凌云集图VPN系统安全解决专项方案.docVIP

凌云集团企业 虚拟专用网方案提议书 联想（北京） 8月 保密申明这份提议书包含了来自联想（北京）可靠、权威信息，这些信息是作为网络安全项目可能实施安全处理方案专用，接收这份提议书表示同意对其内容保密而且未经联想集团书面请求和书面认可，不得复制，泄露或散布这份提议书。假如你不是有意接收者，请注意对这份提议书内容任何形式泄露、复制或散布全部是被严禁。 保密申明 这份提议书包含了来自联想（北京）可靠、权威信息，这些信息是作为网络安全项目可能实施安全处理方案专用，接收这份提议书表示同意对其内容保密而且未经联想集团书面请求和书面认可，不得复制，泄露或散布这份提议书。假如你不是有意接收者，请注意对这份提议书内容任何形式泄露、复制或散布全部是被严禁。 TOC \o 1-3 \h \z 一．安全系统分析 4 1.1序言 4 1.2需求描述 4 1.3网络系统拓扑图 4 1.4安全风险分析 5 1.5工程建设目标 5 1.6方案关键考虑 5 1.7方案总体设计 5 1.8设备需求 7 二. 安全系统设计策略及标准 8 三. 信息系统加密设计方案 9 3.1 建设目标 9 3.2 处理关键问题 9 3.3 安全产品选型和联想网御VPN加密方案特点： 12 3.4网御VPN关键技术特征 13 3.5安全管理系统 18 附件. 方案实施 20 一．安全系统分析 1.1序言 凌云集团企业网络系统建设、应用系统建设和安全系统建设，能够根据系统工程设计方法，自顶向下地统一计划、统一设计、渐进获取、分布实施，系统建成后将为一个安全信息应用、共享、公布和交换平台。 凌云集团企业网是集团总部、分支机构、办事处、移动用户组成信息通信网络，是凌云集团企业网业务内部信息应用、共享、公布和交换平台。 1.2需求描述 凌云集团企业网网络现实状况分析和用户需求基础情况：凌云网络是确保集团工作正常进行一个关键支撑基础，而网络安全工作是关系集团信息化建设大事。其工程建设包含凌云集团总部网络中心相关设备更新和购置、各分支机构和办事处局域网更新和建设和广域网链路选择。 1.3网络系统拓扑图 1.4安全风险分析 凌云集团企业网存安全风险： 1). 在集团总部、分支机构、办事处、移动用户之间经过公共网络进行数据传输过程中，传输信息可能被窃取、篡改或破坏。 2). 在集团总部、分支机构、办事处和移动用户网络系统及网络资源可能受到来自非授权访问。尤其是总部网络可能会受到来自其它机构非授权访问和恶意攻击，甚至恶意破坏。 1.5工程建设目标 各分支机构和办事处局域网用户经过ADSL宽带和拨号方法接入INTERNET网，经过VPN通道访问集团总部局域网WWW服务器，经过防火墙进入到凌云集团内部信息网，能够有限制访问专网内主机，能够和指定服务器交换信息。 移动用户包含集团内部领导层、各个部门管理人员、技术骨干人员等。移动用户经过ADSL宽带和拨号方法进入INTERNET网，经过VPN通道访问集团总部局域网WWW服务器，再经过防火墙进入到凌云集团内部信息网，能够有限制访问专网内主机。 1.6方案关键考虑 因为凌云集团企业网安全保密包含国家根本利益，所以在凌云集团企业网信息系统安全建设中首先且必需确保信息传输完整性、保密性。 1.7方案总体设计 鉴于联想企业全方位网络安全产品体系及产品模块化设计，在满足业务需求、降低总成本和方便管理和便于扩展等等前提下，从安全性及高性能角度出发，提议虚拟专用网系统方案以下图所表示。 InternetADSL 接入较多计分支机构武汉凌云信息中心ADSL 接入较多计分支机构当阳凌云信息中心ModemModem Internet ADSL 接入较多计分支机构 武汉凌云信息中心 ADSL 接入较多计分支机构 当阳凌云信息中心 Modem Modem 路由器 路由器 FW/VPNISPISP FW/VPN ISP ISP 移动用户 移动用户 PSTN、ADSLPSTN、ADSL PSTN、ADSL PSTN、ADSL 移动用户 移动用户 Modem VPN用户端 办公区安全服务区 Modem VPN用户端 办公区 安全服务区 ADSL 接入较少分支机构 ADSL 接入较少分支机构 凌云集团 凌云集团虚拟专用网结构图 具体配置以下： 1、在集团总部网络中心配置1套安全管理中心，安全管理中心负责整个网络密钥管理、网关管理和隧道管理，制订访问控制规则，负责动态IP网关检测和控制；配置1台FW EN-T3S含VPN模块防火墙。 2、对ADSL接入方法规模较大分子机构（现在关键有5个），各配置一台台FW S-T3S含VPN模块防火墙。 3、对只有2-3台访问凌云集团总部计算机ADSL接入方法分子机构