京港地铁

客户背景:

         北京京港地铁有限公司是一个致力于地铁建设、运营、管理的专业化公司。

客户需求:
        京港地铁目前共有员工约100人,地铁站点26个、一个OCC中心、新办公桌、一个书记员中心以及灾备中心。互联网接入主要分别通过网通和电信两条10M线路,并通过专线与MTR相连。新大楼的OA网络设计结构为三层架构,分为核心层、汇聚层和接入层,并且实现了千兆到桌面的传输速率。网络区域可划分为办公区、服务区以及外部互联网。OA网络中Exchange邮件服务、Web服务、生产业务服务、语音视频业务等多种业务并存。服务器数量约50台,主要是HP平台。并且计划通过HP Openview 进行统一监控和管理。另外,网络中已经部署了SMS服务器,进行客户端的管理。
        根据京港地铁网络现状以及地铁运营对信息网络系统的要求,其主要面临以下安全风险:网络规划中的安全风险、业务服务及网络不可访问的风险、互联网访问带来的安全风险、OA办公系统的安全风险、无线网络应用的安全风险、远程访问带来安全风险、重要数据丢失造成数据泄密的风险、客户端的安全风险、管理不当带来的风险以及安全设备选型存在的隐性风险。综合以上风险分析、网络现状以及京港地铁的业务特点,京港地铁对防止互联网入侵、内部终端安全合规性、防止数据泄密以及审计和管理等多个方面的安全需求。

我们的方案:
        首先为了区别网络中风险及安全需求相近的不同单元,更有效的对不同安全需求的安全域进行有针对性的安全防护,Check Point 对于京港地铁新OA网络安全域进行了划分,主要分为三个安全域:互联网域、内网用户域以及应用和数据域。结合京港地铁的安全域,主要从以下几个方面详细边界安全设计。包括:互联网域边界和应用及数据域边界、互联网双堡垒主机DMZ架构、移动用户的远程安全接入、全网安全审计以及统一的安全集中管理。
        在新一期的部署中主要考虑边界以及安全管理和审计以及将来的扩展性。京港地铁采用了Check Point Total Security边界安全解决方案,从网关安全、安全接入以及安全管理、审计等各个层面进行详细设计。并采用Check Point SMART管理架构,不但可以实现对边界安全产品的统一管理,更可以满足今后内网安全部署的需求。
        综合考虑精钢地铁的员工数量、ISP线路以及业务安全需求后,京港地铁在其互联网安全域边界部署了双层防火墙,构成典型的“双堡垒”结构,双层防火墙之间的区域构成DMZ区,将Mail服务器前端,Web服务器放置此区域,组成“Internet服务器群”,两台Check Point UTM-1 3070防火墙,并部署成Cluster模式。Check Point的硬件防火墙设备均提供了OSPF动态路由功能,在核心之间组建动态域,实现了网络重要节点之间的动态路由随时更新。在Internet出口处,提供了SSL VPN 功能,方便移动用户的随时访问:同时,统一域AD功能模块保证了统一用户认证,使移动安全办公和统一认证得以方便实现。
        应用及数据域有约50台服务器,是京港地铁网络最为核心的区域。考虑该区域的安全要求和性能要求,京港地铁部署了两台Check Point Power-1 5070,并部署成Cluster模式。
        基于浏览器的SSL VPN远程访问作为一种方便的途径而出现,使得公司外部的员工和商业伙伴可以在任何地方轻松地访问公司内部网络。它简化了访问方式,降低了远程访问成本。京港地铁网络中部署了一台Check Point Connectra 270,100并发用户。Check Point Connectra是一个完整的Web 安全网关。它提供SSL VPN 访问,并在一个统一的解决方案内集成了终端安全和应用安全。另外部署的Smart-1 5设备,可为京港地铁提供5至25个网管以及高达500GB的整合记录存储量。
        此外,京港地铁还部署Check Point Eventia安全审计系统对发生的安全事件进行分析和Check Point SmartCenter 集中管理所有Check Point 的安全产品,包括网关、终端安全产品以及远程接入网关等。