中国商飞信息化技术方案网络安全平台090312.docx

资源描述

中国商飞信息化技术方案网络安全平台090312.docx

《中国商飞信息化技术方案网络安全平台090312.docx》由会员分享，可在线阅读，更多相关《中国商飞信息化技术方案网络安全平台090312.docx（11页珍藏版）》请在冰豆网上搜索。

中国商飞信息化技术方案网络安全平台090312.docx

中国商飞信息化技术方案网络安全平台090312

掀新资料推荐

中国商飞公司信息化

网络安全平台

技术方案

项目号

文档编号

工程编号

版本号

1.1

保密级别

—般秘童机密绝密

上海宝信软件股份有限公司

2009年03月

掀新资料推荐

中国商飞公司信息化

网络安全平台

技术方案

编制：

编制日期:

审核：

审核日期:

批准：

批准日期:

上海宝信软件股份有限公司

修订历史

日期

作者

版本

修订原因

主要修订内容

1.网络及安全基础平台介绍4

1.1.网络安全基础平台概述5

1.2.网络安全因出平目标及支撑范围5

2.技术方案5

2.1.网络安全基础平台层次架构6

2.1.1•涉密网网络安全基础平台层次架构图6

2.1.2.业务网网络安全基础平台层次架构图6

2.2.网络安全斟出平台功能7

2.2.1.涉密网网络安全基础平台功能8

2.2.2.业务网网络安全基础平台功能9

3.建设计划建议12

1•网络及安全基础平台介绍

1.1.网络安全基础平台概述

中国商飞公司网络作为设计、制造、服务、管理等应用的数据流转平台，按照地域划分为公司行政办公区、客户服中心、总装制造和研发设计中心四个区域，其中公司总部在张杨路，设计研发中心在龙华，总装制造中心在大场而客户服务中心则在闵行紫竹，各区域之间通过租用运营商线路的方式实现高速互联，而公司客户和国内外供应商则通过IPSECVPN、SSLVPN等方式接入，此外各协作单位通过专线等方式接入。

而在职能上，中国商飞公司网络又划分为涉密网和业务网两个物理隔离的网络，其中涉密网同上级主管单位以及保密部门互联，主要用于涉密文件、流程的处理。

业务网则为集团与各成员单位之间在飞机设计、飞机制造、客户服务等各个环节有效的信息传递、交换和共享，形成基于数字化的飞机研制、生产、服务管理的业务环境提供服务，并对外提供IPSECVPNsSSLVPN等安全的接入方式。

四个区域中都包含有涉密网以及业务网两部分。

1.2.网络安全基础平台规划目标及支撑范围

参照公安部于2005年发布的《信息系统安全等级保护基本要求》，从长远角度出发对中国商飞公司网络安全基础平台建设进行规划工作,实现涉密网网络安全平台建设达到信息系统安全等级保护基本要求第四级以及业务网网络安全平台建设达到信息系统安全等级保护基本要求第三级的目标，为商飞公司PDM.ERP、MES等数字化信息系统运行提供安全、可靠、高效的基础支挥环境。

2•技术方案

2.1.网络安全基础平台层次架构

2.1.1.

涉密网网络安全基础平台层次架构图

图一:

涉密网整体网络安全层次架构图

架构图说明：

1）商飞公司涉密网网络安全架构层次共划分为5个大安全区域：

涉密网、涉密骨干网区域、属地涉密办公网区、属地涉密服务器区以及涉密网数据中心/灾备区域，安全级别依次递升；

2）涉密网外联区：

定位于商飞公司内部涉密网与外部涉密互联区域；

3）涉密骨干网区域：

定位于为各区域所属涉密网同其它区域涉密网互联而设立的区域；

4）属地涉密网办公区：

定位于为各区域所属涉密网中的办公用户接入而设立的区域；

5）属地涉密网服务器区：

定位于为各区域所属涉密网中内部服务器接入而设立的区域；

6）涉密网数据中心/灾备区域：

定位于为商飞公司涉密网核心数宇化信息系统接入而设立的区域；

2.1.2.业务网网络安全基础平台层次架构图

2.1.3.

图二：

业务网整体网络安全层次架构图

架构图说明：

1）商飞公司业务网网络安全架构层次共划分为5个大安全区域：

Internet区域、业务骨干网区域、属地业务网办公区、属地业务网服务器区及业务网数据中心/灾备区域，安全级别依次递升；

2）Internet区域定位于为商飞公司业务网提供安全的因特网访问和对外信息发布而设立的区域。

对因特网提供服务的安全系统和应用系统均部署在此区域；

3）业务骨干网区域:

定位于为各区域所属业务网同其它区域业务网以及数据中心互联而设立的区域；

4）属地业务网办公区：

定位于为各区域所属业务网中的办公用户接入而设立的区域；

5）属地业务网服务器区：

定位于为各区域所属业务网中内部服务器接入而设立的区域；

6）业务网数据中心/灾备区域：

定位于为商飞公司业务网核心数字化信息系统接入而设立的区域；

3.2.网络安全基础平台功能

中国商飞公司网络安全基础平台分为涉密网以及业务网两套物理隔离的网络，每套网络都有各自独立的结构化布线系统和网络安全系统。

两套网络安全基础平台的建设均参照信息系统安全等级保护基本要求中的技术标准进行规划。

3.2.1.涉密网网络安全基础平台功能

薛飞公司涉密网拓扑图

总磁域

-『"^禅•*M■*•'

E入久檢机

商飞公司涉密网网络及安全基础平台规划中采用的架构及技术以信息系统安全等级保护基本要求第四级中的以下指标为依据：

>结构安全（G4）

>访问控制（G4）

>边界完整性检查（G4）

>入侵防范（G4）

>恶意代码防范（G4）

>网络设备防护（G4）

>通讯保密性（S4）

>数据安全及备份恢复（S4）

涉密网网络平台功能规划：

商飞公司涉密网按功能划分为涉密骨干网和属地涉密网两部分。

核心层高性能路由器部署在涉密骨干网中，所有属地涉密网以及涉密网数据中心/灾备中心均通过双路上联至骨干网路由器上，再转而接入至涉密网中。

每个属地涉密网由办公网以及服务器区两部分组成，其中办公网用于用户的接入而服务器区域则为属地内部服务器提供接入，属地涉密网采用千兆主干、百兆至桌面的网络架构，不同安全区域间通过防火墙进行逻辑隔离，通讯链接间采用专用设备进行链路加密，此外网络中的核心节点以及链路均考虑到了冗余设计。

商飞涉密网规划建立主、备两个数据中心，两个数据中心网络结构保持一致.采用核心、接入两层架构，网络核心以及接入设备均采用千兆架构以满足高速、大量的数据传输要求，两个网络中心间通过专线实现互备，并部署专门的线路仅供两个中心间备份数据传输使用，保障数据备份的可用性、可靠性。

此外，网络中的核心节点以及链路均考虑到了冗余设计。

涉密网安全平台功能规划：

涉密骨干网：

1.使用专门的链路加密设备对涉密骨干网同属地涉密网以及涉密主干网互联的线路进行加密，保

障重要数据在涉密网中流转时的机密性以及可豆性要求。

2.在涉密骨干网中部署入侵防护设备，该设备具有实时检测和拦截多种攻击特征的实时入侵防范

功能，可以对关键信息资源进行彻底保护，保障商飞涉密网的安全。

3.通过流量监控设备，分析涉密网流量及其使用的网络协议，为确定网络使用状况及带宽使用率

等提供准确的资料。

属地涉密网：

1.在属地涉密网出口部署防火堵设备，通过防火墙将涉密办公网、涉密服务器区域、涉密骨干网

以及其它属地涉密网进行逻辑隔离以及访问控制。

2.在属地涉密网中部署属地防病毒系统,对属地办公网和服务器区终端防病毒客户端进行统一管

理，实现立体全方位的病毒防护体系。

3.在属地涉密网办公区中部署终端安全准入控制系统，通过终端接入健康检测、IP地址管理、资

产信息管理、进程监控、组织机构管理、外设与端口监控、非法外联监控、软硬件变更监控等控制措施，确保涉密办公网的终端接入安全要求。

4.通过在商飞涉密网中部署网络管理系统，实现对涉密网络系统的拓扑发现、故障报警、Log信

息收集等功能。

涉密网数据中心/灾备中心：

1.在数据中心网出口部署高性能防火墙设备，通过防火墙将数据中心、涉密骨干网以及其它接入

区域进行逻辑隔离以及访问控制。

2.在主、备两个数据中心间部署专门的通讯线路.为数据中心间备份数据同步提供高速、可靠的

承载平台。

3.2.2.业务网网络安全基础平台功能

勸E公可业务网拓扑图

外办®处

InurMSM

•丄公可專户

3»1.VPN

Internet

略XLr

图四：

业务网网络安全拓扑架构图

商飞公司业务网网络及安全基础平台规划中采用的架构及技术以信息系统安全等级保护基本要求第三级中的以下指标为依据：

＞结构安全（G3）

＞访问控制（G3）

＞安全审计（G3）

＞边界完整性检查（S3）

＞入侵防范（G3）

＞恶意代码防范（G3）

＞网络设备防护（G3）

＞通讯保密性（S3）

＞数据安全及备份恢复（S3）

业务网网络平台功能规划：

商飞公司业务网按功能划分为Internet出口、业务骨干网、属地业务网以及业务网数据中心。

核心层高性能路由器部署在业务骨干网中，所有属地业务网以及数据中心/灾备数据中心均通过双路上联至骨干网路由器上，从而实现商飞业务网的互联。

所有需要访问Internet的业务网用户通过统一的Internet出口实现访问需求，需要对外提供服务的各应用以及安全系统均部署在Internet区域中。

公司客户、国内外供应商、驻外办事处以及移动办公用户可通过Internet区域设置的IPSECVPN.SSLVPN访问到业务网中所必需的资源，而各协作单位则采用专线方式直接接入到业务骨干网中。

址新资料推荐

每个属地业务网由办公网以及服务器区两部分组成，其中办公网用于用户的接入而服务器区域则为属地内部服务器提供接入，属地业务网采用千兆主干、百兆至桌面的网络架构，不同安全区域间通过防火墙进行逻辑隔离，通讯链接间采用专用设备进行链路加密，此外网络中的核心节点以及链路均考虑到了冗余设计。

商飞业务网规划建立主、备两个数据中心，两个数据中心网络结构保持一致，采用核心、接入两层架构，网络核心以及接入设备均采用千兆架构以满足高速、大量的数据传输要求，两个网络中心间通过专线实现互备，并部署专门的线路仅供两个中心间备份数据传输使用，保障数据备份的可用性、可靠性。

此外，网络中的核心节点以及链路均考虑到了冗余设计。

业务网安全平台功能规划：

Internet区域:

1.在Internet区域部署多条不同ISP提供的Internet线路，并通过专门的链路负载均衡设备实现

Internet线路的负载均衡以及冗余备份。

2.通过防火墙设备控制来自外部接入网的连接请求，同时屏蔽内部对企业关键资产及敏感信息的

非法访问，并为国内外供应商以及驻外办事处提供IPSECVPN接入。

3.在Internet区域中部署入侵防护设备，该设备具有实时检测和拦截多种攻击特征的实时入侵防

范功能，可以对关键任务资源进行彻底保护，从而保障商飞业务网的安全。

4.针对不同用户、应用对于Internet带宽使用的不同要求，通过专门的带宽管理设备来实现

Internet带宽分区、分类网络流量、基于应用级别的带宽分配需求，进一步保障关键应用的可用性。

5.通过专门的SSLVPN产品并结合双因素身份认证的方式，为公司客户以及移动办公人员在

Internet环境下访问业务网中重要应用资源提供安全的通道。

6.通过网络安全审计系统以及流量监控设备，对业务网用户的上网行为进行实时监控，并记录保

存相关日志。

同时分析上网流量及其使用的网络协议，为确定网络使用状况及带宽使用率等提供准确的资料。

7.通过Web反向代理设备，规避了外部Web服务器以及应用直接暴露在外部用户前而可能存在

的安全隐患。

业务骨干网：

1.使用专门的链路加密设备对业务骨干网同属地业务网以及业务网数据中心互联的线路进行加

密，保障重要数据在业务网中流转时的机密性以及可乘性要求。

2.通过部署网络管理系统的方式，对业务主干网络系统的拓扑发现、故障报警、Log信息收集等

功能。

属地业务网：

1.在属地业务网岀口部署高性能防火墙设备，通过防火墙将属地办公网、属地服务器区域、业务骨干网以及其它属地业务网进行逻辑隔离以及访问控制。

址新资料推荐

2.在属地业务网中部署属地防病毒系统,对属地办公网和服务器区终端防病毒客户端进行统一管

理，实现立体全方位的病毒防护体系。

3.在属地办公网中部署终端安全准入控制系统，通过终端接入健康检测、IP地址管理、资产信息

管理、进程监控、组织机构管理、外设与端口监控、非法外联监控、软硬件变更监控等控制措施，确保属地办公网的终端接入安全要求。

商飞数据中心（主、备）：

1.在数据中心网出口部署高性能防火墙设备，通过防火墙将数据中心、业务骨干网以及其它接入

区域进行逻辑隔离以及访问控制。

2.在主、备两个数据中心间部署专门的通讯线路.为数据中心间数据同步提供高速、可乘的承载

平台。

2.3.涉密网与业务网关系说明

商飞公司网络安全基础平台根据职能划分为涉密网与业务网两套物理隔离的网络，每套网络都具有独立的结构化布线系统以及网络安全系统，但从两套网络设备部署的物理位置上来说，各属地以及数据中心下的涉密网、业务网相关设备都部署在临近的地理位置内。

依照信息安全等级保护基本要求，由于涉密网、业务网两套网络的安全等级有差异（涉密网为第四集，业务网为第三级），两个网络间不允许在没有任何防护措施的情况下进行数据交互，必要时需要采用手工的方式进行数据的流转。

但若业务网同涉密网间数据传输要求较高，采用手工的方式效率过低，影响到了公司业务的正常流转，则可以在业务网与涉密网间通过建立安全保护等级均满足第四级要求的通讯接口作为两网间数据传递的安全通道，以下为两网间数据传输安全通道的建立方式。

图五：

业务网、涉密网数据传递安全通道架构

在业务网与涉密网内各部署一台专门用于网间数据流转的专用前置机，两个前置机间通过隔离网闸实现数据传递安全通道的建立，并仅在必要时开通。

3.建