版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
某企业信息系统规划设计与实现一一以亚洲豹有限公司为例摘要随着现代社会信息化的高速发展,企业网络的建设以及怎么建,需要考虑现代的网络标准及信息安全来设计。简单的网络已经满足不了现代企业对信息化高效率的要求,追求高效率信息传输的同时信息安全也尤其重要,特别是网络威胁的多样化,这就需要一个好的规划设计方案,让企业信息更安全。规划各级安全域,层层保护企业信息,建立信息系统管理制度体系,严格管控内外网络的安全性。在出口部署加密设备、防火墙、入侵防御设备来减少外部网络的威胁,在安全域之间部署防火墙、入侵检测、安全审计等设备来确保安全域之间的防护,打造成高效安全的网络环境。关键词:企业网络建设、信息系统、网络规划设计、信息安全
目录TOC\o"1-3"\h\u41471.项目概述 项目概述建设背景亚洲豹有限公司,在职职工150人,在早期的网络建设中多数为二层交换应用为主,网络访问流量较多,访问经常出现停机状态,在信息安全方面安全隐患。随着业务发展,对信息系统建设的需要做出分析和预测,同时也要考虑信息传输的快速性和安全性以及后期的扩展性等方面。建设内容亚洲豹有限公司信息系统总体规划设计,信息系统规划一个安全域,根据不同功能划分四个安全区,分别为安全管理区、内部应用区、外部应用区和终端接入区,各区之间得到有效的隔离,防止被非授权访问,使公司网络能都更高效和具有安全性。需求分析中心机房建设需求分析拟建中心机房,规划面积为120平米,作为公司网络平台中心机房,要求符合防震、布线、防火、供配电、防火、温湿度等方面达到B类要求建设机房。网建设需求分析亚洲豹有限公司尚未建立统一规范的网络中心,需要敷设两条电信500M裸光纤。建设核心区和管理区的网络平台,提供安全、可靠和稳定的数据传输通道,确保业务应用和资源共享得到安全保障。业务应用系统建设需求分析建设办公业务的信息化,实现跨部门的数据交换和信息共享。公共信息服务的需求为了促进信息共享,方便应用、防止重复建设,节约成本,需要在公司网络平台建设公共信息服务系统、为各部门提供公共信息服务。跨部门业务共享信息交换的需求为了制止盲目建设和重复建设,杜绝浪费,需要对内部具有跨部门业务共享和信息交换的应用系统进行集中建设,实现协调办公和信息共享。公共应用系统建设公共应用系统主要有:公司门户网站系统:提供信息采集与内容发布、互动交流、信息检索等功能。安全电子邮件系统:提供安全鉴别、访问控制、数据安全、数据完整性和不可否认性等安全服务,实现在网络中安全使用传统电子邮件系统的需求。办公系统(OA):实现各部门以及下属公司协同办公,提供办公效率,尤其要提供多部门协同工作时的事务处理和办公协同。系统总体结构设计设计依据及原则设计依据中华人民共和国国家标准(GB)、国际标准组织(ISO)、国际电信联盟(ITU-T)、国际电工协会(IEC)设计原则亚洲豹有限公司信息系统安全设计主要遵循下列原则标准性所采用现代信息技术的标准化、先进成熟技术,可以保证网络发展的一致性,增强网络的兼容性,能够保证系统在日常使用安全性、可靠性、可扩充性、易维护性及开放性。先进性信息系统的主机操作系统、数据库和软件等均使用国际成熟的技术,并且符合国际标准和规范。兼容性根据国家和国际标准的网络规范,并充分考虑不同厂商软硬件兼容性,使符合标准的设备无缝添加到数据中心中。安全可靠性在当今的社会环境中,安全性显得越来越重要。无论是硬件平台还是系统管理软件,都着重安全性的考虑,系统应能实现安全、可靠和稳定的传输,保证系统的安全可靠性。安全域划分原则与功能安全域模型设计采用"同构性简化"方法,对复杂的网络由一些相通的网络模块结构元所组成,以拼接、递归等方式构造出一个大的网络。亚洲豹有限公司内部安全域的划分主要有如下步骤:安全管理区、内部应用区、外部应用区和终端接入区。安全管理区:主要放置网络设备和安全设备,细化安全策略,为所以网络出口提供安全可靠的信息交换。内部应用区:主要放置内部服务器系统,如办公系统(OA):实现各部门协同办公,提供办公效率,尤其要提供多部门协同工作时的事务处理和办公协同。外部应用区:主要放置对外界提供服务的设备,如门户网站系统:提供公司信息采集与发布、互动交流、信息检索等功能。终端接入区:主要放置计算机终端设备,根据不同的部门,划分相应的VLAN和子网,并设置访问控制策略,并且实行有效管理终端级之间相互访问。网络组网关键技术及协议说明网络地址转换网络地址转换(简称为“NAT”)。用于私有地址转换为公网地址,实现局域网可以访问互联网,节省公网地址的个数。使其不遭到浪费。在安全方面可以屏蔽内部的计算机IP地址,使外网的恶意用户无法直接与计算机通信,控制了外网和内部网络主机之间的通信,提供内外网之间访问自由控制的效果。OSPF动态路由协议开放式最短路径优先(简称为“OSPF”)。这是一个路由通信的协议,在早的时候通常使用的是RIP协议,由于RIP还是有很多的缺点,例如是路由收敛较慢、容易形成路由上的环路、拓展性也差等问题,现在已经逐渐被OSPF技术所取代,他是一种通过分析设备物理的链路上发来的OSPF各种信息状态来分析路由的一种协议。采用内部组播通信,不会影响到没有使能该协议的设备。在公司的内网路由建设中起到主要作用,通过OSPF来发布内网的各区域间也就是vlan的路由。虚拟专用网络(IPsecVPN)虚拟专用网络(简称为“VPN”)。在互联网数据传输绝大部分都是赤裸裸(明文传输),可直接抓包查看数据内容,列如一些账号密码等,这样就很容易造成数据被未授权的人窃取或者被冒充,信息泄露对企业和个人造成的损失无法估计。IPsecvpn技术能都很好的解决这些问题,使在不同地区的公司之间建立一条虚拟专用的线路,不同的地区在互联网传输的信息进行加密,传输后也有数据源的认证机制,对数据进行完整性验证,防止未授权人员非法窃取信息,有效了保护企业的信息安全。使IKE秘钥的方式认证,不对计算机存活进行检测(节省资源),网关到网关之间发送的信息进行加密。虚拟路由冗余协议虚拟路由冗余协议(简称VRR”)。是选择和容错的协议,解决局域网中故障路由协议。通过同个区域设置一个主网关和一个备用网关。当网关设备故障时,VRRP协议优先选择备用网关作为当前网关,实现网络故障的快速恢复。同个网段设置一个网关地址,网段之间的通信报文通过缺省路由送往网关,当网关故障时,网段之间无法正常访问。从而实现主和备功能,并主动承担数据流量转发,保证其网络正常运行。虚拟局域网虚拟局域网(简称VLAN)是广播域可直接通信,不同VLAN互相通信是通过三层路由器分配。为了有效管理和降低广播风暴垃圾信息,将网络划分为不同VLAN减少广播风暴,提高网络的传输安全性。网络的总体结构及设计说明、硬件配置网络拓扑结构图(如图1所示)图1所示服务器安全解决方案在外网服务器接入区,使用应用防火墙,针对性的防护,可以对网站服务器和数据库的sql注入常见的不规范行为及攻击进行一个很好的防护。主要设备选型边界路由器(如表1所示)表1设备选型清单序号产品名称厂家型号配置参数单位数量备注1边界路由器华为技术有限公司AR36703个机架高度,电源1+1冗余备份,带业务转发性能4.5Gbps,所有业务板卡支持直接热插拔,硬盘:1TB,内存容量8GB,管理接口1个。套22防火墙北京网御星云信息技术有限公司网御防火墙(百兆)V3.0标准1U设备,单电源;标准配置8个10/100MBase-TX,2个USB口,1个Console接口,支持防火墙基本功能,支持IPSecVPN;并发连接数180万。台53入侵防御系统北京网御星云信息技术有限公司PowerV6000-P53T9-SXH标准2U机架设备,双电源,配置10个千兆电口,24个千兆光口;2个扩展插槽,支持万兆接口扩展;吞吐量:7Gbps,并发连接数:320万,默认配置80个SSLVPN接入用户授权。台24核心交换机华为技术有限公司S5720S-52X-LI-AC48个10/100/1000Base-T以太网端口,4个万兆SFP+端口;支持GuestVLAN、VoiceVLAN;支持1:1和N:1VLANMapping功能台25接入交换机华为技术有限公司S3928F-EI标准1U设备,单电源;24个百兆以太网端口,2个千兆端口和2个电口;支持命令行接口(VLI)配置,支持telnet远程配置,支持通过串口配置,支持SNMP;支持RM0N1\2\3\9组,支持web网管,支持系统日志,分级告警。台3详细建设方案网络规划VLAN划分(如表2所示)名称VLANIP地址段子网掩码网关安全管理区vlan10192.168.1.1-192.168.1.254255.255.255.0192.168.1.1内部应用区vlan20192.168.2.1-192.168.2.254255.255.255.0192.168.2.1外部应用区vlan30192.168.3.1-192.168.3.254255.255.255.0192.168.3.1终端接入区vlan40192.168.4.1-192.168.4.254255.255.255.0192.168.4.1IP地址规划(如表3所示)区域VLAN有效IP地址段子网掩码网关安全管理区vlan10192.168.1.1~192.168.1.254255.255.255.0192.168.1.1内部应用区vlan20192.168.2.1~192.168.2.254255.255.255.0192.168.2.1外部应用区vlan30192.168.3.1~192.168.3.254255.255.255.0192.168.3.1终端接入区vlan40192.168.4.1~192.168.4.254255.255.255.0192.168.4.1安全管理区(如表4所示)设备名称IP地址子网掩码备注路由器(主)192.168.1.1255.255.255.0路由器(备)192.168.1.2255.255.255.0防火墙(主)192.168.1.3255.255.255.0防火墙(备)192.168.1.4255.255.255.0入侵防御(主)192.168.1.5255.255.255.0入侵防御(备)192.168.1.6255.255.255.0核心交换机(主)192.168.1.7255.255.255.0核心交换机(备)192.168.1.8255.255.255.0外部应用区(如表5所示)设备名称IP地址范围子网掩码备注防火墙192.168.2.1255.255.255.0接入交换机192.168.2.2255.255.255.0其他安全设备192.168.2.3~192.168.2.10255.255.255.0预留服务器192.168.2.100~192.168.2.110255.255.255.0预留公司内网的web服务器,需要发布到公网上,但只能访问规定端口号,对于其他端口一律拒绝,并且修改发布到公网的端口号,将内网服务器的80端口映射成公网的8081端口,由于IP地址个数有限,IP地址直接转换成接口上的地址。内部应用区(如表6所示)设备名称IP地址范围子网掩码备注防火墙192.168.3.1255.255.255.0接入交换机192.168.4.2255.255.255.0其他安全设备192.168.3.3~192.168.3.10255.255.255.0预留服务器192.168.3.100~192.168.3.110255.255.255.0预留终端接入区(如表7所示)设备名称IP地址范围子网掩码备注计算机终端192.168.4.1~192.168.4.254255.255.255.0设备登录要求Console口的登录信息设置所有设备的登录认证方式都使用AA认证,设置AA认证的相关信息,用户名:mnky;密码:mnky@123!,设备管理等级为最高等级十五级,服务类型为终端。telnet信息设置所有设备的telnet登录认证方式使用AA认证,设置AA认证的相关信息,vty的用户界面最大为五个,登录空闲超时时间是十五分钟,不使用分离显示,最大显示命令行数为二十五条,AA的用户名:remote;密码:remote@123!,设备的管理登记为最高级十五级,服务类型是telnet。NAT公网地址数量有限,内网地址数量比较多,需要对内网公网IP进行多对一的转换,向当地运营商申请2个公网IP地址,一个为主用,另外一个为备用。通过公网固定的地址接入方式,提供的上网方式,需要使用网络地址转换(简称为“NAT”),将多个内网的地址向一个公网IP转换,允许内网所有计算机访问互联网。公司内网的web服务器,需要发布到公网上,但只能访问规定端口号,对于其他端口一律拒绝,并且修改发布到公网的端口号,实现的方式是natserver,将内网服务器的80端口映射成公网的8081端口,由于IP地址个数有限,IP地址直接转换成接口上的地址。链路聚合公司流量经由两个网关设备转发,那么两个网关之间的二层转发的能力需要提供高效的转发能力及负载分担能力,那么将配置为三条链路上在逻辑上的聚合。聚合口号为1,允许内网的所有业务流量通过,禁止其他不在业务内的流量。VLAN公司根据不同的部门及业务性质,划分不同VLAN,在核心交换机划分VLAN10,VLAN20,VLAN30,VLAN30提供区域之间的隔离,允许所有VLAN访问互联网。访问控制网络层访问控制根据不同的业务性质和不同VLAN划分,各VLAN之间相互访问控制(如表8所示):表8VLAN间访问控制表序号安全区名称VLANIP范围VLAN间访问控制规则安全管理区VLAN10192.168.1.1-192.168.1.254允许与其他VLAN相互访问外部应用区VLAN20192.168.2.1-192.168.2.254允许VLAN10相互访问,禁止与其他VLAN相互访问。内部应用区VLAN30192.168.3.1-192.168.3.254允许VLAN10、VLAN40相互访问,禁止与VLAN20相互访问。终端接入区VLAN40192.168.4.1-192.168.4.254允许VLAN10、VLAN30相互访问,禁止与VLAN20相互访问应用系统访问控制外部应用在外网服务器接入区,使用应用防火墙,针对性的防护,可以对网站服务器以及数据库的sql注入常见的不规范行为及攻击进行一个很好的防护。内部应用网络管理员为使用人员创建唯一用户身份,每个身份对应相应的权限,并根据所属角色,所任职务进行权限及安全策略设置,登录应用系统的用户必须具有自己所对应的用户帐户,根据事先规划的业务流程及用户权限访问自己所能知情的数据资源。综合布线系统设计亚洲豹有限公司信息系统安全管理区网络平台的建设,敷设两条中国电信100兆裸光纤,为一主一备使用,提供安全、可靠和稳定的数据传输通道,确保业务系统和资源共享得到安全保障。信息系统建设过程中,网络综合布线是非常关键重要环节,根据公司信息系统建设的要求,网络综合布线必须按照设计标准EIA/TIA569电信服务商业布线标准进行。基本情况:局域网采用以太网技术,主干带宽达1000Mbps,达到终端设备带宽300Mbps。综合布线系统支持数据等综合信息传输,并能够适应各种不同类型不同厂家的设备。方案设计中数据主干传输介质采用国产6芯室外单模光缆,建筑物内的水平子系统在性能上可采用6类线缆。易于管理。面板、配线架有不用颜色明显的标识,方便机房线路管理、维护。符合当前信息传输的要求,并考虑未来发展的需求;综合布线系统整体设计综合布线系统分析模块化的组合方式由数据、图像和部分控制信号系统统一的传输媒介进行。综合在标准的布线中,将现代建筑的三大子系统连接起来,为现代建筑的系统推广物理介质。综合布线的特点综合布线系统的设计原则首先是基于企业对综合布线系统为基础,最大限度满足用户提出的功能需求,确保使用性。依照国际和国家的有关标准进行。根据各个子系统必须结构化和标准化。所有布线部件采用积木式的标准件和模块化设计,便于排除障碍分析、检查、测试和维修。布线系统的结构综合布线采用星型拓扑结构,结构下的每个分支子系统相对独立运行。任意一个子系统存在改动或者故障都互不影响其它正常子系统服务,节点在星型、环型、树型等结构之间转换并且不影响。这6个子系统每一个都可以独立的、不受其他影响的进入到PDS(综合布线系统)终端中,这6个子系统分别是:工作区系统垂直系统水平系统管理系统设备系统建筑系统综合布线系统详细设计工作区子系统包括线和终端设备连接,并将它们搭建在输入、输出插座与设备终端之间。共设数据点90个为了满足日常办公环境,数据点全部采用超六类非屏蔽信息模块,使用国际防尘墙型插座面板。数据点在每层分布(如表9所示):楼层数据点合计3米非屏蔽超六类条线(条)T568AB插座芯(个)国际防尘墙盒面板(个)7909090909069090909090总计180180180180180表9工作区子系统数据、语音分布表水平子系统将管理子系统配线架的电缆从干线子系统延伸至各个终端设备位置,该系统通常在同一楼层。为了满足高速率数据传输,选用超六类非屏蔽双绞线。各楼层所需要水平电缆长度统计(如表10所示):楼层数据点平均电缆长度(米)每层水平电缆长度(米)71002322506100232250合计200464500表10数据点水平电缆长度统计表垂直子系统垂直干线子系统由连接设备间与各层管理间的干线构成。机房位于6层,6层、7层办公区采用超六类非屏蔽双绞线敷设。采用吊顶的轻型槽型电缆桥架,是一种闭合式金属桥架,并且安装在吊顶内,从弱电井引向设有信息点的办公室。实施计划为了保障好项目实施的工作,及顺利完成目标,实施总体阶段安排如图实施流程(如图2所示)。图2实施流程工程组织为了有效进行进度、质量,确保项目工程顺利实施及维护实施进行,时刻把握和推动整个项目的执行,保证整个项目按时高质量完成工期。项目组:由建设、承建和监督分别委派一位项目管理经理人员,负责项目的管理和监事工作,对本项目全面负责,具体事项包括:制定各小组项目计划书;安排各类小组进度例会日程;时刻监控项目过程和进度;不定期编写项目工作进度和举行项目进度例会;协调本项目过程中人员和资源;工程实施组:遵照工程质量管理要求,按照施工技术规范,项目的具体施工人员,由建设单位工程实施经理负责,包括项目的网络情况的了解,项目试点,制定施工计划,用户的节点验收工作,用户现场的培训,系统故障的应急响应。支持服务维护组:支持服务维护组作用于本项目全部过程,包括本项目实施完毕与维护。主体由建设单位人员组成,支持服务组将按照具体实施方案中对此约定及合同签定后双方所确定的培训计划对用户的有关人员进行分期、分批培训。同时通过多种服务手段及灵活多样的服务方式向用户提供与本项目相关的所有软、硬件方面的支持与服务。质量监督组:对产品和工程施工质量进行监督,对发现的产品质量问题反馈到项目组;对施工的质量问题,反映到承建单位项目经理处;对项目的整个过程按照设计方案要求进行监督,并提出改进意见。任务分工亚洲豹有限公司信息系统建设,涉及建设单位、承建单位和安全产品厂商,各方任务分工如下所示:承建单位职责负责项目的总体组织、安排和协调。负责协调各安全产品原厂商完成产品的安装、调试和联调。负责协调安全产品原厂商提供产品相关的技术与产品的集中培训和现场培训。负责提供信息系统专场培训场地。负责本项目的总技术支持和售后服务。负责协调项目的不同产品原厂商的技术支持和售后服务。建设单位职责负责组织相关管理和技术人员,成立项目组。负责提供资料、场地、人员和工作配合。负责产品安装、调试、联调配合。原厂商职责负责完成产品原厂商安装、调试。负责提供产品联调配合。负责提供产品相关的技术与产品的集中培训和现场培训。负
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 下半年团总支的工作计划范文
- 中班蒙氏数学教学计划中班蒙氏数学教案
- 2024市场营销工作计划范文
- 在校大学生学习计划
- 关于二年级音乐教学计划范文小学二年级教学计划范文
- 幼儿园学期计划模板集合
- 初中班主任第一学期工作计划范文
- 2024小学四年级班主任工作计划表
- 家庭火灾逃生计划作文欣赏
- 2024小学卫生工作计划
- 2021七氟丙烷泡沫灭火系统技术规程
- 车辆采购服务投标方案(完整技术标)
- 《神奇的小电动机》教学课件
- 公租房运营管理服务投标方案
- 宫腹腔镜在不孕症中应用课件
- 能源管理系统EMS用户需求说明书
- 手术医师资质与授权管理制度及程序
- 产品满意度调查报告三篇
- 检验科冰箱、水浴箱、温湿度计记录表
- 2668-人员招聘与培训实务
- 雷雨第四幕剧本由中门上不做声地走进来雨衣上雨还在往下滴发鬓有些
评论
0/150
提交评论