公共资源交易平台系统运行环境购置项目安全设计说明书.docx

1、公共资源交易平台系统运行环境购置项目安全设计说明书XX市公共资源交易平台系统运行环境购置项目安全设计说明书 1 建设需求营造优良的软环境是增强竞争力、进一步科学发展、深化公共资源交易体制改革必不可少的要素。而加快电子政务建设，建立公共资源交易平台是提升软环境的有效途径。通过建立公共资源交易平台，使各类交易活动“统一进场交易、统一进行管理、统一接受监督”，不断提高政府的社会管理水平和公共服务质量，为交易主体提供“公开、公平、公正”的交易平台和优质的服务。公司计划进行XX市公共资源交易中心的信息系统的建设，基于该套系统的应用包括数据库应用和Web服务应用。这些系统计划现在安装在1台服务器上，数据库

2、服务器则采用的是SQL数据库系统。该系统的数据中心，运行着各重要的应用系统，关系到企业各个职能部门的运作和各业务数据的信息的安全，因此本次信息基础架构建设将信息安全、可靠放在首要位置。为避免关键信息数据破坏或攻击，本项目中还需要对考虑安全防护管理系统的建设，以达到网络安全和链路安全的目的。2 现状分析鉴于目前公司发展的趋势，根据需要对系统进行前瞻性规划，以满足未来3年内XX市交易中心业务发展的需要。为保系统信息平台能稳定运行，网络基础构架和关键业务应用采用热备份冗余设计预防可能的单点故障保证系统的高可靠性和关键业务连续性。为避免网络攻击或者病毒入侵，导致系统无法正常运转，配置综合网关进行边界防

3、护和网络安全管理，防止内网或者外网对本中心系统产生影响。本次建设主要包括二个方面，即网络冗余保护、超融合虚拟化平台。3 系统构架设计3.1 网络拓扑图XX市交易中心网络拓扑图：3.2 系统结构说明3.2.1 网络系统可靠性网络核心配置两台三层交换机、两台负载均衡、两台IPS、两台防火墙热备互为冗余、通过虚拟化技术配置服务器和业务负载均衡。核心交换机支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换， 保证高可靠性的网络质量。此外，针对Smartlink和 RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路

4、带宽利用率。互联网接入部分利用企业现有的两条Internet线路连接综合网关实现外部链接的冗余。3.2.2 关键业务应用可靠性企业的数据库(关键业务应用)服务器采用基于存储共享的双机热备方案，两台服务器可以互备或者并行的方式运行。在工作过程中，两台服务器将以一个虚拟的IP地址对外提供服务，依工作方式的不同，将服务请求发送给其中一台服务器承担。同时，服务器通过心跳线侦测另一台服务器的工作状况。当一台服务器出现故障时，另一台服务器根据心跳侦测的情况做出判断，并进行切换，接管服务。对于用户而言，这一过程是全自动的，在很短时间内完成，从而对业务不会造成影响。由于使用共享的存储设备，因此两台服务器使用的

5、实际上是一样的数据，由双机或集群软件对其进行管理。3.2.3 网络安全保护为系统配置的统一安全网关集防火墙、防DDOS、入侵保护（IPS）、P2P阻断和限流、IM软件控制、L2TP/IPSEC/SSL /MPLS VPN等特性于一体,提供高性能的安全防护，帮助企业提升工作效率。4 网络设备1、先进性：以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用。2、标准化和开放性：采用符合ISO或IEEE、ITUT、ANSI等标准的网络协议，采用符合国际和国家标准的网络设备。3、可靠性和可用性：选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可

6、靠，要有强大的网络负载能力，支持多用户、多进程的网络传输。4、实用性和经济性：从实用性和经济性出发，兼顾近期目标和长远发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造性能最佳的网络系统。5、安全性和保密性：在接入Internet/Intranet时，保证网上信息和各种应用系统的安全，采用的网络安全产品必须经过国家公安部的认证。6、扩展性和升级能力：选用具有良好升级能力和扩展性的设备，在未来的升级和扩展中，能保护现有投资，并支持多种网络协议、高层协议和多媒体应用。7、灵活性：运用交换机产品与路由器产品支持的、先进的虚拟网络技术，快速简便地将用户或用户组从一个网络转移到另一个网络，而无需

7、任何硬件上的改变.8、可管理性：集中式的管理，方便网络的管理和维护。5 系统平台软硬件配置系统软硬件列表（推荐）系统设备产品型号单位数量网络及安全设备防火墙天融信NGFW4000-UF套1入侵防御启明星辰天清NGIPS5000-C-S套1负载均衡天融信TOPAPP6000套1虚拟化平台服务器浪潮NF5280套4数据库服务器浪潮NF8460套2网络核心交换机H3C LS-7506E-NonPoE套2WAF启明星辰天清Web应用安全网关700-M套2超融合虚拟化平台深信服超融合架构平台台1光纤存储交换机H3C LS-6800-2C套2防病毒软件卡巴斯基网络安全解决方案标准版10.0套16 主要设备

8、功能、性能介绍6.1 网络设备产品简介6.1.1 病毒防范措施由于计算机病毒和蠕虫能够通过多种渠道进入网络，病毒问题成为XX市交易中心业务系统面临的重要安全威胁。病毒对计算机系统稳定性、文件的完整性具有严重的威胁，而蠕虫在内部网以及纵向网络的传播更会导致严重的网络阻塞、病毒扩散等问题。安全问题已经从传统的网络层面的安全上升到了内容层面的安全。XX市交易中心急需在终端计算机上以及网络边界、网络内部部署合适的防护机制，避免内容安全威胁对系统造成严重影响。基于这种考虑，系统经过慎重考虑和评估，选择了卡巴斯基网络安全解决方案标准版10.0，在内部网络和纵向网中进行部署。 网络边界病毒防护为了加强域边界

9、的控制和防御能力，我们在网络的域边界部署启明星辰天清Web应用安全网关700-M，进行有效的蠕虫和新复合型病毒的主动防御。通过域边界启明星辰天清Web应用安全网关700-M的部署，当内部网络再触发某蠕虫病毒，进而对整个网络发起攻击的时候， 700-M可以将其控制在某个安全域之内，避免其进一步大面积扩散，造成整个网络瘫痪等事件的发生，为网络管理人员提供了有效的网络病毒控制手段和能力，为内部网络病毒防御的可控性目标提供了有力的技术保障。内部域边界病毒防护示意图域边界的病毒防御建设提高了网络管理人员对网络的安全控制能力，有效的防御了病毒、木马、蠕虫等病毒威胁在内部网络不同区域内的破坏、扩散，切断了其

10、在网络内部的传播途径。700-M以透明方式接入用户网络，管理员基本不需要修改其它网络设备的配置，只须接入到需要保护的网络边界即可。700-M会自动对所有通过它的网络流量进行识别分析，过滤病毒、电子邮件病毒、静态蠕虫、恶意网页代码、非法内容、敏感信息等，同时阻击蠕虫动态攻击行为。利用天融信防毒墙截取网络数据进行过滤处理，将过滤后的数据传递给目的地，以确保信息安全。对于蠕虫和动态攻击， 700-M则能将其彻底阻断，防止其在内网扩散。6.1.2 防入侵、网络安全防护随着Internet的迅速普及，一方面全球范围内的网络病毒、黑客攻击、操作系统漏洞、垃圾邮件等网络安全问题层出不穷，且变化越来越快，危害

11、越来越大；另一方面，随着网络应用的增加，对网络带宽提出了更高的要求。那么安全网关作为保障网络安全的第一道防线，究竟何种硬件架构最适合防火墙产品？要满足未来信息安全产品适应信息高速膨胀的发展趋势，提升开放平台的硬件性能，即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下，多核技术应运而生。这里所说的多核并不是基于X86的2核、4核这样的CPU，而是在网络、安全设备上最新使用的基于MIPS64的多核SoC（System on Chip）处理器，此类多核SoC处理器目前可支持到16核，并随着安全计算需求的不断增加而继续提升。相比X86、NP、ASIC硬件平台，SoC多

12、核平台的最大优势是保留了X86平台的高灵活性（这一点对于安全设备的应用层检测非常关键），同时具备与ASIC平台相当的高处理性能。同时，通过增加核数，使线性提升硬件计算能力成为了可能，更重要的是功耗也随之得到了控制。多核架构在支撑灵活性和高性能的同时，带来的另一个卓有成效的经济效益是低碳、节能。对信息安全产品而言，减排、低功耗是实现“低碳经济”最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核，核与核之间可以协同工作，同时在各个核周边还集成了丰富的安全协处理硬件，如硬件加密、正则匹配和应用加速等，高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用，对于X86通用硬件平台，需要1

13、颗甚至多颗高频率CPU，同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等，一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗对比测试，多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。在高效能、低炭排放的同时，多核架构带给信息安全产业的另一个优势为高质量。高度集成的SoC处理器降低了硬件平台的整体复杂度，硬件的简化促使故障率可以降低到1以下（X86平台故障率通常为5以上），达到电信级标准。随着网络技术的的迅速发展，越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加紧

14、密：信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问，无论是国家、组织还是个人，对网络的依赖程度都在不断增大，Internet已经成为各个国家经济发展的重要支柱，也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速发展的同时，也产生了许多安全问题和威胁，如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丢失、非法外连导致的机密泄露、由于大规模僵尸网络DDoS攻击导致的业务无法正常运行、P2P的过度使用导致网络带宽的耗尽，工作期间的聊天、视频、炒股、游戏导致工作效率降低等，这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法忽视的威胁

15、。了解威胁：哪些地方存在威胁？存在什么威胁？如何消除威胁规避风险？成了摆在我们面前的现实任务。防火墙及其局限性：防火墙是当前广泛应用的一种网关型安全设备，一般用于网络的边缘的访问控制。传统防火墙主要基于诸如协议、地址、端口这些四层及四层以下的信息进行访问控制，但无法根据7层或超7层协议（如HTTP Tunnel）进行动态分析、过滤。因此防火墙的访问控制采用的是基于静态的访问控制策略进行的，目前已经越来越难以适应迅速发展且手段千变万化的入侵行为，比如： 复杂协议无法解析无法对复杂协议（多数是应用层协议，如MSRPC）的负载进行有效解析，因此也就无法基于复杂协议的负载进行的入侵行为进行监控与拦截

16、组合攻击无法检测无法对由多步骤组成的组合攻击行为进行有效的关联分析，因此防火墙对于这类攻击无法进行监控与拦截 内部攻击无法防范对于内部发生的攻击行为，因为没有经过边界防火墙，因此防火墙也就无法监控和有效拦截传统入侵防御系统及其局限性如果说防火墙在访问控制方面独当一面，那么入侵防御系统则是实时入侵发现的专家，由于其部属于旁路位置，因此，入侵检测系统对于内网的攻击行为和来自外部的攻击行为都能够起到有效的发现作用防火墙与入侵防御系统分别面向不同的安全问题，完成不同的安全任务，但与防火墙一样，传统入侵检测系统也存在着自身的局限性： 无法真正做到事前告警只有在攻击行为发生的时候，才能产生告警，无法在攻击

17、发生之前有效预警，即因为缺乏信息整合的能力，无法采用预测技术做到事前告警 很难做到实时阻断入侵防御系统由于旁路部署，所以很难对实时的入侵起到有效阻断，虽然可以采用与防火墙联动、TCP Killer等方式对攻击进行一定的干扰，但由于实时性较差，因此很难像防火墙一样起到安全闸门的作用，防御能力有限 取证能力有限与审计类产品相比，入侵防御系统的取证能力有限，入侵防御系统是基于攻击行为片段特征来发现攻击，因此，即使进行取证，也多是采集整个攻击过程某一片段的快照（如时间、端口、ip等静态信息），而很难对攻击全过程进行有效的动态录制（即取证）。因此，在取证方面，往往将审计产品作是最为有效的手段 报警事件过

18、多，难以有效分析处理入侵防御系统由于每天会上报大量的事件（包括可疑行为），根据对国内外传统IDS产品的统计，传统IDS每天产生的报警数量在300条以上。因此对于使用者来说，分析、处理这些事件的工作量巨大，如果不能及时对上报的事件进行有效的分析、处理，则实时报警就失去了意义，并可能导致网络安全事故的发生启明星辰新一代入侵防御系统系统启明星辰天清NGIPS5000-C-S入侵防御与管理系统是启明星辰自主原创并拥有完全自主知识产权的威胁检测、分析与管理产品，该产品对于病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/下载、网络游戏

19、、视频/音频、网络炒股）等威胁具有高精度的检测能力，同时，该产品中的流量模块对于网络流量的异常情况具有非常准确、有效的发现能力。该产品在精确检测的基础上强调对威胁的可管理性（如：威胁分析、威胁处理），尤其是对可能产生的大量事件进行了智能过滤，仅向使用者展示真正需要关注的威胁，在减轻使用者工作量的同时，保障威胁处理的及时性。产品架构启明星辰天清NGIPS5000-C-S的产品架构由三部分组成： 安全管理中心 检测引擎 在线升级系统其中，安全管理中心负责威胁的展示与管理、多级级联、配置等功能；检测引擎负责对网络流量进行检测，识别出流量中可能存在的威胁；在线升级系统则负责提供软件、特征库、病毒库的升

20、级包，这三部分相互独立，可以灵活部署。主要功能启明星辰入侵防御与管理系统是启明星辰自主研发的新一代威胁检测、分析与管理产品，该产品在总结传统入侵防御产品（包括：入侵防御系统、异常流量监测设备、病毒类检测设备等）不足的基础上，结合大量用户（尤其是行业用户，如政府、金融、军队、能源、教育、媒体等）的实际使用效果和反馈，进行了大规模的改进和创新，在保证全面威胁检测的同时，强调用户使用的体验，实用、易用、在检测威胁的同时方便用户对威胁进行有效分析和处理、实现对威胁的闭环处理、降低使用人员的使用难度、降低实用人员的使用成本、提高使用人员的工作效率是本品的特色。 全面威胁检测启明星辰入侵防御与管理系统对于

21、病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果，并通过简单易懂的去技术化语言帮助用户分析威胁，对威胁进行有效处理。 智能威胁分析启明星辰入侵防御与管理系统内置的智能分析引擎能够对上报的事件进行关联分析，识别出重要报警，提醒用户关注，同时，对不重要的报警进行智能过滤，解决了传统监控设备（如IDS）大量报警导致对威胁分析和处理难的问题。此外，分析报表采用对比分析的方法，让使用者对近期的安全状况一目了然，不再需要使用者在海量的日志数据中进行人工分析，减轻了使用者的工作量和难度，提高使用者的工作效率

22、。 简单威胁管理启明星辰入侵防御与管理系统强调使用的简单，主要是指对威胁管理的简单。威胁管理涉及到：威胁发现、威胁展示、威胁分析、威胁处理这四个部分，这四个部分组成了闭环的威胁管理。启明星辰入侵防御与管理系统采用全面的检测技术保证威胁发现的准确性；采用多维度图、表、数据结合的方法保证威胁展示的简单性、充分性；同时通过智能分析过滤的方法过滤掉无需关注的事件，保证威胁展示的质量；采用去技术化的向导帮助使用者对威胁进行分析和处理，此外，自动处理的机制也最大程度地降低了使用者的维护工作量。启明星辰入侵防御与管理系统是基于启明星辰多年的安全积累基础之上，采用新一代多核X86高性能硬件平台，为用户提供适合

23、从百兆、千兆到万兆网络环境下的威胁发现、威胁展示、威胁分析、威胁处理的专业化威胁发现与管理系统。 6.1.3 业务交付负载均衡天融信新一代应用交付系统为用户提供高可靠的数据中心解决方案，包括单数据中心的链路负载均衡、服务器负载均衡解决方案，以及多数据中心的全局负载均衡解决方案。TAD集成了压缩、缓存、SSL卸载等网络优化技术来加速业务系统交付的整个过程，提升业务系统处理效率；同时结合Web应用防火墙、DNS防火墙、DDOS攻击防护及漏洞扫描等技术手段形成全方位的网络安全防护，为用户业务系统的安全保驾护航。TAD基于天融信新一代安全操作系统NGTOS平台设计和开发，继承了NGTOS平台高性能的优

24、势。单台硬件设备吞吐能力120Gbps，上亿级并发连接数，百万级新建处理能力。除了基于分流器原理的框架式设备，单台硬件设备性能TopAD已经达到国内市场的巅峰。秉持“看得见，看得细，看得懂”的原则，TAD在产品设计之初充分考虑了可视化方面的用户需求。通过TAD实时监控模块，用户能够清晰的看到虚拟服务器、链路、服务器节点的健康状态、服务分布、流量走势、带宽占用、故障分类等信息，从而帮助用户深入了解自己的网络运行状态。此外TAD集成定制化报表模块，可以根据用户需求生成指定内容的可视化报表，进一步提升用户的可视化体验。传统产品只关注设备网络层性能，例如流量、并发、新建、带宽占用率等等，而TAD更关注

25、设备应用层的性能监控。TAD可以实时查看数据库系统的当前运行状态，包括数据库当前会话数、响应时间、繁忙度、SQL解析命中率、读写速率、CPU消耗度等等。通过细粒度的数据库性能参数及趋势图展示，TAD帮助用户实时监控数据库系统的运行状态，合理调度和使用数据库系统资源。TAD收集和整合经过设备的所有用户访问记录并进行来源分析，从地域分布、所属运营商、来源类型三个维度分析某个时间段内的访问流量、访问次数、IP数量走势、占比、排行等信息。从而配合用户深入了解自己业务系统的活跃程度，并且以此为依据协助用户进行数据分析做出商业决策。知己知彼，百战不殆。TAD不仅支持对外的一体化安全防护，还能对内进行风险探

26、测防患攻击于未然。TAD内置了漏洞特征库，可以针对应用负载的所有应用服务器或者整个IP网段进行定向扫描分析，发现服务器操作系统漏洞并生成漏洞分析报告。从而协助用户进行应用服务器安全加固，保障业务系统运行环境的可靠安全。智能DNS解析是应用交付产品的核心功能，所以产品TAD对DNS协议的安全防护尤为重要，TopAD在业界率先内置了DNS防火墙。DNS防火墙一方面支持DNS安全认证，采用IETF提供的国际标准DNS安全认证机制，引入 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 技术，防止攻击者利用漏洞劫持DNS解析过程，避免用户进入劫持者自己设立的欺骗性网

27、站。另一方面支持DNS协议攻击防护，包括DNS协议漏洞攻击、DNS反射放大攻击、DNS投毒攻击等安全防护功能模块，保障智能DNS解析过程的安全性和可靠性。6.1.4 核心交换机业务能力1、丰富的业务，适应融合业务网络发展趋势2、IRF2（第二代智能弹性架构横向虚拟化）H3C S7500E面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供2-4台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用，IRF2所提供的高可靠性和无缝升级、扩展能力，也成为H3C用户增值服务的重要组成部分；另外H3C 的IRF2虚拟化

28、技术还可根据组网的要求支持长距离（80KM）的普通以太网万兆光纤堆叠。3、IRF3：（第三代智能弹性架构纵向虚拟化）H3C S7500E系列产品可以在纵向维度上支持异构虚拟化，将核心和接入设备通过IRF3技术形成一台纵向逻辑虚拟设备，支持AC、AP统一管理、配置，相当于把一台盒式设备作为一块远程接口板加入主设备系统，以达到扩展I/O端口能力和进行集中控制管理的目的。IRF3技术可以简化管理，大幅度降低网络管理节点；简化布线，二层变为一层，节省横向连接线缆；最终实现数据转发平面虚拟化，便与简化业务部署和自动编排。4、全面的MPLS、VPLS业务能力H3C S7500E所有产品均支持Multi-V

29、RF特性，可以作为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella）；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。全面支持VPLS，VLL，还支持分层VPLS以及QINQ+VPLS接入方式，提供端到端2层VPN接入方案，支持MPLS/VPLS全线速转发，满足VPLS规模部署要求。5、高性能IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；

30、H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证，是成熟商用的IPv6产品。6、有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C 7500E采用了支持AC功能的芯片设计，可拓展随板AC功能，为客户组建有线无线一体化网络的提供更丰富的选择。

31、H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备， 其提供高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。7、EAD端点准入防护技术H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。8、BYOD基础网络架构支持丰富的接入认证方式，可以在数千用户的局域网中做为认证网关设备，为接入用户提供安全认证功能；也可以配合SSL VPN插卡

32、，在大中型的园区网中担任汇聚/核心设备的同时作为VPN认证网关。H3C S7500E为BYOD移动办公特性提供了基础网络架构，便于拓展BYOD应用如移动ERP、OA、UC&C等。9、云数据中心化技术作为企业级网络核心设备，H3C S7500E系列产品可以助力用户从容面对云数据中心化所需的一系列技术及解决方案：TRILL：随着服务器和交换机规模的增加，数据中心网络越来越倾向于扁平化的网络架构以便于维护管理，这就要求构建一个大型的二层网络；H3C S7500E系列产品支持通过TRILL技术和纵向虚拟化技术来进行数据中心大二层网络的构建。数据中心大二层技术TRILL（TRansparent Interconnection