2022年双网隔离技术方案通用版.pdf

《2022年双网隔离技术方案通用版.pdf》由会员分享，可在线阅读，更多相关《2022年双网隔离技术方案通用版.pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、双网隔离技术方案通用版计算机网络系统双网隔离建议方案北京银信长远科技股份有限公司二 O一四年七月精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版目录第一章公司简介3 第二章用户需求分析4 第三章总体设计指导思想5 第四章计算机系统双网隔离方案8 第五章、投资预算评估17 第一章公司简介北京银信长远科技股份有限公司( 简称银信科技 )就是一家全国性、专业化的IT 服务整体解决方案提供商 , 注册资本 1、2 亿元人民币 ,

2、就是中国第三方IT 运维服务第一家上市公司。公司现有员工近 700 人, 技术工程师 400 人, 绝大多数工程师具有原厂各类技术认证证书, 证书总数 700多个。银信科技主要经营范围 :IT基础设施、 IT 行业应用系统的建设与运维, 包含数据中心、云平台、容灾备份、虚拟化、信息安全等系统解决方案; 各行业数据中心、各类IT 设备系统的运营维保服务、 IT 技术培训、 IT 人员外包服务、数据中心搬迁及其她IT 增值服务 ; 自有 IT 运维管理软件的销售 ,IT 运维管理咨询及服务等。银信科技资质 :北京市科学技术委员会颁发的高新技术企业证书; 精品资料 - - - 欢迎下载 - - -

3、- - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版信息产业部颁发的计算机信息系统集成一级资质证书;中国软件测评中心颁发的信息系统运维服务能力二级资质证书; 工信部 ITSS(信息技术服务标准工作组)全权成员单位证书 ; 通过 ISO9001:2008 国际质量管理体系认证 ; 通过北京市科学技术委员会的双软件认证。中国银行业数据中心IT 基础设施第三方服务市场排名中名列第一业绩客户行业已涉及金融、电信、电力、航空、政府、教育、交通、商业、IT 业、制造业等众多行业客户

4、。公司近三年营业收入 : 2011年营业收入约为 2 亿元2012年营业收入约为 3、4 亿元2013年营业收入约为 3、8 亿元第二章用户需求分析现需对用户计算机网络进行物理隔离改造, 物理隔离改造工作需要保护单机与内网的数据安全与信息安全, 即重要的数据不能放到与外网相连的计算机硬盘上 , 工作人员可以在同一台计算机终端上根据工作需要进入内网或外网,并在终端上处理重要的数据与进行工作操作, 实现办公网与外网的物理隔离,并有效的保障办公网与外网的数据交换安全。用户分为两个区域 :一个区域 , 约有办公电脑XXXX 台, 其中,20 台需要连接外网; 另一区域 , 约有办公电脑 XXXXX 台

5、, 其中 30 台需要连接外网。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版第三章总体设计指导思想一、系统总体设计指导思想1、严格遵循物理隔离技术规范, 实现内网与互联网的物理隔离。2、在重视科学性、经济性与实用性的同时, 讲求使用效果。3、确保所设计的系统能达到国内领先水平。4、改造后的系统 , 需要有高效的安全防范措施二、系统总体实现目标现需对用户计算机网络进行物理隔离改造, 实现办公网络 ( 内网)与国际互联网

6、(外网) 的双网物理隔离 , 并保障网络与存储数据设备的数据安全与信息安全。通过改造工作 , 在技术上达到 : 1、在物理传导上使内外网络隔断, 确保外部网不能通过网络连接侵入内部网; 同时防止内部网信息通过网络连接泄漏到外部网。2、在物理存储上隔断两个网络环境, 对于断电后会遗失信息的部件, 如内存、处理器等暂存部件,要在网络转换时作清除处理, 防止残留信息串网 ; 对于断电非遗失性设备如磁带机、硬盘等存储设备, 内部网与外部网信息要分开存储; 严格限制可移动介质的使用范围及环境,如 U盘、光盘等。三、本建议方案的实施要点根据用户计算机网络的现实情况,实施内外网物理隔离的要求就是: 1、对计

7、算机系统要进行适当的改造工作, 做到内外网服务器分开设置; 桌面终端计算机可直接实现内网办公或外网应用, 当使用办公网时 , 则外网物理隔离, 当使用外网时 , 则办公网物理隔离。终端计算机上, 办公网与外网的数据精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版存储仓库为完全隔离的两个硬盘, 或办公网存储于机房存储设备, 而外网可存储于计算机的指定硬盘。计算机终端需进行安全保护, 以防止病毒、木马、攻击等威胁设备安全的事件

8、发生。2、网络改造。真正高效的隔离, 就是办公网与外网的网络完全分开, 即为外网重新铺设新的综合布线系统, 从互联网接入端到计算机终端, 外网为独立的网络系统 , 并具备信息安全保护的功能。3、内外网数据传输。内外网之间常有些重要信息需要传输或备份, 双网系统之间存在数据交换需求: 外网用户可以访问内网的数据库, 并且能够保护内网安全。如果使用U盘等移动设备来拷贝 , 就会面临病毒的威胁。但就是如果开放网络 , 让内网与外网之间互通 , 又会使双网的意义丧失。为保护办公网的数据与信息安全 , 需要在办公网与外网之间架设安全隔离与信息交换系统, 它应用在用户双网之间 ,主要负责数据的安全交换,阻

9、止已知的以及未知的入侵与内部信息的泄漏 ,并且把内外网传来的数据掌控在可控的范围内,实现了可控的、高效的、实时的、安全的信息交换。网络改造完成后的拓朴图如下: 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通

10、用版第四章计算机系统双网隔离方案一、企业外网网络的新建为了打造企业办公网与外网完全隔离的网络系统, 需要新建一套与企业办公网平行的企业外网网络系统。主要设备包括: 计算机终端改造、独立的服务器( 可选)、防火墙、交换机、综合布线系统、计算机终端安全防护系统等。企业外网网络系统的拓扑图如下: 根据培训与评价中心的终端分布情况, 整个系统分为两个区域, 贵阳区域计算机终端 20 台,2-3 台带智能网管功能的千兆交换机,1 台高性能可进行分段IP 映射的防火墙 ,6 类非屏蔽综合布线系统 ,免工具综合布线数据终端等若干。清镇区域计算机终端30 台,3-5 台带智能网管功能的千兆交换机,1 台高性能

11、可进行分段 IP 映射的防火墙 ,6 类非屏蔽综合布线系统 , 免工具综合布线数据终端等若干。对计算机终端进行改造 ,配置物理隔离卡、独立硬盘及主板, 以达到双硬盘双网的物理隔离 , 同时 , 还需要对每个需要连接外网的计算机终端安装杀毒软件与个人电脑防火墙等安全防护。如有必要 , 为保障数据防泄漏等要求, 还可以在后期对网络与终端建设一套全生命周期数据泄露防护体系, 包含: 文档安全管理系统 ; 文件透明加密系统 ;文档全线管理系统 ; 文档外发管理系统 ; 文档加密安全网关系统; 可信介质管理系统; 电子文件保险柜 ; 全盘加密安全介质终端; 磁盘全盘加密系统 ; 数据防泄漏平台。二、内外

12、网数据传输安全精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版针对用户应用需求的实际情况, 需要在机房内布置一套安全隔离与信息交换系统。使用安全隔离与信息交换系统的文件交流方式,Web 服务器将接收到的请求转换成文件 , 通过安全隔离与信息交换系统传输到业务网, 业务网处理完该数据后 , 再将结果转换成文件通过安全隔离与信息交换系统传输给Web服务器, 见图: 三、技术方案各产品功能介绍1、计算机终端改造在不更换终端的情况

13、下 , 对计算机终端进行改造 , 增加物理隔离卡、硬盘及主板等。产品特点1) 支持用户自定义开机选界面功能。2) 支持检测外设功能 ( 包括检测 :USB、光驱、软驱 ) 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版3) 均支持标准机箱与超薄机使用4) 支持 windows 64 位操作系统及新版BIOS 技术参数1) 总线模式 :PCI 或 PCI-E 2) 物理介质接口 :RJ45 3) 使用网络类型 :10M以太

14、网、 100M或 1000M快速以太网4) 工作温度 :0 -505) 存储温度 :-20 -706) 内外网切换软件 :V3、02、网络交换机核心交换机全千兆以太网交换机 ,它提供了灵活的全千兆以太网端口的接入密度、丰富的业务特性,并 支 持IRF( 智 能 弹 性 架 构 ) 技 术 , 拥 有24 个 10/100/1000Base-T 以 太 网 端 口 ,4 个1000Base-X SFP 千兆以太网端口(非复用的SFP 插槽 );整机交换容量192Gbps,包转发率42Mpps,性能相当强劲。支持特有的ARP 入侵检测功能 ,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的

15、“ 中间人” 攻击,对不符合 DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法ARP 欺骗报文直接丢弃。同时支持 IP Source Check特性,防止包括 MAC欺骗、 IP 欺骗、 MAC/IP 欺骗在内的非法地址仿冒 ,以及大量地址仿冒带来的DoS 攻击。另外,利用 DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP 服务器 ,保证 DHCP 环境的真实性与一致性。接入交换机精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 9 页，共 15 页 - - - - -

16、- - - - - 双网隔离技术方案通用版二层线速以太网 交换机 , 它就是专为要求具备高性能且易于安装的网络环境而设计的智能型产品。该款交换机支持Vlan 划分、端口镜像、端口聚合与QoS等功能 , 可以通过 WEB界面进行方便地配置。支持地址自动学习、自动老化( 老化时间为 5 分钟); 它最多可支持 8K MAC(Medium Access Control) 地址。它支持基于端口VLAN,VLAN 最大数目为 26; 它最多可设置 3 组端口聚合 , 具备线路诊断等功能产品类型网管交换机应用层级二层传输速率10/100/1000Mbps 交换方式存储-转发背板带宽8、8Gbps 包转发率

17、6、55Mpps MAC 地址表8K 端口结构非模块化端口数量26 个端口描述24 个 10/100Base-TX 自适应以太网端口 ,2 个千兆光电复用端口控制端口1 个 Console 接口接口介质10Base-T:3/4/5类双绞线100Base-TX:5 类双绞线1000Base-T:5 类双绞线传输模式全双工 / 半双工自适应网络标准IEEE 802、3,IEEE 802 、3u,IEEE 802 、3ab,IEEE 802 、3z,ANSI/IEEE 802 、3 NWay自动协商 ,IEEE 802 、3x VLAN 基于端口 VLAN 支持 VLAN最大数目 :26 支持 12

18、8 个 802、1Q的 VLAN,VLAN ID 1-4094 可配精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版QOS 标准:802、1p 队列数 :4 个网络管理基于 Web的管理支持配置文件导入 / 导出状态指示灯Link/Act,Speed,电源电源电压AC 100-240V,50-60Hz 电源功率最大 15W 产品尺寸44023044mm环境标准工作温度 :0-40 工作湿度 :5%-95%(无凝结) 3、

19、防火墙设备类型 : 企业级防火墙?网络端口 :1 个配置口 (CON);5GE;1 个 mini 插槽、?入侵检测 :Dos,DDoS ?管理 : 支持标准网管 SNMPv3,并且兼容 S、?VPN支持: 支持?安全标准 :FCC,CE ?控制端口 :console ?其她性能 : 防火墙、 VPN可同时扩展卡巴斯基、?电源 : 输入额定电压 :100VAC 240VAC;47 、?产品尺寸 :300 26043、6mm 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 11 页，共 15 页 - - -

20、- - - - - - - 双网隔离技术方案通用版?管理 支持标准网管 SNMPv3,并且兼容 SNMP v2c 、SNMP v1, 支持 NTP时间同步 ,支持 Web 方式进行远程配置管理 , 支持 SNMP/TR-069 网管协议 , 支持 SecCenter安全管理中心进行设备管理?防火墙、 VPN可同时扩展卡巴斯基病毒防护、URL过滤特征库升级服务、攻击防护(IPS) 服务以及特征库升级、 垃圾邮件特征库升级服务、 P2P/IM/ 网游等应用层流量控制与用户行为审计等功能4、安全隔离与信息交换系统本系统根据国内计算机网络结构特点,开发出的一种快速、 安全的网络安全隔离产品,已采用 D

21、TP 物理隔离通道控制系统与嵌入式内核控制技术,以及多重安全措施 ,有效地防止了黑客攻击、病毒侵入与信息泄露等安全隐患,确保内网与外网的可靠隔离与信息的可控交换,就是一种安全性极高的网络安全产品。产品功能* 采用类似电子邮件的工作方式进行文件传送, 具备小型公文交换系统的功能, 可以实现内网到内网、内网到外网、外网到内网的点对点、一对多、多对一的文件传送, 并可直接从 FTP服务内共享目录上读取文件。* 支持对传输文件的文件名控制机制; * 支持对黑白名单控制 ; * 支持文件自动收发功能 , 文件交换服务能够控制单个用户与分组用户的文件收发权限; 支持增量传输 , 超大文件交换 ; * 支持

22、实时或定时文件摆渡 , 文件传输支持断点续传 ; * 支持文件格式特征过滤。产品特点* 独有 DTP物理隔离通道控制系统彻底阻断网络间的直连通路。* 特有控制逻辑与专用通讯协议控制数据的实时交换。* 专用安全操作系统及嵌入式程序控制确保系统本身免受攻击。* 可选配取得国家密码权威部门检验认可、基于PKI 技术的完善安全认证TPCS 系统。* 产品小型化 , 接口可组合扩展。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版

23、5、综合布线系统 3M 综合布线系统 , 全球十大综合布线品牌 , 美国 3M公司的布线产品一直有布线行业的贵族之称, 具有性能高超 , 外形美观 , 产品种类齐全的特点 : * 标准化 , 全面符合国际与地区标准* 产品全系列 : 非屏蔽 , 屏蔽, 光纤* 产品高性能级别 : 增强五类 , 六类,6A * 产品模块化 , 多媒介 , 集成度高* 高质量 , 专利多 , 外观 美, 多颜色* 适应多种安装环境 , 安装简便可靠* 标识管理手段丰富* 产品与系统均可提供性能测试报告*第三方测试与认证* 带UL,CSA,CE,AULCEL等认证标记系统产品组成信息模块及面板、精品资料 - - -

24、 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版工作区跳线平板或角型 19 英寸机架式配线架配置要求信息模块及面板语音模块、数据模块、Keystone6 类模块。数据:86 型面板工作区跳线 : 工厂定制。第五章、投资预算评估此投资预算为初步预算 , 需要根据后续实际勘查进行一定调整。本项目的规划预算在 78、5 万元。序号产品名称数量单位单价合价备注1 计算机终端70 台1 年保修2 防火墙2 台3 年保修3 交换机3、1 核心交换机2

25、台3 年保修3、2 接入交换机5 台3 年保修4 综合布线 ( 美国 3M品牌) 4、1 免工具 6 类 非屏蔽 RJ45 模块(含内嵌式防尘盖)( Keystone ),含 86 型平口英式单口面板 (Keystone)- 白色70 套3 年保修4、2 配线架 ( 可选) 4 个3 年保修4、3 6 类 4 对 PVC 护套非屏蔽双绞线 (305 米/ 箱) 20 箱3 年保修5 计算机终端杀毒软件与防火墙70 用户自备6 安全隔离与信息交换系统1 套1 年保修7 安装实施服务精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 15 页 - - - - - - - - - - 双网隔离技术方案通用版8 投资总额精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页，共 15 页 - - - - - - - - - -