【正文】 政務(wù)網(wǎng)、城域網(wǎng)的匯聚設(shè)備，以及中小型網(wǎng)絡(luò)的核心設(shè)備。應(yīng)充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；漢柏科技有限公司 ：4007068366l IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足當(dāng)前業(yè)務(wù)對(duì)IP地址的需求，同時(shí)要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；l IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要； l 地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照業(yè)務(wù)量的大小分配各業(yè)務(wù)區(qū)域的地址段； l IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率； l 采用CIDR技術(shù)，通過IP地址聚合，以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??； l 充分合理利用分配的地址空間，提高地址的利用效率；l IP地址規(guī)劃應(yīng)該是數(shù)據(jù)中心網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。為了實(shí)現(xiàn)網(wǎng)關(guān)設(shè)備的動(dòng)態(tài)切換，漢柏建議為網(wǎng)關(guān)設(shè)備部署VRRP協(xié)議，并疊加BFD for VRRP技術(shù)，實(shí)現(xiàn)網(wǎng)關(guān)快速切換。漢柏PT系列交換機(jī)采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報(bào)文的明文及MD5密文認(rèn)證；支持IP、VLAN、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流量對(duì)設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報(bào)文安全過濾，防止非法侵入和惡意報(bào)文攻擊等。網(wǎng)絡(luò)互聯(lián)方面，由于采用了OSPF路由協(xié)議，當(dāng)非捆綁鏈路出現(xiàn)中斷情況時(shí)，OSPF協(xié)議將重新計(jì)算出新的轉(zhuǎn)發(fā)路徑，保障數(shù)據(jù)轉(zhuǎn)發(fā)不中斷。(3)保證一致的安全強(qiáng)度應(yīng)采用分級(jí)的辦法，采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動(dòng)態(tài)的防護(hù)體系。信息安全管理的目標(biāo)就是通過采取適當(dāng)?shù)目刂拼胧﹣肀Ｕ闲畔⒌谋Ｃ苄浴⑼暾?、可用性，從而確保信息系統(tǒng)內(nèi)不發(fā)生安全事件、少發(fā)生安全事件、即使發(fā)生安全事件也能有效控制事件造成的影響。 安全域設(shè)計(jì)傳統(tǒng)解決方案中，終端用戶可以訪問自己前端WEB服務(wù)器，同時(shí)WEB服務(wù)器可以訪問內(nèi)部應(yīng)用服務(wù)器，這樣存在非常嚴(yán)重的安全隱患，一旦前端WEB服務(wù)器被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機(jī)竊取高等級(jí)安全域中的信息數(shù)據(jù)。作為業(yè)界領(lǐng)先的安全防護(hù)產(chǎn)品，PA5500F45/40具有如下突出特點(diǎn)：l 專業(yè)的安全防護(hù) PA5500F45/40不僅能夠提供全面的地址轉(zhuǎn)換、MAC地址綁定、訪問控制策略、安全域劃分、身份認(rèn)證等邊界防護(hù)功能，同時(shí)能夠抵御包括PingofDeath、PingFlooding、TearDrop、UDPFlooding、SYNFlooding、KillWin、WinNuke、LAND IGMPIP碎片、源路由、端口掃描、IPSpoofing等幾十種常見攻擊。l 萬兆就緒 針對(duì)日益突出的視頻傳輸、虛擬桌面和數(shù)據(jù)中心備份等大數(shù)據(jù)量傳輸，應(yīng)用的飛速增長帶來了帶寬的提升需求，萬兆接口的應(yīng)用已經(jīng)勢(shì)不可擋。l 虛擬防火墻功能 傳統(tǒng)的防火墻只能提供單一安全域的防護(hù)，而對(duì)于多個(gè)安全域的獨(dú)立部署，需要多漢柏科技有限公司 ：4007068366臺(tái)防火墻才能實(shí)現(xiàn)，這造成了IT資源的極大浪費(fèi)。l 出色的能效比 PA5500F45/40采用了自主研發(fā)的高性能操作系統(tǒng)，并且針對(duì)報(bào)文轉(zhuǎn)發(fā)、過濾以及VPN的關(guān)鍵處理進(jìn)行了深入的優(yōu)化設(shè)計(jì)，在同等硬件處理能力下，比通用的操作系統(tǒng)要高出至少30%的效能，對(duì)于提高用戶IT資源利用率，降低能耗和節(jié)能減排給予了強(qiáng)有力的支持。如果是初次使用，對(duì)網(wǎng)絡(luò)上存在些什么樣的數(shù)據(jù)流可能不甚明確，這時(shí)可以采用包含事件較多的策略集，待運(yùn)行一段時(shí)間后，對(duì)網(wǎng)絡(luò)狀況有了基本的了解，再在此策略集的基礎(chǔ)上酌情刪減。除此之外，PA5500U40使用了智能流分類系統(tǒng)，將大量的數(shù)據(jù)流均勻分散在不同的核上進(jìn)行全流程處理，增加了數(shù)據(jù)Cache的命中率，極大的提高了系統(tǒng)的性能。4)數(shù)據(jù)泄漏防護(hù) PA5500U40還提供了精細(xì)的數(shù)據(jù)泄漏防護(hù)(DLP)功能，支持用戶定義各種規(guī)則的漢柏科技有限公司 ：4007068366關(guān)鍵字和敏感詞，支持包括Email、HTTP、FTP和IM在內(nèi)的各種協(xié)議，對(duì)于銀行卡帳號(hào)、身份信息、財(cái)務(wù)信息等關(guān)鍵數(shù)據(jù)，將其控制在可信網(wǎng)絡(luò)的范圍以內(nèi)，避免惡意或者無意的數(shù)據(jù)泄漏造成不可彌補(bǔ)的錯(cuò)誤。7)實(shí)時(shí)的病毒庫、攻擊庫、應(yīng)用庫更新 作為安全網(wǎng)關(guān)設(shè)備，如何能夠保證在新的威脅、病毒、攻擊和新的應(yīng)用出現(xiàn)的第一時(shí)間，就能夠做到有效的洞悉和控制，不僅考驗(yàn)產(chǎn)品本身的應(yīng)變能力，更考驗(yàn)安全廠商支持的力度和深度，以及響應(yīng)的速度。漢柏科技一直將提高使用者的便利性作為產(chǎn)品設(shè)計(jì)的核心思想，從產(chǎn)品定義階段就將易用性作為關(guān)鍵指標(biāo)。實(shí)施QoS的根本目的是確保網(wǎng)絡(luò)的各類信息能夠及時(shí)獲得所需要的網(wǎng)絡(luò)帶寬。4)其它需要定義為高優(yōu)先級(jí)的業(yè)務(wù)。l 擴(kuò)展性好可根據(jù)不同區(qū)域和層次的功能按需建設(shè)，業(yè)務(wù)部署靈活，可以非常方便的增加新業(yè)務(wù)區(qū)，而不改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)。其海外市場業(yè)務(wù)占據(jù)漢柏95%以上的銷售來源，年復(fù)合增長率超過40%，截止2010年全球銷售額累計(jì)10億美金，在全球10多個(gè)國家設(shè)立26個(gè)辦事處及分公司。但長期以來，處亍安全保密戒部門利益的需要，政府信息一直處亍封閉戒半封閉的狀態(tài)，造成大量政府信 息資源的閑置和浪費(fèi)?；∵@種情況，微軟公司針對(duì)政府行業(yè)的信息化建設(shè)現(xiàn)狀和發(fā)展趨勢(shì)，推出了政府?dāng)?shù)據(jù)中心解決方案，旨在協(xié) 劣將政府各職能部門的數(shù)據(jù)源整合（包括公檢法信息庫、工商稅務(wù)信息庫、社會(huì)保障信息庫等），從中抽取數(shù)據(jù)并進(jìn)行 分析、挖掘，向政府人員、廣大企業(yè)、公眾等提供信息服務(wù)。為了保障數(shù)據(jù)中心的安全可靠，微軟利用自身操作系統(tǒng)廠商的能力，圍繞著Windows Server 2008，形成了一套 System Center和Forefront的完美結(jié)合的系統(tǒng)安全管理平臺(tái)，丌僅能無縫接入IT架構(gòu)平臺(tái)，而丏能夠提高整體架構(gòu)的安 全性和工作敁率，降低管理的復(fù)雜度和成本，真正解決管理不安全問題，同時(shí)讓數(shù)據(jù)中心的IT資源得到最佳整合和優(yōu)化。首先，在 不Internet連接層建立防火墻，也可以配置成Web緩存服務(wù)器，戒二者兼?zhèn)洌渲饕δ馨ǎ篒nternet防火墻、安全 服務(wù)器發(fā)布、正向Web緩存服務(wù)器、反向Web緩存服務(wù)器、防火墻和Web緩存集成?；∥④浀腂izTalk Server 2006技術(shù)，可提供應(yīng)用之間的信息交換提供數(shù)據(jù)轉(zhuǎn)換、業(yè)務(wù)流程定義不運(yùn)行、消息封裝、路由、傳輸?shù)染唧w業(yè)務(wù)服務(wù)。部署一套Microsoft System Center Operations Manager 和 Microsoft System Center Config Manager進(jìn)行服務(wù)器的運(yùn)維管理，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心服務(wù)器的運(yùn)行情 況，及時(shí)的發(fā)現(xiàn)敀障。出亍業(yè)務(wù)和部署考慮，同其他部門單位、垂直業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交 換的時(shí)候，從業(yè)務(wù)完整性、維護(hù)界定、安全性等考慮，很難允許直接操作原有業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程戒數(shù)據(jù)庫，這時(shí)才有 使用前置機(jī)的必要。結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)可采用實(shí)時(shí)/定期/業(yè)務(wù)驅(qū)勱需求的方式，從業(yè)務(wù)系統(tǒng)中通過數(shù)據(jù)交換平臺(tái)提取數(shù)據(jù)到數(shù)據(jù)庫中進(jìn)行存 儲(chǔ)，集中存儲(chǔ)各業(yè)務(wù)系統(tǒng)中共享的代碼和基礎(chǔ)數(shù)據(jù)，保證數(shù)據(jù)在丌同業(yè)務(wù)系統(tǒng)中的統(tǒng)一性和一致性，并根據(jù)業(yè)務(wù)分析的 需要建立起數(shù)據(jù)分析模型，為企業(yè)業(yè)務(wù)分析及輔劣決策服務(wù)。數(shù)據(jù)采集平臺(tái) 提供統(tǒng)一的數(shù)據(jù)采集方式，方便不后臺(tái)數(shù)據(jù)集成、數(shù)據(jù)存儲(chǔ)平臺(tái)信息通信。系統(tǒng)管理和運(yùn)維平臺(tái)提供數(shù)據(jù)中心所有服務(wù)器和客戶端機(jī)器的補(bǔ)丁下發(fā)和系統(tǒng)運(yùn)行監(jiān)控。所有使用管理運(yùn)行門戶的用戶必須經(jīng)過身仹認(rèn)證，然后系統(tǒng)會(huì)根據(jù) 用戶角色、權(quán)限的丌同，提供相應(yīng)的個(gè)性化操作界面。系統(tǒng)通過 信息采集模塊，將各種需要監(jiān)控的信息收集起來，然后以各種形式展現(xiàn)給系統(tǒng)管理員。當(dāng)管理員在子系統(tǒng)的管理操作臺(tái)間切換時(shí)，各管理操作臺(tái)會(huì)和統(tǒng)一認(rèn)證、權(quán)限管理子系統(tǒng)進(jìn)行溝通，自勱實(shí)現(xiàn)單點(diǎn)登彔，減少管理人員的操作難度。數(shù)據(jù)中心轉(zhuǎn)型的需要當(dāng)今的許多企業(yè)都在努力解決數(shù)十年來無計(jì)劃發(fā)展的遺留問題，面對(duì)大量變更、管理、集成、安全和備份都成為越來越昂貴和困難的技術(shù)孤島。公司必須拓寬視角，以創(chuàng)新方式來看待數(shù)據(jù)中心架構(gòu)，以使IT效率、響應(yīng)能力和永續(xù)性都達(dá)到新的高度。：能夠根據(jù)需要，混合、匹配和配置位于任意物理地點(diǎn)的共享服務(wù)的統(tǒng)一架構(gòu)。成本節(jié)約包括減少電源、通風(fēng)和辦公空間開支等。 的基本要素整合、虛擬化和自動(dòng)化，能夠降低總擁有成本(TCO。這些數(shù)據(jù)中心的生產(chǎn)虛擬機(jī)密度一般較低，只有不到10%的生產(chǎn)工作負(fù)載在虛擬機(jī)上運(yùn)行，運(yùn)營結(jié)構(gòu)以此孤立技術(shù)為基礎(chǔ)構(gòu)建(參見圖1)。階段2: 服務(wù)器整合階段2中，客戶使用VMware ESX、Microsoft HyperV 或Xen 等服務(wù)器虛擬化技術(shù)來整合服務(wù)器，以降低TCO。在此階段中，存儲(chǔ)流量仍進(jìn)行單獨(dú)傳輸。此時(shí)，如果客戶運(yùn)行VMware 的ESX 管理程序，他們也能部署Cisco Nexus 1000V 交換機(jī)。第一個(gè)因素是企業(yè)希望通過簡化基礎(chǔ)設(shè)施和拆除支持獨(dú)立局域網(wǎng)和存儲(chǔ)網(wǎng)絡(luò)所需的冗余組件(接口，電纜，上游交換機(jī)等)，來繼續(xù)降低TCO。 圖3 統(tǒng)一交換矩陣能夠降低數(shù)據(jù)中心TCO因?yàn)榇穗A段的重點(diǎn)是整合服務(wù)器I/O，所以主要需調(diào)整服務(wù)器接入層來支持統(tǒng)一交換矩陣。任何相連的Cisco Nexus 2000 系列交換矩陣擴(kuò)展器也都支持FCoE功能，但因?yàn)樯闲墟溌烦~配置，必須慎重進(jìn)行流量規(guī)劃。思科預(yù)計(jì)，在實(shí)際環(huán)境中，下一代企業(yè)數(shù)據(jù)中心將包括多種技術(shù)，如FCoE、iSCSI 和光纖通道等。從存儲(chǔ)角度來看，數(shù)據(jù)中心交換矩陣將支持FCoE和iSCSI 服務(wù)器接入，以及與FCoE、光纖通道和iSCSI 相連的目標(biāo)。但有一個(gè)新任務(wù)，即向現(xiàn)有Cisco MDS 9000 系列導(dǎo)向器級(jí)光纖通道交換機(jī)添加FCoE 接口，以簡化對(duì)現(xiàn)有SAN 的訪問。企業(yè)所獲凈優(yōu)勢(shì)包括提高成本效率和使IT 更好地滿足業(yè)務(wù)需求。項(xiàng)目建成后，預(yù)計(jì)年產(chǎn)值達(dá)8000萬元，真正成為我國西北規(guī)模最大、功能齊全、技術(shù)先進(jìn)的云計(jì)算數(shù)據(jù)中心。系統(tǒng)的體系架構(gòu)如圖所示：信息系統(tǒng)安全是保障整個(gè)系統(tǒng)安全運(yùn)行的一整套策略、技術(shù)、機(jī)制和保障制度，它涵蓋系統(tǒng)的許多方面，一個(gè)安全可靠的系統(tǒng)需要多方面因素共同作用。已出臺(tái)的一系列信息安全等級(jí)保護(hù)相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)，為信息安全等級(jí)保護(hù)工作的開展提供了法律、政策、標(biāo)準(zhǔn)依據(jù)。第4頁杭州?？低曄到y(tǒng)技術(shù)有限公司行業(yè)基線方案信息安全保障系統(tǒng)的一個(gè)中心是指管理中心安全，三重防御是指計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全。管理中心安全主要包括安全管理子系統(tǒng)、CA子系統(tǒng)、認(rèn)證授權(quán)子系統(tǒng)和統(tǒng)一安全審計(jì)子系統(tǒng)等，它是系統(tǒng)的安全基礎(chǔ)設(shè)施，也是系統(tǒng)的安全管控中心。計(jì)算環(huán)境安全針對(duì)的是對(duì)系統(tǒng)的信息進(jìn)行存儲(chǔ)、處理及實(shí)施安全策略的相關(guān)部件，它的重點(diǎn)是為了提高以服務(wù)器為核心的計(jì)算平臺(tái)自身防御水平。在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受控的口令或具有相應(yīng)安全強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。3）安全審計(jì)功能提供安全審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)安全事件。5）惡意代碼防范功能安裝防惡意代碼軟件或配置具有相應(yīng)安全功能的操作系統(tǒng)，并定期進(jìn)行升級(jí)和更新，以提供針對(duì)不同操作系統(tǒng)的工作站和服務(wù)器的全面惡意代碼防護(hù)。數(shù)據(jù)中心的區(qū)域邊界安全主要通過在系統(tǒng)邊界部署防火墻系統(tǒng)、防毒墻、入侵防御系統(tǒng)、安全接入平臺(tái)等安全設(shè)備和系統(tǒng)以及使用在管理中心所部署的安全審計(jì)系統(tǒng)提供的服務(wù)，完成邊界包過濾、邊界安全審計(jì)、邊界入侵防范、邊界完整性保護(hù)，邊界安全隔離與可信數(shù)據(jù)交換等一系列功能。3）邊界入侵防范功能在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。通信網(wǎng)絡(luò)的安全保障越來越成為人們關(guān)注的重點(diǎn)。 通信網(wǎng)絡(luò)安全功能要求1）傳輸網(wǎng)絡(luò)安全審計(jì)功能提供通信網(wǎng)絡(luò)所傳輸數(shù)據(jù)在包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息在內(nèi)的審計(jì)功能。數(shù)據(jù)中心的管理中心安全主要是通過部署安全審計(jì)系統(tǒng)、接入認(rèn)證系統(tǒng)、PKI/CA身份認(rèn)證系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)和安全管理平臺(tái)等安全設(shè)備和系統(tǒng)，完成證書管理、實(shí)時(shí)監(jiān)控、統(tǒng)計(jì)分析、配置管理、密鑰管理、日志管理、系統(tǒng)管理、統(tǒng)一用戶管理、統(tǒng)一身份認(rèn)證、資源授權(quán)及訪問控制管理、單點(diǎn)登錄管理、網(wǎng)絡(luò)安全審計(jì)、主機(jī)安全審計(jì)、數(shù)據(jù)庫安全審計(jì)、應(yīng)用系統(tǒng)安全審計(jì)等一系列功能。實(shí)時(shí)監(jiān)控應(yīng)可按照業(yè)務(wù)和資產(chǎn)進(jìn)行分類，可依據(jù)分類進(jìn)行簡單、直觀的實(shí)時(shí)監(jiān)控?？商峁┝祟A(yù)定義統(tǒng)計(jì)和自定義統(tǒng)計(jì)模式。統(tǒng)計(jì)結(jié)果以圖形化方式呈現(xiàn)，呈現(xiàn)方式多樣，至少可支持柱圖、餅圖、趨勢(shì)圖等，并為關(guān)聯(lián)分析提供支撐。6）日志管理功能使審計(jì)員可以通過日志管理對(duì)密鑰日志、系統(tǒng)日志進(jìn)行事后審計(jì)和追蹤，作為日志審計(jì)的依據(jù)。8）統(tǒng)一用戶管理功能根據(jù)用戶的數(shù)字證書，提供對(duì)用戶的管理功能，包括用戶的主賬號(hào)（代表用戶身份的唯一帳號(hào)）和從賬號(hào)（不同應(yīng)用系統(tǒng)中的用戶帳號(hào)）的對(duì)應(yīng)管理，用戶屬性的統(tǒng)一管理，以及實(shí)現(xiàn)用戶整個(gè)生命周期管理，包括對(duì)人員入職、調(diào)動(dòng)、離職等過程中的用戶身份的創(chuàng)建、修改、刪除等操作的管理等。10）資源授權(quán)及訪問控制管理功能基于數(shù)字證書，并采用基于RBAC的技術(shù)，在用戶進(jìn)行信息系統(tǒng)的資源訪問及使用時(shí)，實(shí)現(xiàn)不同用戶、不同角色對(duì)不同資源的細(xì)粒度訪問控制。13）主機(jī)安全審計(jì)功能 實(shí)現(xiàn)用戶對(duì)主機(jī)操作行為的審計(jì)。各安全設(shè)備及系統(tǒng)的功能要求如下：第11頁杭州海康威視系統(tǒng)技術(shù)有限公司行業(yè)基線方案 VPN加密系統(tǒng)VPN的身份認(rèn)證通過LADP協(xié)議可以與認(rèn)證服務(wù)器建立認(rèn)證關(guān)系，也可以與PKI/CA服務(wù)器建立聯(lián)系在終端導(dǎo)入證書，VPN 加密技術(shù)采用DES、3DES、AES、IDEA、RC4等加密技術(shù)，通過上述的加密技術(shù)，保證視頻、信令、數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸安全。 防火墻系統(tǒng)防火墻是傳輸與網(wǎng)絡(luò)安全中最基本、最常用的手段之一，防火墻可以實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)部、外部網(wǎng)絡(luò)之間的邏輯隔離，達(dá)到有效的控制對(duì)網(wǎng)絡(luò)訪問的作用