双网隔离技术方案(通用版)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机网络系统双网隔离建议方案
北京银信长远科技股份有限公司
二O一四年七月
目录
第一章公司简介 (3)
第二章用户需求分析 (4)
第三章总体设计指导思想 (5)
第四章计算机系统双网隔离方案 (8)
第五章、投资预算评估 (17)
第一章公司简介
北京银信长远科技股份有限公司(简称银信科技)是一家全国性、专业化的IT服务整体解决方案提供商,注册资本1.2亿元人民币,是中国第三方IT运维服务第一家上市公司。公司现有员工近700人,技术工程师400人,绝大多数工程师具有原厂各类技术认证证书,证书总数700多个。
银信科技主要经营范围:IT基础设施、IT行业应用系统的建设和运维,包含数据中心、云平台、容灾备份、虚拟化、信息安全等系统解决方案;各行业数据中心、各类IT设备系统的运营维保服务、IT技术培训、IT人员外包服务、数据中心搬迁及其他IT增值服务;自有IT运维管理软件的销售,IT运维管理咨询及服务等。
银信科技资质:
·北京市科学技术委员会颁发的高新技术企业证书;
·信息产业部颁发的计算机信息系统集成一级资质证书;
·中国软件测评中心颁发的信息系统运维服务能力二级资质证书;
·工信部ITSS(信息技术服务标准工作组)全权成员单位证书;
·通过ISO9001:2008国际质量管理体系认证;
·通过北京市科学技术委员会的双软件认证。
·中国银行业数据中心IT基础设施第三方服务市场排名中名列第一
业绩
客户行业已涉及金融、电信、电力、航空、政府、教育、交通、商业、IT业、制造
业等众多行业客户。
第二章用户需求分析
现需对用户计算机网络进行物理隔离改造,物理隔离改造工作需要保护单机和内网的数据安全和信息安全,即重要的数据不能放到与外网相连的计算机硬盘上,工作人员可以在同一台计算机终端上根据工作需要进入内网或外网,并在终端上处理重要的数据和进行工作操作,实现办公网与外网的物理隔离,并有效的保障办公网与外网的数据交换安全。
用户分为两个区域:一个区域,约有办公电脑XXXX台,其中,20台需要连接外网;另一区域,约有办公电脑XXXXX台,其中30台需要连接外网。
第三章总体设计指导思想
一、系统总体设计指导思想
1、严格遵循物理隔离技术规范,实现内网与互联网的物理隔离。
2、在重视科学性、经济性和实用性的同时,讲求使用效果。
3、确保所设计的系统能达到国内领先水平。
4、改造后的系统,需要有高效的安全防范措施
二、系统总体实现目标
现需对用户计算机网络进行物理隔离改造,实现办公网络 (内网)与国际互联网(外网)的双网物理隔离,并保障网络和存储数据设备的数据安全和信息安全。
通过改造工作,在技术上达到:
1、在物理传导上使内外网络隔断,确保外部网不能通过网络连接侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。
2、在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息串网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储;严格限制可移动介质的使用范围及环境,如U盘、光盘等。
三、本建议方案的实施要点
根据用户计算机网络的现实情况,实施内外网物理隔离的要求是:
1、对计算机系统要进行适当的改造工作,做到内外网服务器分开设置;桌面终端计算机可直接实现内网办公或外网应用,当使用办公网时,则外网物理隔离,当使用外网时,则办公网物理隔离。终端计算机上,办公网与外网的数据存储仓库为完全隔离的两个硬盘,或办公网存储于机房存储设备,而外网可存储于计算机的指定硬盘。计算机终端需进行安全保护,以防止病毒、木马、攻击等威胁设备安全的事件发生。
2、网络改造。真正高效的隔离,是办公网与外网的网络完全分开,即为外网重新铺设新的综合布线系统,从互联网接入端到计算机终端,外网为独立的网络系统,并具备信息安全保护的功能。
3、内外网数据传输。内外网之间常有些重要信息需要传输或备份,双网系统之间存在数据交换需求:外网用户可以访问内网的数据库,并且能够保护内网安全。如果使用U盘等移动设备来拷贝,就会面临病毒的威胁。但是如果开放网络,让内网与外网之间互通,又会使双网的意义丧失。为保护办公网的数据和信息安全,需要在办公网和外网之间架设安全隔离与信息交换系统,它应用在用户双网之间,主要负责数据的安全交换,阻止已知的以及未知的入侵和内部信息的泄漏,并且把内外网传来的数据掌控在可控的范围内,实现了可控的、高效的、实时的、安全的信息交换。
网络改造完成后的拓朴图如下:
第四章计算机系统双网隔离方案
一、企业外网网络的新建
为了打造企业办公网和外网完全隔离的网络系统,需要新建一套与企业办公网平行的企业外网网络系统。主要设备包括:计算机终端改造、独立的服务器(可选)、防火墙、交换机、综合布线系统、计算机终端安全防护系统等。
企业外网网络系统的拓扑图如下:
根据培训与评价中心的终端分布情况,整个系统分为两个区域,贵阳区域计算机终端20台,2-3台带智能网管功能的千兆交换机,1台高性能可进行分段IP映射的防火墙,6类非屏蔽综合布线系统,免工具综合布线数据终端等若干。清镇区域计算机终端30台,3-5台带智能网管功能的千兆交换机,1台高性能可进行分段IP映射的防火墙,6类非屏蔽综合布线系统,免工具综合布线数据终端等若干。
对计算机终端进行改造,配置物理隔离卡、独立硬盘及主板,以达到双硬盘双网的物理隔离,同时,还需要对每个需要连接外网的计算机终端安装杀毒软件和个人电脑防火墙等安全防护。
如有必要,为保障数据防泄漏等要求,还可以在后期对网络和终端建设一套全生命周期数据泄露防护体系,包含:文档安全管理系统;文件透明加密系统;文档全线管理系统;文档外发管理系统;文档加密安全网关系统;可信介质管理系统;电子文件保险柜;全盘加密安全介质终端;磁盘全盘加密系统;数据防泄漏平台。
二、内外网数据传输安全
针对用户应用需求的实际情况,需要在机房内布置一套安全隔离与信息交换系统。
使用安全隔离与信息交换系统的文件交流方式,Web服务器将接收到的请求转换成文件,通过安全隔离与信息交换系统传输到业务网,业务网处理完该数据后,再将结果转换成文件通过安全隔离与信息交换系统传输给Web服务器,见图: