信息安全集成设计方案

XX科技有限公司 1、项目背 2、需求分 3、系统设 设计依据及设计原 信息安全技术设 信息安全管理设 产品选 1201010184.68平方公里，位于成都高新区西部园区。新设型)和成都出口加工区南区（803区）进行整合扩展而成的。2综合布线系统包括管理网G（六类系统、业务网Y（超五类系统、互联5个系统（可根据监管要求及功能设置作相应调整5类屏蔽电缆。44芯多模光纤；准《综合布线系统工程设计规范》GB50311的有关规定。90~130150mm,桥架宜采用网格式桥架。UPS10KVAUPS210KVA30分钟。3（GB17859-2008（GB/T22240-（信安字[2007]10号（GB/T20271-（信安秘字[2009]059号（GB/T20269-（GB/T20282-（GB/T21052-（GB/T20270-（GA/T708-（GA/T709-（GA/T710-（报批稿（报批稿（GA/T713-（GB/T20272-（GB/T20008-（GB/T20273-（GB/T20009-（GB/T20279-（GB/T20277-（GB/T20278-（GB/T20280-（GA/T684-（GA/T686-（GA/T681-（GB/T21028-（GB/T20275-（GA/T700-（GA/T683-（报批稿（报批稿（GB/T20281-（GB/T20010-（GB/T18018-（GB/T20011-（GA/T682-（GB/T21050-（GA/T685-（GA/T671-（GA/T671-（GA/T686-（GA/T711-（GA/T712-（GB/T20277-（GB/T20280-（GB/T20984-（GB/Z20985-（GB/Z20986-（GB/T20988-1235年以上的需求发展。456建立完善的网络安全体系，保证海关信息中心网络设备的安全运行。789图9主配线间楼层配线间各配线间设置光纤配线架,19”标准机柜内，用1000M连接。1.名称:2.技术参数：HPDL580G7E75202P1.名称:2.技术参数：HPDL388G7E5506EntrySvr（配内置光驱，2*146G双端口热插拔硬操作系统（服务器Windowsserver2003coem企业版1.名称:操作系统（服务器2.Windowsserver2003coem数据库软件Server20081.名称:2.规格型号：SQLServer20081.2.技术参数:LS-5120-28P-SI-H3LS-5500-28C-1.LS-5500-28F-EI-1.2.技术参数:LS-5500-28F-EI-AC8操作系统（客户机WindowsXPP1.名称:操作系统（客户机2.WindowsXPP1.2.MSA2300SAG212槽,6x300GSAS1.名称:2.规格型号：ROSEFORWINDOWS8.51.名称:2.型号:ZFDF-3.参数：标称通流容量：≥20KA BVR-BVR-25mm2铜芯线，均压环引至联合接地2.BVR-BVR-50mm2铜芯线，均压环引至联合接地2.1.名称：抗静电地板接地跨线1.均压环材质、规格、技术要求:30*3BZGG120-1.B级ZGG120-2.CZGG80-1.C级ZGG80-2.DZGG40-1.C级ZGG40-2.1.名称：输入输出模块JF-.名称:JTY-GD/JF-2.1.名称:感温探测器JTW-BCD/JF-2.1.名称:J-SAP-M/JF-2.1.名称:声光报警装置JBU-2.1.名称:JB-QBZ-2.1.名称:控制器电源*4KG1.2.点数:≤1281.2.规格型号：1路市电入、1UPS入、路市电出、10UPS1.2.规格型号：1路市电入、1UPS入、路市电出、15UPS柜式空调1.2.UPS1.名称：UPS2.规格类型：30KVA,1小时,输入为三相,输出为三相,芯电线，9355-30-N-UPS1.名称：UPS2.类型：EDX15KXL31(15KVA、1数据库服务器HPProLiantDL580CPU类型：Intel7500CPU型号：XeonE7520CPU频率：1.866GHzCPU数量：4颗CPU数量：4颗总线规格：QPI4.8GT/sCPU核心：四核CPU线程数：扩展槽：11硬盘描述：3300GBSAS8SAS/SATA/SSD硬盘RAID模式：1P410i/512MB光驱：薄型SATADVD网络控制器：1GbENC375i系统管理：HPInsightControl套件24x7支持iLOInsightControl（iLO电源数量：4个HPProLiant服务器发挥最佳应用程序运行时间和性能为客户带来更多的效HPProLiantDL580G7利用HPProLiantDL580G7服务器可扩展的4核性能和类似IntelMachineCheckArchitecture(MCA)复原的耐用安全功能，增进系统可靠性。与前一代8插槽服务器相比，HPProLiantDL580G7为数据密集型应用程序带来3倍于以前的数据库性能。因为采用Intel7500系列处理器，该服务器允许向HPProLiantx86适用于HPProLiantDL系列G7服务器的HPIntelligentPowerDiscovery，在通过HPInsightControl提供的IntegratedLights-OutAdvanced(iLO3)，加速HPInsightControlHPProLiantHPMissionCriticalServices应用服务器ProLiantDL388CPU类型：Intel5600CPU型号：XeonE5649CPU频率：2.53GHzCPU数量：1颗CPU数量：2颗总线规格：QPI5.86GT/sCPU核心：六核CPU线程数：12内存描述：PC3-10600RRDIMMDDR3PC3-10600EUDIMM8SFFSATA/SAS硬盘RAID模式：P410i网络控制器：两个NC382i系统管理：iLO27.2kg惠普ProLiantDL388G7(616659-AA1)机架式服务器一款品质高、价位合理5600系列处理器作为核心保障，配合大容量的内存和硬盘存储，增加机身惠普ProLiantDL388G7(616659-AA1)ProLiantDL388G7(616659-AA1)Intel5600系XeonE562032nm制程工艺，频率为2.4GHz，通过智能加速主频，使处理器的频率提升到2.666GHz，配合12MBProLiantDL388类型内存，智能阵列ProLiantDL388G7(616659-AA1)2NC382i双端口千兆网卡，并配合iLO3管理程序，增加机体整体可控程度。ProLiantDL388G7(616659-AA1)机架式服务器的主板6192GB8TB，充分保障运转的流畅程度。ProLiantDL388G7(616659-AA1)机架式服务器是一款性价比非常高的2UIntel5600XeonE5620型号处理核心，2NC382iiLO3管理程序，充分保障了机体的可靠性磁盘阵列HP产品型号序列号描述数量HPMSA2324fc1GB4GbFibreChannelRAID0,1,3,5,10,5064242.5HPMSA2312fc每个控制器1GB缓存;24GbChannelRAID0,1,3,5,6,10,50HPMSA2312sa1GB缓存;4SASRAID0,1,3,5,6,10,50；直连最大8SASBLSwitch6412HPStorageWorks2324sa1GB4SASRAID0,1,3,5,6,10,508SASBLSwitch242.5HPMSA2312iLFF1GB缓存;1GbiSCSIRAID0,1,3,5,6,10,3212HPMSA2300fcSANStarterHAUpgrade包括额外一个单独控制器，1×88GbSANAJ955A选一个LFF或SFFFC/SA/iSCSIHPMSA2324SFF2.5“2242.5寸硬盘插槽，冗HPMSA2312LFF3.5”2123.5寸硬盘插槽，冗DCHPMSA20123.5“HPMSA20242.5”HP2300fc磁盘存储控制器，1GB缓存;24GbFibreChannel端口;64HP2300saG2ModularSmartArray1GB缓存;43GbSASRAID0,1,3,5,6,10,508个主机SASBLSwitch64个主机HPMSA2300iModularSmartArray1GB21GbiSCSI32StorageWorksStorageWorksMSA2300FC(AJ798A)2U16TB。内置三种硬盘SAS、SATAIISCSI，可满足日常0,1,3,5,6,10,50。StorageWorksMSA2300FC(AJ798A)磁盘阵列支持MicrosoftWindowsServer2008IA32,x64,IA64(Standard,Enterprise,Datacenter)，MicrosoftWindows2003and2003R2IA32,x64,IA64RedHatLinux(32/64)等多种操作系统。1500000小时。骨干网交换机S5120-28P-H3CS5120-SIH3C技术有限公司自主开发的全千兆二H3CS5120-SIS5120-20P-SI：1610/100/1000Base-T以太网端口，41000Base-XS5120-28P-SI：2410/100/1000Base-T以太网端口，41000Base-XS5120-52P-SI：4810/100/1000Base-T以太网端口，41000Base-XH3CS5120-SI系列全千兆以太网交换机提供灵活的16/24/48个10/100/1000MSFP插槽，充分考虑用户的户投资。H3CS5120-SI104Gbps交换容量，保证所有端口二H3CS5120-SI系列交换机采用专利技术允许交换机利用专用互联电缆实现H3CS5120-SIARP入侵检测功能，可有效防止黑客ARP报文实施网络中逐渐盛行的“中间人”DHCPSnoopingARP欺骗报文直接丢弃。内的非法地址仿冒，以及大量地址仿冒带来的DoS攻击。另外，利用DHCPSnoopingDHCPDHCP环境H3CS5120-SIMAC地MAC地址允许/限制流量，或者设定每个端口允许的MACMAC地址可以由管理员静态配H3CS5120-SI802.1XMAC认证方式对接入的用户GuestVLANCAMS服务器配合还可以实现代理检测、SNMPv1/v2/v3OpenViewiMC智能管理中心。CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。SSH2.0等加密方式，使得管理更加安全。H3CS5120-SIVCT（VirtualCableTest）电缆检测功能，便S5120-28P-（长×宽×高（1Console2410/100/1000Base-T以太网端口，41000Base-XSFP千交换容量（全双工包转发率（整机LACPIEEE802.3x流控（全双工支持基于端口速率百分比、ppsbpsVLAN（4K个DHCPDHCPDHCPSnoopingIGMPSTP/RSTP/MSTPMACMACIP地址、TCP/UDP端口号、协议类型、VLANIEEE802.1p/DSCP优先级4个队列支持端口队列调度Radius认证SSH802.1XMAC地址认证GuestVLANMAC地址学习数目限制IP源地址保护ARPIP+MAC+（CLI，Telnet，ConsoleSNMP，WEB网管RMON（RemoteMonitoring）iMC智能管理中心HGMPv2Modem远端拨号NTPTelnetVCT（VirtualCableTest）电缆检测功能Loopback-detection端口环回检测额定电压范围：100V～240V最大电压范围：90V～264V功耗（满负荷时工作环境相对湿度（非凝露核心网交换机LS-5500-28C-H3CS5500-EIH3CIPv6强三层万兆IPv6时代；除此以外，其出色的安全性，可靠性和10GEH3CS5500-EI系列交换机支持10GE的扩展能力，尽力保护用户投资。IPv4/IPv6IPv4IPv6三层IPv4IPv6的平滑升级。H3CS5500-EIEAD（端点准入防御）功能，配合后台系统H3CS5500-EIMAC地址认证、802.1x认证、PORTALCAMS系统对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。H3CS5500-EIACL控制逻辑，支持超大容量的入端ACL资源的浪费。另外，S5500-EI系列还将支持单播反向路径查找（uRPFS5500-EIS5500-28F-EI支持可插拔的冗余电源模块，也就PoE（PoweroverEthernet）技术，通过以太网对所连接的设备（IPPhone,WirelessAP等）进行远程供电，从而使得不必在使用现场为设备部署单VoiceVLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入VoiceVLAN（VLAN）中，为语音流量提供专门通道，并自动下发优先级规VoiceVLAN安全特性，VoiceVLAN内的语音流量H3CS5500-EIMCEVPN网络带来与网络内的VPNVPN创建和维护独立的路由转发表VRF丰富的QoSH3CS5500-EIL2（Layer2）~L4（Layer4）包过滤功PriorityRobinSP+WRR三种模式。支持CAR（CommittedAccessRate）功能，粒度最小达H3CS5500-EISNMPv1/v2/v3（SimpleNetworkProtocolSSH2.0等加密方式，使得管理更加安全S5500-28C-交换容量（全双工包转发率（整机外形尺寸（长×宽×高（1Console2410/100/1000Base-T41000Base-XSFP双机热备份软件 FORWINDOWS8.5版RoseHA双机系统的两台服务器（主机）都与磁盘阵列（共享存储）系统直RoseHA高可用软件分别安装在两台主机配置好的系统主机开始工作后，RoseHA软件开始监控系统，通过私用网络传递RoseHA软件都可监控另一台主机的状态。当工作主RoseHARoseHA就会控制系统进行主机切换，即备份机启动和工作主机一样的应用程序接管工作主机的工作（TCP/IP网络服RoseHA主机。在进行网络服务时，RoseHA提供一个逻辑的虚拟地址，任何一个客户过私用心跳网络连接。系统主机开始工作后，RoseHA软件开始监控系统，通过RoseHA软件。之后，RoseHA就会控制系统进行服务切换，行维护。当维护完毕后，RoseHA可以自动或手动地将切换回原先的工作主机。也可以选择不切换，此时维修好的主机就作为备份机，双机系统继续工作。下 HARS232线路或专用100/1000MCPU资源也不占用基础业务网络RoseHA的特色功能，在实际的应用中得到用户的一致好评。支持丰富的应用配置，如：Oracle、SQLServer、Sybase、ExchangeRoseHARoseHA提供了友好直观的图形安装界面和监控管理界面。通过直观而又方JavaApplet管理界面，用户可以交互式地对集群系统进行配置、监控和管Applet的网络特性，通过网络对系统进行远程管理，实时地显灵活的Active-Active模式和Active-StandbyRoseHAActive-ActiveActive-Standby模式。用户可指定每台服RS-232RoseHA当系统出现故障时（如：系统宕机、HA进程/应用进程被杀掉、RS-232、SCSI、光纤、网络线缆断开），RoseHA将确定故障原因，并采取相应对策，并同样是致命的故障。如果该服务器配备了冗余的网络接口，RoseHA会使用它来VolumeManager软件管理的磁盘阵列，RoseHA提供了相应的处理程A将处理这个失败。如果希望两个服务独立地进行切换，则此两PP地址，在发生切换时，HA会将P的服务都切换到另外一台服务器上去。Agent程序，使服务监控更切实际，更加有效；Agent程序，执行与特定服务相关的状态诊断及错误恢复工作的。SQLServer2008MicrosoftSQLServer2008提供了有助于有效管理安全性功能配置、强身份使用SQLServerAudit合配置策略。使用新的接口区Facet控制使用中的服务和功能，以降低暴露在WindowsUpdateSQLServer2008。减少已知软件弱点所造成自动应用MicrosoftWindowsServer2003(或更新版本)的密码策略，以强制使用角色和Proxy使用msdb使用多个Proxy帐户，让当做作业步骤的SQLServerIntegrationServices(SSIS)封装执行更安全使用执行内容标示模块，以便使用特定的用户身分(而不是调用的用户身分在SQLServer2008中使用内置密码编译层次结构来创建非对称密钥、对称(DEK)，以透明方式在数据库层次结构执(如存储结构和函数)，然使用SQLServerAudit定义审核，自动将活动记录在记录文件、Windows应用程序记录文件或Windows安全日志中。创建审核规格来判断要并入审核的服务器和数据库动作，使用DDL使用触发程序捕获及审核数据定义语言(DDL)活动。扩充触发程序来响应DDL事件和数据操作语言(DML)事件，并记录DDL事件，以改善审核及增WindowsServer2003WindowsServer2003R2MicrosoftWindows2003Server安全性技术方面做出的创新给客Windows2003Server以安全为理念重新设计了许多组件，而这些组件也建构出以安全为主要目标的创新。Windows2003Server由基于全新的安全设计原则services的工作程序以较低权限的使用者账户来执行，借由限制网络存取的方法IIS5.0Bug。CommonLanguageRuntime(CLR)Windows2003Server的Windows2003Server中有二十多项服务预设为不安装或以较低的权限执行，以便帮助IT管理员在最IIS6.0在Windows2003ServerInternetExplorer在Windows2003Server中，安全设定的默认值为“高”Windows2003ServerWindowsServer的存取。其中几个使Windows2003Server在部署时更安全的新功能有：PKI经过了重大的改良。现在可以在以IPSEC为基础的VPN及网络通讯、使用802.1x的无线网络验证、智能卡登入、加密的档案系统与其它服务等方面，改进的证书注销列表。Windows2003Server的证书服务器现在支持deltaPEAP)署或管理PKI基础架构的客户。快速、容易地管理终端使用者对WebServ