網(wǎng)絡(luò)優(yōu)化及安全加固技術(shù)建議書文檔版本 01發(fā)布日期 2018/4/23xxx生物網(wǎng)絡(luò)優(yōu)化及安全加固技術(shù)建議書目目錄錄1概述.................................................................................................................................................11.1項(xiàng)目背景.........................................................................................................................................................11.2主要內(nèi)容.........................................................................................................................................................11.3方案依據(jù).........................................................................................................................................................11.3.1政策法規(guī)..............................................................................................................................................11.3.2標(biāo)準(zhǔn)規(guī)范..............................................................................................................................................12現(xiàn)狀概述.........................................................................................................................................32.1當(dāng)前網(wǎng)絡(luò)拓?fù)鋱D.............................................................................................................................................32.2現(xiàn)狀描述.........................................................................................................................................................53安全加固及網(wǎng)絡(luò)優(yōu)化方案.............................................................................................................63.1物理安全.........................................................................................................................................................63.1.1現(xiàn)狀的不足...........................................................................................................................................63.1.2優(yōu)化建議..............................................................................................................................................63.2網(wǎng)絡(luò)安全.........................................................................................................................................................73.2.1現(xiàn)狀的不足...........................................................................................................................................73.2.2優(yōu)化建議..............................................................................................................................................73.3單點(diǎn)故障.........................................................................................................................................................83.3.1現(xiàn)狀的不足...........................................................................................................................................83.3.2優(yōu)化建議..............................................................................................................................................83.4監(jiān)控平臺(tái).........................................................................................................................................................93.4.1現(xiàn)狀的不足...........................................................................................................................................93.4.2優(yōu)化建議..............................................................................................................................................93.5優(yōu)化后網(wǎng)絡(luò)拓?fù)鋱D.......................................................................................................................................101概述1.1項(xiàng)目背景目前，xxx生物具有完備的內(nèi)部網(wǎng)絡(luò)，網(wǎng)關(guān)處已經(jīng)部署了山石網(wǎng)科路由等網(wǎng)絡(luò)設(shè)備。機(jī)構(gòu)內(nèi)部也已經(jīng)應(yīng)用了眾多信息系統(tǒng)，包括WEB服務(wù)器、郵件服務(wù)器等，各業(yè)務(wù)應(yīng)用系統(tǒng)都或多或少的通過(guò)互聯(lián)網(wǎng)平臺(tái)得到整體應(yīng)用。1.2主要內(nèi)容隨著xxx生物系統(tǒng)業(yè)務(wù)的發(fā)展，終端用戶數(shù)將會(huì)逐漸增加。實(shí)現(xiàn)集團(tuán)內(nèi)部信息共享。隨著xxx生物信息化建設(shè)的逐漸發(fā)展，以及業(yè)務(wù)數(shù)據(jù)量不斷的增大，xxx生物目前的網(wǎng)絡(luò)系統(tǒng)已經(jīng)無(wú)法滿足其業(yè)務(wù)增長(zhǎng)的需求。因此，如何有效地提高工作效率，提升帶寬資源使用效率、改善網(wǎng)絡(luò)安全環(huán)境、杜絕泄密行為、避免法律風(fēng)險(xiǎn)，已經(jīng)成為信息化建設(shè)中的首要任務(wù)。當(dāng)前企業(yè)網(wǎng)絡(luò)和行為管理也隨之提升到一個(gè)新的高度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時(shí)，從內(nèi)到外諸如訪問(wèn)控制、訪問(wèn)跟蹤、流量限制、監(jiān)控、審計(jì)等問(wèn)題也日益凸現(xiàn)。越來(lái)越多的組織機(jī)構(gòu)需要對(duì)用戶上網(wǎng)行為進(jìn)行管理以實(shí)現(xiàn)網(wǎng)絡(luò)資源的合理利用。1.3方案依據(jù)本項(xiàng)目方案編制依據(jù)和參考下列政策法規(guī)和標(biāo)準(zhǔn)規(guī)范。1.3.1政策法規(guī) 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994國(guó)務(wù)院147號(hào)令） 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859－1999） 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)） 關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字[2004]66號(hào)） 《信息安全等級(jí)保護(hù)管理辦法》公通字[2007]43號(hào) 關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公信安[2007]861號(hào)） 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）1.3.2標(biāo)準(zhǔn)規(guī)范 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB/T17859-1999） GBT22239-2008《信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 GBT22240-2008《信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 《信息安全技術(shù)信息安全等級(jí)保護(hù)整改規(guī)范》（GB/T20984-2007） 《信息系統(tǒng)安全等級(jí)保護(hù)整改實(shí)施指南》 《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2008） 《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》（GB/T22081-2008） 《信息技術(shù)安全技術(shù)信息技術(shù)安全管理指南》（ISO/IECTR13335） 《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》(GB/T18336-2001) 《信息安全等級(jí)保護(hù)整改指南》 《信息安全風(fēng)險(xiǎn)管理指南》2.1當(dāng)前網(wǎng)絡(luò)拓?fù)鋱D防火墻口MH區(qū)域 serviee2.2現(xiàn)狀描述辦公外網(wǎng)目前有局域網(wǎng)包括無(wú)線AP用戶約500個(gè)。業(yè)務(wù)內(nèi)網(wǎng)橫向通過(guò)專線連接多個(gè)外聯(lián)單位、銀行等，縱向通過(guò)VPN專線連接下屬分公司。網(wǎng)絡(luò)系統(tǒng)分為外網(wǎng)安全出口、外網(wǎng)核心交換、外網(wǎng)接入、服務(wù)器、虛擬化等。辦公外網(wǎng)和業(yè)務(wù)專網(wǎng)部署的設(shè)備類型有防火墻、核心交換機(jī)、接入交換機(jī)、無(wú)線AP，制造廠商均為國(guó)際主流設(shè)備廠商。3安全加固及網(wǎng)絡(luò)優(yōu)化方案3.1物理安全3.1.1現(xiàn)狀的不足

物理結(jié)構(gòu)混亂，邏輯結(jié)構(gòu)不清晰，缺少統(tǒng)一規(guī)劃。3.1.2優(yōu)化建議

按照業(yè)務(wù)類型將網(wǎng)絡(luò)劃分為出口隔離區(qū)、核心交換區(qū)、外聯(lián)區(qū)、管理區(qū)、DMZ區(qū)、內(nèi)網(wǎng)隔離區(qū)、無(wú)線辦公區(qū)、有線辦公區(qū)。3.2網(wǎng)絡(luò)安全3.2.1現(xiàn)狀的不足目前僅在出口部署一臺(tái)防火墻，內(nèi)部服務(wù)器并沒(méi)有安全防護(hù)。3.2.2優(yōu)化建議根據(jù)功能、保密水平、安全水平等要求的差異將網(wǎng)絡(luò)進(jìn)行分段隔離，對(duì)整個(gè)網(wǎng)絡(luò)的安全性有所提升?？梢詫?shí)現(xiàn)更為細(xì)化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡(luò)的整體安全水平。3.3單點(diǎn)故障3.3.1現(xiàn)狀的不足

目前整個(gè)企業(yè)網(wǎng)中存在大量的單點(diǎn)故障，一旦關(guān)鍵節(jié)點(diǎn)出現(xiàn)故障，整個(gè)企業(yè)將面臨癱瘓的風(fēng)險(xiǎn)。3.3.2優(yōu)化建議

1.在核心交換區(qū)將目前處于冷備狀態(tài)的核心交換機(jī)與當(dāng)前正在使用的核心交換機(jī)組建成集群網(wǎng)絡(luò)，保證設(shè)備的冗余可靠，在發(fā)生安全事件時(shí)能夠保證網(wǎng)絡(luò)的暢通，將核心冗余的核心交換設(shè)備上的配置保持一致。2.在出口隔離區(qū)和內(nèi)網(wǎng)隔離區(qū)增加一臺(tái)防火墻，保證設(shè)備的冗余，在外網(wǎng)安全出口區(qū)部署入侵檢測(cè)系統(tǒng)，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。3.在出口隔離區(qū)新增外聯(lián)區(qū)，將外聯(lián)單位專線遷移至此區(qū)域。3.4監(jiān)控平臺(tái)3.4.1現(xiàn)狀的不足雖然信息中心有對(duì)各業(yè)務(wù)系統(tǒng)監(jiān)控管理手段，但缺乏一個(gè)集中、統(tǒng)一的監(jiān)控平臺(tái)，及時(shí)發(fā)現(xiàn)與解決網(wǎng)絡(luò)、硬件、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)、等突然出現(xiàn)的問(wèn)題。因服務(wù)對(duì)象的不同，使用產(chǎn)品混雜。怎樣很好地解決以