网络优化及安全加固技术建议书V1

1、网络优化及安全加固技术建议书文档版本01发布日期2018/4/23 TOC o 1-5 h z HYPERLINK l bookmark8 o Current Document 1概述1 HYPERLINK l bookmark11 o Current Document 1.1项目背景1 HYPERLINK l bookmark14 o Current Document 1.2主要内容1 HYPERLINK l bookmark17 o Current Document 1.3方案依据11政策法规12标准规范12现状概述32.1当前网络拓扑图3 HYPERLINK l bookmark39 o

2、 Current Document 2.2现状描述5 HYPERLINK l bookmark42 o Current Document 3安全加固及网络优化方案6 HYPERLINK l bookmark45 o Current Document 3.1物理安全63.1.1现状的不足63.1.2优化建议6 HYPERLINK l bookmark48 o Current Document 3.2网络安全73.2.1现状的不足73.2.2优化建议73.3单点故障83.3.1现状的不足82优化建议83.4监控平台93.4.1现状的不足92优化建议93.5优化后网络拓扑图101概述1.1项目背景目

3、前，xxx生物具有完备的内部网络，网关处已经部署了山石网科路由等网络设备。机构内部也已经 应用了众多信息系统，包括WEB服务器、邮件服务器等，各业务应用系统都或多或少的通过互联网平台 得到整体应用。1.2主要内容随着xxx生物系统业务的发展，终端用户数将会逐渐增加。实现集团内部信息共享。随着xxx生物 信息化建设的逐渐发展，以及业务数据量不断的增大，xxx生物目前的网络系统已经无法满足其业务增长 的需求。因此，如何有效地提高工作效率，提升带宽资源使用效率、改善网络安全环境、杜绝泄密行 为、避免法律风险，已经成为信息化建设中的首要任务。当前企业网络和行为管理也随之提升到一个新 的高度，在防御从外

4、到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、 流量限制、监控、审计等问题也日益凸现。越来越多的组织机构需要对用户上网行为进行管理以实现网 络资源的合理利用。L3方案依据本项目方案编制依据和参考下列政策法规和标准规范。1.3.1政策法规中华人民共和国计算机信息系统安全保护条例（1994国务院147号令）计算机信息系统安全保护等级划分准则（GB17859-1999）国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）关于信息安全等级保护工作的实施意见（公通字200466号）信息安全等级保护管理办法公通字200743号关于开展全国重要信息系统安全等级保

5、护定级工作的通知（公信安2007861号）国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）1.3.2标准规范计算机信息系统安全保护等级划分准则（GB/T17859-1999） GBT22239-2008信息安全技术_信息系统安全等级保护基本要求GBT22240-2008信息安全技术_信息系统安全等级保护定级指南信息安全技术信息系统等级保护安全设计技术要求信息安全技术信息系统安全等级保护实施指南信息安全技术信息安全等级保护整改规范(GB/T20984-2007)信息系统安全等级保护整改实施指南信息技术安全技术信息安全管理体系要求(GB/T22080-2008)信息技术安全

6、技术信息安全管理实用规则(GB/T22081-2008)信息技术安全技术信息技术安全管理指南(ISO/IECTR13335)信息技术安全技术信息技术安全性评估准则(GB/T18336-2001)信息安全等级保护整改指南信息安全风险管理指南2.1当前网络拓扑图2.2现状描述办公外网目前有局域网包括无线AP用户约500个。业务内网横向通过专线连接多个外联单位、银行 等，纵向通过VPN专线连接下属分公司。网络系统分为外网安全出口、外网核心交换、外网接入、服务 器、虚拟化等。办公外网和业务专网部署的设备类型有防火墙、核心交换机、接入交换机、无线AP，制 造厂商均为国际主流设备厂商。安全加固及网络优化方

7、案3.1物理安全3.1.1现状的不足物理结构混乱，逻辑结构不清晰，缺少统一规划。3.1.2优化建议按照业务类型将网络划分为出口隔离区、核心交换区、外联区、管理区、DMZ区、内网 隔离区、无线办公区、有线办公区。3.2网络安全3.2.1现状的不足目前仅在出口部署一台防火墙，内部服务器并没有安全防护。3.2.2优化建议根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离，对整个网络的安 全性有所提升。可以实现更为细化的安全控制体系，将攻击和入侵造成的威胁分别限制在较 小的子网内，提高网络的整体安全水平。3.3.1现状的不足目前整个企业网中存在大量的单点故障，一旦关键节点出现故障，整个企业将面

8、临瘫痪 的风险。3.3.2优化建议在核心交换区将目前处于冷备状态的核心交换机与当前正在使用的核心交换机组建成 集群网络，保证设备的冗余可靠，在发生安全事件时能够保证网络的畅通，将核心冗余 的核心交换设备上的配置保持一致。在出口隔离区和内网隔离区增加一台防火墙，保证设备的冗余，在外网安全出口区部 署入侵检测系统，帮助系统对付网络攻击，提高了信息安全基础结构的完整性。在出口隔离区新增外联区，将外联单位专线迁移至此区域。3.4.1现状的不足虽然信息中心有对各业务系统监控管理手段，但缺乏一个集中、统一的监控平台，及时 发现与解决网络、硬件、安全设备、操作系统、数据库、中间件、应用系统、等突然出现的 问题。因服务对象的不同，使用产品混杂。怎样很好地解决以上问题，把各种类型的监控对象 进行统一集中监控，并将其格式统一规范，并对其有效处理、分析，以直观的界面展现给信 息部管理员、领导，成为目前面临最大的挑战。3.4.2优化建议部署系统监控运维平台，加强信息资源的维护平台建设，提高信息资源的运行管理水 平，通过运维体系的建设，