收藏
下载资源

中国商飞信息化技术方案网络安全平台090312

上传人:桔**** 文档编号:510031335 上传时间:2023-03-28 格式:DOC 页数:14 大小:292.50KB
返回 下载 相关 举报
中国商飞信息化技术方案网络安全平台090312_第1页
第1页 / 共14页
中国商飞信息化技术方案网络安全平台090312_第2页
第2页 / 共14页
中国商飞信息化技术方案网络安全平台090312_第3页
第3页 / 共14页
中国商飞信息化技术方案网络安全平台090312_第4页
第4页 / 共14页
中国商飞信息化技术方案网络安全平台090312_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《中国商飞信息化技术方案网络安全平台090312》由会员分享,可在线阅读,更多相关《中国商飞信息化技术方案网络安全平台090312(14页珍藏版)》请在金锄头文库上搜索。

1、掀新资料推荐中国商飞公司信息化网络安全平台技术方案项目号文档编号工程编号版本号1.1保密级别般秘童 机密绝密上海宝信软件股份有限公司2009年03月最新精品资料整理推荐.更新于二O二-年一月一日2021年1月1日星期五20:25:06掀新资料推荐中国商飞公司信息化网络安全平台技术方案编制:编制日期:审核:审核日期:批准:批准日期:上海宝信软件股份有限公司最新资料推荐修订历史日期作者版本修订原因主要修订内容最新将詁资料整理推荐.更新F二C二一年一月一口 2021年1月1 口星期五20:25:06目 录1. 网络及安全基础平台介绍41.1. 网络安全基础平台概述51.2. 网络安全因出平目标及支撑

2、范围52. 技术方案52.1. 网络安全基础平台层次架构62.1.1 涉密网网络安全基础平台层次架构图62.1.2. 业务网网络安全基础平台层次架构图62.2. 网络安全斟出平台功能71. 涉密网网络安全基础平台功能82. 业务网网络安全基础平台功能93. 建设计划建议121 网 络 及 安 全 基 础 平 台 介 绍最新资料推荐1. 网络安全基础平台概述中国商飞公司网络作为设计、制造、服务、管理等应用的数据流转平台,按照地域划分为公司行政 办公区、客户服中心、总装制造和研发设计中心四个区域,其中公司总部在张杨路,设计研发中心在龙 华,总装制造中心在大场而客户服务中心则在闵行紫竹,各区域之间通

3、过租用运营商线路的方式实现高 速互联,而公司客户和国内外供应商则通过IPSECVPN、SSLVPN等方式接入,此外各协作单位通过专 线等方式接入。而在职能上,中国商飞公司网络又划分为涉密网和业务网两个物理隔离的网络,其中涉密网同上级 主管单位以及保密部门互联,主要用于涉密文件、流程的处理。业务网则为集团与各成员单位之间在飞 机设计、飞机制造、客户服务等各个环节有效的信息传递、交换和共享,形成基于数字化的飞机研制、 生产、服务管理的业务环境提供服务,并对外提供IPSECVPNs SSLVP N等安全的接入方式。四个区域 中都包含有涉密网以及业务网两部分。2. 网络安全基础平台规划目标及支撑范围参

4、照公安部于2005年发布的信息系统安全等级保护基本要求,从长远角度出发对中国商飞公 司网络安全基础平台建设进行规划工作,实现涉密网网络安全平台建设达到信息系统安全等级保护基本 要求第四级以及业务网网络安全平台建设达到信息系统安全等级保护基本要求第三级的目标,为商飞公 司PDM. ERP、MES等数字化信息系统运行提供安全、可靠、高效的基础支挥环境。2技 术 方 案鼓新将品资料整理推荐,更新F二C二一年一月一日2021年1月1 口星期五20:25:06最新资料推荐2.2.1.网络安全基础平台层次架构1. 涉密网网络安全基础平台层次架构图安全级别tr涉密骨干网区域属他涉您网办公区展地涉密网般务器区

5、渺密网数粧中右 灾备区域图一:涉密网整体网络安全层次架构图架构图说明:1)商飞公司涉密网网络安全架构层次共划分为5个大安全区域:涉密网、涉密骨干网区域、属地 涉密办公网区、属地涉密服务器区以及涉密网数据中心/灾备区域,安全级别依次递升;2)涉密网外联区:定位于商飞公司内部涉密网与外部涉密互联区域;3)涉密骨干网区域:定位于为各区域所属涉密网同其它区域涉密网互联而设立的区域;4)属地涉密网办公区:定位于为各区域所属涉密网中的办公用户接入而设立的区域;5)属地涉密网服务器区:定位于为各区域所属涉密网中内部服务器接入而设立的区域;6)涉密网数据中心/灾备区域:定位于为商飞公司涉密网核心数宇化信息系统

6、接入而设立的区域;2. 业务网网络安全基础平台层次架构图业务骨干网区域属地业务网办公区次高展地业务网黴务器区最高业务网数粧中心 灾篇区城图二:业务网整体网络安全层次架构图架构图说明:1)商飞公司业务网网络安全架构层次共划分为5个大安全区域:Internet区域、业务骨干网区域、 属地业务网办公区、属地业务网服务器区及业务网数据中心/灾备区域,安全级别依次递升;2)Internet区域定位于为商飞公司业务网提供安全的因特网访问和对外信息发布而设立的区域。 对因特网提供服务的安全系统和应用系统均部署在此区域;3)业务骨干网区域:定位于为各区域所属业务网同其它区域业务网以及数据中心互联而设立的区 域

7、;4)属地业务网办公区:定位于为各区域所属业务网中的办公用户接入而设立的区域;5)属地业务网服务器区:定位于为各区域所属业务网中内部服务器接入而设立的区域;6)业务网数据中心/灾备区域:定位于为商飞公司业务网核心数字化信息系统接入而设立的区域;2. 网络安全基础平台功能中国商飞公司网络安全基础平台分为涉密网以及业务网两套物理隔离的网络,每套网络都有各自独 立的结构化布线系统和网络安全系统。两套网络安全基础平台的建设均参照信息系统安全等级保护基本 要求中的技术标准进行规划。最新将詁资料整理推荐.更新F二C二一年一月一口 2021年1月1 口星期五20:25:06最新资料推荐2. 涉密网网络安全基

8、础平台功能薛飞公司涉密网拓扑图上级单位保密部门目飞移密骨*岡(* aunk适坏加缶蜥理也另甲一.“,梶入交炭帆01低皿筛冷TR( 4总磁域-禅* M * U*服中心略芨中心E入久檢机翠“飯絡中心图三:涉密网网络安全拓扑架构图商飞公司涉密网网络及安全基础平台规划中采用的架构及技术以信息系统安全等级保护基本要求 第四级中的以下指标为依据:结构安全(G4)访问控制(G4)边界完整性检查(G4)入侵防范(G4)恶意代码防范(G4)网络设备防护(G4)通讯保密性(S4)数据安全及备份恢复(S4)涉密网网络平台功能规划:商飞公司涉密网按功能划分为涉密骨干网和属地涉密网两部分。核心层高性能路由器部署在涉密骨

9、 干网中,所有属地涉密网以及涉密网数据中心/灾备中心均通过双路上联至骨干网路由器上,再转而接 入至涉密网中。每个属地涉密网由办公网以及服务器区两部分组成,其中办公网用于用户的接入而服务器区域则为 属地内部服务器提供接入,属地涉密网采用千兆主干、百兆至桌面的网络架构,不同安全区域间通过防 火墙进行逻辑隔离,通讯链接间采用专用设备进行链路加密,此外网络中的核心节点以及链路均考虑到 了冗余设计。商飞涉密网规划建立主、备两个数据中心,两个数据中心网络结构保持一致.采用核心、接入两层 架构,网络核心以及接入设备均采用千兆架构以满足高速、大量的数据传输要求,两个网络中心间通过 专线实现互备,并部署专门的线

10、路仅供两个中心间备份数据传输使用,保障数据备份的可用性、可靠性。 此外,网络中的核心节点以及链路均考虑到了冗余设计。涉密网安全平台功能规划:涉密骨干网:使用专门的链路加密设备对涉密骨干网同属地涉密网以及涉密主干网互联的线路进行加密,保障重要数据在涉密网中流转时的机密性以及可豆性要求。在涉密骨干网中部署入侵防护设备,该设备具有实时检测和拦截多种攻击特征的实时入侵防范功能,可以对关键信息资源进行彻底保护,保障商飞涉密网的安全。通过流量监控设备,分析涉密网流量及其使用的网络协议,为确定网络使用状况及带宽使用率等提供准确的资料。属地涉密网:在属地涉密网出口部署防火堵设备,通过防火墙将涉密办公网、涉密服

11、务器区域、涉密骨干网以及其它属地涉密网进行逻辑隔离以及访问控制。在属地涉密网中部署属地防病毒系统,对属地办公网和服务器区终端防病毒客户端进行统一管理,实现立体全方位的病毒防护体系。在属地涉密网办公区中部署终端安全准入控制系统,通过终端接入健康检测、IP地址管理、资产信息管理、进程监控、组织机构管理、外设与端口监控、非法外联监控、软硬件变更监控 等控制措施,确保涉密办公网的终端接入安全要求。通过在商飞涉密网中部署网络管理系统,实现对涉密网络系统的拓扑发现、故障报警、Log信息收集等功能。涉密网数据中心/灾备中心:在数据中心网出口部署高性能防火墙设备,通过防火墙将数据中心、涉密骨干网以及其它接入区

12、域进行逻辑隔离以及访问控制。在主、备两个数据中心间部署专门的通讯线路.为数据中心间备份数据同步提供高速、可靠的承载平台。2. 业务网网络安全基础平台功能勸E公可业务网拓扑图外办处InurMSMAtt 护 g花知干网勺韵区城11拓般中心11匕!仝机伟骅髀(題*) tt+心 g药数用戸O (主丄公可專户31. VPNInternet略XLr曲飞业务骨干网(务丿 图四:业务网网络安全拓扑架构图商飞公司业务网网络及安全基础平台规划中采用的架构及技术以信息系统安全等级保护基本要求 第三级中的以下指标为依据: 结构安全(G3)访问控制(G3)安全审计(G3) 边界完整性检查(S3)入侵防范(G3)恶意代码

13、防范(G3)网络设备防护(G3) 通讯保密性(S3)数据安全及备份恢复(S3)业务网网络平台功能规划:商飞公司业务网按功能划分为Internet出口、业务骨干网、属地业务网以及业务网数据中心。核心 层高性能路由器部署在业务骨干网中,所有属地业务网以及数据中心/灾备数据中心均通过双路上联至 骨干网路由器上,从而实现商飞业务网的互联。所有需要访问Internet的业务网用户通过统一的Internet 出口实现访问需求,需要对外提供服务的各应用以及安全系统均部署在Internet区域中。公司客户、国 内外供应商、驻外办事处以及移动办公用户可通过Internet区域设置的IPSECVPN. SSLVP

14、N访问到业 务网中所必需的资源,而各协作单位则采用专线方式直接接入到业务骨干网中。鼓新将品资料整理推荐,更新F二C二一年一月一日2021年1月1 口星期五20:25:06址新资料推荐每个属地业务网由办公网以及服务器区两部分组成,其中办公网用于用户的接入而服务器区域则为 属地内部服务器提供接入,属地业务网采用千兆主干、百兆至桌面的网络架构,不同安全区域间通过防 火墙进行逻辑隔离,通讯链接间采用专用设备进行链路加密,此外网络中的核心节点以及链路均考虑到 了冗余设计。商飞业务网规划建立主、备两个数据中心,两个数据中心网络结构保持一致,采用核心、接入两层 架构,网络核心以及接入设备均采用千兆架构以满足高速、大量的数据传输要求,两个网络中心间通过 专线实现互备,并部署专门的线路仅供两个中心间备份数据传输使用,保障数据备份的可用性、可靠性。 此外,网络中的核心节点以及链路均考虑到了冗余设计。业务网安全平台功能规划:Internet 区域:在Internet区域部署多条不同ISP提供的Internet线路,并通过专门的链路负载均衡设备实现Internet线路的负载均衡以及冗余备份。通过防火墙设备控制来自外部接入网的连接请求,同时屏蔽内部对企业关键资产及敏感信息的非法访问,并为国内外供应商以及驻外办事处提供IPSECVPN接入。在Internet区域中部署入侵防护设备,该设

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号