中国商飞信息化技术方案

1、.上海宝信软件股份Shanghai Baosight Software Co.,Ltd.：.；中国商飞公司信息化网络平安平台技术方案项 目 号文档编号工程编号版 本 号1.1严密级别普通 绝密上海宝信软件股份2021年03月中国商飞公司信息化网络平安平台技术方案编制日期：审核日期：同意日期：上海宝信软件股份 技术方案 14/14修订历史日期作者版本修订缘由主要修订内容目 录 TOC o 1-3 h z u HYPERLINK l _Toc224634909 1.网络及平安根底平台引见 PAGEREF _Toc224634909 h 5 HYPERLINK l _Toc224634910 1.1

2、.网络平安根底平台概述 PAGEREF _Toc224634910 h 5 HYPERLINK l _Toc224634911 1.2.网络平安根底平台规划目的及支撑范围 PAGEREF _Toc224634911 h 5 HYPERLINK l _Toc224634912 2.技术方案 PAGEREF _Toc224634912 h 6 HYPERLINK l _Toc224634913 2.1.网络平安根底平台层次架构 PAGEREF _Toc224634913 h 6 HYPERLINK l _Toc224634914 2.1.1.涉密网网络平安根底平台层次架构图 PAGEREF _To

3、c224634914 h 6 HYPERLINK l _Toc224634915 2.1.2.业务网网络平安根底平台层次架构图 PAGEREF _Toc224634915 h 6 HYPERLINK l _Toc224634916 2.2.网络平安根底平台功能 PAGEREF _Toc224634916 h 7 HYPERLINK l _Toc224634917 2.2.1.涉密网网络平安根底平台功能 PAGEREF _Toc224634917 h 8 HYPERLINK l _Toc224634918 2.2.2.业务网网络平安根底平台功能 PAGEREF _Toc224634918 h 9

4、 HYPERLINK l _Toc224634919 3.建立方案建议 PAGEREF _Toc224634919 h 12网络及平安根底平台引见网络平安根底平台概述中国商飞公司网络作为设计、制造、效力、管理等运用的数据流转平台，按照地域划分为公司行政办公区、客户服中心、总装制造和研发设计中心四个区域，其中公司总部在张杨路，设计研发中心在龙华，总装制造中心在大场而客户效力中心那么在闵行紫竹，各区域之间经过租用运营商线路的方式实现高速互联，而公司客户和国内外供应商那么经过IPSEC VPN、SSL VPN等方式接入，此外各协作单位经过专线等方式接入。而在职能上，中国商飞公司网络又划分为涉密网和业

5、务网两个物理隔离的网络。其中涉密网同上级主管单位以及严密部门互联，主要用于涉密文件、流程的处置。业务网那么为集团与各成员单位之间在飞机设计、飞机制造、客户效力等各个环节有效的信息传送、交换和共享，构成基于数字化的飞机研制、消费、效力管理的业务环境提供效力，并对外提供IPSEC VPN、SSL VPN等平安的接入方式。四个区域中都包含有涉密网以及业务网两部分。网络平安根底平台规划目的及支撑范围参照公安部于2005年发布的，从长久角度出发对中国商飞公司网络平安根底平台建立进展规划任务，实现涉密网网络平安平台建立到达信息系统平安等级维护根本要求第四级以及业务网网络平安平台建立到达信息系统平安等级维护

6、根本要求第三级的目的，为商飞公司PDM、ERP、MES等数字化信息系统运转提供平安、可靠、高效的根底支撑环境。技术方案网络平安根底平台层次架构涉密网网络平安根底平台层次架构图图一：涉密网整体网络平安层次架构图架构图阐明：商飞公司涉密网网络平安架构层次共划分为5个大平安区域：涉密网、涉密骨干网区域、属地涉密办公网区、属地涉密效力器区以及涉密网数据中心/灾备区域，平安级别依次递升；涉密网外联区：定位于商飞公司内部涉密网与外部的涉密主干网互联区域；涉密骨干网区域：定位于为各区域所属涉密网同其它区域涉密网互联而设立的区域；属地涉密网办公区：定位于为各区域所属涉密网中的办公用户接入而设立的区域；属地涉密

7、网效力器区：定位于为各区域所属涉密网中内部效力器接入而设立的区域；涉密网数据中心/灾备区域：定位于为商飞公司涉密网中心数字化信息系统接入而设立的区域；业务网网络平安根底平台层次架构图图二：业务网整体网络平安层次架构图架构图阐明：商飞公司业务网网络平安架构层次共划分为5个大平安区域：Internet区域、业务骨干网区域、属地业务网办公区、属地业务网效力器区及业务网数据中心/灾备区域，平安级别依次递升；Internet区域：定位于为商飞公司业务网提供平安的因特网访问和对外信息发布接入而设立的区域。对因特网提供效力的平安系统和运用系统均部署在此区域；业务骨干网区域：定位于为各区域所属业务网同其它区域

8、业务网以及数据中心互联而设立的区域；属地业务网办公区：定位于为各区域所属业务网中的办公用户接入而设立的区域；属地业务网效力器区：定位于为各区域所属业务网中内部效力器接入而设立的区域；业务网数据中心/灾备区域：定位于为商飞公司业务网中心数字化信息系统接入而设立的区域；网络平安根底平台功能中国商飞公司网络平安根底平台分为涉密网以及业务网两套物理隔离的网络，每套网络都有各自独立的构造化综合布线系统和网络平安系统。两套网络平安根底平台的建立均参照信息系统平安等级维护根本要求中的技术规范进展规划。涉密网网络平安根底平台功能建议在涉密骨干网出口画上防火墙，否那么边境上短少防护了。图三：涉密网网络平安拓扑架

9、构图商飞公司涉密网网络及平安根底平台规划中采用的架构及技术以信息系统平安等级维护根本要求第四级中的以下目的为根据：构造平安G4访问控制G4边境完好性检查G4入侵防备G4恶意代码防备G4网络设备防护G4通讯严密性S4数据平安及备份恢复S4涉密网网络平台功能规划：商飞公司涉密网按功能划分为涉密骨干网和属地涉密网两部分。中心层高性能路由器部署在涉密骨干网中，一切属地涉密网以及涉密网数据中心/灾备中心均经过双路上联至骨干网路由器上，再转而接入至涉密网中。每个属地涉密网由办公网以及效力器区两部分组成，其中办公网用于用户的接入而效力器区域那么为属地内部效力器提供接入，属地涉密网采用千兆主干、百兆至桌面的网

10、络架构，不同平安区域间经过防火墙进展逻辑隔离，通讯链接间采用公用设备进展链路加密，此外网络中的中心节点以及链路均思索到了冗余设计。商飞涉密网规划建立主、备两个数据中心，两个数据中心网络构造坚持一致，采用中心、接入两层架构，网络中心以及接入设备均采用千兆架构以满足高速、大量的数据传输要求，两个网络中心间经过专线实现互备，并部署专门的线路仅供两个中心间备份数据传输运用，保证数据备份的可用性、可靠性。此外，网络中的中心节点以及链路均思索到了冗余设计。涉密网平安平台功能规划：涉密骨干网：运用专门的链路加密设备对涉密骨干网同属地涉密网以及涉密主干网互联的线路进展加密，保证重要数据在涉密网中流转时的性以及

11、可靠性要求。在涉密骨干网中部署入侵防护设备，该设备具有实时检测和拦截多种攻击特征的实时入侵防备功能，可以对关键信息资源进展彻底维护，保证商飞涉密网的平安。经过流量监控设备，分析涉密网流量及其运用的网络协议，为确定网络运用情况及带宽运用率等提供准确的资料。属地涉密网：在属地涉密网出口部署防火墙设备，经过防火墙将涉密办公网、涉密效力器区域、涉密骨干网以及其它属地涉密网进展逻辑隔离以及访问控制。在属地涉密网中部署属地防病毒系统，对属地办公网和效力器区终端防病毒客户端进展一致管理，实现立体全方位的病毒防护体系。在属地涉密网办公区中部署终端平安准入控制系统，经过终端接入安康检测、IP地址管理、资产信息管

12、理、进程监控、组织机构管理、外设与端口监控、非法外联监控、软硬件变卦监控等控制措施，确保涉密办公网的终端接入平安要求。经过在商飞涉密网中部署网络管理系统，实现对涉密网络系统的拓扑发现、缺点报警、Log信息搜集等功能。涉密网数据中心/灾备中心：在数据中心网出口部署高性能防火墙设备，经过防火墙将数据中心、涉密骨干网以及其它接入区域进展逻辑隔离以及访问控制。在主、备两个数据中心间部署专门的通讯线路，为数据中心间备份数据同步提供高速、可靠的承载平台。业务网网络平安根底平台功能协作单位接入骨干网应应该思索骨干网一侧的控制。建议画上防火墙，对端画不画到不要紧。图四：业务网网络平安拓扑架构图商飞公司业务网网

13、络及平安根底平台规划中采用的架构及技术以信息系统平安等级维护根本要求第三级中的以下目的为根据：构造平安G3访问控制G3平安审计G3边境完好性检查S3入侵防备G3恶意代码防备G3网络设备防护G3通讯严密性S3数据平安及备份恢复S3业务网网络平台功能规划：商飞公司业务网按功能划分为Internet出口、业务骨干网、属地业务网以及业务网数据中心。中心层高性能路由器部署在业务骨干网中，一切属地业务网以及数据中心/灾备数据中心均经过双路上联至骨干网路由器上，从而实现商飞业务网的互联。一切需求访问Internet的业务网用户经过一致的Internet出口实现访问需求，需求对外提供效力的各运用以及平安系统均

14、部署在Internet区域中。公司客户、国内外供应商、驻外办事处以及挪动办公用户可经过Internet区域设置的IPSEC VPN、SSL VPN访问到业务网中所必需的资源，而各协作单位那么采用专线方式直接接入到业务骨干网中。每个属地业务网由办公网以及效力器区两部分组成，其中办公网用于用户的接入而效力器区域那么为属地内部效力器提供接入，属地业务网采用千兆主干、百兆至桌面的网络架构，不同平安区域间经过防火墙进展逻辑隔离，通讯链接间采用公用设备进展链路加密，此外网络中的中心节点以及链路均思索到了冗余设计。商飞业务网规划建立主、备两个数据中心，两个数据中心网络构造坚持一致，采用中心、接入两层架构，网

15、络中心以及接入设备均采用千兆架构以满足高速、大量的数据传输要求，两个网络中心间经过专线实现互备，并部署专门的线路仅供两个中心间备份数据传输运用，保证数据备份的可用性、可靠性。此外，网络中的中心节点以及链路均思索到了冗余设计。业务网平安平台功能规划：Internet区域：在Internet区域部署多条不同ISP提供的Internet线路，并经过专门的链路负载平衡设备实现Internet线路的负载平衡以及冗余备份。经过防火墙设备控制外部接入网的衔接恳求，同时屏蔽内部对企业关键资产及敏感信息的非法访问，并为国内外供应商以及驻外办事处提供IPSEC VPN接入。在Internet区域中部署入侵防护设备

16、，该设备具有实时检测和拦截多种攻击特征的实时入侵防备功能，可以对关键义务资源进展彻底维护，从而保证商飞业务网的平安。针对不同用户、运用对于Internet带宽运用的不同要求，经过专门的带宽管理设备来实现Internet带宽分区、分类网络流量、基于运用级别的带宽分配需求，进一步保证关键运用的可用性。经过专门的SSL VPN产品并结合双要素身份认证的方式，为公司客户以及挪动办公人员在Internet环境下访问业务网中重要运用资源提供平安的通道。经过网络平安审计系统以及流量监控设备，对业务网用户的上网行为进展实时监控，并记录保管相关日志。同时分析上网流量及其运用的网络协议，为确定网络运用情况及带宽运

17、用率等提供准确的资料。经过Web反向代理设备，躲避了外部Web效力器以及运用直接暴露在外部用户前而能够存在的平安隐患。业务骨干网：运用专门的链路加密设备对业务骨干网同属地业务网以及业务网数据中心互联的线路进展加密，保证重要数据在业务网中流转时的性以及可靠性要求。经过部署网络管理系统的方式，对业务主干网络系统的拓扑发现、缺点报警、Log信息搜集等功能。 属地业务网：在属地业务网出口部署高性能防火墙设备，经过防火墙将属地办公网、属地效力器区域、业务骨干网以及其它属地业务网进展逻辑隔离以及访问控制。在属地业务网中部署属地防病毒系统，对属地办公网和效力器区终端防病毒客户端进展一致管理，实现立体全方位的

18、病毒防护体系。在属地办公网中部署终端平安准入控制系统，经过终端接入安康检测、IP地址管理、资产信息管理、进程监控、组织机构管理、外设与端口监控、非法外联监控、软硬件变卦监控等控制措施，确保属地办公网的终端接入平安要求。商飞数据中心主、备：在数据中心网出口部署高性能防火墙设备，经过防火墙将数据中心、业务骨干网以及其它接入区域进展逻辑隔离以及访问控制。在主、备两个数据中心间部署专门的通讯线路，为数据中心间数据同步提供高速、可靠的承载平台。涉密网与业务网关系阐明商飞公司网络平安根底平台根据职能划分为涉密网与业务网两套物理隔离的网络，每套网络都具有独立的构造化综合布线系统以及网络平安系统，但从两套网络设备部署的物理位置上来说，各属地以及数据中心下的涉密网、业务网相关设备都部署在临近的地理位置内。按照信息平安等级维护根本要求，由于涉密网、业务网两套网络的平安等级有差别涉密网为第四集，业务网为第三级，两个网络间不允许在没有任何防护措施的情况下进展数据交互，必要时需求采用手工的方式进展数据的流转。但假设业务网同涉密网间数据传输要求较高，采用手工的方式效率过低，影响