天融信网络安全准入解决方案

电子政务工程网络安全成功案例1、说明本文是北京天融信网络安全技术有限公司对某市电子政务工程信息网络系统实施的网络安全整体解决方案。

2、某市政府电子政务工程网络系统现状分析某市电子政务工程主要有二部分构成。

一部分是位于市信息中心的网络信息交换平台以及应用服务器群；二是位于市政府大院办公楼（包括主楼）内的各级政府部门局域网以及分布在全市范围内的各委办局、区政府局域网。

该市电子政务工程就是通过位于市信息中心的网络交换平台将各级政府部门连接起来，其最终目的是架构一个安全的，开放的，多功能的，稳定的网络业务应用平台；建立一个安全的，系统的，可靠的网络交换平台；建立一个安全的，系统的，可靠的操作系统平台；建立一个安全的，系统的，稳定的应用系统平台；建立一个全面的，合理的网络安全管理制度。

3、某市政府电子政务工程网络安全解决方案北京天融信公司提供并实施的网络安全解决方案主要有二部分：一部分是位于市信息中心的电子政务工程信息网络交换平台的安全建设。

由四部分构成：·主要是使用防火墙产品（北京天融信公司生产的网络卫士防火墙系统）实现各种关键应用服务器与其它所有外部网络的隔离与访问控制，通过配置防火墙安全策略对所有服务器的请求加以过滤，只允许正常通信的数据包到达相应服务器，其它的请求服务在到达主前就遭到拒绝，当网络出现攻击行为或网络受到其它一些安全威胁时，进行实时的检测、监控、报告与预警和及时阻断。

同时，当事故发生后，应提供黑客攻击行为的追踪线索及破案依据，有对网络的可控性与可审查性；·其次，使用与网络卫士防火墙系统联动的专用入侵检测系统（IDS）对服务器与重保护网段加以监控、记录，并与防火墙一起构成一个动态的防御、报警系统；·第三，将计算机网络病毒防护系统架构在多种平台的服务器群上：HP UX（分别安装Lotus Domino ，用户邮件系统，oracle）、Linux（安装Web,TRS）,SUN Solaris(DNS),Windows NT/2000 Server上，构成一个病毒防护系统；·第四，使用一套网络安全扫描系统定期检查整个网络交换平台上主要网络设备、服务器、操作系统的安全漏洞，并建议安全措施，以达到不断增强网络安全性的目的。

1.服务简介天融信网络安全专家服务由专业的安全专家团队为用户提供7*24小时针对用户网络中的安全设备、WEB应用系统的日志信息进行实时收集、监控并对用户网络面临的安全威胁进行分析，及时、准确的发现DDoS攻击、蠕虫病毒、黑客入侵、暴力破解、非法访问、非法外联等网络安全事件。

一旦发生安全事件及时预警并提供安全应急方案和技术支持，协助用户应对突发安全事件，更为用户提供突发安全事件分析报告和安全状况分析报告，帮助用户从容应对复杂的安全形势，消除用户的后顾之忧。

业务联系人：安全运维产品部徐懿巍手机：1391 1391 357Mail：xu_yiwei@2.服务卖点提高用户安全建设的投资收益网络安全专家服务可以帮助用户对已经购买的安全设备进行统一管理，提高安全设备的使用效果，解决用户购买安全设备后无人维护和管理的现实问题，提高用户的投资收益。

专业化的服务团队天融信具备一支专业化的安全运营团队及经验丰富的安全专家为用户提供服务。

天融信与北京联通、中国电信均合作建设了安全运营中心，不仅是自身实力的体现，更积累了大量的服务经验，并可以借助运营商独有的网络资源，为用户提供更高级别的服务。

安全事件快速响应服务通过对用户信息系统的实时监控，可以及时、准确的发现安全事件、定位事件源，并协助用户对安全事件进行处理，降低用户的损失。

全天候的安全保障7X24小时的服务级别，保障用户的网络及重要系统在任何时间发生安全问题都能够及时发现、处理。

满足合规性要求等级保护、多个行业的信息安全相关法律法规中对安全监控类的工作均有对应的要求，如中国期货业协会发布的《期货公司网上期货信息系统技术指引》中对安全状态的实时监控提出了明确的要求。

安全运营服务可帮助用户满足相关的合规性要求，并提供定期的安全分析报告，帮助用户应对文档方面的要求。

定期安全分析报表更直观的帮助用户了解自己网络安全状况，解决用户难以全面掌握安全态势的问题。

3.接入流程1)签署《服务协议》2)客户经理协助客户填写《服务申请表》；3)天融信安全运营中心确认客户信息，确定实施方案；4)客户确认实施方案；5)客户经理与客户商定现场实施时间；6)现场部署与调试；7)正式开通服务；4.典型用户【中国电信集团】【中医药集团】【工信部传输所】【新疆旅游局】【新疆卫生厅】【扬中市政府网站】【北京无线电管理委员会】【工信部】【国资委干教中心】【司法部】【北京市农业局】【江苏句容市政府】【国药工业】【中国铝业】【江苏常州市政府】【江苏溧水纪委】【江苏鼓楼区政府】【工信部研究院】【河南人大】【郑州市粮食局】【中煤集团】【中国中化】【南京365房地产网】【张家港教育局】【中邮普泰】【大汉网络】【河南金水政府】【蓝讯公司】【体彩中心】【瑞丽】【农业部】【景安IDC 】【启东市政府】【中国电信南通分公司】【中国移动设计院】【信城通】【吉利大学】【南京蓝谷科技有限公司】【工商总局】【大唐电力】【国开行】【教育部考试中心】【国土资源部】【大唐电力】【国资委监事会】【BMO银行】【江苏东吴保险经纪有限公司】【苏州爱普生有限公司】【苏州书香世家平江府酒店有限公司】【苏州市得轩贸易有限公司】【苏州雅戈尔富宫投资有限公司雅戈尔富宫大酒店】【苏州人家酒店有限公司】5.产品FAQ5.1网络安全专家服务的计费方式“网络安全专家”服务可采用两种计收方式：1.按年计费适用于安全监控服务、安全巡检服务，根据服务对象的数量（被监控设备数，巡检设备数）计算每年的服务费，并按年收取。

天融信TOPSEC网络安全管理整体解决方案1天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的TOPSEC技术体系上，在“全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOPSEC解决方案包括综合管理系统，各类安全产品如防火墙、IDS、VPN、安全网关、个人安全套件以及综合安全审计系统等。

全面、联动、高效、易于管理网络安全是整体的。

我们可以通过选择优秀的产品、优秀的服务构建一个解决方案，但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略；这样势必形成安全漏洞，给入侵者可乘之机。

网络安全是动态的。

如果各个优秀的产品、服务等各环节之间是孤立的，则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略。

因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。

天融信公司在国内独创的TOPSEC技术体系上，在"全面、联动、管理”的技术理念的基础上，构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案，保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOPSEC解决方案架构在天融信独创的、先进T-SCM(（Topsec Security Center Management）-－天融信安全集中管理平台，T-SCP（Topsec Security cooperation platform）---天融信安全产品标协作平台，T-SAS（Topsec Security Audition System）天融信安全审计平台3个核心技术平台之上。

TopsecManager通过T-SCM 实现对各种安全产品和非安全产品的综合管理；各种安全产品通过T-SCP实现不同产品之间的联动、协同工作；SAS通过T-SAS实现对网络中的安全设备和非安全设备的集中审计、分析。

网络卫士入侵防御系统 TopIDP天融信公司为了满足市场上用户对入侵防御产品的需求，推出了“网络卫士入侵防御系统TopIDP”。

它是基于新一代并行处理技术开发的网络入侵防御系统，通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。

TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台，保证了TopIDP 产品更高性能地对网络入侵进行防护。

TopIDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。

入侵防御策略库随时防护目前业内最流行的入侵攻击行为。

与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。

强大的高性能多核并行处理架构TopIDP产品采用了先进的多核处理器硬件平台，将并行处理技术成功地融入到天融信自主知识产权操作系统TOS（Topsec Operating System）系统，集成多项发明专利，形成了先进的多核并发运算的架构技术体系。

在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。

图1 多核CPU内部运算示意图●精确的基于目标系统的流重组检测引擎传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击，任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎，在受保护的目标服务器主机上形成真正的攻击。

TopIDP产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。

XXXX VPN系统解决方案天融信科技2020年11月目录第一章 XXXX网络现状及需求分析 (3)1.1网络现状 (3)1.2现有组网方式的缺陷 (3)1.2.1访问没有保护 (3)1.2.2无法运行部管理软件 (3)1.2.3增值服务无法实施 (3)1.2.4网络管理混乱 (3)1.3需求分析 (4)第二章 VPN技术及天融信VPN产品 (5)2.1VPN基本概念 (5)2.2VPN的基本技术 (5)2.3一般VPN解决方案所面临的几个问题 (7)2.4天融信VPN产品及其典型解决方案 (9)2.4.1天融信VPN硬件安全网关 (9)2.4.2天融信VPN客户端 (15)2.4.3天融信VPN安全策略管理平台 (17)2.5天融信VPN产品的主要特点 (22)2.5.1支持国密局《IPSec VPN技术规》 (22)2.5.2全面支持IPSec协议标准 (23)2.5.3 CleanVPN (23)2.5.4完善的PKI体系提高用户网络安全等级 (23)2.5.5支持全动态IP地址间建VPN隧道 (24)2.5.6 NAT自动穿越 (24)2.5.7隧道路由技术实现VPN灵活自动部署 (24)2.5.8完善的VPN网络集中管理功能 (25)2.5.9支持组播穿越隧道 (25)2.5.10多机多线路负载均衡与备份 (26)2.5.11支持灵活的移动用户接入策略 (26)2.5.12丰富多样的认证与授权 (26)2.5.13分级可信接入体系 (27)2.5.14简单易用的无驱客户端 (27)2.5.15 iOS零安装 (27)2.5.16集成功能强大的防火墙功能 (28)2.5.17集成强大的网络附加功能 (28)第三章 XXXX网络系统互联VPN解决方案 (29)3.1VPN解决方案 (29)3.2配置及功能说明 (31)3.2.1天融信安全策略管理平台 (31)3.2.2天融信VPN硬件安全网关 (31)3.2.3天融信VPN客户端 (31)3.3通信过程分析 (31)3.4安全性分析 (31)3.5密钥管理 (32)3.6本解决方案的主要特点 (32)第一章XXXX网络现状及需求分析1.1网络现状XXXX业务网络系统由总部和100个左右分支机构组成。

网络准入解决方案一．网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大，连接范围越来越广泛，使用人员越来越众多、终端系统越来越庞杂，终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下，网络管理者普遍面临如下终端安全问题：1、网络边界不清晰网络中有多少台终端在工作？有没有外来终端入侵？有多少网络设备？终端连接状况如何？2、使用人员难以确定谁在操作终端？有没有人进行越权访问？有没有进行非法操作？如何尽快发现和管理？3、BYOD带来巨大挑战BYOD（Bring Your Own Device，自带设备办公）设备是否有漏洞？安全设置是否符合安全规定？带离办公区后会不会被攻击？是否会将外部的攻击带入办公区？4、终端安全状况不清晰终端的操作系统环境是否安全？终端的软件环境是否合规？终端是否符合安全基线要求？5、各种安全制度难以落实针对终端和网络使用的各项安全制度，是否能够快速落实和检查？6、防护系统众多难以整合各种防护系统如何进行统一管理？各防护系统的安全数据如何整合？二：盈高网络准入解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

天融信超融合解决方案-T opHC技术创新，变革未来数据中心IT 基础设施演进▪孤岛架构▪资源不均▪管理分散分散架构共享架构超融合架构云整合架构▪烟囱架构▪管理复杂▪厂商异构▪分布式架构▪易于扩展▪安全不足X86X86 X86 公有云私有云私有云▪资源整合▪多云容灾▪统一管理架构亟需升级：传统架构存在的问题①投资成本高超融合架构超融合一体机（含4节点）改造②业务部署慢③④运维管理复杂业务扩容困难架构亟需升级：业务发展的趋势未来5-10年，互联网、大数据、物联网、人工智能、边缘计算等将引领信息化发展的趋势。

随着这类技术的不断发展和广泛深入使用，将对IT 基础架构带来颠覆性变革，也会导致未来工作模式发生改变。

互联网与大数据边缘计算物联网与人工智能▪动态、快速节点扩展▪大容量存储空间▪高并发、多任务计算▪标准化管理流程▪分布式并行计算能力▪海量数据存储空间▪快速数据查询、调用▪可视化运维管理、展示▪快速IT基础环境部署▪极简式运维、管理▪有限的机房可用空间▪动态、在线集群扩容超融合架构助力企业IT转型帮助用户构建更简单、更安全、更高效的数据中心灵活的超融合分布式架构自主研发分布式存储✓副本技术✓纠删码✓多级缓存✓IO本地化✓智能读IO✓故障自愈CVMVM VM VMCVM计算虚拟化网络虚拟化VM VM VMCVM安全虚拟化VM VM VM存储虚拟化✓HA/DRS DPM备份Docker租户/工单✓多站点管理ESXi KVM Hyper-VX86ESXi KVM Hyper-V国产CPUESXiKVM Hyper-VX86简单：开箱即用的交付方式网络存储安全计算云管全栈虚拟化开箱即用,30分钟就绪简单：统一运维管理界面简单：统一界面运维简单:“一键式”任务管理一键检测一键执行集群整体健康状态检测一键升级轻松几步实现软件版本快速升级一键扩容快速进行集群节点扩容，业务无感知一键组网拖拽方式快速组成可视化网络拓扑节点数量性能和容量最小1节点扩容分钟级快速扩容前端业务无感知4倍3倍11倍7倍简单：节点按需线性扩展简单：灵活的选择平台虚拟化Hypervisor 服务器Hardware T opHyper 一体机按需选择全冗余架构提升稳定性应用服务客户端Node2Node3Node1TopStorage提供可选多副本，纠删码策略。

72企业 Enterprises天融信：领跑网安行业，赋能数字化转型于1995年成立的天融信，见证了中国网络安全产业发展的每一个里程碑。

文︱《中国报道》记者 王哲习近平总书记指出，没有网络安全就没有国家安全，没有信息化就没有现代化。

“建设网络强国，要有自己的技术，过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济”。

作为支撑信息化建设的网络基础设施，网络安全是其中的核心。

近年来，我国网络安全产业呈现出国产化、行业化、服务化和智能化的“四化”趋势。

天融信科技集团股份有限公司（下称“天融信”）于1995年成立，见证了中国网络安全产业发展的每一个里程碑，连续多年领跑网络安全市场。

面对新形势、新机遇、新挑战，作为国内首家网络安全企业，天融信始终紧跟时代步伐，随着数字经济的飞速发展，持续升级安全防御体系、夯实基础能力，在原有网络安全技术能力基础上，融入人工智能、安全芯片、区块链等新技术，构建感知态势、联动防御的动态安全防御体系，为数字化转型护航。

　打造“四全”核心竞争力“‘相融共创，赋能未来’是公司今年业务发展的主题。

”天融信科技集团董事长兼CEO 李雪莹博士表示，天融信从2016年开始，将主营业务从网络安全板块延展到网络安全、大数据和云服务三个板块，今年是战略转型的第6年。

天融信主营业务板块拓展过程中的发展方向是全产品系列、全业务方向、全行业营销、全区域覆盖。

围绕三大业务板块，天融信产品在技术侧、营销侧、生态合作侧布局，并形成了全产品系列、全业务方向、全行业营销、全区域覆盖的“四全”核心竞争力，取得丰硕成果。

在全产品系列方面，天融信目前有100多款产品、1000多个型号，防火墙产品连续21年国内市场排名第一，安全服务、VPN、网闸、安全管理在业内排名前三，IDPS、安全资源池、态势感知、EDR等产品处于市场前列和领导者地位。

以防火墙为例，作为中国IT 安全市场的中流砥柱，多年来，防火墙市场需求持续保持高增长态势。

天融信TOPSEC网络安全管理整体解决方案天融信公司在国内独创的ＴＯPSEC技术体系上,在“全面、联动、管理"的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TＯＰＳEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。

TOＰＳEC解决方案包括综合管理系统,各类安全产品如防火墙、IDＳ、VPＮ、安全网关、个人安全套件以及综合安全审计系统等.全面、联动、高效、易于管理网络安全是整体的.我们可以通过选择优秀的产品、优秀的服务构建一个解决方案,但如果各个优秀的产品、优秀的服务等各个环节之间相互孤立，则各个产品、服务环节的安全策略相对孤立，无法形成整体的安全策略;这样势必形成安全漏洞，给入侵者可乘之机。

网络安全是动态的。

如果各个优秀的产品、服务等各环节之间是孤立的,则无法全面了解网络的整体安全状况，当然也无法根据网络和应用情况动态调整安全策略.因此，网络安全需要统一、动态的安全策略，更需要一个联动的高效的整体的安全解决方案。

天融信公司在国内独创的TＯPSEC技术体系上，在”全面、联动、管理”的技术理念的基础上,构架了以各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TOPSEC安全解决方案,保障客户网络从边界到桌面、从局域网到广域网高安全性。

TＯPSEC解决方案架构在天融信独创的、先进T-ＳＣM（(Tｏpsｅｃ Sｅcuriｔｙ Center Ｍanageｍenｔ）—－天融信安全集中管理平台,Ｔ—SCＰ（Tｏpsｅc Sｅcｕrity cｏoperation ｐｌatｆorm)—-—天融信安全产品标协作平台,T—SAS(ToｐsｅｃＳｅcuriｔy Auｄｉｔioｎ Syｓtｅｍ）天融信安全审计平台３个核心技术平台之上。

ToｐsｅcMａnaｇｅr通过Ｔ—SCM实现对各种安全产品和非安全产品的综合管理;各种安全产品通过T—SCP实现不同产品之间的联动、协同工作;SＡS通过T—ＳAS实现对网络中的安全设备和非安全设备的集中审计、分析．TOＰSEC解决方案包括Topsec Mａnager综合管理系统,各类安全产品，和ＳAS 综合安全审计系统。

信息安全等保一体机解决方案技术创新，变革未来目录◆需求分析◆产品介绍◆应用场景◆成功案例◆产品选型需求分析政策合规《中华人民共和国网络安全法》第二十一条•国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

第五十九条•由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

等保2.0的变化强制执行力度加大•确立法律地位，法律责任实质化保护对象范围扩大•更多网络运营者被纳入等保监管•监管对象从体制内拓展到了全社会•覆盖云、移、物、工、大等新场景保护能力等级提升•第三级对象（重要网络范围扩大）•安全保护能力提升力度措施对象等级动作等级保护的制度和流程等保要求2.0二级三级四及技术要求安全物理环境152224安全通信网络4811安全区域边界112021安全计算环境233436管理要求安全管理中心01213安全管理制度677安全管理管理机构91415安全管理人员71214安全建设管理253335安全运维管理314852合计136231228定级备案建设整改等级测评监督检查中小型客户做等保建设会遇到哪些困扰建设周期长设备采购，机房改造、硬件上架灵活性差架构固化无法应对业务变化和政策变化运维困难设备割裂，无统一管理界面，运维繁琐成本高安全设备硬件费用，机房环境资源消耗1234等级保护行业规定费用低改动小上线快易上手管理易排查快可扩展按需买适应快满足合规要求综合成本低运维管理简单可弹性扩展企业需要什么样的等保方案产品介绍产品介绍天融信等级保护一体机是将传统安全防护产品与云计算技术相结合而推出的一款软硬件一体化产品，不仅能够帮助用户快速有效的完成等级保护的建设，同时提供按需弹性扩展的能力，是一套软件定义安全、轻量快速一体化的一站式解决方案。

天融信网络安全准入解决方案计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。

但目前，大部分终端处于松散化的管理,主要存在以下问题：接入终端的身份认证，是否为合法用户接入工作计算机终端的状态问题如下：操作系统漏洞导致安全事件的发生补丁没有及时更新工作终端外设随意接入，如U盘、蓝牙接口等外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统工作终端的安全策略不统一，严重影响全局安全策略解决方案天融信针对上述安全挑战，提出了网络安全准入解决方案，采用ＣＡ数字证书系统、天融信终端安全管理系统TopDesk，结合802、1X技术等，实现完善、可信的网络准入，如下图所示。

天融信网络安全准入解决方案图终端接安全准入过程如下：1)网络准入控制组件通过802、1X协议，将当前终端用户身份证书信息发送到交换机。

2)交换机将用户身份证书信息通过RADIUS协议，发送给RADIUS认证组件。

3)RADIUS组件通过CA认证中心对用户身份证书进行有效性判定，并把认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。

4)用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制定的安全准入策略，对终端安全状态进行检测。

5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。

6)如终端身份认证失败，网络准入控制组件通知交换机关闭端口；7)如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLAN。

8)在非工作VLAN的终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作Vlan。

充分利用终端检测与防护技术终端防护系统对终端的安全状态和安全行为进行全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。

即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

以该思想为出发点，北京天融信公司提出了"网络信息安全解决方案"。

一、网络信息安全系统设计原则• 1.1满足Internet分级管理需求• 1.2需求、风险、代价平衡的原则• 1.3综合性、整体性原则• 1.4可用性原则• 1.5分步实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想：（1）大幅度地提高系统的安全性和保密性；（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；11（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：1．1 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

1．2 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。

对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

1产品概述1.1安全接入的应用趋势随着电子政务和电子商务信息化建设的快速推进和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以迅速地获取信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。

但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的安全威胁。

而且我们目前所使用的操作系统、网络协议和应用系统等，都不可避免地存在着安全漏洞。

因此，在通过Internet构建企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的安全，同时还需尽量降低实施和维护的成本。

1.2安全接入的技术趋势目前通过公用网络进行安全接入和组网一般采用VPN技术。

常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：1．L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。

在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件，因此其无需安装任何客户端软件，部署和使用比较简单；但是由于协议自身的缺陷，没有高强度的加密和认证手段，安全性较低；同时这种VPN 技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。

2．IPSEC VPNIPSEC VPN属于三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施；同时工作在网络协议的三层，对应用程序是透明的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN 的VPN组网；组网方式灵活，支持多种网络拓扑结构。

其缺点是网络协议比较复杂，配置和管理需要较多的专业知识；而且需要在移动用户的机器上安装单独的客户端软件。