内网安全整体解决方案.doc

《内网安全整体解决方案.doc》由会员分享，可在线阅读，更多相关《内网安全整体解决方案.doc（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书山有路勤为径，学海无涯苦作舟。内网安全整体解决方案 内网安全整体解决方案 内网安全整体解决方案 二一八年五月 第i页 内网安全整体解决方案 目录 第一章总体方案设计.31.1依据政策标准.31.1.1国内政策和标准.31.1.2国际标准及规范.51.2设计原则.51.3总体设计思想.6第二章技术体系详细设计.82.1技术体系总体防护框架.82.2内网安全计算环境详细设计.82.2.1传统内网安全计算环境总体防护设计.82.2.2虚拟化内网安全计算环境总体防护设计.162.3内网安全数据分析.252.3.1内网安全风险态势感知.252.3.2内网全景流量分析.252.3.3内网多源威胁情报分析

2、.272.4内网安全管控措施.272.4.1内网安全风险主动识别.272.4.2内网统一身份认证与权限管理.292.4.1内网安全漏洞统一管理平台.32第三章内网安全防护设备清单.33 第ii页 内网安全整体解决方案 第一章总体方案设计 1.1依据政策标准 1.1.1国内政策和标准 1.中华人民共和国计算机信息系统安全保护条例（国务院147号令）2.国家信息化领导小组关于加强信息安全保障工作的意见（中办发202127号） 3.关于信息安全等级保护工作的实施意见（公通字202166号）4.信息安全等级保护管理办法（公通字202143号） 5.关于开展全国重要信息系统安全等级保护定级工作的通知（公

3、信安2021861号） 6.信息安全等级保护备案实施细则（公信安20211360号）7.公安机关信息安全等级保护检查工作规范（公信安2021736号）8.关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20212021号） 9.关于开展信息安全等级保护安全建设整改工作的指导意见（公信安20211429号） 10.国资委、公安部关于进一步推进中央企业信息安全等级保护工作的通知（公通字202170号文） 11.关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知（公信安2021303号文） 12.国资委中央企业商业秘密保护暂行规定（国资发202141号）13.gb/t2

4、2239.1-xxxx信息安全技术网络安全等级保护基本要求第1部分安全通用要求（征求意见稿） 14.gb/t22239.2-xxxx信息安全技术网络安全等级保护基本要求 第3页 内网安全整体解决方案 第2部分：云计算安全扩展要求（征求意见稿） 15.gb/t25070.2-xxxx信息安全技术网络安全等级保护设计技术要求第2部分：云计算安全要求（征求意见稿） 16.ga/t20xxxx信息安全技术网络安全等级保护定级指南（征求意见稿） 17.信息安全技术信息系统安全等级保护基本要求18.信息安全技术信息系统等级保护安全设计技术要求19.信息安全技术信息系统安全等级保护定级指南20.信息安全技术

5、信息系统安全等级保护实施指南21.计算机信息系统安全等级保护划分准则22.信息安全技术信息系统安全等级保护测评要求23.信息安全技术信息系统安全等级保护测评过程指南24.信息安全技术信息系统等级保护安全设计技术要求25.信息安全技术网络基础安全技术要求 26.信息安全技术信息系统安全通用技术要求（技术类）27.信息安全技术信息系统物理安全技术要求（技术类）28.信息安全技术公共基础设施pki系统安全等级保护技术要求29.信息安全技术信息系统安全管理要求（管理类）30.信息安全技术信息系统安全工程管理要求（管理类）31.信息安全技术信息安全风险评估规范32.信息技术安全技术信息安全事件管理指南3

6、3.信息安全技术信息安全事件分类分级指南34.信息安全技术信息系统安全等级保护体系框架35.信息安全技术信息系统安全等级保护基本模型 第4页 内网安全整体解决方案 36.信息安全技术信息系统安全等级保护基本配置 37.信息安全技术应用软件系统安全等级保护通用技术指南38.信息安全技术应用软件系统安全等级保护通用测试指南39.信息安全技术信息系统安全管理测评 40. 卫生行业信息安全等级保护工作的指导意见 1.1.2国际标准及规范 1.国际信息安全iso27000系列2.国际服务管理标准iso202103.itil最佳实践4.企业内控cobit 1.2设计原则 随着单位信息化建设的不断加强，某单

7、位内网的终端计算机数量还在不断增加，网络中的应用日益复杂。某单位信息安全部门保障着各种日常工作的正常运行。 目前为了维护网络内部的整体安全及提高系统的管理控制，需要对单位内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护，加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。同时对于内部业务系统的服务器进行定向加固，避免由于外部入侵所导致的主机失陷 第5页 内网安全整体解决方案等安全事件的发生 如上图所示，本项目的设计原则具体包括： 。整体设计，重点突出原则。纵深防御原则 。追求架构先进、技术成熟，扩展性强原则。统一规划，分布实施原则。持续安全原则。可视、可管

8、、可控原则 1.3总体设计思想 如上图所示，本方案依据国家信息安全相关政策和标准，坚持管理和技 术并重的原则，将技术和管理措施有机的结合，建立信息系统综合防护体系，通过“1341”的设计思想进行全局规划，具体内容： 第6页 内网安全整体解决方案 。一个体系 以某单位内网安全为核心、以安全防护体系为支撑，从安全风险考虑，建立符合用户内网实际场景的安全基线，通过构建纵深防御体系、内部行为分析、外部情报接入，安全防护接入与虚拟主机防护接入等能力，构建基于虚拟化云安全资源池+传统硬件安全设备的下一代内网安全防御体系。 。三道防线 结合纵深防御的思想，从内网安全计算环境、内网安全数据分析、内网安全管控手

9、段三个层次，从用户实际业务出发，构建统一安全策略和防护机制，实现内网核心系统和内网关键数据的风险可控。 。四个安全能力 采用主动防御安全体系框架，结合业务和数据安全需求，实现“预测、防御、检测、响应”四种安全能力，实现业务系统的可管、可控、可视及可持续。 。预测能力：通过运用大数据技术对内部的安全数据和外部的威胁情报进行主动探索分析和评估具体包括行为建模与分析、安全基线与态势分析、能够使问题出现前提早发现问题，甚至遇见可能侵袭的威胁，随之调整安全防护策略来应对。 。防御能力：采用加固和隔离系统降低攻击面，限制黑客接触系统、发现漏洞和执行恶意代码的能力，并通过转移攻击手段使攻击者难以定位真正的系

10、统核心以及可利用漏洞，以及隐藏混淆系统接口信息（如创建虚假系统、漏洞和信息），此外，通过事故预防和安全策略合规审计的方式通过统一的策略管理和策略的联动，防止黑客未授权而进入系统，并判断现有策略的合规性并进行相应的优化设置。 。检测能力：通过对业务、数据和基础设施的全面检测，结合现有的安全策略提出整改建议，与网络运维系统联动实现安全整改和策略变更后，并进行持续监控，结合外部安全情况快速发现安全漏洞并进行响应。 。响应能力：与网络运维系统进行对接，实现安全联动，出现安全漏洞时在短时间内，进行安全策略的快速调整，将被感染的系统和账户进行隔离，通过回顾分析事件完整过程，利用持续监控所获取的数据，解决相

11、应安全问题。 第7页 内网安全整体解决方案 第二章技术体系详细设计 2.1技术体系总体防护框架 在进行内网安全防护技术体系详细设计时，充分考虑某单位内部网络面临的威胁风险和安全需求，并遵循信息系统等级保护基本要求、gb/t22239.1-xxxx信息安全技术，网络安全等级保护基本要求：第1部分-安全通用要求（征求意见稿），通过对内网安全计算环境、内网安全数据分析、内网安全管控手段等各种防护措施的详细设计，形成“信息安全技术体系三重防护”的信息安全技术防护体，达到信息系统等级保护基本要求、gb/t22239.1-xxxx信息安全技术，网络安全等级保护基本要求：第1部分-安全通用要求（征求意见稿）

12、切实做到内部网络安全的风险可控。 三重防护主要包括。内网安全计算环境、内网安全数据分析、内网安全管控措施。 2.2内网安全计算环境详细设计 2.2.1传统内网安全计算环境总体防护设计 第8页 内网安全整体解决方案 如上图所示，在内网安全计算环境方面结合互联网与办公网的攻击，围绕网络、主机、应用和数据层实现安全防护，具体内容包括： 。网络层安全防护设计 1、通过fw或vfw中的fw、av、ips模块实现网络层访问控制、恶意代码防护、入侵防御。 2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。 3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对数据包进行解析，通过

13、会话时间、协议类型等判断业务性能和交互响应时间。 。主机层安全防护与设计 1、在各个区域的核心交换处部署安全沙箱，实现主机入侵行为和未知威胁分析与预警。 2、通过自适应安全监测系统，对主机操作系统类型、版本、进程、账号权限、反弹shell、漏洞威胁等进行全面的监控与预警。应用层安全防护与设计 1、在通过外部服务域部署waf设备实现应用层基于入侵特征识别的安全防护 第9页 内网安全整体解决方案 2、通过自适应安全监测系统，对应用支撑系统的类型、版本、框架路径、访问权限、漏洞威胁等进行全面的监控与预警。数据层安全防护与设计 1、在数据资源域边界处部署数据库防护墙实现敏感信息的访问控制2、在数据资源

14、域边界处部署数据库审计设备实现数据库的操作审计。 3、在互联网接入域部署vpn设备，实现对敏感数据传输通道的加密 2.2.1.1内网边界安全 2.2.1.1.1内网边界隔离 严格控制进出内网信息系统的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。 2.2.1.1.1内网恶意代码防范 病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一，面对越发复杂的网络环境，传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制，即便采取一些手段加以简单的控制，也仍

15、然不能消除来自外界的继续攻击，短期消灭的危害仍会继续存在。为了解决上述问题，对网络安全实现全面控制，一个有效的控制手段应势而生：从内网边界入手，切断传播途径，实现网关级的过滤控制。 建议在该区域部署防病毒网关，对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向数据中心或办公区域网络传播2.2.1.1.2内网系统攻击防护 网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，ips系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种

16、网络攻击行为，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。 第10页 内网安全整体解决方案 ips是通过直接串联到网络链路中而实现这一功能的，即ips接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。ips以在线串联方式部署实现对检测到的各种攻击行为进行直接阻断并生成日志报告和报警信息。 2.2.1.1.3内网信息隔离防护 建议在内网核心业务区的边界部署安全隔离网闸，为了保证数据安全，高密级网与低密级网络之间，要求数据只能从低密级网络流向高密级网络。为解决高密级网络通过连接环境泄密问题设计

17、的安全隔离与信息单项导入系统（即安全隔离网闸）。该设备由于其物理单向无反馈环境、基于数据的单项导入，使黑客无法通过该套系统进行入侵和探测，同时行为得不到任何反馈信息，在为用户提供绝对单向无反馈传输功能的同时，为用户提供高级别的网络攻击安全防护解决方案。 2.2.1.1内网主机安全 2.2.1.1.1内网用户行为管控 上网行为管理系统是为满足单位内部网络行为管理和内容审计的专业产品。系统不仅具有防止非法信息传播、敏感信息泄露，实时监控、日志追溯，网络资源管理，还具有强大的用户管理、报表统计分析功能。 上网行为管理具有高效实时的网络数据采集能力、智能的信息处理能力、强大的内容审计分析能力、精细的行

18、为管理能力，是一款高性能、智能灵活、易于管理和扩展的上网行为管理产品。 2.2.1.1.2内网非授权用户准入 在信息化越来越简便的背景下，任何接入网络的设备和人员都有可能对内网信息资源构成威胁，因此针对办公计算机以及分支机构接入的系统安全以及访问区域管理显的尤为重要，如果出现安全事故或越权访问的情况，将会严重影响整体业务系统运行安全。 由于信息化程度较高，终端点数较多，对it软硬件的资产管理及故障维护如果单纯靠人工施行难度和工作量都比较大且效率比较低，同时如果员工存在对管 第11页 内网安全整体解决方案 理制度执行不到位的情况出现，就迫切需要通过技术手段规范员工的入网行为。 为加强网络信息安全

19、管理以及内部pc的安全管理，提高内网办公效率，应建立一套终端准入管理系统，重点解决以下问题：入网终端注册和认证化 采用的是双实名制认证方式，其包含对终端机器的认证和使用人员的认证，终端注册的目的是为了方便管理员了解入网机器是否为合法的终端，认证的目的是使用终端的人身份的合法性，做到人机一一对应，一旦出现安全事故，也便于迅速定位终端和人。违规终端不准入网违规终端定义 外来终端：外部访客使用的终端，或者为非内部人员使用的、不属于内部办 公用终端（员工私人终端等）； 违规终端。未能通过身份合法性、安全设置合规性检查的终端。入网终端安全修复合规化 终端入网时若不符合单位要求的安全规范，则会被暂时隔离，

20、无法访问业务网络，待将问题修复符合单位安全规范后才能正常访问单位网络。内网基于用户的访问控制 内网基于用户的访问控制。可以通过用户组（角色）的方式定义不同的访问权限，如内部员工能够访问全网资源，来宾访客只允许访问有限的网络资源。 2.2.1.1.3内网终端安全防护 建议部署终端安全管理系统，为数据中心运维人员提供终端安全准入，防止运维人员终端自身的安全问题影响数据中心业务系统。在具备补丁管理、802.1x准入控制、存储介质（u盘等）管理、非法外联管理、终端安全性检查、终端状态监控、终端行为监控、安全报警等功能基础上，增加风险管理和主动防范机制，具备完善的违规监测和风险分析，实现有效防护和控制，

21、降低风险，并指导持续改进和完善防护策略，并具备终端敏感信息检查功能，支持终端流量监控，非常 第12页 内网安全整体解决方案 适合于对数据中心运维终端的安全管理。 终端安全管理系统，提供针对windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能，采用统一策略下发并强制策略执行的机制，实现对网络内部终端系统的管理和维护，从而有效地保护用户计算机系统安全和信息数据安全。 2.2.1.1.4内网服务器安全加固 建议在内网所有服务器部署安全加固组件，针对内外网ip、对内对外端口、进程、域名、账号、主机信息、web容器、第三方组件、数据库、安全与业务

22、分组信息进行服务器信息汇总。主动对服务器进行系统漏洞补丁识别、管理及修复、系统漏洞发现、识别、管理及修复、弱口令漏洞识别及修复建议、高危账号识别及管理、应用配置缺陷风险识别及管理。7*24小时对服务器进行登录监控、完整性监控、进程监控、系统资源监控、性能监控、操作审计。通过对服务器整体威胁分析、病毒检测与查杀、反弹shell识别处理、异常账号识别处理、端口扫描检测、日志删除、登录/进程异常、系统命令篡改等入侵事件发现及处理。最终完成对服务器立体化的多维度安全加固。 2.2.1.1.5内网服务器安全运维 由于设备众多、系统操作人员复杂等因素，导致越权访问、误操作、资源滥用、疏忽泄密等时有发生。黑

23、客的恶意访问也有可能获取系统权限，闯入部门或单位内部网络，造成不可估量的损失。终端的账号和口令的安全性，也是安全管理中难以解决的问题。如何提高系统运维管理水平，满足相关法规的要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，越来越成为内部网络控制中的核心安全问题。 安全运维审计是一种符合4a（认证authentication、账号account、授权authorization、审计audit）要求的统一安全管理平台，在网络访问控制系统（如：防火墙、带有访问控制功能的交换机）的配合下，成为进入内部网络的一个检查点，拦截对目标设备的非法访问、操作行为。 运维审

24、计设备能够极大的保护客户内部网络设备及服务器资源的安全性，使得客户的网络管理合理化、专业化。 第13页 内网安全整体解决方案 建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计（堡垒主机）系统，为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备，网络安全设备，应用系统的操作行为全面的记录，包括登录ip、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能，从而使安全问题得到追溯，提供有据可查的功能和相关能力。 2.2.1.1内网应用安全 2.2.1.1.1内网应用层攻击防护 建议内网信息系统边界部署web应用防火墙（waf）设备，对we

25、b应用服务器进行保护，即对网站的访问进行7x24小时实时保护。通过web应用防火墙的部署，可以解决web应用服务器所面临的各类网站安全问题，如：sql注入攻击、跨站攻击（xss攻击，俗称钓鱼攻击）、恶意编码（网页木马）、缓冲区溢出、应用层ddos攻击等等。防止网页篡改、被挂木马等严重影响形象的安全事件发生。 waf作为常见应用层防护设备，在防护来自于外网的黑客攻击外，同样可以防护来自内网的跳板型渗透攻击，当内部终端或服务器被黑客攻陷后，为防止通过跳板机对内网其他应用系统进行内网渗透，通过waf防攻击模块，可以实时阻断任何应用层攻击行为，保护内部系统正常运行 2.2.1.2内网数据安全 2.2.

26、1.2.1内网数据防泄密 建议在内网环境中部署数据防泄密系统，保持某单位现有的工作模式和员工操作习惯不变，不改变任何文件格式、不封闭网络、不改变网络结构、不封闭计算机各种丰富的外设端口、不改变复杂的应用服务器集群环境，实现对企业内部数据强制透明加解密，员工感觉不到数据存在，保证办公效率，实现数据防泄密管理，形成“对外受阻，对内无碍”的管理效果。 员工未经授权，不管以任何方式将数据带离公司的环境，都无法正常查看。如：加密文件通过msn、电子邮件、移动存储设备等方式传输到公司授权范围以外（公司外部或公司内没有安装绿盾终端的电脑），那么将无法正常打开 第14页 内网安全整体解决方案 使用，显示乱码，

27、并且文件始终保持加密状态。只有经过公司审批后，用户才可在授予的权限范围内，访问该文件。 1）在不改变员工任何操作习惯、不改变硬件环境和网络环境、不降低办公效率，员工感觉不到数据被加密的存在，实现了单位数据防泄密管理； 2）员工不管通过、mail、u盘等各种方式，将单位内部重要文件发送出去，数据均是加密状态； 3）存储着单位重要数据的u盘、光盘不慎丢失后，没有在公司的授权环境下打开均是加密状态； 4）员工出差办公不慎将笔记本丢失，无单位授予的合法口令，其他人无法阅读笔记本内任何数据； 2.2.1.2.2内网数据库安全审计 建议在内部信息系统部署数据库审计系统，对多种类数据库的操作行为进行采集记录

28、，探测器通过旁路接入，在相应的交换机上配置端口镜像，对内部人员访问数据库的数据流进行镜像采集并保存信息日志。数据库审计系统能够详细记录每次操作的发生时间、数据库类型、源mac地址、目的mac地址、源端口、目标端口、数据库名、用户名、客户端ip、服务器端ip、操作指令、操作返回状态值。数据库审计系统支持记录的行为包括： 数据操作类（如select、insert、delete、update等）结构操作类（如create、drop、alter等） 事务操作类（如begintransaction、committransaction、rollbacktransaction等）用户管理类以及其它辅助类（如

29、视图、索引、过程等操作）等数据库访问行为，并对违规操作行为产生报警事件。 第15页 内网安全整体解决方案 2.2.2虚拟化内网安全计算环境总体防护设计 2.2.2.1划分虚拟安全域 图中提供安全组、连接策略两种方式。安全组类似白名单方式，而连接策略 第16页 内网安全整体解决方案 类似黑名单方式。通过添加具体的访问控制规则，支持任意虚拟机之间的访问控制。灵活的配置方式可以满足用户所有的访问控制类需求。 在原生虚拟化环境中部署的虚拟防火墙可以通过服务链技术，实现和sdn网络控制器的接口、安全控制平台的接口，并进一步抽象化、池化，实现安全设备的自动化部署。同时，在部署时通过安全管理策略的各类租户可

30、以获得相应安全设备的安全管理权限、达成分权分域管理的目标。 在安全控制平台部署期的过渡阶段，可以采用手工配置流控策略的模式，实现无缝过渡。在这种部署模式下，安全设备的部署情况与基于sdn技术的集成部署模式相似，只是所有在使用sdn控制器调度流量处，都需要使用人工的方式配置网络设备，使之执行相应的路由或交换指令。 以虚拟防火墙防护为例，可以由管理员通过控制器下发计算节点到安全节点中各个虚拟网桥的流表，依次将流量牵引到虚拟防火墙设备即可。 这一切的配置都是通过统一管理界面实现引流、策略下发的自动化，除了这些自动化操作手段，统一管理平台还提供可视化展示功能，主要功能有，支持虚拟机资产发现、支持对流量

31、、应用、威胁的统计，支持对接入服务的虚拟机进行全方位的网络监控支持会话日志、系统日志、威胁指数等以逻辑动态拓扑图的方式展示。 。南北向流量访问控制 第17页 内网安全整体解决方案 在云平台内部边界部署2套边界防火墙用于后台服务域与其他域的边界访问控制（即南北向流量的访问控制）。防火墙设置相应的访问控制策略，根据数据包的源地址、目的地址、传输层协议、请求的服务等，决定该数据包是否可以进出云计算平台，并确定该数据包可以访问的客体资源。 。东西向流量访问控制 虚拟化场景中的关键安全能力组件集合了acl、防火墙、ips、anti-ddos、dpi、av等多项功能，vdfw采用统一安全引擎，将应用识别、

32、内容检测、url过滤、入侵防御、病毒查杀等处理引擎合并归一，实现对数据中心内部东西向流量的报文进行高效的一次性处理。不仅如此，vdfw支持多虚一的集群模式，突破性能瓶颈的限制，以达到与数据中心防护需求最佳匹配的效果。当数据中心检测平台发现特定虚机发起内部威胁攻击流量后，管理员只需设置相关策略，由安全控制器调度，即可将策略统一下发到整个数据中心内部相关对应虚拟路由器组件上，将可疑流量全部牵引至vdfw进行检测防护与内容过滤。针对数据中心内部各类安全域、各个部门、采用的按需配置、差异化、自适应的安全策略。 2.2.2.2内网安全资源池 与数据中心中的计算、存储和网络资源相似，各种形态、各种类型的安

33、全产品都能通过控制和数据平面的池化技术，形成一个个具有某种检测或防护能力的安全资源池。当安全设备以硬件存在的时候（如硬件虚拟化和硬件原生引擎系统），可直接连接硬件sdn网络设备接入资源池；当安全设备以虚拟机形态存在的时候（如虚拟机形态和硬件内置虚拟机形态），可部署在通用架构（如x86）的服务器中，连接到虚拟交换机上，由端点的agent统一做生命周期管理和网络资源管理。控制平台通过安全应用的策略体现出处置的智能度，通过资源池体现出处置的敏捷度。软件定义的安全资源池可以让整套安全体系迸发出强大的活力，极大地提高了系统的整体防护效率。 通过安全资源管理与调度平台，实现与安全资源的对接，包括vfw、v

34、ips、vwaf等，各个安全子域的边界防护，通过安全资源管理与调度平台，通过策略路由的方式，实现服务链的管理和策略的编排各安全域边界之间均采用虚拟防火墙作为边界。 第18页 内网安全整体解决方案 如上图所示，在安全子域中将防火墙、waf、lbs、av、主机加固等均进行虚拟化资源池配置，通过安全管理子域中的安全控制器根据各子域的实际安全需求进行资源调用。针对各个子域内的边界访问控制，由安全资源与管理平台调用防火墙池化资源，分别针对各子域的访问请求设置相应的访问控制策略，根据数据包的源地址、目的地址、传输层协议、请求的服务等，决定该数据包是否可以进出本区域，并确定该数据包可以访问的客体资源。 由此

35、可见，安全资源池对外体现的是多种安全能力的组合、叠加和伸缩，可应用于云计算环境，也可应用于传统环境，以抵御日益频繁的内外部安全威胁。当然，在云环境中，安全资源池不仅可以解决云安全的落地，而且能发挥虚拟化和sdn等先进技术的优势，实现最大限度的软件定义安全。 2.2.2.3安全域访问控制 为提升虚拟主机及网络的安全性，针对虚拟网络安全边界设定访问控制策略，对于纵向流量、横向流量进行基于ip与端口的访问路径限制。 。对于虚拟网络边界进行区域请求控制。vpn接入边界访问控制。vlan访问控制 2.2.2.4iaas系统虚拟化安全规划 虚拟机的镜像文件本质上来说就是虚拟磁盘，虚拟机的操作系统与使用者的

36、系统数据全部保存在镜像文件中，对镜像文件的加密手段是否有效，将直接关系 第19页 内网安全整体解决方案 虚拟主机的安全性。建议部署镜像文件加密系统，对iaas区域下的数据盘镜像文件进行加密，采用任何国家认可的第三方加密算法进行加密。同时解密密码与ukey绑定，即使数据中心硬件失窃，也无法被破解。加密行为包括：授权、加密、解密功能。 2.2.2.5虚拟资产密码管理 为增强虚拟资产的密码防护功能，建议通过密钥管理与资产管理分离的技术方式，实现管理员仅维护信息资产，用户自行管理密钥的工作模式。通过密码机集群与虚拟化技术的结合扩充密码运算能力，将密码运算能力进行细粒度划分，并通过集中的密钥管理及配套的

37、安全策略保护用户密钥整生命周期的安全 2.2.2.6虚拟主机安全防护设计 虚拟主机安全防护设计主要实现如下目标。资产清点 。自动化的进行细粒度的风险分析。安全合规性基线检查 。对后门、webshell、文件完整性和系统权限变更等进行监测行为分析 第20页 内网安全整体解决方案 如上图所示，通过收集主机上的操作系统、中间件、数据库等配置数据，准确分析应用系统在不同层面的配置信息，结合第三方病毒库进行漏洞和风险分析，并及时给出整改加固建议。 2.2.2.7内网虚拟化安全运维平台 2.2.2.7.1集中账号管理 在云堡垒机管理系统中建立基于唯一身份标识的全局用户帐号，统一维护云平台与服务器管理帐号，

38、实现与各云平台、服务器等无缝连接。 第21页 内网安全整体解决方案2.2.2.7.2统一登录与管控 用户通过云堡垒机管理系统单点登录到相应的虚拟机，且所有操作将通过云堡垒机系统进行统一管控，只需要使用云堡垒机提供的访问ip、用户名、密码登录后，用户即可登录相应的云平台与服务器，而不需要反复填写对应云平台与服务器的地址、用户名、密码。 用户可通过vsphereclient登录vmwarevsphere云平台进行管理，输入云堡垒机为该云平台提供的访问ip与用户在云堡垒机中的用户名和密码即可完成登录。 第22页 内网安全整体解决方案 2.2.2.7.3记录与审计 通过云堡垒机管理系统的访问历史记录回放功能，可随时查看每个用户对所属服务器、虚拟机的访问情况。 wind