8.3.2.2  因特網(wǎng)出口的管理及防護(hù)

中國(guó)石化總部因特網(wǎng)節(jié)點(diǎn)提供高速、穩(wěn)定的網(wǎng)絡(luò)連接，為集團(tuán)公司、股份公司、各業(yè)務(wù)部門的信息系統(tǒng)提供應(yīng)用發(fā)布和業(yè)務(wù)互聯(lián)服務(wù)，為總部用戶提供互聯(lián)網(wǎng)訪問服務(wù)，是中國(guó)石化總部網(wǎng)絡(luò)架構(gòu)的重要組成部分。

為實(shí)現(xiàn)中國(guó)石化總部局域網(wǎng)與因特網(wǎng)高速、穩(wěn)定互聯(lián)，在節(jié)點(diǎn)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)和系統(tǒng)應(yīng)用構(gòu)建中，遵循了以下設(shè)計(jì)原則：

(1)三道異構(gòu)安全設(shè)備實(shí)現(xiàn)安全防護(hù)；

(2)采用內(nèi)部私有地址；

(3)因特網(wǎng)訪問的內(nèi)、外流量選取不同的鏈路；

(4)禁止內(nèi)、外網(wǎng)的直接互聯(lián)；

(5)在內(nèi)、外DMZ區(qū)劃分不同的安全級(jí)別和功能區(qū)域；

(6)制定細(xì)顆粒度的應(yīng)用發(fā)布策略；

(7)部分特殊的應(yīng)用系統(tǒng)發(fā)布采用反向代理的方式；

(8)采用代理服務(wù)器的方式提供用戶互聯(lián)網(wǎng)訪問服務(wù)并進(jìn)行上網(wǎng)行為管理；

(9)采用白名單的方式滿足總部用戶特殊應(yīng)用的訪問需求；

(10)遠(yuǎn)程接人用戶控制訪問資源；

(11)部署入侵檢測(cè)、惡意程序輔助檢測(cè)、日志審計(jì)等安全系統(tǒng)。