1、陕西核工业集团公司-网络改造方案建议书第 1 页/共 16 页集团公司网络改造方案建议书日期:2015 年 12 月陕西核工业集团公司-网络改造方案建议书第 2 页/共 16 页目录1.网络出口安全问题 32.网络带宽管理问题 33.网络架构问题 64.无线网络覆盖问题 65.桌面运维管理问题 75.服务器数据安全问题 93.预算清单 10陕西核工业集团公司-网络改造方案建议书第 3 页/共 16 页1.网络出口安全问题集团公司网络出口设备应配备 1 台华为路由器,该产品主要用于集团公司上网用户的 IP 地址转换,外网光纤链路为电信 50M,由于路由器未提供安全功能模块,集团公司的网络安全受到
2、很大危险,同时集团公司的销售人员在出差时需远程访问公司内网业务系统,现有设备没有防火墙、入侵检测、VPN 等功能,某些功能需要购买软件授权才可以实现。急需对全集团公司网络安全进行改造。解决方案:新购一台网络安全网关 UTM,该产品具备高级功能,同时提供VPN、AV、IDP 等多种功能,UTM 区别于传统防火墙,能分析网络 3-4 层数据报文,自带的规则库能识别 90%的病毒,阻止非法的网络攻击,如非法扫描,漏洞探测,僵尸网络,暴力破解等。通过配置 SSL VPN 可以实现远程用户以安全的虚拟通道连接到集团公司内网访问业务系统,SSL VPN 支持在手机、电脑终端任意访问,不再限制用户的访问终端
3、类型。公司领导可以在家、出差,上下班路上,轻松连接到内网进行相关工作流程的签发,实现了智能终端设备的安全移动办公。2.网络带宽管理问题集团公司网络基础平台 2013 年建设完成,互联网接入电信带宽 50M,现阶段对用户上网的行为,上网的带宽,访问的应用没有任何安全控制,如:员工上网在论坛发帖,评论、转发,撰写法 X 功,非法言论,因公司没有相应的管控设备,无法定位和查看是发送者身份,将会给集团公司造成很大负面影响。公安部 82 号令,要求能够记录终端用户访问网站的日志,对外发的内容可以进行审计以及关键字过滤。解决方案:新采购一台上网行为管理设备,部署在机房,可以实现对陕西核工业集团公司网络带宽
4、管理、网络行为管理,通过该设备可以配置相应的流量管理策略,可基于用户角色或者时间段来分配带宽管理策略。控制 P2P 下载、在线应用,通过部署了上网行为管理设备,可以灵活、有效的控制和解决陕西核工业集团公司网络带宽及用户访问行为,提升网络安全,实现网络可视化管理。上网行为管理设备有如下四大主要功能特点:陕西核工业集团公司-网络改造方案建议书第 4 页/共 16 页1、 内容过滤;2、应用控制;3、带宽管理;4、内容审计;陕西核工业集团公司-网络改造方案建议书第 5 页/共 16 页陕西核工业集团公司-网络改造方案建议书第 6 页/共 16 页3.网络架构问题集团公司基础网络建设处于起步阶段,新购
5、置一台千兆三层的核心交换机,新购的核心交换机配置为用户终端网关设备,通过虚拟局域网(VLAN)技术按照楼层的办公区域划分不同的 VLAN,不同的 VLAN 之间不能直接访问,通过三层交换机的路由实现了不同 VLAN 的互访,配置了 VLAN 之后,即使有终端机器感染网络病毒产生的广播报文只在本部门 VLAN 内广播,不会影响其他部门 VLAN,这样大大降低了病毒对网络影响的范围,保护了内网的安全性。核心交换机的强大的背板带宽和包转发率能保证用户的数据请求无阻塞的完成转发,没有网络瓶颈。4.无线网络覆盖问题集团公司办公楼共 11 层,几乎每个办公室都需要无线接入的需求,公司员工的笔记本、手机都有
6、访问无线用于移动办公,访客室、会议室都要求接入无线。现阶段无线接入是通过购买了家用型磊科无线路由器产品来实现的。购买的无线路由器需要逐个安装调试,按照这样的发展趋势,办公楼出现了非常多的家用型无线设备。出现常见的问题有:无线信号不稳定、频繁掉线、相互之间干扰严重、无法集中统一管理所有无线设备、无线网络安全无法控制,非法设备抢占空口资源,管理员经常奔波于每个办公室处理无线连接问题。解决方案:1. 简单高效的 AC+瘦 AP 网络架构针对集团公司需要对网络设备实行统一管理的要求,采用了 AC+瘦 AP 网络架构,并结合功能强大的华为 eSight 无线网管功能,不仅可以做到 AP 的统一配置和集中
7、管理,从无线网络配置、故障定位和快速恢复等方面,全面提升无线网络的运维管理效率,让公司网络管理方既省心又省力;另一方面,在 AC 射频管理中采用华为自研的高级优化算法,实现无线覆盖的快速调整和优化,保证无线网络性能。2. 内外网统一的无线访问通过 VAP/SSID,设置内外网为一张物理网络,并且安全隔离出内网、外网,极大的简化了布线成本和对施工的要求;并且易于维护,支撑未来的业务扩展。陕西核工业集团公司-网络改造方案建议书第 7 页/共 16 页3. 稳定可靠的无线连接通过双频、自动信道选择调整、高可靠的无线网络设计,保障集团公司网络干扰小,信号稳定,单设备故障不影响业务等,实现稳定的无线办公
8、环境。5.桌面运维管理问题集团公司计算终端约 30 台,当前企业在对人员的管理主要是基于传统的桌面进行管理,主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制,例如: 禁止 USB 口,防止用户利用 USB 设备拷贝数据 禁止蓝牙和红外设备,防止用户通过蓝牙和红外设备传输数据 对数据进行加密,防止文件外泄造成信息外流但是这些手段并不能很好地解决当前问题,仍然存在以下风险: 目前需要第三方的软件禁止 USB 访问,但是都在客户端实现,具有技术背景的开发人员可以绕开软件,通过 USB 设备将数据拷贝出来 目前的的软件对蓝牙和红外设备的管理能力有限 对数据进行加密,开发人员可以通过各种手
9、段进行反向破解 移动设备的普及使得用户可以不通过传统存储设备,利用蓝牙和红外将数据传输到手机等设备上 用户也可以通过将硬盘 PC 上拆卸下来,带走通过其他 PC 进行拷贝,而这些手段实施也存在以下的问题和局限:当前解决方案都是在客户端实现,而开发人员可以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷贝出来;开发人员使用桌面上各种应用的行为无法记录,对于不合理行为无法进行控制;采用多种软硬件技术进行管控,成本高,效果差,像补丁一样对各个潜在风险进行修补,无法根本上解决问题;为了满足业务需求,目前开发人员都必须得在企业进行开发,占用企业大量的设备,场地,整个开发成本高。使用虚拟桌面解决方
10、案可以很好地解决上述问题: 由于虚拟桌面是基于服务器计算的模式,所有的计算都是发生在服务器上,即运行在服务器上的虚拟操作系统(xp,vista,windows 7) ,所有数据都在服务器上产生,所以可以从根本上控制数据的访问和使用,陕西核工业集团公司-网络改造方案建议书第 8 页/共 16 页即通过策略限制将产生的数据存储在本地磁盘,USB 设备上。 利用远程访问协议高效性,以及对数据的安全访问机制,开发团队可以通过网络包括 vpn 网络远程进行开发,而无需在企业规定的开发场地,占用大量的资源。 通过提供虚拟桌面,企业无需为开发方的团队提供设备,或者对这些设备进行全面管理和支持,可以让开发方使
11、用自己的设备,只需要网络进行管理,访问受控的、安全的、开发虚拟桌面。开发环境被分为可控的虚拟开发环境与物理的自有环境,在满足开发人员的特殊需求同时,能够管控开发环境,减少企业 IT 人员的管理复杂性。 可以利用服务器的资源动态进行调整,满足用户的需求,而不需要采购新的 PC 满足需求。 虚拟桌面最大限度共享资源,大大降低能源消耗和碳排放量。当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍: 需要采用虚拟桌面的解决方案,将传统的桌面计算转换到服务器计算,所以需要投入一定数量的服务器与软件 已有的投入的桌面由于计算压力的调整,可能无法充分发挥其计算能力 虚拟桌面方案需要网络的支持,实现不受地域
12、的访问,当然对于企业的应用开发,网络连接是最起码的基础要求 由于桌面使用方式产生了一定的变化,需要对用户的使用习惯进行调整 由于在工作过程中,虚拟桌面也是需要连接到网络进行工作的,所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险,但是由于只有这一条潜在外泄通道,企业 IT 管理人员可以通过网络工具和设备来对网络进行管理,解决这一问题 从整体对比来看,虚拟桌面解决方案从数据安全的角度,相对于传统本地桌面,从成本,管理,安全和环保层面,都有很大优势,而且已经成为了未来趋势。陕西核工业集团公司-网络改造方案建议书第 9 页/共 16 页5.服务器数据安全问题集团公司现应配备联想服务器 1 台,用
13、于支撑公司财务系统运行,财务数据保存在服务器本地硬盘。财务报表等数据是集团公司最机密的信息,一旦服务器系统损坏或者硬盘故障,将面临集团公司无法访问财务系统,严重情况下将会导致数据丢失。同时现有服务器只承载了一个业务系统,服务器的 CPU,内存等物理资源长期利用率在 3%以下,造成资源了极大浪费,但因为现有的服务器建设架构无法提高服务器硬件资源利用率,需改变现在服务器部署模式来改善这些问题。解决方案:为了提升服务器硬件资源利用率,保护财务系统数据安全性,即使服务器系统及硬件出现故障仍能保持业务连续性,我们建议客户采用服务器虚拟化的解决方案来改善集团公司业务的部署模式。新购 3 台服务器及一套统一
14、存储,新购的两台服务器和现有一台服务器,用于构建一套资源池,通过虚拟化软件实现 CPU、内存、硬盘、网络等资源的池化,可以针对某个应用按需分配资源,实现服务器高可用,保护数据安全可高,服务器只用来承载业务系统,业务系统产生的生产数据通过高速光纤链路传送到存储上。6.施工说明集团会议室是 8M*6M 的投影的位置在两个半径的中心交叉点,每个房间的东面、西面和南面要保证一个 5 孔插座和 RJ45 接口面板,会议室与视频会议需要对接,辅材需要一根电源线和 2 跟 VGA 视频连接线。视频线和电源线的长度为地面高度和房间半径长度总和延长 2 米。建议长度 9M集团公司-网络安全方案建议书第 10 页
15、/共 16 页3.预算清单基础网络部分序号 名称 型号 内容描述 数量 单位 单价 总价 备注ES0B00770300 S7703 总装机箱 1 台 4,618.00 4,618.00核心交换机机箱ES0D00MCUA00 S7703 主控处理单元 A 2 个 6,179.00 12,358.00核心交换机主控板ES0DG48CEAT036 端口十兆/百兆/千兆以太网电接口和 12 端口百兆/千兆以太网光接口板(EA,RJ45/SFP) 1 个 31,359.00 31,359.00千兆 48端口业务板卡W2PSA0800 800W 交流电源模块 (黑色) 2 个 4,199.00 8,398
16、.00核心交换机配置双电源SFP-GE-LX-SM1310光模块-eSFP-GE-单模模块(1310nm,10km,LC) 1块 2,214.00 2,214.00千兆光纤模块用于楼层接入1核心交换机华为 S7703ES0SMS237700 S7700 基本软件,V200R003 1 套 2,431.00 2,431.00核心交换机软件系统集团公司-网络安全方案建议书第 11 页/共 16 页C1016YG00电子电力线缆-450V/750V-60227 IEC 02(RV)-16mm2-黄绿-85A-免熏蒸包装(每米)10 个 26.00 260.00核心交换机电力线缆2服务器接入交换机 S
17、5700-24TP-SI-ACS5700-48TP-SI-AC(48 个10/100/1000Base-T 以太网端口,4 个复用的千兆 Combo SFP,交流供电)1 台 4,000.00 4,000.00服务器专用接入专用交换机3 小计 65,638.00 视频会议部分序号 名称 型号 内容描述 数量 单位 单价 总价 备注1华为 TE40 视频终端 TE40最高支持 8M 速率;支持 720P、 4CIF;支持H.323、SIP 协议,H.261/H.263/H.264HP/H.264SVC 和音频编解码标准:G.711.G.722/G.728/AAC-LD,支持 H.239/BFCP
18、 双流协议;具有 3 路高清视频输入,3 路输出接口,视频信号支持:HDMI、 VGA;支持语音呼叫,支持 Wi-Fi接入,支持 7*24 小时常年开机;支持 USB接口,支持 3G 接入,Frog 遥控器 最大并发连接数100W;防病毒吞吐率 60Mbps;IPS 吞吐率150Mbps;IPSE 才加解密吞吐率60Mbps;IPSEC VPN 隧道数500;SSL 吞吐率100Mbps;SSL 并发用户数500. SSLVPN 模块 SSLVPN-MODULE-F-UTMSSLVPN 模块,默认含 5 个 SSLVPN 客户端许可。1 台 55,000.00 55,000.00设备部署在机房
19、,主要用户保护公司边界安全集团公司-网络安全方案建议书第 14 页/共 16 页3 终端安全管理 金盾终端安全管理软件数据防泄密、文档控管解决方案;桌面管理、移动存储管理解决方案;安全审计;IT 资产管理、补丁管理解决方案120点位 530.00 63,600.00全面的终端安全管理4 小计 142,585.00 服务器可支持 2 颗 Intel Xeon E5-2600 全系列处理器;4 条 DDR3 Registered DIMM 16GB(1.5ns-1600MHz-1.35V-ECC-2Rank);可支持 24 个内存插槽;标配 4*GE以太网卡;可升级为 2*10G 以太网卡 或 4
20、*GE 以太网卡;标配 1 块 SR120 SAS/SATA RAID 卡,RAID0,1,1E,10,0 Cache(LSI2308);标配 2 块 2.5 inch 300G SAS 硬盘;可支持 8 块 2.5inch SAS/SATA 热插拔硬盘;标配 3 个 PCI-E 插槽( 3 个 PCIe 3.0 x8 插槽);1 个 4*GE 接口 Card;1 个RH2285H/RH2288H 2U 3*8X RISER 卡组3 台 48,120.00 144,360.00服务器用于做虚拟化,实现硬件资源池化,实现高可用集团公司-网络安全方案建议书第 15 页/共 16 页件标配 6 个
21、PCIe 插槽(5 个 PCIe 3.0 x8,1个 PCIe3.0 x4);N+1 个冗余系统风扇; 6个 USB(前面 2 个,后面 2 个,内置 2 个);集成 BMC 管理模块,支持华为 iMana,支持IPMI、SOL、KVM Over IP、虚拟媒体等管理特性,对外提供 1 个 10/100Mbps RJ45管理网口;1 块 8Gbps 单通道,光纤通道多模LC 光接口-HBA 卡;标配 2 个 460W 金牌高效电源, 可选冗余;备份还原工具;内置DVD-RW;导轨;2U 机架式 2600T-2C16G-ACS2600T 控制框(含华为阵列控制系统软件 ,2U,2.5“,双控,交
22、流,16GB,8*8G FC,4*24G SAS 后端口,SPE31C0224)3 台 38,150.00 114,450.00 控制框SAS600-10K-3 600GB 10K RPM SAS 硬盘单元(2.5“) 3 块 2,668.00 8,004.00NLSAS2K-7.2K-2 2000GB 7.2K RPM NL SAS 硬盘单元(3.5“) 4 块 2,191.00 8,764.00硬盘组件DAE12435U4-AC-3DAE12435U4 硬盘框(含华为 SAS 带内管理软件,4U,3.5 寸, 交流,SAS 级联模块,不包含硬盘单元)1 个 14,517.00 14,517
23、.00 硬盘框LIC-S2A-ISM02-BLOCK华为集成存储管理软件-OceanStor S2600T 块存储- 设备管理使用许可 1 0.00 0.00CLOUDSERVICE-SER Cloud Service 远程维护管理 1 0.00 0.00软件S2600T Control Enclosure 实施服务-工程服务 1 3,295.00 3,295.002华为存储S2600TDAE(S2600T)实施服务- 工程服务 1 3,160.00 3,160.00实施服务3 小计 296,550.00 集团公司-网络安全方案建议书第 16 页/共 16 页会议室部分序号 名称 型号 内容描述 数量 单位 单价 总价 备注1 投影仪 日立-842X 1 台 7800 7800 2会议室幕布音响 三星 120 寸电动幕布,湖山音响调音台和话筒 1 套 8000 8000 5 小计 15000
