网络优化及安全加固技术建议书V1

网络优化及安全加固技术建议书文档版本 01发布日期 2018/4/23xxx生物网络优化及安全加固技术建议书目目录录1概述.................................................................................................................................................11.1项目背景.........................................................................................................................................................11.2主要内容.........................................................................................................................................................11.3方案依据.........................................................................................................................................................11.3.1政策法规..............................................................................................................................................11.3.2标准规范..............................................................................................................................................12现状概述.........................................................................................................................................32.1当前网络拓扑图.............................................................................................................................................32.2现状描述.........................................................................................................................................................53安全加固及网络优化方案.............................................................................................................63.1物理安全.........................................................................................................................................................63.1.1现状的不足...........................................................................................................................................63.1.2优化建议..............................................................................................................................................63.2网络安全.........................................................................................................................................................73.2.1现状的不足...........................................................................................................................................73.2.2优化建议..............................................................................................................................................73.3单点故障.........................................................................................................................................................83.3.1现状的不足...........................................................................................................................................83.3.2优化建议..............................................................................................................................................83.4监控平台.........................................................................................................................................................93.4.1现状的不足...........................................................................................................................................93.4.2优化建议..............................................................................................................................................93.5优化后网络拓扑图.......................................................................................................................................101概述1.1项目背景目前，xxx生物具有完备的内部网络，网关处已经部署了山石网科路由等网络设备。机构内部也已经应用了众多信息系统，包括WEB服务器、邮件服务器等，各业务应用系统都或多或少的通过互联网平台得到整体应用。1.2主要内容随着xxx生物系统业务的发展，终端用户数将会逐渐增加。实现集团内部信息共享。随着xxx生物信息化建设的逐渐发展，以及业务数据量不断的增大，xxx生物目前的网络系统已经无法满足其业务增长的需求。因此，如何有效地提高工作效率，提升带宽资源使用效率、改善网络安全环境、杜绝泄密行为、避免法律风险，已经成为信息化建设中的首要任务。当前企业网络和行为管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如访问控制、访问跟踪、流量限制、监控、审计等问题也日益凸现。越来越多的组织机构需要对用户上网行为进行管理以实现网络资源的合理利用。1.3方案依据本项目方案编制依据和参考下列政策法规和标准规范。1.3.1政策法规 中华人民共和国计算机信息系统安全保护条例（1994国务院147号令） 计算机信息系统安全保护等级划分准则（GB17859－1999） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号） 关于信息安全等级保护工作的实施意见（公通字[2004]66号） 《信息安全等级保护管理办法》公通字[2007]43号 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号） 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）1.3.2标准规范 《计算机信息系统安全保护等级划分准则》（GB/T17859-1999） GBT22239-2008《信息安全技术_信息系统安全等级保护基本要求》 GBT22240-2008《信息安全技术_信息系统安全等级保护定级指南》 《信息安全技术信息系统等级保护安全设计技术要求》 《信息安全技术信息系统安全等级保护实施指南》 《信息安全技术信息安全等级保护整改规范》（GB/T20984-2007） 《信息系统安全等级保护整改实施指南》 《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008） 《信息技术安全技术信息安全管理实用规则》（GB/T22081-2008） 《信息技术安全技术信息技术安全管理指南》（ISO/IECTR13335） 《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001) 《信息安全等级保护整改指南》 《信息安全风险管理指南》2.1当前网络拓扑图防火墙口MH区域 serviee2.2现状描述办公外网目前有局域网包括无线AP用户约500个。业务内网横向通过专线连接多个外联单位、银行等，纵向通过VPN专线连接下属分公司。网络系统分为外网安全出口、外网核心交换、外网接入、服务器、虚拟化等。办公外网和业务专网部署的设备类型有防火墙、核心交换机、接入交换机、无线AP，制造厂商均为国际主流设备厂商。3安全加固及网络优化方案3.1物理安全3.1.1现状的不足

物理结构混乱，逻辑结构不清晰，缺少统一规划。3.1.2优化建议

按照业务类型将网络划分为出口隔离区、核心交换区、外联区、管理区、DMZ区、内网隔离区、无线办公区、有线办公区。3.2网络安全3.2.1现状的不足目前仅在出口部署一台防火墙，内部服务器并没有安全防护。3.2.2优化建议根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离，对整个网络的安全性有所提升。可以实现更为细化的安全控制体系，将攻击和入侵造成的威胁分别限制在较小的子网内，提高网络的整体安全水平。3.3单点故障3.3.1现状的不足

目前整个企业网中存在大量的单点故障，一旦关键节点出现故障，整个企业将面临瘫痪的风险。3.3.2优化建议

1.在核心交换区将目前处于冷备状态的核心交换机与当前正在使用的核心交换机组建成集群网络，保证设备的冗余可靠，在发生安全事件时能够保证网络的畅通，将核心冗余的核心交换设备上的配置保持一致。2.在出口隔离区和内网隔离区增加一台防火墙，保证设备的冗余，在外网安全出口区部署入侵检测系统，帮助系统对付网络攻击，提高了信息安全基础结构的完整性。3.在出口隔离区新增外联区，将外联单位专线迁移至此区域。3.4监控平台3.4.1现状的不足虽然信息中心有对各业务系统监控管理手段，但缺乏一个集中、统一的监控平台，及时发现与解决网络、硬件、安全设备、操作系统、数据库、中间件、应用系统、等突然出现的问题。因服务对象的不同，使用产品混杂。怎样很好地解决以