机房综合工程设计标准.docx

《机房综合工程设计标准.docx》由会员分享，可在线阅读，更多相关《机房综合工程设计标准.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、机房综合工程设计标准 机房综合工程设计标准 新机房按国家标准B级标准机房设计和规划。 本方案按机房建设方案依据标准（B级）设计，依据以下国家标准： 中华人民共和国计算机信息系统安全保护条例 建筑与建筑群综合布线系统工程设计规范（CECS72:97）电子计算机机房设计规范（GB 500571994） 低压配电设计规范（GB 50054-1995） 电缆线路施工及验收规范（GB 50168-1992） 计算机机房用活动地板技术条件（GB 6650-1986） 通风与空调工程施工及验收规范GBJ 243-1982 工业企业通信接地设计规范GBJ79-1985 电气装置安装工程接地装置施工及验收规范（

2、GB 50169-1992） 一、效果图 电源标签安装图 用户线标签安装图 1、机房设备整改方案建设 8.1 优化后信息化建设拓扑图 8.2 IP地址及区域设计 根据本项目需求，本方案将重新设计IP地址编址，重设计网络区域结构。具体如下: 8.3 路由设计 本技术改造方案主要通过路由技术，采用静态路由技术引 导数据流向走向，分离业务流量，提升业务效率。 设备网络地址下一跳地址 防火墙防火墙模式 防病毒网关部署 根据用户现场实际 环境规划 网络行为审计系统透明部署 ZTE三层交换DHCP内网核心 入侵防御系统透明部署 数据库审计系统旁路部署 8.4 区域设计 本方案设计的网络结构呈现出区域化，层

3、次化构架，主要 目的是为了便于网络管理、维护以及安全策略的针对性部 署。各区域结构如下所述： （1）Internet区域 Internet区域将原有启明防火墙部署为互联网防火墙， 连接新增的100M光纤链路，为档案局内网区域所有需要上网的终端和服务器提供Internet代访问的防护，并设置相应管理策略，控制Internet访问权限和访问应用类型，保证Internet安全访问的需求。 （2）楼层接入区域 楼层接入区域为如10.1.x.0/24网段，与原网络构架保持不变。其访问安全策略主要由其他区域的网关防火墙根据源端进行设置。 （3）核心网区域 部署防病毒网关做为出口网关设备，具备高速转发的能力

4、，在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤，保证上网内网的安全。满足82号令的 要求进行网络综合行为的管控设计、存储日志的能力到达60天以上，并且具备公安部门认证资质，在下一阶段安全评测做好基础服务。 （4）服务器区域 服务器区域设计为如10.1.100.0/24网段，所有服务器网关指向核心交换机服务器区区域接口，即如10.1.100.1。服务器区域主要有档案信息化应用服务器、WEB服务器、信息化数据库服务器、文件服务器、存储区域网络(SAN)设备等。 所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问，开启3000种入侵规则防护策略，应用防护策略。安全策略采用白名

5、单方式，根据源目IP地址以及目标端口进行设置，最大限度的保证外部区域对服务器区域的安全访问。 （5）内容终端区域 开启此技术特有功能，有效对内网数据、设备接口进行控制 网络及终端安全设计方案 （二）网络系统拓扑图 （三）网络安全优化方案描述 1网络综合行为审计与控制 网络的内容日益丰富，变得复杂、多样化。当今，互联网进入了应用级网络时代，大量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而这些问题的本质是“管理”，如何管理员工上网行为，规范上网行为成为了每个企业首要面临的问题。 目前，用户面临网络管理问题具体如下： ?无法为员工的上网行为进行有效管理 随着业务不断的扩

6、展，工作人员大大的扩充，现有的设备中已经无法满足公司的对员工上网行为的管理。 ?关键业务流量无法保证，带宽受到严重堵塞 虽然企业有很高的带宽，可是网络还是常常造成拥堵，网络中存在着大量的P2P软件，不能有效的管理和封堵，使得办公系统运转不顺畅，办公网页无法打开，严重影响了正常业务的顺利进行。 ?发现异常流量无法有效定位 员工的不合理访问网络，带来多种隐患，导致网络中充斥着大量病毒（如ARP病毒）。病毒在局域网内传输，制造网络攻击，常常造成网络的中断。 ?档案信息化机密数据的保密无法得到真正的保障防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ 以及 BBS 论坛

7、等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径，必须进行必要的管理。 ?非法网站的访问带来了较多的法律风险 员工的上网不节制行为利用企业内部网络访问反动，色情，违反法律等网站，发表不发的言论等，这些都会给企业带来负面影响以及要肩负起法律责任，需要对这种行为进行限制。 ?上班做私事，利用局里网络享受上网娱乐，降低工作效率 员工在工作时间玩网络游戏、看网络电视、炒股等等，既占用公司正常业务流量也严重影响了员工的工作效率，带来企业无形资产的损失。 涉及到的管理 ?带宽管理 如何令有限的带宽合理分配使用，需要上网行为管理提供精细网络带宽管理功能。可根据主机(单 IP、IP

8、 组、用户组)、服务(服务组)、应用程序、时间、URL、文件类型等不同参数，提供灵活组合来实现带宽的预留、保障和限制。?控制风险管理 信息安全是一个复杂的系统工程。要实施一个完整的网络与信息安全体系，应包括一下三个结合： * 根据国家与企业切身情况制定相关网络管理规章制度，行政与技术部门切实规章制度的落实。 * 网络安全技术的加入，如防火墙技术、网络防毒、身份认证、授权等。提供安全的网络边界。 * 对上网行为进行审计和管理。提供实时监控企业网络安全状态、提供实时改变安全策略的能力、对现有的安全漏洞进行查漏补缺等，以防患于未然。 ?合规管理 国家互联网安全保护技术措施规定、信息安全等级保 护、企

9、业信息系统风险管理等安全指导，均对学校、政府、企业、银行互联网访问的控制、审计提出要求。 公安部33号令以及2022年3月1日颁布实施的公安部82号令，都对互联网使用单位内部用户的上网行为提出了行为审计和记录的要求，尤其82号令要求互联网访问行为日志“至少留存60天”。 ?行为管理 通过策略与日志，管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理，减少内部泄密行为与病毒传播隔离。 2防病毒网关系统 随着网络应用的不断发展，越来越多的木马入侵、病毒等攻击通过网络进行实施及传播，病毒传播的范围广、速度快，对网络用户造成了难以估量的损害。在金融网络中，由于内部网络与外界连接方式多样，联系业务众多，因此，在应用中难免也存在木马、病毒及恶意程序等泛滥传播的情况。为了解决病毒及恶意程序通过网络的传播问题，很多安全厂家，开始尝试发布病毒防护网关。但是，多数设备厂商