南京奧體中心網絡安全隔離需求分析 31.1 南京奧體中心內部網網絡現狀 31.2 南京奧體中心網絡的安全風險分析 31.3 建立統一安全隔離數據交換安全原則 42 南京奧體中心網絡網絡安全隔離解決方案 52.1 南京奧體中心網絡內網安全隔離與信息交換設計 52.2 安全隔離與信息交換平臺實施方案 52.3 近期建議解決方案拓撲圖 62.4 解決方案產品選型 73 隔離網閘產品方案設計 83.1 隔離網閘產品概述 83.2 產品內部架構 83.3 產品特點 93.4 產品功能 103.4.1 系統可靠性 103.4.2 系統可用性 113.4.3 安全功能 113.4.4 系統管理 123.4.5 應用支持 133.5 偉思ViGap系統性能參數 144 實施方案 144.1 實施計劃 144.2 具體實施步驟 155 驗收方案 155.1 設備交貨驗收 155.2 現場移交驗收 165.3 試運轉驗收測試 166 系統支持與服務方案 166.1 售后服務 166.2 培訓計劃 17外部主機對內網的訪問請求。在該隔離環境下，大量攻擊行為都被隔離網閘隔離而無法進入南京奧體中心數據中心網。隔離網閘采用多接口設計可以配合負載均衡器實現應用負載，保證業務的高可靠性設計。部署偉思數據交換系統實現內外網文件數據與數據庫數據的同步交換，該系統具備強大的安全審計、木馬防護、文件簽名校驗等功能，能夠有效保障數據中心網與外網數據安全可靠的交換。近期建議解決方案拓撲圖近期南京奧體中心網絡進行初期的業務運行，其用戶量在幾十數量級，但是考慮到將來的用戶數增加較大，為使業務系統將來能夠平滑升級和過度，因此，可建議采用單主機、單鏈路的千兆設備構建安全隔離平臺，其初步的整體解決方案如圖所示：本方案在南京奧體中心數據中心網絡與外網核心交換機間部署隔離網閘，統一實現用戶認證、文件安全檢查、通訊加密、網絡隔離以及文件上傳、下載等任務。隔離網閘可采用訪問式和同步式兩種工作模式，提供內外網數據庫、文件服務器的數據同步功能，也可以提供對網絡訪問的全面控制和策略管理。隔離網閘負責完全屏蔽數據中心網絡，進行協議剝離和純數據靜態擺渡，，防止各種已知和未知的攻擊行為及木馬病毒危害。隔離網閘具有應用文件數據交換功能和數據庫數據交換功能，實現內外網數據安全可靠的交換，同時具備強大的安全審計、木馬防護、文件簽名校驗等功能，能夠有效防止木馬、病毒隨文件進入數據中心網。隔離網閘支持白名單安全機制工作，即僅允許專用傳輸程序訪問數據中心網的服務器進行文件上傳、下載，任何其它應用程序，包括各類病毒、木馬程序都被拒絕訪問數據中心網服務器，確保數據中心網服務器安全。隨著業務的擴展，隔離網閘豐富的網絡接口可以直連對外應用服務器配合負載均衡器實現服務器的冗余，保證業務的可持續性和高可靠性。方案擴展性隨著信息化建設的不斷推進，未來用戶業務量的變化、增加，越來越多的業務系統需要與數據中心的服務器進行數據交換，為了保證業務系統能持續、可靠地提供服務變的尤為重要的，因此安全隔離與信息交換系統的容錯性和不間斷性顯得尤為重要，在原有的基礎上增加一臺安全隔離設備實現雙機熱備，從而準確、快速地將原主設備應用切換到備機上繼續運行，實現整個業務系統的不間斷運行，保證整個業務系統對外服務的正常，為關鍵業務應用提供強大的保障；擴展可采用疊加方式，不需要改變已有的網絡應用結構同時攻擊的手段也在不斷的更新，應對新的安全風險，只需要在邊界安全交換平臺兩端網絡增加安全性擴展設備系統即可，比如：IDS/IPS、防病毒系統、終端安全準入系統、可信文件檢測系統等等。解決方案產品選型根據所需防范的具體安全問題類型、期望達到的安全程度，本方案建議選擇相應的安全產品，產品的選型遵從如下標準：1)、成熟性：保證安全體系本身的可靠和穩定，也是保證網絡安全系統平臺能夠安全可靠運行的基本要素。2)、先進性：保證安全體系具有較強的適應力、生命力，以便能適應未來一段時期內安全發展的需要。3)、國內自主知識產權，自行生產的網絡安全產品。4)、合法性：安全體系建設中所采用的安全技術及其產品須有國家安全部門或具有等效職能機構認證并頒發有許可證。隔離網閘產品方案設計隔離網閘產品概述偉思網絡安全技術有限公司作為我國最早研發并率先推出安全隔離與信息交換系統產品的專業信息安全技術公司之一，其安全隔離與信息交換產品已經廣泛應用于近百家各種不同行業/部門的用戶系統中，多次在一些國家部委及金融單位總部的重要招標中成功中標或入圍，獲得了用戶的普遍高度好評。偉思信安ViGap安全隔離與信息交換系統采用國際先進的GAP硬件隔離反射技術，實現了在網絡隔離環境下的可控信息交換，并針對傳統安全隔離與信息交換系統應用層安全防護薄弱的現狀，運用創新技術開發出基于網絡隔離安全基礎平臺下的應用層防護系統，為各類黨政部門、軍事單位、金融電信、科研院校及企事業單位等機構的關鍵業務處理系統與外部不可信網絡間信息交換提供了完整的安全隔離與信息交換解決方案。偉思信安ViGap安全隔離與信息交換系統率先采用國際領先的基于ASIC芯片（大規模集成電路芯片）設計的高速硬件電子隔離開關技術，實現了受保護網絡與不可信網絡（互聯網、專網等外部網絡）間的物理斷開，并通過擺渡機制在可控環境下實現內外網間應用層數據交換。ASIC芯片具有不可編程特性而且通訊方式徹底私有，從技術上消除了傳統攻擊手段對受保護內部網絡的威脅，所有交換數據均經過ViGap的嚴格安全檢查，置于ViGap設備保護之下的內部網絡與外部不可信網絡在任一時刻內均不存在直接的物理網絡連接，從而起到了保護內部網絡免遭來自外部已知和未知的網絡攻擊，實現了安全、可靠的數據交換。產品內部架構偉思信安安全隔離交換系統的系統結構如下圖表所示：圖表1安全隔離交換系統的隔離體系結構VIGAP安全隔離交換系統的所有控制邏輯由硬件實現的，不能被軟件修改；安全隔離交換系統在內外安全主板上各設計了一個隔離開關，稱反射GAP。反射GAP實現內外網絡之間的物理斷開，但同時能交換數據的目的。反射GAP使得內外網中繼數據的速率達到物理連通狀態的100％，從而消除了因物理斷開內外網絡而可能造成的通信瓶頸。產品特點ViGap是一款面向大型網絡的安全隔離系統，為各類黨政部門、軍事單位、金融電信、科研院校及企事業單位等關鍵部門的內部網絡或服務器提供網絡隔離環境下的實時隔離保護，并在可控狀態下實現內部網絡或服務器與外界的實時（適度）信息交換。采用獨特的“2＋1”安全體系架構，通過基于ASIC芯片技術設計的專用隔離電子開關系統，實現用戶關鍵網絡及服務系統與外界的物理隔斷，實現鏈路層與網絡層的徹底斷開。采用高性能和多條流水線設計的ASIC芯片為基礎建立的全新硬件隔離架構，擁有全線速隔離交換性能，滿足大型網絡應用所面對大用戶量、低延時訪問的需求。在核心的GAP電子開關隔離芯片上采用了含TRUELVDS功能強大的APXII系列EP2A70作為FPGA設計硬件基片，該芯片具有500萬門電路以及多路Giga位的通道，支持內部高達1060個硬件I/Os通道，使得電子開關具有高速的數據傳輸能力和并發處理能力。充分考慮關鍵應用對可靠性、可用性的要求，獨家采用負載均衡技術以及基于應用協議連接資源保護的QOS服務質量控制技術消除單點故障和網絡實現對網絡服務的高可靠性及可用性保證。采用無協議的“GAPReflective”，GAP隔離反射技術實現開放網絡通訊協議的剝離與重組，有效阻斷來自網絡層及服務器OS層的各類已知/未知攻擊，彌補其它安全技術對網絡未知攻擊的防御盲區。廣泛支持各類通用應用協議（HTTP、FTP、SMTP、DNS、SQL等），包括支持視頻會議、流媒體以及VPN等特殊應用代理以及用戶定制協議，無需再進行二次開發或單獨購買模塊。智能化攻擊識別與過濾，ViGap采用先進的應用層協議分析技術智能識別并過濾大量基于應用層協議的攻擊行為，ViGap提供目前市場上豐富的協議分析模塊，全面防護各類應用系統安全風險，包括：HTTP、FTP、SMTP、POP3、IMAP、DNS等數十種協議分析模塊。產品功能系統可靠性雙機熱備功能ViGap系列產品針對大型網絡的應用提供了雙機熱備份功能，實現系統的穩定可靠運行。通過內置的雙機熱備系統，連接在同一個網絡內的多臺ViGap設備可以建立雙機熱備機制，并通過虛擬IP統一對外提供服務。從設備不斷發出心跳信息偵測主設備狀態，一旦主設備出現故障從設備將立即接管并繼續提供服務。結合ViGap獨有的狀態檢測系統，管理員能夠迅速發現設備故障并作出處理。系統工作狀態檢測與報警ViGap系列采用基于工業控制系統的架構設計，具備良好的穩定性。并且建立了設備狀態檢測系統，在開機狀態下持續對系統各硬件板卡及軟件模塊進行檢查，并將系統狀態顯示在液晶面板上，管理員可針對故障信息迅速了解故障原因并作出響應。同時，ViGap系列軟件系統采用了先進的自愈技術，當故障發生時可迅速命令系統重啟恢復到正常工作狀態。系統可用性ViGap系列為滿足高性能的網絡處理而設計，因此，必須支持大規模的并發訪問和高帶寬的數據吞吐。除了采用更高端的處理系統、內存以及接口以外，ViGap系列還設計了最大支持32臺設備的負載平衡系統來實現高可用性。ViGap系列的負載平衡系統通過仲裁網絡流量方式實現流量在ViGap集群中的平均分配，從而將處理性能大幅提升。安全功能網絡隔離功能ViGap系列具有網絡隔離功能，通過基于ASIC設計的硬件電子開關實現可信、不可信網絡間的物理斷開，保護可信網絡免遭黑客攻擊。數據靜態化采用“裸數據”機制，運用協議剝離和重組技術，在網閘內部實現“裸數據”和數據靜態化，有效的防止網絡上未知攻擊。IDS入侵檢測功能ViGap系列在設備兩端內置了IDS入侵檢測引擎，該引擎可有效保護系統自身及受保護網絡免受攻擊者的頻繁攻擊。該系統將自動分析對受保護內網的訪問請求，并與ViGAP隔離系統實現內部聯動對可疑數據包采取拒絕連接的方式防御攻擊。SAT（服務器地址映射）功能ViGap系列具備完善的SAT功能，可信端服務器可通過SAT功能將自身的特定服務虛擬映射到ViGap系列的不可信端接口上，通過隔離系統的不可信端虛擬端口對外提供服務，訪問者僅能訪問虛擬端口而無法直接連接服務器，從而對外屏蔽服務器，防止服務器遭到攻擊。身份認證功能不同于部門級網絡，大型網絡對身份認證的要求極高，且需要基于第三方的統一身份認證服務。ViGap系列除了提供基本的用戶名/口令身份認證功能以外，還可與外部認證系統集成支持擴展的Radius、PKI數字證書、SecureID等多種強身份認證功能。安全代理服務功能ViGap系列允許可信端用戶以應用代理方式訪問不可信網絡，ViGap系列作為應用代理網關對內網訪問請求進行檢測，相對于傳統的基于網絡層的NAT方式來說，由于代理服務在應用層對訪問請求進行檢測具有更細的粒度和檢查元素，因此，對訪問具有更高的安全控制能力。AI安全過濾功能應用智能能夠使您根據來源、目的地、用戶特權和時間來控制對特定的HTTP、SMTP或FTP等資源的訪問。ViGap系列產品通過協議分析技術提供應用級的安全過濾以保護數據和應用服務器免受惡意Java和ActiveXapplet的攻擊。ViGap系列在AI功能中新增了安全功能，包括：確認通信是否遵循相關的協議標準；進行異常協議檢測；限制應用程序攜帶惡意數據的能力；對應用層操作進行控制，這些新功能對企業級網絡環境中應用層的安全控制起到了很重要的強化作用。內容及格式檢測功能ViGap系列具備內容過濾及文件格式檢查功能，對管理員指定格式的文件或指定內容關鍵字的郵件、網頁、FTP文件等具有安全過濾功能，能夠阻止敏感的信息外泄或惡意程序的入侵。規則庫后置偉思ViGap將規則庫后置在網閘的內網可信端一側，通過芯片級的隔離部件和“裸數據”擺渡機制的保護，使得放置于GAP產品的受保護網絡端（即后端）的規則庫具有嚴格的在外部網絡端不可修改特性，保護規則庫的安全。系統管理輕松管理ViGap系列安全管理架構允許管理員將多個隔離與信息交換系統設備部署到任何位置上并對其進行集中式管理。一旦創建或修改了策略，它就被自動分發到規則指定的所在位置。良好的用戶界面ViGap系列提供了一個良好的用戶界面，以樹型結構組織對象，可在所有規則中共享所有的對象定義（例如：用戶、主機、網絡和服務等等），以便進行有效的策略創建和安全管理。豐富的日志及審計ViGap系列管理平臺能夠監控并記錄ViGap系列產品的系統狀態。全面審計網絡活動、入侵活動、管理員的配置操作、系統錯誤信息、違反規則的過濾信息等日志信息。應用支持安全上網ViGap系列支持用戶安全上網應用，可根據身份認證、IP＋MAC綁定等多種安全策略實現用戶安全上網應用，同時支持透明應用代理方式，客戶端無需設置。數據庫應用ViGap系列全面支持各種類型的數據庫應用，支持Oracle、MSSQL、MySQL、Sybase等主流的數據庫的SQL查詢，支持全表復制、增量更新、全表更新等多種數據庫同步方式，并支持自定義表和字段。網絡應用ViGap系列支持各類TCP/IP以上的網絡應用協議，無需二次開發。包括：HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用戶自定義開發的特殊應用協議。支持網閘訪問的單向、雙向自定義。同時，針對用戶特殊需求ViGap系列提供API應用開發接口。即插即用網閘設備的應用，不會改變現有網絡拓撲結構，不改變原有網絡和業務系統，網閘的應用，對原有網絡無需做大的改動。偉思ViGap系統性能參數偉思ViGap提供千兆安全隔離與交換系統，其主要性能指標如下：內外各包含5個千兆電口和4個光口網絡吞吐量性能：>=800Mbps隔離硬件芯片數據交換速率：5Gbps系統時延：小于1ms并發連接數：>=100000平均無故障運行時間：>60000小時用戶數支持：無限制實施方案實施計劃為確保本次奧體中心數據網閘項目采購項目的順利實施，珠海偉思信息技術有限公司制定了詳細的項目實施計劃。整個項目實施過程分為四個階段，各階段跨度包含項目實施前勘查，項目中標后的供貨，項目實施部署、實施完成后的試運行。階段一：項目實施前的現場勘查，我公司項目實施勘查自項目投標前就已開始，項目經理直接參加用戶單位的現場勘查，進行現場環境調查與用戶環境調研，了解用戶需求，便于中標后組織項目實施方案。階段二：中標后產品供貨過程中，我公司組建項目實施團隊，將參照前期用戶環境勘查結果結合具體用戶需求制定詳細的現場施工組織方案，并制定詳細的實施計劃明細表，并在項目開始實施之前制定切實可用的風險回退預案。階段三：項目實施階段，公司項目實施團隊在本階段根據項目實施計劃參照風險回退預案進行項目實施。實施過程嚴格按照用戶單位需求進行，如遇任何可能出現的不可知因素，將第一時間與用戶單位溝通解決。本階段所有現場實施工作均按日進行記錄并將在整個項目結束后提交項目施工日志。‘階段四：項目試運行階段，項目實施結束后進入試運行階段，試運行階段中，我公司將每周拍專業工程師赴用戶現場進行運行情況監測，實時發現解決試運行過程中出現的各種問題，本階段將就發現的問題進行集中整改，如用戶單位本階段提出進一步需求，將經于用戶協商一致后解決。同時本階段我公司將聯合廠商組織人員對用戶進行集中培訓，培訓時間、地點、內容等將與用戶協商后確定。具體實施步驟現狀：數據中心與信息發布網之間的安全隔離與信息交換系統接入網絡中需求：按照方案的要求部署安全隔離與信息交換設備到現有網絡中協助：要求：在實施過程中不能影響用戶正常的網絡使用實施時間：實施步驟：1、按照方案要求配置現有安全隔離與信息交換設備2、安全隔離與信息交換上架，并與非工作時間進行接線3、檢查配置，根據網絡實際環境進行配置調整4、測試配置，記錄成文。驗收方案設備交貨驗收我公司按合同要求在規定的時間內完成產品交貨、進場和產品初驗。驗收測試要求：設備出貨前，將依據合同清單，對設備，品種，數量進行核對后，運送到合同規定的地點，并出具《設備送貨單》。對于出廠設備，賣方售后項目工程師和銷售人員將嚴格按合同檢查施工雙方共同核準的設備數量，保證到達買方的設備完全正確。買方可派員參加出貨檢查，對檢查的軟、硬件設備，將按合同清單為準，和買方一道完成設備清點，并共同填寫《設備送貨單》。出貨檢查后，賣方將對檢測、驗收的所有設備，包括硬件、軟件將列出詳細的設備檢測情況一覽表，并提交正式打印的記錄材料－《設備驗收報告》。現場移交驗收系統安裝及測試時，賣方將組織項目實施工程小組。小組成員由施工雙方共同確定，以賣方為主，買方參與，協調為輔，工程實施小組將專人負責，對每天安裝及測試的內容將有詳細的工作文檔記錄。在開始工程實施前后，賣方將提供：工程實施計劃、工程進度安排、工程進展狀況、工程問題報告、工程解決方案等工程資料提交買方工程負責人員，直到工程移交為止。工程開始移交測試時，工程實施人員將提供：工程測試方法報告、測試結果報告、測試指標結果報告、工程測試竣工報告等給用戶方項目負責人審查。移交測試移交測試將由我方將與用戶方雙方共同擬定測試內容、測試指標、測試結果說明、測試儀器及方法等內容報告給雙方項目負責人和監理單位審查通過。（1)移交測試合格雙方移交測試結果經買方審查，若其中有未達到要求之項目，施工雙方按合同條款檢查，按雙方商定的結果做下一步的解決辦法。（2)網絡系統開通設備由我方或原廠商工程實施小組安裝實施完畢后、在開通之前，工程小組將進行開通前準備工作。包括用戶設置、網絡配置、操作注意事項等。開通時需要雙方提供行政上的支持。包括召集相關單位技術人員配合工作，傳輸通道管理技術人員協同實施問題。對于產品質量問題，由我方與原廠商全面負責，出現問題立即加以解決。試運轉驗收測試試運轉期間，我方工程人員將觀察記錄安全隔離與信息交換系統設備各項功能運轉情況。系統支持與服務方案售后服務我們提供的售后服務內容主要包括以下幾個方面：電話支持提供專用售后服務技術電話，為用戶進行有關產品使用的電話答疑和操作指導等。我們的技術支持電話為：（0756）3391616－技術部提供免費電話支持服務：400-881-8180E-mail支持提供E-mail支持，解答用戶有關安全產品使用疑問的電子郵件。偉思公司的技術支持E-mail為：Service@網站支持在公司網站上發布有關產品的信息，如FAQ、產品使用交流BBS、支持信息等對客戶進行知識服務。用戶和代理商可隨時瀏覽網站，查看有關內容或進行在線交流等。偉思公司的網址為：。現場支持偉思公司承諾對貴單