一、項目概況:
(一)建設(shè)背景
按照等級保護制度的相關(guān)要求,為促進保障單位信息化弱電系統(tǒng)集成建設(shè)、應(yīng)用、管理和服務(wù)水平的持續(xù)提高,網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定運行,考慮到系統(tǒng)承載業(yè)務(wù)的重要性和即將面臨的安全風(fēng)險,開展信息系統(tǒng)與基礎(chǔ)設(shè)施安全差距評估、整改,并通過等級保護2.0的測評工作。
(二)建設(shè)內(nèi)容
2.1 網(wǎng)絡(luò)等保安全整改部分
本次單位集體化弱電系統(tǒng)集成項目共需整改內(nèi)外網(wǎng)絡(luò),在外網(wǎng)的方案中,互聯(lián)網(wǎng)進來接入利舊的路由器,路由器下接安全設(shè)備防火墻以及上網(wǎng)行為管理,再下接到核心交換機,接入交換機通過光纖接入到核心交換機,接入交換機下掛無線AP以及接入終端即PC等。
內(nèi)網(wǎng)是通過防火墻連接專網(wǎng),下掛核心交換機,接入交換機通過光纖連接核心交換機。
等保通過建設(shè)安全設(shè)備來保證,通過國家法定的要求。通過部署防火墻、日志審計、數(shù)據(jù)庫審計、堡壘機等安全設(shè)備來達到國家法定要求。
2.1.1 通信網(wǎng)絡(luò)
單位的通信網(wǎng)絡(luò)的安全主要包括:網(wǎng)絡(luò)架構(gòu)安全冗余性等方面。
網(wǎng)絡(luò)架構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要,因此網(wǎng)絡(luò)架構(gòu)需要具備一定的冗余性,包括通信鏈路的冗余,通信設(shè)備的冗余。
合理的劃分安全區(qū)域,子網(wǎng)網(wǎng)段和VLAN。
2.1.2 安全區(qū)域邊界
區(qū)域邊界的安全主要包括:邊界防護、訪問控制、入侵防范以及安全審計等方面。
1、邊界防護檢查
邊界的檢查是最基礎(chǔ)的防護措施,首先在網(wǎng)絡(luò)規(guī)劃部署上要做到流量和數(shù)據(jù)必須經(jīng)過邊界設(shè)備,并接受規(guī)則檢查,其中包括無線網(wǎng)絡(luò)的接入也需要經(jīng)過邊界設(shè)備檢查,因此不僅需要對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查,還需要對內(nèi)部非授權(quán)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查,維護邊界完整性。
2、邊界訪問控制
單位的網(wǎng)絡(luò)可劃分為如下邊界:
對于各類邊界最基本的安全需求就是訪問控制,對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制,阻止非授權(quán)及越權(quán)訪問。
3、邊界入侵防范
各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò),在內(nèi)部也同樣存在。通過安全措施,要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,實現(xiàn)對網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護,保護核心信息資產(chǎn)的免受攻擊危害。
4、邊界安全審計
在安全區(qū)域邊界需要建立必要的審計機制,對進出邊界的各類網(wǎng)絡(luò)行為進行記錄與審計分析,可以和主機審計、應(yīng)用審計以及網(wǎng)絡(luò)審計形成多層次的審計系統(tǒng)。并可通過安全管理中心集中管理。
2.1.3 管理中心
劃分出特定的管理區(qū)域,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控;
能對服務(wù)器進行監(jiān)控,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源情況,能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警。
對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求; 對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理;
對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析。
2.1.4 應(yīng)急相應(yīng)服務(wù)
為確保單位的外網(wǎng)日常安全運維,采用云端平臺結(jié)合安全防御節(jié)點上報的安全日志與取證數(shù)據(jù),實現(xiàn)安全事件分析、防護策略的聯(lián)動,提供安全分析、事件閉環(huán)、安全預(yù)警、安全咨詢等服務(wù),主要包括:
1、接收安全防御節(jié)點上報的安全事件相關(guān)的關(guān)鍵信息,通過機器+人工的方式對安全事件進行分析,將準(zhǔn)確的分析結(jié)果反饋給用戶;
2、對于授權(quán)云端自動處置的用戶,提供安全事件自動閉環(huán)服務(wù),將閉環(huán)策略直接下發(fā)到安全防御節(jié)點;對于未授權(quán)云端自動處置的用戶,提供安全事件的處置建議,指導(dǎo)用戶自主閉環(huán)安全事件;
3、為用戶提供周報、月報、緊急安全事件短信通知等服務(wù),通過短信、郵件形式為客戶提供統(tǒng)一安全分析、專家服務(wù)、安全事件處置指導(dǎo),使安全運維工作易懂、高效。
2.2 外網(wǎng)無線覆蓋建設(shè)
近些年來,隨著筆記本、手機、PAD等無線終端的崛起,辦公場所部署無線網(wǎng)絡(luò)也越來越重要。WLAN憑借自己的高帶寬、低成本、可漫游的技術(shù)優(yōu)勢,能有效分擔(dān)用戶密集地點的2G/3G帶寬壓力,帶給客戶更佳的體驗;同時又可靈活地延伸固定寬帶網(wǎng)絡(luò),促進固網(wǎng)和移動業(yè)務(wù)的有機融合;也可用于解決布線困難區(qū)域的網(wǎng)絡(luò)接入問題。
隨時隨地自由的接入網(wǎng)絡(luò)已成辦公網(wǎng)的基本訴求,WLAN無線覆蓋自然也就成為辦公網(wǎng)最基本的需求。
Wi-Fi 6是下一代802.11ax標(biāo)準(zhǔn)的簡稱。隨著Wi-Fi標(biāo)準(zhǔn)的演進,WFA為了便于WiFi用戶和設(shè)備廠商輕松了解其設(shè)備連接或支持的Wi-Fi型號,選擇使用數(shù)字序號來對WiFi重新命名。另一方面,選擇新一代命名方法也是為了更好地突出Wi-Fi技術(shù)的重大進步,它提供了大量新功能,包括增加的吞吐量和更快的速度、支持更多的并發(fā)連接等。
2.2.1 無線網(wǎng)絡(luò)設(shè)計
建設(shè)單位整體網(wǎng)絡(luò)網(wǎng)絡(luò),除了要滿足現(xiàn)有員工容量的現(xiàn)狀與未來幾年內(nèi)的發(fā)展之外,還需要根據(jù)無線網(wǎng)絡(luò)自身的特點,為其設(shè)計規(guī)劃一個與“有線無線網(wǎng)絡(luò)融合、一體化管理、高帶寬、大范圍覆蓋、安全可信”的無線覆蓋網(wǎng)絡(luò),無線網(wǎng)絡(luò)規(guī)劃將從無 線信道帶寬保障、重點區(qū)域覆蓋、安全可信、網(wǎng)絡(luò)管理充分融合等多方面綜合考慮。本次覆蓋綜合樓1-8F辦公區(qū)域。
2.2.2 無線AP覆蓋規(guī)劃
1、無線覆蓋信號
覆蓋區(qū)域信號強度不低于-65dBm,移動辦公業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps,一般使用的接入速率不低于50Mbps
2、容量計算
當(dāng)無線覆蓋區(qū)域并發(fā)員工不超過60個,如果人員分布密集或集中辦公區(qū),考慮增加AP部署密度。
3、工作頻段與頻點規(guī)劃
依照WLAN的國際規(guī)范和國際無線電管理委員會的標(biāo)準(zhǔn),WLAN無線設(shè)備的工作頻段為2400-2483.5MHz,帶寬
83.5MHz,劃分為14個子信道,每個子頻道帶寬為22MHz,最多有13個信道可用。
在多個頻道同時工作的情況下,為保證頻道之間不互相干擾,要求兩個頻道的中心頻率間隔不能低于25MHz??紤]參照
北美標(biāo)準(zhǔn)設(shè)計的許多WLAN設(shè)備和終端(比如網(wǎng)卡)不能使用12、13信道做為辦公信道,因此建議一般選用1/6/11信道。
5GHz頻段:更多的頻譜資源-數(shù)量較多的不沖突頻點,更少的干擾(藍牙、微波爐),從40MHz信道綁定獲得最高的性能,802.11ac的客戶端只有在5GHz頻段上支持40MHz。
2.4GHz頻段:兼容原有的802.11a、b/g的客戶端;不建議在2.4GHz頻點使用40MHz信道綁定,大部分客戶端不支持;避免了802.11a、b/g與802.11n混用,降低性能。
2.3 機房物理環(huán)境整改
物理安全風(fēng)險主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用,從而會造成網(wǎng)絡(luò)系統(tǒng)的不可使用, 甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ),只有保證了物理層的可用性,才能使得整個網(wǎng)絡(luò)的可用性, 進而提高整個網(wǎng)絡(luò)的抗破壞力,例如:
機房缺乏控制,人員隨意出入帶來的風(fēng)險; 網(wǎng)絡(luò)設(shè)備被盜、被毀壞;
線路老化或是有意、無意的破壞線路; 設(shè)備在非預(yù)測情況下發(fā)生故障、停電等; 自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等; 電磁干擾等。
因此,在通盤考慮安全風(fēng)險時,應(yīng)優(yōu)先考慮物理安全風(fēng)險。保證網(wǎng)絡(luò)正常運行的前提是將物理層安全風(fēng)險降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險問題時的應(yīng)對方案。
新機房按照等保相關(guān)要求進行建設(shè),按照場地機房裝修、配電防雷系統(tǒng)、配電橋架及線纜敷設(shè)、UPS系統(tǒng)、防雷接地系統(tǒng)、空調(diào)系統(tǒng)、環(huán)境監(jiān)控系統(tǒng)、設(shè)備機柜系統(tǒng)、機房綜合布線系統(tǒng)、消防系統(tǒng)等,進行機房整體等級保護;
2.3.1 機房整改內(nèi)容
機房改造包括天花板安裝,門禁改造等內(nèi)容: 天花板采用微孔鋁板裝飾;
機房門口增加智能門禁;
2.3.2 機房布線
機房布線材料采用超五類雙絞線和附件,建立一套先進、完善的機房綜合布線系統(tǒng),為機房管理各種應(yīng)用,包括數(shù)據(jù)、語音、控制等應(yīng)用系統(tǒng)提供接入方式、配線方案,從而實現(xiàn)系統(tǒng)配置靈活、易于管理、易于維護、易于擴充的目的。
2.3.3 恒溫設(shè)備
由于計算機機房處于長時間連續(xù)工作狀態(tài),故機房的熱負荷較大。為給計算機機房提供一個良好的工作環(huán)境,主機房區(qū)按照實際熱負荷計算,需安裝機房精密空調(diào)一臺,其有效控制區(qū)域為主機房區(qū),在部署精密空調(diào)設(shè)備時,需在精密空調(diào)下加裝承 載體,以減輕對樓板的壓力。
2.3.4 UPS備電系統(tǒng)
UPS主機、電池柜放置在機房主機區(qū)的配電區(qū)域內(nèi),其底部均加裝承載體,以減輕對樓板的壓力。
2.3.5 防雷接地
在每路電源的進線配電柜內(nèi),安裝符合實際需要的電源浪涌抑制器;當(dāng)市電出現(xiàn)較長時間的脈沖電壓或瞬間大電流脈沖電壓時,應(yīng)能夠立即把市電短路到地線,并保護負載和設(shè)備。
2.3.6 消防系統(tǒng)
在設(shè)備機柜的吊頂上、吊頂下及地板下均裝有火災(zāi)探測器,對其全面監(jiān)測、設(shè)防。
2.3.7 機房智能監(jiān)控系統(tǒng)
機房智能監(jiān)控系統(tǒng)監(jiān)測功能如下:機房異常情況報警;實時監(jiān)測及控制;交直流電壓監(jiān)測報警功能及UPS檢測功能;精密
空調(diào)的運行狀態(tài)檢測;溫度監(jiān)控報警功能;濕度監(jiān)控報警功能;浸水報警功能;煙霧報警功能;報警管理功能具有遠程監(jiān)控功能。
(三) 設(shè)備清單及詳細參數(shù)、功能(略)
?廣東中誠智聯(lián)信息技術(shù)有限公司是一家集設(shè)計、施工、服務(wù)于一體,專業(yè)的網(wǎng)絡(luò)信息化技術(shù)整體解決方案提供商,主要致力于:弱電系統(tǒng)集成、網(wǎng)絡(luò)安全服務(wù)兩個方向。公司現(xiàn)有技術(shù)員工IT從業(yè)經(jīng)歷都超過15年,有豐富的售前、售中及售后的全方位服務(wù)經(jīng)驗,并以良好的信譽和全面的技術(shù)支持向各界用戶提供科學(xué)先進專業(yè)的解決方案。憑借出色的技術(shù)和優(yōu)質(zhì)的服務(wù),中誠智聯(lián)已成為眾多上市企業(yè)的安心選擇。
訂閱 | 合作
微信掃描二維碼關(guān)注中誠智聯(lián)最新動態(tài)
24小時服務(wù)熱線:18602099133
官網(wǎng):www.thebarkista.com