一、项目背景

  随着外网信息化的发展，业务系统对外网络系统、信息系统的依赖程度也越来越高，信息安全问题也越来越突出。为了有效防范和化解风险，保证对外网信息系统平稳运行和业务持续开展，须对外网现有的网络升级，并建立信息安全保障体系，以增强对外网的信息安全风险防范能力。通过系统的信息安全体系规划和建设，将为对外网加强内部控制和内部管理，降低运营风险，建立高效、统运转协调的管理体制的重要因素。

二、加固技术方案

网络系统安全加固建设要求如下：

1、 网络边界安全防护，特别是财务等重要部门安全防护：

采用防火墙，对信息网络中重要的安全域提供边界访问控制，严格控制进出网络各个安全区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保对外网信息网络正常访问活动。

部署位置：行政、财务与办公区域之间部署防火墙设备。

部署模式：防火墙采用路由方式部署。

2、 限制网速，控制上网；访客可通过扫码或关注微信公众号，认证上网；

串联部署上网行为管理系统，依据业务系统使用情况配置网络带宽和用户对外访问的带宽，满足业务应用系统带宽使用，同时保障网络畅通。

部署位置：在防火墙设备与内网三层交换机之间。

部署模式：采用透明方式部署。

认证方式：用户需扫描企业提供的二维码，通过公众号申请上网，即可完成身份认证过程。

3、网络准入；

建立一套完整的接入管理流程，从基本的接入身份标识，到接入后的合规检查和修复向导以及实名审计等，整体包装终端准入的安全性，纯净化与抗抵赖作用。

部署位置：内网三层交换机。

部署模式：采用旁路方式部署。

4、 SSLVPN设备：移动办公

采用数字证书技术实现服务器和用户端的双向身份认证，并保证数据传输的完整性和交易的抗抵赖性，可方便地实现移动办公用户利用互联网对系统的安全访问。可结合USB KEY提供证书和密钥的存储，增强用户身份认证的安全性。

部署位置：机房防火墙DMZ区。

部署模式：采用旁路方式部署。

四、方案总结

根据信息化实际情况，对网络与信息安全体系的框架结构、安全要素基本要求进行规划和建设，并以实际优化调整，在保证关键技术实现的前提下，采用成熟国产产品，保证系统的可用性、工程实施的简便快捷。开展信息系统安全规划、整改及建设工作，落实安全防护技术措施，建立健全安全管理制度，进一步提高信息系统的安全保障能力和防护水平，确保网络与信息系统的安全运行，推进信息化的安全、健康、协调发展。