安全信息系統(tǒng)總體規(guī)劃設(shè)計(jì)方案

某企業(yè)信息系統(tǒng)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)一一以亞洲豹有限公司為例摘要隨著現(xiàn)代社會(huì)信息化的高速發(fā)展，企業(yè)網(wǎng)絡(luò)的建設(shè)以及怎么建，需要考慮現(xiàn)代的網(wǎng)絡(luò)標(biāo)準(zhǔn)及信息安全來(lái)設(shè)計(jì)。簡(jiǎn)單的網(wǎng)絡(luò)已經(jīng)滿足不了現(xiàn)代企業(yè)對(duì)信息化高效率的要求，追求高效率信息傳輸?shù)耐瑫r(shí)信息安全也尤其重要，特別是網(wǎng)絡(luò)威脅的多樣化，這就需要一個(gè)好的規(guī)劃設(shè)計(jì)方案，讓企業(yè)信息更安全。規(guī)劃各級(jí)安全域，層層保護(hù)企業(yè)信息，建立信息系統(tǒng)管理制度體系，嚴(yán)格管控內(nèi)外網(wǎng)絡(luò)的安全性。在出口部署加密設(shè)備、防火墻、入侵防御設(shè)備來(lái)減少外部網(wǎng)絡(luò)的威脅，在安全域之間部署防火墻、入侵檢測(cè)、安全審計(jì)等設(shè)備來(lái)確保安全域之間的防護(hù)，打造成高效安全的網(wǎng)絡(luò)環(huán)境。關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)建設(shè)、信息系統(tǒng)、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、信息安全

目錄TOC\o"1-3"\h\u41471.項(xiàng)目概述 項(xiàng)目概述建設(shè)背景亞洲豹有限公司，在職職工150人，在早期的網(wǎng)絡(luò)建設(shè)中多數(shù)為二層交換應(yīng)用為主，網(wǎng)絡(luò)訪問(wèn)流量較多，訪問(wèn)經(jīng)常出現(xiàn)停機(jī)狀態(tài)，在信息安全方面安全隱患。隨著業(yè)務(wù)發(fā)展，對(duì)信息系統(tǒng)建設(shè)的需要做出分析和預(yù)測(cè)，同時(shí)也要考慮信息傳輸?shù)目焖傩院桶踩砸约昂笃诘臄U(kuò)展性等方面。建設(shè)內(nèi)容亞洲豹有限公司信息系統(tǒng)總體規(guī)劃設(shè)計(jì)，信息系統(tǒng)規(guī)劃一個(gè)安全域，根據(jù)不同功能劃分四個(gè)安全區(qū)，分別為安全管理區(qū)、內(nèi)部應(yīng)用區(qū)、外部應(yīng)用區(qū)和終端接入?yún)^(qū)，各區(qū)之間得到有效的隔離，防止被非授權(quán)訪問(wèn)，使公司網(wǎng)絡(luò)能都更高效和具有安全性。需求分析中心機(jī)房建設(shè)需求分析擬建中心機(jī)房，規(guī)劃面積為120平米，作為公司網(wǎng)絡(luò)平臺(tái)中心機(jī)房，要求符合防震、布線、防火、供配電、防火、溫濕度等方面達(dá)到B類(lèi)要求建設(shè)機(jī)房。網(wǎng)建設(shè)需求分析亞洲豹有限公司尚未建立統(tǒng)一規(guī)范的網(wǎng)絡(luò)中心，需要敷設(shè)兩條電信500M裸光纖。建設(shè)核心區(qū)和管理區(qū)的網(wǎng)絡(luò)平臺(tái)，提供安全、可靠和穩(wěn)定的數(shù)據(jù)傳輸通道，確保業(yè)務(wù)應(yīng)用和資源共享得到安全保障。業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)需求分析建設(shè)辦公業(yè)務(wù)的信息化，實(shí)現(xiàn)跨部門(mén)的數(shù)據(jù)交換和信息共享。公共信息服務(wù)的需求為了促進(jìn)信息共享，方便應(yīng)用、防止重復(fù)建設(shè)，節(jié)約成本，需要在公司網(wǎng)絡(luò)平臺(tái)建設(shè)公共信息服務(wù)系統(tǒng)、為各部門(mén)提供公共信息服務(wù)?？绮块T(mén)業(yè)務(wù)共享信息交換的需求為了制止盲目建設(shè)和重復(fù)建設(shè)，杜絕浪費(fèi)，需要對(duì)內(nèi)部具有跨部門(mén)業(yè)務(wù)共享和信息交換的應(yīng)用系統(tǒng)進(jìn)行集中建設(shè)，實(shí)現(xiàn)協(xié)調(diào)辦公和信息共享。公共應(yīng)用系統(tǒng)建設(shè)公共應(yīng)用系統(tǒng)主要有：公司門(mén)戶網(wǎng)站系統(tǒng)：提供信息采集與內(nèi)容發(fā)布、互動(dòng)交流、信息檢索等功能。安全電子郵件系統(tǒng)：提供安全鑒別、訪問(wèn)控制、數(shù)據(jù)安全、數(shù)據(jù)完整性和不可否認(rèn)性等安全服務(wù)，實(shí)現(xiàn)在網(wǎng)絡(luò)中安全使用傳統(tǒng)電子郵件系統(tǒng)的需求。辦公系統(tǒng)（OA）：實(shí)現(xiàn)各部門(mén)以及下屬公司協(xié)同辦公，提供辦公效率，尤其要提供多部門(mén)協(xié)同工作時(shí)的事務(wù)處理和辦公協(xié)同。系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)設(shè)計(jì)依據(jù)及原則設(shè)計(jì)依據(jù)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)（GB）、國(guó)際標(biāo)準(zhǔn)組織（ISO）、國(guó)際電信聯(lián)盟（ITU-T）、國(guó)際電工協(xié)會(huì)（IEC）設(shè)計(jì)原則亞洲豹有限公司信息系統(tǒng)安全設(shè)計(jì)主要遵循下列原則標(biāo)準(zhǔn)性所采用現(xiàn)代信息技術(shù)的標(biāo)準(zhǔn)化、先進(jìn)成熟技術(shù)，可以保證網(wǎng)絡(luò)發(fā)展的一致性，增強(qiáng)網(wǎng)絡(luò)的兼容性，能夠保證系統(tǒng)在日常使用安全性、可靠性、可擴(kuò)充性、易維護(hù)性及開(kāi)放性。先進(jìn)性信息系統(tǒng)的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)和軟件等均使用國(guó)際成熟的技術(shù)，并且符合國(guó)際標(biāo)準(zhǔn)和規(guī)范。兼容性根據(jù)國(guó)家和國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)規(guī)范，并充分考慮不同廠商軟硬件兼容性，使符合標(biāo)準(zhǔn)的設(shè)備無(wú)縫添加到數(shù)據(jù)中心中。安全可靠性在當(dāng)今的社會(huì)環(huán)境中，安全性顯得越來(lái)越重要。無(wú)論是硬件平臺(tái)還是系統(tǒng)管理軟件，都著重安全性的考慮，系統(tǒng)應(yīng)能實(shí)現(xiàn)安全、可靠和穩(wěn)定的傳輸，保證系統(tǒng)的安全可靠性。安全域劃分原則與功能安全域模型設(shè)計(jì)采用"同構(gòu)性簡(jiǎn)化"方法，對(duì)復(fù)雜的網(wǎng)絡(luò)由一些相通的網(wǎng)絡(luò)模塊結(jié)構(gòu)元所組成，以拼接、遞歸等方式構(gòu)造出一個(gè)大的網(wǎng)絡(luò)。亞洲豹有限公司內(nèi)部安全域的劃分主要有如下步驟：安全管理區(qū)、內(nèi)部應(yīng)用區(qū)、外部應(yīng)用區(qū)和終端接入?yún)^(qū)。安全管理區(qū)：主要放置網(wǎng)絡(luò)設(shè)備和安全設(shè)備，細(xì)化安全策略，為所以網(wǎng)絡(luò)出口提供安全可靠的信息交換。內(nèi)部應(yīng)用區(qū)：主要放置內(nèi)部服務(wù)器系統(tǒng)，如辦公系統(tǒng)（OA）：實(shí)現(xiàn)各部門(mén)協(xié)同辦公，提供辦公效率，尤其要提供多部門(mén)協(xié)同工作時(shí)的事務(wù)處理和辦公協(xié)同。外部應(yīng)用區(qū)：主要放置對(duì)外界提供服務(wù)的設(shè)備，如門(mén)戶網(wǎng)站系統(tǒng)：提供公司信息采集與發(fā)布、互動(dòng)交流、信息檢索等功能。終端接入?yún)^(qū)：主要放置計(jì)算機(jī)終端設(shè)備，根據(jù)不同的部門(mén)，劃分相應(yīng)的VLAN和子網(wǎng)，并設(shè)置訪問(wèn)控制策略，并且實(shí)行有效管理終端級(jí)之間相互訪問(wèn)。網(wǎng)絡(luò)組網(wǎng)關(guān)鍵技術(shù)及協(xié)議說(shuō)明網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換（簡(jiǎn)稱(chēng)為“NAT”）。用于私有地址轉(zhuǎn)換為公網(wǎng)地址，實(shí)現(xiàn)局域網(wǎng)可以訪問(wèn)互聯(lián)網(wǎng)，節(jié)省公網(wǎng)地址的個(gè)數(shù)。使其不遭到浪費(fèi)。在安全方面可以屏蔽內(nèi)部的計(jì)算機(jī)IP地址，使外網(wǎng)的惡意用戶無(wú)法直接與計(jì)算機(jī)通信，控制了外網(wǎng)和內(nèi)部網(wǎng)絡(luò)主機(jī)之間的通信，提供內(nèi)外網(wǎng)之間訪問(wèn)自由控制的效果。OSPF動(dòng)態(tài)路由協(xié)議開(kāi)放式最短路徑優(yōu)先（簡(jiǎn)稱(chēng)為“OSPF”）。這是一個(gè)路由通信的協(xié)議，在早的時(shí)候通常使用的是RIP協(xié)議，由于RIP還是有很多的缺點(diǎn)，例如是路由收斂較慢、容易形成路由上的環(huán)路、拓展性也差等問(wèn)題，現(xiàn)在已經(jīng)逐漸被OSPF技術(shù)所取代，他是一種通過(guò)分析設(shè)備物理的鏈路上發(fā)來(lái)的OSPF各種信息狀態(tài)來(lái)分析路由的一種協(xié)議。采用內(nèi)部組播通信，不會(huì)影響到?jīng)]有使能該協(xié)議的設(shè)備。在公司的內(nèi)網(wǎng)路由建設(shè)中起到主要作用，通過(guò)OSPF來(lái)發(fā)布內(nèi)網(wǎng)的各區(qū)域間也就是vlan的路由。虛擬專(zhuān)用網(wǎng)絡(luò)（IPsecVPN）虛擬專(zhuān)用網(wǎng)絡(luò)（簡(jiǎn)稱(chēng)為“VPN”）。在互聯(lián)網(wǎng)數(shù)據(jù)傳輸絕大部分都是赤裸裸（明文傳輸），可直接抓包查看數(shù)據(jù)內(nèi)容，列如一些賬號(hào)密碼等，這樣就很容易造成數(shù)據(jù)被未授權(quán)的人竊取或者被冒充，信息泄露對(duì)企業(yè)和個(gè)人造成的損失無(wú)法估計(jì)。IPsecvpn技術(shù)能都很好的解決這些問(wèn)題，使在不同地區(qū)的公司之間建立一條虛擬專(zhuān)用的線路，不同的地區(qū)在互聯(lián)網(wǎng)傳輸?shù)男畔⑦M(jìn)行加密，傳輸后也有數(shù)據(jù)源的認(rèn)證機(jī)制，對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證，防止未授權(quán)人員非法竊取信息，有效了保護(hù)企業(yè)的信息安全。使IKE秘鑰的方式認(rèn)證，不對(duì)計(jì)算機(jī)存活進(jìn)行檢測(cè)（節(jié)省資源），網(wǎng)關(guān)到網(wǎng)關(guān)之間發(fā)送的信息進(jìn)行加密。虛擬路由冗余協(xié)議虛擬路由冗余協(xié)議(簡(jiǎn)稱(chēng)VRR”)。是選擇和容錯(cuò)的協(xié)議，解決局域網(wǎng)中故障路由協(xié)議。通過(guò)同個(gè)區(qū)域設(shè)置一個(gè)主網(wǎng)關(guān)和一個(gè)備用網(wǎng)關(guān)。當(dāng)網(wǎng)關(guān)設(shè)備故障時(shí)，VRRP協(xié)議優(yōu)先選擇備用網(wǎng)關(guān)作為當(dāng)前網(wǎng)關(guān)，實(shí)現(xiàn)網(wǎng)絡(luò)故障的快速恢復(fù)。同個(gè)網(wǎng)段設(shè)置一個(gè)網(wǎng)關(guān)地址，網(wǎng)段之間的通信報(bào)文通過(guò)缺省路由送往網(wǎng)關(guān)，當(dāng)網(wǎng)關(guān)故障時(shí)，網(wǎng)段之間無(wú)法正常訪問(wèn)。從而實(shí)現(xiàn)主和備功能，并主動(dòng)承擔(dān)數(shù)據(jù)流量轉(zhuǎn)發(fā)，保證其網(wǎng)絡(luò)正常運(yùn)行。虛擬局域網(wǎng)虛擬局域網(wǎng)（簡(jiǎn)稱(chēng)VLAN）是廣播域可直接通信，不同VLAN互相通信是通過(guò)三層路由器分配。為了有效管理和降低廣播風(fēng)暴垃圾信息，將網(wǎng)絡(luò)劃分為不同VLAN減少?gòu)V播風(fēng)暴，提高網(wǎng)絡(luò)的傳輸安全性。網(wǎng)絡(luò)的總體結(jié)構(gòu)及設(shè)計(jì)說(shuō)明、硬件配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(如圖1所示)圖1所示服務(wù)器安全解決方案在外網(wǎng)服務(wù)器接入?yún)^(qū)，使用應(yīng)用防火墻，針對(duì)性的防護(hù)，可以對(duì)網(wǎng)站服務(wù)器和數(shù)據(jù)庫(kù)的sql注入常見(jiàn)的不規(guī)范行為及攻擊進(jìn)行一個(gè)很好的防護(hù)。主要設(shè)備選型邊界路由器（如表1所示）表1設(shè)備選型清單序號(hào)產(chǎn)品名稱(chēng)廠家型號(hào)配置參數(shù)單位數(shù)量備注1邊界路由器華為技術(shù)有限公司AR36703個(gè)機(jī)架高度,電源1+1冗余備份,帶業(yè)務(wù)轉(zhuǎn)發(fā)性能4.5Gbps，所有業(yè)務(wù)板卡支持直接熱插拔，硬盤(pán)：1TB，內(nèi)存容量8GB，管理接口1個(gè)。套22防火墻北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御防火墻（百兆）V3.0標(biāo)準(zhǔn)1U設(shè)備，單電源；標(biāo)準(zhǔn)配置8個(gè)10/100MBase-TX,2個(gè)USB口,1個(gè)Console接口,支持防火墻基本功能，支持IPSecVPN；并發(fā)連接數(shù)180萬(wàn)。臺(tái)53入侵防御系統(tǒng)北京網(wǎng)御星云信息技術(shù)有限公司PowerV6000-P53T9-SXH標(biāo)準(zhǔn)2U機(jī)架設(shè)備，雙電源，配置10個(gè)千兆電口，24個(gè)千兆光口；2個(gè)擴(kuò)展插槽，支持萬(wàn)兆接口擴(kuò)展；吞吐量：7Gbps，并發(fā)連接數(shù)：320萬(wàn)，默認(rèn)配置80個(gè)SSLVPN接入用戶授權(quán)。臺(tái)24核心交換機(jī)華為技術(shù)有限公司S5720S-52X-LI-AC48個(gè)10/100/1000Base-T以太網(wǎng)端口，4個(gè)萬(wàn)兆SFP+端口；支持GuestVLAN、VoiceVLAN；支持1:1和N:1VLANMapping功能臺(tái)25接入交換機(jī)華為技術(shù)有限公司S3928F-EI標(biāo)準(zhǔn)1U設(shè)備，單電源；24個(gè)百兆以太網(wǎng)端口，2個(gè)千兆端口和2個(gè)電口；支持命令行接口（VLI）配置，支持telnet遠(yuǎn)程配置，支持通過(guò)串口配置，支持SNMP；支持RM0N1\2\3\9組，支持web網(wǎng)管，支持系統(tǒng)日志，分級(jí)告警。臺(tái)3詳細(xì)建設(shè)方案網(wǎng)絡(luò)規(guī)劃VLAN劃分（如表2所示）名稱(chēng)VLANIP地址段子網(wǎng)掩碼網(wǎng)關(guān)安全管理區(qū)vlan10192.168.1.1-192.168.1.254255.255.255.0192.168.1.1內(nèi)部應(yīng)用區(qū)vlan20192.168.2.1-192.168.2.254255.255.255.0192.168.2.1外部應(yīng)用區(qū)vlan30192.168.3.1-192.168.3.254255.255.255.0192.168.3.1終端接入?yún)^(qū)vlan40192.168.4.1-192.168.4.254255.255.255.0192.168.4.1IP地址規(guī)劃（如表3所示）區(qū)域VLAN有效IP地址段子網(wǎng)掩碼網(wǎng)關(guān)安全管理區(qū)vlan10192.168.1.1~192.168.1.254255.255.255.0192.168.1.1內(nèi)部應(yīng)用區(qū)vlan20192.168.2.1~192.168.2.254255.255.255.0192.168.2.1外部應(yīng)用區(qū)vlan30192.168.3.1~192.168.3.254255.255.255.0192.168.3.1終端接入?yún)^(qū)vlan40192.168.4.1~192.168.4.254255.255.255.0192.168.4.1安全管理區(qū)（如表4所示）設(shè)備名稱(chēng)IP地址子網(wǎng)掩碼備注路由器（主）192.168.1.1255.255.255.0路由器（備）192.168.1.2255.255.255.0防火墻（主）192.168.1.3255.255.255.0防火墻（備）192.168.1.4255.255.255.0入侵防御（主）192.168.1.5255.255.255.0入侵防御（備）192.168.1.6255.255.255.0核心交換機(jī)（主）192.168.1.7255.255.255.0核心交換機(jī)（備）192.168.1.8255.255.255.0外部應(yīng)用區(qū)（如表5所示）設(shè)備名稱(chēng)IP地址范圍子網(wǎng)掩碼備注防火墻192.168.2.1255.255.255.0接入交換機(jī)192.168.2.2255.255.255.0其他安全設(shè)備192.168.2.3~192.168.2.10255.255.255.0預(yù)留服務(wù)器192.168.2.100~192.168.2.110255.255.255.0預(yù)留公司內(nèi)網(wǎng)的web服務(wù)器，需要發(fā)布到公網(wǎng)上，但只能訪問(wèn)規(guī)定端口號(hào)，對(duì)于其他端口一律拒絕，并且修改發(fā)布到公網(wǎng)的端口號(hào)，將內(nèi)網(wǎng)服務(wù)器的80端口映射成公網(wǎng)的8081端口，由于IP地址個(gè)數(shù)有限，IP地址直接轉(zhuǎn)換成接口上的地址。內(nèi)部應(yīng)用區(qū)（如表6所示）設(shè)備名稱(chēng)IP地址范圍子網(wǎng)掩碼備注防火墻192.168.3.1255.255.255.0接入交換機(jī)192.168.4.2255.255.255.0其他安全設(shè)備192.168.3.3~192.168.3.10255.255.255.0預(yù)留服務(wù)器192.168.3.100~192.168.3.110255.255.255.0預(yù)留終端接入?yún)^(qū)（如表7所示）設(shè)備名稱(chēng)IP地址范圍子網(wǎng)掩碼備注計(jì)算機(jī)終端192.168.4.1~192.168.4.254255.255.255.0設(shè)備登錄要求Console口的登錄信息設(shè)置所有設(shè)備的登錄認(rèn)證方式都使用AA認(rèn)證，設(shè)置AA認(rèn)證的相關(guān)信息，用戶名：mnky；密碼：mnky@123!，設(shè)備管理等級(jí)為最高等級(jí)十五級(jí)，服務(wù)類(lèi)型為終端。telnet信息設(shè)置所有設(shè)備的telnet登錄認(rèn)證方式使用AA認(rèn)證，設(shè)置AA認(rèn)證的相關(guān)信息，vty的用戶界面最大為五個(gè)，登錄空閑超時(shí)時(shí)間是十五分鐘，不使用分離顯示，最大顯示命令行數(shù)為二十五條，AA的用戶名：remote；密碼：remote@123！,設(shè)備的管理登記為最高級(jí)十五級(jí)，服務(wù)類(lèi)型是telnet。NAT公網(wǎng)地址數(shù)量有限，內(nèi)網(wǎng)地址數(shù)量比較多，需要對(duì)內(nèi)網(wǎng)公網(wǎng)IP進(jìn)行多對(duì)一的轉(zhuǎn)換，向當(dāng)?shù)剡\(yùn)營(yíng)商申請(qǐng)2個(gè)公網(wǎng)IP地址，一個(gè)為主用，另外一個(gè)為備用。通過(guò)公網(wǎng)固定的地址接入方式，提供的上網(wǎng)方式，需要使用網(wǎng)絡(luò)地址轉(zhuǎn)換（簡(jiǎn)稱(chēng)為“NAT”）,將多個(gè)內(nèi)網(wǎng)的地址向一個(gè)公網(wǎng)IP轉(zhuǎn)換，允許內(nèi)網(wǎng)所有計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)。公司內(nèi)網(wǎng)的web服務(wù)器，需要發(fā)布到公網(wǎng)上，但只能訪問(wèn)規(guī)定端口號(hào)，對(duì)于其他端口一律拒絕，并且修改發(fā)布到公網(wǎng)的端口號(hào)，實(shí)現(xiàn)的方式是natserver，將內(nèi)網(wǎng)服務(wù)器的80端口映射成公網(wǎng)的8081端口，由于IP地址個(gè)數(shù)有限，IP地址直接轉(zhuǎn)換成接口上的地址。鏈路聚合公司流量經(jīng)由兩個(gè)網(wǎng)關(guān)設(shè)備轉(zhuǎn)發(fā)，那么兩個(gè)網(wǎng)關(guān)之間的二層轉(zhuǎn)發(fā)的能力需要提供高效的轉(zhuǎn)發(fā)能力及負(fù)載分擔(dān)能力，那么將配置為三條鏈路上在邏輯上的聚合。聚合口號(hào)為1，允許內(nèi)網(wǎng)的所有業(yè)務(wù)流量通過(guò)，禁止其他不在業(yè)務(wù)內(nèi)的流量。VLAN公司根據(jù)不同的部門(mén)及業(yè)務(wù)性質(zhì)，劃分不同VLAN，在核心交換機(jī)劃分VLAN10，VLAN20，VLAN30，VLAN30提供區(qū)域之間的隔離，允許所有VLAN訪問(wèn)互聯(lián)網(wǎng)。訪問(wèn)控制網(wǎng)絡(luò)層訪問(wèn)控制根據(jù)不同的業(yè)務(wù)性質(zhì)和不同VLAN劃分，各VLAN之間相互訪問(wèn)控制（如表8所示）：表8VLAN間訪問(wèn)控制表序號(hào)安全區(qū)名稱(chēng)VLANIP范圍VLAN間訪問(wèn)控制規(guī)則安全管理區(qū)VLAN10192.168.1.1-192.168.1.254允許與其他VLAN相互訪問(wèn)外部應(yīng)用區(qū)VLAN20192.168.2.1-192.168.2.254允許VLAN10相互訪問(wèn)，禁止與其他VLAN相互訪問(wèn)。內(nèi)部應(yīng)用區(qū)VLAN30192.168.3.1-192.168.3.254允許VLAN10、VLAN40相互訪問(wèn)，禁止與VLAN20相互訪問(wèn)。終端接入?yún)^(qū)VLAN40192.168.4.1-192.168.4.254允許VLAN10、VLAN30相互訪問(wèn)，禁止與VLAN20相互訪問(wèn)應(yīng)用系統(tǒng)訪問(wèn)控制外部應(yīng)用在外網(wǎng)服務(wù)器接入?yún)^(qū)，使用應(yīng)用防火墻，針對(duì)性的防護(hù)，可以對(duì)網(wǎng)站服務(wù)器以及數(shù)據(jù)庫(kù)的sql注入常見(jiàn)的不規(guī)范行為及攻擊進(jìn)行一個(gè)很好的防護(hù)。內(nèi)部應(yīng)用網(wǎng)絡(luò)管理員為使用人員創(chuàng)建唯一用戶身份，每個(gè)身份對(duì)應(yīng)相應(yīng)的權(quán)限，并根據(jù)所屬角色，所任職務(wù)進(jìn)行權(quán)限及安全策略設(shè)置，登錄應(yīng)用系統(tǒng)的用戶必須具有自己所對(duì)應(yīng)的用戶帳戶，根據(jù)事先規(guī)劃的業(yè)務(wù)流程及用戶權(quán)限訪問(wèn)自己所能知情的數(shù)據(jù)資源。綜合布線系統(tǒng)設(shè)計(jì)亞洲豹有限公司信息系統(tǒng)安全管理區(qū)網(wǎng)絡(luò)平臺(tái)的建設(shè)，敷設(shè)兩條中國(guó)電信100兆裸光纖，為一主一備使用，提供安全、可靠和穩(wěn)定的數(shù)據(jù)傳輸通道，確保業(yè)務(wù)系統(tǒng)和資源共享得到安全保障。信息系統(tǒng)建設(shè)過(guò)程中，網(wǎng)絡(luò)綜合布線是非常關(guān)鍵重要環(huán)節(jié)，根據(jù)公司信息系統(tǒng)建設(shè)的要求，網(wǎng)絡(luò)綜合布線必須按照設(shè)計(jì)標(biāo)準(zhǔn)EIA/TIA569電信服務(wù)商業(yè)布線標(biāo)準(zhǔn)進(jìn)行?；厩闆r：局域網(wǎng)采用以太網(wǎng)技術(shù)，主干帶寬達(dá)1000Mbps，達(dá)到終端設(shè)備帶寬300Mbps。綜合布線系統(tǒng)支持?jǐn)?shù)據(jù)等綜合信息傳輸，并能夠適應(yīng)各種不同類(lèi)型不同廠家的設(shè)備。方案設(shè)計(jì)中數(shù)據(jù)主干傳輸介質(zhì)采用國(guó)產(chǎn)6芯室外單模光纜，建筑物內(nèi)的水平子系統(tǒng)在性能上可采用6類(lèi)線纜。易于管理。面板、配線架有不用顏色明顯的標(biāo)識(shí)，方便機(jī)房線路管理、維護(hù)。符合當(dāng)前信息傳輸?shù)囊螅⒖紤]未來(lái)發(fā)展的需求；綜合布線系統(tǒng)整體設(shè)計(jì)綜合布線系統(tǒng)分析模塊化的組合方式由數(shù)據(jù)、圖像和部分控制信號(hào)系統(tǒng)統(tǒng)一的傳輸媒介進(jìn)行。綜合在標(biāo)準(zhǔn)的布線中，將現(xiàn)代建筑的三大子系統(tǒng)連接起來(lái)，為現(xiàn)代建筑的系統(tǒng)推廣物理介質(zhì)。綜合布線的特點(diǎn)綜合布線系統(tǒng)的設(shè)計(jì)原則首先是基于企業(yè)對(duì)綜合布線系統(tǒng)為基礎(chǔ)，最大限度滿足用戶提出的功能需求，確保使用性。依照國(guó)際和國(guó)家的有關(guān)標(biāo)準(zhǔn)進(jìn)行。根據(jù)各個(gè)子系統(tǒng)必須結(jié)構(gòu)化和標(biāo)準(zhǔn)化。所有布線部件采用積木式的標(biāo)準(zhǔn)件和模塊化設(shè)計(jì)，便于排除障礙分析、檢查、測(cè)試和維修。布線系統(tǒng)的結(jié)構(gòu)綜合布線采用星型拓?fù)浣Y(jié)構(gòu)，結(jié)構(gòu)下的每個(gè)分支子系統(tǒng)相對(duì)獨(dú)立運(yùn)行。任意一個(gè)子系統(tǒng)存在改動(dòng)或者故障都互不影響其它正常子系統(tǒng)服務(wù)，節(jié)點(diǎn)在星型、環(huán)型、樹(shù)型等結(jié)構(gòu)之間轉(zhuǎn)換并且不影響。這6個(gè)子系統(tǒng)每一個(gè)都可以獨(dú)立的、不受其他影響的進(jìn)入到PDS（綜合布線系統(tǒng)）終端中，這6個(gè)子系統(tǒng)分別是：工作區(qū)系統(tǒng)垂直系統(tǒng)水平系統(tǒng)管理系統(tǒng)設(shè)備系統(tǒng)建筑系統(tǒng)綜合布線系統(tǒng)詳細(xì)設(shè)計(jì)工作區(qū)子系統(tǒng)包括線和終端設(shè)備連接，并將它們搭建在輸入、輸出插座與設(shè)備終端之間。共設(shè)數(shù)據(jù)點(diǎn)90個(gè)為了滿足日常辦公環(huán)境，數(shù)據(jù)點(diǎn)全部采用超六類(lèi)非屏蔽信息模塊，使用國(guó)際防塵墻型插座面板。數(shù)據(jù)點(diǎn)在每層分布（如表9所示）：樓層數(shù)據(jù)點(diǎn)合計(jì)3米非屏蔽超六類(lèi)條線（條）T568AB插座芯（個(gè)）國(guó)際防塵墻盒面板（個(gè)）7909090909069090909090總計(jì)180180180180180表9工作區(qū)子系統(tǒng)數(shù)據(jù)、語(yǔ)音分布表水平子系統(tǒng)將管理子系統(tǒng)配線架的電纜從干線子系統(tǒng)延伸至各個(gè)終端設(shè)備位置，該系統(tǒng)通常在同一樓層。為了滿足高速率數(shù)據(jù)傳輸，選用超六類(lèi)非屏蔽雙絞線。各樓層所需要水平電纜長(zhǎng)度統(tǒng)計(jì)（如表10所示）：樓層數(shù)據(jù)點(diǎn)平均電纜長(zhǎng)度（米）每層水平電纜長(zhǎng)度（米）71002322506100232250合計(jì)200464500表10數(shù)據(jù)點(diǎn)水平電纜長(zhǎng)度統(tǒng)計(jì)表垂直子系統(tǒng)垂直干線子系統(tǒng)由連接設(shè)備間與各層管理間的干線構(gòu)成。機(jī)房位于6層，6層、7層辦公區(qū)采用超六類(lèi)非屏蔽雙絞線敷設(shè)。采用吊頂?shù)妮p型槽型電纜橋架，是一種閉合式金屬橋架，并且安裝在吊頂內(nèi)，從弱電井引向設(shè)有信息點(diǎn)的辦公室。實(shí)施計(jì)劃為了保障好項(xiàng)目實(shí)施的工作，及順利完成目標(biāo)，實(shí)施總體階段安排如圖實(shí)施流程(如圖2所示)。圖2實(shí)施流程工程組織為了有效進(jìn)行進(jìn)度、質(zhì)量，確保項(xiàng)目工程順利實(shí)施及維護(hù)實(shí)施進(jìn)行，時(shí)刻把握和推動(dòng)整個(gè)項(xiàng)目的執(zhí)行，保證整個(gè)項(xiàng)目按時(shí)高質(zhì)量完成工期。項(xiàng)目組：由建設(shè)、承建和監(jiān)督分別委派一位項(xiàng)目管理經(jīng)理人員，負(fù)責(zé)項(xiàng)目的管理和監(jiān)事工作，對(duì)本項(xiàng)目全面負(fù)責(zé)，具體事項(xiàng)包括：制定各小組項(xiàng)目計(jì)劃書(shū)；安排各類(lèi)小組進(jìn)度例會(huì)日程；時(shí)刻監(jiān)控項(xiàng)目過(guò)程和進(jìn)度；不定期編寫(xiě)項(xiàng)目工作進(jìn)度和舉行項(xiàng)目進(jìn)度例會(huì)；協(xié)調(diào)本項(xiàng)目過(guò)程中人員和資源；工程實(shí)施組：遵照工程質(zhì)量管理要求，按照施工技術(shù)規(guī)范，項(xiàng)目的具體施工人員，由建設(shè)單位工程實(shí)施經(jīng)理負(fù)責(zé)，包括項(xiàng)目的網(wǎng)絡(luò)情況的了解，項(xiàng)目試點(diǎn)，制定施工計(jì)劃，用戶的節(jié)點(diǎn)驗(yàn)收工作，用戶現(xiàn)場(chǎng)的培訓(xùn)，系統(tǒng)故障的應(yīng)急響應(yīng)。支持服務(wù)維護(hù)組：支持服務(wù)維護(hù)組作用于本項(xiàng)目全部過(guò)程，包括本項(xiàng)目實(shí)施完畢與維護(hù)。主體由建設(shè)單位人員組成，支持服務(wù)組將按照具體實(shí)施方案中對(duì)此約定及合同簽定后雙方所確定的培訓(xùn)計(jì)劃對(duì)用戶的有關(guān)人員進(jìn)行分期、分批培訓(xùn)。同時(shí)通過(guò)多種服務(wù)手段及靈活多樣的服務(wù)方式向用戶提供與本項(xiàng)目相關(guān)的所有軟、硬件方面的支持與服務(wù)。質(zhì)量監(jiān)督組：對(duì)產(chǎn)品和工程施工質(zhì)量進(jìn)行監(jiān)督，對(duì)發(fā)現(xiàn)的產(chǎn)品質(zhì)量問(wèn)題反饋到項(xiàng)目組；對(duì)施工的質(zhì)量問(wèn)題，反映到承建單位項(xiàng)目經(jīng)理處；對(duì)項(xiàng)目的整個(gè)過(guò)程按照設(shè)計(jì)方案要求進(jìn)行監(jiān)督，并提出改進(jìn)意見(jiàn)。任務(wù)分工亞洲豹有限公司信息系統(tǒng)建設(shè)，涉及建設(shè)單位、承建單位和安全產(chǎn)品廠商，各方任務(wù)分工如下所示：承建單位職責(zé)負(fù)責(zé)項(xiàng)目的總體組織、安排和協(xié)調(diào)。負(fù)責(zé)協(xié)調(diào)各安全產(chǎn)品原廠商完成產(chǎn)品的安裝、調(diào)試和聯(lián)調(diào)。負(fù)責(zé)協(xié)調(diào)安全產(chǎn)品原廠商提供產(chǎn)品相關(guān)的技術(shù)與產(chǎn)品的集中培訓(xùn)和現(xiàn)場(chǎng)培訓(xùn)。負(fù)責(zé)提供信息系統(tǒng)專(zhuān)場(chǎng)培訓(xùn)場(chǎng)地。負(fù)責(zé)本項(xiàng)目的總技術(shù)支持和售后服務(wù)。負(fù)責(zé)協(xié)調(diào)項(xiàng)目的不同產(chǎn)品原廠商的技術(shù)支持和售后服務(wù)。建設(shè)單位職責(zé)負(fù)責(zé)組織相關(guān)管理和技術(shù)人員，成立項(xiàng)目組。負(fù)責(zé)提供資料、場(chǎng)地、人員和工作配合。負(fù)責(zé)產(chǎn)品安裝、調(diào)試、聯(lián)調(diào)配合。原廠商職責(zé)負(fù)責(zé)完成產(chǎn)品原廠商安裝、調(diào)試。負(fù)責(zé)提供產(chǎn)品聯(lián)調(diào)配合。負(fù)責(zé)提供產(chǎn)品相關(guān)的技術(shù)與產(chǎn)品的集中培訓(xùn)和現(xiàn)場(chǎng)培訓(xùn)。負(fù)