机房综合工程设计标准.doc

机房综合工程设计标准 新机房按国家标准B级标准机房设计和规划。 本方案按机房建设方案依据标准（B级）设计，依据以下国家标准： 《中华人民共和国计算机信息系统安全保护条例》 《建筑与建筑群综合布线系统工程设计规范》（CECS72:97） 《电子计算机机房设计规范》 （GB 50057—1994） 《低压配电设计规范》（GB 50054-1995） 《电缆线路施工及验收规范》（GB 50168-1992） 《计算机机房用活动地板技术条件》（GB 6650-1986） 《通风与空调工程施工及验收规范》GBJ 243-1982 《工业企业通信接地设计规范》GBJ79-1985 《电气装置安装工程接地装置施工及验收规范》（GB 50169-1992） 效果图 电源标签安装图 用户线标签安装图 机房设备整改方案建设 8.1 优化后信息化建设拓扑图 8.2 IP地址及区域设计 根据本项目需求，本方案将重新设计IP地址编址，重设计网络区域结构。具体如下: 区域 VLAN 安全域 外网 / 非信任域 办公区 独立VLAN1 独立安全域 领导区 独立VLAN2 独立安全域 应用区 独立VLAN200 独立安全域 数据库 独立VLAN500 独立安全域 文件存储 独立VLAN100 独立安全域 8.3 路由设计 本技术改造方案主要通过路由技术，采用静态路由技术引导数据流向走向，分离业务流量，提升业务效率。 设备 网络地址 下一跳地址 防火墙 防火墙模式 防病毒 网关部署 根据用户现场实际环境规划 网络行为审计系统 透明部署 ZTE三层交换 DHCP内网核心 入侵防御系统 透明部署 数据库审计系统 旁路部署 8.4 区域设计 本方案设计的网络结构呈现出区域化，层次化构架，主要目的是为了便于网络管理、维护以及安全策略的针对性部署。各区域结构如下所述： Internet区域 Internet区域将原有启明防火墙部署为互联网防火墙，连接新增的100M光纤链路，为档案局内网区域所有需要上网的终端和服务器提供Internet代访问的防护，并设置相应管理策略，控制Internet访问权限和访问应用类型，保证Internet安全访问的需求。 楼层接入区域 楼层接入区域为如10.1.x.0/24网段，与原网络构架保持不变。其访问安全策略主要由其他区域的网关防火墙根据源端进行设置。 核心网区域 部署防病毒网关做为出口网关设备，具备高速转发的能力，在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤，保证上网内网的安全。满足82号令的要求进行网络综合行为的管控设计、存储日志的能力到达60天以上，并且具备公安部门认证资质，在下一阶段安全评测做好基础服务。 服务器区域 服务器区域设计为如/24网段，所有服务器网关指向核心交换机服务器区区域接口，即如。 服务器区域主要有档案信息化应用服务器、WEB服务器、信息化数据库服务器、文件服务器、存储区域网络(SAN)设备等。 所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问，开启3000种入侵规则防护策略，应用防护策略。安全策略采用白名单方式，根据源目IP地址以及目标端口进行设置，最大限度的保证外部区域对服务器区域的安全访问。 内容终端区域 开启此技术特有功能，有效对内网数据、设备接口进行控制 网络及终端安全设计方案 网络系统拓扑图 网络安全优化方案描述 网络综合行为审计与控制 网络的内容日益丰富，变得复杂、多样化。当今，互联网进入了应用级网络时代，大量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而这些问题的本质是“管理”，如何管理员工上网行为，规范上网行为成为了每个企业首要面临的问题。 目前，用户面临网络管理问题具体如下： 无法为员工的上网行为进行有效管理 随着业务不断的扩展，工作人员大大的扩充，现有的设备中已经无法满足公司的对员工上网行为的管理。 关键业务流量无法保证，带宽受到严重堵塞 虽然企业有很高的带宽，可是网络还是常常造成拥堵，网络中存在着大量的P2P软件，不能有效的管理和封堵，使得办公系统运转不顺畅，办公网页无法打开，严重影响了正常业务的顺利进行。 发现异常流量无法有效定位 员工的不合理访问网络，带来多种隐患，导致网络中充斥着大量病毒（如ARP病毒）。病毒在局域网内传输，制造网络攻击，常常造成网络的中断。 档案信息化机密数据的保密无法得到真正的保障 防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ 以及 BBS 论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径，必须进行必要的管理。 非法网站的访问带来了较多的法律风险 员工的上网不节制行为利用企业内部网络访问反动，色情，违反法律等