研究所科研楼H3C网络系统设计方案

北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 1 研究所科研楼 络系统设计方案 建设背景 中国电子科技集团公司第二十七研究所 （以下简称“二七所”） 是我国组建最早的无线电弹、星精密跟踪测量专业所。现有职工 1450 多人，其中技术人员900 多人。主要从事国防科技、军工、民用电子工程及产品开发、生产、试验、安装、服务的综合系统工程研究。专业涉及测控与卫星应用、信息对抗、侦察探测、光电系统、工业民用产品等。 所内设有中电科技集团公司无人机系统研发中心、光电精确制导中心、十个军工专业部、民品总公司、四个加工工厂、国防二级计量站以及各管理服务职能部门，建有配套的科研、生产、生活条件和大型系统工程试验外场，并正在筹建现代化高科技研发、产业基地。所址占地 1400 余亩，自建所以来共取得科研成果 500 余项，省部级以上奖 150 余项。并于 98 年 2 月通过 量体系认证。 随着社会及集团的发展，各类高技术人才不断增加，原有的基础设施己不能适应办公的需要，新建 20 层高综合大楼一栋，并需要进行全面的信息建设。 建设需求 二七所新综合大楼是一栋 20 层的办公楼宇，涉及办公、视频监控、视讯会议、互联网接入、门禁控制、大屏幕及灯具控制等，根据详细的沟通及综合考虑 ，共划分为三张网络：信息网、安防网、控制网，共有信息点 2018 点左右，具体如下表所示： 楼层 信息网 安防网 控制网 备注 9 夹层 10 主楼 8 25 3 中心机房 主楼 8 11 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 2 主楼 8 11 主楼 12 11 1 主楼 12 9 主楼 8 9 主楼 8 9 1 主楼 8 9 主楼 8 10 主楼 4 7 主楼 4 7 主楼 4 7 主 楼 4 7 1 主楼 4 7 主楼 4 7 主楼 4 7 主楼 4 7 主楼 4 7 主楼 2 8 主楼 6 1 北裙 02 9 2 北裙 0 3 北裙 8 2 北裙 4 2 南裙 6 16 2 南裙 2 7 南裙 0 7 南裙 6 7 合计 1754 253 11 为满足当前业务的发展，并保证在未来 3满足信息化的需要，经过与二七所管理者及信息化部门的沟通，本方案 的设计将 着重从 以下 5 个方面 考虑 ： 承载网络的性能是网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现高品质透明网络。 靠 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 3 使可靠性保障达到结构级和链路级： 网络中所涉及的网络 核心 设备， 应 采用电信级的高可靠设计。 设备提供商应 有多年 的 电信级设备的开发制造技术积累，对可靠特性支持有独到之处。 网络带宽的可扩展性： 接入 交换机产品 应 支持百兆、千兆 、万兆 端口的 带宽汇聚，在投资和光缆资源允许的情况下， 本次建设 的网络设备平台可以 支持未来一定时期内网络扩容的需要 。 建设过程严格遵循网络安全一体化的设计理念，在网络改造结构设计的初期就充分考虑安全性，将各种安全要素无缝融合入系统设计的各个环节，使网络系统满足国家针对能源企业在信息安全合规领域所提出的各项要求。 安全渗透网络： 路由、交换设备中集成各种安全技术，配置专业的安全插卡及安全策略， 包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制 ，网络安全隔离，入侵防御，流量分析，负载均衡等。在 网络服务安全控 制 方面，实施 标准访问控制列表 (扩展的访问控制列表 (动态访问控制列表 (网络资源访问用户认证 /授权和记帐 ( 边界防护： 在各个网络边界，把住“病从口入”关，实时、全面的抵御来自互联网的，不同安全域之间交叉传播的安全威胁，使任一安全域免遭“外界”的恶意侵犯。 业务系统（服务器）保护： 实时防御针对网管区业务系统及服务器的各类异常攻击，包括： 击、病毒（宏病毒、蠕虫病毒、文本病毒）、木马、后门、间谍软件、网络钓鱼、基于操作系统 /应用系统漏洞的攻击、击、协议异常攻击等。 行为监管： 对互联网的出入流量进行精细化的分析，基于用户、 段、时间对不同应用的带宽进行细粒度的控制。通过全面的掌握网络、用户的流量、流向趋势及事后的数据分析，为合理规划网络、制定流量北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 4 管理策略提供依据。此外，对内部用户的上网行为进行全方位的监控和记录。包括：玩游戏、看网络电影 /电视、网页访问、邮件收发、文件下载、论坛言论等各种行为。 终端准入控制： 实现网络准入控制功能，从根本上解决网络中病毒泛滥、网络中断，非法接入等各种安全问题， 改 变传统的管理系统及制度仅关注局部管理，而将用户管理，接入控制，网络资源管理，业务管理，安全事件管理等割裂开来的局面，使用统一的管理中心对网络资源进行集中化管理，实现各层次管理的全面融合、联动和协同，即实现真正的智能化、快捷化、直观化。当任何 新 的 用户 ，设备或业务 接入到网络 后都能够无缝、即时的纳入到管理范畴。 2. 设设 计计 原原 则则 基于对二七所综合新大楼网络建设项目需求的深入理解，结合自身产品和技术特点， 司推出了了完善的网络解决方案，为其提供“高扩展、多业务、高安全”的精品网络。 网络建设遵循以下基本原则： 高带宽 二七所综合新大楼网络是一个庞大而且复杂的网络，为了保障全网的高速转发，全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心设备具有高性能、高带宽的特点，提供无瓶颈的数据交换。 可扩充性 考虑到用户数量和业务种类发展的不确定性，要求对于核心设备具有强大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。本次项目特别要求所有网络设备具有 便对未来各类业务的支持，达到投资用户保护的目的。 开放性 技术选择必须符合相关国际 标准及国内标准，避免个别厂家的私有标准或内北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 5 部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施，技术路线选择严格保证先进、适用、合理、成熟。 经济性 充分利用现有资源，提高整体投资的性价比；遵循“统一规划、分步实施”的方针，有计划、有步骤地进行信息化建设。 3. 整整 体体 架架 构构 设设 计计 总体设计概述 在本次网络整体设计中，根据业务的不同共分为三张网，分别是信息网、安防网、控制网，采用分离建网、物理隔离的方式进行组网，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置，其中信息网设计为核心 接入三层架构，安防网及控制网设计为核心 据信息点的分布情况，设计的交换机及数量如下表所示： 信息网信息点分布表 楼层 信息点 24 口交换机 48 口交换机 汇聚交换机 备注 夹层 主楼 8 1 1 中心机房 主楼 8 2 汇聚楼层 主楼 8 1 2 主楼 12 1 2 主楼 12 1 2 1 主楼 8 1 1 汇聚楼层 主楼 8 1 1 主楼 8 1 1 主楼 8 1 1 1 主楼 4 2 汇聚楼层 主楼 4 2 主楼 4 2 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 6 主楼 4 2 1 主楼 4 2 汇聚楼层 主楼 4 2 主楼 4 2 主楼 4 2 1 主楼 4 2 汇聚楼层 主楼 2 1 1 主楼 1 北裙 02 1 1 1 北裙 0 1 汇聚楼层 北裙 8 1 北裙 4 1 南裙 6 1 1 南裙 2 1 汇聚楼层 南裙 0 1 1 南裙 6 1 1 合计 1754 13 39 7 安防网信息 点分布表 楼层 楼层信息 点 总信息 点 24 口交换机 48 口交换机 备注 77 2 夹层 10 主楼 5 中心机房 主楼 1 设备间楼层 主楼 1 主楼 1 主楼 36 1 主楼 设备间楼层 主楼 主楼 主楼 0 31 1 主楼 设备间楼层 主楼 主楼 主楼 28 1 主楼 设备间楼层 主楼 主楼 主楼 28 1 主楼 设备间楼层 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 7 主楼 主楼 北裙 16 1 北裙 设备间楼层 北裙 北裙 南裙 6 37 1 南裙 设备间楼层 南裙 南裙 合计 253 253 1 7 控制网信息点分布表 楼层 控制信息点 8 口交换机 备注 夹层 主楼 1 中心机房 /设备间楼层 主楼 主楼 主楼 1 设备间楼层 主楼 主楼 主楼 1 设备间楼层 主楼 主楼 主楼 主楼 主楼 主楼 1 设备间楼层 主楼 主楼 主楼 主楼 主楼 主楼 主楼 1 设备间楼层 北裙 1 设备间楼层 北裙 北裙 北裙 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 8 南裙 1 设备间楼层 南裙 南裙 南裙 合计 11 7 信息网详细设计 针对新大楼的具体布线情况和业务信息点布局，新的网络架构可以采用扁平化解决方案建设，三层结构设计，即核 心、汇聚、接入三层，在接入层直接接入用户的信息点，通过 类双绞线连接至汇聚交换机，然后汇聚交换机通过万兆光纤双归上连至双核心交换机（两台核心交换机采用最先进的虚拟化技术进行双机热备），从而大大提高各楼层网络通讯的效率和整体网络的数据交换性能。 具体设计将分以下几部分： 础网络平台设计 在核心层，配 置 双 核心交换机 ，同时利用 拟化技术，将 2 台核心交换机虚拟化为 1 台逻辑上的单一、独立的设备。虚拟化的智能架构与传统的网络设计相比，优点在于： 运营管理简化。 虚拟化的交换机组被逻辑化 为单管理点，包括配置文件北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 9 和单一网关 址，无需 高运营效率。 整体无环设计。 跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（ 虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。 进一步提高可靠性。 通过优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行 3 重收敛，能快速实现确定性虚拟交换机的恢复。 在汇聚层，配置千兆下连、万兆上连的汇聚交换机，通过计算每 4 层楼采用 1 台汇聚交换机，每台汇聚交换机通过双万兆光纤上连至双核心交换机，数据在两条 链路上负载均衡并具有冗余备份的功能。 在接入层：楼层各配线间部署系列千兆交换机，通过 类双绞线与汇聚交换机相连，并且提供全千兆线速到桌面的接入能力，所有接入层均实施终端准入控制解决方案。 务器区设计 服务器（业务系统）采用 2 台高性能的千兆交换机，采用与核心交换机相同的 拟化技术实现服务器区的高带宽、高可靠性。在这种部署模式下，服务器同核心交换机之间的带宽高，从根本上提高服务器的访问效率和用户使用体验满意度。在服务器区交换机上部署高性能 卡，不仅可以过滤访问外部的流量 ，更可以清洗网内互访的流量（特别是内部用户访问服务器的流量），此外，在核心交换机上部署的防火墙插卡可实时抵御各由外自内的各种安全威胁。 管控制区设计 在管理区部署 能管理中心对全网设备及安全事件进行监控和集中管理。 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 10 安防网详细设计 采用核心 在接入层直接接入用户的信息点，通过万兆光纤连接至核心交换机，整体设计采用一台核心交换机、八台千兆接入交换机，网络建成后可达到万兆主干千兆到桌面的传输性能。 控制网详细设计 采用核心 在接入层直接接入用 户的信息点，通过千兆光纤连接至核心交换机，整体设计采用一台核心交换机、七台千兆接入交换机，网络建成后可达到千兆主干百兆到桌面的传输性能。 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 11 4. 网网 络络 安安 全全 详详 细细 设设 计计 根据 中华人民共和国计算机信息系统安全保护条例 的规定， 各单位、各部门 均需要 开展信息安全等级保护工作 ，对于二七所也不例外，对于本次项目严格遵守国家等级保护“二级系统统一成域，三级系统独立成域”的原则进行安全架构规划，主要针对出口及安全接入、服务器区安全防护、端点准入控制方案等方面进行详细设计。 出口及安全接入 核心交换机配置高性能防火墙插卡，作为 2 的防御。服务器汇聚交换机上布署 卡。 上述部署之后，将把住“病从口入”关，实时、全面的抵御来自互联网的安全威胁，使网络免遭“外界”的恶意侵犯。主要的防御效能如下： 2 层链路层、 3 层物理层）攻击，包括： 骗、地址扫描、端口扫描及各种洪泛（ 击 括 于状态的包检测、安全域 /分、基于时间段的安全策略、虚拟防火墙、黑白名单等。 防火墙作为最主流也是最基础的安全产品，对整个 网络进行区域分割，提供基于 址和 P 服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、 骗、 用等进行有效防护；并提供 址转换、用户认证、 定等安全增强措施。 本次配置的防火墙集成 能，可以使在其它场所及合作伙伴方职员安全、可靠的接入内部网络，并在整个的接入及访问过程中，保证通信数据的不丢失、不被篡改、不被他人窃取。在进行 入的时候，需要终端 户端软件，利用 入可以同 入进行整合，最 大程度的保障接入过程的安全性。 样不仅“内外互访”的流量受到了保护，内部网络不同网段之间的交互流量同样可以被过滤，进行 2过与服务器区汇聚交换机上嵌入的 卡的配合，达到整网 2 服务器区安全防护 本次新建的服务器区是二七所重要的数据中心，与其它区别相比安全防护需求等级最高的一个区域。 随着服务器数量的逐渐增加，更多的应用系统及重要数据资源将纳入其中。目前的服务器大部分装载的操应用系统为 操作系统 ，数据库及 台，这些系统中存在着很多系统漏洞，补丁的更新工作由于是人工进行，很难成功有效的实施。 重要的保护措施，著名品牌的 品都会最终业界最业界知名软件系统厂商的产品和技术更新，以最快的速度对网络上产生的针对应用系统漏洞北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 12 的攻击做出反应，在攻击手段出现之前为系统打上虚拟的补丁，免去各个服务器，主机打补丁的困扰。 供的数字疫苗服务，可以使其得到最及时的更新而主动地防御最新的攻击（零时差攻击）。此 外，防范令服务器最为头疼的 绝服务攻击 /分布式拒绝服务攻击）及应用层（ 47 层）威胁，包括：病毒（宏病毒、蠕虫病毒、文本病毒）、木马、后门、间谍软件、网络钓鱼、 击、协议异常攻击等是 看家本领。 因此本次在 2 台运行 拟化协议的服务器汇聚交换机上配置 2 块 实现数据中心区 4的安全防御。 端点准入控制方案设计 伴随着信息化建设的快速发展，网络 系统已成为 二七所网络 正常运行的基本保障系统，整 体 的运转高度依赖着信息系统的运行 。网络作为二七所网络信息 系统运行的基础平台，其安全性、稳定性是信息系统正常运行的前提。但是，随着二七所网络网络的日益复杂，网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响网络的稳定运行、威胁业务的正常运行。如何应对网络安全威胁，确保信息系统的安全稳定运行，已经是必须关注的问题。 根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方案应该满足以下要求： 1. 实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制，只有授权的用户，才能接入网络，有效阻断非法接入网络的用户 ，保证网络用户身份的合法性。 2. 统一实现基于用户身份的应用服务器接入控制，保证应用服务器安全。具体来说，就是对访问网络系统的用户，由统一的访问控制管理系统来管理访问权限，而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。 3. 实现服务器系统安全、用户主机系统安全的强制管理，提供有效的技术手段，解决应用服务器、用户主机补丁管理、病毒管理问题 。对于未安装系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补丁的自动安装、病毒库的自动升级，保证网络的清洁。 4. 实现网络接入用户的动态隔离能力 。 在用户访问网络的过程中，一旦发北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 13 现用户处于不安全的状态，可迅速隔离用户终端，保护整个网络不受安全威胁。 点准入控制（ 决方案从网络终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以有效的满足用户接入安全控制的需求，保证网络系统的安全运行。 在“ 放智能管理中枢”中布署 全策略组件，即可实现网络 准入控制功能，从根本上解决内网中病毒泛滥、网络中断，非法接入等各种安全问题，具体如下： 法”及“合规”性检查。“合法”性检查通过验证用户名、密码、 口号、 能卡、数字证书、 等关键要素确认用户的身份。“合规”性检查将根据事先制定的安全策略对接入网络的 端进行安全状态评估，包括：硬件信息、操作系统信息（版本、补丁状态）、病毒软件信息（病毒库、版本、是否感染病毒）、应用软件信息（安装的软件、正在运行的进程、已启动的服务）、注册表信息、共享目录 信息等等。对在“合法”和“合规”性检查中不符合要求的终端，进行隔离，限制其网络访问权限，同时帮助用户在一步步的引导下完成“安全修复”。针对华兰生物的实际网络情况，在汇聚层实施 入控制，可使内网中各种安全威胁（不止是二层攻击，包括各种 47 层的威胁，如：应用层病毒）的危害范围缩小到特定的局部内（一间办公室）。 注：在“合法”性检查中，支持多元素绑定认证、 统一认证、 书认证；在“合规”性检查中， 持同微软 星、江民、金山、 巴斯基、安博士等主流桌面管理及防病毒产品联动，使合规性检查完善而彻底。 端的安全状态变化情况进行实时监控。当终端状态从合规变为不合规时，可即刻做出准入策略变更的响应。 对接入用户的不同身份（总经理、财务经理、生产部员工等等），授予不同等级的网络访问权限，从技术手段上规范用户的网络北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 14 使用行为。如：财务部的服务器只授权公司的高层管理人员、财务经理、财务部员工及信息主管访问，其它人员无法进入。 网络拓扑图上查询在线用户列表及相关信息。对在线用户数、不安全用户数进行统计，可对在线用户的数量、闲置时长、接入时段等控制信息进行设置，限制用户的多网卡、使用及私设代理服务器。可对在线用户下发即时消息或强制用户下线。 终端软硬件资产的信息、使用情况、变更情况进行监控，提供多元化的资产统计报表。事先对资产的配置和软件统一分发，简化 护工作。通过监控 外设的使用情况并记录日志，如：读写文件的时间、数量、文件信息等，使数据得到保护。 相关图片如下： 图：在线查看设备信息 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 15 图： 证接入终端 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 16 图：终端信息检查和监控 图：终端安全评估报告 图：资产的变更 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 17 图：用户管理和网络管理融合 图：用户安全状态趋势图 1 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 18 图：用户安全状态趋势图 2 目前，针对病毒、 蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足： 缺乏主动抵抗能力。在多数情况下，当一个终端受到感染时，病毒已经散布于整个网络。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。 病毒的重复、交叉感染缺乏控制。目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。 全策略不统一，缺乏全局防御能力。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范 。在分散管理北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 19 的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。 内网控制解决方案中 件可以实现下述功能： 检查用户终端的安全状态和防御能力。用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端，容易遭受外部攻击，属于“易感”终端； 已感染病毒的终端，会对网络中的其他设施发起攻击，属于“危险”终端。 过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术（ 可以确保接入终端的合法与安全。 隔离“危险”和“易感”终端。在 案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源，这些受限的网络资源被称之为“隔离区”，可以通过 式实现 强制修复系统补丁、升级防病毒软件。 以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后， 以自动提醒用户进行缺失补丁或最新病毒库的升级，配合防病毒服务器或补丁服务器，帮助用户完成手工或自动升级操作，达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。 集中、统一的安全策略管理和安全事件监控是内网控制方案的重要功能。企业安全策略的统一实施，需要有一个完善的安 全策略管理平台来支撑。 供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时 以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 20 安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动的基本原理如下图： 用户终端安全联动设备安全策略服务器修复服务器身份认证请求发起份信息份认证成功，下发隔离病毒版本、系统补丁等信息）不合格（缺少根据安全认证结果，修复系统漏洞安全状态检查检查信息（防病毒版本、系统补丁等信息）安全认证成功，下发监控策略全认证成功，下发工作动基本原理 1用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络 2合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，不合格用户将被安全联动设备隔离到隔离区 进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格，安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务 从主要功能和基本原理可以看出，端点准入控制解决方案将终端防病毒、补北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 21 丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个 联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 图：组成示意图 本组件 端点准入控制方案是一个整合方案，其基本部件包括安全客户端、安全联动设备、安全策略服务器，安全管理中心以及防病毒服务器、补丁服务器等第三方服务器。方案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成对网络接入终端的安全状态评估、隔离与修复，提升网络 的整体防御能力。 全客户端 安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括： 提供 多种认证方式，可以与交换机、路由器配合实现接入层、汇聚层的端点准入控制。 检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 22 包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。 全策略服务器 案的核心是整合与联动，而安全策略服务器是 案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功 能。 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。 用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略 。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。 日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。 安全联动设备 安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机、路由器或防火墙安全网关，分别实现不同认证方式（）的端点准入控制。不 论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能： 强制网络接入终端进行身份认证和安全状态评估。 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 23 的隔离指令后，可以通过 式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的 。 第三方系统（桌面防病毒系统，防病毒服务器） 在 案中，第三方系统是指桌面防病毒系统及 处于隔离区中，用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，当用户终端的系统补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。 安全管理中心 集网络设备、安全设备和服务器的安全日志，结合 户端上报的用户上网过程、安全状态、病毒查杀事件，进行统一分析，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源。同时，安全管理员可以按 照法律法规（如 案）和标准中的规定，定制相应的审计报告。 作为一种成熟的安全防御体系，内网控制从端点准入控制入手，整合防病毒软件等单点安全产品，可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 病毒、蠕虫的主动防御，大幅提高安全性 安全管理平台通过 点准入防御）终端软件对接入用户进行认证时，同时检查终端补丁、病毒库升级状态，确保只有身份合法并且符合企业的防病毒标准和系统补丁安装策略的用户接入，从而保证每一个接入端点的安全，预防内网病毒、蠕虫的泛滥。不符合安全 策略的用户终端将被隔离到“隔离区”，只能访问网络管理员指定的资源，在提醒下完成修复和升级。 基于深度检测的安全联动，全面隔离 “ 危险 ” 终端 安全防御设备包含防火墙、 合了包过滤、状态检测、入北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 24 侵防御和防病毒等多种技术，可以发现和阻断蠕虫、病毒以及恶意入侵行为，同时将安全事件上报安全管理平台。 行智能分析后联动 造成威胁的内网用户采取在线提醒、强制下线、关闭交换机端口、加入黑名单等控制手段，从源头上制止威胁的发生。 专业的桌面行为审计 集网络 设备、安全设备和服务器的安全日志，结合 户端上报的用户上网过程、安全状态、病毒查杀事件，进行统一分析，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源。同时，安全管理员可以按照法律法规（如 案）和标准中的规定，定制相应的审计报告。 灵活、方便的部署与维护 方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。其中 以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒， 不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。 专业第三方厂商的合作 内网控制是一个整合方案，目前支持方案的厂商包括市场上主流的防病毒软件厂商及桌面终端管理厂商，包括但不限于 星，金山，江民，北信源，趋势， 等。通过 联动，各软件系统的价值得到提升，从单点防御转化为整体防御。 具有策略实施功能，方便企业实施组织级安全策略 方案除了能够检测用户终端的安全防御状态外，还可以帮助管理员设置终端的安全策略，以达到企业级安全 策略统一实施的目的。 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 25 5. 网网 络络 综综 合合 管管 理理 平平 台台 设设 计计 应用场景 随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。 精细化管理的第一步是网络的基础管理，基于多年的积累和对用户网络的深入理解， 放智能管理中枢 解决方案为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现设备管理、拓扑管理、告警管理、性能管理、软件升 级管理、配置文件管理、 源管理、 视与部署等多种管理功能。 决方案不仅能够管理 司的全线数据通信设备，还能够通过标准 理 3为、 各主流厂商的设备，而且还是 平台介绍 决方案以对网络资源的基本管理为核心，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。 决方案采用全新的 向服务的架构）为设计思想，基于 B/S 架构，对外提供多种开放接口，既能与用户原有业务系统有机融合，又能方便吸纳第三方服务，形成“面向业务”、“融合联动”、“开放架构”的管理流程。 北京中电兴发科技有限公司 联网报警系统设计方案 第 页 共 36 页 26 图 决方案概述 础网络管理组件介绍 决方案不仅涵盖拓扑、 告警、性能和配置等管理功能，使网络状况一目了然，而且结合 司的系列交换机和路由器设备，提供智能化的 理工具，可实现客户所需的各种严格的访问控制策略，从而构成对网络访问的权限控制。在传统网络管理的基础上，与 络信息联动，形成端到端的管理解决方案，切实有效的减轻管理员的工作量。 全面的基础资源管理 除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、服务器、打印机、 设备进行管理，实现设备资源的集中化管理；基于 快速、准确地发现网络资 源，包括路由方式、 式、 式、网段方式等；支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。 北京中电