《某电子政务外网升级改造项目》由会员分享,可在线阅读,更多相关《某电子政务外网升级改造项目(47页珍藏版)》请在金锄头文库上搜索。
1、电子政务外网升级改造项目目录1. 建设背景2. 县电子政务外网现状3. 存在的问题3.1 互联网出口3.2 骨干网络3.3 安全防护4. 建设内容4.1 链路4.2 骨干网络4.3 安全防护4.4 业务系统4.5 机房整改4.6 运维管理5. 建设规范6. 建设原则7. 设备部署以及网络拓扑图7.1 设备安装规划7.2 核心交换机7.3 汇聚交换机7.4 虚拟化服务器7.5 多链路负载均衡设备7.6 入侵防御设备7.7 出口防火墙7.8 上网行为管理7.9 隔离防火墙7.10 数据库审计7.11 堡垒机7.12 日志审计8.13运维管理系统8.14防病毒软件8. 路由、交换及IP地址规划8.1
2、 命名规范8.1.1 设备命名规范8.1.2 命名规则8.2 路由规划8.3 交换设计8.3.1 VLAN使用规范8.3.2 端口互联规划Trunk设计8.3.3 端口捆绑设计8.4 互联IP地址及VLAN规划8.4.1 互联地址56段规划8.4.2 互联地址57段规划9. 机房改造9.1 吊顶9.2 防静电地板9.3 机柜及布线工程10. 运维服务规划10.1 服务目标10.2 服务内容10.2.1 信息资产统计服务10.2.2 中心机房运维服务10.2.3 电子政务外网城域网运维11. 链路租赁1. 建设背景国家电子政务外网管理中心2015年2月正式发布国家电子政务外网信息安全标准体系框架
3、国家电子政务外网信息安全标准化工作规范国家电子政务外网安全接入平台技术规范国家电子政务外网安全监测体系技术规范与实施指南国家电子政务外网安全管理系统功能技术要求与接口规范国家电子政务外网跨网数据安全交换技术要求与实施指南和接入政务外网的局域网安全技术规范等七项安全标准,为规范国家电子政务外网信息安全标准体系建设以及指导各级政务外网开展安全接入、安全交换、安全监测以及各级政务部门局域网安全连接政务外网等技术管理工作提供了标准规范依据。近年来,随着全省电子政务应用不断深入,我县各单位包括县司法局、县交通局、县民政局、县住建局、县人社局等单位都提出了在全县电子政务外网上扩展与省级电子政务链路联通的需
4、求,急需在全县电子政务外网拓展基于MPLS-VPN功能,实现多个省级业务应用安全可靠的在我县电子政务外网上运行。市政府电子政务外网已于2018年完成了相关改造,各县市区电子政务外网自行解决。按照电子政务外网业务发展情况,急需对我县电子政务外网进行拓展,按照国家电子政务外网规范,大力整合各类应用平台,保障与省级电子政务链路联通。并建立统一互联网出口,实现县政府办公大楼以及各单位能通过电子政务外网访问互联网。从互联网接入的安全和可靠性及节约互联网接入费用方面均是非常有必要的,能全面提高电子政务外网资源利用率和安全性。2. x县电子政务外网现状县电子政务外网核心设备存放于县政府中心机房,并与全县各单
5、位互联,目前已有超过100家单位接入,各单位目前接入带宽为100M,并与市电子政务外网实现了互联。目前县电子政务外网的主要的应用系统为互联网监督系统,行政审批系统、商事登记信息管理系统、一次办结政务服务系统等。3. 存在的问题从目前的网络情况及未来规划分析,县电子政务外网主要存在如下问题:3.1 互联网出口目前,在省、市、县等各级政府采用电子政务外网来统一互联网出口,是全国电子政务发展的必然趋势,另随着互联网攻击越来越多,加上各部门接入互联网的各县直单位缺乏必要的安全投入,急需要对互联网进行统一出口管理,实现整体互联网接入安全防护。另外,各单位互联网接入后,可以最少节约30%及以上各县直部门的
6、互联网接入费用,初步估计,每年可以为县财政结余近百万元。随着我县“一次办结”改革的深入,所有单位审批业务会越来越向政务外网集中,基于电子政务外网的应用不断增加,使得各单位或部门接入电子政务外网网络的带宽急需扩容。统一互联网出口后,现有互联网出口设备因带宽的增加和用户数量急剧增多,已无法满足网络的需求。现今来自互联网的攻击越来越多,而统一互联网出口后,县电子政务外网将承担全县本网向互联网转发的工作,按照现有安全设备来看,统一出口后缺乏针对攻击手段的防御措施。3.2 骨干网络对于有高可用性要求的电子政务外网,目前我县电子政务外网的骨干链路上存在大量的单点故障隐患。同时,当前对于网络层攻击和应用层攻
7、击,无可用的安全设备进行防御。加上大量应用系统的加入和平台集中化管理,使得电子政务外网的网络设备功能已经无法满足现有需求。随着网络建设的发展和需求的增加,现外网核心交换机不能有效的承载新的应用,其处理性能存在较大的瓶颈。3.3 安全防护省电子政务外网接入缺乏网络安全设备,为直连市电子政务外网。对于全网的病毒防护目前没有统一高效的防护手段,我县电子政务外网内的终端数量非常庞大,病毒爆发风险较高,随着用户数量的急剧增多,互联网出口缺乏针对带宽控制的有效手段,一旦出现拥塞现象,将导致全网访问互联网速度缓慢,无法让带宽的利用率最大化。同时缺乏针对用户的上网行为分析,一旦发生传播谣言、非法言论、不良上网
8、行为等现象,无法进行追溯定位查找责任人。综上所述,我县目前正在运转的电子政务外网已不满足应用需求,电子政务外网需扩展到更多具有外网业务需求的县直单位;需建立纵向、横向MPLS-VPN,在保证业务隔离及安全的前提下,将更多涉及到政府对外服务的业务平台整合到电子政务外网统一管理;需建立统一的互联网出口,提升政府单位互联网资源利用率;需进一步提升电子政务外网的维护管理水平,提升电子政务外网网络稳定性。4. 建设内容为了解决县电子政务外网现状存在的问题,县电子政务外网主要建设如下内容:序号名称品牌型号技术要求单位数量1核心交换机H3CS10508万兆光口48,千兆电口48,电源2,交换网板2,虚拟化万
9、兆光口8,虚拟化专用电缆2,原厂保修服务年数3台22汇聚交换机H3CLS-5560X-34S-EI固定48个10/100/1000Base-T以太网端口,4个万兆SFP,交换容量5.98Tbps 包转发率252Mpps台33虚拟化服务器浪潮NF5280M5互联网服务器区、数据中心各配置一台2U服务器台24虚拟化软件浪潮InCloud Sphere为2台服务器的4颗CPU购买虚拟化授权套15存储浪潮AS2600G2互联网服务器区、数据中心共用一套存储,存储不低于20T台16多链路负载均衡设备深信服AD-1000-D620吞吐量10Gbps,并发连接数400万,4层新建连接数CPS 25万,7层新
10、建连接数RPS 34万,具备6个千兆电口、4个千兆光口、2个万兆光口。具备全局负载、链路负载、应用负载、访问优化、IPv6转换等功能台27入侵防御设备网御星云Leadsec-6000IPS-5200FM2U上架设备,1个RJ-45 Console口,1个10/100/1000 Base-T带外管理口,1个10/100/1000 Base-T HA口,4个具备BYPASS功能的10/100/1000Base-T接口,4个千兆光口,2个USB口,双电源,含嵌入式软件,引擎软件一套,入侵防护系统数据中心软件一套。最大并发300万,最大吞吐量6G,最大IPS吞吐量4G,三年硬件质保,三年IPS特征库升
11、级服务台28出口防火墙网御星云Power V6000-F4510E标准2U设备,冗余电源;标准配置6个10/100/1000M Base-TX接口,4个千兆光口,4个扩展槽位;整机吞吐量10G,最大并发连接数500万,每秒新建连接数18万;三年硬件质保台29上网行为管理深信服AC-1000-H440吞吐量4Gbps,审计性能2Gbps,支持终端数15000;2U,冗余电源;具备8个千兆电口、4个千兆光口、4个万兆光口。具备用户认证、行为管控、流量控制、行为审计、终端安全检查、安全准入、管控非法内联和非法外联等功能;设备生产厂商是上网行为管理系统安全评价规范(RB/T204-2014)的主要起草
12、单位之一台210隔离防火墙网御星云Power V6000-F6510E标准2U设备,冗余电源;标准配置6个10/100/1000M Base-TX接口和4个SFP插槽,6个扩展槽位;整机吞吐量22G,最大并发连接数800万,每秒新建连接数25万;三年硬件质保台111数据库审计深信服DAS-1000-A6201U设备,具备6个千兆电口、2个千兆光口,SQL处理性能:15000条SQL语句/s;日志存储:10亿条;从四大方向全面保护数据库中数据的安全:保护对数据库非法操作及时告警与审计:数据库安全审计系统内置大量安全规则,针对各种非法操作如:业务系统使用grant、客户端sp_addrolemem
13、ber 提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等都能够准确识别与告警,保护数据库安全。设备生产厂商是信息安全技术 信息系统安全审计产品技术要求和测试评价方法的主要起草单位之一台112堡垒机绿盟OSMSNX3-600C可管理路由器,交换机,防火墙,Windows/Linux/UNIX服务器;支持旁路部署,不改变网络架构。支持集群部署;可管理资产数200个;支持本地认证、RADIUS认证、AD域认证、LDAP域认证以及多种可配置的双因素认证等;支持设备、设备组管理、设备账号管理、 账号密码定期修改、自动生成等;实配:4*GE电口,2T SATA硬盘,总资
14、产数100,三年维保台113日志审计深信服LAS-1000-C6002U设备,单电源,具备6个千兆电口,内置200个主机审计许可证书(可扩展);支持通过页面直接将日志文件导入或以syslog方式接收日志信息;支持SNMP日志采集;支持以图表方式(饼图、柱图、曲线图)显示当日日志数据分布情况;支持Windows、Linux等操作系统、支持网络设备(交换机、路由器等)、安全设备)、数据库系统、中间件(Tomcat、Webspere、weblogic等)、应用系统(Web服务器、邮件服务器、OA、CRM等)日志集中管理与审计;设备生产厂商是信息安全技术 信息系统安全审计产品技术要求和测试评价方法的主要起草单位之一台114运维管理系统飞思网巡V5.0对网络设备进行可控管理套115防病毒软件金山V8+网络防病毒软件、支持客户端实时与服务端同步病毒库、提供100点位、2年时间授权点1001665寸电视机康佳B65U用于运维管理系统展示台117机柜兰贝NCE42-66-BAA42U网络机柜,新增设备放置台518理线架清华同方CP200L整理线路个2519配线架清华同方CP21024-M24模块理线架个820网线清华同方7类网线箱121光模块(千兆)国产SFP-GE-LX-SM1310-A用于带光口设备、核心交换区与各区域互联统一采用光纤连接个1222光模块(万兆)国产S
