《某某药业网络设计方案(1).docx》由会员分享,可在线阅读,更多相关《某某药业网络设计方案(1).docx(16页珍藏版)》请在三一办公上搜索。
1、目录一 建网目标及功能1.1 建网目标:1.2 网络功能:二 网络设计原则三 网络结构设计3.1 物理结构设计3.2 网络系统的拓扑结构图四 网络设备数量规划4.1 网络连接设备4.2 服务器4.3 交换机4.4 UPS五 网络安全性设计5.1 网络信息安全系统设计原则 5.2 网络信息安全系统设计步骤5.3 网络安全需求 5.4 网络安全层次及安全措施 5.5 网络信息安全解决方案选型指导5.6 网络安全特性检测六 应用子系统介绍七 费用及时间某某药业网络设计方案网络时代的到来,促进了网络在工业化生产和管理各个方面的普及应用,不仅从根本上改变了人们获取信息、管理企业的方式,而且极大提高了工作
2、质量和效率,网络已经成为现代企业不可或缺的必备物质基础。利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现代化的信息沟通。企业内部网络的建设已经成为提升企业核心竞争力的关键因素。在某某药业网络建设过程中,我们将遵循“统一标准、整体规划、循序渐进、持续发展”的原则,将某某药业的网络建设成为一个先进高效、功能卓越、标准统一、安全可靠的网络,以满足某某药业现代管理规范化、程序化、标准化的需要。一 建网目标及功能1.1 建网目标:l 资源共享功能: 通过该网络系统可以更多、更及时地了解部门的动态,实现各部门之间的信息交流和资源共享。网络内的各个桌面用户可共享数据库、打印机,可以召开视频会
3、议,实现办公自动化系统中的各项功能。 l 通信服务功能: 通过网关与防火墙实现与INTRANET的连接,能够及时获取外部信息,实现信息交流。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。 l 多媒体功能: 可以传播声音和图象,实现对生产流程的监控;支持多媒体组播,具有卓越的服务质量保证功能。l 远程VPN拨入访问功能: 系统支持远程PPTP接入,员工在外地可利用INTERNET远程访问公司资源。 l 该系统具有安全和易于维护的特点并充分考虑到今后升级,为将来远程教育培训和电子商务提供良好的可扩展的支撑平台。1.2 网络功能:l 利用Web电子出版发布
4、企业各种信息,供企业内部或指定客户使用。l 利用电子邮件,降低通信费用,企业员工可以方便快速地应用电子邮件来传递信息。l 在Web上开展电子商贸。主要方式有全球范围内的企业形象展示、物资采购、工程招投标等信息服务。l 远程用户登录,外地员工可以通过多种方式访问内部信息,甚至监控生产过程。l 远程信息传送,将企业内部的信息传送到用户工作站及其他通讯工具上(如手机等)。l 企业资源管理信息系统(ERP)应用,如财务、物流、人事管理系统等。l 企业无纸化办公。l 通过与Internet相连,进行全球范围的通信及视频会议。l 新闻组讨论。企业员工可就某一事件通过网络进行深入讨论且自动记录在服务器中。l
5、 Intranet在企业内部构成强大的信息网络平台,网上用户共享信息资源,Intranet也可与Internet相连,向业务伙伴提供访问网络的通道。二 网络设计原则为保证网络的成功实施,在网络设计过程中遵循如下原则:l 先进性和成熟性 系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。l 可靠性和稳定性 在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。 l 安全性和
6、保密性在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d等。在技术上,所选择的服务器操作系统平台、通讯平台及其数据库平台,要求采用严格的用户设置、操作权限控制、设备钥匙、密码控制、系统日志监督等多种手段,以防止系统数据被窃取或篡改;在管理上,制定一套完整的安全保密措施和规章制度,保持系统的可持续发展空间。l 可扩展性和易维护性为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可
7、网管产品,降低人力资源的费用,提高网络的易用性,实现互联互通。l 实用性和经济性 系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。 l 包容性系统框架结构能够适应多种应用平台,具有良好的包容性,易于移植和升级,不会造成重复投资。三 网络结构设计3.1 物理结构设计为了满足某某药业的需求及长远利益,某某药业企业网络系统设备应依据上述网络设计原则进行选型,在网络设备方面选用先进可靠的网络互联厂商的产品,通过智能、安全及可靠的网络将信息设备连为一体,具备很好的可靠性和稳定性。利用千兆以太网技术建网,网络中心交换机选用华为多功能千兆网管型交换机,选择背板带宽较大产
8、品,完全能够满足某某药业企业内办公、视频和其他应用的需要。在主交换机下方可根据实际情况级联智能型或基本型交换机,来满足不同用户的不同需要,另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题,在某些特定的区域设计了无线信号覆盖,通过无线接入点和无线网卡,以超过10M的带宽高速连上企业网。整个企业网通过CISCO宽带路由器实现与INTERNET的连接,该产品支持各种常见接入方式,并能支持局域网上网权限限制。 某某药业组建的网络,通过设备选型实现以下几个方面的技术: l 带宽聚合技术:在两台交换机间提供链路的聚合,提供并行带宽,将多条物理上的连接组成一条逻辑通路(Trunk)。主要功能包
9、括成倍增加带宽和为线路冗余提供可靠性。实现核心网络连接的线路冗余和平衡负载。 l 灵活的带宽控制技术:以64K为单位,对每个端口的输入和输出带宽根据实际需求进行灵活的控制,达到不让某一台或一组工作站占用网络过多带宽的目的。 l 采用MAC地址限制技术:最大可以设置256个MAC地址绑定,实现网络PORT接入的安全保护,同时酌情采用802.1X技术,实现对用户接入的访问控制,进一步提高网络安全性。 l 支持VLAN的划分:基于端口VLAN和支持跨交换机802.1Q 的VLAN,增强网络的灵活性,提高网络安全,控制广播风暴。l 支持无线WEP加密技术:对于无线产品的安全性有较好的保障,支持WEP
10、256位的加密,很大程度上杜绝了非法用户在无线覆盖区域内的接入。某某药业网络采用 1000M快速交换以太网的星型拓扑结构,采用这种结构具有以下显著特点:(1)局部故障不至于影响到整个网络的正常运行,因而增强了系统的可靠性和稳定性。(2)星型结构便于故障定位,有利于网络系统的维护。本网络分二级设计,第一级为主干,第二级通到各信息点,个别二级无法到达的信息点采用三级到达。第一级主干网主要是网络中心核心交换机与二级交换机对连,采用光纤1000M传输连接;第二级可采用非智能型交换机与各终端相连,传输速率100M,物理层都采用超五类双绞线连接。以上各级网络均采用TCPIP协议及其它通用协议。3.2 网络
11、系统的拓扑结构图:OA服务器四 网络设备数量规划4.1 网络连接设备按照规划,所有节点均连入到交换机,暂时不用的可以不开通,但从使用角度考虑,可以一次接通。根据规划,网络设备数量如下表:网络节点网络配线架交换机数量室外光纤PC机数量办 公 室9051台48口1根12芯20生产车间3021台24口1根12芯10库 房4021台24口1根12芯17维修车间2011台12口1根12芯5中心机房2011台24口2合 计200115台4根544.2 服务器除了上表列出的设备外,网络最核心的部分是网络服务器。所有的应用服务器和基础服务器全部采用机架式服务器,集中放置在中心机房,以便于统一管理,同时结合交换
12、机技术,对核心服务器的访问做特定的条件限制,提高系统的安全性,防止非法入侵。另外显示器、键盘、鼠标从服务器室接出来,让操作人员尽量少进服务器室,减少噪音、灰尘对服务器的影响,提高服务器的物理安全性。(建议:主机房加设门禁系统。)根据现有业务系统和可扩展原则,建议服务器规划如下:服务名称服务器配置级别需求 数量功能说明域控制器工作组级1主域控制ERP服务企业级1企业财务、物流等核心业务管理OA服务器工作组级1办公自动化WEB服务器工作组级1主页服务FTP+WEB(外网)工作组级1邮件服务器工作组级1财务软件授权服务器工作组级1GMP认证管理服务器工作组级1流媒体服务器部门级1视频会议等培训考试服
13、务器工作组级1职工教学、培训防病毒服务器工作组级1RAS服务器工作组级1文件服务器部门级1图档服务器部门级1根据上表规划的功能,建议最少配备2台服务器,一台主要安装ERP系统,另一台完成办公自动化功能;在其中一台上安装WEB服务、邮件、RAS服务等等,也可以根据使用情况在两台服务器上分别安装。如果条件允许,从使用角度出发,多配置2-3台服务器,将各项使用功能尽量分开,提高使用效率和可靠性。目前市场上比较流行的服务器品牌主要有IBM、HP、DELL和浪潮,这些都是国际知名的服务器产品供应商,其产品在国际国内市场占有很大份额,产品质量高,售后服务好,任何一家的产品都可以满足某某药业的需求。但这几家
14、服务器产品比较起来各有其特点。IBM、HP是老牌的服务器生产商,产品性能优越,多级产品经销商能够使其产品在世界各地都能根据客户需求做出快速反应,并在产品售后服务上能及时响应客户的故障请求。也正是这些特点,IBM服务器产品相对同类产品价格较高。DELL是PC和服务器供应商的后起之秀,产品质量可靠,其最大特点就是直销这种新型的产品销售方式,减少了销售商这个中间环节,降低了费用,提高了效率,使其服务器产品有很强的性价比,过去一年的销售超过HP、IBM、SUN这些老牌的服务器厂家,成为服务器市场的领头羊。同样是这种方式,DELL的台式机销售增长也一枝独秀,是市场此类机型的首选品牌。浪潮服务器在国内市场
15、占有较大份额,产品质量可以与国外服务器一争高下,由于是本土企业,售后服务不成问题,选择浪潮服务器同样可以满足某某药业对服务器产品的需求。4.3 交换机交换机是网络通畅的关键设备。全面评估交换机特别是可堆叠交换机性能的途径是增加对可伸缩性和可管理性能的评估。在谈到可伸缩性时,许多厂商列举了用户端口的数量来支持他们对高可靠性的保证,这是不够的,还要考虑这种配置有没有上行链路,还需确定交换机出现阻塞或饱和的位置。这里有三点需要考虑:l 内部可伸缩性:堆叠设备之间的互联将可伸缩性限制到什么程度? l 带宽扩展:有多少端口可以在交换机过载前从10Mbps以太网升级到100Mbps以太网端口?l 外部可伸
16、缩性:交换机上行链路将向网络其它部分传送的数据流限制到什么程度? 许多研究证明,涉及到运行和管理的费用在产品的生命期中耗费的资金比产品的最初购买费用要更多。因此,可管理性成为了评估总体价值的另一项关键因素。 可堆叠交换机固有的优势在于管理单一逻辑实体比管理多台必须独立配置和监控的设备更容易。但是,这里仍有其它一些需要研究的因素,包括用于优先数据流的服务质量(QoS)、执行策略的能力、管理VLAN传输流的能力以及易于管理和操作性。 QoS特性集中在保存所需带宽和转发传输流来支持不同服务水平的需要。一般可堆叠交换机都支持描述优先级和VLAN的IEEE 802.1p及802.1Q标准。但是当涉及到对
17、资源保留协议(用于为特定数据流保留规定带宽的通用机制)的支持时结果却不尽相同,而资源保留对于在建立连接时保证有足够的带宽可供使用是不可或缺的。策略是指控制交换机行为的规则,网络管理员利用策略为应用流分配带宽、优先级以及控制网络访问,其重点是满足服务水平协议所需的带宽管理策略及向交换机发布策略的方式。由于一次配置一台交换机需要耗费大量人力,并有可能会出现输入错误,因此策略必须发布到交换机组。在需要新策略时,大量的交换机应能够被迅速修改,因此,需检查可堆叠交换机是否支持目录使能网络和轻目录访问协议,以及通用开放策略服务(一种有望实施的特性更丰富的协议)。 用户可以使用VLAN跨多台交换机或堆叠设备
18、来管理传输流。目前的产品都支持802.1Q标记定义的VLAN,许多产品还支持基于交换机端口、媒体访问控制地址、第3层协议或策略的其它VLAN 。华为新型可堆叠交换机是性能优越、扩展性良好的网络设备。在交换机选型上首推华为。自从与3COM合作以来,华为技术日臻完善,全球市场业绩增幅直逼CISCO,成为一款性能卓越、安全可靠的民族品牌,也是性价比最好的交换机产品。4.4 UPS除了服务器和交换机,还需配备一定数量的UPS,特别是农网地区(电压不稳,断电等)。中心机房一定要配备UPS,如果按照2台服务器配置,每台耗电800W,1台中心交换机,耗电2000W,2台工作站,各耗电300W。所需负载计算如
19、下:800X2+2000+300X2=4200W,UPS的容量按照VA计算:4200X1.4=5880VA,建议使用5KVA的APC不间断电源。APC Smart-UPS,提供网络级的高可靠电源,特别适于保护网络设备,例如,对可用性要求极高的服务器(无论是Intel 架构还是UNIX架构)、网络交换机、集线器等。 Smart-UPS,不仅有传统的塔式机型,其机架式机型,也是业界推出最早、功率型号最全的。机架式的服务器、存储产品、网络设备等安装于机柜内的设备,机架式Smart-UPS是最佳配套电源。 Smart-UPS随机赠送PowerChute电池管理软件,应用它,网络管理员能够远程或自动地安
20、全关闭系统。UPS与网络设备的通讯,即可通过串口、也可通过UPS接口实现。 Smart-UPS同时提供SmartSlot智能附件卡插槽,用户可以根据需要自由扩充附件卡,实现管理功能的定制化。纯正弦波输出保证兼容所有负载,智能电池管理更确保了UPS的高可用性,先进的图形显示信息方便了系统管理员对UPS的管理。APC的UPS成为网络用户非常合适的保护神。不包含连接线等附属设施,服务器、交换机、UPS所需费用在1220万元之间,具体数额根据数量、性能、品牌不同而变化;如果加上台式机,还需增加25万元左右。五 网络安全性设计随着网络应用的日益广泛,各种大型企业或单位也将通过网络与用户及其他相关行业系统
21、之间进行交流,提供各种网上的信息服务,但这些网络用户中,不乏竞争对手和恶意破坏者,这些人可能会不断地寻找系统内部网络上的漏洞,企图潜入内部网络。一旦网络被人攻破,机密的数据、资料可能会被盗取、网络可能会被破坏,给系统带来难以预测的损失。因此,防火墙便成为网络安全必不可少的产品,防火墙在系统网络与外部网络用户之间建起了一道安全的屏障,从而有效地抵御外来攻击,防止不法分子的入侵。 计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。以该思想为出发点,提出网络信息安全解决方案。 5.1 网络信
22、息安全系统设计原则 l 满足Internet分级管理需求 l 需求、风险、代价平衡的原则 l 综合性、整体性原则 l 可用性原则 l 分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想:l 大幅度地提高系统的安全性和保密性;l 保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;l 易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;l 尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;l 安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;l 安全与密码产品具有合法性,并便于安全管理单
23、位与密码管理单位的检查与监督。基于上述思想,网络信息安全系统应遵循如下设计原则: 5.1.1 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 5.1.2 需求、风险、代价平衡的
24、原则 对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。5.1.3 综合性、整体性原则 应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影
25、响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。5.1.4 可用性原则 安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。5.1.5 分步实施原则:分级管理 分步实施 由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实
26、施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。5.2 网络信息安全系统设计步骤网络安全需求分析:l 确立合理的目标基线和安全策略 l 明确准备付出的代价 l 制定可行的技术方案 l 工程实施方案(产品的选购与定制) l 制定配套的法规、条例和管理办法 本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的网络信息安全解决方案。 5.3 网络安全需求 确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,网络信息系统需要解决如下安全问题: l 局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现 l 在连接Internet时,
27、如何在网络层实现安全性 l 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵 l 如何实现广域网信息传输的安全保密性 l 加密系统如何布置,包括建立证书管理中心、应用系统集成加密等 l 如何实现远程访问的安全性 l 如何评价网络系统的整体安全性 基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。5.4 网络安全层次及安全措施 l 链路安全 l 网络安全 l 信息安全 网络的安全层次分为:链路安全、网络安全、信息安全 网络的安全层次及在相应层次上采取的安全措施见下表。 信息安全信息传输安全
28、(动态安全)数据加密数据完整性鉴别防抵赖安全管理 信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA)网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP安全)审计分析链路安全链路加密5.4.1 链路安全链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路
29、密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。5.4.2 网络安全 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复
30、合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监
31、控功能、NAT功能等等。信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决40%60%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。信息系统的安全应该是一个动态的发展过程,应该是一种检测监视安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱
32、的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。另外,使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IP AH)可以提供认证与数据完整
33、性机制。利用IP封装净载(IP ESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。5.4.3 信息安全(应用与数据安全)在这里,我们把信息安全定义为应用层与数据安全。在这一层次上,主要是应用密码技术解决用户身份鉴别、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。由于网络的开放性和资源的共享,使得网络上的信息(无论是动态的还是静态的)的使用和修改都是自由的,如非法修改、越权使用、改变信息的流向等。这也必然威胁到信息
34、的可控性、可用性、保密性、完整性等安全属性。为了保证信息的安全,我们必须采取有效的技术措施。这些措施主要从以下几个方面解决信息的安全问题,即:用户身份鉴别、用户权限控制、信息的传输安全、信息的存储安全以及对信息内容的审计。北京天融信公司为解决这一层次的安全问题而提供的相关产品有:l Internet/Intranet加密系统:它为应用程序提供身份鉴别、数据加密、数字签名和自动密钥分发等安全功能。 l CA系统:建立证书中心(CA)即公钥密码证书管理中心,是公钥密码技术得以大规模应用的前提条件。公钥密码算法在密钥自动管理、数字签名、身份识别等方面是传统对称密码算法所不可代替的一项关键技术。尤其在
35、当前迅猛发展的电子商务中,数字签名是电子商务安全的核心部分。公钥密码算法用于数字签名时须借助可信的第三方对签名者的公开密钥提供担保,这个可信的第三方就是CA。因此,建立CA是开展电子商务的先决条件。另外,CA还可为各种基于公钥密码算法建立的网络安全系统提供认证服务。 l 端端加密机:这类密码机只对用户数据中的数据字段部分加密,控制字段部分则不加密,用户数据加密后通过网络路由交换到达目的地后才进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态,有效地防止了用户信息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于X.25分组交换网等端到端通信环境,为X.25网用户提供全
36、程加密服务,它支持专线及电话拨号两种入网方式。 l 信息稽查系统:是针对信息内容进行审计的安全管理手段,该系统采用先进的状态检查技术,以透明方式实时对进出内部网络的电子邮件和传输文件等进行数据备份,并可根据用户需求对通信内容进行审计,并对压缩的文件进行解压还原,从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻击提供有效的技术手段。 l 办公自动化文电加密系统:文电办公自动化安全保密系统是用于文件和电子邮件传送、存储以及访问控制的应用系统,是应用层加密系统。系统采用对称与非对称算法相结合的体系,为适应国家有关规定,算法可根据用户的安全强度需求不同进行定制;而且具有操作简单、使
37、用方便的特点。可广泛应用于企业内部网、局域网、广域网以及利用Internet开展的诸多应用中。 l 安全数据库系统:安全数据库系统是一套完全自主版权实用化的数据库软件产品, 系统主要的安全机制包括:管理员、审计员、安全员三权分立的管理机制;对用户和数据的分级管理机制;同时提供可靠的故障恢复机制。该系统是客户/服务器体系机构的分布式多媒体数据库管理系统,支持多台服务器并行协同工作,提供良好的分布式数据库环境,确保分布数据的完整性;支持存储过程和远程数据访问;系统性能与功能强度,相当于ORACLE V7,并可与ORACLE等流行数据库互联互访。 l 数据库安全保密系统:数据库安全保密系统是针对目前
38、已选用的通用数据库开发的安全措施,是在目前流行的通用数据库(如Oracle)基础上增加控件,以实现对数据库的访问/存取控制及加密控制等。 5.5 网络信息安全解决方案选型指导5.5.1 链路安全解决方案 用户需求:链路加密,防信息泄漏,对用户透明,设备自身安全管理 解决方案:异步线路密码机(适用于电话网)、同步线路密码机)适用于(DDN专线、X.25专线、卫星线路) 5.5.2 网络安全解决方案5.5.2.1 基本防护体系(包过滤防火墙NAT计费)用户需求:全部或部分满足以下各项 l 解决内外网络边界安全,防止外部攻击,保护内部网络 l 解决内部网安全问题,隔离内部不同网段,建立VLAN l
39、根据IP地址、协议类型、端口进行过滤 l 内外网络采用两套IP地址,需要网络地址转换NAT功能 l 支持安全服务器网络SSN l 通过IP地址与MAC地址对应防止IP欺骗 l 基于IP地址计费 l 基于IP地址的流量统计与限制 l 基于IP地址的黑白名单。 l 防火墙运行在安全操作系统之上 l 防火墙为独立硬件 l 防火墙无IP地址 解决方案:采用网络卫士防火墙NG FW-20005.5.2.2 标准防护体系(包过滤NAT计费代理VPN)用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项l 提供应用代理服务,隔离内外网络 l 用户身份鉴别 l 权限控制 l 基于用户计费 l 基于用
40、户的流量统计与控制 l 基于WEB的安全管理 l 支持VPN及其管理 l 支持透明接入 l 具有自身保护能力,防范对防火墙的常见攻击 解决方案:(1) 选用网络卫士防火墙NG FW-3000 (2) 防火墙基本配置网络加密机(IP协议加密机) 5.5.2.3 强化防护体系(包过滤NAT计费代理VPN网络安全检测监控) 用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项 l 网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备) l 操作系统安全性检测 l 网络监控与入侵检测 解决方案:选用网络卫士防火墙NG FW3000网络安全分析系统网络监控器 5.6 网络安全特性
41、检测网络安全检测(包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测)是指使用网络安全检测工具,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策略,达到增强网络安全性的目的。原则上,在一些关键业务网络系统,应该具备功能较强的网络安全检测或分析软件,通过定期对整个网络系统的扫描分析,即时对网络安全状况进行评估,并根据分析结果,来合理制定或调整网络安全策略。 六 应用子系统介绍这里所指的应用子系统是指随着某某药业IT建设项目的逐步完善,一些其他的业务管理系统在新建IT平台上的应用,如:邮件系统、视频会议系统、会议室演示系统(电子会议室)、门禁考勤系统、传真系统等等。这些功能的应用将根据用户的需求和IT建设进展情况逐步实施。七 费用及时间7.1 购买硬件的费用遵照上述原则,网络运行按照最小可满足需求,费用如下:设备名称性能参数数量单价(万元)合计(万元)服务器工作组级236交换机12口40.31.224口10.50.5UPS3KVA10.80.8台式机PIV/256M540.527综合布线根据施工的具体情况总 价(不包含综合布线)35.5如果整体性能提高,价格会随之上升。7.2 实施的时间整个设计、施工、安装调试到运行的时间不超过一个月。- 16 -
