双网隔离技术方案通用版.docx

1、双网隔离技术方案通用版计算机网络系统双网隔离建议方案银信长远科技股份二O一四年七月第一章 公司简介3第二章 用户需求分析4第三章 总体设计指导思想5第四章 计算机系统双网隔离方案8第五章、投资预算评估17第一章 公司简介银信长远科技股份简称银信科技是一家全国性、专业化的IT效劳整体解决方案提供商，注册资本1.2亿元人民币，是中国第三方IT运维效劳第一家上市公司。公司现有员工近700人，技术工程师400人，绝大多数工程师具有原厂各类技术认证证书，证书总数700多个。银信科技主要经营围：IT根底设施、IT行业应用系统的建立和运维，包含数据中心、云平台、容灾备份、虚拟化、信息平安等系统解决方案；各行

2、业数据中心、各类IT设备系统的运营维保效劳、IT技术培训、IT人员外包效劳、数据中心搬迁与其他IT增值效劳；自有IT运维管理软件的销售，IT运维管理咨询与效劳等。银信科技资质:市科学技术委员会颁发的高新技术企业证书；信息产业部颁发的计算机信息系统集成一级资质证书；中国软件测评中心颁发的信息系统运维效劳能力二级资质证书；工信部ITSS信息技术效劳标准工作组全权成员单位证书；通过ISO9001：2008国际质量管理体系认证；通过市科学技术委员会的双软件认证。中国银行业数据中心IT根底设施第三方效劳市场排名中名列第一业绩客户行业已涉与金融、电信、电力、航空、政府、教育、交通、商业、IT业、制造业等众

3、多行业客户。公司近三年营业收入：2011年营业收入约为2亿元2012年营业收入约为3.4亿元2013年营业收入约为3.8亿元第二章 用户需求分析现需对用户计算机网络进展物理隔离改造，物理隔离改造工作需要保护单机和网的数据平安和信息平安，即重要的数据不能放到与外网相连的计算机硬盘上，工作人员可以在同一台计算机终端上根据工作需要进入网或外网，并在终端上处理重要的数据和进展工作操作，实现办公网与外网的物理隔离，并有效的保障办公网与外网的数据交换平安。用户分为两个区域：一个区域，约有办公电脑XXXX台，其中，20台需要连接外网；另一区域，约有办公电脑XXXXX台，其中30台需要连接外网。第三章 总体设

4、计指导思想一、系统总体设计指导思想1、严格遵循物理隔离技术规，实现网与互联网的物理隔离。2、在重视科学性、经济性和实用性的同时，讲求使用效果。3、确保所设计的系统能到达国领先水平。4、改造后的系统，需要有高效的平安防措施二、系统总体实现目标现需对用户计算机网络进展物理隔离改造，实现办公网络 (网)与国际互联网(外网)的双网物理隔离，并保障网络和存储数据设备的数据平安和信息平安。通过改造工作，在技术上到达：1、在物理传导上使外网络隔断，确保外部网不能通过网络连接侵入部网；同时防止部网信息通过网络连接泄漏到外部网。2、在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如存、处理器等暂存部件

5、，要在网络转换时作去除处理，防止残留信息串网；对于断电非遗失性设备如磁带机、硬盘等存储设备，部网与外部网信息要分开存储；严格限制可移动介质的使用围与环境，如U盘、光盘等。三、本建议方案的实施要点根据用户计算机网络的现实情况，实施外网物理隔离的要：1、对计算机系统要进展适当的改造工作，做到外网效劳器分开设置；桌面终端计算机可直接实现网办公或外网应用，当使用办公网时，那么外网物理隔离，当使用外网时，那么办公网物理隔离。终端计算机上，办公网与外网的数据存储仓库为完全隔离的两个硬盘，或办公网存储于机房存储设备，而外网可存储于计算机的指定硬盘。计算机终端需进展平安保护，以防止病毒、木马、攻击等威胁设备平

6、安的事件发生。2、网络改造。真正高效的隔离，是办公网与外网的网络完全分开，即为外网重新铺设新的综合布线系统，从互联网接入端到计算机终端，外网为独立的网络系统，并具备信息平安保护的功能。3、外网数据传输。外网之间常有些重要信息需要传输或备份，双网系统之间存在数据交换需求：外网用户可以访问网的数据库，并且能够保护网平安。如果使用U盘等移动设备来拷贝，就会面临病毒的威胁。但是如果开放网络，让网与外网之间互通，又会使双网的意义丧失。为保护办公网的数据和信息平安，需要在办公网和外网之间架设平安隔离与信息交换系统，它应用在用户双网之间，主要负责数据的平安交换，阻止的以与未知的入侵和部信息的泄漏，并且把外网

7、传来的数据掌控在可控的围，实现了可控的、高效的、实时的、平安的信息交换。网络改造完成后的拓朴图如下：第四章 计算机系统双网隔离方案一、企业外网网络的新建为了打造企业办公网和外网完全隔离的网络系统，需要新建一套与企业办公网平行的企业外网网络系统。主要设备包括：计算机终端改造、独立的效劳器可选、防火墙、交换机、综合布线系统、计算机终端平安防护系统等。企业外网网络系统的拓扑图如下：根据培训与评价中心的终端分布情况，整个系统分为两个区域，区域计算机终端20台，2-3台带智能网管功能的千兆交换机，1台高性能可进展分段IP映射的防火墙，6类非屏蔽综合布线系统，免工具综合布线数据终端等假设干。清镇区域计算机

8、终端30台，3-5台带智能网管功能的千兆交换机，1台高性能可进展分段IP映射的防火墙，6类非屏蔽综合布线系统，免工具综合布线数据终端等假设干。对计算机终端进展改造，配置物理隔离卡、独立硬盘与主板，以到达双硬盘双网的物理隔离，同时，还需要对每个需要连接外网的计算机终端安装杀毒软件和个人电脑防火墙等平安防护。如有必要，为保障数据防泄漏等要求，还可以在后期对网络和终端建立一套全生命周期数据泄露防护体系，包含：文档平安管理系统；文件透明加密系统；文档全线管理系统；文档外发管理系统；文档加密平安网关系统；可信介质管理系统；电子文件保险柜；全盘加密平安介质终端；磁盘全盘加密系统；数据防泄漏平台。二、外网数

9、据传输平安 针对用户应用需求的实际情况，需要在机房布置一套平安隔离与信息交换系统。使用平安隔离与信息交换系统的文件交流方式，Web效劳器将接收到的请求转换成文件，通过平安隔离与信息交换系统传输到业务网，业务网处理完该数据后，再将结果转换成文件通过平安隔离与信息交换系统传输给Web效劳器，见图：三、技术方案各产品功能介绍1、计算机终端改造 在不更换终端的情况下，对计算机终端进展改造，增加物理隔离卡、硬盘与主板等。产品特点1支持用户自定义开机选界面功能。2支持检测外设功能包括检测：USB、光驱、软驱3均支持标准机箱和超薄机使用4支持windows 64位操作系统与新版BIOS技术参数1总线模式:P

10、CI或PCI-E2物理介质接口：RJ453使用网络类型：10M以太网、100M或1000M快速以太网4工作温度：0-505存储温度：-20-706外网切换软件：V3.02、网络交换机核心交换机全千兆以太网交换机，它提供了灵活的全千兆以太网端口的接入密度、丰富的业务特性，并支持IRF智能弹性架构技术，拥有24个10/100/1000Base-T以太网端口，4个1000Base-XSFP千兆以太网端口非复用的SFP插槽；整机交换容量192Gbps，包转发率42Mpps，性能相当强劲。支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人攻击，对不符合DHCP

11、Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在的非法地址仿冒，以与大量地址仿冒带来的DoS攻击。另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP效劳器，保证DHCP环境的真实性和一致性。接入交换机二层线速以太网交换机，它是专为要求具备高性能且易于安装的网络环境而设计的智能型产品。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能，可以通过WEB界面进展方便地配置。支持地址自动学习、自动老化老化时间为5分钟；它最多可支持8K MACMediu

12、m Access Control地址。它支持基于端口VLAN，VLAN最大数目为26；它最多可设置3组端口聚合，具备线路诊断等功能产品类型网管交换机应用层级二层传输速率10/100/1000Mbps交换方式存储-转发背板带宽8.8Gbps包转发率6.55MppsMAC地址表8K端口结构非模块化端口数量26个端口描述24个10/100Base-TX自适应以太网端口，2个千兆光电复用端口控制端口1个Console接口接口介质10Base-T：3/4/5类双绞线100Base-TX：5类双绞线1000Base-T：5类双绞线传输模式全双工/半双工自适应网络标准IEEE 802.3，IEEE 802.

13、3u，IEEE 802.3ab，IEEE 802.3z，ANSI/IEEE 802.3 NWay自动协商，IEEE 802.3xVLAN基于端口VLAN支持VLAN最大数目：26支持128个802.1Q的VLAN，VLAN ID 1-4094可配QOS标准：802.1p队列数：4个网络管理基于Web的管理支持配置文件导入/导出状态指示灯Link/Act，Speed，电源电源电压AC 100-240V，50-60Hz电源功率最大15W产品尺寸44023044mm环境标准工作温度：0-40工作湿度：5%-95%无凝结3、防火墙设备类型：企业级防火墙 网络端口：1个配置口(CON);5GE;1个mi

14、ni插槽.入侵检测：Dos,DDoS 管理：支持标准网管 SNMPv3，并且兼容S.VPN支持：支持 平安标准：FCC,CE 控制端口：console 其他性能：防火墙、VPN可同时扩展卡巴斯基.电源：输入额定电压:100VAC240VAC;47.产品尺寸：30026043.6mm 管理 支持标准网管 SNMPv3，并且兼容SNMP v2c、SNMP v1,支持NTP时间同步,支持Web方式进展远程配置管理,支持SNMP/TR-069网管协议,支持 SecCenter平安管理中心进展设备管理 纠错防火墙、VPN可同时扩展卡巴斯基病毒防护、URL过滤特征库升级效劳、攻击防护IPS效劳以与特征库升

15、级、垃圾特征库升级效劳、P2P/IM/网游等应用层流量控制和用户行为审计等功能4、平安隔离与信息交换系统本系统根据国计算机网络结构特点，开发出的一种快速、平安的网络平安隔离产品，已采用DTP物理隔离通道控制系统和嵌入式核控制技术，以与多重平安措施，有效地防止了黑客攻击、病毒侵入和信息泄露等平安隐患，确保网与外网的可靠隔离和信息的可控交换，是一种平安性极高的网络平安产品。产品功能* 采用类似电子的工作方式进展文件传送，具备小型公文交换系统的功能，可以实现网到网、网到外网、外网到网的点对点 、一对多、多对一的文件传送，并可直接从FTP效劳共享目录上读取文件。* 支持对传输文件的文件名控制机制；*

16、支持对黑白控制；* 支持文件自动收发功能，文件交换效劳能够控制单个用户和分组用户的文件收发权限；支持增量传输，超大文件交换；* 支持实时或定时文件摆渡，文件传输支持断点续传；* 支持文件格式特征过滤。产品特点* 独有DTP物理隔离通道控制系统彻底阻断网络间的直连通路。* 特有控制逻辑和专用通讯协议控制数据的实时交换。* 专用平安操作系统与嵌入式程序控制确保系统本身免受攻击。* 可选配取得国家密码权威部门检验认可、基于PKI技术的完善平安认证TPCS系统。* 产品小型化，接口可组合扩展。5、综合布线系统 3M综合布线系统，全球十大综合布线品牌，美国3M公司的布线产品一直有布线行业的贵族之称，具有

17、性能高超，外形美观，产品种类齐全的特点：* 标准化，全面符合国际和地区标准* 产品全系列:非屏蔽,屏蔽,光纤 * 产品高性能级别:增强五类,六类，6A* 产品模块化 ,多媒介,集成度高* 高质量,专利多， 外观 美，多颜色* 适应多种安装环境,安装简便可靠* 标识管理手段丰富* 产品和系统均可提供性能测试报告*第三方测试和认证* 带UL，CSA，CE，AULCEL等认证标记系统产品组成信息模块与面板、工作区跳线平板或角型19英寸机架式配线架配置要求信息模块与面板语音模块、数据模块、Keystone6类模块。数据：86型面板工作区跳线：工厂定制。第五章、投资预算评估此投资预算为初步预算，需要根据后续实际勘查进展一定调整。本项目的规划预算在78.5万元。序号产品名称数量单位单价合价备注1计算机终端70台1年保修2防火墙2台3年保修3交换机3.1核心交换机2台3年保修3.2接入交换机5台3年保修4综合布线美国3M品牌4.1免工具6类 非屏蔽 RJ45模块含嵌式防尘盖( Keystone )，含86型平口 英式单口面板(Keystone)-白色70套3年保修4.2配线架可选4个3年保修4.36类 4对 PVC护套非屏蔽双绞线 (305米/箱)20箱3年保修5计算机终端杀毒软件和防火墙70用户自备6平安隔离与信息交换系统1套1年保修7安装实施效劳8投资总额