【正文】 ? 靈活性： IP 地址的分配需要有足夠的靈活性，能夠滿(mǎn)足用戶(hù)不同的聯(lián)網(wǎng)需要； ? 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。 四川省 XXX 院 信息安全 建設(shè)方案 13 成都 XXXX 信息技術(shù)有限公司 IP 地址規(guī)劃 對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)， IP 規(guī)劃的設(shè)計(jì)是非常重要的，一方面體現(xiàn)網(wǎng)絡(luò)設(shè)計(jì)的規(guī)范性，另一方面對(duì)日后網(wǎng)絡(luò)的管理以及維護(hù)都會(huì)起到非常重要的作用。 (4)部署一套 綜合 網(wǎng)絡(luò) 及安全 管理 軟件負(fù)責(zé)整個(gè)網(wǎng)絡(luò)設(shè)備、服務(wù)器及用戶(hù) PC的拓?fù)浒l(fā)現(xiàn)和設(shè)備的管理，并做到實(shí)時(shí)的網(wǎng)絡(luò)流量監(jiān)控及預(yù)警功能，通過(guò)這套軟件可以讓網(wǎng)管人員足不出戶(hù)就可以管理到網(wǎng)絡(luò)中的每一臺(tái)設(shè)備和每一個(gè)端口，大大提高了網(wǎng)管人員的管理效率和整個(gè)網(wǎng)絡(luò)的安全性。 (2)核心層 可 沿用原有核心交換機(jī)。采用“核心 — 匯 聚 — 接入”的三層網(wǎng)絡(luò)架構(gòu)，核心到匯聚、匯聚到接入交換 機(jī)均應(yīng) 采用千兆連接，同時(shí)通過(guò)匯聚層的安全功能，大大減輕核心層的路由、安全處理的壓力，提高整體網(wǎng)絡(luò)的性能。這樣架構(gòu)可以充分提高網(wǎng)絡(luò)的可擴(kuò)展性、易維護(hù)性以及穩(wěn)定性。 構(gòu)建全局安全網(wǎng)絡(luò)體系 概述 根據(jù)現(xiàn)有需求，并考慮到未來(lái)的發(fā)展趨勢(shì)，需要建立一個(gè)統(tǒng)一的信息傳輸網(wǎng)絡(luò)， 以 滿(mǎn)足數(shù)據(jù)、語(yǔ)音、視頻、圖像、多媒體等相關(guān)信息的傳輸， 并 可實(shí)現(xiàn)辦公、財(cái)務(wù)各部門(mén)等正常地訪(fǎng)問(wèn)網(wǎng)絡(luò)，同時(shí)滿(mǎn)足內(nèi)部網(wǎng)絡(luò)之間的高速轉(zhuǎn)發(fā)。這是由于采用了向用戶(hù)透明的新機(jī)制，其結(jié)果是提高了產(chǎn)品的質(zhì)量，使管理員可以集中精力到其它工作中 。 它不僅 應(yīng) 抵御病毒，蠕蟲(chóng)和特洛依木馬，還防護(hù)新的 Inter 攻擊，如垃圾郵件 、 間諜程序 、 撥號(hào)器 、 黑客工具和惡作劇 等 ，以及針對(duì)系統(tǒng)漏洞，并提供保護(hù)阻止安全冒險(xiǎn)。 企業(yè)級(jí)網(wǎng)絡(luò)版防病毒軟件 在網(wǎng)絡(luò)防病毒方面，可采用網(wǎng)絡(luò)版殺毒軟件。 防毒墻通過(guò)輸入激活碼后，便可以每隔一小時(shí)自動(dòng)到網(wǎng)上更新。 四川省 XXX 院 信息安全 建設(shè)方案 11 成都 XXXX 信息技術(shù)有限公司 網(wǎng)絡(luò)防病毒 內(nèi)容安全網(wǎng)關(guān) (防毒墻 ) 硬件安全網(wǎng)關(guān)透明接入防火墻和核心交換機(jī)之間，位于網(wǎng)絡(luò)咽喉，一臺(tái)設(shè)備可防護(hù)全網(wǎng)，同時(shí)在黨政網(wǎng)中任何一臺(tái)計(jì)算機(jī)可以進(jìn)行管理和配置。 應(yīng)支持支持?jǐn)U展的狀態(tài)檢測(cè)技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時(shí)在啟用動(dòng)態(tài)端口應(yīng)用程序 (如 VoIP、 H323 等 )時(shí)，可提供強(qiáng)有力的安全信道。 出口 防火墻 應(yīng)具備擴(kuò)展的狀態(tài)檢測(cè)功能、防范入侵及其它（如 URL 過(guò)濾、HTTP 透明代理、 SMTP 代理、分離 DNS、 NAT 功能和審計(jì) /報(bào)告等）附加功能。 總體方案 針對(duì)我 單位 網(wǎng)絡(luò)安全所受威脅的分析，我們必須提出一個(gè)行之有效的解決方案，包括以下內(nèi)容： (1) 物理 拓?fù)?結(jié)構(gòu) 改造及 優(yōu)化； (2) 科學(xué)、合理的 IP 地址規(guī)劃 及 優(yōu)化； (3) 實(shí)施 出口安全實(shí)施 ； (4) 實(shí)施防病毒的軟 、硬方案； (5) 構(gòu)建全局安全網(wǎng)絡(luò)體系； (6) 確保 服務(wù)器與數(shù)據(jù)庫(kù)安全 ，建設(shè)數(shù)據(jù)中心，部署容災(zāi)容錯(cuò)備份系統(tǒng) ； (7) 實(shí)施 運(yùn)行 保障體系 。 通過(guò)對(duì)應(yīng)用需求、安全威脅分析，我們提出信息安全體系建設(shè)的總體需求及主要內(nèi)容下如： ? 改造網(wǎng)絡(luò)出口，部署防火墻，保證數(shù)據(jù)交換安全； ? 對(duì)網(wǎng)絡(luò)主干實(shí)施千兆拓展，構(gòu)建萬(wàn)兆核心、千兆骨干、百兆 (千兆 )桌面的高速網(wǎng)絡(luò)； ? 部署 防毒墻、 網(wǎng)絡(luò)版殺毒軟件 ，有效防止病 毒和惡意軟件的傳播、感染 ； ? 加強(qiáng)內(nèi)網(wǎng)行為管理，通過(guò)軟硬體系，構(gòu)建全局安全網(wǎng)絡(luò)和統(tǒng)一威脅管理； ? 實(shí)現(xiàn)內(nèi)網(wǎng)實(shí)名制上網(wǎng)，對(duì)上網(wǎng)用戶(hù)進(jìn)行身份認(rèn)證； ? 實(shí)現(xiàn)終端設(shè)備 IP 地址、 MAC 地址、交換機(jī)端口綁定，有效防范 ARP欺騙、 ARP 病毒及攻擊； ? 實(shí)現(xiàn)基于應(yīng)用的多策略的流量監(jiān)控與控制； ? 在提供對(duì)外資源服務(wù)時(shí)，構(gòu)建服務(wù)器 DMZ 區(qū)、部署入侵檢測(cè)系統(tǒng)、 建設(shè)數(shù)據(jù)中心確保數(shù)據(jù)安全可靠。 總體威脅分析 序號(hào) 來(lái)源 內(nèi)容 原因 風(fēng)險(xiǎn) 級(jí)別 1 Inter 病毒、蠕蟲(chóng)、木馬 不知情 的情況下 網(wǎng) 絡(luò)傳播 普通 2 Inter 黑客、間諜軟件 惡意 普通 3 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 移動(dòng)存儲(chǔ)設(shè)備使用 極高 4 內(nèi)部行為 黑客、間諜軟件 惡意 低 5 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 收發(fā)郵件 極高 6 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 訪(fǎng)問(wèn)非安全網(wǎng)站 極高 7 內(nèi)部行為 病毒、蠕蟲(chóng)、木馬 私自安裝軟件 極高 8 內(nèi)部行為 黑客、間諜軟件 使用聊天軟件或其它 極高 9 內(nèi)部行為 帶寬資源消耗 P2P、電影或其它 高 10 內(nèi) 、 外 MAC 攻擊 病毒、惡意 高 11 內(nèi) 、 外 ARP 攻擊 病 毒、惡意 極高 12 內(nèi) 、 外 DHCP 攻擊 病毒、惡意 高 13 內(nèi) 、 外 STP 攻擊 病毒、惡意 高 14 內(nèi) 、 外 DOS/DDOS 攻擊 病毒、惡意 高 15 內(nèi) 、 外 應(yīng)用數(shù)據(jù)竊取、破壞 病毒、木馬、惡意 極高 通過(guò)以上分析， 我單位網(wǎng)絡(luò)及信息系統(tǒng)所面臨的安全威脅很多，影響極大 ，因此，我們?cè)趯?duì) 外網(wǎng) 威脅因素進(jìn)行監(jiān)控、防范的同時(shí)，必須對(duì)內(nèi)部行為造成的威脅進(jìn)行嚴(yán)格控制、管理，必須從源頭上遏制住病毒、蠕蟲(chóng)、木馬 、惡意使用網(wǎng)絡(luò)、惡意攻擊 等威脅對(duì)我 單位 網(wǎng)絡(luò) 和信息系統(tǒng) 造成的影響。 因此，必須 采用 相應(yīng) 技術(shù)手段 及設(shè)備 防止這類(lèi)威脅 對(duì)我單位網(wǎng)絡(luò)及信息系統(tǒng)的影響 ； 同時(shí)，由于我 單位 網(wǎng)絡(luò)接入到Inter，給外來(lái)黑客攻擊 、間諜軟件提供了入侵機(jī)會(huì)，此類(lèi)威脅 將對(duì)今后的業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)造成巨大威脅 ，我們必須嚴(yán)加防范。 外部威脅分析 我 單位 網(wǎng) 絡(luò)通過(guò)電信 10M出口直接接入 Inter，現(xiàn)在只部署了 1 臺(tái)路由器，沒(méi) 有部署 防火墻設(shè)備 ，除私有 IP 的應(yīng)用和 NAT 外，內(nèi)網(wǎng)基本完全暴露在 Inter上，面臨巨大的威脅 。 在基于網(wǎng)絡(luò)的應(yīng)用越來(lái)越復(fù)雜、網(wǎng)絡(luò)的使用越來(lái)越頻繁的情況 下，加之使用者的計(jì)算機(jī)應(yīng)用能力參差不齊，行為難以規(guī)范，我單位網(wǎng)絡(luò)經(jīng)常面臨 ARP、蠕蟲(chóng)、木馬 等病毒、攻擊和 眾多的威脅 ，我們必須在仔細(xì)分析的基礎(chǔ)上，部署安全設(shè)備和措施、防病毒和來(lái)自?xún)?nèi)外的威脅對(duì)網(wǎng)絡(luò)和信息系統(tǒng)造成威脅、 并且進(jìn)行用戶(hù)行為管理、流量控制，同時(shí)，必須考慮今后我單位向公眾提供資源服務(wù)后的應(yīng)用安全。 在核心交換機(jī)上，劃分了多個(gè) VLAN，在一定程度上方便了管理，并能在一定程度上抑制廣播風(fēng)暴。 用戶(hù)分級(jí)管理和口令保護(hù) 支持基于端口和基于 MAC 的 認(rèn)證 遠(yuǎn)程受電 S2020EI 的直流機(jī)型支持遠(yuǎn)程受電，滿(mǎn)足 標(biāo)準(zhǔn)。 Quidway S2020 主要功能及性能： 項(xiàng)目 S2020EI S2020EI S2403HEI 固定端口 8 個(gè) 10/100M 以太網(wǎng)電口 1 個(gè) Console 口 16個(gè) 10/100M以太網(wǎng)電口 1 個(gè) Console 口 25個(gè) 10/100M 以太網(wǎng)電口 1 個(gè) Console 口 擴(kuò)展槽位數(shù)量 無(wú) 1 1 擴(kuò)展接口模塊種類(lèi) 無(wú) 100BaseFX 多模模塊、100BaseFX 單模模塊、100BaseFX 單模中距模塊、百兆遠(yuǎn)程受電 接口模塊 100BaseFX 多模模塊、 100BaseFX 單模模塊、 100BaseFX 單模中距模塊 線(xiàn)速二層交換 所有端口支持線(xiàn)速轉(zhuǎn)發(fā) 包轉(zhuǎn)發(fā)率： S2020EI 為 ， S2020EI 為 ， S2403HEI 為四川省 XXX 院 信息安全 建設(shè)方案 4 成都 XXXX 信息技術(shù)有限公司 交換模式 存儲(chǔ)轉(zhuǎn)發(fā)模式 VLAN 支持符合 IEEE 標(biāo)準(zhǔn)的 VLAN，最多支持 512 個(gè) VLAN 支持基于端口的 VLAN 支持 GVRP 組播 GMRP IGMP Snooping 生成樹(shù)協(xié)議 支持 STP/RSTP/MSTP 端口匯聚 最多可以支持 4/8/12 組端口匯聚，每個(gè)端口匯聚組最多可以有 8 個(gè)端口 廣播風(fēng)暴抑制 所有端口上支持基于帶寬百分比的廣播風(fēng)暴抑制 端口鏡像 支持一對(duì)多的端口鏡像，即一個(gè)鏡像端口，對(duì)被鏡像端口的數(shù)量沒(méi)有限 制 MAC 地址表 地址自學(xué)習(xí) IEEE 標(biāo)準(zhǔn) 最多支持 4K 個(gè) MAC 地址 流控 支持 IEEE 流控 (全雙工 ) 支持背壓式流控 (半雙工 ) 加載與升級(jí) 支持 XModem 協(xié)議實(shí)現(xiàn)加載升級(jí) 支持 FTP、 TFTP 加載升級(jí) 管理 支持命令行接口配置 支持 Tel 遠(yuǎn)程配置 支持通過(guò) Console 口配置 支持 SNMP 支持 RMON 1， 2， 3， 9 組 MIB 支持 iManager N2020 DMS 網(wǎng)管系統(tǒng) 支持 HGMP V2 集群管理 支持系統(tǒng)日志 支持分級(jí)告警 維護(hù) 支持調(diào)試信息輸出 支持 PING、 Tracert 支持 Tel 遠(yuǎn)程維護(hù) QoS 支持 DSCP 優(yōu)先級(jí)、 優(yōu)先級(jí) 支持端口出方向和入方向報(bào)文的雙向端口限速，帶寬分配支持 64Kbps 的精細(xì)粒度。 其特點(diǎn)如下： ? 采用 VRP 操作平臺(tái) ? 提供 VPN 解決方案 ? 提供一定的 網(wǎng)絡(luò)安全 功能 ? 支持多種 互連協(xié)議 ? 支持豐富 網(wǎng)絡(luò)協(xié)議 ? 支持 應(yīng)用層協(xié)議及業(yè)務(wù)特性 ? 支持 QoS ? 處理器 MPC8245 300MHz ? 轉(zhuǎn)發(fā)性能 110120KPPS ? NVRAM 128KB ? FLASH 32MB ? SDRAM 缺?。?128MB 最大： 256MB 采用 華為 S5510 為 核心交換機(jī) ，采用 10M 鏈路與路由器連接，與接入層交換機(jī)采用 100M 連接 。 Quidway AR 2880 主要功能及性能 ： Quidway AR2840/80 模塊化中心路由器是華為 AR 系列路由器中面向運(yùn)營(yíng)商和企業(yè)用戶(hù)的網(wǎng)絡(luò)產(chǎn)品，采用 32 位的微處理器技術(shù)，使用 VRP（通用路由平臺(tái)），提供了極其豐富的軟件特性，支持啞終端接入服務(wù)器和金融 POS 接入功能， 支持 SNA/DLSw、 VoIP 特性等，提供豐富的備份方案及 QoS 特性 。 現(xiàn)狀分析 由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大 、應(yīng)用不斷復(fù)雜、使用頻率的不斷增多 ，我 單位 網(wǎng)絡(luò)已經(jīng)變得復(fù)雜和難以管理 ，存在著極大的信息安全風(fēng)險(xiǎn) 。 隨著 IT 技術(shù)的飛速發(fā)展， 各種應(yīng)用的不斷豐富，國(guó)家?guī)状蟆敖稹弊痔?hào)工程的建設(shè)，電子商務(wù)、電子政務(wù)的不斷深入， 我單位 網(wǎng)絡(luò) 規(guī)模的不斷 擴(kuò) 大、 應(yīng)用 不斷增加 ，陸續(xù) 或即將擴(kuò)大網(wǎng)絡(luò)規(guī)模、增加多種業(yè)務(wù)系統(tǒng) ， 網(wǎng)絡(luò)和信息系統(tǒng)的使用頻率巨增，并將提供對(duì)外的資源服務(wù)，因此 ， 大大增加了病毒感染 、 網(wǎng)絡(luò)入侵 等危險(xiǎn) 。 XXXXXX 調(diào)查規(guī)劃院 信 息 安 全 建 設(shè) 方 案 () 成都 XXX 有限公司 Chengdu XXXX Information Technoloy Co., Ltd. 二 OO 八年十一月 文 檔 狀 態(tài) 文件狀態(tài) ［ ］草稿文件 ［ ］正式文件 ［ √ ］更改正式文件 文 件 標(biāo) 識(shí) LGYITS 當(dāng) 前 版 本 作 者 完 成 日 期 20201222 修訂歷史記錄 日期 版本 說(shuō)明 作者 2020113 根據(jù) 實(shí)際 需求 及進(jìn)一步發(fā) 展 描述完成方案草案 2020114 對(duì)方案中的問(wèn)題進(jìn)行修訂、完善 2020115 對(duì)方案中的問(wèn)題進(jìn)行修訂 提出三套不同檔次解決方案 對(duì) DMZ 區(qū)設(shè)計(jì)進(jìn)行修訂 2020116 對(duì)三套方案的產(chǎn)品及預(yù)算進(jìn)行調(diào)整 2020116 對(duì)第一套方案一、二階段進(jìn)行調(diào)整 完善對(duì)現(xiàn)在設(shè)備的分析 20201120 完成產(chǎn)品介紹內(nèi)容 目 錄 1 信息系統(tǒng)安全體系現(xiàn)狀概述 ....................................................................................... 1 現(xiàn)狀概述 ..................................................................................................... 1 現(xiàn)狀分析 ..................................................................................................... 1 拓?fù)?結(jié)構(gòu)說(shuō)明 .........................................