高级人民法院大楼网络系统设计方案.docx
《高级人民法院大楼网络系统设计方案.docx》由会员分享,可在线阅读,更多相关《高级人民法院大楼网络系统设计方案.docx(43页珍藏版)》请在冰豆网上搜索。
高级人民法院大楼网络系统设计方案
XXX高级人民法院网络系统设计
解决方案
第一章前言-2-
第二章需求分析-3-
第三章总体建设方案-4-
2.1方案设计原则-4-
2.2方案建设目标-5-
2.3整体网络架构-6-
2.4网络详细设计-7-
2.5局域网设计方案-7-
2.6网络层安全设计方案-10-
2.6.1网络安全风险分析-10-
2.6.2网络层安全解决方案-12-
2.7终端信息安全管理设计方案-18-
2.7.1网络接入管理解决方案-20-
2.7.2补丁分发解决方案-21-
2.7.3桌面终端管理-22-
2.8统一网络管理平台设计方案(先请咨询邓霄博)-22-
2.8.1网络管理的必要性-22-
2.8.2网络管理解决方案-22-
2.9整体方案特点-26-
2.9.1网络结构安全可靠-26-
2.9.2网络终端安全管理-26-
2.9.3网络精细化管理-26-
2.10硬件配置建议-27-
第四章产品介绍-28-
第五章案例介绍-29-
第一章前言
“天平工程”建设目标是初步完成全国各级人民法院以司法审判信息资源管理为核心的网络和软硬件设施建设、安全和配套设施基本到位,实现案件审判工作及其它各项工作管理全过程的科学化、规范化、实体化和协同化,促进和保障人民法院在全社会实现“公正与效率”、“司法统一”、“司法便民为民”的目标。
通过“天平工程”的建设提高各级人民法院审判效率,促进司法公正。
为了实现政务目标,针对人民法院主要业务提出各项业务目标,使各级人民法院审判管理业务、审判监督业务、审判支持业务、司法信息公开业务及内部管理等业务能力和水平显着提高。
完善法院司法审判信息系统,完善高级人民法院、中级人民法院和基层人民法院的信息系统建设,在实现各级法院的信息联网基础上进行全国范围内司法审判信息的查询、统计、汇总和分析等数据挖掘、数据分析功能建设,具备与党委、人大、政府、政协、检察院等相关部门信息共享的能力,全面提高我国司法审判水平。
第二章需求分析
各级人民法院基础业务支撑平台和综合信息交换平台是人民法院业务网络的重要组成部分。
人民法院基础业务支撑平台和综合信息交换平台的业务需求是功能和性能上要求能够支持数据、语音和视频业务,应当满足数据传输、交换、共享和综合应用,同时满足各级人民法院综合信息交换平台间的数据、音视频信息通信和视频会议、远程诉讼、案件异地讨论和远程培训等音视频的传输需求。
为解决案件审判质量和审判效率及产生的审判效果相关问题,需要人民法院依据职能,建立相关信息化基础设施。
1、建设和完善审判管理信息系统,加强和规范立案、审理、执行、归档、信访工作的信息化、网络化。
最大限度的解决由于人民法院和法官的失误而导致的审判问题,有效的降低因此而发生的涉诉上访问题。
并最终形成司法案例库用以指导审判工作。
2、建设和完善各级人民法院之间、人民法院与其它政法机关之间、人民法院与监狱之间、人民法院与其它需要协同的部门之间,人民法院与当事人、律师之间的网络,并建设传输交换系统,有效的解决因沟通不畅,信息掌握不全,信息不一致等原因引起的审判和信访问题。
4、利用信息技术手段搜集司法绩效考核信息、法官绩效考核信息等,协助本级法院对法官、上级法院对下级法院和法官的司法监督和司法指导工作。
利用音视频信息传输技术,建设庭审音视频信息系统,信访听证音视频信息系统等。
对有必要录音或录像的案例进行录音录像,同时为上级法院监督提供支持。
5、建设和完善人民法院日常工作支持信息系统,提高工作效率。
第三章总体建设方案
3.1、方案设计原则
基于对XXX省高级法院业务需求的深入理解,结合自身产品和技术特点,迈普公司推出了了完善的XXX省高级法院网络解决方案,为XXX省高级法院提供“高扩展、多业务、高安全”的精品网络。
XXX省高级法院网络建设遵循以下基本原则:
高带宽
XXX省高级法院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
XXX省高级法院网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到XXX省高级法院用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,XXX省高级法院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
3.2、方案建设目标
基础业务支撑平台建设内容是满足人民法院基础业务应用要求的网络系统设备、计算与存储备份环境、法庭审判音视频信息系统支撑环境、各项业务应用和安全系统支撑环境。
1)建设和完善全国各级人民法院基础业务支撑平台,为人民法院审判工作和其它各项工作管理提供网络系统、法庭审判音视频信息管理和应用系统运行环境的支撑与服务;
2)依托本级法院局域网环境,建设和完善覆盖中级以上人民法院和基层法院的综合信息交换平台,实现人民法院间审判信息和其它各类信息的应用与管理,保障网络与信息的安全传输与可信交换。
3)在全国各级人民法院建设司法、监测分析、宏观决策、司法公开和内部管理等五大类作业子系统,全面提高人民法院审判工作的公正性和透明度,实现人民法院审判工作的科学化、规范化、实体化管理。
4)以人民法院司法审判信息资源管理和应用为核心,建设覆盖最高人民法院、高级人民法院和中级人民法院的三级司法信息资源库;建设最高人民法院和高级人民法院二级数据中心,实现中级以上人民法院诉讼信息的综合应用,为人民法院审判工作、最高院司法资源的整合和配置、最高院对市中院场经济秩序的宏观分析、最高院立法等提供翔实的信息支持和服务。
5)建设全国法院执行案件信息管理系统及统一的执行威慑门户系统,形成全国法院执行威慑体系,并与政府相关部门工作协同,为银行、工商、海关等部门提供信息联动服务。
6)建设人民法院业务网络统一门户系统,为全国各级人民法院提供统一登录入口和高效综合信息交换业务服务的门户网站。
7)完善人民法院互联网网站内容建设,提供网上诉讼指南、法律及法规查询、案例查询等司法便民服务。
3.3、整体网络架构
在XXX省高级法院网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。
典型的网络结构可以分成三层:
接入层、汇聚层、核心层。
1)接入层:
提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。
对于法院网络的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、高级QoS策略等功能。
2)汇聚层:
汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于法院网络的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线等多种业务,提供不间断转发、环网保护等多种高可靠技术,能够承载法院融合业务的需求。
3)核心层:
网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。
对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的环网结构或多设备冗余的星型结构。
对于法院网络核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为法院构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
3.4、网络详细设计
3.5、局域网设计方案
高院网络基础网络设计方案
对于高院局域网络建设,本次建设采用内外网物理隔离的方式。
推荐采用千兆接入组网模型。
为用户提供三层千兆到桌面的接入服务,整网配置OSPF协议,网络故障收敛速度快、易于管理和维护。
VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。
从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。
网络各层设备都为三层设备,支持OSPF。
在接入层设备上提供千兆端口接入。
接入层千兆双归属到汇聚层设备,提供链路冗余备份。
区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。
汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,汇聚层可采用堆叠设备,它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。
两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。
内网部分:
核心采用两台迈普的MyPowerS6800-08A核心交换机承担全网的数据转发,汇聚采用迈普的MyPowerS4200-28FC实现对接入交换机的接入,分担核心交换机的压力,接入层采用迈普的MyPowerS3200系列交换机。
根据XXX省高法大楼的建设需求,一号楼每层52个信息点,总共13层。
所以每层放置一台24口和一台48口个接入交换机,总共使用3个汇聚交换机即可,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
二号楼每层34个信息点的接入,总共9层。
每层放置一台48口接入交换机,每4层使用一个汇聚交换机,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
外网部分:
核心采用两台迈普的MyPowerS6800-08A核心交换机承担全网的数据转发,汇聚采用迈普的MyPowerS4200-28FC实现对接入交换机的接入,分担核心交换机的压力,接入层采用迈普的MyPowerS3200系列交换机。
根据XXX省高法大楼的建设需求,一号楼每层52个信息点,总共13层。
所以每层放置一台24口和一台48口个接入交换机,总共使用3个汇聚交换机即可,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
二号楼每层34个信息点的接入,总共9层。
每层放置一台48口接入交换机,每4层使用一个汇聚交换机,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
在互联网区放置两台迈普MSG4000-G4实现互联网出口的审计、行为管理、防火墙等功能,保障高法网内的安全性。
3.6、网络层安全设计方案
3.6.1、网络安全风险分析
首先应在对法院网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。
为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果及目前主要面临的问题设计出符合具体实际的、可行的网络安全整体解决方案。
1.物理层的安全风险分析
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用,它是整个网络系统安全的前提。
如:
●设备被盗、被毁坏
●链路老化或被有意或者无意的破坏
●因电子辐射造成信息泄露
●设备意外故障、停电
●地震、火灾、水灾等自然灾害
因此,法院网络在网络安全考虑时,首先要考虑物理安全。
例如:
设备被盗、被毁坏;设备老化、意外故障,计算机系统通过无线电辐射泄露秘密信息等。
2.网络层安全风险分析
●重要数据被破坏
由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。
同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。
存储数据对于法院来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。
●网络边界风险分析
由于当发生安全事件希望把造成的影响降到最低,因此在做安全系统设计时需要按照实际网络情况划分网络边界以达到隔离网络的目的。
3.应用层安全风险分析
由于法院对外提供网上WWW服务,因此存在外网非法用户对内部网和服务器的攻击。
●身份认证漏洞
服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。
这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。
对法院的网上服务平台,必须加强用户的身份认证,防止对法院网络资源的非授权访问以及越权操作。
●www服务漏洞
WebServer目前正在成为法院对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。
系统中的BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。
这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。
●电子邮件系统漏洞
电子邮件为网络系统用户提供电子邮件应用。
内部网用户进行电子邮件发送和接收时存在被黑客跟踪或收到一些恶意程序(如,特洛伊木马、蠕虫等)、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
3.6.2、网络层安全解决方案
依照法院安全保障体系规划,本章提出安全技术体系的具体配置部署方案。
1.防火墙分系统
访问控制分系统是信息安全体系的基本组成要素,网络层的访问控制通过防火墙实现。
防火墙提供了在不同安全级别的多个系统网络之间提供共享数据的访问控制能力。
法院信息网络是一个综合的网络系统,存在着不同安全级别的网络。
为了防止不同安全域的安全威胁在整体法院信息系统中传播,我们在不同安全域之间部署防火墙进行逻辑隔离。
防火墙是隔离在本地网络与外界网络之间的一道防御系统。
利用防火墙对内部网络的划分,可实现内部重点网段的隔离,通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。
防火墙是建立在内部网络与外部之间的唯一安全通道,通过制定相应的安全规则,可以允许符合条件的数据进入,同时将不符合条件的数据拒之门外,即“法无许可即禁止”。
这样就可以阻止非法用户的侵入,保证内部网络的安全。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全策略。
一般的防火墙都可以达到以下目的:
一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点。
法院系统是一个业务非常重要,安全级别要求较高的网络系统,在本方案中,我们建议法院内部网络边界处防火墙作为统一的接入控制设备,针对法院网络系统,防火墙主要解决的问题如下:
防止非法的访问与数据包:
一般来讲,总是利用高端口发送数据包来进行攻击行为,那么我们只需要封闭这些端口,或者一些没有用处的协议(比如ICMP协议),就能够有效的防范攻击,特别是外网用户,由于在内部有各类应用服务,我们必须确保只有对应的服务才能经过防火墙,而其他的访问均被禁止,从而保护各类应用服务的安全。
防止地址欺骗:
一方面,来自其它网络的访问者会将自己的IP地址伪装成内部地址,从而绕过防火墙发起对内网的攻击;另一方面,内部用户通过修改自己的地址,而获得更高的访问权限;这些行为都会给单位的网络形成安全威胁,那么防火墙通过MAC地址绑定技术、源地址识别等技术,能够识别出这些地址欺骗行为,从而更有效的执行访问控制策略;
对内部用户进行应用层深度管理:
对HTTP、FTP、SMTP、POP3协议的内容进行管理,保护终端用户合法有效地使用各种网络资源;对用户、IP、组等对象进行上传,下载等细致的流量控制;QOS功能,保证重要数据优先上传。
网页访问控制;WEB认证、文件上传下载控制、代理识别。
2.入侵防御分系统
在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统,通过中心控制台对各节点进行集中统一管理。
包括制定安全策略、修改安全策略以及升级攻击代码库等。
入侵检测系统在重要保护网络系统中是访问控制设备防火墙最有利用的补充。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。
法院网络系统安全体系必须建立一个智能化的实时攻击识别和响应系统,管理和降低网络安全风险,保证网络安全防护能力能够不断增强。
目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。
网络入侵检测系统应能满足以下要求:
Ø能在网络环境下实现实时地分布协同地入侵检测,全面检测可能的入侵行为。
能及时识别各种黑客攻击行为,发现攻击时,阻断弱化攻击行为、并能详细记录,生成入侵检测报告,及时向管理员报警。
Ø能够按照管理者需要进行多个层次的扫描,按照特定的时间、广度和细度的需求配置多个扫描。
Ø能够支持大规模并行检测,能够方便地对大的网络同时执行多个检测。
Ø所采用的入侵检测产品和技术不能被绕过或旁路。
Ø检测和扫描行为不能影响正常的网络连接服务和网络的效率。
Ø检测的特征库要全面并能够及时更新。
Ø安全检测策略可由用户自行设定,对检测强度和风险程度进行等级管理,用户可根据不同需求选择相应的检测策略。
Ø能够帮助建立安全策略,具有详细的帮助数据库,帮助管理员实现网络的安全,并且制定实际的、可强制执行的网络安全策略。
3.防病毒网关分系统
病毒是系统中最常见、威胁最大的安全来源,建立一个全方位的病毒防范系统是法院网络系统安全体系建设的重要任务。
目前主要采用病毒防范系统解决病毒查找、清杀问题。
根据法院系统网络结构和计算机分布情况,以及目前客户端防病毒软件安装及使用不能完全防范病毒等现状,利用边界安全网关在网络中的特殊位置,使得电脑病毒在进行扩散之前得到有效处理。
通过现有的客户端防病毒系统和网络中的边界安全网关防病毒系统能够形成从多层次进行病毒防范,第一层工作站、服务器,第二层网关都能有相应的防毒功能提供完整的、全面的防病毒保护。
病毒防护功能特色
✧基于流、低延时、高并发、高性能的病毒过滤
✧支持对大病毒文件也能检测
✧实时病毒连接阻断,病毒事件记录
✧支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描
✧超过40万的病毒特征库,病毒库定时自动更新
✧支持应用处理模块
4.内网机密信息安全访问解决方案
内网是一个完全独立的网络,因此数据在网络平台的传输过程相对比较安全,但是对于一些重要信息,尤其是一些机密信息,需要严格保证这些数据在传输过程中的安全。
因此,虽然这些数据传输在一个相对独立的内网,但是仍然存在被侦听破解的可能,需要有合理有效的方式解决这个问题,我们建议采用基于VPN的解决方案,是一种非常安全而且灵活的解决方案。
适用环境:
移动办公SOHO,便携笔记本。
方案实现:
在便携终端上安装VPN软件客户端(SSLVPN方式可以免除软件安装)和USBKEY设备,便携终端外接GPRS,CDMA-1XModem通过移动拨号连接Internet与法院中心的VPN网关之间建立VPN隧道,完成移动办公,使用SSLVPN方式可以免除客户端软件安装。
方案优势:
ØMSG4000安全网关可同时提供IPSec和SSL两种VPN接入方式,可以提供根据业务选择不同的接入方式
ØSSLVPN可以提供免安装软件接入,对于B/S模式的业务支持能力强,维护成本较低,但对于复杂业务的处理支持能力有限
Ø可以支持USB-SecKEY,RSA等多种硬件认证方法,保证移动终端接入的可靠性
Ø接入方式灵活,支持ADSL,GPRS,CDMA1X,Modem等多种移动接入方案
5.上网行为审计解决方案
互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。
例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动……
针对互联网所带来的上述问题,需要为法院提供可控制的上网行为管理功能。
该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。
上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合集中网络安全管理系统对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。
上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。
上网行为管理策略规则共分为三类:
网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则
网络应用控制策略规则
网络应用控制策略规则对网络应用的使用进行控制。
根据不同的协议及应用领域将网络应用分为网络游戏、即时通讯、在线炒股、P2P协议、流媒体协议、其他协议、FTP控制以及HTTP控制等等大类,每一大类中又包含若干具体的子应用和协议。
网络管理者可以根据需要,对各种应用和协议制定基于用户和时间表的策略规则,以实现对用户上网行为的控制。
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。
网页内容控制策略规则能够对用户访问的网页进行控制。
URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。
关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。
Email控制策略规则能够对通过SMTP协议发送
升级会员 