某市水利局网络升级及系统安全建设方案.docx
《某市水利局网络升级及系统安全建设方案.docx》由会员分享,可在线阅读,更多相关《某市水利局网络升级及系统安全建设方案.docx(36页珍藏版)》请在冰豆网上搜索。
某市水利局网络升级及系统安全建设方案
一、项目背景
1.1信息化系统现状
水利局的行业现代信息技术应用工作起步较早,特别是经过"九五"期间的努力,已取得了一定的进展,在水利工作的各个方面均有不同程度应用。
目前,信息技术在某些业务信息采集、传输、存储、处理、分析和服务的部分环节中已发挥了显著作用。
但从总体上看,业务处理仅实现了部分数字化,相关技术规范不完善,信息共享机制不健全,有限的数据资源总体质量不高,使用效率较低。
水利信息化总体上仍处在起步阶段。
目前我局建成了多个专业应用系统,如水雨情自动采集系统、防汛决策支持计算机辅助系统,防汛视频会商系统,圩区水利工程信息化管理系统等,通过接入宽带计算机广域网,建立了信息发布网站,开始向社会提供部分水利信息。
我局内部已初步实现以网上公文流转为主要内容的办公自动化。
局与各区、镇水利站的联网办公也在积极推进中,已经实现了远程文件传输、公文和档案的联机管理等。
软硬件设备情况:
目前XX水利局网络系统拥有3台服务器(型号为DELLpoweredge2950,操作系统为Winserver2003)、3台交换机(以CISCOCATALYST2950为核心)、2台juniperSSG5安全网关和1台路由器,水利局以及下属水利站原先使用趋势的杀毒软件,但已过期。
线路情况:
水利局中心端通过100M光纤接入,各水利站与局通过10MMPLS-VPN连接。
1.2信息化系统网络拓扑
1.3业务系统的使用情况
3个服务器都是DELLpoweredge2950,操作系统为winserver2003。
水利业务应用系统分别为:
XX市水利办公自动化系统(OA系统),
XX市防汛防旱指挥决策计算机辅助支持系统,
XX市圩区水利工程管理信息化系统,
XX市三维电子沙盘系统即XX市水利地理信息系统。
1.4目前存在的问题
(1)核心交换机CISCOCATALYST2950于2002年9月采购,早已过维保期,目前总局包含下属的水利站总PC台数已经超过200,以其为核心的网络架构已无法满足新商业环境和IT技术迅速变化的需要。
(2)由于下属的水利站分支机构均通过MPLS-VPN与总局互联,并且分支机构没有自己的出口,全部通过总局的100M光纤出口,因此对总局的网络性能和吞吐量有较高的要求,而从整体上看,现有网络覆盖面窄,传输能力低,远远不能满足水利业务的需求;网络缺乏有效的安全措施,总局和分支机构使用的趋势的杀毒软件也已到期。
对局域网内的PC使用情况缺乏有效的监督和管理,制约了信息技术应用整体水平的提高。
(3)局数据中心既是实现互联互通、数据交换和信息共享的关键,同时又负责水利工作的管理监督、防汛决策及统计数据的采集、汇总和上报等。
该数据中心建立是进一步实现XX水利局信息共享和信息标准化的核心内容。
另外XX水利局的所有数据及核心业务都依赖本地相关的服务器和网络通讯设备支撑,万一发生灾难事故,必定会造成严重影响和巨大损失。
为保证系统内核心业务和关键数据的有效性,势必需要做一个安全可靠的灾难备份。
二、建设目标
针对局内目前的IT状况,网络系统改造目标为:
1.更换和升级硬件设备,并部署新的系统,解决目前存在的问题,并大大提高系统运行的速度,对网络进行VLAN划分和IP子网的重新划分,提高网络系统的可管理性。
2.增加网络安全设备,制定网络运维规范,提高网络安全性。
本次项目建设从技术的角度,将着重从边界防护、系统加固、数据传输的机密性、应用系统的安全防护、系统灾难恢复等多个方面进行,在中心部署防火墙、文档安全保护系统、网络流量管理、网络防病毒、Web应用防护系统
3、建设本地双机热备和异地灾备系统,保证数据中心核心业务和关键数据的有效性,有效避免万一发生灾难事故,造成严重影响和巨大损失。
三、建设方案
本方案主要从基础网络升级、网络安全、本地双机和异地灾备三个方面展开阐述。
3.1基础网络升级改造方案
3.1.1基本网络升级
将原来核心交换机更新为更高配置、更为先进的新核心交换机,配置2块交换路由引擎,核心交换机必须满足提供高达768Gbps的背板带宽和492Mpps的数据转发速率,提供完全无阻塞的L2/L3/L4数据交换能力,提供一个集成网络弹性、高可用性、扩展性和安全性的融合网络平台,提供对单位未来业务和技术的平滑过渡,如:
ipv6,城域以太网等;
在核心交换机上配置2块1400W相同瓦特电源,形成1+1的电源冗余方式,提供单电源供电,在主电源失效的情况下不会中断交换机电源供电,保证网络的高可用性;
将原先核心交换机更换,具体参数如下:
功能特性
特性参数
电源要求
双电源冗余
整机交换容量
≥768Gbps
背板容量
≥1.6Tbps
IPv4包转发率
≥492Mpps
槽位数量
不小于8
业务槽位数量
不小于6
★接口特性
配置双路SalienceVI-Lite交换路由模块冗余;24端口千兆以太网电接口模块;24端口千兆/百兆以太网光接口模块
★二层特性
支持IEEE802.1P(CoS优先级)
支持IEEE802.1Q(VLAN)
支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)
支持IEEE802.1ad(QinQ),灵活QinQ和Vlanmapping
支持IEEE802.3x(全双工流控)和背压式流控(半双工)
支持IEEE802.3ad(链路聚合)和跨板链路聚合
支持IEEE802.3(10Base-T)/802.3u(100Base-T)
支持IEEE802.3z(1000BASE-X)/802.3ab(1000BaseT)
支持IEEE802.3ae(10Gbase)
支持IEEE802.3af(PoE)
支持IEEE802.3at(PoE+)
支持RRPP(快速环网保护协议)
支持跨板端口/流镜像
支持端口广播/多播/未知单播风暴抑制
支持JumboFrame
支持基于端口、协议、子网和MAC的VLAN划分
支持SuperVLAN
支持PVLAN
支持MulticastVLAN+
支持点到点单VLAN交叉连接、双VLAN交叉连接
全部依靠VLAN-ID进行转发,不涉及MAC地址学习
支持最大VLANMAPING/灵活QinQ表项
全面支持1:
1,2:
1,1:
2,2:
2VLANMAPPING能力
支持GVRP
★路由特性
支持ARPProxy
支持DHCPRelay
支持DHCPServer
支持静态路由
支持RIPv1/v2
支持OSPFv2
支持IS-IS
支持BGPv4
支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)
支持等价路由
支持策略路由
支持路由策略
组播特性
支持IGMPv1/v2/v3
支持IGMPv1/v2/v3Snooping
支持IGMPFilter
支持IGMPFastleave
支持PIM-SM/PIM-DM/PIM-SSM
支持MSDP
支持AnyCast-RP
支持MLDv2/MLDv2Snooping
支持PIM-SMv6、PIM-DMv6、PIM-SSMv6
ACL/QoS
每单板最大支持16KACL
支持标准和扩展ACL
支持基于VLAN的ACL
支持Ingress/EgressACL
支持Ingress/EgressCAR,粒度可达8Kbps
支持两级Meter能力
支持VLAN聚合CAR,MAC聚合CAR功能
支持流量整形(TrafficShaping)
支持802.1P/DSCP优先级Mark/Remark
支持层次化QoS(H-QoS),支持三级队列调度
支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ
支持每端口8队列
支持拥塞避免机制,包括Tail-Drop、WRED
支持N:
2Mirroring
MPLS/VPLS
支持L3MPLSVPN
支持L2VPN:
VLL(Martini,Kompella)
支持MCE
支持MPLSOAM
支持VPLS,VLL
支持分层VPLS,以及QinQ+VPLS接入
支持P/PE功能
支持LDP协议
在水利局各楼层的配线间配置汇聚交换机并配置多模光模块,通过光纤连接到核心交换机,提供网络接入层到网络核心层的光纤高速接入,保障网络的高速通道;分支机构通过MPLS-VPN技术与水利局中心机房建立连接。
汇聚交换机主要参数:
背板交换容量
256Gbps
交换容量
(全双工)
192Gbps
包转发率(整机)
96Mpps
外形尺寸(长×宽×高)
(单位:
mm)
440×300×43.6
重量
4kg
管理端口
1个Console口
业务端口描述
24个10/100/1000Base-T以太网端口
4个复用的1000Base-X千兆SFP端口
扩展插槽
2个扩展插槽
可选接口模块
单端口10GEXFP接口模块
两端口10GEXFP接口模块
两端口10GECX4接口模块
两端口SFP接口模块
两端口SFP+接口模块
端口聚合
支持LACP
支持手工聚合
支持最多14/26个聚合组,每组支持最多8个GE或4个10GE端口
端口特性
支持IEEE802.3x流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
MAC地址表
支持32K个MAC地址
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
★VLAN
支持基于端口的VLAN(4K个)
支持基于MAC的VLAN
基于协议的VLAN
基于IP子网的VLAN
支持QinQ,灵活QinQ
支持VLANMapping
支持VoiceVLAN
支持GVRP
二层环网协议
支持STP/RSTP/MSTP
支持RRPP
DHCP
DHCPClient
DHCPSnooping
DHCPRelay
DHCPServer
DHCPSnoopingoption82/DHCPRelayoption82
IRF2
智能弹性架构
支持IRF2智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
IP路由
支持静态路由
支持RIPv1/v2,RIPng
支持OSPFv1/v2,OSPFv3
支持BGP4,BGP4+forIPv6
支持等价路由,策略路由
支持VRRP/VRRPv3
MCE
支持
★IPv6
支持ND(NeighborDiscovery)
支持PMTU
支持IPv6-Ping,IPv6-Tracert,IPv6-Telnet,IPv6-TFTP
支持手动配置Tunnel
支持6to4tunnel
支持ISATAPtunnel
组播
支持IGMPSnoopingv1/v2/v3,MLDSnoopingv1/v2
支持组播VLAN
支持IGMPv1/v2/v3,MLDv1/v2
支持PIM-DM,PIM-SM,PIM-SSM
支持MSDP,MSDPforIPv6
支持MBGP,MBGPforIPv6
镜像
支持流镜像
支持N:
4端口镜像
支持本地和远程端口镜像
QoS/ACL
支持ACL
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类
支持时间段(TimeRange)ACL
支持入方向和出方向的双向ACL策略
支持基于VLAN下发ACL
支持QoS
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持CAR(CommittedAccessRate)功能
每个端口支持8个输出队列
支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式
支持报文的802.1p和DSCP优先级重新标记
安全特性
支持用户分级管理和口令保护
支持802.1X认证/集中式MAC地址认证
支持GuestVLAN
支持RADIUS认证
支持SSH2.0
支持端口隔离
支持端口安全
支持PORTAL认证
支持EAD
可支持DHCPSnooping,防止欺骗的DHCP服务器
支持动态ARP检测,防止中间人攻击和ARP拒绝服务
支持BPDUguard,Rootguard
支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击
支持IP/Port/MAC的绑定功能
支持OSPF、RIPv2报文的明文及MD5密文认证。
管理与维护
支持XModem/FTP/TFTP加载升级
支持命令行接口(CLI),Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON(RemoteMonitoring)告警、事件、历史记录
支持iMC智能管理中心
支持系统日志,分级告警,调试信息输出
支持HGMPv2(最大256台)
支持NTP
支持电源的告警功能,风扇、温度告警
支持Ping、Tracert
支持VCT(VirtualCableTest)电缆检测功能
支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议
支持LLDP
支持Loopback-detection端口环回检测
输入电压
交流
额定电压范围:
100V~240VAC,50/60Hz
最大电压范围:
90V~264VAC,47/63Hz
直流
额定电压范围:
10.8V~13.2VDC(RPS专用)
功耗(满负荷时)
110W
工作环境温度
0℃~50℃
工作环境相对湿度(非凝露)
10%~90%
3.1.2网络安全策略(VLAN划分等)
局总部、各分支机构都有不同的管理职能,出于对部门管理、安全管理和网络稳定等方面的考虑,需要采用VLAN技术(虚拟局域网)和IP地址段的划分对网络进行既独立又统一的管理,有利于网络安全和防止网络风暴,而且可以提高网络运行的效率。
3.2网络安全改造方案
3.2.1文档安全保护系统设计
文档安全保护系统功能
(1)图档加密
文档保护系统图档加密管理帮助单位有效防范和应对各种网络安全问题。
从源头杜绝文件泄密解决了外贼好治,家贼难防的管理局面,加强了网络安全技术平台建设,实现对网络安全运行情况的全方位监管,健全和完善网络信息化系统,软件能有针对性、实效性的监视网络性能,而且有强大的应急处置能力和协调处理能力,确保在网络安全紧急事件发生时能够主动预防,准确判断、快速反映和有效应对,尽可能避免或减少网络安全突发事件对经济社会发展带来的影响和破坏。
文档安全保护系统参数如下(其中★必须满足):
功能指标
内容描述
国际标准
支持
国内标准
支持
产品完整性
系统化产品,模块化构建
数据库支持
MYSQL、ORACAL
支持平台
WIN2000/2003/XP/Vista/WIN7/WIN2008
安全性
自主知识产权;安全可靠
接口
千兆光口、电口,只能Bypass
服务端和控制台可分离
支持
多控制台
支持
通讯效率
高
客户端资源占有数★
≤1%CPU
处理能力★
支持带宽≥2MB;同网用户数量2-9999
安全策略自定义
支持
用户定义自规则
支持
硬件规格
标准1U
接入类型:
网桥、网关、旁路
支持
跨VLAN
支持
支持VPN
支持
跨软件防火墙
支持
客户端免卸载
支持
客户端免杀毒软件查杀
支持,瑞星、江民、金山毒霸、360安全卫士、360杀毒软件、卡巴斯基(Kaspersky)、McAfeeVirusScan、ESETNod32、赛门铁克(NortonAntiVirus)、趋势(PC-cillin)、F-SecureAnti-Virus、AVGAnti-Virus等
客户端非流氓软件
支持
平台要求★
要求功能列表中的功能需求须在一个平台上实现,不可有第二平台,第二客户端出现
系统架构★
标准C/S或B/S结构、或C/S与B/S相结合、支持VPN/拨号接入、分支机构联动管理
管理模式
分级、分权管理模式,可以支持无限级联的管理模式
自动加解密★
下发终端用户所对应的加密策略,强制自动加密终端用户文件。
手动加解密★
可对任何文件进行手动强制加密、解密操作。
硬盘全加密★
对硬盘上所有已选定图档格式的文件,进行全盘加密。
硬盘全解密★
对硬盘上所有已选定图档格式的文件,进行全盘解密。
图档密级★
将不同类型的图档根据实际情况设置为不同的密级,针对不同密级的文档,只有特定的用户拥有该密级权限方可查看。
移动外发
满足加密文件脱机使用,提供授权邮箱,离线运行,外网解密等外发解密方式。
外发审核日志★
终端用户外发加密文件需经管理员审核通过后解密,方可进行外发。
远程文件管理
管理员可远程操作客户端硬盘上的所有文件,包括下载、上传、删除、查看、远程执行等操作。
图档权限控管
定制终端用户机器的某些文档或目录禁止被剪切、复制、删除、重命名,从而保障文档的安全性,不被误删除或非法删除。
图档备份
对终端用户机器上的重要文件进行自动备份或手动备份到文档备份服务器。
备份日志查询★
查看终端用户文件备份的详细情况,并可进行文档恢复操作,保证终端文件安全。
产品资质
国家保密局颁发的涉密信息系统产品检测证书
软件著作权登记证书
公安部销售许可证书
3.2.2.2网络流量监控和管理子系统设计
对于解决工作效率问题,网络流量监控和管理子系统提供完整的Internet访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行有效地控制,可以根据日期、时间段、服务类型、网址、流量、IP地址、端口范围等手段设置控制策略,并提供百万级的有害信息过滤网址库防堵不良网站,从而实现单位上网管理控制,规范员工上网行为,提高员工的工作效率。
✓访问外网权限控制:
规定单位员工能否上网的权限,只有工作中需要上网的员工才能访问Internet,其他员工工作时间禁止上网。
✓网址关键字URL控制:
可以按网址、通配符控制访问的网站,上班时间禁止访问与工作无关的网站(如:
禁止网址中包含news的网站)。
✓基于网址库URL访问控制:
可以基于网址库的网址分类确定访问策略,而且用户可以自己维护网址库(如:
用户可以将不能访问的网站作为网址库的一类,然后可以通过禁止这一类网址,就达到了禁止访问对应类别的网站的功能)
✓使用应用程序控制:
可以识别邮件、QQ、P2P下载、www服务等网络服务,并对其做控制(如:
能否使用等)。
✓支持分级控制:
可以针对某个人、某个部门或所有人进行控制,每个部门或个人均可使用不同的访问策略。
✓网络流量统计:
各种服务在指定时间段内的流量。
✓除此之外,还可以提供下面的统计信息:
部门和个人上网情况统计:
可以按部门和个人统计上网时间、流量,还可以查看对应的详细记录。
网站访问统计:
统计每个人经常访问的网站情况,如:
点击次数最后的网址、流量、时间等。
邮件收发统计:
按部门或个人统计在指定时间段内邮件收发数量和流量。
✓网络流量情况分析:
✓网络服务使用情况:
从统计报表可以综合了解单位员工目前的上网情况,带宽使用情况,内部的网络行为是否符合单位的要求,并对以后制定更加合理的互联网使用策略提供重要参考价值。
网络流量监控和管理子系统参数:
上网行为管理
★带宽管理
应用流控
按照应用识别网络应用,进行流量管理的功能,用于限制或保证某一类应用
用户流控
提供基于用户(IP)/用户组(IP地址群)的流控方式
★网络应用管理
主要用于对各种网络应用的访问进行限制或封堵。
TPN网关可管控近200种当前主流的网络应用,如:
P2P协议,网络电视,IM程序,股票,游戏等
URL访问管控
基于云端和本地URL库的“零时”分类技术,支持64个大类超过一亿条URL地址分类
支持手动配置URL黑白名单
★网络监控
即时对当前网络的访问情况和访问历史进行监控,如:
在线用户,即时在访问的网站,即时在使用的网络应用,即时的网络流量和当前被网关阻断的访问等
网络访问内容审计
可以对电子邮件(包括:
POP3/SMTP邮件和主流的Web邮件,如:
163\126\sina\yahoo等)、论坛发帖和主流的即时通讯软件(如:
MSN,QQ等)进行内容审计
统计报表
能够针对不同的对象,灵活生成种类丰富的各式统计报表,以便管理人员分析使用。
具体报表有:
用户上网报表、上网时长报表、流量分析报表、网站访问报表、网络应用排名报表、搜索引擎报表、邮件收发报表、即时通信报表、论坛发帖报表、文件审计报表、威胁事件报表、工作效率报表等
内网和主机安全管理
身份认证
支持多种用户认证方式,包括:
帐号/口令、数字证书、USBKEY等,并且能与WindowsAD、LDAP、Radius等第三方认证服务器联动,还能结合手机短信、主机特征码和动态令牌等方式验证。
设备管理
日志容量
支持外挂审计服务器和较大容量的内置日志
日志种类
支持用户、应用、系统等日志,支持日志查找和定位功能
接入方式
支持PPPoE和DHCP(Server和Client)协议,支持:
ADSL、CableModem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式
工作模式
支持路由模式、桥模式,以及路由+桥的混合模式
管理员登陆
可通过串口和网口进行设备的本地或远程管理
管理员认证
支持基于口令码或数字证书的管理员身份认证和管理指令通过SSL协议加密
在线升级
支持本地和远程升级,支持升级代码签名,防止设备代码被非法篡改
硬件性能参数
4千兆以太电口(RJ45),推荐内网最大用户数1000,1U机架式
厂商资质
*国家商用密码产品生产定点单位
*国家商用密码产品销售许可证
*国家质量管理体系(ISO9001:
2000)认证证书
产品资质
*国家商用密码产品型号证书
*公安部销售许可证书
*国家商用密码产品技术鉴定证书
3.2.2.3网络防病毒子系统设计
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。
应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。
从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的水利网病毒防护体系。
我局原先使用40用户,未考虑扩展,目前在数量上已经不能满足,同时本次要提高下属水利站的整体病毒防护能力,故增加200用户。
网络防病毒子系统详细参数如下:
项目
指标
★综合性的防护能力
免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力。
★支持防护策略的自动/手动配置
有效控制病毒扩散(通过主控服务器,在设定的时间段内,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改)
升级会员 