2023年11月28日发(作者:)

办公⼤楼信息安全⽹络建设⽅案

办公⼤楼信息安全⽹络

建设⽅案

XXXXXXXX公司

20XXXXXX

⽬录

. 概述 (3)

. 建设⽬标 (3)

. 设计原则及依据 (4)

3.1设计原则 (4)

3.2设计依据 (5)

. 现状分析 (6)

. 项⽬需求分析 (7)

5.1⽬标分析 (7)

5.1.1 建⽴有效的隔离安全机制 (7)

5.1.2 针对全⽹实现可⾏的⾏为分析 (7)

5.2业务需求分析 (7)

. 总体建设⽅案 (8)

6.1建设⽬标 (8)

6.2建设内容 (8)

6.3建设原则 (9)

6.3.1 先进性原则 (9)

6.3.2 ⾼可靠性原则 (9)

6.3.3 可扩展性原则 (9)

6.3.4 开放兼容性原则 (9)

8.3上⽹⾏为管理系统 (17)

. 整体⽹络产品选项 (18)

. 费⽤预算清单 (19)

.概述

随着信息技术的迅猛发展,利⽤计算机的⾼新技术,⼤⼤提⾼了⼯作效率,提⾼了信息化的管理⽔平。鉴于任何系统都可能因

设备故障、系统缺陷、病毒破坏、⼈为错误等原因导致⽹络速度下降甚⾄系统崩溃,严重影响企业办公活动的正常开展。信息

系统安全建设的⽬的在于保障重点信息系统的安全,规范信息安全,完善信息保护机制,提⾼信息系统的防护能⼒和应急⽔

平,有效遏制重⼤⽹络与信息安全事件的发⽣,创造良好的信息系统安全运营环境。

.建设⽬标

建设⼀套符合国家政策要求、覆盖全⾯、重点突出、持续运⾏的信息安全保障体系,达到国内⼀流的信息安全保障⽔平,⽀撑

和保障信息系统和业务的安全稳定运⾏。该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,

满⾜企业信息安全要求。

本⽅案的安全措施框架是依据积极防御、综合防范的⽅针,以及管理与技术并重的原则,并结合等级保护基本要求进⾏设

计。

技术体系:

⽹络层⾯:关注安全域划分、访问控制、抗拒绝服务攻击,针对区域边界采取防⽕墙进⾏隔离,并在隔离后的各个安全区域边

界执⾏严格的访问控制,防⽌⾮法访问;利⽤漏洞管理系统、⽹络安全审计等⽹络安全产品,为客户构建严密、专业的⽹络安

全保障体系。

应⽤层⾯:WEB应⽤防⽕墙能够对WEB应⽤漏洞进⾏预先扫描,同时具备对SQL注⼊、跨站脚本等通过应⽤层的⼊侵动作实

时阻断,并结合⽹页防篡改⼦系统,真正达到双重层⾯的⽹页防篡改效果。

数据层⾯,数据库将被隐藏在安全区域,同时通过专业的安全加固服务对数据库进⾏安全评估和配置,对数据库的访问权限进

⾏严格设定,最⼤限度保证数据库安全。

⽅案收益:

有利于提⾼信息和信息系统安全建设的整体⽔平;

有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展;

有利于为信息系统安全建设和管理提供系统性、针对性、可⾏性的指导和服务,有效控制信息安全建设成本;

有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障重要信息系统的安全;

有利于明确信息安全责任,加强信息安全管理;

没有绝对的安全,安全和易⽤性是⽭盾的,需要做到适度安全,找到安全和易⽤性的平衡点。

内外并重:

安全⼯作需要做到内外并重,在防范外部威胁的同时,加强规范内部⼈员⾏为和访问控制、监控和审计能⼒。

标准化

管理要规范化、标准化,以保证在能源⾏业庞⼤⽽多层次的组织体系中有效的控制风险。

技术与管理并重:

⽹络与信息安全不是单纯的技术问题,需要在采⽤安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和

操作规程,全⾯提⾼安全管理⽔平。

3.2设计依据

根据现有情况,本次⽅案的设计严格按照现⾏⾏业的⼯程建设标准、规范的要求执⾏。在后期设计或实施过程中,如国家有新

法规、规范颁布,应以新颁布的法规规范为准。本⽅案执⾏下列有关技术标准、规范、规程但不限于以下技术标准、规范、规

程。

信息系统通⽤安全技术要求(GB/T 20271-2006

信息系统安全管理要求(GB/T 20269-2006

信息系统安全⼯程管理要求(GB/T 20282-2006

信息系统物理安全技术要求(GB/T 21052-2007

⽹络基础安全技术要求(GB/T 20270-2006

信息系统通⽤安全技术要求(GB/T 20271-2006

操作系统安全技术要求(GB/T 20272-2006

数据库管理系统安全技术要求(GB/T 20273-2006

信息安全风险评估规范(GB/T 20984-2007

信息安全事件管理指南(GB/T 20985-2007

务器请求攻击、对DNS服务器发起查询攻击,使得DHCP服务器、DNS服务器不能响应正常请求,导致服务器瘫痪,业务中

断。

⽹络单点故障点较多

需要在关键节点增加冗余部署,减少单点故障导致的⽹络安全事故。

随着企业信息化的逐步深⼊,系统逐渐增多,包括应⽤服务器、数据库服务器等,⽽这些系统由于管理及防护不到位,⽬前⾯

临着较严重的安全威胁:

不能有效抵御应⽤层的攻击

在整个⽹络架构体系中,应⽤系统区域没有部署安全防护设备,因此,针对该区域的⼀些违规或攻击⾏为,将⽆法监控及处

置。

.项⽬需求分析

5.1⽬标分析

5.1.1建⽴有效的隔离安全机制

6.3.3可扩展性原则

企业⽹络在不断的扩充变化,要求在保证⽹络安全的基础上整个⽹络具有灵活的可扩展性,特别是对安全区域的新增以及原有

安全区域扩充等要求具有良好的⽀持。

6.3.4开放兼容性原则

企业⽹络安全产品设计规范、技术指标符合国际和⼯业标准,⽀持多⼚家产品,从⽽有效的保护投资。

6.4项⽬建设总体框架设计

6.4.1设计⽅案综述

6.4.1.1统⼀规划实施

为了保证各项管理系统和应⽤系统的集成与开发的合理性、先进性及可扩充性,系统建设必须以需求为导向,统⼀规划、分期

实施、稳步推进。

6.4.1.2统⼀标准保障安全

统⼀安全标准、统⼀⽹络体系、统⼀交换标准,保障系统互通与安全。要求系统必须遵循国际标准,具有可共享性、可扩充

性、可管理性和较⾼的安全性。因⽽要正确处理发展与安全的关系,重视⽹络与信息安全,逐步形成⽹络与信息的安全保障体

【合规性要求】

7.2.1.2防病毒模块(防⽕墙模块)

国家制度中,对⽹络安全和主机安全都明确提出了恶意代码防范要求,并且主机防恶意代码产品应具有与⽹络防恶意代码产

品不同的恶意代码库。

⽹关级的病毒过滤,能够有效防范基于⽹络传输的病毒,防⽌病毒通过⽹络跨⽹段传播,本项⽬中采⽤带防病毒模块的防⽕墙

产品实现。

【合规性要求】

7.2.1.3上⽹⾏为管理系统

在互联⽹出⼝⽹关防⽕墙下部署上⽹⾏为管理系统,对互联⽹终端的上⽹⾏为和流量管控起到控制作⽤。

(5)⼤⼤提⾼了⽹络的安全性。

考虑到使⽹络更加合理、今后更好地拓展、有利于查出故障症结,⽽且考虑到⽤户实际需求,需要部署冗余链路,在⼀条上⾏

链路断开的时候,流量能切换到另外⼀条上⾏链路转发,还能合理利⽤⽹络带宽。此时可以在⽹络中部署MSTP解决环路问

题。MSTP可阻塞⼆层⽹络中的冗余链路,将⽹络修剪成树状,达到消除环路的⽬的,同时实现可靠性及流量的负载分担。

核⼼交换层是⽹络的核⼼交换节点,它将多个楼层连接起来,进⾏数据⾼速转发。⽤户数据通过汇聚层上⾏到核⼼层,通过核

⼼⽹获取所需业务。

.安全产品介绍

8.1防⽕墙系统

8.2⼊侵检测系统

8.3上⽹⾏为管理系统

主要功能:

1、精细应⽤识别,管控您的⽹络

DPI+DFI深度⾏为识别技术,准确识别上百种P2P应⽤,并加以限流、封堵等精细化控制,⽀持对市⾯主流30余种IM聊天⼯具

进⾏识别并控制能够识别⽤户论坛发帖⾏为,针对发帖敏感关键字设置过滤,并⽀持主动报警对开⼼⽹、QQ 农场等⽹页游

戏,以及魔兽世界等多种主流⽹络游戏进⾏识别并控制⽀持30余种主流炒股软件,并可细化识别⾏情查询与在线交易,加以

区分控制。

2、专业⽹页分类,健康您的⽹络

国际领先的⽹页预分类技术,对含有有害、不健康内容的⽹页进⾏过滤,创建⽂明健康上⽹环境,⾼达4000万条全球规模最

⼤的中⽂URL数据库,全⾯覆盖中⽂地区站点,确保分类准确⽆遗

3、终端⽤户准⼊,规范您的⽹络

30余种⽤户⾝份识别/认证⽅式,确保⼊⽹⽤户⾝份合法有效,避免外来隐患⽀持ICG提供web推送认证,可配合短信验证使⽤

4、带宽合理分配,优化您的⽹络

精确识别各种互联⽹应⽤,包括各种对带宽占⽤极⼤的主流P2P软件与在线视频软件

基于应⽤或⽤户对流量进⾏管理,对指定类型的流量进⾏限速,避免占⽤过多⽹络带宽,为关键业务提供带宽资源保障

5、实时监控审计,洞悉您的⽹络

查看上线⽤户的⽹络使⽤时间与流量信息,及时发现异常⽤户

全⾯了解⽤户上⽹⾏为,包括⽹页访问、邮件收发、即时聊天、论坛发帖、⽹络娱乐等所有互联⽹活动

对于⽤户通过邮件、聊天、论坛等⼯具外发信息进⾏合理监控

6、⽤户私接控制,监管您的⽹络

可对⽤户的私接设备数量、设备类型进⾏实时监控,

可设置达到⼀定数量私接时进⾏封堵、对封堵时间可进⾏设置

⼀⽬了然的私接原因描述

.整体⽹络产品选项

⽹络点位情况说明:(主要两⼤区域,办公楼和⼚房区域)

4

监控10 ⽆线ap 7 poe交换机)124POE交换机

门禁1 有线46 (接⼊层交换机)148⼝普通交换机

3

监控7 ⽆线ap 8 poe交换机)124POE交换机

有线88 (接⼊层交换机)248⼝普通交换机

2

监控8 ⽆线5 poe交换机)124POE交换机

有线96 门禁2 (接⼊层交换机)348⼝普通交换机

1

监控21 ⽆线ap 6 poe交换机)224POE交换机

有线62 门禁8 (接⼊层交换机)248POE交换机

⼚房区域(只⽤POE交换机):

监控

停车场4 型材⼚房区域29 库房区域11 粗锂⼚房区域41

共计:85 424POE交换机)

⽆线ap

型材⼚房3 库房区域 6 粗锂⼚房区域 6

共计: 15 124POE交换机)

产品参数说明:

1、防⽕墙

2、上⽹⾏为管理系统

3、⼊侵检测系统

4AC控制器

5、核⼼交换机(2台核⼼交换机,⽀持万兆,核⼼交换机之间,以及核⼼和汇

聚交换机之间均通过万兆连接)

6、汇聚交换机(2台汇聚交换机,⽀持万兆)