一、項(xiàng)目概況:
(一)建設(shè)背景
按照等級(jí)保護(hù)制度的相關(guān)要求,為促進(jìn)保障單位信息化弱電系統(tǒng)集成建設(shè)、應(yīng)用、管理和服務(wù)水平的持續(xù)提高,網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定運(yùn)行,考慮到系統(tǒng)承載業(yè)務(wù)的重要性和即將面臨的安全風(fēng)險(xiǎn),開展信息系統(tǒng)與基礎(chǔ)設(shè)施安全差距評(píng)估、整改,并通過(guò)等級(jí)保護(hù)2.0的測(cè)評(píng)工作。
(二)建設(shè)內(nèi)容
2.1 網(wǎng)絡(luò)等保安全整改部分
本次單位集體化弱電系統(tǒng)集成項(xiàng)目共需整改內(nèi)外網(wǎng)絡(luò),在外網(wǎng)的方案中,互聯(lián)網(wǎng)進(jìn)來(lái)接入利舊的路由器,路由器下接安全設(shè)備防火墻以及上網(wǎng)行為管理,再下接到核心交換機(jī),接入交換機(jī)通過(guò)光纖接入到核心交換機(jī),接入交換機(jī)下掛無(wú)線AP以及接入終端即PC等。
內(nèi)網(wǎng)是通過(guò)防火墻連接專網(wǎng),下掛核心交換機(jī),接入交換機(jī)通過(guò)光纖連接核心交換機(jī)。
等保通過(guò)建設(shè)安全設(shè)備來(lái)保證,通過(guò)國(guó)家法定的要求。通過(guò)部署防火墻、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)等安全設(shè)備來(lái)達(dá)到國(guó)家法定要求。
2.1.1 通信網(wǎng)絡(luò)
單位的通信網(wǎng)絡(luò)的安全主要包括:網(wǎng)絡(luò)架構(gòu)安全冗余性等方面。
網(wǎng)絡(luò)架構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要,因此網(wǎng)絡(luò)架構(gòu)需要具備一定的冗余性,包括通信鏈路的冗余,通信設(shè)備的冗余。
合理的劃分安全區(qū)域,子網(wǎng)網(wǎng)段和VLAN。
2.1.2 安全區(qū)域邊界
區(qū)域邊界的安全主要包括:邊界防護(hù)、訪問(wèn)控制、入侵防范以及安全審計(jì)等方面。
1、邊界防護(hù)檢查
邊界的檢查是最基礎(chǔ)的防護(hù)措施,首先在網(wǎng)絡(luò)規(guī)劃部署上要做到流量和數(shù)據(jù)必須經(jīng)過(guò)邊界設(shè)備,并接受規(guī)則檢查,其中包括無(wú)線網(wǎng)絡(luò)的接入也需要經(jīng)過(guò)邊界設(shè)備檢查,因此不僅需要對(duì)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,還需要對(duì)內(nèi)部非授權(quán)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,維護(hù)邊界完整性。
2、邊界訪問(wèn)控制
單位的網(wǎng)絡(luò)可劃分為如下邊界:
對(duì)于各類邊界最基本的安全需求就是訪問(wèn)控制,對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制,阻止非授權(quán)及越權(quán)訪問(wèn)。
3、邊界入侵防范
各類網(wǎng)絡(luò)攻擊行為既可能來(lái)自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò),在內(nèi)部也同樣存在。通過(guò)安全措施,要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系統(tǒng)的安全防護(hù),保護(hù)核心信息資產(chǎn)的免受攻擊危害。
4、邊界安全審計(jì)
在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制,對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析,可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。并可通過(guò)安全管理中心集中管理。
2.1.3 管理中心
劃分出特定的管理區(qū)域,對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控;
能對(duì)服務(wù)器進(jìn)行監(jiān)控,包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源情況,能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。
對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求; 對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理;
對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析。
2.1.4 應(yīng)急相應(yīng)服務(wù)
為確保單位的外網(wǎng)日常安全運(yùn)維,采用云端平臺(tái)結(jié)合安全防御節(jié)點(diǎn)上報(bào)的安全日志與取證數(shù)據(jù),實(shí)現(xiàn)安全事件分析、防護(hù)策略的聯(lián)動(dòng),提供安全分析、事件閉環(huán)、安全預(yù)警、安全咨詢等服務(wù),主要包括:
1、接收安全防御節(jié)點(diǎn)上報(bào)的安全事件相關(guān)的關(guān)鍵信息,通過(guò)機(jī)器+人工的方式對(duì)安全事件進(jìn)行分析,將準(zhǔn)確的分析結(jié)果反饋給用戶;
2、對(duì)于授權(quán)云端自動(dòng)處置的用戶,提供安全事件自動(dòng)閉環(huán)服務(wù),將閉環(huán)策略直接下發(fā)到安全防御節(jié)點(diǎn);對(duì)于未授權(quán)云端自動(dòng)處置的用戶,提供安全事件的處置建議,指導(dǎo)用戶自主閉環(huán)安全事件;
3、為用戶提供周報(bào)、月報(bào)、緊急安全事件短信通知等服務(wù),通過(guò)短信、郵件形式為客戶提供統(tǒng)一安全分析、專家服務(wù)、安全事件處置指導(dǎo),使安全運(yùn)維工作易懂、高效。
2.2 外網(wǎng)無(wú)線覆蓋建設(shè)
近些年來(lái),隨著筆記本、手機(jī)、PAD等無(wú)線終端的崛起,辦公場(chǎng)所部署無(wú)線網(wǎng)絡(luò)也越來(lái)越重要。WLAN憑借自己的高帶寬、低成本、可漫游的技術(shù)優(yōu)勢(shì),能有效分擔(dān)用戶密集地點(diǎn)的2G/3G帶寬壓力,帶給客戶更佳的體驗(yàn);同時(shí)又可靈活地延伸固定寬帶網(wǎng)絡(luò),促進(jìn)固網(wǎng)和移動(dòng)業(yè)務(wù)的有機(jī)融合;也可用于解決布線困難區(qū)域的網(wǎng)絡(luò)接入問(wèn)題。
隨時(shí)隨地自由的接入網(wǎng)絡(luò)已成辦公網(wǎng)的基本訴求,WLAN無(wú)線覆蓋自然也就成為辦公網(wǎng)最基本的需求。
Wi-Fi 6是下一代802.11ax標(biāo)準(zhǔn)的簡(jiǎn)稱。隨著Wi-Fi標(biāo)準(zhǔn)的演進(jìn),WFA為了便于WiFi用戶和設(shè)備廠商輕松了解其設(shè)備連接或支持的Wi-Fi型號(hào),選擇使用數(shù)字序號(hào)來(lái)對(duì)WiFi重新命名。另一方面,選擇新一代命名方法也是為了更好地突出Wi-Fi技術(shù)的重大進(jìn)步,它提供了大量新功能,包括增加的吞吐量和更快的速度、支持更多的并發(fā)連接等。
2.2.1 無(wú)線網(wǎng)絡(luò)設(shè)計(jì)
建設(shè)單位整體網(wǎng)絡(luò)網(wǎng)絡(luò),除了要滿足現(xiàn)有員工容量的現(xiàn)狀與未來(lái)幾年內(nèi)的發(fā)展之外,還需要根據(jù)無(wú)線網(wǎng)絡(luò)自身的特點(diǎn),為其設(shè)計(jì)規(guī)劃一個(gè)與“有線無(wú)線網(wǎng)絡(luò)融合、一體化管理、高帶寬、大范圍覆蓋、安全可信”的無(wú)線覆蓋網(wǎng)絡(luò),無(wú)線網(wǎng)絡(luò)規(guī)劃將從無(wú) 線信道帶寬保障、重點(diǎn)區(qū)域覆蓋、安全可信、網(wǎng)絡(luò)管理充分融合等多方面綜合考慮。本次覆蓋綜合樓1-8F辦公區(qū)域。
2.2.2 無(wú)線AP覆蓋規(guī)劃
1、無(wú)線覆蓋信號(hào)
覆蓋區(qū)域信號(hào)強(qiáng)度不低于-65dBm,移動(dòng)辦公業(yè)務(wù)使用較為集中區(qū)域的接入速率應(yīng)不低于140Mbps,一般使用的接入速率不低于50Mbps
2、容量計(jì)算
當(dāng)無(wú)線覆蓋區(qū)域并發(fā)員工不超過(guò)60個(gè),如果人員分布密集或集中辦公區(qū),考慮增加AP部署密度。
3、工作頻段與頻點(diǎn)規(guī)劃
依照WLAN的國(guó)際規(guī)范和國(guó)際無(wú)線電管理委員會(huì)的標(biāo)準(zhǔn),WLAN無(wú)線設(shè)備的工作頻段為2400-2483.5MHz,帶寬
83.5MHz,劃分為14個(gè)子信道,每個(gè)子頻道帶寬為22MHz,最多有13個(gè)信道可用。
在多個(gè)頻道同時(shí)工作的情況下,為保證頻道之間不互相干擾,要求兩個(gè)頻道的中心頻率間隔不能低于25MHz??紤]參照
北美標(biāo)準(zhǔn)設(shè)計(jì)的許多WLAN設(shè)備和終端(比如網(wǎng)卡)不能使用12、13信道做為辦公信道,因此建議一般選用1/6/11信道。
5GHz頻段:更多的頻譜資源-數(shù)量較多的不沖突頻點(diǎn),更少的干擾(藍(lán)牙、微波爐),從40MHz信道綁定獲得最高的性能,802.11ac的客戶端只有在5GHz頻段上支持40MHz。
2.4GHz頻段:兼容原有的802.11a、b/g的客戶端;不建議在2.4GHz頻點(diǎn)使用40MHz信道綁定,大部分客戶端不支持;避免了802.11a、b/g與802.11n混用,降低性能。
2.3 機(jī)房物理環(huán)境整改
物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可使用,從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用, 甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ),只有保證了物理層的可用性,才能使得整個(gè)網(wǎng)絡(luò)的可用性, 進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力,例如:
機(jī)房缺乏控制,人員隨意出入帶來(lái)的風(fēng)險(xiǎn); 網(wǎng)絡(luò)設(shè)備被盜、被毀壞;
線路老化或是有意、無(wú)意的破壞線路; 設(shè)備在非預(yù)測(cè)情況下發(fā)生故障、停電等; 自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等; 電磁干擾等。
因此,在通盤考慮安全風(fēng)險(xiǎn)時(shí),應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)。保證網(wǎng)絡(luò)正常運(yùn)行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風(fēng)險(xiǎn)問(wèn)題時(shí)的應(yīng)對(duì)方案。
新機(jī)房按照等保相關(guān)要求進(jìn)行建設(shè),按照?qǐng)龅貦C(jī)房裝修、配電防雷系統(tǒng)、配電橋架及線纜敷設(shè)、UPS系統(tǒng)、防雷接地系統(tǒng)、空調(diào)系統(tǒng)、環(huán)境監(jiān)控系統(tǒng)、設(shè)備機(jī)柜系統(tǒng)、機(jī)房綜合布線系統(tǒng)、消防系統(tǒng)等,進(jìn)行機(jī)房整體等級(jí)保護(hù);
2.3.1 機(jī)房整改內(nèi)容
機(jī)房改造包括天花板安裝,門禁改造等內(nèi)容: 天花板采用微孔鋁板裝飾;
機(jī)房門口增加智能門禁;
2.3.2 機(jī)房布線
機(jī)房布線材料采用超五類雙絞線和附件,建立一套先進(jìn)、完善的機(jī)房綜合布線系統(tǒng),為機(jī)房管理各種應(yīng)用,包括數(shù)據(jù)、語(yǔ)音、控制等應(yīng)用系統(tǒng)提供接入方式、配線方案,從而實(shí)現(xiàn)系統(tǒng)配置靈活、易于管理、易于維護(hù)、易于擴(kuò)充的目的。
2.3.3 恒溫設(shè)備
由于計(jì)算機(jī)機(jī)房處于長(zhǎng)時(shí)間連續(xù)工作狀態(tài),故機(jī)房的熱負(fù)荷較大。為給計(jì)算機(jī)機(jī)房提供一個(gè)良好的工作環(huán)境,主機(jī)房區(qū)按照實(shí)際熱負(fù)荷計(jì)算,需安裝機(jī)房精密空調(diào)一臺(tái),其有效控制區(qū)域?yàn)橹鳈C(jī)房區(qū),在部署精密空調(diào)設(shè)備時(shí),需在精密空調(diào)下加裝承 載體,以減輕對(duì)樓板的壓力。
2.3.4 UPS備電系統(tǒng)
UPS主機(jī)、電池柜放置在機(jī)房主機(jī)區(qū)的配電區(qū)域內(nèi),其底部均加裝承載體,以減輕對(duì)樓板的壓力。
2.3.5 防雷接地
在每路電源的進(jìn)線配電柜內(nèi),安裝符合實(shí)際需要的電源浪涌抑制器;當(dāng)市電出現(xiàn)較長(zhǎng)時(shí)間的脈沖電壓或瞬間大電流脈沖電壓時(shí),應(yīng)能夠立即把市電短路到地線,并保護(hù)負(fù)載和設(shè)備。
2.3.6 消防系統(tǒng)
在設(shè)備機(jī)柜的吊頂上、吊頂下及地板下均裝有火災(zāi)探測(cè)器,對(duì)其全面監(jiān)測(cè)、設(shè)防。
2.3.7 機(jī)房智能監(jiān)控系統(tǒng)
機(jī)房智能監(jiān)控系統(tǒng)監(jiān)測(cè)功能如下:機(jī)房異常情況報(bào)警;實(shí)時(shí)監(jiān)測(cè)及控制;交直流電壓監(jiān)測(cè)報(bào)警功能及UPS檢測(cè)功能;精密
空調(diào)的運(yùn)行狀態(tài)檢測(cè);溫度監(jiān)控報(bào)警功能;濕度監(jiān)控報(bào)警功能;浸水報(bào)警功能;煙霧報(bào)警功能;報(bào)警管理功能具有遠(yuǎn)程監(jiān)控功能。
(三) 設(shè)備清單及詳細(xì)參數(shù)、功能(略)
?廣東中誠(chéng)智聯(lián)信息技術(shù)有限公司是一家集設(shè)計(jì)、施工、服務(wù)于一體,專業(yè)的網(wǎng)絡(luò)信息化技術(shù)整體解決方案提供商,主要致力于:弱電系統(tǒng)集成、網(wǎng)絡(luò)安全服務(wù)兩個(gè)方向。公司現(xiàn)有技術(shù)員工IT從業(yè)經(jīng)歷都超過(guò)15年,有豐富的售前、售中及售后的全方位服務(wù)經(jīng)驗(yàn),并以良好的信譽(yù)和全面的技術(shù)支持向各界用戶提供科學(xué)先進(jìn)專業(yè)的解決方案。憑借出色的技術(shù)和優(yōu)質(zhì)的服務(wù),中誠(chéng)智聯(lián)已成為眾多上市企業(yè)的安心選擇。
訂閱 | 合作
微信掃描二維碼關(guān)注中誠(chéng)智聯(lián)最新動(dòng)態(tài)
24小時(shí)服務(wù)熱線:18602099133
官網(wǎng):zhengqiwuye.com.cn