双网隔离技术方案通用版Word格式文档下载.docx
《双网隔离技术方案通用版Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《双网隔离技术方案通用版Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
中国软件测评中心颁发的信息系统运维服务能力二级资质证书;
工信部ITSS(信息技术服务标准工作组)全权成员单位证书;
通过ISO9001:
2008国际质量管理体系认证;
通过北京市科学技术委员会的双软件认证。
中国银行业数据中心IT基础设施第三方服务市场排名中名列第一
业绩
●客户行业已涉及金融、电信、电力、航空、政府、教育、交通、商业、IT业、制造业等众多行业客户。
●公司近三年营业收入:
2011年
营业收入约为2亿元
2012年
营业收入约为3.4亿元
2013年
营业收入约为3.8亿元
第二章用户需求分析
现需对用户计算机网络进行物理隔离改造,物理隔离改造工作需要保护单机和内网的数据安全和信息安全,即重要的数据不能放到与外网相连的计算机硬盘上,工作人员可以在同一台计算机终端上根据工作需要进入内网或外网,并在终端上处理重要的数据和进行工作操作,实现办公网与外网的物理隔离,并有效的保障办公网与外网的数据交换安全。
用户分为两个区域:
一个区域,约有办公电脑XXXX台,其中,20台需要连接外网;
另一区域,约有办公电脑XXXXX台,其中30台需要连接外网。
第三章总体设计指导思想
一、系统总体设计指导思想
1、严格遵循物理隔离技术规范,实现内网与互联网的物理隔离。
2、在重视科学性、经济性和实用性的同时,讲求使用效果。
3、确保所设计的系统能达到国内领先水平。
4、改造后的系统,需要有高效的安全防范措施
二、系统总体实现目标
现需对用户计算机网络进行物理隔离改造,实现办公网络(内网)与国际互联网(外网)的双网物理隔离,并保障网络和存储数据设备的数据安全和信息安全。
通过改造工作,在技术上达到:
1、在物理传导上使内外网络隔断,确保外部网不能通过网络连接侵入内部网;
同时防止内部网信息通过网络连接泄漏到外部网。
2、在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息串网;
对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储;
严格限制可移动介质的使用范围及环境,如U盘、光盘等。
三、本建议方案的实施要点
根据用户计算机网络的现实情况,实施内外网物理隔离的要求是:
1、对计算机系统要进行适当的改造工作,做到内外网服务器分开设置;
桌面终端计算机可直接实现内网办公或外网应用,当使用办公网时,则外网物理隔离,当使用外网时,则办公网物理隔离。
终端计算机上,办公网与外网的数据存储仓库为完全隔离的两个硬盘,或办公网存储于机房存储设备,而外网可存储于计算机的指定硬盘。
计算机终端需进行安全保护,以防止病毒、木马、攻击等威胁设备安全的事件发生。
2、网络改造。
真正高效的隔离,是办公网与外网的网络完全分开,即为外网重新铺设新的综合布线系统,从互联网接入端到计算机终端,外网为独立的网络系统,并具备信息安全保护的功能。
3、内外网数据传输。
内外网之间常有些重要信息需要传输或备份,双网系统之间存在数据交换需求:
外网用户可以访问内网的数据库,并且能够保护内网安全。
如果使用U盘等移动设备来拷贝,就会面临病毒的威胁。
但是如果开放网络,让内网与外网之间互通,又会使双网的意义丧失。
为保护办公网的数据和信息安全,需要在办公网和外网之间架设安全隔离与信息交换系统,它应用在用户双网之间,主要负责数据的安全交换,阻止已知的以及未知的入侵和内部信息的泄漏,并且把内外网传来的数据掌控在可控的范围内,实现了可控的、高效的、实时的、安全的信息交换。
网络改造完成后的拓朴图如下:
第四章计算机系统双网隔离方案
一、企业外网网络的新建
为了打造企业办公网和外网完全隔离的网络系统,需要新建一套与企业办公网平行的企业外网网络系统。
主要设备包括:
计算机终端改造、独立的服务器(可选)、防火墙、交换机、综合布线系统、计算机终端安全防护系统等。
企业外网网络系统的拓扑图如下:
根据培训与评价中心的终端分布情况,整个系统分为两个区域,贵阳区域计算机终端20台,2-3台带智能网管功能的千兆交换机,1台高性能可进行分段IP映射的防火墙,6类非屏蔽综合布线系统,免工具综合布线数据终端等若干。
清镇区域计算机终端30台,3-5台带智能网管功能的千兆交换机,1台高性能可进行分段IP映射的防火墙,6类非屏蔽综合布线系统,免工具综合布线数据终端等若干。
对计算机终端进行改造,配置物理隔离卡、独立硬盘及主板,以达到双硬盘双网的物理隔离,同时,还需要对每个需要连接外网的计算机终端安装杀毒软件和个人电脑防火墙等安全防护。
如有必要,为保障数据防泄漏等要求,还可以在后期对网络和终端建设一套全生命周期数据泄露防护体系,包含:
文档安全管理系统;
文件透明加密系统;
文档全线管理系统;
文档外发管理系统;
文档加密安全网关系统;
可信介质管理系统;
电子文件保险柜;
全盘加密安全介质终端;
磁盘全盘加密系统;
数据防泄漏平台。
二、内外网数据传输安全
针对用户应用需求的实际情况,需要在机房内布置一套安全隔离与信息交换系统。
使用安全隔离与信息交换系统的文件交流方式,Web服务器将接收到的请求转换成文件,通过安全隔离与信息交换系统传输到业务网,业务网处理完该数据后,再将结果转换成文件通过安全隔离与信息交换系统传输给Web服务器,
见图:
三、技术方案各产品功能介绍
1、计算机终端改造
在不更换终端的情况下,对计算机终端进行改造,增加物理隔离卡、硬盘及主板等。
产品特点
1)支持用户自定义开机选界面功能。
2)支持检测外设功能(包括检测:
USB、光驱、软驱)
3)均支持标准机箱和超薄机使用
4)支持windows64位操作系统及新版BIOS
技术参数
1)总线模式:
PCI或PCI-E
2)物理介质接口:
RJ45
3)使用网络类型:
10M以太网、100M或1000M快速以太网
4)工作温度:
0℃-50℃
5)存储温度:
-20℃-70℃
6)内外网切换软件:
V3.0
2、网络交换机
核心交换机
全千兆以太网交换机,它提供了灵活的全千兆以太网端口的接入密度、丰富的业务特性,并支持IRF(智能弹性架构)技术,拥有24个10/100/1000Base-T以太网端口,4个1000Base-X
SFP千兆以太网端口(非复用的SFP插槽);
整机交换容量192Gbps,包转发率42Mpps,性能相当强劲。
支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击,对不符合DHCP
Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。
同时支持IP
Source
Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大量地址仿冒带来的DoS攻击。
另外,利用DHCP
Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。
接入交换机
二层线速以太网交换机,它是专为要求具备高性能且易于安装的网络环境而设计的智能型产品。
该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能,可以通过WEB界面进行方便地配置。
支持地址自动学习、自动老化(老化时间为5分钟);
它最多可支持8KMAC(MediumAccessControl)地址。
它支持基于端口VLAN,VLAN最大数目为26;
它最多可设置3组端口聚合,具备线路诊断等功能
产品类型
网管交换机
应用层级
二层
传输速率
10/100/1000Mbps
交换方式
存储-转发
背板带宽
8.8Gbps
包转发率
6.55Mpps
MAC地址表
8K
端口结构
非模块化
端口数量
26个
端口描述
24个10/100Base-TX自适应以太网端口,2个千兆光电复用端口
控制端口
1个Console接口
接口介质
10Base-T:
3/4/5类双绞线
100Base-TX:
5类双绞线
1000Base-T:
传输模式
全双工/半双工自适应
网络标准
IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,ANSI/IEEE802.3NWay自动协商,IEEE802.3x
VLAN
基于端口VLAN
支持VLAN最大数目:
26
支持128个802.1Q的VLAN,VLANID1-4094可配
QOS
标准:
802.1p
队列数:
4个
网络管理
基于Web的管理
支持配置文件导入/导出
状态指示灯
Link/Act,Speed,电源
电源电压
AC100-240V,50-60Hz
电源功率
最大15W
产品尺寸
440×
230×
44mm
环境标准
工作温度:
0-40℃
工作湿度:
5%-95%(无凝结)
3、防火墙
设备类型:
企业级防火墙
∙网络端口:
1个配置口(CON);
5GE;
1个mini插槽...
∙入侵检测:
Dos,DDoS
∙管理:
支持标准网管SNMPv3,并且兼容S...
∙VPN支持:
支持
∙安全标准:
FCC,CE
∙控制端口:
console
∙其他性能:
防火墙、VPN可同时扩展卡巴斯基...
∙电源:
输入额定电压:
100VAC~240VAC;
47...
∙产品尺寸:
300×
260×
43.6mm
∙管理支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1,支持NTP时间同步,支持Web方式进行远程配置管理,支持SNMP/TR-069网管协议,支持SecCenter安全管理中心进行设备管理纠错
∙防火墙、VPN可同时扩展卡巴斯基病毒防护、URL过滤特征库升级服务、攻击防护(IPS)服务以及特征库升级、垃圾邮件特征库升级服务、P2P/IM/网游等应用层流量控制和用户行为审计等功能
4、安全隔离与信息交换系统
本系统根据国内计算机网络结构特点,开发出的一种快速、安全的网络安全隔离产品,已采用DTP物理隔离通道控制系统和嵌入式内核控制技术,以及多重安全措施,有效地防止了黑客攻击、病毒侵入和信息泄露等安全隐患,确保内网与外网的可靠隔离和信息的可控交换,是一种安全性极高的网络安全产品。
产品功能
*采用类似电子邮件的工作