需求背景

根據電信集團企業信息化戰略規劃的要求，企業信息化體系由管理支撐系統（MSS）、業務支撐系統（BSS）和運營支撐系統（OSS）三部分組成（簡稱為CTG-MBOSS），承載在一個統一的企業IT 內部專網上。某省電信企業IT 內部專網由省公司企業網、地市本地企業網和DCN骨干網三大部分組成。網絡，規模龐大，網內各種路由設備、交換設備、服務器、安全設備等，種類各異、數量繁多。為如此多的用戶提供高質量的網絡服務，網絡設備、業務系統、服務器的安全運行非常關鍵。

目前，CRM/SPS、集中計費、數據倉庫、綜合結算等系統已經逐步上線， 業務結算局管理的EDC已經成為省電信的核心數據機房，其數據的安全性也越來越得到各級領導的重視。由于EDC業務復雜，不但與DCN網有連接，同時與各銀行、代辦點、公網都有連接，出口眾多，進一步的網絡安全迫在眉睫。

通過對現狀的分析，可以看出結算局EDC的出口眾多，網絡威脅是來自多方面的。當前僅僅在出口處部署邊界防火墻，沒有有效的應對應用層威脅控制，整個信息系統還是存在諸多安全隱患。尤其是業務代辦系統以及收費系統服務器，沒有任何進行針對性的包含，安全風險極大。

解決方案

針對省公司的安全現狀，在現有IT網上構筑一個完整的威脅分析與控制系統，使省IT網絡的威脅控制不再僅僅限于對網絡層的訪問控制。對關鍵服務器、關鍵網絡進行完整的從網絡層到應用層的威脅控制，確保各種網絡攻擊對于IT網絡和系統的影響具有間斷性、暫時性、可管理性和可隔離性。

本方案中在用戶的外聯出口部署天清漢馬USG產品，抵御來自外聯單位的病毒、非授權訪問以及其他網絡層攻擊，在互聯網出口部署天清漢馬USG產品，實現對外部威脅的全面防御。針對各種計費服務器以及社會代辦服務器進行專業的應用層防護，分別部署天清IPS產品，用于實現對應用層威脅的精確阻斷。

案例點評

對于需要進行企業間互聯的信息系統，往往網絡中交換的數據具有較高的經濟價值，而對于這些信息系統，威脅往往來自于應用層，傳統的防火墻系統對于這樣的網絡雖然是必須的，但并不足夠。為了完整的實現對各種威脅的控制，本方案采用立體防御思想對省公司網絡進行安全改造，針對不同的威脅部署對應的產品，有效的提高了省公司網絡的整體安全性。