IT基础建设方案-初稿.docVIP

XXXX社保局 信息化平台系统设计方案 初 稿 XXXX科技有限公司 2011年6月 目 录 第一部分 总述 3 1. 项目情况 3 2. 建设原则 3 第二部分 网络建设 4 1. 网络架构 4 2. 网络系统 5 2.1. 网络三层架构 5 2.2. Internet接入网络结构 6 第三部分 安全系统建设 7 1.1. 操作系统的安全规划 7 1.2. 防火墙(Firewall) 8 1.3. IPS（入侵防御） 8 1.4. 防病毒(Anti-Virus) 9 第四部分 存储系统 10 1.1. 存储规划 10 1.2. 服务器应用情况 10 1.3. 数据情况分析 11 1.4. 存储规划设计 11 第五部分 数据安全系统 13 1.1. 规划指标 13 1.2. 业务分级 13 1.3. 数据安全架构 15 1.4. 业务等级 16 总述 此次项目是XX县社保局整体信息化系统建设方案。从前期了解的情况来看，社保局需要对其信息化业务平台进行统一规划。所涉及的方面包括：网络系统建设、服务器主机系统建设、存储系统构建及数据安全系统规划等。 项目情况 社保局此次准备在一幢新办公大楼建设IT信息化平台，整个系统都需要重新建设。从了解到的情况来看，社保局信息化平台如下： 从应用结构上看，应用服务器主要包括：五险服务器（每个险种由一台服务器提供）； 社保局网络由两部分构成：党政专网（用于业务内网连接，提供关键业务的访问），互联网（满足内部用户上网功能）； 由于社保局信息化系统的特点，要求安全等级比较高，需要将两个网络进行物理隔离； 内部终端用户有300多台，每个终端都要能访问业务服务器。同时，每个终端由于等级不同，一些终端要求具备同时访问内网与互联网的能力。 关键业务系统是整个社保局信息平台的核心，要求能满足在灾难来临时能提供一定的保护措施与安全防护手段。 建设原则 在方案设计中，我们将从支撑信息化平台的各个方面来进行规划，建设一套满足用户要求的信息化平台系统。 网络建设 网络架构 网络建设是信息化平台的基础，网络的整体规划是网络建设的第一部，从对上述要求的分析，我们规划网络架构如下： 在网络建设中，我们采用两套网络：一套专网，一套互联网。两个网络利用隔离卡实现物理隔离： 物理隔离卡是一个接口卡，将单一系统分成两个系统，且位于不同的网络环境中。每一个系统有其自己的资源，且不能共享，只连接唯一指定网络。 将物理隔离卡安装在每一台客户端单机上，且为每一个客户单机购买一个存储外部网数据的硬盘。因为物理隔离卡不仅可以物理隔离内部网和外部网，而且可以物理隔离内部网硬盘和外部网硬盘。 所以为了正确运行产品，需额外为外网购买一个硬盘。 在系统中安装两个硬盘，分别装入独立的操作系统，通过物理隔离卡控制两个已分离的网络线和硬盘，而且当一个系统运行时，另一系统处于关闭状态。欲转换系统，需要先按正常程序关机，切换控制器，然后重新启动系统。这样一个重新启动过程，也是一个对CPU、内存、显示缓存等各种缓存进行物理清零的过程，以确保内外网信息不会经缓存相互间接传递，从而真正达到物理隔离的要求。 网络系统 网络三层架构 由于实现了两套网络的隔离。每套网络都有自己的网络接入与核心设备。为满足不同的功能，网络的连接的方式有些不同，对网络的规划，我们采用三级分层的网络系统来规划整个网络： ?核心交换层：由两台三层交换机构成，实现双机容错工作，保证数据的高速、无阻塞的交换。 ?分布层：可以由一组支持三层基础功能的交换机组成，负责完成服务器负载均衡和策略分布任务。主要部署在各个楼层，作为楼层与中心机房的通信设备。 ?访问接入层：由一组二层交换机组成，完成客户端的高速接入工作。主要部署在各办公区域 ?后端网络：实现IDC管理中心，数据库、邮件、应用等服务器和存储系统的连接，托管服务器通过第二块网卡和后端网络相连，保证独立和高速的数据访问。 Internet接入网络结构 由于本系统Internet接入服务用户主要来自于同层楼内的办公区，且相距较近，所以全部采用LAN结构为这些用户提供接入服务，如下图所示: 安全系统建设 从网络架构上来看，由于采用了物理隔离的网络规划，内部党政专网在一定程度上来说可以避免受到外部非法用户侵害的可能性。而与互联网络直连的外部网络则存在很大的安全隐患。也是安全系统主要考虑的对象 外部网络系统安全架构的设计将包括两个方面：防止网络外部用户对内部网络系统可能的攻击，以及防止网络内部各子系统之间可能的攻击。这两个方面所采用的技术和思路是一致的。 系统安全架构将从三个层次来考虑：网络层、主机/服务器系统及应用层。 网络层的安全主要是防范对于整个网络的非法访问，一般通过防火墙来实现。通过配置了多级防火墙，以隔离网络各个组成部分相互之间的非法访