《某企业信息化建设技术方案36191.docx》由会员分享,可在线阅读,更多相关《某企业信息化建设技术方案36191.docx(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 XX企业园区信息化建设技术方案Evaluation Warning: The document was created with Spire.Doc for .NET.XX企业新园区区信息化建设技术术方案成都思蓝网络科科技有限公司司2012.3目 录前 言3网络子系统441.1 XXX企业新园区区建设背景41.2 用户户需求分析41.3 网络络的分层设计计原则61.3.1 核心层 Coore Laayer61.3.2 分布层 Diistribbutionn Layeer61.3.3 接入层 Acccess Layerr71.4 网络络系统方案设设计71.4.1 XX企业网网络的设计目目标71
2、.4.2 网络建设原原则要求71.5 园区区网IPV66部署和应用用设计91.5.1 设计原则91.5.2 设计目标101.5.3 高级应用服服务101.6 网络络结构设计131.7 园区区网络安全规规划设计151.8 园区智能无无线网络规划划设计231.8.1 设计原则231.8.2 设计目标251.8.3 无线网络部部署介绍261.8.4 无线网络建建设后的目标标301.8.5 产品要求32前 言目前,全球已掀掀起一股信息息高速公路规规划和建设的的高潮,作为为其雏形,国国际互联网(IInternnet)上相相连的计算机机已近达数千千万台,全球球有数亿人在在Interrnet上进进行信息交换
3、换和各种业务务处理。Innterneet上积累了了大量信息资资源,这些资资源涉及人类类面对和从事事的各个领域域、行业及社社会公用服务务信息。成为为信息时代全全球可共享的的最大信息基基地。由于计计算机网络技技术和通信技技术的飞速发发展,人们对对信息的要求求越来越强烈烈,“网络就是计计算机”的说法被全全世界普遍接接受。各国纷纷纷宣布建设设本国的信息息高速公路,全全球信息一体体化局面已指指日可待。在数字化、信息息化不断发展展的今天,各各行各业都开开始组建自己己的网络系统统,同国际接接轨,希望能能与那些同行行业的国际公公司抗衡。作作为XX企业业也不甘落后,在新园区建设中向着数数字化、信息息化、网络化化
4、方面发展,并并建立一套完完整的网络系系统,为自己己服务。 在信息化越来越越发达的今天天,XX企业业利用网络来来统一各子系系统进行统一一化管理是大大趋势。此次次项目中,贵贵单位基于网络络子系统就包包括:网络设设备子系统、周界监控子系统、无线网络系统等。网络子系统1.1 XXX企业新园区建设背景景重庆市引进的最最大外资项目目世界化化工巨头巴斯斯夫与市化医医集团合作投投资的MDII(二苯基甲甲烷二异氰酸酸酯)一体化化项目。MDI是生产聚聚氨酯的重要要原材料,被被广泛应用于于汽车仪表盘盘、建筑外墙墙保温层及冰冰箱、运动鞋鞋等多类产品品的生产。XX企业一直非非常重视信息息化建设,网网络中心是XXX企业重
5、要要的信息运维维支撑机构,负负责XX企业业信息化建设设与运行,承承担着XX企企业数字化的研究究、规划、建建设、运行、维维护、用户服服务与培训等等重要任务。在在多年的信息息化研究与实实践中,XXX企业网络中中心全国同行行一道推动着着这一行业的的信息化的发发展。目前,XX企业业新园区没有组建网络络,根据贵方方要求,需要要对园区建筑物部署网络、语音、网周周界监控、无线网网络覆盖,实实现每个点位位的网络接入入。实现园区信息化统统一管理,资资源共享。1.2 用户户需求分析本次信息化建设设还需要把XXX企业所有有上网帐号进进行统一管理理,因此,在在此次网络建建设中必须满满足对三个网网络的可控可可管;功能包
6、包括:流控、认认证等功能。从园区网安全方方面考虑,本本次信息化建建设必须要有有安全设备来来保证网络安全。围绕贵企业各个个部门职能、业业务范围及工工作内容进行行综合分析,才才能真正了解解贵单位园区的网络系系统建设要求求。园区职能分析根据我们考查了了解,贵单位主要工作作内容:企业管理基本职职能: 1)XX企业信信息化业务开开展 2)XX企业信信息化管理3)XX企业教教职工人员业业务办公4)园区安全保保障5)园区人员管管理随着计算机多媒媒体和网络技技术的不断发发展与普及,网网络信息系统统的建设,是是非常必要及及可行。主要要表现在:n 当前网络信息系系统已经发展展到了与国内内互联、国际际互联、静态态资
7、源共享、动动态信息发布布和协作工作作的阶段,发发展企业信息现代代化的建设提提出了越来越越高的要求。n 随着各个企业对对物信息量依依托的不断增增多,使社会、大大众和管理部部门对信息计计算机管理和和信息服务的的要求越来越越强烈。n 随着经济发展,我我们各个企业业对信息化的的投入不断加加大;计算机机技术的飞速速发展,使相相应产品价格格不断下降;同时人们的的认识水平和和经济实力不不断提高。大大量计算机网网络设备进入入公司和单位位。建立起高速智能能化、集成化化、结构化、扩扩展性强的计计算机网络系系统,建立能能满足企业管理工作作需要的软硬硬件环境,开开发各类信息息库和应用系系统,实现网网上办公、网网上业务
8、、开开展园区日常监管管的工作,为为企业提供充分分的网络服务务。1.3 网络络的分层设计计原则从逻辑上,大型型网络可分为为核心层、分分布层和接入入层,每层都都有其特点。层层次化设计的的优点可以总总结为如下几几点:l 可扩展性:因为为网络可模块块化增长而不不会遇到问题题;l 简单性:通过将将网络分成许许多小单元,降降低了网络的的整体复杂性性,使故障排排除更容易,能能隔离广播风风暴的传播、防防止路由循环环等潜在的问问题;l 设计的灵活性:使网络容易易升级到最新新的技术,升升级任意层次次的网络不会会对其他层次次造成影响,无无需改变整个个环境;l 可管理性:层次次结构使单个个设备的配置置的复杂性大大大降
9、低,更更易管理。1.3.1 核心层 CCore LLayer核心层为下两层层提供优化的的数据输运功功能,它是一一个高速的交交换骨干,其其作用是尽可可能快地交换换数据包而不不应卷入到具具体的数据包包的运算中(ACL,过过滤等),否否则会降低数数据包的交换换速度。1.3.2 分布层 DDistriibutioon Layyer分布层提供基于于统一策略的的互连性,它它是核心层和和访问层的分分界点,定义义了网络的边边界,对数据据包进行复杂杂的运算。在在楼宇网络环环境中,分布布层主要提供供如下功能:l 地址的聚集l 工作组的接入l 广播域/多目传传输域的定义义l Inter VVLAN路由由l 介质的转
10、换l 安全控制1.3.3 接入层 AAccesss Layeer接入层的主要功功能是为最终终用户提供对对网络访问的的途径。本层层也可以提供供进一步的调调整,如Acccess-list Filteering等等。在贵方网网络环境中,接接入层主要提提供如下功能能:l Shared Bandwwidthl Switcheed Banndwidtthl MAC Layyer Fiilteriing(poossiblly)l Microseegmenttationn在广域网环境中中,接入层主主要提供通过过Framee Relaay、ISDDN、Leaased LLine连入入远程节点。1.4 网络络系统
11、方案设设计1.4.1 XX企业网络络的设计目标标1. 新一代园区网要要以实现有线线、无线的网网络融合;实实现视频、语语音、数据业业务的融合;实现基于多多平台、多协协议的IP标标准化管理融融合为建设目目标。2. 要以服务为中心心,以人(用用户)为本,以以提高XX企企业核心竞争争力;建设智智能融合、面面向服务的新新一代数字园园区为目标。3. 更加有效支持XXX企业的科科研、管理、生生产等各项活活动,创造和和谐的园区环境,促促进产品质量量、科研水平平、管理效率率的提高,促促进XX企业业的改革与发发展,促进高高水平企业建建设。4. 可以实现网络接接入方式的融融合、网络业业务的融合、网网络管理方式式的融
12、合。5. 从而构建安全、稳稳定、高效、协协调、整合的的、信息资源源丰富的、集集成化的数字字园区综合信息息服务平台。1.4.2 网络建设原原则要求随着现代计算机机应用的高速速发展,特别别是诸如图形形、语音、视视频等多媒体体信息和技术术在管理信息息系统、科研研设计等领域域的广泛应用用,为网络平平台的设计提提出了更高的的要求。为了了更好地满足足用户的需求求,保证系统统能正常稳定定运行,在较较长的时间内内不落后,在在本网络系统统方案设计中中,我们认为为应当把握以以下几个原则则:1、稳定性只有运行稳定的的网络才是可可靠的网络,而而网络的可靠靠运行取决于于诸多因素,如如网络的设计计,产品的可可靠,而选择择
13、一个具有运运营此类网络络规模经验的的网络合作厂厂商则更为重重要。要求有有物理层、数数据链路层和和网络层的备备份技术。2、高带宽为了支持数据、话话音、视像多多媒体的传输输能力,在技技术上要到达达当前的国际际先进水平。要要采用最先进进的网络技术术,以适应大大量数据和多多媒体信息的的传输,既要要满足目前的的业务需求,又又要充分考虑虑未来的发展展。为此应选选用高带宽的的先进技术。3、先进性网络硬件、软件件平台的先进进性,要注意意选择性能价价格比好的先先进技术和硬硬件和软件组组网,保证系系统的基础环环境十年不落落后。4、标准性和开开放性选择统一性的网网络结构与软软件硬件平台台,有利于系系统的建立与与开发
14、。制定定信息管理的的规范,组织织有关人员对对管理信息系系统进行系统统分析,制定定数据流图和和数据结构,为为信息系统的的开发奠定基基础。为了实实现与各种网网络互访的要要求,要选择择开放的网络络体系结构,既既要选择当前前的主流产品品,又要具有有开放性,以以利于今后的的扩充。5、可扩展性系统要有可扩展展性和可升级级性,随着业业务的增长和和应用水平的的提高,网络络中的数据和和信息流将按按指数增长,需需要网络有很很好的可扩展展性,并能随随着技术的发发展不断升级级。易扩展不不仅仅指设备备端口的扩展展,还指网络络结构的易扩扩展性:即只只有在网络结结构设计合理理的情况下,新新的网络节点点才能方便地地加入已有网
15、网络;网络协协议的易扩展展:无论是选选择第三层网网络路由协议议,还是规划划第二层虚拟拟网的划分,都都应注意其扩扩展能力。6、容易控制管管理因为上网用户很很多,如何管管理好他们的的通信,做到到既保证一定定的用户通信信质量,又合合理的利用网网络资源,是是建好一个网网络所面临的的首要问题。7、经济性充分利用原有的的软件、硬件件资源,减少少投资浪费,做做到高性能价价格比。8、安全性网络系统应具有有良好的安全全性,保证数数据的安全及及网络使用的的安全。由于于规划贵方网络络连接园区内部所有有用户,安全全管理十分重重要。应支持持VLAN的的划分,并能能在VLANN之间进行第第三层交换时时进行有效的的安全控制
16、,以以保证系统的的安全性。9、符合IP发发展趋势的网网络在当前任何一个个提供服务的的网络中,对对IP的支持持服务是最普普遍的,而IIP技术本身身又处在发展展变化中,如如IpV6,IIP QoSS,IP OOver SSONET等等等新兴的技技术不断出现现,贵方网络必须须跟紧IP发发展的步伐,也也就是必须选选择处于IPP发展领导地地位的网络厂厂商。在后面的网络技技术选型和系系统方案中,以以上设计原则则和思想都将将会被贯彻始始终。1.5 园区区网IPV66部署和应用用设计1.5.1 设计原则1) 保证现有IPvv4应用的正正常应用 现有IPv4网网络中的应用用已经支持了了大量的用户户,IPv66网
17、络要对现现有IPv44应用提供支支持方案,不不能对现有的的业务造成影影响,这种影影响包括业务务性能的影响响、网络可靠靠性的影响以以及网络安全全性的影响等等多方面。 2) 网络要具有扩展展性IPv6技术依依然在发展之之中,IPvv6网络的建建设也不可能能一步到位,会会是一个逐步步建设完善的的过程,因此此当前的IPPv6网络方方案要易于扩扩展,方便将将来的网络升升级。3) 最大限度地保护护既有投资在进行IPv66网络方案设设计时,需要要结合现有园园区网的实际际情况,考虑虑到现有网络络的既有投资资,提出很好好地保护既有有投资的网络络解决方案。4) 要保证网络的稳稳定性和可靠靠性和IPv4网络络设备相
18、比,现现有IPv66网络设备还还处于逐步成成熟和完善之之中,有可能能会影响IPPv6网络的的稳定性和可可靠性,因此此推荐的IPPv6网络方方案要能够充充分保证网络络的稳定性和和可靠性,保保证不会对网网络的服务质质量有明显的的影响。5) 网络方案要能够够发挥IPvv6的技术优优势 IPv6技术的的提出主要是是为了解决IIP地址空间间不足的问题题,但也增加加了一些其他他功能,比如如网络安全性性支持能力、网网络组播等。在在组网技术方方案中应该考考虑如何使这这些技术优势势得以发挥。 6) 网络方案设计要要考虑周全 在设计网络方案案时,一方面面要考虑到IIPv4/vv6长期共存存,另一方面面也要考虑到到
19、将来网络全全部采用IPPv6的可能能。因此,网网络方案要注注意所选技术术能够支持网网络的平滑过过渡,不会形形成将来网络络过渡的新障障碍。 7) 支持IPv4业业务与IPvv6业务的互互通 网络方案要实现现IPv4网网元与IPvv6网元的互互联,可以分分别支持IPPv4业务和和IPv6业业务,同时要要考虑将来能能够支持IPPv4业务与与IPv6业业务的业务层层面的互通。8) 要考虑IPv66网络对用户户认证方式的的支持 目前在IPv44网络中,各各企业针对园区网都有各各自不同的认认证方案,在在设计IPvv6网络方案案时要充分考考虑对认证方方案的支持。1.5.2 设计目标网络实现IPvv4网与IP
20、v66网的互联,可可以分别支持持IPv4业业务和IPvv6业务,在在企业内可以以实现IPVV6的基础应应用和高级应应用,使XXX企业在IPPV6的教学学科研和应用用上保持学术术和技术应用用的先进性。1.5.3 高级应用服服务园区网门户系统统园区网综合信息息门户系统是是面向用户的大型网网络综合应用用系统。门户户对园区网内的信信息和应用系系统进行统一一的管理和整整合,集中控控制用户对信信息和应用系系统的访问,为为用户提供统统一的访问入入口。同时,门门户会根据用用户的身份提提供满足其需需求的特定信信息和应用系系统,为用户户提供完善的的个性化服务务。随着IPPv6时代的的来临,各种种信息化、网网络化设
21、备的的广泛应用,也也充分的使用用户享受到信信息整合的个个性化应用服服务。l 资源的管理和整整合为实现WEB资资源的统一访访问,综合信信息门户需要要管理各种WWEB资源的的访问地址、访访问方式、访访问权限和所所提供的服务务等相关信息息;为让园区区网用户可通通过门户访问问这些资源,门门户还需管理理用户信息,并并对不同用户户访问不同资资源时所拥有有的操作权限限进行统一的的管理,提供供多层次和灵灵活权限管理理策略。同时,门户提供供的不仅是各各种资源的集集合,还要根根据用户的需需求对资源进进行整合,包包括将独立的的应用系统进进行应用层次次上的松散集集成,以服务务的形式提供供给用户使用用;将分布的的信息进
22、行分分类、编目,以以索引方式提提供给用户访访问;另外,用用户可以通过过各种IPvv6终端访问问门户系统,以以进行信息资资源的查询和和管理。l 单点登录、应用用漫游在基于应用的访访问模式下,访访问控制由各各资源系统独独立完成。统统一访问入口口应用后,需需要将安全访访问控制集中中在门户中进进行,由门户户统一控制用用户对资源的的访问。因此此门户具有单单点登录、应应用漫游等特特征。l 个性化的访问环环境门户系统改变了了原有应用系系统的服务模模式。原有应应用系统实现现的是面向功功能的服务模模式,每个应应用系统提供供的功能只能能满足特定的的需求。门户户提供的是面面向人的服务务模式。在这这种服务模式式下,门
23、户可可以提供个性性化访问环境境。个性化的的访问环境包包括个性化的的界面和个性性化的资源整整合。视频直播应用利用IPv6组组播协议开展展高清视频和和电视节目的的传送,使每每一个用户可可以享受到高高清视频服务务,更充分的的享受到下一一代互联网带带来的利益。通通过C/S或或B/S模式式的公共视频频直播系统,可可以实现用户户自主进行视视频直播,不不要需专业人人员的维护,只只需要用户通通过浏览器或或客户端登录录专用的公共共视频直播服服务器,通过过门户系统进进行身份确认认和授权,用用户可以很方方便的利用该该系统,将自自己现场活动动和各种文档档在网上进行行直播。视频源的获取视频源的获取需需要通过两个个手段来
24、获取取,首先是直直播视频的获获取。通过模模拟或数字的的视频摄像设设备,获取实实时的视频数数据,并将视视频数据通过过直播机的视视频采集卡进进行采集,通通过直播机进进行视频的实实时处理和压压缩,并将压压缩后数据通通过视频直播播服务器发送送到IPv66网络中,供供用户实时在在线观看。第二种视频数据据的获取是非非实时的视频频文件,视频频提供者通过过在自己的终终端设备上制制作完成视频频资料,并发发送到视频服服务器上,然然后视频服务务器将需要的的视频数据进进行压缩转换换,并通过视视频直播服务务器将视频数数据数据发送送到IPv66网络中,供供用户实时在在线观看。视频数据的分发发为了满足未来对对视频直播服服务
25、的需要,视视频服务可采采用基于P22P的模式进进行视频数据据的分发和传传送,为用户户提供更优质质的视频服务务。通过基于于P2P的视视频分发模式式,极大地降降低了对视频频服务器性能能和网络的消消耗。在园区区网内部,所所有的视频接接收端也是视视频的服务端端,所有用户户对等的享有有由视频服务务器分发的视视频数据。园园区网中的所所有参与视频频接收的用户户同时也将成成为视频数据据的提供者,用用户在接收视视频数据的同同时,也在利利用空闲的资资源为其他用用户提供视频频数据,充分分的保证了高高质量视频数数据实时的分分发到每一个个需要的用户户端。极大的的提高了视频频直播的服务务质量。另外外,采取IPPv6组播方
26、方式分发也可可以保证网络络带宽不会被被重复的数据据所浪费。对于有多个园区区互联的XX企企业,对视频频直播服务提提出了更高的的要求,需要要能够为多园园区的视频直直播用户提供供高质量的视视频直播服务务。为了满足足多园区视频直播播服务的需要要,采用应用用层组播技术术(ALM)及及Interrnet间接接访问基础结结构技术等方方式,不仅为为XX企业内部部,同时可以以为企业外的的合作伙伴、外外部用户提供供基于P2PP的视频直播播服务。通过过应用层组播播技术的引入入,由用户端端系统来实现现组播转发的的功能,不仅仅有效地减低低了服务器的的性能消耗,同同时可以有效效地降低服务务器负载和带带宽的使用。同时,通过
27、建立立可控管的IIPv6组播播服务系统实实现视频直播播管理和控制制,能够对需需要接收视频频数据的用户户进行有效的的管理,并在在未来提供更更高质量的服服务的同时,可以获得良好的收益回报。高清视频会议应应用l 高清视频会议系系统高清视频会议系系统与高清电电视不同,高高清电视是单单向广播的,而而高清视频会会议则是双向向、互动、实实时的传输过过程。高清电电视广播仅需需要保持固定定的信号质量量,对延时并并不敏感,而而视频会议由由于需要双向向交互,而过过多的延时和和抖动会增加加语音重叠、视视音频不同步步、交互等待待时间过长等等问题的出现现。利用高速速的下一代互互联网实现高高清视频会议议,是IPvv6园区网
28、的一个个亮点应用。因此在IPvv6园区网的QoS控控制中,应对视频会议议类型的数据据流定义了最最高的优先级级别,以保证证视频会议信信号的实时传传输。目前高清视频会会议系统普遍遍采用硬件方方式予以实现现。在各个重重要接入点,可部署具有硬件压缩/解压功能的编解码器,能够有效地实现基于IPv6环境下高清多点视频会议的召开,为XX企业科研团队的及时沟通和大型网络会议的召开提供有力的保障。l 超高清远程视频频传输系统目前有些企业已已和国外大企业积极合作作,开展基于于国际专线的的超级高清视视频信号传输输。现在该传传输研究项目目正在积极开开展之中,届届时将实现超超高清全景播播放。 IPv6网格格技术IPv6
29、网格是是继传统因特特网、Webb之后,信息息革命的第三三大浪潮,可可称之为第三三代因特网。如如果说传统因因特网实现了了计算机硬件件的连通,WWeb实现了了网页的连通通,网格则是是试图实现互互联网上所有有资源的全面面连通,即把把整个因特网网整合成一台台巨大的超级级计算机,实实现计算资源源、存储资源源、数据资源源、信息资源源、知识资源源、专家资源源、IPv66设备资源等等资源的全面面共享。IPPv6网格因因此被看成是是未来的互联联网技术。IIPv6网格格研究的一个个共同点是如如何消除信息息孤岛和知识识孤岛,实现现包括信息、知知识在内的各各种资源的智智能共享。1.6 网络络结构设计考虑到贵企业此此次
30、实施为新新园区的网络建建造,根据贵贵方要求,我我们设计贵园区网络核心心交换机放置置在核心机房房。此外,园区还有有N个功能区,各各个功能区各各设置一个汇汇聚层交换机机,用于汇聚聚本区域内的的所有接入层层交换机,再再通过光纤连连接到核心机机房。结合园区信息中中心要求及相相关规范技术术文件,计算算机网络系统统网络建设成成为主干最高高可达100000Mbps,11000Mbps速速度到用户桌桌面的高速网网络。网络拓扑图园区网络系统设设计:1、核心设备高高背板转发、拥拥有高带宽、高高背板、提供供高可靠性。2、各区域和核核心之间均采采用万兆光缆连接接。3、核心设备部部署于中心机机房、接入设设备部署于各各楼
31、层弱电井井。4、每个区域内内至少都部署署一台汇聚交交换机用于本本区域内点位位汇聚。5、同一栋楼内内弱电井间均均采用光纤连接。6、周界安防监监控采用IPP监控设备,数数据传输采取取就近引线。(从从就近的多媒媒体信息箱引引接数据线)1.7 园区区网络安全规规划设计企业园区网的安安全建设可以以用短板效应应来说明,一一个小小的安安全隐患,就就会影响到整整个园区网的安全全建设的全局局。所以园区区网的安全建建设需要全面面考虑、系统统规划。园区网安全现状状原因分析l 网络结构单一和和设备防护技技术欠缺网络目前为单核核心结构,相相应作为骨干干区域的设备备级别的保护护技术较少。如如CPU的硬硬件保护,设设备防D
32、OSS攻击等功能能。l 无法进行有效的的身份管理园区网缺少用户户身份认证机机制,外来用用户、非法用用户随意接入入;缺少可控控的身份集中中认证系统,对对用户进行管管理难度大;用户账号存存在被盗用的的风险,安全全审计无法有有效进行。l 无法保证用户终终端合法性Windowss系统补丁未未更新,系统统存在致命漏漏洞;没有按按规定安装杀杀毒软件及防防火墙,成为为病毒和木马马的温床;随随意安装违禁禁软件,不规规范使用网络络;上述问题题造成了病毒毒和攻击在园园区网内的泛泛滥,影响正正常应用的开开展。l 内网安全无法有有效控制70以上威胁胁网络安全的的攻击行为都都是来自园区区网内用户;内网防御能能力弱,病毒
33、毒、木马泛滥滥;“合法用户”的“非法行为”危害巨大;常规手段难难以及时发现现并阻断攻击击行为;发生生的安全事件件不能审计到到人,无法进进行有效处理理。安全网络设计原原则根据防范安全攻攻击的安全需需求、需要达达到的安全目目标、对应安安全机制所需需的安全服务务等因素,参参照SSE-CMM(系系统安全工程程能力成熟模模型)和ISSO177999(信息安安全管理标准准)等国际标标准,综合考考虑可实施性性、可管理性性、可扩展性性、综合完备备性、系统均均衡性等方面面,网络安全全防范体系在在整体设计过过程中应遵循循以下9项原原则: 1) 网络信息安全的的木桶原则 网络信息系统是是一个复杂的的计算机系统统,它
34、本身在在物理上、操操作上和管理理上的种种漏漏洞构成了系系统的安全脆脆弱性,尤其其是多用户网网络系统自身身的复杂性、资资源共享性使使单纯的技术术保护防不胜胜防。攻击者者使用的“最易渗透原原则”,必然在系系统中最薄弱弱的地方进行行攻击。因此此,充分、全全面、完整地地对系统的安安全漏洞和安安全威胁进行行分析,评估估和检测(包包括模拟攻击击)是设计信信息安全系统统的必要前提提条件。安全全机制和安全全服务设计的的首要目的是是防止最常用用的攻击手段段,根本目的的是提高整个个系统的安安全最低点的安全性能能。 2) 网络信息安全的的整体性原则则 要求在网络发生生被攻击、破破坏事件的情情况下,必须须尽可能地快快
35、速恢复网络络网络中心的的服务,减少少损失。因此此,信息安全全系统应该包包括安全防护护机制、安全全检测机制和和安全恢复机机制。安全防防护机制是根根据具体系统统存在的各种种安全威胁采采取的相应的的防护措施,避避免非法攻击击的进行。安安全检测机制制是检测系统统的运行情况况,及时发现现和制止对系系统进行的各各种攻击。安安全恢复机制制是在安全防防护机制失效效的情况下,进进行应急处理理和尽量、及及时地恢复信信息,减少供供给的破坏程程度。 3) 安全性评价与平平衡原则 对任何网络,绝绝对安全难以以达到,也不不一定是必要要的,所以需需要建立合理理的实用安全全性与用户需需求评价与平平衡体系。安安全体系设计计要正
36、确处理理需求、风险险与代价的关关系,做到安安全性与可用用性相容,做做到组织上可可执行。评价价信息是否安安全,没有绝绝对的评判标标准和衡量指指标,只能决决定于系统的的用户需求和和具体的应用用环境,具体体取决于系统统的规模和范范围,系统的的性质和信息息的重要程度度。 4) 标准化与一致性性原则 系统是一个庞大大的系统工程程,其安全体体系的设计必必须遵循一系系列的标准,这这样才能确保保各个分系统统的一致性,使使整个系统安安全地互联互互通、信息共共享。 5) 技术与行政管理理相结合原则则 安全体系是一个个复杂的系统统工程,涉及及人、技术、操操作等要素,单单靠技术或单单靠管理都不不可能实现。因因此,必须
37、将将各种安全技技术与运行管管理机制、人人员思想教育育与技术培训训、安全规章章制度建设相相结合。 6) 统筹规划,分步步实施原则 由于政策规定、服服务需求的不不明朗,环境境、条件、时时间的变化,攻攻击手段的进进步,安全防防护不可能一一步到位,可可在一个比较较全面的安全全规划下,根根据网络的实实际需要,先先建立基本的的安全体系,保保证基本的、必必须的安全性性。随着今后后随着网络规规模的扩大及及应用的增加加,网络应用用和复杂程度度的变化,网网络脆弱性也也会不断增加加,调整或增增强安全防护护力度,保证证整个网络最最根本的安全全需求。 7) 等级性原则 等级性原则是指指安全层次和和安全级别。良良好的信息
38、安安全系统必然然是分为不同同等级的,包包括对信息保保密程度分级级,对用户操操作权限分级级,对网络安安全程度分级级(安全子网网和安全区域域),对系统统实现结构的的分级(应用用层、网络层层、链路层等等),从而针针对不同级别别的安全对象象,提供全面面、可选的安安全算法和安安全体制,以以满足网络中中不同层次的的各种实际需需求。 8) 动态发展原则 要根据网络安全全的变化不断断调整安全措措施,适应新新的网络环境境,满足新的的网络安全需需求。 9) 易操作性原则 首先,安全措施施需要人为去去完成,如果果措施过于复复杂,对人的的要求过高,本本身就降低了了安全性。其其次,措施的的采用不能影影响系统的正正常运行
39、。安全网络设计目目标为了维护网络安安全和用户自自身利益的考考虑,在全网网部署安全防防护体系。达达到内网尽量量的干净,从从而杜绝现网网频繁出现的的ARP欺骗骗和病毒泛滥滥情况。从而而确保企业内内网络的安全全、稳定、可可靠。1) 确保网络设备安安全网络设备和相应应系统是网络络架构的基础础,一旦网络络设备崩溃和和出现软故障障,则网络造造成不可用等等高危事故,因因此网络设备备的安全保护护是安全网络络的基础。2) 确保网络数据流流安全安全系统在园区区网内建立起起网络通信防防护体系,对对网络数据流流进行实时监监控,侦测并并隔离危险网网络行为。建建立全网立体体防御ARPP欺骗功能,从从可能遭受AARP欺骗攻
40、攻击的三个层层面出发全面面防治ARPP欺骗带来的的危害。3) 确保用户身份安安全建立成熟可靠的的网络身份管管理体系,确确保入网用户户身份的合法法有效,将非非法用户隔离离在内网大门门之外。,对对每一个试图图对接入内网网的用户,都都要经过安全全系统的身份份合法性验证证,包括用户户的账号、密密码、IP等等关键信息。只只有当用户提提供了合法有有效的身份信信息之后,才才能允许正常常接入并使用用网络。4) 确保用户终端安安全通过建立用户终终端安全防护护体系,确保保入网用户主主机终端的安安全。安全系系统能够通过过和多家杀毒毒软件的联动动,强制入网网用户必须正正常安装、运运行指定的杀杀毒软件。安安全系统能够够
41、与内网的WWSUS服务务器进行联动动,引导用户户使用WSUUS的服务进进行Winddows补丁丁自动更新,帮帮助内网的用用户主机及时时更新操作系系统补丁,避避免因为操作作系统漏洞带带来的安全隐隐患威胁。保保护园区网内用户户终端的安全全。5) 确保远程VPNN用户访问网网络的安全企业外办公和差差旅用户需要要访问企业内内资源时,认认证技术和VVPN技术则则需要良好的的配合,保证证VPN用户户的访问网络络行为能够监监控和内网的的安全。6) 确保web 服服务的安全企业的WEB 应用相当丰丰富,对于对对外宣传的WWEB 网站站则需要进行行精心防护,防防止篡改网页页并造成不良良的公示效应应。安全网络方案
42、设设计依据国家信息安安全等级保护护体系的要求求,全面规划划园区网的安全全建设。使之之可以全面衡衡量园区网安全建建设的情况,保保证了园区网的安全全建设有体系系、有步骤的的完成。国家信息等级保保护体系主要要包含了:技技术要求和管管理要求。技术要求从物理理安全、网络络安全、主机机安全、应用用安全和数据据安全几个方方面提出;管管理要求从安安全管理制度度、安全管理理机构、人员员安全管理、系系统建设管理理和系统运维维管理几个方方面提出,技技术要求和管管理要求是确确保信息系统统安全不可分分割的两个部部分。本方案结合企业业内认证系统统和业界企业业采用和推荐荐的较为成熟熟先进的安全全理念进行设设计。本方案案包含
43、网络设设备和架构安安全、主机安安全、应用安安全、网络安安全和数据安安全。网络基础平台安安全网络设备和架构构的安全是园园区网安全建建设的基础,为为保证网络设设备和架构的的安全,网络络提供以下技技术保证企业业内网络设备备的健壮和可可靠:1. CPU及引擎保保护技术CPP技术术随着交换机应用用的逐渐普及及,以及网络络攻击的不断断增多,越来来越需要为数数据交换机提提供一种保护护机制,对发发往交换机CCPU的数据据流,进行流流分类和优先先级分级处理理,以及CPPU的带宽限限速,以确保保在任何情况况下CPU都都不会出现负负载过高的状状况,这种保保护机制就是是CPU PProtecct Pollicy,简简
44、称CPP。CPP功能早期期只是作为某某些单一功能能出现的,如如ARP ccheck,IIP syss guarrd,这一种种CPP主要要是反攻击的的。随着市场场应用的逐渐渐增多,对于于CPU保护护提出了更高高的要求,第第二种cppp应用需要对对trap到到CPU的管管理报文进行行分类处理,第第一类是作为为维护基础协协议的BPDDU、GVRRP和VRRRP,第二类类是作为维护护路由协议的的PIM,OOSPF,IIGMP,RRIP报文,第第三类是作为为需要CPUU处理的IPP数据报文,第第四类是堆叠叠中的管理报报文,通过对对这些报文的的分级处理,确确定优先关系系,确保在CCPU高负载载的情况下仍仍
45、能保证基本本的网络拓扑扑稳定。CPPP的第三种种应用是对各各种报文的带带宽限制,这这种方式主要要根据具体的的网络应用环环境确定各类类报文的带宽宽限制,以及及CPU可以以处理的最高高总带宽限制制。网络CPP技术术保证了网络络的路由稳定定可靠,最大大程度上避免免网络受到攻攻击的的拓扑扑震荡。从而而为用户提供供一个稳定的的网络环境。2. NFPP-基础础网络保护策策略(Nettwork Founddationn Prottectioon Pollicy)目前业界已开发发了一些用于于防攻击的功功能模块(比比如:ACLL、QOS、UURPF、SSysGuaard 等等等),通过这这些功能模块块自行建立攻
46、攻击检测和保保护的机制,并并提供对外的的管理接口。但但实现得不够够系统,基本本是针对一个个问题解决一一个问题,在在体系上没有有统一的框架架。从现有的的数据帧实现现的流程来看看,缺乏从流流的主干上考考虑实施防攻攻击保护。为为了在这个日日益重视安全全性的环境中中应对日益复复杂的攻击,锐锐捷网络开发发出一套完整整的网络基础础保护体系,称称之为基础网网络保护策略略(Netwwork FFoundaation Proteectionn Poliicy),简简称NFPPP。NFPPP技术能够对对设备本身实实施保护,通通过对报文流流进行限制、隔隔离,以保证证设备及网络络可靠、安全全、有效地运运行。针对交换机
47、设备备而言,数据据的路由和交交换过程主要要由硬件来完完成,而CPPU主要对控控制流、管理理流和部分交交换芯片无法法处理的数据据流进行处理理,并同时提提供交互界面面供用户进行行本地管理配配置。大量的的报文流送向向CPU,占占用了整个送送CPU的报报文通路的带带宽,导致正正常的控制流流和管理流无无法达到CPPU,从而带带来协议振荡荡无法管理,进进而影响到数数据面的转发发,如果是核核心设备将导导致整个网络络无法正常运运行。NFPPP接受报文文的端口或者者发送到CPPU通过对送送往CPU的的报文进行攻攻击检测,的的场景进行安安全检测,采采取相应保护护措施,从而而达到对管理理面、数据面面和控制面的的保护作用。NNFPP技术术特点有:l 防止多种攻击NFPP能够防防止目前网络络上常见的多多种攻击手段段,包括ARRP攻击、IICMP攻击击、IP扫描描攻击及DHHCP耗竭攻攻击等,形成成一套完整的的保护体系,为为用户提供一一个安全可靠靠的网络平台台。l 配置灵活方便NFPP的用户户界面CLII命令设计简简单方便,