基础数据网络方案

五台山景区数据网络将采用有线局域网及无线网桥传输系统进行建设。

五台山景区数据网络采用交换式万兆核心、千兆骨干、百兆桌面的以太网技术架构，通过划分不同的虚拟局域网（VLAN）技术实现数据的分流。

整个景区指挥中心由各信息节点构成，全网在2层之间通过三层交换机建立连接，主干带宽1000Mbps。计算、图形、文件、打印、数据库及应用服务器直接和主干网络相连，其余节点通过二层交换机接入中心机房的三层交换机，实现100Mbps到桌面。

核心网络拓朴结构

整个网络的拓朴结构为星型双核心架构，由核心网络节点、主网络节点和次网络节点以及通信信道组成。中心网络节点为两台企业级的核心交换机，一级网络节点（汇聚节点）为高性能的千兆三层网络交换机，使用1000M的上行线路与中心交换机相连；二级网络节点（桌面接入）为100M的交换机，使用100M的上行线路与上级交换机相连。

中心数据库服务器、WEB服务器、应用服务器等，使用1000M的线路直接连在中心交换机上。这样，全网络的主干为1000M的速度（可扩展为万兆），到桌面达到100M。完全能满足目前以至今后对网络性能的要求。通信使用多模光纤和屏蔽双绞线。整个网络根据部门设置和安全需要分成多个子网，各子网之间通过三层交换来实现相互间的访问，还可以在三层交换机上使用访问控制列表(ACL)，在子网间可设置防火墙功能，实现各子网之间严格的访问管理，实现网络安全。

中心交换机为两台，一主一备，保证网络主干稳定，主交换机一旦出现故障，切换到备份交换机，不会长时间影响网络的正常运行。

整个网络有两个中心节点，中心节点为一台高性能的千兆级的三层以太交换机，交换机配有多个千兆口和百兆口。根据需要，千兆口为多模的1000M光纤接口，用于连接楼层的二层交换机。100M用于连接一般的服务器。为了保证网络的可靠性，中心节点应该使用双机热备方案。

二级节点交换机用百兆以太交换机，此类型交换机提供多个100/1000M端口，用于与上级交换机相连以及工作站接入，与中心交换机连接使用千兆多模光纤，与工作站连接使用六类屏蔽双绞线。根据全中心的计算机数量，估计配置4个二级节点。

    整体安全框架

整个五台山智慧景区网络系统的安全体系框架可以分成四个部分，分别是边界安全系统，内网安全系统，应用安全系统，安全管理系统，这四个系统之间的关系如下图所示：

安全体系组成图

其中，边界安全系统包括所有网络设备及传输信道的安全以及不同安全区域之间的安全隔离；内网安全系统包括所有主机、服务器、业务终端、移动终端等的安全管理与控制，也包括用户权限管理，数据的保密，行为审计等；应用安全系统包括各类操作系统、数据库、应用软件等的可用性监控、仿真，操作审计以及身份认证与权限管理；安全管理系统包括对安全制度、安全风险、安全设备以及系统持续运行的管理维护。

    安全域划分

对信息系统进行安全保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全建设的首要步骤。

安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：

（1）业务和功能特性

l 业务系统逻辑和应用关联性

l 业务系统对外连接：对外业务，支撑，内部管理

（2）安全特性的要求

l 安全要求相似性：可用性、保密性和完整性的要求

l 威胁相似性：威胁来源、威胁方式和强度

l 资产价值相近性：重要与非重要资产分离

（3）参照现有状况

l 现有网络结构的状况：现有网络结构、地域和机房等

l 参照现有的管理部门职权划分

五台山智慧景区综合服务管理平台信息安全网络，应依据网络现状、业务系统的功能和特性、业务系统面临的威胁、业务系统的价值及相关安全防护要求等因素，对网络进行安全域的划分，从而实现按需防护、多层防护的技术理念。

安全域划分示意图

互联网区：主要指公众服务平台，景区门户网站、景区手机APP等部分组成。主要为互联网各类用户提供服务。

外网区：由景区关联单位的办公终端组成，外网终端区用户经过防火墙隔离，可以访问核心网络中的业务系统。

核心区：主要包括智慧景区的各业务系统的承载服务器。该安全域中的业务系统支持本地内网的业务应用，经过核心交换机、汇聚交换机，并通过专网与外部其他层级节点进行业务交互。

内网终端区：由内网中的办公终端组成，内网终端区用户可以访问网络中授权访问的业务系统。

内网设备区：由分布在景区各地的摄像机、自助导览等前端设备组成，该区内设备可以授权与业务系统进行双向数据通信。

    安全体系技术层面设计

    防火墙

防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵深防御体系。

通过在网络边界处部署并正确配置防火墙，可以解决以下安全问题：

（1）保护脆弱的服务

通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。

例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁。

（2）控制对系统的访问

防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Web和FTP服务器。

（3）记录和统计网络日志

防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。

入侵防护系统

入侵防护系统（IPS）是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。

将IPS串接在防火墙后面，在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。由于IPS对访问进行深度的检测，因此，IPS产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。

防病毒网关

现今，病毒的发展呈现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快，传播渠道更多、病毒感染对象越来越广。一旦主机感染病毒，病毒可能主动的对整个内部网络中所有主机进行探测，一旦发现漏洞主机，将自动传播。整个探测过程会极大的消耗网络的带宽资源，并且可能造成病毒由办公终端安全域传播到其他重要的业务服务安全域和管理安全域中，引发攻击和破坏行为。

斩断传播途径是防止传染病爆发最为有效的手段之一，而这种防治手段不仅在传染病防治方面十分有效，在防止计算机病毒扩散方面起到了同样的效果。

因此，在病毒风险最高、最接近病毒发生源的安全边界处进行集中防护，可以有效防止病毒从其他区域传播到重要的安全域中也可以防止本安全域的病毒风险向外扩散。部署的防病毒网关应特别注意设备性能，产品必须具备良好的体系架构保证性能，能够灵活的进行网络部署。同时为使得达到最佳防毒效果，防病毒网关设备和桌面防病毒软件。

统一威胁管理系统

统一威胁管理系统（UTM）是一个集防火墙、防病毒、入侵检测/阻断和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关，包括内容处理器和VSP操作系统，突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。

通过在UTM防火墙上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件等安全设置，便可对进出网络的流量互访进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。

如果防护需求是多样的，分别采购防火墙、IPS、防病毒网关等设备可能会对建设成本和管理带来问题。在这种情况下，可以选择集多项安全功能于一体的统一威胁管理（UTM）设备，来实现同样的建设和防护目标。在安全域边界上部署UTM，可以根据保护对象所需的安全防护措施，灵活的开启防火墙、IPS、防病毒、内容过滤等防护模块，实现按需防护、深度防护的建设目标。

采用UTM设备来构成本方案的核心产品既有效节约了建设资金，又达到了更好的防护效果。UTM设备应同时具备防火墙、IPS、防病毒网关、内容过滤的功能。并且需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。

防拒绝服务式攻击网关

信息中心外网提供面向互联网的服务，包括门户网站、信息服务等，这些服务集中在互联网服务区安全域中。对于服务的访问流量，是我们需要保护的流量。但是，往往有一些“异常”的流量，通过部分或完全占据网络资源，使得正常的业务访问延迟或中断。这种“异常”的流量，是以拒绝服务式攻击（DOS）为代表，他们主要来自于互联网，攻击的目标是互联网服务区安全域中的业务系统。

通过在互联网服务区安全边界最外侧部署防DOS攻击系统，可以实时的发现并阻断异常流量，为正常的互联网访问请求提供高可靠环境。防DOS攻击系统必须具备智能的流量分析能力、特征识别能力，具备大流量入侵时足够的性能处理能力。防DOS攻击系统之后部署的即是边界防火墙设备。

    防病毒软件

病毒是网络中的重大危害，病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。

针对病毒的风险，应该通过终端与网关相结合的方式，以用户终端防病毒软件控制加防病毒网关进行综合控制，重点是将病毒消灭或封堵在终端这个源头上。在病毒风险最高的安全边界部署防病毒网关，可以对病毒进行过滤、防止病毒扩散。同时，在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力，与防病毒网关组成纵深防御的病毒防御体系。

网络审计系统

网络安全审计系统对进出局域网的信息和局域网内部服务器的安全性进行监控，通过对网络传递的信息进行审计和监控，发现可疑的破坏行为，并对这些破坏行为采取相应的措施，如进行记录、报警和阻断等，是网络安全保障的一个不可或缺的方面。网络安全审计系统与防火墙、入侵检测的区别主要是对网络的应用层内容进行审计与分析。

网络安全审计系统包括监控服务器、监测器、管理终端三部分组成，如图所示。监控服务器保存监控规则、指令和采集的数据；监测端实时采集网络数据，并进行实时分析、报警；管理终端完成采集规则的定制和数据查询统计，在监测器监测时实时显示报警结果。

终端安全管理系统

终端是指部署在信息系统中的各类计算机终端。终端是用户接触最多，也是最容易遭到攻击的场所。终端安全软件部署在所有计算机终端，可以对内部终端计算机进行集中的安全保护、监控、审计和管理，可自动向终端计算机分发系统补丁，禁止重要信息通过外设和端口泄漏（移动存储介质管理），防止终端运行违规程序，防止终端计算机非法外联，防范非法设备接入内网，有效地管理终端资产等。

对于移动存储介质的管理，可以实现多层次的灵活配置。系统可以彻底禁用USB接口，所有移动存储设备都将无法使用；系统也可以做到允许通用的USB设备使用，而只禁用U盘等USB存储设备，并可以配置对禁用的USB存储设备做只读访问。此外，系统还能够在禁止通用的USB存储设备的同时，允许管理员对U盘进行认证，对于认证过的U盘等移动存储设备，可以在网络中指定的计算机上进行使用。

通过对USB移动存储设备进行细化管理，可以做到防止用户通过USB存储设备将涉密文件带走，同时对U盘进行认证还能满足内网中对USB移动存储设备的授权使用需求。

对于防止终端运行违规程序，终端安全管理软件可严格限制网络冲浪、聊天、下载、游戏等程序使用，并且可自定义网络程序、协议、端口等，并限制执行。

终端安全管理系统可以与防火墙进行有机联动，共同提供全网安全解决方案。

应用监控管理

五台山智慧景区平台的各种应用系统是整个信息系统的核心，他们的正常运行是保障五台山智慧景区综合服务管理平台所有业务正常开展和全网信息系统安全运行的基础，如何保障五台山智慧景区综合服务管理平台各种应用系统的稳定运行是关键。五台山智慧景区综合服务管理平台应用系统的稳定运行可以体现在所有应用系统的反应速度、无故障时间等参数上，还有更重要的是对已经发生过的运行问题要能够回溯并发现原因，为改善系统的能力提供依据。应用系统健康状况管理依靠人工是很难实现的，必须通过部署专业的应用安全管理系统来实现应用系统健康状况的管理。

通过应用安全管理设备可以对网管系统进行监视，并可为参数设置阈值，当被监视参数超出阈值的时候就会触发动作，产生告警，通知管理员和操作人员进行处理；应用安全管理设备还内嵌各种图和报表，可以通过它们来分析不同时间的变化趋势并评估其性能。

通过部署应用安全管理系统要实现四点功能，包括：即时故障发现、快速定位问题、应用趋势预测、资源使用优化。具体要求如下：

l 综合的应用、服务器和系统监控

通过Web浏览器对各种操作系统和应用程序进行监控，监控对象包括应用服务器、Web服务器、数据库管理系统、操作系统、网络服务等；用户不必再为每个IT资源准备不同的监控工具，从而简化了IT资源的管理和监视。

l 主动监控

从最终用户的角度通过为应用的变量设置阈值执行主动的监控，如果超出阈值，用户可以通过标准机制得到通知，应用安全管理设备能在报警的同时，提供根本原因分析，帮助管理员快速定位问题，甚至可以在故障实际发生之前将问题解决。使用应用安全管理可以减少故障排除时间，使设备及服务始终处于良好工作状态，有助于维护良好的客户关系。

l 高效的报表简化趋势分析

提供有效和可操控的报表和图视图，使用户能够对应用服务器、数据库服务器、自定义应用、服务以及系统在单位时间内（用户可自定义时、日、周、月）的运行情况进行分析，有助于用户了解每个应用/服务的平均修复时间（MTTR）和平均故障间隔时间（MTBF），帮助客户执行趋势分析、识别瓶颈及规划IT环境，做出准确地投资决定。

Web应用安全防护系统

WEB应用防火墙代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的WEB应用安全问题。与传统防火墙不同，WEB应用防火墙工作在应用层，因此对WEB应用防护具有先天的技术优势。

针对当前数据中心信息系统环境，WEB应用防火墙应位于互联网服务区前端，主要目的是阻断来自互联网的针对WEB服务器的各种攻击，比如SQL注入、网页挂马、网页篡改等，有效保护WEB服务器的应用安全。

WEB应用防火墙主要从事前、事中、事后三个环节进行检测和防护。事前，WEB应用防火墙提供Web应用漏洞扫描功能，检测WEB应用程序是否存在SQL注入、跨站脚本漏洞。事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击进行有效检测、阻断及防护。事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊断功能，降低安全风险，维护网站的公信度。