《安全生产_某集团网络改造及安全整体技术解决方案》由会员分享,可在线阅读,更多相关《安全生产_某集团网络改造及安全整体技术解决方案(76页珍藏版)》请在金锄头文库上搜索。
1、波鸿集团网络改造及网络安全整体技术解决方案四川长虹集团四川虹信软件有限公司二零一二年四月目 录第1章 概述5第2章 需求分析6第3章 一期基础网络建设83.1 需求分析83.1.1 方案设计原则93.1.2 网络方案设计113.2 网络拓扑结构介绍113.3 网络拓扑图123.4 网络设计133.4.1 骨干核心层网络设计133.4.2 核心层网络设计133.4.3 汇聚层网络设计143.4.4 接入层网络设计143.4.5 广域网互联设计153.4.6 冗余/负载均衡设计153.4.7 网络设备冗余/负载均衡设计153.4.8 服务器冗余设计163.4.9 IP地址规划原则163.5 方案特
2、点193.6 现有基础网络存在的问题193.7 现有基础网络解决思路203.8 内部网络优化21第4章 二期网络安全规划建设方案234.1 网络安全建设的必要性234.2 网络安全建设的价值234.3 网络拓扑图264.4 网络安全建设内容264.4.1 部署负载均衡264.4.2 网络入侵防御系统274.4.2.1 为什么需要网络入侵防御系统274.4.2.2 网络入侵防御系统284.4.3 WEB应用防火墙294.4.3.1 为什么需要WEB应用防火墙294.4.3.2 WEB应用防火墙304.4.4 远程安全评估系统(漏洞扫描器)314.4.4.1 为什么需要远程安全评估系统314.4.
3、4.2 远程安全评估系统324.4.5 安全审计系统324.4.5.1 为什么需要安全审计系统324.4.5.2 安全审计系统334.4.6 上网管理系统354.4.6.1 安全管理系统364.4.6.2 如何评价内容安全管理系统374.4.7 安全服务384.4.7.1 安全预警通告384.4.7.2 紧急事件响应394.4.7.3 高级维护服务394.4.7.4 信息安全培训40第5章 三期VPN规划建设方案435.1 VPN (虚拟专用网)435.2 安全网关介绍435.3 网络拓扑图46第6章 四川虹信软件有限公司简介476.1 虹信公司简介476.2 虹信软件业务范围516.3 虹信
4、软件核心竞争力536.4 虹信软件部分成功案例简介546.5 虹信公司合作伙伴716.6 虹信获取资质汇总726.7 虹信公司服务体系73我们总羡慕别人的幸福,却常常忽略自己生活中的美好。其实,幸福很平凡也很简单,它就藏在看似琐碎的生活中。幸福的人,并非拿到了世界上最好的东西,而是珍惜了生命中的点点滴滴,用感恩的心态看待生活,用乐观的态度闯过磨难。第1章 概述四川波鸿集团创建于1999年,经过13年的飞速发展,已经成长为拥有资产58.3亿元,员工2800余人,年销售收入近40亿元的集制造业、汽车品牌经营、房地产、新能源于一体的综合性集团企业。近年来,随着集团的不断壮大,波鸿集团从发源地、主要生
5、产基地四川绵阳逐步走向全国,面向世界,分别建立了北京战略总部、上海营销总部、成都运营总部,并积极跨出国门与多家国外企业达成了战略合作意向。目前公司旗下拥有:北京耀贵投资控股有限公司、北京园洋金鼎商贸有限责任公司、北京佰利创典商贸有限公司、北京净雅佳商贸有限公司、上海剑门五金工具有限公司、上海祥通商贸有限公司、沈阳路达通实业发展有限公司、四川波鸿科技有限公司、四川绵阳好圣汽车零部件制造有限公司、绵阳宇兴机械制造有限公司、四川绵阳波鸿机电有限公司、成都名鸿汽车销售服务有限公司、成都万鸿汽车零部件制造有限公司、绵阳通美能源科技有限公司、四川超美健生物科技有限公司、绵阳波鸿汽车销售服务有限公司、绵阳波
6、鸿出租汽车有限公司、绵阳申绵汽车销售服务有限公司、乐山天牛汽车销售服务有限公司、眉山天牛汽车销售服务有限公司、广元波鸿汽车销售服务有限公司、四川波鸿生态园林景观工程有限公司、绵阳亲水湾旅游开发有限公司、四川信鸿房地产开发有限公司等30余家全资或控股经营性子公司。公司秉承“诚信经营、客户至上、质量第一、服务为先”的经营理念,以“创新务实、追求卓越”为宗旨,向管理要效益,靠科技求发展,以公平聚人杰,视员工为财富,深化改革,服务社会。公司严格遵守和履行各项规定,不断提高企业的信用等级,树立良好的市场信誉和诚实守信的企业形象。以跨越为主要任务,以发展为奋斗目标,波鸿公司正以坚定的步伐向领域高端不断拓展
7、。第2章 需求分析随着波鸿集团业务的发展以及今后集团在信息化的高度重视下,近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。 一期网络规划的主要建设内容: 波虹集团为了实现信息化建设,集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通
8、的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:1、 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息化;2、 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务水平;3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;4、 在整个企业集团内实现财务电算化;5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统;在一期的建设中,我们将实现全网在中心本部设置统一的Internet出口,提供一台路由器,同时提供一台企业级
9、的防火墙,隔离波鸿集团中心网络和Internet,提供DMZ区完成对外信息的发布。从核心设备到接入设备都采用H3C的交换设备,使用万兆连接,核心交换机配置万兆电口模块,通过双绞线同各个接入交换机相连,达到一个合理的带宽结构,避免产生任何瓶颈。 二期安全规划的主要建设内容:完善小型服务器群安全防护体系,根据初期的业务系统规模进行单链路安全防护体系建设,初期主要针对于承载业务系统的服务器的安全做建设。此时需要关注的就是WEB服务器操作系统本身的漏洞管理,大多数的安全事件99%都是因为操作系统本身的漏洞导致的,因此漏洞管理的建设至关重要。WEB服务器群前段则需要有WEB应用防火墙来进行专业的WEB应
10、用防护,通过事前预警、事中防护、事后补偿的防护体系来进行WEB应用层的安全防护建设。如为了考虑承载业务系统的主机操作系统的安全,可进行IPS部署,以防范互联网过来的安全攻击事件。随着业务发展也为了后期的扩容考虑,当服务器发展到中型服务器群,就要开始进行安全域划分建设。当承载业务系统的服务器数量不断扩容到一定的数量级,业务系统需要进行安全域安分,这样能更好地根据业务系统的严重级别进行分类管理。划分安全域后则需要根据每个域功能的不同进行安全防护设计。每个域的安全边界防护,需要有防火墙来进行边界隔离,严格控制各区域的访问。同时该业务系统区应有安全审计系统、流量分析系统、安全运维审计系统进行防护。完成
11、全建设后,此时面临的就是如何更好地对外提供业务支撑了。为了保障业务系统的连续性,出口处需要部署抗拒绝服务系统,进行DDOS流量的防御。此时业务系统已经比较庞大,需要对运维人员进行安全培训,加强安全意识。同时光有防护设备和运维人员安全意识的加强还不够,需要通过第三方专业安全服务厂商提供专业的安全服务,如安全预警通告、紧急事件响应服务、高级安全运维服务等。 三期VPN规划的主要建设内容由于波鸿集团分公司多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等V
12、PN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量 (QoS)、可管理性和可靠性第3章 一期基础网络建设3.1 需求分析为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:1)现代大型企业网络应具有更高的带宽,支持10GE或将来平滑过渡到10GE,更强大的性能,以满足用户日益增长的通讯需求;随着计算机技术的高速发展,基于网络的各种应用日益增多,今天
13、的企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可见,万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,
14、才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。 2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行;随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路
15、安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。3)现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求;大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻,正如八车道的长安街也经常堵车一样,所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失; 传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从
