《等级保护2.0拓扑图案例》由会员分享,可在线阅读,更多相关《等级保护2.0拓扑图案例(118页珍藏版)》请在金锄头文库上搜索。
1、整体技整体技术术体系架构体系架构产产品清品清单单下一代防火墙数据库审计负载均衡感知平台+(检测探针)上网行为管理SSL VPN信服云眼/信服云盾日志审计系统漏洞扫描系统主机杀毒运维堡垒主机云云平台安全建平台安全建设设拓扑拓扑图图法院等法院等级级保保护护高校等高校等级级保保护护广播广播电视电视等等级级保保护护监狱监狱等等级级保保护护医院等医院等级级保保护护解决方案解决方案医院整体拓扑医院整体拓扑图图内网终端接入域核心业务域(三级系统域)乡镇、社区卫生中心外联域财务系统FTP内网核心域HIS系统EMR系统LIS系统HIP系统PACS系统OA系统手麻检测探针负载均衡内网运维管理域安全感知平台 运维堡
2、垒主机 补丁分发系统日志审计系统 防病毒服务器 漏洞扫描系统内网前置 网闸 外网前置机(下一代防火墙)机业务业务内网内网外网运维管理域日志审计系统 运维堡垒主机 补丁分发系统漏洞扫描系统 防病毒服务器外网核心域对外服务器域下一代防火墙(增强级)负载均衡门户网站于安全服于安全服务务于防御+安全与家职守对对外外业务业务安全于安全于监测监测、于防、于防护护对外服务器域亏联网域办办公外网公外网终端接入域预约挂号系统APP平台下一代防火墙(基础级)上网行为管理住院区办公区访问区无线区联通电信链路负载均衡下一代防火墙流量管理银联卫生局社保局交换机广域网优化下一代防火墙(基础级)交换机检测探针下一代防火墙(
3、基础级)交换机下一代防火墙(基础级)交换机门诊区行政区住院区药房区上网行为管理下一代防火墙(基础级)交换机检测探针交换机下一代防火墙检测探针 (增强级)下一代防火墙(增强级)交换机数据库审计IaaS边边界界安全安全虚虚拟拟化安全化安全安全加固虚拟资源隑离入侵防御漏洞扫描基线核查安全域隔离安全域隔离边边界安全防界安全防护护安全域划分访问控制访问控制入侵防御负载均衡网络威胁检测流量清洗安全审计安全接入访问控制流量监控云云安全服安全服务务平台平台通信通信安全安全通信线路冗余网关设备冗余通信传输加密完整性校验带外管理通道API接口SDN网络编排DaaS安全安全PaaS安全安全东东西向安全西向安全安安全
4、全 南北向安全南北向安全SaaS安全安全Web安全防护漏洞管理安全传输数据脱敂容器安全访问控制访问控制输入数据验证API接口安全虚拟机微隑离VPC隑离数据加密 剩余信息保护于数据库安全 计算服务安全 文件服务安全主机防病毒 主机安全加固入侵防范 WEB应用防护 安全审计业业务务&租租户户安安全全安全策略编排门户服务集中管控职责划分于操作监控综合审计管理安全管理安全集中管控态势感知管理网络隑离等保等保2.0云云安全体系安全体系集约共享开放接口等保等保2.0通用方案通用方案设计设计思路思路分级分域划分丌同级别安全域通信网络网络架构及通信传输区域边界访问控制及检测防护计算环境入侵防范及数据安全管理中
5、心集中管控及安全审计“云云安全服安全服务务平台(等保平台(等保场场景)景)”创创新方案新方案出口网出口网络络/安全安全设备设备于安全服于安全服务务平台平台核心交核心交换换安全运安全运营营服服务务安全运安全运营营服服务务安全运安全运营营服服务务下一代防火墙上网行为管理数据库审计下一代防火墙日志审计系统杀毒软件下一代防火墙上网行为管理广域网优化负载均衡日志审计系统杀毒软件数据库审计负载均衡堡垒机SSL VPN流量流量编编排排等保二级合规模板出口边界安全模板等保三级合规模板杀软/EDRWeb服务杀软/EDRWeb服务杀软/EDRWeb服务IT基基础设础设施(于施(于环环境、物理境、物理环环境)境)数
6、据库VM二二级级区域区域数据库VM三三级级区域区域数据库VM其他区域其他区域用用户户可根据可根据实际业务实际业务需求情况,自定需求情况,自定义义模板或安全模板或安全组组件件安全运安全运营营服服务务下一代防火墙入侵防御系统Web防火墙漏洞扫描自定义安全模板案例分享案例分享-教育教育一、一、项项目背景目背景XX大学由敃育部直属、中央直管,是中国著名顶级学府之一。二、需求分析二、需求分析1.需要满足等级保护相关要求;2.多校区全网威胁管理。三、三、方案方案设计设计1.安全区域安全区域边边界:界:应用下一代防火墙:部署在数据中心出口,对丌同分校接入到数据中心的数据进行安全防护。2.安全管理中心:安全管
7、理中心:部署在运维管理区,对数据进行持续性检测,保障核心数据安全。3.应应急分析不急分析不处处置服置服务务:配套安全服务,发现问题后实现快速响应。网站服务器APP系统案例分享案例分享-企企业业一、一、项项目背景目背景某央企作为XX集团旗下的重点单位,随着网络安全法的实施,积极响应国家号召对亍等级保护保持着空前关注,包含网站、顷目管理系统等都纳入规划。二、需求分析二、需求分析1.业务调整和政策法规对安全提出了更高要求;2.缺乏快速发现潜在威胁的能力;3.运维能力弱,无法形成安全闭环;4.业务于化带来新的安全挑战。三、方案三、方案设计设计1.于上安全:采用于内安全方案,解决于内东西向流量可视及访问
8、控制问题,对亍于内流量状态进行实时展示。2.安全管理中心:部署安全感知平台,通过设备联劢并结合“人机共智”安全运维,对告警进行及时响应。安全服务安全感知平台堡垒机 漏扫网络防病毒防火墙(利旧)汇聚交换机办公终端、AP办办公公区区业业务务区区运运维维区区核核心心区区亏亏联联网网区区负载均衡下一代防火墙上网行为管理负载均衡下一代防火墙上网行为管理探针下一代防火墙探针EDR应用服务器数据库服务器核心交换机核心交换机下一代防火墙网页防篡改(利旧)DMZ区区物理服物理服务务器架构器架构超融合架构超融合架构InternetVM下一代防火墙数据库审计VM VM案例分享案例分享-政府政府方案价方案价值值1、满
9、满足等足等级级保保护护2.0合合规规性要求性要求通过方案的部署,帮劣用户完全满足了等级保2.0提出的各顷合规性要求。2、基亍基亍“持持续续保保护护,丌止合,丌止合规规”框架,构建框架,构建“预测预测、防御、防御、检测检测、响、响应应”闭环闭环方案基亍人工智能、大数据、终端检测响应等前沿安全技术,能够帮劣用户实现对未知攻击、潜伏威胁的检测不防御;另外,还帮劣用户完成了从“被劢防御+应急响应”向“主劢防御+持续响应”的切换,建立了集“预测、防御、检测、响应”亍一体的安全闭环。3、出色的安全可出色的安全可视视能力,能力,简简化运化运维压维压力力方案从可视的深度、广度两个层面,对全网资产、资产脆弱性、
10、潜伏威胁等进行直观的可视化展示,从业务的视角,实现安全风险的可视、可控、可管。在全网安全可视基础上,用户可以极大降低运维的复杂度,提升安全治理水平。联通电信Web服务器Email服务器 预约挂号服务器 其他内部办公区银行医保政务外网卫生局民政疾控中心血站妇幼安全资源区DMZ区IPSLBWAFHIS PACS灾备数据中心FirewallSSM堡垒机数据库审计漏洞扫描安全管理区存存储储数数据复制据复制Data Center数据中心整体安全方案数据中心整体安全方案外网区域专网区域FirewallFirewall防病毒服防病毒服务务器器首都医科大学附属XX医院等保成功案例HISEMRLIS医保区域医疗
11、外网区外网区门门急急诊诊行政行政办办公公预约预约挂号挂号信息信息查询查询远远程医程医疗疗移移劢办劢办公公移移劢劢医医护护(新加新加)数据数据库库実実计计服服务务器区交器区交换换机(机(新加新加)DMZWAF接入安全接入安全互联网安全管理安全管理日志実日志実计计双因素双因素认证认证边边界安全界安全访问访问控制控制终终端安全准入端安全准入EAD安全加固安全加固安全実安全実计计S7506E核心交核心交换换机机防火防火墙墙F1020*1台台(已配)(已配)终终端端杀杀毒防毒防护护网网络络健壮健壮性性住院住院终终端端计计算机共算机共1000台台防火防火墙墙F1030*1台台(已配)(已配)上网行上网行为
12、为管理管理(已配)(已配)行行为为実実计计S7506E核心交核心交换换机机堡堡垒垒机机漏洞漏洞扫扫描描SSM安全管理中心安全管理中心VPNWAC防火防火墙墙+IPS+AV(新增新增)服服务务器区器区-内网内网汇汇聚交聚交换换机机S5560-30F-EI*4台台无无线线APWA4320*121台台全网防病毒全网防病毒网网络络管理管理绘绘制拓扑制拓扑网网络络日志日志安全接入安全接入身身仹验证仹验证互联网防火防火墙墙+IPS+AV(新增新增)支付宝服支付宝服务务器器感知平台+(检测探针)上网行为管理SSL VPN信服云眼/信服云盾日志审计系统漏洞扫描系统主机杀毒运维堡垒主机整体技整体技术术体系架构体
13、系架构医院等保解决方案产产品清品清单单下一代防火墙数据库审计负载均衡数字校园安全加固解决方案NGAFADCERNETInternet宿舍楼教学楼互联网出口办公楼教务系统图书馆WEB服务器NGAFSSL VPNAD其他系统分校区WOCACNGAF一卡通系统WOC数据中心分校区“三通两平台”安全加固解决方案ACADNGAFCERNETInternet城域网出口学校学校主数据中心主数据中心学校ADNGAFSSL VPN教育教育资资源平台源平台教育管理平台教育管理平台WOC灾灾备备数据中心数据中心SC城域网城域网WOCInternet教育教育资资源平台源平台教育管理平台教育管理平台丰富的合丰富的合规实
14、规实践践广广东东某政某政务务于等于等级级保保护护最佳最佳实实践践ISP1InternetISP2千兆网络ISP1互互联联网接入区网接入区InternetISP2核心交核心交换换区区下一代防火墙下一代防火墙下一代防火墙网络管理审计抗DDOS设备抗DDOS设备下一代防火墙网络管理审计下一代防火墙网络管理审计抗DDOS设备抗DDOS设备专线专线接入区接入区安全管理区安全管理区漏洞扫描云眼系统安全感知平台安全管理平台云管理平台管理交管理交换换机机存存储储交交换换机机互互联联网网业务业务区区VXLAN交交换换机机带带外管理交外管理交换换机机管理交管理交换换机机存存储储交交换换机机行行业业务业业务区区1V
15、XLAN交交换换机机带带外管理交外管理交换换机机 业务业务交交换换机机管理交管理交换换机机存存储储交交换换机机行行业业务业业务区区NVXLAN交交换换机机带带外管理交外管理交换换机机业务业务交交换换机机业务业务交交换换机机应用控制SSL VPN下一代防火墙网络管理审计租户AFW/WAF租户B防篡改租户C数据防泄密防病毒 IPS/IDSIPSEC VPN 多种安全审计云安全资源池云终端检测与响应安全感知万兆网络40GE网络云安全集中管控安全服务平台2.于租户安全资源池3.安全服务安全措施说明:1.拓扑中标识的安全设备漏漏扫扫系系统统堡堡垒垒机机安全管安全管理平台理平台于安全于安全监监测测中心中心
16、综综合安全管理区合安全管理区核心交核心交换换区区亏亏联联网接入区网接入区业务服务器群公共服务数据库DMZ区区DNS服服务务器区器区办办公网区公网区安全等保部署全景安全等保部署全景图图WEB应应用防火用防火墙墙WEB服务器数据数据库库実実计计网网页页防防篡篡改改二二级标级标准配置准配置三三级标级标准配置准配置三三级扩级扩展配置展配置防病毒防病毒服服务务器器CA多多业务业务硬件安全硬件安全资资源池源池防火防火墙墙IDS/IPSISP1ISP2终终端安全端安全管理管理EAD网网络络版版杀杀毒毒软软件件宠户宠户端端防火防火墙墙LLB流量流量清洗清洗数据数据备仹备仹ACGIPSSLBConfidential 保密保密31高校等保方案核心交换区漏漏扫扫系系统统防病毒服务器DNSCA堡堡垒垒机机SDN运运维监维监控区控区数据库数据中心区数据中心区存储区存储存储SLB数据数据库库実実计计业务资源池WEB应应用防火用防火墙墙SLB一卡通NFV资源教学区教学区汇聚交换机公寓区公寓区汇聚交换机接入交换机图书馆图书馆、行政楼、体院、行政楼、体院馆馆、艺术艺术楼楼安全安全管理管理中心中心ACG教育网教育网ISP
