双网隔离技术方案通用版文档格式.docx
《双网隔离技术方案通用版文档格式.docx》由会员分享,可在线阅读,更多相关《双网隔离技术方案通用版文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
●客户行业已涉及金融、电信、电力、航空、政府、教育、交通、商业、IT业、制造业等众多行业客户。
●公司近三年营业收入:
2021年
营业收入约为2亿元
营业收入约为3.8亿元
第二章用户需求分析
现需对用户计算机网络进行物理隔离改造,物理隔离改造工作需要保护单机和内网的数据平安和信息平安,即重要的数据不能放到与外网相连的计算机硬盘上,工作人员可以在同一台计算机终端上根据工作需要进入内网或外网,并在终端上处理重要的数据和进行工作操作,实现办公网与外网的物理隔离,并有效的保障办公网与外网的数据交换平安。
用户分为两个区域:
一个区域,约有办公电脑XXXX台,其中,20台需要连接外网;
另一区域,约有办公电脑XXXXX台,其中30台需要连接外网。
第三章总体设计指导思想
一、系统总体设计指导思想
1、严格遵循物理隔离技术标准,实现内网与互联网的物理隔离。
2、在重视科学性、经济性和实用性的同时,讲求使用效果。
3、确保所设计的系统能到达国内领先水平。
4、改造后的系统,需要有高效的平安防范措施
二、系统总体实现目标
现需对用户计算机网络进行物理隔离改造,实现办公网络(内网)与国际互联网(外网)的双网物理隔离,并保障网络和存储数据设备的数据平安和信息平安。
通过改造工作,在技术上到达:
1、在物理传导上使内外网络隔断,确保外部网不能通过网络连接侵入内部网;
同时防止内部网信息通过网络连接泄漏到外部网。
2、在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作去除处理,防止残留信息串网;
对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储;
严格限制可移动介质的使用范围及环境,如U盘、光盘等。
三、本建议方案的实施要点
根据用户计算机网络的现实情况,实施内外网物理隔离的要求是:
1、对计算机系统要进行适当的改造工作,做到内外网效劳器分开设置;
桌面终端计算机可直接实现内网办公或外网应用,当使用办公网时,那么外网物理隔离,当使用外网时,那么办公网物理隔离。
终端计算机上,办公网与外网的数据存储仓库为完全隔离的两个硬盘,或办公网存储于机房存储设备,而外网可存储于计算机的指定硬盘。
计算机终端需进行平安保护,以防止病毒、木马、攻击等威胁设备平安的事件发生。
2、网络改造。
真正高效的隔离,是办公网与外网的网络完全分开,即为外网重新铺设新的综合布线系统,从互联网接入端到计算机终端,外网为独立的网络系统,并具备信息平安保护的功能。
3、内外网数据传输。
内外网之间常有些重要信息需要传输或备份,双网系统之间存在数据交换需求:
外网用户可以访问内网的数据库,并且能够保护内网平安。
如果使用U盘等移动设备来拷贝,就会面临病毒的威胁。
但是如果开放网络,让内网与外网之间互通,又会使双网的意义丧失。
为保护办公网的数据和信息平安,需要在办公网和外网之间架设平安隔离与信息交换系统,它应用在用户双网之间,主要负责数据的平安交换,阻止的以及未知的入侵和内部信息的泄漏,并且把内外网传来的数据掌控在可控的范围内,实现了可控的、高效的、实时的、平安的信息交换。
网络改造完成后的拓朴图如下:
第四章计算机系统双网隔离方案
一、企业外网网络的新建
为了打造企业办公网和外网完全隔离的网络系统,需要新建一套与企业办公网平行的企业外网网络系统。
主要设备包括:
计算机终端改造、独立的效劳器〔可选〕、防火墙、交换机、综合布线系统、计算机终端平安防护系统等。
企业外网网络系统的拓扑图如下:
根据培训与评价中心的终端分布情况,整个系统分为两个区域,贵阳区域计算机终端20台,2-3台带智能网管功能的千兆交换机,1台高性能可进行分段IP映射的防火墙,6类非屏蔽综合布线系统,免工具综合布线数据终端等假设干。
清镇区域计算机终端30台,3-5台带智能网管功能的千兆交换机,1台高性能可进行分段IP映射的防火墙,6类非屏蔽综合布线系统,免工具综合布线数据终端等假设干。
对计算机终端进行改造,配置物理隔离卡、独立硬盘及主板,以到达双硬盘双网的物理隔离,同时,还需要对每个需要连接外网的计算机终端安装杀毒软件和个人电脑防火墙等平安防护。
如有必要,为保障数据防泄漏等要求,还可以在后期对网络和终端建设一套全生命周期数据泄露防护体系,包含:
文档平安管理系统;
文件透明加密系统;
文档全线管理系统;
文档外发管理系统;
文档加密平安网关系统;
可信介质管理系统;
电子文件保险柜;
全盘加密平安介质终端;
磁盘全盘加密系统;
数据防泄漏平台。
二、内外网数据传输平安
针对用户应用需求的实际情况,需要在机房内布置一套平安隔离与信息交换系统。
使用平安隔离与信息交换系统的文件交流方式,Web效劳器将接收到的请求转换成文件,通过平安隔离与信息交换系统传输到业务网,业务网处理完该数据后,再将结果转换成文件通过平安隔离与信息交换系统传输给Web效劳器,
见图:
三、技术方案各产品功能介绍
1、计算机终端改造
在不更换终端的情况下,对计算机终端进行改造,增加物理隔离卡、硬盘及主板等。
产品特点
1〕支持用户自定义开机选界面功能。
2〕支持检测外设功能〔包括检测:
USB、光驱、软驱〕
3〕均支持标准机箱和超薄机使用
4〕支持windows64位操作系统及新版BIOS
技术参数
1〕总线模式:
PCI或PCI-E
2〕物理介质接口:
RJ45
3〕使用网络类型:
10M以太网、100M或1000M快速以太网
4〕工作温度:
0℃-50℃
5〕存储温度:
-20℃-70℃
6〕
2、网络交换机
核心交换机
全千兆以太网交换机,它提供了灵活的全千兆以太网端口的接入密度、丰富的业务特性,并支持IRF〔智能弹性架构〕技术,拥有24个10/100/1000Base-T以太网端口,4个1000Base-X
SFP千兆以太网端口〔非复用的SFP插槽〕;
整机交换容量192Gbps,包转发率42Mpps,性能相当强劲。
支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人〞攻击,对不符合DHCP
Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。
同时支持IP
Source
Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大量地址仿冒带来的DoS攻击。
另外,利用DHCP
Snooping的信任端口特性还可以有效杜绝私设DHCP效劳器,保证DHCP环境的真实性和一致性。
接入交换机
二层线速以太网交换机,它是专为要求具备高性能且易于安装的网络环境而设计的智能型产品。
该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能,可以通过WEB界面进行方便地配置。
支持地址自动学习、自动老化〔老化时间为5分钟〕;
它最多可支持8KMAC〔MediumAccessControl〕地址。
它支持基于端口VLAN,VLAN最大数目为26;
它最多可设置3组端口聚合,具备线路诊断等功能
产品类型
网管交换机
应用层级
二层
传输速率
10/100/1000Mbps
交换方式
存储-转发
背板带宽
包转发率
MAC地址表
8K
端口结构
非模块化
端口数量
26个
端口描述
24个10/100Base-TX自适应以太网端口,2个千兆光电复用端口
控制端口
1个Console接口
接口介质
10Base-T:
3/4/5类双绞线
100Base-TX:
5类双绞线
1000Base-T:
传输模式
全双工/半双工自适应
网络标准
VLAN
基于端口VLAN
支持VLAN最大数目:
26
支持128个802.1Q的VLAN,VLANID1-4094可配
QOS
标准:
802.1p
队列数:
4个
网络管理
基于Web的管理
支持配置文件导入/导出
状态指示灯
Link/Act,Speed,电源
电源电压
AC100-240V,50-60Hz
电源功率
最大15W
产品尺寸
440×
230×
44mm
环境标准
工作温度:
0-40℃
工作湿度:
5%-95%〔无凝结〕
3、防火墙
设备类型:
企业级防火墙
∙网络端口:
1个配置口(CON);
5GE;
1个mini插槽...
∙入侵检测:
Dos,DDoS
∙管理:
支持标准网管SNMPv3,并且兼容S...
∙VPN支持:
支持
∙平安标准:
FCC,CE
∙控制端口:
console
∙其他性能:
防火墙、VPN可同时扩展卡巴斯基...
∙电源:
输入额定电压:
100VAC~240VAC;
47...
∙产品尺寸:
300×
260×
43.6mm
∙管理支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1,支持NTP时间同步,支持Web方式进行远程配置管理,支持SNMP/TR-069网管协议,支持SecCenter平安管理中心进行设备管理纠错
∙防火墙、VPN可同时扩展卡巴斯基病毒防护、URL过滤特征库升级效劳、攻击防护〔IPS〕效劳以及特征库升级、垃圾邮件特征库升级效劳、P2P/IM/网游等应用层流量控制和用户行为审计等功能
4、平安隔离与信息交换系统
本系统根据国内计算机网络结构特点,开发出的一种快速、平安的网络平安隔离产品,已采用DTP物理隔离通道控制系统和嵌入式内核控制技术,以及多重平安措施,有效地防止了黑客攻击、病毒侵入和信息泄露等平安隐患,确保内网与外网的可靠隔离和信息的可控交换,是一种平安性极高的网络平安产品。
产品功能
*采用类似电子邮件的工作方式进行文件传送,具备小型公文交换系统的功能,可以实现内网到内网、内网到外网、外网到内网的点对点、一对多、多对一的文件传送,并可直接从FTP效劳内共享目录上读取文件。
*支持对传输文件的文件名控制机制;
*支持对黑白名单控制;
*支持文件自动收发功能,文件交换效劳能够控制单个用户和分组用户的文件收发权限;
支持增量传输,超大文件交换;
*支持实时或定时文件摆渡,文件传输支持断点续传;
*支持文件格式特征过滤。
*独有DTP物理隔离通道控制系统彻底阻断网络间的直连通路。
*特有控制逻辑和专用通讯协议控制数据的实时交换。
*专用平安操作系统及嵌入式程序控制确保系统本身免受攻击。
*可选配取得国家密码权威部门检验认可、基于PKI技术的完善平安认证TPCS系统。
*产品小型化,接口可组合扩展。
5、综合布线系统
3M综合布线系统,全球十大综合布线品牌,美国3M公司的布线产品一直有布线行业的贵族之称,具有性能高超,外形美观,产品种类齐全的特点:
*标准化,全面符合国际和地区标准
*产品全系列:
非屏蔽,屏蔽,光纤
*产品高性能级别:
增强五类,六类,6A
*产品模块化,多媒介,集成度高
*高质量,专利多,外观美,多颜色
*适应多种安装环境,安装简便可靠
*标识管理手段丰富
*产品和系统均可提供性能测试报告
*第三方测试和认证
*带UL,CSA,CE,AULCEL等认证标记
系统产品组成
●信息模块及面板、
●工作区跳线
●平板或角型19英寸机架式配线架
●
配置要求
●信息模块及面板
●语音模块、数据模块、
●Keystone6类模块。
●数据:
86型面板
●工作区跳线:
工厂定制。
第五章、投资预算评估
此投资预算为初步预算,需要根据后续实际勘查进行一定调整。
本工程的规划预算在78.5万元。
序号
产品名称
数量
单位
单价
合价
备注
1
计算机终端
70
台
1年保修
2
防火墙
3年保修
3
交换机
5
4
综合布线〔美国3M品牌〕
免工具6类非屏蔽RJ45模块〔含内嵌式防尘盖〕(Keystone),含86型平口英式单口面板(Keystone)-白色
套
配线架〔可选〕
个
6类4对PVC护套非屏蔽双绞线(305米/箱)
20
箱
计算机终端杀毒软件和防火墙
用户自备
6
平安隔离与信息交换系统
7
安装实施效劳
8
投资总额