雙網(wǎng)隔離技術(shù)方案(通用版)

雙網(wǎng)隔離建議方案第5頁(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)雙網(wǎng)隔離建議方案北京銀信長(zhǎng)遠(yuǎn)科技股份有限公司二O一四年七月

目錄第一章公司簡(jiǎn)介………………3第二章用戶(hù)需求分析…………4第三章總體設(shè)計(jì)指導(dǎo)思想……………………5第四章計(jì)算機(jī)系統(tǒng)雙網(wǎng)隔離方案……………8第五章、投資預(yù)算評(píng)估…………17三、本建議方案的實(shí)施要點(diǎn)根據(jù)用戶(hù)計(jì)算機(jī)網(wǎng)絡(luò)的現(xiàn)實(shí)情況，實(shí)施內(nèi)外網(wǎng)物理隔離的要求是：1、對(duì)計(jì)算機(jī)系統(tǒng)要進(jìn)行適當(dāng)?shù)母脑旃ぷ鳎龅絻?nèi)外網(wǎng)服務(wù)器分開(kāi)設(shè)置；桌面終端計(jì)算機(jī)可直接實(shí)現(xiàn)內(nèi)網(wǎng)辦公或外網(wǎng)應(yīng)用，當(dāng)使用辦公網(wǎng)時(shí)，則外網(wǎng)物理隔離，當(dāng)使用外網(wǎng)時(shí)，則辦公網(wǎng)物理隔離。終端計(jì)算機(jī)上，辦公網(wǎng)與外網(wǎng)的數(shù)據(jù)存儲(chǔ)倉(cāng)庫(kù)為完全隔離的兩個(gè)硬盤(pán)，或辦公網(wǎng)存儲(chǔ)于機(jī)房存儲(chǔ)設(shè)備，而外網(wǎng)可存儲(chǔ)于計(jì)算機(jī)的指定硬盤(pán)。計(jì)算機(jī)終端需進(jìn)行安全保護(hù)，以防止病毒、木馬、攻擊等威脅設(shè)備安全的事件發(fā)生。2、網(wǎng)絡(luò)改造。真正高效的隔離，是辦公網(wǎng)與外網(wǎng)的網(wǎng)絡(luò)完全分開(kāi)，即為外網(wǎng)重新鋪設(shè)新的綜合布線(xiàn)系統(tǒng)，從互聯(lián)網(wǎng)接入端到計(jì)算機(jī)終端，外網(wǎng)為獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，并具備信息安全保護(hù)的功能。3、內(nèi)外網(wǎng)數(shù)據(jù)傳輸。內(nèi)外網(wǎng)之間常有些重要信息需要傳輸或備份，雙網(wǎng)系統(tǒng)之間存在數(shù)據(jù)交換需求：外網(wǎng)用戶(hù)可以訪問(wèn)內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)，并且能夠保護(hù)內(nèi)網(wǎng)安全。如果使用U盤(pán)等移動(dòng)設(shè)備來(lái)拷貝，就會(huì)面臨病毒的威脅。但是如果開(kāi)放網(wǎng)絡(luò)，讓內(nèi)網(wǎng)與外網(wǎng)之間互通，又會(huì)使雙網(wǎng)的意義喪失。為保護(hù)辦公網(wǎng)的數(shù)據(jù)和信息安全，需要在辦公網(wǎng)和外網(wǎng)之間架設(shè)安全隔離與信息交換系統(tǒng)，它應(yīng)用在用戶(hù)雙網(wǎng)之間，主要負(fù)責(zé)數(shù)據(jù)的安全交換，阻止已知的以及未知的入侵和內(nèi)部信息的泄漏，并且把內(nèi)外網(wǎng)傳來(lái)的數(shù)據(jù)掌控在可控的范圍內(nèi)，實(shí)現(xiàn)了可控的、高效的、實(shí)時(shí)的、安全的信息交換。網(wǎng)絡(luò)改造完成后的拓樸圖如下：

第四章計(jì)算機(jī)系統(tǒng)雙網(wǎng)隔離方案一、企業(yè)外網(wǎng)網(wǎng)絡(luò)的新建為了打造企業(yè)辦公網(wǎng)和外網(wǎng)完全隔離的網(wǎng)絡(luò)系統(tǒng)，需要新建一套與企業(yè)辦公網(wǎng)平行的企業(yè)外網(wǎng)網(wǎng)絡(luò)系統(tǒng)。主要設(shè)備包括：計(jì)算機(jī)終端改造、獨(dú)立的服務(wù)器（可選）、防火墻、交換機(jī)、綜合布線(xiàn)系統(tǒng)、計(jì)算機(jī)終端安全防護(hù)系統(tǒng)等。企業(yè)外網(wǎng)網(wǎng)絡(luò)系統(tǒng)的拓?fù)鋱D如下：根據(jù)培訓(xùn)與評(píng)價(jià)中心的終端分布情況，整個(gè)系統(tǒng)分為兩個(gè)區(qū)域，貴陽(yáng)區(qū)域計(jì)算機(jī)終端20臺(tái)，2-3臺(tái)帶智能網(wǎng)管功能的千兆交換機(jī)，1臺(tái)高性能可進(jìn)行分段IP映射的防火墻，6類(lèi)非屏蔽綜合布線(xiàn)系統(tǒng)，免工具綜合布線(xiàn)數(shù)據(jù)終端等若干。清鎮(zhèn)區(qū)域計(jì)算機(jī)終端30臺(tái)，3-5臺(tái)帶智能網(wǎng)管功能的千兆交換機(jī)，1臺(tái)高性能可進(jìn)行分段IP映射的防火墻，6類(lèi)非屏蔽綜合布線(xiàn)系統(tǒng)，免工具綜合布線(xiàn)數(shù)據(jù)終端等若干。對(duì)計(jì)算機(jī)終端進(jìn)行改造，配置物理隔離卡、獨(dú)立硬盤(pán)及主板，以達(dá)到雙硬盤(pán)雙網(wǎng)的物理隔離，同時(shí)，還需要對(duì)每個(gè)需要連接外網(wǎng)的計(jì)算機(jī)終端安裝殺毒軟件和個(gè)人電腦防火墻等安全防護(hù)。如有必要，為保障數(shù)據(jù)防泄漏等要求，還可以在后期對(duì)網(wǎng)絡(luò)和終端建設(shè)一套全生命周期數(shù)據(jù)泄露防護(hù)體系，包含：文檔安全管理系統(tǒng)；文件透明加密系統(tǒng)；文檔全線(xiàn)管理系統(tǒng)；文檔外發(fā)管理系統(tǒng)；文檔加密安全網(wǎng)關(guān)系統(tǒng)；可信介質(zhì)管理系統(tǒng)；電子文件保險(xiǎn)柜；全盤(pán)加密安全介質(zhì)終端；磁盤(pán)全盤(pán)加密系統(tǒng)；數(shù)據(jù)防泄漏平臺(tái)。二、內(nèi)外網(wǎng)數(shù)據(jù)傳輸安全 針對(duì)用戶(hù)應(yīng)用需求的實(shí)際情況，需要在機(jī)房?jī)?nèi)布置一套安全隔離與信息交換系統(tǒng)。使用安全隔離與信息交換系統(tǒng)的文件交流方式，Web服務(wù)器將接收到的請(qǐng)求轉(zhuǎn)換成文件，通過(guò)安全隔離與信息交換系統(tǒng)傳輸?shù)綐I(yè)務(wù)網(wǎng)，業(yè)務(wù)網(wǎng)處理完該數(shù)據(jù)后，再將結(jié)果轉(zhuǎn)換成文件通過(guò)安全隔離與信息交換系統(tǒng)傳輸給Web服務(wù)器，見(jiàn)圖：三、技術(shù)方案各產(chǎn)品功能介紹1、計(jì)算機(jī)終端改造在不更換終端的情況下，對(duì)計(jì)算機(jī)終端進(jìn)行改造，增加物理隔離卡、硬盤(pán)及主板等。產(chǎn)品特點(diǎn)1）支持用戶(hù)自定義開(kāi)機(jī)選界面功能。

2）支持檢測(cè)外設(shè)功能（包括檢測(cè)：USB、光驅(qū)、軟驅(qū)）

3）均支持標(biāo)準(zhǔn)機(jī)箱和超薄機(jī)使用4）支持windows64位操作系統(tǒng)及新版BIOS技術(shù)參數(shù)1）總線(xiàn)模式:PCI或PCI-E

2）物理介質(zhì)接口：RJ45

3）使用網(wǎng)絡(luò)類(lèi)型：10M以太網(wǎng)、100M或1000M快速以太網(wǎng)

4）工作溫度：0℃-50℃

5）存儲(chǔ)溫度：-20℃-70℃

6）內(nèi)外網(wǎng)切換軟件：V3.02、網(wǎng)絡(luò)交換機(jī)核心交換機(jī)全千兆以太網(wǎng)交換機(jī)，它提供了靈活的全千兆以太網(wǎng)端口的接入密度、豐富的業(yè)務(wù)特性，并支持IRF（智能彈性架構(gòu)）技術(shù)，擁有24個(gè)10/100/1000Base-T以太網(wǎng)端口，4個(gè)1000Base-X

SFP千兆以太網(wǎng)端口（非復(fù)用的SFP插槽）；整機(jī)交換容量192Gbps，包轉(zhuǎn)發(fā)率42Mpps，性能相當(dāng)強(qiáng)勁。支持特有的ARP入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò)ARP報(bào)文實(shí)施網(wǎng)絡(luò)中逐漸盛行的“中間人”攻擊，對(duì)不符合DHCP

Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IP

Source

Check特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大量地址仿冒帶來(lái)的DoS攻擊。另外，利用DHCP

Snooping的信任端口特性還可以有效杜絕私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實(shí)性和一致性。接入交換機(jī)二層線(xiàn)速以太網(wǎng)交換機(jī)，它是專(zhuān)為要求具備高性能且易于安裝的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)的智能型產(chǎn)品。該款交換機(jī)支持Vlan劃分、端口鏡像、端口聚合和QoS等功能，可以通過(guò)WEB界面進(jìn)行方便地配置。支持地址自動(dòng)學(xué)習(xí)、自動(dòng)老化（老化時(shí)間為5分鐘）；它最多可支持8KMAC（MediumAccessControl）地址。它支持基于端口VLAN，VLAN最大數(shù)目為26；它最多可設(shè)置3組端口聚合，具備線(xiàn)路診斷等功能產(chǎn)品類(lèi)型網(wǎng)管交換機(jī)應(yīng)用層級(jí)二層傳輸速率10/100/1000Mbps交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬8.8Gbps包轉(zhuǎn)發(fā)率6.55MppsMAC地址表8K端口結(jié)構(gòu)非模塊化端口數(shù)量26個(gè)端口描述24個(gè)10/100Base-TX自適應(yīng)以太網(wǎng)端口，2個(gè)千兆光電復(fù)用端口控制端口1個(gè)Console接口接口介質(zhì)10Base-T：3/4/5類(lèi)雙絞線(xiàn)

100Base-TX：5類(lèi)雙絞線(xiàn)

1000Base-T：5類(lèi)雙絞線(xiàn)傳輸模式全雙工/半雙工自適應(yīng)網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3，IEEE802.3u，IEEE802.3ab，IEEE802.3z，ANSI/IEEE802.3NWay自動(dòng)協(xié)商，IEEE802.3xVLAN基于端口VLAN

支持VLAN最大數(shù)目：26

支持128個(gè)802.1Q的VLAN，VLANID1-4094可配QOS標(biāo)準(zhǔn)：802.1p

隊(duì)列數(shù)：4個(gè)網(wǎng)絡(luò)管理基于Web的管理

支持配置文件導(dǎo)入/導(dǎo)出狀態(tài)指示燈Link/Act，Speed，電源電源電壓AC100-240V，50-60Hz電源功率最大15W產(chǎn)品尺寸440×230×44mm環(huán)境標(biāo)準(zhǔn)工作溫度：0-40℃

工作濕度：5%-95%（無(wú)凝結(jié)）3、防火墻設(shè)備類(lèi)型：企業(yè)級(jí)防火墻網(wǎng)絡(luò)端口：1個(gè)配置口(CON);5GE;1個(gè)mini插槽...入侵檢測(cè)：Dos,DDoS管理：支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容S...VPN支持：支持安全標(biāo)準(zhǔn)：FCC,CE控制端口：console其他性能：防火墻、VPN可同時(shí)擴(kuò)展卡巴斯基...電源：輸入額定電壓:100VAC～240VAC;47...產(chǎn)品尺寸：300×260×43.6mm管理支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv2c、SNMPv1,支持NTP時(shí)間同步,支持Web方式進(jìn)行遠(yuǎn)程配置管理,支持SNMP/TR-069網(wǎng)管協(xié)議,支持SecCenter安全管理中心進(jìn)行設(shè)備管理防火墻、VPN可同時(shí)擴(kuò)展卡巴斯基病毒防護(hù)、URL過(guò)濾特征庫(kù)升級(jí)服務(wù)、攻擊防護(hù)（IPS）服務(wù)以及特征庫(kù)升級(jí)、垃圾郵件特征庫(kù)升級(jí)服務(wù)、P2P/IM/網(wǎng)游等應(yīng)用層流量控制和用戶(hù)行為審計(jì)等功能4、安全隔離與信息交換系統(tǒng)本系統(tǒng)根據(jù)國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，開(kāi)發(fā)出的一種快速、安全的網(wǎng)絡(luò)安全隔離產(chǎn)品，已采用DTP物理隔離通道控制系統(tǒng)和嵌入式內(nèi)核控制技術(shù)，以及多重安全措施，有效地防止了黑客攻擊、病毒侵入和信息泄露等安全隱患，確保內(nèi)網(wǎng)與外網(wǎng)的可靠隔離和信息的可控交換，是一種安全性極高的網(wǎng)絡(luò)安全產(chǎn)品。產(chǎn)品功能*采用類(lèi)似電子郵件的工作方式進(jìn)行文件傳送，具備小型公文交換系統(tǒng)的功能，可以實(shí)現(xiàn)內(nèi)網(wǎng)到內(nèi)網(wǎng)、內(nèi)網(wǎng)到外網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)的點(diǎn)對(duì)點(diǎn)、一對(duì)多、多對(duì)一的文件傳送，并可直接從FTP服務(wù)內(nèi)共享目錄上讀取文件。

*支持對(duì)傳輸文件的文件名控制機(jī)制；

*支持對(duì)黑白名單控制；

*支持文件自動(dòng)收發(fā)功能，文件交換服務(wù)能夠控制單個(gè)用戶(hù)和分組用戶(hù)的文件收發(fā)權(quán)限；支持增量傳輸，超大文件交換；

*支持實(shí)時(shí)或定時(shí)文件擺渡，文件傳輸支持?jǐn)帱c(diǎn)續(xù)傳；

*支持文件格式特征過(guò)濾。產(chǎn)品特點(diǎn)*獨(dú)有DTP物理隔離通道控制系統(tǒng)徹底阻斷網(wǎng)絡(luò)間的直連通路。

*特有控制邏輯和專(zhuān)用通訊協(xié)議控制數(shù)據(jù)的實(shí)時(shí)交換。

*專(zhuān)用安全操作系統(tǒng)及嵌入式程序控制確保系統(tǒng)本身免受攻擊。

*可選配取得國(guó)家密碼權(quán)威部門(mén)檢驗(yàn)認(rèn)可、基于PKI技術(shù)的完善安全認(rèn)證TPCS系統(tǒng)。*產(chǎn)品小型化，接口可組合擴(kuò)展。5、綜合布線(xiàn)系統(tǒng)3M綜合布線(xiàn)系統(tǒng)，全球十大綜合布線(xiàn)品牌，美國(guó)3M公司的布線(xiàn)產(chǎn)品一直有布線(xiàn)行業(yè)的貴族之稱(chēng)，具有性能高超，外形美觀，產(chǎn)品種類(lèi)齊全的特點(diǎn)：*標(biāo)準(zhǔn)化，全面符合國(guó)際和地區(qū)標(biāo)準(zhǔn)*產(chǎn)品全系列:非屏蔽,屏蔽,光纖*產(chǎn)品高性能級(jí)別:增強(qiáng)五類(lèi),六類(lèi)，6A*產(chǎn)品模塊化,多媒介,集成度高*高質(zhì)量,專(zhuān)利多，外觀美，多顏色*適應(yīng)多種安裝環(huán)境,安裝簡(jiǎn)便可靠*標(biāo)識(shí)管理手段豐富*產(chǎn)品和系統(tǒng)均可提供性能測(cè)試報(bào)告*第三方測(cè)試和認(rèn)證*帶UL，CSA，CE，AULCEL等認(rèn)證標(biāo)記系統(tǒng)產(chǎn)品組成信息模塊及面板、工作區(qū)跳線(xiàn)平板或角型19英寸機(jī)架式配線(xiàn)架配置要求信息模塊及面板語(yǔ)音模塊、數(shù)據(jù)模塊、Keystone6類(lèi)模塊。數(shù)據(jù)：86型面板工作區(qū)跳線(xiàn)：工廠定制。第五章、投資預(yù)算評(píng)估此投資預(yù)算為初步預(yù)算，需要根據(jù)后續(xù)實(shí)際勘查進(jìn)行一定調(diào)整。本項(xiàng)目的規(guī)劃預(yù)算在78.5萬(wàn)元。序號(hào)產(chǎn)品名稱(chēng)數(shù)量單位單價(jià)合價(jià)備注1計(jì)算機(jī)終端70臺(tái)1年保修2防火墻2臺(tái)