双网隔离技术方案(通用版)

双网隔离建议方案计算机网络系统双网隔离建议方案北京银信长远科技股份有限公司二O一四年七月目录第一章 公司简介………………3谢谢阅读第二章 用户需求分析…………4谢谢阅读第三章 总体设计指导思想……………………5感谢阅读第四章 计算机系统双网隔离方案……………8精品文档放心下载第五章、投资预算评估…………17谢谢阅读第一章 公司简介北京银信长远科技股份有限公司（简称银信科技）是一家全国性、专业化的IT服务整体解决方案提供商,注册资本1.2亿元人民币，是中国第三方IT运维服务第一家上市公司。公司现有员工近700人，技术工程师400人，绝大多数工程师具有原厂各类技术认证证书，证书总数700多个。谢谢阅读银信科技主要经营范围：IT基础设施、IT行业应用系统的建设和运维，包含数据中心、云平台、容灾备份、虚拟化、信息安全等系统解决方案;各行业数据中心、各类IT设备系统的运营维保服务、IT技术培训、IT人员外包服务、数据中心搬迁及其他IT增值服务;自有IT运维管理软件的销售，IT运维管理咨询及服务等。感谢阅读银信科技资质:·北京市科学技术委员会颁发的高新技术企业证书；·信息产业部颁发的计算机信息系统集成一级资质证书;·中国软件测评中心颁发的信息系统运维服务能力二级资质证书；谢谢阅读·工信部ITSS（信息技术服务标准工作组）全权成员单位证书；谢谢阅读·通过ISO9001:2008国际质量管理体系认证；精品文档放心下载第1页双网隔离建议方案·通过北京市科学技术委员会的双软件认证.·中国银行业数据中心IT基础设施第三方服务市场排名中名列第一感谢阅读业绩客户行业已涉及金融、电信、电力、航空、政府、教育、交通、商业、IT业、制造业等众多行业客户。精品文档放心下载公司近三年营业收入：2011年营业收入约为2亿元2012年营业收入约为3。4亿元2013年营业收入约为3。8亿元第二章 用户需求分析现需对用户计算机网络进行物理隔离改造，物理隔离改造工作需要保护单谢谢阅读机和内网的数据安全和信息安全,即重要的数据不能放到与外网相连的计算机精品文档放心下载硬盘上,工作人员可以在同一台计算机终端上根据工作需要进入内网或外网，感谢阅读并在终端上处理重要的数据和进行工作操作,实现办公网与外网的物理隔离，感谢阅读并有效的保障办公网与外网的数据交换安全.用户分为两个区域：一个区域，约有办公电脑XXXX台，其中,20台需要连感谢阅读接外网；另一区域，约有办公电脑XXXXX台，其中30台需要连接外网.谢谢阅读第三章 总体设计指导思想一、系统总体设计指导思想1、严格遵循物理隔离技术规范，实现内网与互联网的物理隔离。感谢阅读2、在重视科学性、经济性和实用性的同时，讲求使用效果。感谢阅读3、确保所设计的系统能达到国内领先水平。4、改造后的系统，需要有高效的安全防范措施二、系统总体实现目标第2页双网隔离建议方案现需对用户计算机网络进行物理隔离改造，实现办公网络(内网)与国际精品文档放心下载互联网(外网）的双网物理隔离，并保障网络和存储数据设备的数据安全和信精品文档放心下载息安全。通过改造工作，在技术上达到：1、在物理传导上使内外网络隔断，确保外部网不能通过网络连接侵入内部精品文档放心下载网;同时防止内部网信息通过网络连接泄漏到外部网。2、在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内谢谢阅读存、处理器等暂存部件,要在网络转换时作清除处理，防止残留信息串网;对于感谢阅读断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息要分开存精品文档放心下载储;严格限制可移动介质的使用范围及环境,如U盘、光盘等。感谢阅读三、本建议方案的实施要点根据用户计算机网络的现实情况，实施内外网物理隔离的要求是：精品文档放心下载1、对计算机系统要进行适当的改造工作，做到内外网服务器分开设置；桌面终端计算机可直接实现内网办公或外网应用，当使用办公网时,则外网物理隔离，当使用外网时,则办公网物理隔离。终端计算机上，办公网与外网的数据存储仓库为完全隔离的两个硬盘,或办公网存储于机房存储设备，而外网可存储于计算机的指定硬盘。计算机终端需进行安全保护,以防止病毒、木马、攻击等威胁设备安全的事件发生。感谢阅读2、网络改造。真正高效的隔离,是办公网与外网的网络完全分开,即为外网重新铺设新的综合布线系统，从互联网接入端到计算机终端，外网为独立的网络系统,并具备信息安全保护的功能。谢谢阅读第3页双网隔离建议方案3、内外网数据传输。内外网之间常有些重要信息需要传输或备份，双网感谢阅读系统之间存在数据交换需求：外网用户可以访问内网的数据库，并且能够保护感谢阅读内网安全。如果使用U盘等移动设备来拷贝，就会面临病毒的威胁。但是如果谢谢阅读开放网络，让内网与外网之间互通，又会使双网的意义丧失.为保护办公网的精品文档放心下载数据和信息安全，需要在办公网和外网之间架设安全隔离与信息交换系统，它感谢阅读应用在用户双网之间，主要负责数据的安全交换,阻止已知的以及未知的入侵和感谢阅读内部信息的泄漏，并且把内外网传来的数据掌控在可控的范围内，实现了可控精品文档放心下载的、高效的、实时的、安全的信息交换。网络改造完成后的拓朴图如下：第四章 计算机系统双网隔离方案一、企业外网网络的新建为了打造企业办公网和外网完全隔离的网络系统，需要新建一套与企业办公网平行的企业外网网络系统。主要设备包括：计算机终端改造、独立的服务器（可选)、防火墙、交换机、综合布线系统、计算机终端安全防护系统等。谢谢阅读企业外网网络系统的拓扑图如下：根据培训与评价中心的终端分布情况，整个系统分为两个区域，贵阳区域计算机终端20台，2—3台带智能网管功能的千兆交换机，1台高性能可进行分段IP映射的防火墙，6类非屏蔽综合布线系统，免工具综合布线数据终端等若干。清镇区域计算机终端30台，3—5台带智能网管功能的千兆交换机，1台高性能可进行分段IP映射的防火墙，6类非屏蔽综合布线系统，免工具综合布线数据终端等若干。精品文档放心下载对计算机终端进行改造，配置物理隔离卡、独立硬盘及主板，以达到双硬感谢阅读第4页双网隔离建议方案盘双网的物理隔离，同时,还需要对每个需要连接外网的计算机终端安装杀毒精品文档放心下载软件和个人电脑防火墙等安全防护.如有必要，为保障数据防泄漏等要求，还可以在后期对网络和终端建设一谢谢阅读套全生命周期数据泄露防护体系,包含:文档安全管理系统；文件透明加密系统;感谢阅读文档全线管理系统；文档外发管理系统;文档加密安全网关系统；可信介质管精品文档放心下载理系统;电子文件保险柜;全盘加密安全介质终端；磁盘全盘加密系统；数据防感谢阅读泄漏平台。二、内外网数据传输安全针对用户应用需求的实际情况，需要在机房内布置一套安全隔离与信息交换谢谢阅读系统。使用安全隔离与信息交换系统的文件交流方式，Web服务器将接收到的请求转谢谢阅读换成文件，通过安全隔离与信息交换系统传输到业务网，业务网处理完该数据谢谢阅读后，再将结果转换成文件通过安全隔离与信息交换系统传输给Web服务器,感谢阅读见图：三、技术方案各产品功能介绍1、计算机终端改造在不更换终端的情况下，对计算机终端进行改造,增加物理隔离卡、硬盘感谢阅读及主板等。产品特点1）支持用户自定义开机选界面功能.2)支持检测外设功能（包括检测:USB、光驱、软驱）谢谢阅读3）均支持标准机箱和超薄机使用4）支持windows64位操作系统及新版BIOS谢谢阅读第5页双网隔离建议方案技术参数1)总线模式:PCI或PCI-E2)物理介质接口：RJ453）使用网络类型:10M以太网、100M或1000M快速以太网感谢阅读4）工作温度：0℃—50℃5）存储温度：-20℃—70℃6）内外网切换软件:V3.02、网络交换机核心交换机全千兆以太网交换机，它提供了灵活的全千兆以太网端口的接入密度、丰富的业务特性，谢谢阅读并支持IRF(智能弹性架构)技术,拥有24个10/100/1000Base-T以太网端口,4个1000Base—XSFP千兆以太网端口(非复用的SFP插槽）；整机交换容量192Gbps,包转发率42Mpps，性能相当强劲。支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP感谢阅读报文实施网络中逐渐盛行的“中间人"攻击，对不符合DHCPSnooping动态绑定表或手工配置谢谢阅读的静态绑定表的非法ARP欺骗报文直接丢弃.同时支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大量地址仿冒带来的DoS攻击.另外，利用DHCPSnooping的信任端口特性还可以有效杜绝私设DHCP服务器，保证DHCP环境的真实性和一致性。精品文档放心下载接入交换机二层线速以太网交换机,它是专为要求具备高性能且易于安装的网络环境而设计的智能型产品。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能，可以通过WEB界面进行方便地配置。支持地址自动学习、自动老化（老化时间为5分钟）;它最多可支持8KMAC（MediumAccessControl)地址。它支持基于端口VLAN，VLAN最大数目为26；它最多可设置3组端口聚合,具备线路诊断等功能谢谢阅读产品类型 网管交换机应用层级 二层传输速率 10/100/1000Mbps交换方式 存储—转发第6页双网隔离建议方案背板带宽8.8Gbps包转发率6.55MppsMAC地址表8K端口结构非模块化端口数量26个端口描述24个10/100Base—TX自适应以太网端口，2个千兆光电复用端口控制端口1个Console接口10Base—T：3/4/5类双绞线接口介质100Base—TX：5类双绞线1000Base-T:5类双绞线传输模式全双工/半双工自适应网络标准IEEE802.3，IEEE802.3u,IEEE802.3ab，IEEE802.3z，ANSI/IEEE802.3NWay自动协商，IEEE802.3x基于端口VLANVLAN支持VLAN最大数目：26支持128个802.1Q的VLAN,VLANID1—4094可配QOS标准：802。1p队列数：4个网络管理基于Web的管理支持配置文件导入/导出状态指示灯Link/Act，Speed，电源电源电压AC100—240V，50-60Hz电源功率最大15W产品尺寸440×230×44mm第7页双网隔离建议方案工作温度:0-40℃环境标准工作湿度：5％—95%（无凝结)3、防火墙设备类型：企业级防火墙网络端口:1个配置口（CON）；5GE；1个mini插槽..。精品文档放心下载入侵检测：Dos,DDoS管理：支持标准网管SNMPv3,并且兼容S...谢谢阅读VPN支持：支持安全标准：FCC，CE控制端口：console其他性能：防火墙、VPN可同时扩展卡巴斯基。..电源：输入额定电压:100VAC～240VAC;47...谢谢阅读产品尺寸：300×260×43。6mm管理支持标准网管SNMPv3，并且兼容SNMPv2c、SNMPv1,支持NTP时间同步,感谢阅读支持Web方式进行远程配置管理,支持SNMP/TR—069网管协议,支持SecCenter安全管理中心进行设备管理谢谢阅读防火墙、VPN可同时扩展卡巴斯基病毒防护、URL过滤特征库升级服务、攻击防护（IPS)服务以及特征库升级、垃圾邮件特征库升级服务、P2P/IM/网游等应用层流量控制和用户行为审计等功能精品文档放心下载4、安全隔离与信息交换系统本系统根据国内计算机网络结构特点，开发出的一种快速、安全的网络安全隔离产品，已采用DTP物理隔离通道控制系统和嵌入式内核控制技术，以及多重安全措施，有效地防止了黑客攻击、病毒侵入和信息泄露等安全隐患，确保内网与外网的可靠隔离和信息的可控交换，是一种安全性极高的网络安全产品。精品文档放心下载产品功能第8页双网隔离建议方案采用类似电子邮件的工作方式进行文件传送,具备小型公文交换系统的功能,可以实现内网到内网、内网到外网、外网到内网的点对点、一对多、多对一的文件传送，并可直接从FTP服务内共享目录上读取文件。感谢阅读支持对传输文件的文件名控制机制；＊支持对黑白名单控制；支持文件自动收发功能，文件交换服务能够控制单个用户和分组用户的文件收发权限；支持增量传输,超大文件交换;谢谢阅读＊支持实时或定时文件摆渡，文件传输支持断点续传；支持文件格式特征过滤。产品特点独有DTP物理隔离通道控制系统彻底阻断网络间的直连通路.感谢阅读特有控制逻辑和专用通讯协议控制数据的实时交换.＊专用安全操作系统及嵌入式程序控制确保系统本身免受攻击。精品文档放心下载＊可选配取得国家密码权威部门检验认可、基于PKI技术的完善安全认证TPCS系统。谢谢阅读＊产品小型化,接口可组合扩展。5、综合布线系统3M综合布线系统，全球十大综合布线品牌,美国3M公司的布线产品一直有布线行业的贵族之称,具有性能高超，外形美观，产品种类齐全的特点：谢谢阅读＊标准化，全面