《石家庄石药集团药物研究院v2(网络和安全规划设计方案).doc》由会员分享,可在线阅读,更多相关《石家庄石药集团药物研究院v2(网络和安全规划设计方案).doc(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、石家庄石药集团药物研究院(中奇制药)网络与安全规划设计方案2010年12月23日第 17 页目 录第1章 背景概述3第2章 现状和需求分析42.1 现状分析42.2 需求分析4第3章 建设目标4第4章 整体方案设计54.1 建设原则54.2 建设依据54.3 建设思路64.4 方案设计84.4.1 网络层和网络安全设计84.4.1.1 网络区域划分84.4.1.2 网络VLAN规划84.4.1.3 网络IP地址规划84.4.1.4 网络安全设计94.4.1.5 网络设备部署94.4.1.6 网络线路设计104.4.2 系统层和系统安全设计104.4.2.1 系统层架构设计104.4.2.2 系
2、统层安全设计104.4.2.3 终端层和终端安全设计114.4.2.4 终端架构设计114.4.2.5 终端安全设计114.4.3 数据层和数据安全设计114.4.3.1 数据层架构114.4.3.2 数据安全设计12第5章 相关产品和技术介绍135.1 网络交换机135.2 服务器135.3 虚拟化终端135.4 IP SAN存储135.5 防火墙135.6 防病毒网关135.7 网络准入控制135.8 上网行为管理审计(利旧)135.9 网络版防病毒软件(利旧)135.10 内网安全管理和文档加密(利旧)135.11 数据备份软件13第1章 背景概述石药集团药物研究院隶属于石药集团,国家级
3、企业技术中心。主要进行一类、二类、三类、四类、五类药物研究,中药及天然药物研究。对外进行新药项目转让、项目合作,提供检测、工艺改进、产品推广、项目产业化合作。近期石药集团药物研究院准备搬迁到新的办公大楼,准备利用重新搭建网络平台的机会,对原有网络、系统与终端存在的安全问题一起梳理,希望最终能够搭建一套稳定、安全、高效的网络、系统、终端与数据平台。在整个网络与安全建设中药物研究院关注的一个重要问题是既要实现药物研究院机密数据的集中自动存储,又需要实现机密数据的安全保密。第2章 现状与需求分析2.1 现状分析目前石药集团药物研究院共有500多员工,其中200-300位实验室人员,其中内部计算机按用
4、途分类,分为三类:办公人员计算机、实验机与实验人员办公计算机。网络架构上分为办公外网与实验室内网,办公人员计算机与实验人员办公计算机都连接到办公外网,该网络与集团局域网互联,由集团统一出口访问互联网。实验机一般都为单台设备连接各自的实验仪器。目前办公外网采用了windows AD域环境,大部分计算机采用了虚拟化终端,并且在终端计算机上都安装了独立的两套安全程序:终端安全管理软件与文件加密客户端。2.2 需求分析石药集团药物研究院近期准备搬迁新办公大楼需要对原有网络与安全进行整体考虑设计与实施。搭建基础网络架构,满足11层办公大楼500多终端计算机的联网需求,同时要求办公人员计算机、实验区办公计
5、算机与实验计算机实现有效隔离;搭建基础服务器平台,主要部署windows AD域、DNS、文件服务器等;部署所有终端PC机,考虑采用较低成本的虚拟化终端或者无盘工作站。集中统一的机密数据存储架构,目前每天实验计算机上产生的数据都是采用人工方式通过移动硬盘方式存储到服务器上,这种方式日常人工维护成本较大;综合安全考虑:网络区域的有效隔离;网络架构的高可靠性;服务器架构的高可靠性;终端计算机的集中管理与核心数据的机密性保护。第3章 建设目标根据上述章节的现状与需求描述,我们明确本次项目建设目标,重新搭建一套稳定、安全、高效的网络系统平台,重点对实验计算机数据的安全保护,同时实现该数据能够实现自动的
6、集中存储与管理。具体建设目标如下:1、 建设一套安全、稳定、高效的基础网络平台;2、 搭建基础服务器平台;3、 部署终端计算机;4、 部署核心数据集中存储架构与数据备份平台,并制定有效数据保护管理制度。第4章 整体方案设计4.1 建设原则1、 完备性:安全方案的设计必须是充分而完备的,这是因为安全的木桶原理决定了一个网络的安全等级是由高度最低的那块木板决定的。2、 可靠性:在安全方案设计中,应该考虑保护措施的多重性,这是安全建设可靠性的重要表达。任何保护措施都不是十全十美的,对某个重要对象的保护,应该考虑多种措施互为补充,这样才不至于单点被突破则出现全盘崩溃的恶劣后果。3、 可行性:对安全方案
7、的设计不能只从理论角度出发,而应该考虑到工程实施的可行性,只有技术理论与实际操作紧密结合(比如产品的选型、安装配置等),这样的安全建设工程才具有真正的价值与意义。4、 可扩展性:安全方案的设计应该具有一定的灵活性,安全建设并非一成不变的模式,其动态发展的特征要求安全体系具备可扩展的特点。5、 经济实用性:安全方案的设计应该考虑到组织的实际承受能力,如果需要付出的代价比从安全方案中获得的利益还要多,它是失败的。6、 阶段性:安全方案的设计首先需要整体规划,但是具体安全实施都要回归到用户的需求,因此本方案的设计将紧紧围绕用户建设目标与具体需求上,并定义优先级,结合经济实用性原则,将整体安全规划设计
8、为几个阶段来实现。4.2 建设依据v 信息安全建设参考标准等 ISO/IEC 17799:2000信息安全管理实用规则 ISO/IEC 13335信息技术安全管理指南 ISO 7498-2信息处理系统开放系统互连基本参考模型-安全体系结构 SSE-CMM系统安全工程能力成熟模型 GB/T18336-2001信息技术 安全技术 信息技术安全性评估准则 GB/T17859-1999计算机信息系统安全等级保护划分准则4.3 建设思路计算机信息网络与信息系统安全是一项系统工程,它贯穿于众多的学科领域(包括软件、硬件、人力等),是一系列技术手段与相关管理措施的有机结合;同时安全又是动态的过程,客户的应用
9、在不断扩展、潜在的安全问题不断被发觉、攻击手段在不断发展,因此必须综合分析系统中存在的各种不安全因素(包括各种风险、脆弱性、威胁因素),然后根据实际的安全需求及投资进行相应的安全建设。网络的总体设计是网络建设的总体思路与工程蓝图,是搞好网络建设的核心任务。进行网络总体设计,首先,进行对象研究与需求调查,对单位的信息化环境进行准确的描述,明确系统建设的需求与条件;其次,在应用需求分析的基础上,确定单位Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用与管理等方面的目标;第三,确定网络拓朴结构与功能,根据应用需求、建设目标与单位主要建筑分布特点,进行系统分析与设
10、计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准与要求;第五,规划安排网络建设的实施步骤。信息安全纵深防御体系模型,它以组织的信息安全策略为指导,从防护、检测、响应、恢复四个层面进行信息安全建设,并通过相应的安全技术、安全产品、安全管理、安全服务的有机结合长期持续保证计算机信息网络与信息系统的安全。见下图:信息安全策略,是组织对信息安全的期望与组织关于安全方面的各种规定。而防护、检测、响应、恢复则是安全策略的实际实施。防护,是针对业已识别的安全风险,采取相应的安全防护措施(例如:为了防止未授权访问,需要身份识别措施;为了防止病毒危害,需要防病毒技术等)。
11、但是,信息技术在不断发展,攻击手段也在不断发展,防护措施没办法防止所有的侵入与破坏行为,因此,需要建立起一个能够在攻击者还没有来得及对网络进行破坏之前就能够检测到这种行为,或者在攻击者还未进行更深入破坏之前就可检测到攻击行为的机制,亦既建立检测机制。检测机制,就是检测别人正在对系统干什么或业已对系统干了什么的机制。当完成了检测之后,安全体系还必须对检测到的非法或危害行为进行响应,以阻止它的破坏、侵入或降低它的危害程度。计算机信息网络系统建设的根本目的就是在使用,因此,无论何时,当系统遭到危害、破坏时,必须有相应的恢复机制恢复系统的正常运行。这也是信息安全纵深防御体系的一个重要目标。防护机制、检
12、测机制、响应机制、恢复机制的有效实施,必须得通过安全技术、安全产品、安全管理、安全服务的结合来提供长期的持续保障。4.4 方案设计4.4.1 网络层与网络安全设计4.4.1.1 网络区域划分内部网络总体划分为四个区域:办公外网、实验办公网、实验网与内部服务器区域。1、 办公外网:所有办公人员计算机划分到该区域,该区域的安全级别最低,该区域计算机需要访问集团网络、互联网与内部服务器区域。2、 实验办公网:该区域部署了实验办公计算机,该区域安全级别较高,因为该区域计算机既需要访问集团网络、互联网、内部服务器,还需要处理一些实验数据,因此该区域计算机的管理难度最大;3、 实验网:该网络区域的组建主要
13、便于实验计算机每日生成数据的集中管理与保存。该区域与办公外网、实验办公网与内部服务器区域需要实现有效隔离。4、 内部服务器区域:该网络区域主要部署一些日常管理的服务器,如windows AD域控服务器,文件服务器与终端服务器。4.4.1.2 网络VLAN规划网络VLAN规划可以基于上述四个网络区域进行独立的VLAN划分:1、 办公外网区域,可以基于各个业务部门进行VLAN的划分;2、 实验办公网区域同样可以基于每个业务部门进行VLAN的划分;3、 实验网的VLAN划分可以基于两种思路,实验计算机都是可信的,可以划分到一个VLAN中,否则就是采用每一台实验计算机就是一个独立的VLAN,而且VLA
14、N间不可以互相访问。同时在该区域新增加一个VLAN用于数据共享区域,部署基于IP网络的存储设备。4、 内部服务器区域,该服务器区域都部署的是一些通用服务器,可以划分到同一VLAN中,该VLAN主要为办公外网与实验办公网提供服务。4.4.1.3 网络IP地址规划一个VLAN分配一段C类(254个IP地址可用)地址足够使用,因此可以每个VLAN分配一个C类,目前私网IP地址可以使用有10.0.0.0;172.16.0.0与192.168.0.0开始的IP地址段。因此我们可以任意采用以上上述三段IP地址做为自身网络IP地址规划。但是注意最好不要与石药集团总部的IP地址规划冲突(相同)。4.4.1.4
15、 网络安全设计1、 内部网络与集团互联出口网关安全设计石药集团药物研究院内网网络的出口将连接到集团核心交换机上,为保证数据流量双向访问控制,建议在出口网关处部署一台防火墙设备。防火墙的核心作用是针对不同安全级别区域之间的数据流实现访问控制。(可以利旧)2、 核心交换机的高可靠性设计核心交换机是内网所有终端计算机网络访问的最重要的设备,因为核心交换机上一般都配置很VLAN信息与IP地址等,因此核心交换机的瘫痪对内部所有网络活动基本都瘫痪。因此我们建议核心交换机采用双机热备的模式。3、 网络边界完整性设计为保证网络边界是完整的,没有被非法用户或者非授权用户通过物理链路连接到内部网络中来,我们建议采
16、用网络准入控制技术,来实现网络边界完整性的要求。保证连接到内部网络的所有终端计算机都是授权可信客户端,而非法客户端都无法连接到内部网络。4、 网络防病毒设计计算机病毒的防范目前市场上有两种成熟技术,一类是在网络中所有终端计算机上安全网络版杀毒软件,另一类则是在互联网网关处部署一台专业的房病毒设备。随着两类技术都逐步走向成熟,两类产品可以实现很好的互补效果。当任何一台计算机本地的杀毒软件没有及时更新到最新的病毒库的时候,当这个客户端通过互联网访问或者下载了一个计算机病毒程序,此时网关防毒强可以有效阻断该计算机病毒进入到内网。5、 网络审计网络行为审计产品的作用一方面满足政策性要求,如公安部82号
17、令要求所有互联网企业必须提供内网访问互联网60天的网络行为记录。另外一方面也可以有效阻断或控制内网计算机用户的非法访问互联网行为,如在上班时间进行P2P下载,在线视频。由于原来已经采购了一台上网行为管理设备,可以利旧。4.4.1.5 网络设备部署两台核心交换机构成整个内部网络的核心交换区域。两台核心交换机首先通过多条千兆光纤互相连接,其次分别通过千兆光纤线连接到各个接入层二层交换机。接入层交换机通过以太网线连接所有终端计算机与服务器。两台核心交换机上联一台接入层交换机,再上联防火墙、上网行为审计与网关房病毒产品。在核心交换机上配置所有VLAN,定义好VLAN之间的访问控制列表。4.4.1.6
18、网络线路设计核心交换机到各个楼层接入层交换机采用光纤线接入(垂直布线);各个楼层接入层交换机到各楼层的工位点采用超5类或者6类以太网线连接(水平布线)。4.4.2 系统层与系统安全设计4.4.2.1 系统层架构设计内部服务器主要应用有windows AD域、文件服务器与终端服务器。其中终端服务器的使用台数较多。目前服务器采用刀片加虚拟化架构的较多,但是该架构成本较高,另外我们系统服务器本身重要性没有如此高的要求,因此我们还可以采用传统的塔式或者机架式服务器架构即可。机架式服务器由于其占用机柜资源少,而成本与塔式服务器相当,因此成为我们本次项目的首选方案。4.4.2.2 系统层安全设计系统层安全
19、设计重点考虑系统的高可靠性。一般系统高可靠性有两种主流实现模式:HA双机与服务器负载均衡。系统的HA双机首先需要部署共享存储,另外需要在系统本身部署双机软件来实现,因此造价与成本较高,而且可扩展性较差。另外一种解决方案是负载均衡解决方案,可以通过专业负载均衡转发流量到后端多台服务器,实现单台服务器的单点故障问题。负载均衡的方案成本较低而且扩展性强。但是负载均衡解决方案也有一定不足,目前还无法实现对数据库服务器的负载均衡,因为受限于数据的同时写入问题。针对windows AD域服务器,我们无需采用HA双机或者负载均衡解决方案,仅需要部署两台服务器,配置为主备模式的ad域控服务器即可,同时需要所有
20、终端计算机的DNS服务器指向中配置两台AD域控服务器的IP地址即可。4.4.2.3 终端层与终端安全设计4.4.2.4 终端架构设计目前市场主流终端架构有独立PC机、无盘工作站与虚拟化终端。从节约成本与简化管理工作量角度来看,PC机的模式基本不予以考虑。综合对比无盘工作站与虚拟化终端: 无盘工作站要求前端硬件型号及配置一致,扩展性较差。而瘦客户机访问虚拟桌面时采用的是统一架构与协议,与瘦客户机及后端服务器品牌及型号均无要求。 无盘工作站与传统PC 的唯一不同就是将本地的硬盘移除,但用户数据仍会驻留在工作站的内存中,非常容易被窃取。而虚拟桌面的运算均驻留在数据中心的服务器上,保证了数据及应用的安
21、全性。 采用无盘工作站方式对客户端及服务器的资源要求均很高,当无盘工作站数量达到一定数量时,速度会变得缓慢,同时整体系统的稳定性不高,由此带来的维护成本也较高。因此综合如上因素:我们推荐针对办公计算机与试验办公计算机均采用虚拟化终端架构。但是针对试验计算机终端需要通过传统的com口连接试验仪器,而一般虚拟化瘦客户端机器都不具备这些接口。因此为试验室使用计算机我们还是采用传统的独立PC机终端模式。4.4.2.5 终端安全设计1、 针对办公计算机与实验办公计算机虽然采用了虚拟化终端架构,所有终端的实际操作系统与程序运行都在服务器上,但是还需要对终端进行防病毒、终端安全管理。对于试验办公计算机由于其
22、上还需要处理机密数据,还必须要部署文档加密防护程序。2、 针对实验计算机,我们需要考虑部署防病毒软件与终端安全管理软件。4.4.3 数据层与数据安全设计4.4.3.1 数据层架构该数据层架构主要是针对实验计算机上所有机密数据采用何种数据存储而言。首先我们明确要对实验计算机每日生成的机密实验数据需要进行集中存储,而且要实现自动存储。一般来说,会被企业采用的存储架构,可分为3种,以下作简单的说明:一、DAS:在数字数据尚未大量暴增的早期,比较简单的存储架构就是采用直接附加存储(Direct Attached Storage;DAS)。所有的存储装置,包括硬盘、光盘、软盘、随身碟等存储设备,皆附属于
23、计算机本身,这些由个人使用的计算机延伸出来的装置,透由计算机连接到服务器上,就形成1个简单的存储架构。现今企业数据的复杂化,种类也渐趋多元,伴随着异质平台互相分享文件的需求,也就需要更为完整的存储架构,作为理想的解决方案。不过,只要企业数据量增加,就必须另外购买存储设备与服务器,因为这些零散的服务器大大增加管理者的工作份量。由于DAS多是透过SCSI硬盘进行存储,在硬盘的I/O表现比网络慢的情形下,DAS架构效能及存取速度也的确是1个问题,因此透过网络进行存储的方式,成为企业采取的主要存储架构,而NAS与SAN又为企业最常用的2种。二、NAS:运用以太网络所建构的局域网络,来串连公司内部的存储
24、设备,就是网络附加存储(Network Attached Storage;NAS)的基本精神。简单说来,NAS就是网络硬盘的概念,透过1台NAS主机来管理数据,以减少在个人使用者端,所必须花费的存储设备购买成本。NAS已经是相当成熟且便利的解决方案,对于进行文件式的数据存取,也相当方便,不过,由于是透过IP网络进行数据的存取,走的是开放架构,代表流窜于网络上的病毒、黑客攻击,极有可能造成网络磁盘驱动器的瘫痪。此外,当终端使用者人数增加,多人同时存取的时候,就会造成服务器的过度负担,甚至当机,这些状况往往会延误到前端使用者的工作进行。三、SAN:所谓的存储局域网络(Storage Area Ne
25、twork;SAN),是1种更为专门、精准的存储架构。透过光纤信道,以及光纤交换机(switch)、HBA卡、与存储设备的串接,自成1个网络。与NAS不同的是,为了保护数据的完整性,SAN完全藉由光纤网络将网络存储元素串起来,并自成1个系统。不会受到网络频宽质量与服务器速度的限制。因此在本次项目中的数据存储架构中,我们推荐IP SAN存储架构。将一个大的存储空间为每个实验计算机映射为一定空间大小的本地磁盘,让所有生成的实验数据保存到该空间中。4.4.3.2 数据安全设计1、 数据加密保护通过每台实验计算机上安装加密程序,对存储设备对应本地的磁盘空间进行全盘加密,这样保存在上面的文件即为密文。只有安装了加密程序并且被授权的计算机才有权限以明文方式看到对应的文档。2、 数据备份异地备份通过一台备份服务器与备份软件对IP SAN存储设备中的数据每天进行数据备份。可以采用离线备份如磁带机,或者采用另外一台磁盘阵列存储设备。第5章 相关产品与技术介绍5.1 网络交换机5.2 服务器5.3 虚拟化终端5.4 IP SAN存储5.5 防火墙5.6 防病毒网关5.7 网络准入控制5.8 上网行为管理审计(利旧)5.9 网络版防病毒软件(利旧)5.10 内网安全管理与文档加密(利旧)5.11 数据备份软件