某某大型集团信息化建设项目技术方案分解.docx
《某某大型集团信息化建设项目技术方案分解.docx》由会员分享,可在线阅读,更多相关《某某大型集团信息化建设项目技术方案分解.docx(24页珍藏版)》请在冰豆网上搜索。
某某大型集团信息化建设项目技术方案分解
某某大型集团
信息化建设项目
技术方案
承建单位:
河南某某信息技术有限公司
二〇一四年五月
目录
1某某大型集团网络现状4
1.1某某大型集团网络现状4
1.2某某大型集团安全现状5
1.2.1网络安全评估5
1.2.2网络病毒的防范5
1.2.3网络安全隔离5
1.2.4网络监控措施6
1.2.5上网行为管理措施6
1.2.6VPN加密传输措施6
2网络安全整体规划7
2.1网络安全目标7
2.2安全方案设计原则7
2.2.1综合性、整体性7
2.3网络安全体系划分7
2.3.1网络安全评估8
2.3.2网络防病毒8
2.3.3防火墙隔离8
2.3.4监控入侵行为9
2.3.5上网行为管控9
2.3.6网络安全服务体系9
3某某大型集团网络安全方案10
3.1网络冗余技术方案10
3.1.1VRRP的基本概念11
3.1.2VRRP工作原理11
3.1.3VRRP快速切换12
3.2网络安全方案12
3.2.1某某大型集团网络安全评估方案12
3.2.2方案设计说明13
3.3防火墙隔离方案15
3.3.1方案设计说明15
3.3.2防火墙设置原则15
3.4网络入侵检测系统17
3.4.1方案设计说明17
3.4.2绿盟入侵检测主要功能17
3.5上网行为管理系统18
3.5.1方案设计说明18
3.5.2上网行为管理的主要功能18
3.6SSLVPN系统20
3.6.1方案设计说明20
3.6.2SSLVPN的主要功能20
3.7链路负载均衡21
3.7.1方案设计说明21
3.7.2链路负载均衡的主要功能22
3.8网络安全服务体系方案23
3.8.1网络安全脆弱性修复服务23
3.8.2网络安全跟踪服务23
3.8.3网络安全信息服务24
3.8.2网络安全培训服务24
1某某大型集团网络现状
1.1某某大型集团网络现状
某某大型集团网络建设于2008年,用户信息点在1000个以下。
地理分布范围在多个区域,主要利用因特网进行外部业务活动。
主要的信息点有**办公楼、**楼、**厂、**公寓、**服务楼、**大院、**学生公寓及各**车间。
各信息点线路基本全部到位。
距离较远的以光纤接入,楼层内以超五类布线,实现了百兆到桌面的网络部署。
中心机房核心交换机为华为5700;核心路由器华为AR2260作为整个网络的出口;网络接入层交换机为H3C的S3100,大部分不能远程管理。
随着集团规模的增加,需要网络办公的人数越来越多,现在的网络设备性能已不能满足正常的办公需要及**系统的正常使用。
办公区没有实现无线覆盖,大多数为个人私接无线路由器。
随着无线终端办公用户的增多,现在的无线网络已远远不能满足正常的办公需要,并且容易给办公网络造成安全隐患。
1.2某某大型集团安全现状
目前集团内网络安全设备仅有一台金山防火墙给西区学生公寓使用,集团没有做相关的安全保护措施,存在很大安全隐患,主要包括病毒泛滥、来自网络内部的黑客攻击、信息丢失、服务被拒绝等等,一旦发生网络病毒或攻击事件对整个集团企业网络而言都是致命性的。
针对集团企业的结构及特点确定以下几个必须考虑的安全防护要点:
1.2.1网络安全评估
网络在给我们带来巨大的经济效益和社会效益的同时,由于网络协议本身存在的缺陷和软件设计编制上的瑕疵,以及网络结构设计上的缺陷,使得网络系统、计算机系统中存在着种种的脆弱点,这些脆弱点为病毒及非法访问提供了方便之门,并且随着计算机技术的不断发展,新的脆弱点不断产生,因此有必要时刻监视网络及计算机系统,评估网络的安全性,以便对网络的安全性做到心中有数,提高信息网络抗风险能力。
1.2.2网络病毒的防范
在网络中,病毒已从传统的存储介质(软、硬、光盘)感染方式发展为以网络通讯和电子邮件为主要传播途径的感染方式。
其传播速度极快、破坏力更强,据统计一个新病毒从一台计算机发出仅六个小时就能感染全球互联网机器,而且每天都有十几种新病毒出现,全世界每个月有将近四百五十种新的病毒出现。
网络一旦被病毒侵入并发作,将会对重要数据的保密性、完整性、可用性以及网络环境的正常运行带来严重的危害。
所以病毒防范是计算机网络安全工作的重要环节之一。
1.2.3网络安全隔离
目前随着网络的广泛应用,某某大型集团需要通过网络进行信息交流、信息共享等工作。
然而,任何事物都具有两面性,信息网络在给我们带来巨大便利的同时,也存在着安全隐患。
因此,一旦被非法人员控制某某大型集团的管理权限,所造成的影响和损失是可想而知的。
所以在某某大型集团与外部网络之间以及某某大型集团内部重要网络之间通过防火墙进行有效的安全隔离是必要的。
1.2.4网络监控措施
防火墙隔离只能起到网络边界的保护作用,但是,防火墙无法防备来自集团内部网络的攻击行为。
然而,来自内部网络的攻击、破坏比来自外部网络的攻击、破坏更具有致命性。
因此,在不影响网络正常运行的情况下,增加对网络的监控机制可以做到最大限度的网络资源保护,规范网络访问行为,从网络监控中得到统计信息进一步完善网络安全策略,降低安全风险,提高网络安全防御能力。
1.2.5上网行为管理措施
在使用电脑办公和互联网带来的便捷同时,员工非工作上网现象越来越突出,企业普遍存在着电脑和互联网络滥用的严重问题。
网上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为占用了有限的带宽,严重影响了正常的工作效率。
目前企业上网行为管理,需要的不仅仅是网络管理员,企业管理层也需要通过它来实现实时管控的行为,帮助企业管理者能够直观而又直接地对员工进行规范与管理。
因此有必要配置一套行之有效的上网行为管理系统。
1.2.6VPN加密传输措施
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。
它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
外联单位通过互联网访问ERP时,采用SSLVPN加密技术,使用VPN分配的用户名密码认证方式,并且设置为初次登录必须修改初始密码。
在帐户信息传递过程中,采用MD5数据加密认证方式。
这样可以保证数据的安全性、保密性、完整性等需要。
2网络安全整体规划
2.1网络安全目标
Ø安全,防止病毒、黑客对网络系统的破坏;
Ø可靠,保证网络数据的安全性,将网络系统风险降到最低;
Ø稳定,在异常访问情况下,保证系统正常运行;
Ø保密,在网络管理传输时数据不被修改和不被窃取;
Ø实时监控,规范网络访问行为,正确确定安全策略及科学的安全风险评估;
Ø良好的可扩展性,保证系统满足提供其他增值服务的需要。
Ø优质服务,为客户不间断(7*24)全天候、多方位的满意服务。
2.2安全方案设计原则
2.2.1综合性、整体性
从某某大型集团网络系统的整体角度考虑安全项目,制定有效、可行的安全措施,建立完整的网络安全防范体系。
●一致性
提供的安全解决方案应与某某大型集团网络的安全需求相一致,并适当提出有利某某大型集团网络发展的安全建设建议。
●易用性
某某大型集团网络安全解决方案应该避免造成网络结构的复杂,避免操作与维护的复杂。
提供的安全管理工具具有友好的图形化(GUI)管理界面。
●可行性、可靠性、安全性
采用安全系统以后,不会对原有的网络和应用系统有大的影响。
在网络和应用系统正常运行的前提下,提高某某大型集团网络系统的安全性。
2.3网络安全体系划分
从安全方案涉及到的每一系统单元,考虑每一层次提供的安全功能,考虑系统单元之间的逻辑关系,划分网络安全子体系,分别对应的相应的安全解决方案,最终形成网络安全整体解决方案。
根据上面的网络安全框架,把网络安全方案分以下几个子方案:
网络安全评估、网络防病毒、防火墙隔离、入侵检测监控、上网行为管理、网络安全服务体系。
2.3.1网络安全评估
针对某某大型集团目前的网络环境、网络结构和计算机系统分布,实施全面的网络安全评估服务。
通过漏洞扫描、系统评估等技术定期对硬件设施、软件平台、网络数据、网络通信、网络管理等五个层次进行全面的安全隐患和脆弱性分析,提供详细的分析报告及安全整改建议。
使某某大型集团对整体安全状况有全面具体的了解,从而为信息安全决策和管理提供依据。
2.3.2网络防病毒
网络防病毒主要对某某大型集团网络内所有计算机系统做防病毒保障,保证网络数据的完整性和保密性。
近年来,病毒的传播速度越来越快,病毒的破坏力和隐蔽性也越来越强,可以说无孔不入。
对于网络状态下的防病毒,只防范局部而没有全局意识是很危险的(例如只对服务器进行防护而忽视了网络中其它客户端)。
网络中的安全防护能力遵循“木桶原理”,整个网络的安全防护能力取决于网络中防范能力最差的节点。
如果网络中有一台计算机感染病毒,就会给网络中其他计算机形成严重的威胁。
因此,利用有效的网络防病毒工具,建立整体防范意识,从病毒的形成、病毒的传播形式、病毒的传播途径、病毒发作方式着手,对整个网络计算机系统进行“武装”。
通过对整个某某大型集团网络进行统一的防病毒管理维护,确保某某大型集团网络具有牢固的防病毒系统,保证网络的正常运行。
同时,通过防病毒系统可以有效地监控、阻止网络内部利用木马等工具进行的内部远程控制攻击,弥补防火墙不能阻止内部主机对内部主机的攻击。
邮件已经成为病毒传播的主要载体,因此,对邮件服务器内各个邮箱的监控是控制病毒泛滥和传播的最有效手段,建立邮件服务器病毒监控成为某某大型集团网络病毒防护中不可分割部分。
2.3.3防火墙隔离
在某某大型集团网络与Internet网络之间,通过防火墙实现物理隔离,有效抵抗来自外部网络的非法访问。
对来自外部网络的用户实施安全访问控制策略,提供可用性和可靠性服务。
由此形成安全的网络拓扑结构,有机结合入侵检测系统提供科学合理的安全策略。
同时,通过与网络防病毒系统有机结合,阻断染毒主机通过防火墙对其他网络的病毒感染。
2.3.4监控入侵行为
尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问,但对网络内部发起的攻击无能为力。
依靠基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为并做出及时的响应。
监控内外网络数据流,从中检测出攻击行为并给予相应的响应和处理。
尤其是来自内外网络针对或通过防火墙的攻击行为,通过实施入侵检测技术,当检测到攻击行为时,入侵检测通知防火墙实时阻断攻击源,进一步提高抗攻击能力,更有效地保护网络资源,规范网络访问行为。
与网络防病毒结合更能查找网络内病毒的发源地。
2.3.5上网行为管控
对各个上网用户进行带宽管理、保证正常业务带宽,对P2P流媒体进行带宽的限制。
对员工上网浏览网页、邮件、IM、外发等进行审计,防止机密数据的外泄。
防止来自外网的DOS,DDOS攻击等。
组织单位面对来自带宽效率、工作效率、泄密、法律和网络安全五大风险问题时,往往需要一套完善的可靠的上网行为管理解决方案。
深信服上网行为管理从身份认证、访问控制、带宽分配、监控审计、安全强化五个方面,为用户解决上网行为管理的问题,提供专业的解决方案和服务。
2.3.6网络安全服务体系
完善的服务体系是网络安全不可或缺的重要环节。
安全技术和安全设备并不能从根本上永久性的保证网络的安全。
那么,通过不断地改进安全技术、提高安全设备的可靠性;不断建立并完善安全管理机制,降低人为造成的漏洞;通过培训不断提高每个人的安全防范意识,建立整体性的安全防范体系,保证某某大型集团网络的安全。
根据某某大型集团的具体网络状况,我司建立如下的安全服务体系:
●网络安全脆弱性修复服务
通过定期的网络安全评估,弥补网络、系统及应用漏洞,提高网络整体防范能力。
●网络安全跟踪服务
通过网络安全实施公司提供的完善的售后服务,不断完善产品技术,提高设备的可靠性,不断提高网络的防范能力。
●网络安全信息服务
通过网络安全实施公司定期提供的网络安全动态、技术动态,及时了解网络安全发展方向,以新的技术和新的防范意识提高网络的防范能力。
●网络安全培训服务
通过网络安全实施专业的技术培训工程师对安全管理人员和一般使用人员进行系统的技术培训,提高每个员工的安全技术和安全防范意识,实现网络的整体防范体系。
3某某大型集团网络安全方案
3.1网络冗余技术方案
本次方案中,针对核心层是整个网络数据的汇总转发区域,通过配置双核心交换机、双防火墙来实现热备冗余。
交换机采用VRRP+Channel技术,即虚拟冗余路由协议和链路通道技术。
虚拟路由冗余协议是在2台核心交换机之间虚拟出一台逻辑交换机,用户计算机网关均指向虚拟交换机,这样在一台核心设备宕机或链路出现问题时,在很短的时间内(5-20秒),备用交换机就会自动启动,接管服务成为主用设备,用户基本感觉不到切换。
Channel技术,是在接入交换机,例如**区,**办公区,每个交换机使用4条链路与2台核心交换机连接,每两条链路使用Channel技术进行链路捆绑,在核心交换机看来只是一条线路,在一条链路断掉时,对网络没有一点影响,因此大大增加了整体网络的可靠性能。
3.1.1VRRP的基本概念
通常情况下,内部网络中的所有主机都设置一条相同的缺省路由,指向出口网关(即图中的主用核心交换机),实现主机与外部网络的通信。
当出口网关发生故障时,主机与外部网络的通信就会中断。
3.1.2VRRP工作原理
vrrp只定义了一种报文——vrrp报文,这是一种组播报文,由主三层交换机定时发出来通告他的存在。
使用这些报文可以检测虚拟三层交换机各种参数,还可以用于主三层交换机的选举。
VRRP中定义了三种状态模型,初始状态Initialize,活动状态Master和备份状态Backup,其中只有活动状态的交换机可以为到虚拟IP地址的的转发请求提供服务。
VRRP报文是封装在IP报文上的,支持各种上层协议,同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。
那么如何从备份组的多台交换机中选举Master?
这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。
虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机,状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值100),则比较接口的主IP地址,主IP地址大的就成为主交换机,由它提供实际的路由服务。
其他交换机作为备份交换机,随时监测主交换机的状态。
当主交换机正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知组内的备份交换机,主交换机除正常工作状态。
如果组内的备份交换机长时间没有接收到来自主交换机,则将自己状态转换为Master。
当组内有多台备份交换机,将有可能产生多个主交换机。
这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转换为Backup,否则保持自己的状态不变。
通过这样一个过程,就会将优先级最大的交换机选成新的主交换机,完成VRRP的备份功能。
3.1.3VRRP快速切换
S9306实现双向转发检测BFD(BidirectionalForwardingDetection)机制,能够快速检测、监控网络中链路或者IP路由的连通状况,VRRP通过监视BFD会话状态实现主备快速切换,可以配置8个BFDSession,主备切换的时间控制在1秒以内。
结合使用BFD会话的检测结果,可以加快VRRP主备倒换的速度。
3.2网络安全方案
3.2.1某某大型集团网络安全评估方案
针对某某大型集团目前的网络结构和计算机系统分布,实施全面的网络安全评估服务。
我司将网络安全从以下五个层次逐层进行安全评估:
通过漏洞扫描、系统评估等技术定期对上述硬件设施、软件平台、网络数据、网络通信、网络管理等五个层次进行全面的安全隐患和脆弱性分析,提供详细的分析报告及安全性整改建议。
对整体安全状况有全面具体的了解,从而为进行信息安全决策和管理提供依据。
●对网络硬件设施评估
✧机房环境的安全性
✧网络线路的安全性
●对网络软件平台评估
✧操作系统的脆弱性
✧网络协议的安全性
✧网络服务的可靠性
✧应用程序的安全性
✧应用程序的可靠性
✧访问控制的安全性
●对网络数据评估
✧系统数据的完整性
✧系统数据的机密性
✧系统数据的可靠性
✧系统数据的可用性
✧备份与恢复
●对网络通信评估
✧数据通信的安全性
●对网络管理评估
✧对人员、操作、文档、设备、运行等进行安全管理机制的审核,并提出建设性意见。
通过对上述各个层次进行系统性的评估,全面给出每个层次的安全隐患和脆弱性报告,以及安全性整改建议。
使某某大型集团对信息安全各个层次的安全性状况和整体安全状况有全面具体的了解,为信息安全决策和管理提供依据。
3.2.2方案设计说明
根据某某大型集团网络现状,充分考虑可行性的基础上,我们采用防病毒产品的分级管理、多重防护体系作为某某大型集团网络的防病毒管理架构。
在整个网络内只要有可能感染和传播病毒的地方都采取相应的防病毒手段,同时为了有效、快捷地实施和管理整个网络的防病毒体系,充分使用网络安全产品所拥有的多种功能,为某某大型集团网络建立起一个完善的防病毒体系。
实施方案说明如下:
示意如下图:
3.3防火墙隔离方案
3.3.1方案设计说明
从安全的整体解决方案考虑,绿盟提供的企业级防火墙正是某某大型集团网络安全边界防护的首选设备。
从安全性、成本等角度合理设计防火墙机制,以求防火墙发挥最大的安全效用。
根据某某大型集团的具体网络结构,建议在某某大型集团与Internet网络之间安装绿盟企业级防火墙,并且采用防火墙的双机热备技术。
保证在当一台防火墙冗机的时,另一台防火墙可以在不间断的情况下继续工作。
方案中充分发挥绿盟企业级防火墙的状态包过滤技术和应用代理技术,为某某大型集团网络提供不同层级的安全防护。
并通过与网络防病毒系统和入侵检测系统的有机结合,实现实时阻断入侵行为和病毒对外部网络的影响。
示意图如下:
3.3.2防火墙设置原则
●建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。
●防火墙只打开某某大型集团网络必要的服务,对安全级别要求高的服务,提供应用代理。
防范外部来的攻击。
●对某某大型集团用户实施时间访问控制策略,控制某某大型集团内用户访问外网时间。
●防火墙设置IP地址MAC地址绑定,防目的IP地址欺骗。
●定期查看、备份、分析防火墙访问日志,以便提高访问控制策略的严谨性。
对防火墙的管理员权限严格控制。
3.4网络入侵检测系统
3.4.1方案设计说明
入侵检测机制能够对网络系统各主要运营环节进行实时入侵检测,以便能够及时发现或识别攻击者的企图或系统资源被误用、滥用的行为。
当实时入侵检测系统发现异常时,网络系统及时做出适当的响应,通知网络管理员、通知被害主机。
本方案中在某某大型集团网络与Internet网络之间设置了1台绿盟入侵检测系统,它与防火墙并行接入网络中,监测来自INTERNET、某某大型集团网络内部的攻击行为。
当有入侵行为时,主动通知防火墙阻断攻击源。
3.4.2绿盟入侵检测主要功能
●网络监控和统计功能:
实时监控网络连接状况统计网络状态;
●入侵检测和报警:
实时检测网络行为,对入侵行为报警;
●检测模式:
将基于特征的检测法和基于行为的统计分析法有机地结合,能实时检测5大类1300多种已知攻击;
●带状态的检测方法:
对网络攻击识别准确,效率高
●对协议的分析检测:
提高了系统对未知攻击的分析能力;
●远程GUI配置管理:
简便灵活,双因子认证+加密传输,保证管理安全;
●模块化设计结构:
易于升级和维护;
●分布式检测、集中式管理;
●具有强大的自身保护能力。
3.5上网行为管理系统
3.5.1方案设计说明
如图将SANGFORAC设备以网桥模式部署在路由器与出口设备之间,对网络的改动很小,网桥模式将SANGFORAC等同于一根连接在网关和交换机之间的“智能网线”,可以对所有流经AC的数据流进行审计、管理和控制。
AC以串联的方式接在路由设备和出口设备之间,不做NAT和选路,但对所有经过的应用流量都具有控制功能,完美展现AC的所有功能。
AC具有开机BYPASS、软件BYPASS和硬件BYPASS功能,当AC出现策略或者设备故障问题时,AC将成为一条透明的网线,放行所有的数据,不影响组织的正常上网。
3.5.2上网行为管理的主要功能
P2P软件的控制
P2P行为对带宽的吞噬能力众所周知,而传统的只能封堵“昨天的BT软件”是不够的。
AC凭借P2P智能识别专利技术(专利号:
200610156977.8),不仅能识别和管控常用P2P软件及版本,对不常见的和未来将出现的P2P亦能管控。
而AC为您提供的P2P流控技术,将限制指定用户开启P2P后占用的带宽。
既允许用户使用P2P,又不会滥用带宽。
带宽统计和管理
AC数据中心对内网用户的各种网络行为进行审计、统计及趋势、报表等。
借助图形化报表、曲线和统计结果,可以帮助IT管理者轻松掌控网络行为分布和带宽资源使用等情况。
AC基于用户(组)、应用类型、网站类型、文件类型、目标IP等的智能流控,细致划分与分配带宽资源,如保障领导的视频会议、市场部访问行业网站、设计部传输CAD文件等行为得到带宽保障,提升整个机构的带宽使用效率。
提升工作效率
上班时间无关网页浏览、QQ聊天、在线炒股、网络游戏等降低了机构的生产效率,如何在上班时间对内网用户的网络行为进行管理和引导?
网页过滤策略
上班时间从事私人活动,管理者却难以阻止,如上班时间浏览新闻网站、论坛发帖等。
AC能针对不同用户(组)提供基于角色的管理方法,让管理者实现指定用户和部门在工作时间只能访问特定的网站,例如行业信息网站、公司门户网站等,而其他未经允许的网页浏览都将被拒绝。
IM(即时通讯)聊天软件的管理
上班时间使用QQ、MSN等私人聊天,不仅影响工作效率,还可能因IM传文件而引入病毒和向外泄密。
面对Skype、YahooMessenger、飞信等众多IM软件,IT管理员使用现有防火墙等传统网络安全设备,通过封堵端口和服务器IP的方式,不仅费时费力且无法根治。
AC通过检测应用数据包的特征字段,实现对IM聊天软件、在线影音、炒股、网络游戏、下载等诸多应用的管控。
各种行为的管理
网页过滤、IM聊天等管控只是内网行为管理的一部分。
面对用户上班即下载未看完的电视剧,搜索最新网络新闻、图片、视频,上班时间更新博客、上传图片、下载电影、程序等问题,AC通过限制用户搜索指定关键字,过滤用户上传下载的指定文件,将内网用户精力更多聚焦在工作上。
上网时间管理
每个机构都有其工作时间安排,所以,根据不同时间段为用户分配网络访问权限,是专业上网行为管理设备必须考虑的问题之一。
AC通过为不同部门、不同用户,基于时间段进行权限分配,也可以限制用户一天内总的上网时间,实现人性化管理。
支持设定一定的上网时间值,当用户超过这个阀值时,AC会自动弹出提醒页面,提醒员工上班时间注意提高工作效率,不要从事与工作无关的网络活动。
3.6SSLVPN系统
3.6.1方案设计说明
在总部网络中SANGFOR
升级会员 