文档介绍:东北公司双机双网系统建设指导意见
一、网络现状及建设需求
东北电网有限公司机关及各直属单位的信息网络是企业的生产、经营与管理等各种信息的应用载体。
目前,网上的用户既是企业内部网用户,又是外部互联网的用户。由于上网用户的信息技术水平参差不齐,因此,无法有效地杜绝网络攻击、病毒感染等网络破坏行为,对企业数据的安全性、保密性构成了潜在的威胁。
为贯彻落实***信息安全工作会议关于建设“双机双网”工作的要求,保证东北电网有限公司信息网络的安全,完善企业信息化建设,据此,提出东北公司“双机双网”建设目标,使企业内部网与互联网进行严格的物理隔离。
双机双网工程是在各原有网络的基础上,将原网络改造成为企业内部网,并根据业务需要,新建的一套网络(与国际互联网连接,处理互联网业务。以下称之为外网)。原有网络划分为内、外网之后,终端用户在两台微机上分别处理企业内网业务数据和互联网外网业务数据。两套网络进行物理隔离,从而有效地保证企业内网数据的安全性、保密性,使企业内网能够安全、稳定地运行。
二、网络整体设计原则
(一)内、外网功能定位
在充分考虑安全性及业务功能的前提下,将信息网划分为信息内网和信息外网。
信息内网的定位:承载企业信息化“SG186”工程业务应、企业内部办公业务(涉及企业保密数据)。
信息外网的定位:承载企业对外业务、互联网用户终端(不涉及企业保密数据)。
(二)网络建设原则
双机双网工程应按照国网公司相关文件精神要求,遵循技术先进、实用高效、安全可靠、易于扩展、节约资金的原则进行设计与组织实施。
1、安全性和保密性原则
网络建成后,实现内、外双网独立运行,最终可以通过逻辑强隔离设备进行双网之间的联接,实现对内、外网交互的严格控制。加强对各类计算机网络终端的管理,接入层选用可网管型网络设备,采用VLAN划分、IP+MAC绑定等多种技术措施,避免单机双网卡、两网交叉接入等情况,保证信息网的安全性和保密性。
2、经济实用原则
在保证网络安全性的前提下,充分利用现有网络资源,节约投资。按照工作性质合理分配信息内网与信息外网的计算机比例,尽量缩减不必要的网络设备和微机配置。
3、IP地址分配原则
外网IP地址段采用有别于内网的私有网络地址,对部分办公区域或专业业务区进行单独VLAN划分,避免出现由于整个网络在同一个VLAN中广播风暴对网络带宽所产生的压力,抑制病毒通过广播效应的传播速度,增大黑客利用扫描工具窥探入侵的难度,加强对重点业务的重点保护。
三、内外网基础应用规划
根据目前应用的使用情况,需要将所有的应用系统有针对性的实施安全隔离,并做到内网与外网不影响使用。
首先应实现基础应用的安全隔离,他们包括:
内外网邮件系统
内外网DNS系统
内外网WEB网站
内网系统补丁升级服务和病毒定义库的升级服务
1、对于内外网邮件系统
电子邮件已经是主要的办公、交流手段,在方案中将现有邮件系统连接到外网,内网建议使用办公自动化邮件系统。将互联网与内网办公自动化服务器完全隔离;最大化保证内、外网电子邮件安全。
同时部署邮件杀毒软件和反垃圾邮件软件,做到电子邮件安全的集中查杀、过滤。充分保障邮件系统的安全性。
办公自动化现阶段不能与国网公司收发邮件,只能进行公文传输,所以与国网公司邮件发送需要通过外网的邮件服务器。此问题的解决有待于国网公司统一规划。
2、对于内外网DNS
外网使用新的DNS,用于外网地址解析。
内网使用现有DNS,专用于内网地址解析。
3、内外网WEB网站
原有的内网至外网用于互联网的对外信息发布。
4、对内网系统补丁升级服务和病毒定义库的升级服务
内网系统补丁升级服务和病毒定义库的升级服务需要在内网单独建立,并确保服务器能及时更新。
四、外网建设规划
外网建设的网络设计方案以模块方式进行规范,分为核心区、接入区、出口区、外联区、管理区。
各单位要根据实际情况合理配置各区的网络设备性能和数量。在满足本单位使用需求的情况下,尽量减少设备数量,选择性能指标合理的设备,减少不必要的网络设备连接层次等。
如下图所示:
(一)核心区
核心区主要包括核心交换机和外联路由器,其主要功能是完成对接入区、管理区和外联路由器的接入。
为确保整个网络的可靠运行,核心区可以采用双核心交换机进行互备及负载分担,考虑到外联单位与管理区的各自安全性,以及控制接入区病毒的影响范围,可采用将防火墙,入侵检测(
IPS/FWSM)集成至核心交换机的产品。
(二)接入区
接入区采用三层或二层千兆交换机完成终端接入,该设备应具有防止ARP等病毒攻击的安全功能,具有配合软件系统实现用户认证的功能,以确保上网用户的合法性和网络的安全性。
(三)外联区
外联二级单位,可设计