工商局网络优化实施方案.doc

XX工商局网络安全优化项目实施方案广州北大明天资源科技发展有限公司目 录第1章项目概述31.1项目背景31.2现状分析31.3项目实现目标51.4项目方案设计与产品部署51.4.1防火墙部署设计51.4.2IPS部署设计61.4.3安全管理平台部署设计71.4.4IT服务管理系统81.4.5项目设备分布10第2章项目实施方案112.1项目组织结构112.1.1项目管理组织结构112.1.2项目实施组织结构122.1.3项目小组122.2项目实施进度计划13第3章实施保障计划153.1用户配合方案153.2系统回退方案153.3项目实施控制流程163.3.1项目实施工作程序163.3.2项目实施流程图173.3.3验收表格示例18第1章 项目概述1.1 项目背景随着Internet的不断发展，信息技术越来越成熟。也改变了传统工商管理行业的工作模式，通过基于Web的新兴网络应用和多媒体服务，工商管理部门可以提高其内部机构的效率。网络作为Internet时代IT应用的基础设施，是工商管理部门向电子政务工作模式转型的重要前提条件。因此，其可靠性、安全性和可用性都是关键，XX工商局根据网络使用情况和增强网络安全方面考虑，启动了此次网络安全建设项目。1.2 现状分析目前东莞工商局的广域网络采用电信SDH专网线路分别连接到各下属单位(共计30多个)，其中中心节点的带宽为155M，各下属单位的出口带宽为2M，同时中心点还有一条10M的电信线路连接到Internet。通过这些线路的互联，基本构成了东莞工商局的广域网。东莞工商局现有网络拓扑图如下：图 11 东莞工商局网络现状拓扑图现有网络存在的问题：1、带宽不足，原有网络采用SDH 2M线路连接过分支局，在运行之初完全能满足下属单位访问市工商局各类应用的需求。但随着应用系统的逐步建设，数据大集中后，下属单位对工商局中心业务访问的流量也随之增加。面临链路扩容要求。2、原有网络系统存在链路和广域接入路由设备的单点故障。在市局中心的Cisco 7206路由器和分支局路由设备之间通过，单一设备和单一线路进行互联，而应用系统的数量不断增加，而电子政务的发展使工商管理系统对信息化网络的依赖度不断提供，要求业务承载的广域网络系统具有更高的可靠性。3、原有网络系统在安全性方面不够。下属单位到市局中心组成的广域网络，基本对所有应用协议都是开放的，没有在网络层面对网络的不同区域进行不同安全级别的划分，所有应用协议都可以在IP网上畅通无阻，使非业务或非关键流量挤占有限的带宽。分局随没有直接连internet的出口，但可以通过市局中心访问到internet，在用户不清楚的情况下，就带入来自公网的病毒、木马，用户并修改IE的设置，被流氓软件侵害的事情时有发生。1.3 项目实现目标本次网络安全建设项目，内容主要包括把互联的线路进行升级，并且在各单位之间架设网络安全设备进行访问控制。具体包括以下内容：l 新设置电信MSTP线路，连接到下属单位的带宽为10M，同时连接到中心点的带宽也相应增加。电信MSTP线路接口为以太网口。l 原SDH线路作为备份线路，在主MSTP线路出现问题时要求能自动切换到备份线路，保障网络通畅。l 在网络的边界增加网络安全设备进行访问控制。l 对安全及网络设备的统一协同智能化管理。1.4 项目方案设计与产品部署1.4.1 防火墙部署设计在保证用户MSTP和SDH两套线路互为备份的基础上，考虑网络系统的安全性、高可靠性、可扩展性，提出我们提出如下安全的网络升级方案。1)通过在中心设置两台千兆防火墙，将市局的数据中心和广域网划分为不同级别的安全区域。2)在每一个分局部署一台百兆防火墙，保护各分局的内网。在各防火墙上只开放必须的应用端口，并制定部分应用层安全策略，包括HTTP 协议URL 过滤，建立白名单等。建议方案部署图：图 12 东莞工商局网络改造后拓扑图1.4.2 IPS部署设计根据目前东莞工商局的网络拓扑图，镇区分局都已经没有了重要业务的服务器部署，东莞工商局的所有业务系统都已经集中部署到市局中心机房。同时各分局也不再有独立的internet出口，因此在IPS部署设计上，我们建议集中在市局中心。部署位置可以考虑三个核心位置（数据中心核心服务器区之前，保护核心数据库和服务器，internet出口，乡镇远程接入汇接点之后），具体如下图所示：图 13 IPS部署后网络拓扑结构图在本项目中，我们以防火墙安全方案为基础，增加了两台H3C TippingPoint IPS设备。首先在最重要的数据中心前部署了一台H3C TP 1200E，以保护东莞工商局IT核心资产；H3C TP 1200E有8个千兆端口，在镇区分支点汇接到中心的防火墙后，为防范广域内网中的安全风险，通过复用数据中心部署的H3C TP 1200E端口，既节约成本又能防止镇区分支点的安全风险扩散到市局内网。1.4.3 安全管理平台部署设计针对工商局目前面临的一系列问题： （1）对实时安全信息不了解，无法及时发出预警信息，并且处理。（2）各种安全设备是孤立的，无法相互关联，信息共享。（3）安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。（4）网络安全专家匮乏，没有足够的人员去监控、分析、解决问题，成本高。H3C安全统一管理解决方案以开放的安全管理平台为框架，将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高网络的整体安全防御能力。H3C安全管理中心由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系（见下图）。 图 14 H3C基于安全管理中心的智能防御体系H3C安全管理中心旨在集中部署网络安全保护策略，简化对安全部件的管理，确保网络安全策略的统一；广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件，通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险，提高安全报警的信噪比；准确的、实时的评估当前的网络安全态势和风险，并根据预先制定的策略做出快速响应。1.4.4 IT服务管理系统IT服务管理平台通过合理的角色划分和用户管理，面向运维人员、面向技术人员、面向管理人员、面向领导和规划人员，提供IT服务的综合协作平台。从IT服务行业的需求方面来看，IT服务管理系统是建立起基本的服务体系结构和服务流程，IT服务管理（ITSM）系统主要分为服务台管理、事件管理、问题管理、报表管理、配置管理、辅助工具、个人工作台、资源管理、系统维护等功能模块。下面分别描述系统的各个功能。图1-5 系统功能结构1.4.5 项目设备分布序号局点设备名称单位数量1、市局核心防火墙：H3C SecPath F1000-E台22、分支节点分支防火墙：H3C SecPath F100-A台323、市局入侵防御系统：H3C TippingPoint IPS 1200E台24、市局网络安全管理中心设备：H3C SecCenter A1000台15、市局IT服务管理系统：北大明天ITSM系统套1第2章 项目实施方案2.1 项目组织结构XX工商局网络安全建设项目是一个涉及面广、技术复杂的大型系统工程，为保证工程能分步骤有条理地顺利进行，科学合理的项目管理非常重要。2.1.1 项目管理组织结构2.1.2 项目实施组织结构2.1.3 项目小组管理负责：许红涛务负责：梁 黔3C技术支持：项目经理：张官清组姓名联系方式负责区域第一小组程涛二小组刘武三小组董必涛150997781682.2 项目实施进度计划实施的具体时间，尽量安排在不影响用户业务高峰期情况下进行。图 21实施区划地图节点分局日期时间工作内容备注市局核心市局4天安装调试市局千兆防火墙、IPS和安全管理系统及服务平台部署。1、 完成千兆防火墙部署；2、 完成IPS部署和安全管理平台部署；3、 完成服务管理平台部署。4、 系统测试分支节点测试节点（2个）2天安装调试市区两个节点的百兆防火墙1、 安装调试市区两个测试节点的百兆防火墙。2、 安全策略部署和测试。分支节点实施（30个）15天安装调试各分支节点的百兆防火墙1、 安装调试市区两个测试节点的百兆防火墙。2、 安全策略部署和测试。系统测试验收市局2天系统调优、测试、验收1、 安全策略调优；2、 全网系统测试；3、 验收。在实施过程中确保测试不通过时候可以通过回退方案保证用户网络正常培训市局2天检查核心和各节点的设备升级后情况，机动处理。全网测试与验收。注：每个节点的整改时间需要用户确定后才能实施切换，尽量避免影响用户业务情况，切换生产环境后，预留时间进行观察系统运行，如出现故障无法及时解决，做好回退处理工作。第3章 实施保障计划3.1 用户配合方案1、 市局需保证满足新设备的供电需求；2、 各分支节点确保新设备的安装环境，所有设备要安装到机柜中，避免人为因素导致设备断电中断影响业务运行；3、 机房所接设备电源，尽量不要外露在台面和地下，防止在搬动设备或者进行其它工作的时候弄到电源松弛，影响对设备供电；4、 为保证不影响生产环境，割接工作时间必须由用户安排合适时间，并安排好相关人员的配合工作。3.2 系统回退方案本次安全建设项目的涉及面广、技术相对复杂，对网络系统可能会造成不同程度的影响。为减小不可确定因素在网络设备扩容调整过程中造成的影响，特制定系统回退方案。实施前详细了解用户网络情况并对相关设备连接情况进行记录： 序号：备份设备所连接对应端口摆放机柜位置物理链路标识1、需要做以下工作：（1）检查该网段的路由走向和经过几跳到最终目的地,并做好备份。（2）记下每台设备的静态路由表，做好备份。2、各相关设备连线做好记录。3、把原来IP地址规划记下，检查该服务器原来接在那台设备，在该设备上查找该服务器对应的端口，检查MAC地址。并做好备份。 4、IP地址的规划，及VLAN信息，做好登记。以上各项工作在进行中如果出现异常则立即停止修改，查找错误原因，在时间允许范围内恢复正常则继续切换；若在时间允许范围内没能恢复，则进行回退。回退必须按照改造前的备份资料进行，确保网络恢复正常。回退时必须记录故障点，故障现象，现场分析手段及结果，以备事后分析。3.3 项目实施控制流程3.3.1 项目实施工作程序1. 承建单位根据合同、招标文件及投标文件，组织编制项目实施方案后提交建设单位及用户单位，建设单位审核通过后出具开工令。2.承建单位接到建设单位的开工令后，项目经理组织项目组人员严格按项目实施方案开始进行项目实施。3.承建单位安排运输工具，将合同内设备送达项目现场，项目组按设备清单对设备进行清点审核，包括：设备名称、型号规格、数量等，并与用户单位负责人共同验收设备并填写用户货物验收单。用户货物验收单一式三份，两份承建留档，另一份提交用户单位。发现设备有缺陷或与合同不符时由承建单位核查原因，经与用户单位协商后承建提出解决方案，并由实施工程师在工程实施问题处理单中记录。4.在现场施工过程中，实施工程师对于具体实施过程中出现的突发性问题，在与用户协商之后，视情况进行下列处理：a) 用户认为出现的问题不影响整个项目的实施，则记录于工程实施问题处理单，继续按计划进行实施工作；b) 用户认为不可接受的，实施工程师根据用户提出的整改意见，填写工程实施问题处理单，上报项目经理审批并经用户确认后执行。5.在实施过程中若出现设备增减或实施计划有所变更，由请求方提出并填写项目实施变更报告，并提交建设单位审核后按审核意见执行。6.设备安装完毕并完成配置后，由承建单位组织项目组对设备及系统进行测试，测试时填写测试记