一��、項(xiàng)目概況:
(一)建設(shè)背景
按照等級(jí)保護(hù)制度的相關(guān)要求�����,為促進(jìn)保障單位信息化弱電系統(tǒng)集成建設(shè)����、應(yīng)用�����、管理和服務(wù)水平的持續(xù)提高,網(wǎng)絡(luò)信息系統(tǒng)的安全��、穩(wěn)定運(yùn)行����,考慮到系統(tǒng)承載業(yè)務(wù)的重要性和即將面臨的安全風(fēng)險(xiǎn)�����,開展信息系統(tǒng)與基礎(chǔ)設(shè)施安全差距評(píng)估����、整改,并通過等級(jí)保護(hù)2.0的測(cè)評(píng)工作��。
(二)建設(shè)內(nèi)容
2.1 網(wǎng)絡(luò)等保安全整改部分
本次單位集體化弱電系統(tǒng)集成項(xiàng)目共需整改內(nèi)外網(wǎng)絡(luò)��,在外網(wǎng)的方案中�����,互聯(lián)網(wǎng)進(jìn)來接入利舊的路由器�����,路由器下接安全設(shè)備防火墻以及上網(wǎng)行為管理,再下接到核心交換機(jī)�,接入交換機(jī)通過光纖接入到核心交換機(jī),接入交換機(jī)下掛無線AP以及接入終端即PC等�����。
內(nèi)網(wǎng)是通過防火墻連接專網(wǎng)��,下掛核心交換機(jī)���,接入交換機(jī)通過光纖連接核心交換機(jī)���。
等保通過建設(shè)安全設(shè)備來保證,通過國(guó)家法定的要求�����。通過部署防火墻�����、日志審計(jì)�����、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)等安全設(shè)備來達(dá)到國(guó)家法定要求����。
2.1.1 通信網(wǎng)絡(luò)
單位的通信網(wǎng)絡(luò)的安全主要包括:網(wǎng)絡(luò)架構(gòu)安全冗余性等方面。
網(wǎng)絡(luò)架構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要��,因此網(wǎng)絡(luò)架構(gòu)需要具備一定的冗余性����,包括通信鏈路的冗余���,通信設(shè)備的冗余���。
合理的劃分安全區(qū)域,子網(wǎng)網(wǎng)段和VLAN����。
2.1.2 安全區(qū)域邊界
區(qū)域邊界的安全主要包括:邊界防護(hù)、訪問控制���、入侵防范以及安全審計(jì)等方面����。
1、邊界防護(hù)檢查
邊界的檢查是最基礎(chǔ)的防護(hù)措施��,首先在網(wǎng)絡(luò)規(guī)劃部署上要做到流量和數(shù)據(jù)必須經(jīng)過邊界設(shè)備��,并接受規(guī)則檢查�����,其中包括無線網(wǎng)絡(luò)的接入也需要經(jīng)過邊界設(shè)備檢查�����,因此不僅需要對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查�����,還需要對(duì)內(nèi)部非授權(quán)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查�,維護(hù)邊界完整性。
2����、邊界訪問控制
單位的網(wǎng)絡(luò)可劃分為如下邊界:
對(duì)于各類邊界最基本的安全需求就是訪問控制,對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制��,阻止非授權(quán)及越權(quán)訪問���。
3����、邊界入侵防范
各類網(wǎng)絡(luò)攻擊行為既可能來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò),在內(nèi)部也同樣存在�。通過安全措施,要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊�,如病毒、木馬�、間諜軟件、可疑代碼���、端口掃描、DoS/DDoS等��,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù)�����,保護(hù)核心信息資產(chǎn)的免受攻擊危害�����。
4��、邊界安全審計(jì)
在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制,對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析�����,可以和主機(jī)審計(jì)�、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。并可通過安全管理中心集中管理��。
2.1.3 管理中心
劃分出特定的管理區(qū)域��,對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控����;
能對(duì)服務(wù)器進(jìn)行監(jiān)控,包括監(jiān)視服務(wù)器的CPU�����、硬盤�、內(nèi)存、網(wǎng)絡(luò)等資源情況�����,能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警��。
對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求�����; 對(duì)安全策略����、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理�;
對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析���。
2.1.4 應(yīng)急相應(yīng)服務(wù)
為確保單位的外網(wǎng)日常安全運(yùn)維���,采用云端平臺(tái)結(jié)合安全防御節(jié)點(diǎn)上報(bào)的安全日志與取證數(shù)據(jù)����,實(shí)現(xiàn)安全事件分析、防護(hù)策略的聯(lián)動(dòng)���,提供安全分析�����、事件閉環(huán)����、安全預(yù)警、安全咨詢等服務(wù)����,主要包括:
1、接收安全防御節(jié)點(diǎn)上報(bào)的安全事件相關(guān)的關(guān)鍵信息���,通過機(jī)器+人工的方式對(duì)安全事件進(jìn)行分析�,將準(zhǔn)確的分析結(jié)果反饋給用戶�����;
2�、對(duì)于授權(quán)云端自動(dòng)處置的用戶,提供安全事件自動(dòng)閉環(huán)服務(wù)��,將閉環(huán)策略直接下發(fā)到安全防御節(jié)點(diǎn)����;對(duì)于未授權(quán)云端自動(dòng)處置的用戶,提供安全事件的處置建議,指導(dǎo)用戶自主閉環(huán)安全事件����;
3、為用戶提供周報(bào)����、月報(bào)、緊急安全事件短信通知等服務(wù)���,通過短信�、郵件形式為客戶提供統(tǒng)一安全分析����、專家服務(wù)、安全事件處置指導(dǎo)�,使安全運(yùn)維工作易懂、高效�。
2.2 外網(wǎng)無線覆蓋建設(shè)
近些年來,隨著筆記本����、手機(jī)���、PAD等無線終端的崛起�����,辦公場(chǎng)所部署無線網(wǎng)絡(luò)也越來越重要�。WLAN憑借自己的高帶寬、低成本���、可漫游的技術(shù)優(yōu)勢(shì)�,能有效分擔(dān)用戶密集地點(diǎn)的2G/3G帶寬壓力�����,帶給客戶更佳的體驗(yàn)����;同時(shí)又可靈活地延伸固定寬帶網(wǎng)絡(luò),促進(jìn)固網(wǎng)和移動(dòng)業(yè)務(wù)的有機(jī)融合��;也可用于解決布線困難區(qū)域的網(wǎng)絡(luò)接入問題�。
隨時(shí)隨地自由的接入網(wǎng)絡(luò)已成辦公網(wǎng)的基本訴求,WLAN無線覆蓋自然也就成為辦公網(wǎng)最基本的需求�����。
Wi-Fi 6是下一代802.11ax標(biāo)準(zhǔn)的簡(jiǎn)稱。隨著Wi-Fi標(biāo)準(zhǔn)的演進(jìn)���,WFA為了便于WiFi用戶和設(shè)備廠商輕松了解其設(shè)備連接或支持的Wi-Fi型號(hào)��,選擇使用數(shù)字序號(hào)來對(duì)WiFi重新命名��。另一方面�,選擇新一代命名方法也是為了更好地突出Wi-Fi技術(shù)的重大進(jìn)步����,它提供了大量新功能,包括增加的吞吐量和更快的速度�����、支持更多的并發(fā)連接等����。
2.2.1 無線網(wǎng)絡(luò)設(shè)計(jì)
建設(shè)單位整體網(wǎng)絡(luò)網(wǎng)絡(luò),除了要滿足現(xiàn)有員工容量的現(xiàn)狀與未來幾年內(nèi)的發(fā)展之外���,還需要根據(jù)無線網(wǎng)絡(luò)自身的特點(diǎn)�����,為其設(shè)計(jì)規(guī)劃一個(gè)與“有線無線網(wǎng)絡(luò)融合����、一體化管理�、高帶寬、大范圍覆蓋����、安全可信”的無線覆蓋網(wǎng)絡(luò),無線網(wǎng)絡(luò)規(guī)劃將從無 線信道帶寬保障�����、重點(diǎn)區(qū)域覆蓋���、安全可信����、網(wǎng)絡(luò)管理充分融合等多方面綜合考慮���。本次覆蓋綜合樓1-8F辦公區(qū)域��。
2.2.2 無線AP覆蓋規(guī)劃
1���、無線覆蓋信號(hào)
覆蓋區(qū)域信號(hào)強(qiáng)度不低于-65dBm���,移動(dòng)辦公業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps,一般使用的接入速率不低于50Mbps
2�、容量計(jì)算
當(dāng)無線覆蓋區(qū)域并發(fā)員工不超過60個(gè),如果人員分布密集或集中辦公區(qū)��,考慮增加AP部署密度�����。
3�、工作頻段與頻點(diǎn)規(guī)劃
依照WLAN的國(guó)際規(guī)范和國(guó)際無線電管理委員會(huì)的標(biāo)準(zhǔn),WLAN無線設(shè)備的工作頻段為2400-2483.5MHz���,帶寬
83.5MHz����,劃分為14個(gè)子信道��,每個(gè)子頻道帶寬為22MHz�����,最多有13個(gè)信道可用。
在多個(gè)頻道同時(shí)工作的情況下����,為保證頻道之間不互相干擾�����,要求兩個(gè)頻道的中心頻率間隔不能低于25MHz�。考慮參照
北美標(biāo)準(zhǔn)設(shè)計(jì)的許多WLAN設(shè)備和終端(比如網(wǎng)卡)不能使用12�����、13信道做為辦公信道�����,因此建議一般選用1/6/11信道��。
5GHz頻段:更多的頻譜資源-數(shù)量較多的不沖突頻點(diǎn)�����,更少的干擾(藍(lán)牙�、微波爐)����,從40MHz信道綁定獲得最高的性能�����,802.11ac的客戶端只有在5GHz頻段上支持40MHz����。
2.4GHz頻段:兼容原有的802.11a、b/g的客戶端����;不建議在2.4GHz頻點(diǎn)使用40MHz信道綁定,大部分客戶端不支持���;避免了802.11a��、b/g與802.11n混用�����,降低性能���。
2.3 機(jī)房物理環(huán)境整改
物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用�,從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用�, 甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)�����,只有保證了物理層的可用性�����,才能使得整個(gè)網(wǎng)絡(luò)的可用性��, 進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力��,例如:
機(jī)房缺乏控制�����,人員隨意出入帶來的風(fēng)險(xiǎn)�; 網(wǎng)絡(luò)設(shè)備被盜����、被毀壞;
線路老化或是有意�����、無意的破壞線路; 設(shè)備在非預(yù)測(cè)情況下發(fā)生故障���、停電等�; 自然災(zāi)害如地震����、水災(zāi)、火災(zāi)��、雷擊等�; 電磁干擾等。
因此�����,在通盤考慮安全風(fēng)險(xiǎn)時(shí)��,應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)����。保證網(wǎng)絡(luò)正常運(yùn)行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問題時(shí)的應(yīng)對(duì)方案。
新機(jī)房按照等保相關(guān)要求進(jìn)行建設(shè),按照?qǐng)龅貦C(jī)房裝修����、配電防雷系統(tǒng)、配電橋架及線纜敷設(shè)�����、UPS系統(tǒng)����、防雷接地系統(tǒng)、空調(diào)系統(tǒng)���、環(huán)境監(jiān)控系統(tǒng)、設(shè)備機(jī)柜系統(tǒng)��、機(jī)房綜合布線系統(tǒng)�、消防系統(tǒng)等,進(jìn)行機(jī)房整體等級(jí)保護(hù)�����;
2.3.1 機(jī)房整改內(nèi)容
機(jī)房改造包括天花板安裝�����,門禁改造等內(nèi)容: 天花板采用微孔鋁板裝飾;
機(jī)房門口增加智能門禁���;
2.3.2 機(jī)房布線
機(jī)房布線材料采用超五類雙絞線和附件���,建立一套先進(jìn)、完善的機(jī)房綜合布線系統(tǒng)��,為機(jī)房管理各種應(yīng)用����,包括數(shù)據(jù)、語音�、控制等應(yīng)用系統(tǒng)提供接入方式、配線方案�����,從而實(shí)現(xiàn)系統(tǒng)配置靈活�����、易于管理����、易于維護(hù)��、易于擴(kuò)充的目的���。
2.3.3 恒溫設(shè)備
由于計(jì)算機(jī)機(jī)房處于長(zhǎng)時(shí)間連續(xù)工作狀態(tài),故機(jī)房的熱負(fù)荷較大��。為給計(jì)算機(jī)機(jī)房提供一個(gè)良好的工作環(huán)境����,主機(jī)房區(qū)按照實(shí)際熱負(fù)荷計(jì)算,需安裝機(jī)房精密空調(diào)一臺(tái),其有效控制區(qū)域?yàn)橹鳈C(jī)房區(qū)�����,在部署精密空調(diào)設(shè)備時(shí)����,需在精密空調(diào)下加裝承 載體����,以減輕對(duì)樓板的壓力。
2.3.4 UPS備電系統(tǒng)
UPS主機(jī)��、電池柜放置在機(jī)房主機(jī)區(qū)的配電區(qū)域內(nèi),其底部均加裝承載體����,以減輕對(duì)樓板的壓力。
2.3.5 防雷接地
在每路電源的進(jìn)線配電柜內(nèi)�,安裝符合實(shí)際需要的電源浪涌抑制器;當(dāng)市電出現(xiàn)較長(zhǎng)時(shí)間的脈沖電壓或瞬間大電流脈沖電壓時(shí)���,應(yīng)能夠立即把市電短路到地線��,并保護(hù)負(fù)載和設(shè)備�����。
2.3.6 消防系統(tǒng)
在設(shè)備機(jī)柜的吊頂上����、吊頂下及地板下均裝有火災(zāi)探測(cè)器����,對(duì)其全面監(jiān)測(cè)、設(shè)防����。
2.3.7 機(jī)房智能監(jiān)控系統(tǒng)
機(jī)房智能監(jiān)控系統(tǒng)監(jiān)測(cè)功能如下:機(jī)房異常情況報(bào)警����;實(shí)時(shí)監(jiān)測(cè)及控制�;交直流電壓監(jiān)測(cè)報(bào)警功能及UPS檢測(cè)功能;精密
空調(diào)的運(yùn)行狀態(tài)檢測(cè)�����;溫度監(jiān)控報(bào)警功能���;濕度監(jiān)控報(bào)警功能�;浸水報(bào)警功能����;煙霧報(bào)警功能;報(bào)警管理功能具有遠(yuǎn)程監(jiān)控功能����。
(三) 設(shè)備清單及詳細(xì)參數(shù)、功能(略)
?廣東中誠(chéng)智聯(lián)信息技術(shù)有限公司是一家集設(shè)計(jì)����、施工�����、服務(wù)于一體,專業(yè)的網(wǎng)絡(luò)信息化技術(shù)整體解決方案提供商�,主要致力于:弱電系統(tǒng)集成、網(wǎng)絡(luò)安全服務(wù)兩個(gè)方向���。公司現(xiàn)有技術(shù)員工IT從業(yè)經(jīng)歷都超過15年��,有豐富的售前�����、售中及售后的全方位服務(wù)經(jīng)驗(yàn)���,并以良好的信譽(yù)和全面的技術(shù)支持向各界用戶提供科學(xué)先進(jìn)專業(yè)的解決方案。憑借出色的技術(shù)和優(yōu)質(zhì)的服務(wù)���,中誠(chéng)智聯(lián)已成為眾多上市企業(yè)的安心選擇�。
訂閱 | 合作
微信掃描二維碼關(guān)注中誠(chéng)智聯(lián)最新動(dòng)態(tài)
24小時(shí)服務(wù)熱線:18602099133
官網(wǎng):www.thebarkista.com