网络信息系统设计方案teanv

网络信息系统设计方案2012年6月目 录第 1 章概述21.1项目背景21.2需求分析21.2.1现状介绍21.2.2存在的主要问题21.2.3建设目标3第 2 章系统建设方案42.1设计原则42.2方案设计52.2.1政务外网网络52.2.2政务内网网络62.2.3综合布线设计7第 3 章产品概述113.1防火墙113.2IPS 入侵检测系统123.3网络防病毒系统133.4审计系统143.5网络设备清单14第 1 章 概述1.1 项目背景 随着我国信息化建设的深入，特别是电子政务的发展，以及第三方信息服务商的成熟和服务不断完善，计算机技术的应用发展而产生根本性的变化，各级政府领导和机关工作人员信息化意识大大增强；办公业务领域的计算机应用不断普及，公文、信息处理的效率进一步提高；一支既懂办公自动化技术又熟悉机关业务的专业队伍已经形成。这些新成果充分说明，办公自动化工作已经具备了向更高层次进一步加快发展的必要条件。所有这些，都为推进政府信息化建设奠定了良好而扎实的基础。 1.2 需求分析1.2.1 现状介绍各办公室集中于一个楼层，目前网络是租用联通ADSL连接互联网，没有严格区分统一的内网和外网网络系统。根据国家信息化建设的需求，正计划申请接入省电子政务内网与政务外网网络。1.2.2 存在的主要问题1. 根据国家信息化建设及等保建设要求，没有建立统一的政务内网，政务外网，政务专网系统。2. 现有的外网系统没有与互联网逻辑隔离。3. 网络出口堵塞，非工作流量占用带宽现象严重，上网行为无法得到有效控制。4. 办公网络系统病毒泛滥，缺乏专门有效的病毒防范机制。1.2.3 建设目标结合的实际状况（临时租用的写字间作为办公室），工作业务需求及相关政策规定，的网络应建立两套独立网络系统：政务外网系统，政务内网系统。两套网络系统物理隔离，政务外网系统接入互联网。政务内网接入省电子政务内网，各部门统一连接到一起，实现信息资源交流与共享。各项工作通过政务内网与国家，省市县各部门信息传递，改变现在需专人送达文件的现状。通过此次网络系统建设，将为各部门的办公业务需求提供良好的信息服务平台。第 2 章 系统建设方案2.1 设计原则本期xxxx网络系统平台建设遵循并体现如下设计原则：n 体系化设计原则剖析网络的层次关系，遵循先进的信息安全理念，提出科学的信息安全体系框架和信息安全体系，并根据信息安全体系分析存在的各种安全风险，从而最大限度地处理好存在的安全风险，解决可能存在的安全问题。n 可控性原则采取的最有效的技术手段达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性、有效性。n 系统性、均衡性、综合性设计原则从全系统出发，综合考虑各层面安全问题，各种安全风险，采取恰当的安全措施，并根据风险的大小，采取不同方式的风险处置方法，提供具有最优的性能价格比的安全解决方案。n 可行性、可靠性原则必须保证在采用此方案后，政务系统网络通畅，可靠，提供最优安全保障。n 标准性原则方案的设计、实施以及产品的选择以相关国际、国家的安全管理、安全控制、安全规程为参考依据。n 持久性、可扩展性原则网络建设工作并不是经过一次系统工程建设后，就能高枕无忧，而是随着安全事件的不断变化而不断完善。根据网络建设的需求，不断更新，扩展，逐步的将系统平台建设的更加完善。2.2 方案设计根据国家的信息化建设需求，信息安全建设相关规定，结合的网络需求，此次xxxx网络系统平台建设方案包括三部分 政务外网网络 政务内网网络 综合布线设计2.2.1 政务外网网络2.2.1.1 政务外网拓扑图政务外网的网络架构采取扁平式架构，避免过多接点导致的网络故障。采用一台核心层交换机与两台接入层交换机，构成该网络系统的基础通讯平台。边界网络采用防火墙，入侵检测，防病毒网关等安全设备，为政务外网系统保驾护航，为的应用提供足够的安全性，可靠性。政务外网专线光纤入户，接入弱电机房，与机房内的防火墙设备直接连接，核心交换机通过跳线与机房内接入层交换机连接。政务外网的设备安装在机房外网机柜内。如上图所示，通过防火墙与互联网连接，防火墙负责网络边界安全与访问控制。下联一台核心交换机与接入交换机，接入交换机将各科室网络信息点统一管理访问政务外网。并且在网络中部署入侵检测系统与网络版防病毒服务器，用户终端电脑安装网络版防病毒软件。2.2.2 政务内网网络政务内网建设是本次项目的重要组成部分，建设标准须符合国家的信息安全建设需求，政务内网通过专线与省电子政务内网连接，为日常各项工作的安全性提供了的平台保障支撑。2.2.2.1 政务内网拓扑图如上图所示，通过防火墙与省电子政务内网连接，入侵检测、安全审计等安全设备接入网络中负责安全防护。一台核心交换机与二台接入层交换机负责承载用户网络访问服务。防病毒服务器作为防病毒与安全审计系统的控制中心平台。办公自动化系统服务器在网络中作为承载办公自动化系统的平台。用户终端电脑安装网络版防病毒软件。业务访问方面，在防火墙上设置访问策略，与省电子政务内网有信息交互的用户可以访问省电子政务内网，而其它用户则不允许访问省电子政务内网。入侵检测系统能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的健壮性。使用审计系统对用户的网络行为监控、网络传输内容审计 (如是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了单位的机密信息，是否通过网络传播了反动言论等)， 掌握网络使用情况，提高工作效率， 网络传输信息的实时采集、海量存储、统计分析， 网络行为后期取证，对网络潜在威胁者予以威慑。2.2.3 综合布线设计综合布线系统是一项实践性很强的工程。它是现代社会信息化的必然产物，是多功能、智能型大楼的必然要求。综合布线系统对基于各种系统资源的大楼总体功能的发挥并保持各部门长期、高效率的运转发挥着重要的作用。完善的布线系统工程必须完成六个方面的工作:方案论证、系统设计、工程施工、统验系收、文档说明和应用培训。2.2.3.1 设计标准本方案设计依据的标准有: 1. ISO/IEC 11801标准; 2. EIA/TIA 568A标准 3 EIA/TIA 569标准 4. EIA/TIA-606标准 5. EIA/TIA-607标准 6. CECS 72:97 7. CECS 72:97 8. YD/T 2008-93 9. YDJ26-89中华人民共和国邮电部标准(综合楼部分)2.2.3.2 布线系统的参考因素1 产品体系是否满足ISO11801标准的要求；2 布线系统产品系列是否完善；3 产品生产是否符合ISO9000系列质量保证体系认证；是否通过UL，CAS检验；4 根据用户特定的情况，是否满足设计和应用的需求；5 是否有切实可行的长期质量保证体系。2.2.3.3 施工要求1 水平子系统 水平子系统的走线管道由两部分构成：一部分是每层楼内放置水平传输介质的总线槽，另一部分是将传输介质引向各房间信息接口的分线管或线槽。从总线槽到分线槽或线管需要有过渡连接。 线槽中放置的双绞线应不超过线槽总容量的70%。在线槽中放置的双绞线密度过大会影响底层双绞线的传输性能。 水平线槽一般有多处转弯，在转弯处应留有足够大的空间以保证双绞线有充分的弯曲半径。根据EIA/TIA569标准，五类4对非屏蔽双绞线的弯曲半径应不小于线径的8倍。最新的标准认为，弯曲半径大于线径的4倍已可以满足传输要求了。但有一点是重要的，即保持足够大的弯曲半径可以保证系统的传输性能。 在水平线槽的转弯处，应有垫衬以减小拉线时的摩擦力。 水平子系统线槽采用镀锌铁槽。2 垂直子系统垂直子系统的线槽引向管理子系统布线柜的部分可能需要沿水平方向安装，由垂直向水平过渡应留有足够大的空间以保证电缆有充分的弯曲半径。3 管理区子系统 管理区子系统是工程施工中考虑最复杂的部分。这部分施工应充分考虑环境影响和端接工艺的影响。 电磁辐射是考虑管理区子系统安装环境的主要因素。电磁辐射的影响主要来自两个方面，一是环境对系统传输的影响，一是系统在信息传输过程中对环境设备的影响。 在建筑物内，环境对系统传输的影响主要来自强电磁辐射源，如电台，建筑物内的电梯，马达，UPS电源，等。如果环境中这些干扰源的影响较大，因考虑采取屏蔽措施，或选择距离较远的位置。 布线系统的端接工艺是直接影响系统性能的重要因素。在AMP的系统性能参考手册中强调这部分工作应该由专业工程师安装。 连接配件的安装工艺主要影响布线系统的近端串扰和衰减，而这两个参数是判断系统性能的重要依据。在AMP的安装指南中要求双绞线的绞合拆开小于0.5英寸。 在管理区子系统还要考虑环境的通风，照明，酸碱度，湿度等条件，这些因素将对端接配件造成腐蚀和老化，日久之后会影响系统的性能。管理区子系统内的安全性也要加以考虑，端接配件最好安装在布线机柜或墙柜内。4 工作区子系统 工作区子系统在施工时要考虑的因素较多，因为不同的房间环境要求不同的信息墙座与其配合。在施工设计时，应尽可能考虑用户对室内布局的需要，同时又要考虑从信息墙座连接应用设备（如计算机，电话等）方便和安全。 墙上安装型信息墙座一般考虑嵌入式安装。在国内采用的是标准的86型墙盒，该墙盒为正方形，规格80 X 80mm，螺丝孔间距60 mm。信息墙盒与电源墙座的间距应大于20cm。 信息墙座接头的端接安装必须由专业工程师完成。与管理区子系统的端接一样，它的安装工艺对系统的性能有直接的影响。第 3 章 产品概述3.1 防火墙如今，随着网络拓扑日益复杂，用户对网关过滤设备在应对复杂网络拓扑的适应性方面提出了更高的要求。传统的三端口（内网/外网/DMZ）防火墙模型早已不适应复杂多变的网络拓扑，而且网络安全也不再是外部网络和内部网络之间的事情。根据IDC相关的调查报告显示，只有30%的攻击发生在外部网络和内部网络之间，其他的70%攻击行为发生在内部网络，因此网络安全要同时考虑外部网络和内部网络的安全的，两者并重处理，结合防护是很有必要的。随着网络规模的不断扩张，用户对处于大规模网络拓扑环境下的网关过滤设备也提出了更高的管理要求，对于一个具有成千上万用户、同时处理多种业务的大型网络而言，一个灵活、可扩展的管理框架也凸显其重要性，它不但可以降低管理开销，更能降低因为大规模网络拓扑所带来的安全管理风险。传统的安全解决方案主要侧重于网络层的攻击检测和防护，这类攻击主要集中在欺骗、DoS等其他协议层的攻击。为了阻止这种类型的攻击，大部分用户部署了防火墙、IDS和VPN等网络安全设备，事实证明这些安全设备的确能够很好地处理协议层的攻击，改善企业的网络安全状况。但是随着CodeRed、Nimda等蠕虫病毒蔓延和爆发，整个安全业界和相关用户的关注重心逐渐转向如何防御应用层攻击，例如那些嵌入在邮件中的病毒和蠕虫等方面。根据近几年的网络攻击来看，在所有的网络攻击行为中，63%的攻击行为与两种蠕虫病毒有关： CodeRed和Nimda。这两种病毒的破坏能力是空前的，一旦爆发将会导致整个局域网、大型广域网的瘫痪；以Nimda为例，在它的爆发期间，许多大公司不得不几天到几周不等地切断他们到互联网的连接以避免这种病毒蔓延。这种病毒造成的损失是巨大的， CodeRed造成的直接或间接经济损失大概在25亿美元左右，而Nimda造成的损失更在30亿美元左右。从全球范围来看，2001年恶意代码所造成的经济损失大约在120-130亿美元之间。然而，随着电子商务的不断推广和基于网络的协同作业的日益普及，一旦诸如CodeRed和Nimda之类的病毒爆发，必将会给上述用户带来不可估量的影响或损失。另外一个吸引安全业界和用户眼球的安全问题也随着网络的普及而逐渐浮出水面垃圾邮件；虽然垃圾邮件并不能与病毒、蠕虫那样具有明显的破坏效果，但是其影响却是长期而深远的。根据国内最近的垃圾邮件监控报告，平均每周大概产生6亿封垃圾电子邮件，假设人工处理每封邮件从而确认该邮件是否是垃圾邮件的作业需要5秒钟，这样每周就大概需要31010秒(8.4105小时)来处理这些邮件，如果按30元/小时来计算，那么光是鉴别垃圾邮件这一项，我们就要每周为此付出25,000,000元；如果在考虑浪费的网络带宽等其他因素在内，那我们的损失就不仅是这些了。如果推广到全球来言，那么这方面的损失就是个天文数字了。总之，当今网络现状中或多或少存在着复合型威胁、病毒入侵、垃圾邮件泛滥、P2P等占用大量带宽的应用、黑客攻击等安全方面的问题。这些问题会使得传统安全设备（如防火墙、IDS等）难以胜任，而且多个单一的安全设备（防火墙、IPS、网关防病毒、垃圾邮件网关等）会造成管理复杂、投入高的一系列问题，因此，业界都迫切需要一种安全产品：能够对多种安全威胁进行集中处理，并降低用户成本，同时降低应用的复杂性和繁杂的操作过程，并减少后期的维护量，也使安全政策容易统一定义，和保持安全规则的一致性。3.2 IPS 入侵检测系统网络与信息技术的发展，尤其是互联网的兴起正在改变人类的生活和工作方式。越来越多的政府、企业组织建立了依赖于网络的业务运作系统，宝贵的信息资源以数字的形式存在于网络上。互联网是开放的，这意味着任何人都可以在世界任何地点利用互联网访问与之相连的企业网络和信息资源，当然这种访问可能是授权的也可能是非授权的。访问者对企业网络的恶意或非恶意侵犯会给企业带来灾难性的后果，其损失是显而易见的且难以估量的，网络信息安全问题日益突出。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增，攻击的方法和手段层出不穷。有矛必有盾，一场破坏与反破坏的信息安全技术大战正在如火如荼地展开。 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图” (参见国标 GB / T18336)。换言之，入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 入侵检测系统的作用主要体现在以下方面：实时监测和安全审计，实时监测功能使得入侵检测系统能实时的监测、分析网络中的所有数据报文，从中发现网络攻击或是可疑的异常行为；安全审计功能通过对入侵检测系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的数据。3.3 网络防病毒系统网关防毒产品在企业网络的入口提供了简单的即插即忘式的保护，能够抵御某些新型蠕虫的功击，病毒在进入网络之前就会被拦截，避免了由于病毒入侵到服务器和工作站所引起的一系列的典型问题，可用于独立式边缘病毒扫描结构，或作为客户端、服务器和边缘保护三层病毒扫描架构的一部分为企业网络提供了