某某大型集团信息化建设项目_技术方案.docVIP

某某大型集团 信息化建设项目 技术方案 承建单位：河南某某信息技术有限公司 二〇一四年五月  目录 1 某某大型集团网络现状 4 1.1某某大型集团网络现状 4 1.2 某某大型集团安全现状 5 1.2.1网络安全评估 5 1.2.2网络病毒的防范 5 1.2.3网络安全隔离 5 1.2.4网络监控措施 6 1.2.5上网行为管理措施 6 1.2.6 VPN加密传输措施 6 2 网络安全整体规划 7 2.1 网络安全目标 7 2.2 安全方案设计原则 7 2.2.1 综合性、整体性 7 2.3 网络安全体系划分 7 2.3.1 网络安全评估 8 2.3.2 网络防病毒 8 2.3.3 防火墙隔离 8 2.3.4 监控入侵行为 9 2.3.5 上网行为管控 9 2.3.6网络安全服务体系 9 3 某某大型集团网络安全方案 10 3.1网络冗余技术方案 10 3.1.1 VRRP的基本概念 11 3.1.2 VRRP工作原理 11 3.1.3 VRRP快速切换 12 3.2网络安全方案 12 3.2.1某某大型集团网络安全评估方案 12 3.2.2方案设计说明 13 3.3防火墙隔离方案 15 3.3.1 方案设计说明 15 3.3.2 防火墙设置原则 15 3.4网络入侵检测系统 17 3.4.1方案设计说明 17 3.4.2绿盟入侵检测主要功能 17 3.5上网行为管理系统 18 3.5.1方案设计说明 18 3.5.2上网行为管理的主要功能 18 3.6 SSL VPN系统 20 3.6.1方案设计说明 20 3.6.2 SSL VPN的主要功能 20 3.7 链路负载均衡 21 3.7.1 方案设计说明 21 3.7.2链路负载均衡的主要功能 22 3.8网络安全服务体系方案 23 3.8.1网络安全脆弱性修复服务 23 3.8.2网络安全跟踪服务 23 3.8.3网络安全信息服务 24 3.8.2网络安全培训服务 24 1 某某大型集团网络现状 1.1某某大型集团网络现状 某某大型集团网络建设于2008年，用户信息点在1000个以下。地理分布范围在多个区域，主要利用因特网进行外部业务活动。主要的信息点有东区办公楼、调度楼、体育厂、学生公寓、西区服务楼、西区大院、西区学生公寓及各生产车间。各信息点线路基本全部到位。距离较远的以光纤接入，楼层内以超五类布线，实现了百兆到桌面的网络部署。中心机房核心交换机为华为5700；核心路由器华为AR2220作为整个网络的出口；网络接入层交换机为H3C的S3100，大部分不能远程管理。随着集团规模的增加，需要网络办公的人数越来越多，现在的网络设备性能已不能满足正常的办公需要及ERP系统的正常使用。 办公区没有实现无线覆盖，大多数为个人私接无线路由器。随着无线终端办公用户的增多，现在的无线网络已远远不能满足正常的办公需要，并且容易给办公网络造成安全隐患。 1.2 某某大型集团安全现状 目前集团内网络安全设备仅有一台金山防火墙给西区学生公寓使用，集团没有做相关的安全保护措施，存在很大安全隐患，主要包括病毒泛滥、来自网络内部的黑客攻击、信息丢失、服务被拒绝等等，一旦发生网络病毒或攻击事件对整个集团企业网络而言都是致命性的。针对集团企业的结构及特点确定以下几个必须考虑的安全防护要点： 1.2.1网络安全评估 网络在给我们带来巨大的经济效益和社会效益的同时，由于网络协议本身存在的缺陷和软件设计编制上的瑕疵，以及网络结构设计上的缺陷，使得网络系统、计算机系统中存在着种种的脆弱点，这些脆弱点为病毒及非法访问提供了方便之门，并且随着计算机技术的不断发展，新的脆弱点不断产生，因此有必要时刻监视网络及计算机系统，评估网络的安全性，以便对网络的安全性做到心中有数，提高信息网络抗风险能力。 1.2.2网络病毒的防范 在网络中，病毒已从传统的存储介质（软、硬、光盘）感染方式发展为以网络通讯和电子邮件为主要传播途径的感染方式。其传播速度极快、破坏力更强，据统计一个新病毒从一台计算机发出仅六个小时就能感染全球互联网机器，而且每天都有十几种新病毒出现，全世界每个月有将近四百五十种新的病毒出现。网络一旦被病毒侵入并发作，将会对重要数据的保密性、完整性、可用性以及网络环境的正常运行带来严重的危害。所以病毒防范是计算机网络安全工作的重要环节之一。 1.2.3网络安全隔离 目前随着网络的广泛应用，某某大型集团需要通过网络进行信息交流、信息共享等工作。然而，任何事物都具有两面性，信息网络在给我们带来巨大便利的同时，也存在着安全隐患。因此，一旦被非法人员控制某某大型集团的管理权限，所造成的影响和损失是可想而知的。所以在某某大型集团与外部网络之间以及某某大型集团内部重要网络之间通