《公共资源交易平台系统运行环境购置项目安全设计说明书》由会员分享,可在线阅读,更多相关《公共资源交易平台系统运行环境购置项目安全设计说明书(26页珍藏版)》请在金锄头文库上搜索。
1、-XX市公共资源交易平台系统运行环境购置工程安全设计说明书1建立需求32现状分析33系统构架设计43.1网络拓扑图43.2系统构造说明44网络设备55系统平台软硬件配置66主要设备功能、性能介绍76.1网络设备产品简介76.1.1病毒防措施76.1.2防入侵、网络平安防护86.1.3业务交付负载均衡166.1.4核心交换机业务能力17超融合架构24. z.-1 建立需求营造优良的软环境是增强竞争力、进一步科学开展、深化公共资源交易体制改革必不可少的要素。而加快电子政务建立,建立公共资源交易平台是提升软环境的有效途径。通过建立公共资源交易平台,使各类交易活动统一进场交易、统一进展管理、统一承受监
2、视,不断提高政府的社会管理水平和公共效劳质量,为交易主体提供公开、公平、公正的交易平台和优质的效劳。公司方案进展XX市公共资源交易中心的信息系统的建立,基于该套系统的应用包括数据库应用和Web效劳应用。这些系统方案现在安装在1台效劳器上,数据库效劳器那么采用的是SQL数据库系统。该系统的数据中心,运行着各重要的应用系统,关系到企业各个职能部门的运作和各业务数据的信息的平安,因此本次信息根底架构建立将信息平安、可靠放在首要位置。为防止关键信息数据破坏或攻击,本工程中还需要对考虑平安防护管理系统的建立,以到达网络平安和链路平安的目的。2 现状分析鉴于目前公司开展的趋势,根据需要对系统进展前瞻性规划
3、,以满足未来3年XX市交易中心业务开展的需要。为保系统信息平台能稳定运行,网络根底构架和关键业务应用采用热备份冗余设计预防可能的单点故障保证系统的高可靠性和关键业务连续性。为防止网络攻击或者病毒入侵,导致系统无常运转,配置综合网关进展边界防护和网络平安管理,防止网或者外网对本中心系统产生影响。本次建立主要包括二个方面,即网络冗余保护、超融合虚拟化平台。3 系统构架设计3.1 网络拓扑图XX市交易中心网络拓扑图:3.2 系统构造说明3.2.1 网络系统可靠性网络核心配置两台三层交换机、两台负载均衡、两台IPS、两台防火墙热备互为冗余、通过虚拟化技术配置效劳器和业务负载均衡。核心交换机支持传统的S
4、TP/RSTP/MSTP生成树协议,还支持SmartLink和RRPP等增强型以太网技术,可以实现毫秒级链路保护倒换, 保证高可靠性的网络质量。此外,针对Smartlink和 RRPP均提供多实例功能,可实现链路负载分担,进一步提高了链路带宽利用率。互联网接入局部利用企业现有的两条Internet线路连接综合网关实现外部的冗余。3.2.2 关键业务应用可靠性企业的数据库(关键业务应用)效劳器采用基于存储共享的双机热备方案,两台效劳器可以互备或者并行的方式运行。在工作过程中,两台效劳器将以一个虚拟的IP地址对外提供效劳,依工作方式的不同,将效劳请求发送给其中一台效劳器承当。同时,效劳器通过心跳线
5、侦测另一台效劳器的工作状况。当一台效劳器出现故障时,另一台效劳器根据心跳侦测的情况做出判断,并进展切换,接收效劳。对于用户而言,这一过程是全自动的,在很短时间完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台效劳器使用的实际上是一样的数据,由双机或集群软件对其进展管理。3.2.3 网络平安保护为系统配置的统一平安网关集防火墙、防DDOS、入侵保护IPS、P2P阻断和限流、IM软件控制、L2TP/IPSEC/SSL /MPLS VPN等特性于一体,提供高性能的平安防护,帮助企业提升工作效率。4 网络设备1、先进性:以先进、成熟的网络通信技术进展组网,支持数据、语音、视像等多媒体应用。
6、2、标准化和开放性:采用符合ISO或IEEE、ITUT、ANSI等标准的网络协议,采用符合国际和国家标准的网络设备。3、可靠性和可用性:选用高可靠的产品和技术,充分考虑系统在程序运行时的应变能力和容错能力,确保整个系统的平安与可靠,要有强大的网络负载能力,支持多用户、多进程的网络传输。4、实用性和经济性:从实用性和经济性出发,兼顾近期目标和长远开展,选用先进的设备,进展最正确性能组合,利用有限的投资构造性能最正确的网络系统。5、平安性和性:在接入Internet/Intranet时,保证网上信息和各种应用系统的平安,采用的网络平安产品必须经过国家公安部的认证。6、扩展性和升级能力:选用具有良好
7、升级能力和扩展性的设备,在未来的升级和扩展中,能保护现有投资,并支持多种网络协议、高层协议和多媒体应用。7、灵活性:运用交换机产品与路由器产品支持的、先进的虚拟网络技术,快速简便地将用户或用户组从一个网络转移到另一个网络,而无需任何硬件上的改变.8、可管理性:集中式的管理,方便网络的管理和维护。5 系统平台软硬件配置系统软硬件列表推荐系统设备产品型号单位数量网络及平安设备防火墙天融信NGFW4000-UF套1入侵防御启明星辰天清NGIPS5000-C-S套1负载均衡天融信TOPAPP6000套1虚拟化平台效劳器浪潮NF5280套4数据库效劳器浪潮NF8460套2网络核心交换机H3C LS-75
8、06E-NonPoE套2WAF启明星辰天清Web应用平安网关700-M套2超融合虚拟化平台深信服超融合架构平台台1光纤存储交换机H3C LS-6800-2C套2防病毒软件卡巴斯基网络平安解决方案标准版10.0套16 主要设备功能、性能介绍6.1 网络设备产品简介6.1.1 病毒防措施由于计算机病毒和蠕虫能够通过多种渠道进入网络,病毒问题成为XX市交易中心业务系统面临的重要平安威胁。病毒对计算机系统稳定性、文件的完整性具有严重的威胁,而蠕虫在部网以及纵向网络的传播更会导致严重的网络阻塞、病毒扩散等问题。平安问题已经从传统的网络层面的平安上升到了容层面的平安。XX市交易中心急需在终端计算机上以及网
9、络边界、网络部部署适宜的防护机制,防止容平安威胁对系统造成严重影响。基于这种考虑,系统经过慎重考虑和评估,选择了卡巴斯基网络平安解决方案标准版10.0,在部网络和纵向网中进展部署。u 网络边界病毒防护为了加强域边界的控制和防御能力,我们在网络的域边界部署启明星辰天清Web应用平安网关700-M,进展有效的蠕虫和新复合型病毒的主动防御。通过域边界启明星辰天清Web应用平安网关700-M的部署,当部网络再触发某蠕虫病毒,进而对整个网络发起攻击的时候, 700-M可以将其控制在某个平安域之,防止其进一步大面积扩散,造成整个网络瘫痪等事件的发生,为网络管理人员提供了有效的网络病毒控制手段和能力,为部网
10、络病毒防御的可控性目标提供了有力的技术保障。部域边界病毒防护示意图域边界的病毒防御建立提高了网络管理人员对网络的平安控制能力,有效的防御了病毒、木马、蠕虫等病毒威胁在部网络不同区域的破坏、扩散,切断了其在网络部的传播途径。700-M以透明方式接入用户网络,管理员根本不需要修改其它网络设备的配置,只须接入到需要保护的网络边界即可。700-M会自动对所有通过它的网络流量进展识别分析,过滤病毒、电子病毒、静态蠕虫、恶意网页代码、非法容、敏感信息等,同时阻击蠕虫动态攻击行为。利用天融信防毒墙截取网络数据进展过滤处理,将过滤后的数据传递给目的地,以确保信息平安。对于蠕虫和动态攻击, 700-M那么能将其
11、彻底阻断,防止其在网扩散。6.1.2 防入侵、网络平安防护随着Internet的迅速普及,一方面全球围的网络病毒、黑客攻击、操作系统漏洞、垃圾等网络平安问题层出不穷,且变化越来越快,危害越来越大;另一方面,随着网络应用的增加,对网络带宽提出了更高的要求。那么平安网关作为保障网络平安的第一道防线,终究何种硬件架构最适合防火墙产品?要满足未来信息平安产品适应信息高速膨胀的开展趋势,提升开放平台的硬件性能,即是必然趋势也是满足未来应用需求的关键要素。在这样一个开放性平台应用需求的驱动力下,多核技术应运而生。这里所说的多核并不是基于X86的2核、4核这样的CPU,而是在网络、平安设备上最新使用的基于M
12、IPS64的多核SoCSystem on Chip处理器,此类多核SoC处理器目前可支持到16核,并随着平安计算需求的不断增加而继续提升。相比X86、NP、ASIC硬件平台,SoC多核平台的最大优势是保存了X86平台的高灵活性这一点对于平安设备的应用层检测非常关键,同时具备与ASIC平台相当的高处理性能。同时,通过增加核数,使线性提升硬件计算能力成为了可能,更重要的是功耗也随之得到了控制。多核架构在支撑灵活性和高性能的同时,带来的另一个卓有成效的经济效益是低碳、节能。对信息平安产品而言,减排、低功耗是实现低碳经济最主要的节能目标。多核架构的主要优势为一颗芯片上集成了多个核,核与核之间可以协同工
13、作,同时在各个核周边还集成了丰富的平安协处理硬件,如硬件加密、正那么匹配和应用加速等,高集成度的特点简化了整体硬件板卡的复杂度和能耗。同样的应用,对于X86通用硬件平台,需要1颗甚至多颗高频率CPU,同时需要南北桥芯片组、通过PCI扩展的硬件加速板卡或应用加速卡等,一系列配套芯片设计使能耗远远高于同档次多核SoC专用硬件平台。根据功耗比照测试,多核SoC硬件平台实际功耗仅为同档次X86平台的1/3左右。在高效能、低炭排放的同时,多核架构带给信息平安产业的另一个优势为高质量。高度集成的SoC处理器降低了硬件平台的整体复杂度,硬件的简化促使故障率可以降低到1以下X86平台故障率通常为5以上,到达电
14、信级标准。随着网络技术的的迅速开展,越来越多的组织和个人将组织业务与个人事务通过网络开展。由此而来的信息化技术革命使得人与人之间、组织与组织、国家与国家之间的联系变得更加严密:信息共享变得更加便捷、信息传递变得更加迅速。毫无疑问,无论是国家、组织还是个人,对网络的依赖程度都在不断增大,Internet已经成为各个国家经济开展的重要支柱,也成为组织开展业务与个人生活不可或缺的重要工具。在网络技术快速开展的同时,也产生了许多平安问题和威胁,如备受关注的大规模蠕虫爆发引起的网络瘫痪、银行账号被窃取导致的经济损失、感染病毒导致的数据丧失、非法外连导致的泄露、由于大规模僵尸网络DDoS攻击导致的业务无常
15、运行、P2P的过度使用导致网络带宽的耗尽,工作期间的聊天、视频、炒股、游戏导致工作效率降低等,这些问题的存在对于组织的业务运行与个人的网络使用都构成了无法无视的威胁。了解威胁:哪些地方存在威胁?存在什么威胁?如何消除威胁躲避风险?成了摆在我们面前的现实任务。防火墙及其局限性:防火墙是当前广泛应用的一种网关型平安设备,一般用于网络的边缘的访问控制。传统防火墙主要基于诸如协议、地址、端口这些四层及四层以下的信息进展访问控制,但无法根据7层或超7层协议如HTTP Tunnel进展动态分析、过滤。因此防火墙的访问控制采用的是基于静态的访问控制策略进展的,目前已经越来越难以适应迅速开展且手段千变万化的入侵行为,比方:u 复杂协议无法解析无法对复杂协议多数是应用层协议,如MSRPC的负载进展有效解析,因此也就无法基于复杂协议的负载进展的入侵行为进展监控与拦截u 组合攻击无法检测无法对由多步骤组成的组合攻击行为进展有效的关联分析,因此防火墙对于这类攻击无法进展监控与拦截u 部攻击无法防对于部发生的攻击行为,因为没有经过边界防火墙,因此防火墙也就无法监控和有效拦截传统入侵防御系统及其局限
