XXX局网络安全整改方案

一、项目背景

6月中旬，市场反馈XXX局客户某部长对技术方案和近期频繁出现病毒问题非常不满，要求厂商结合他们现状，给出合理建议。找之前项目工程师和BU详细了解到，已经反复上门多次了，关键问题是没有核心交换机，之前有建议某部长购买核心交换机无果，已经反馈沟通多次。再次协调BU和市场去客户现场详细梳理问题和讨论方案，最终达成一致。成功关键：1、站在客户立场，做整体思考规划，提出相关建议；2、客户如果不懂技术的情况下，耐心解答；3、沟通一定要有结论，并且有正式的文字反馈确认；4、积极推动干系人快速解决问题，如推动某部长购买核心交换机，推动技术人员按照方案整改割接。

二、现状分析及问题描述

问题描述：

1、云计算业务区，管理和业务共用一个网段，存在不安全因素（假设有业务虚拟机中了病毒，会横向扩散到其他虚拟机或云管理平台）；

2、之前集团频繁出现虚拟机中毒问题；

3、网络架构不合理，接线比较混乱；

4、办公区上网并没有安全审计及隔离；

5、无线控制器AP是网关部署，直接可以让用户访问网络，没有任何隔离，不符合集团安全防护要求；

6、DHCP服务器比较乱，在多个设备上面启用了DHCP服务；

7、前期沟通并没有会议纪要，和邮件反馈；

8、前期沟通内容，各方并没有达成一致；

9、某部长对于技术确实不是很多，但是喜欢专研；

三、整改方案

方案说明：

1、严格分区分域，特别对于云业务区域的安全防护和边界安全防护，做到严格管控；

2、通过新增核心交换机（推荐采用H3C 6520 EI-26，注意：由于该交换机全部是万兆口，需要配置至少10个千兆多模光口，10个万兆多模光口，4个千兆光电模块，多模尾纤若干），连接边界安全防护区、业务区和办公区，采用ACL做好细致区域隔离；

3、安全资源池旁路部署，通过交换机策略路由实现逻辑走向，业务区的安全防护，是采用安全资源池的VAF做安全隔离，使用安全资源池中堡垒机对业务系统和安全设备做运维审计，将关键设备和业务系统日志保存在日志审计虚拟机上面，采用VDAS对业务中数据库进行审计，使用VPN进行业务发布和远程运维网络连接；

4、AC网桥部署，做办公区上网审计和控制；

5、新增AF网桥部署，做到IPS防护、DDOS防护、防病毒等；

6、无线控制器AP改成旁路部署；

7、将DHCP统一设置在交换机上，做到统一DHCP地址分发；

8、对于云平台网络，做到管理和业务网段分开，确保虚拟机中毒导致横向扩展，对于云平台的运维全部通过堡垒机进行；

9、形成沟通纪要，解决方案达成一致，以邮件方式发给客户，马上启动购买核心解决问题，现在按照规划设计完成整改，暂无其他问题，客户非常满意。

四、其他建议

1、由于终端没有防护，建议采用终端杀毒软件，确保终端安全防护，实现终端间东西向流量安全防护隔离；

2、建议采用安全感知平台，实施监控网络安全情况，做到全网安全可视；

3、办公区建议采用防火墙做隔离；

4、相关设备都是单链路，有单点故障，如果考虑业务稳定性，建议考虑设备冗余。

处理问题的时候，站在客户的位置考虑，理清楚客户为什么不认可，针对性解决问题，梳理出项目中可以解决问题的关键人员做工作，可以加速问题的处理
楼主在处理问题时用自己的技术能力和优秀的沟通能力，包括汇报、沟通纪要等专业技术呈现，保障了客户问题的快速推进，方式和方法值得各位学习，推荐！

打赏学习，感谢分享

可以的，这个方案还是很给力的。图文集合，多谢分享。

有一定借鉴意义，感谢分享。

学习了……多谢分享！

感谢分享