工商局網(wǎng)絡(luò)優(yōu)化實施方案

1、PAGE PAGE 18XX工商局網(wǎng)絡(luò)安全優(yōu)化項目實施方案廣州北大明天資源科技發(fā)展有限公司目 錄 TOC o 1-3 h z u HYPERLINK l _Toc209347708 第1章項目概述 PAGEREF _Toc209347708 h 3 HYPERLINK l _Toc209347709 1.1項目背景 PAGEREF _Toc209347709 h 3 HYPERLINK l _Toc209347710 1.2現(xiàn)狀分析 PAGEREF _Toc209347710 h 3 HYPERLINK l _Toc209347711 1.3項目實現(xiàn)目標(biāo) PAGEREF _Toc2093477

2、11 h 5 HYPERLINK l _Toc209347712 1.4項目方案設(shè)計與產(chǎn)品部署 PAGEREF _Toc209347712 h 5 HYPERLINK l _Toc209347713 1.4.1防火墻部署設(shè)計 PAGEREF _Toc209347713 h 5 HYPERLINK l _Toc209347714 1.4.2IPS部署設(shè)計 PAGEREF _Toc209347714 h 6 HYPERLINK l _Toc209347715 1.4.3安全管理平臺部署設(shè)計 PAGEREF _Toc209347715 h 7 HYPERLINK l _Toc209347716 1.

3、4.4IT服務(wù)管理系統(tǒng) PAGEREF _Toc209347716 h 8 HYPERLINK l _Toc209347717 1.4.5項目設(shè)備分布 PAGEREF _Toc209347717 h 10 HYPERLINK l _Toc209347718 第2章項目實施方案 PAGEREF _Toc209347718 h 11 HYPERLINK l _Toc209347719 2.1項目組織結(jié)構(gòu) PAGEREF _Toc209347719 h 11 HYPERLINK l _Toc209347720 2.1.1項目管理組織結(jié)構(gòu) PAGEREF _Toc209347720 h 11 HYPE

4、RLINK l _Toc209347721 2.1.2項目實施組織結(jié)構(gòu) PAGEREF _Toc209347721 h 12 HYPERLINK l _Toc209347722 2.1.3項目小組 PAGEREF _Toc209347722 h 12 HYPERLINK l _Toc209347723 2.2項目實施進(jìn)度計劃 PAGEREF _Toc209347723 h 13 HYPERLINK l _Toc209347724 第3章實施保障計劃 PAGEREF _Toc209347724 h 15 HYPERLINK l _Toc209347725 3.1用戶配合方案 PAGEREF _T

5、oc209347725 h 15 HYPERLINK l _Toc209347726 3.2系統(tǒng)回退方案 PAGEREF _Toc209347726 h 15 HYPERLINK l _Toc209347727 3.3項目實施控制流程 PAGEREF _Toc209347727 h 16 HYPERLINK l _Toc209347728 3.3.1項目實施工作程序 PAGEREF _Toc209347728 h 16 HYPERLINK l _Toc209347729 3.3.2項目實施流程圖 PAGEREF _Toc209347729 h 17 HYPERLINK l _Toc209347

6、730 3.3.3驗收表格示例 PAGEREF _Toc209347730 h 18項目概述項目背景隨著Internet的不斷發(fā)展，信息技術(shù)越來越成熟。也改變了傳統(tǒng)工商管理行業(yè)的工作模式，通過基于Web的新興網(wǎng)絡(luò)應(yīng)用和多媒體服務(wù)，工商管理部門可以提高其內(nèi)部機(jī)構(gòu)的效率。網(wǎng)絡(luò)作為Internet時代IT應(yīng)用的基礎(chǔ)設(shè)施，是工商管理部門向電子政務(wù)工作模式轉(zhuǎn)型的重要前提條件。因此，其可靠性、安全性和可用性都是關(guān)鍵，XX工商局根據(jù)網(wǎng)絡(luò)使用情況和增強網(wǎng)絡(luò)安全方面考慮，啟動了此次網(wǎng)絡(luò)安全建設(shè)項目?，F(xiàn)狀分析目前東莞工商局的廣域網(wǎng)絡(luò)采用電信SDH專網(wǎng)線路分別連接到各下屬單位(共計30多個)，其中中心節(jié)點的帶寬為1

7、55M，各下屬單位的出口帶寬為2M，同時中心點還有一條10M的電信線路連接到Internet。通過這些線路的互聯(lián)，基本構(gòu)成了東莞工商局的廣域網(wǎng)。東莞工商局現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D如下：圖 STYLEREF 1 s 1 SEQ 圖 * ARABIC s 1 1 東莞工商局網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D現(xiàn)有網(wǎng)絡(luò)存在的問題：1、帶寬不足，原有網(wǎng)絡(luò)采用SDH 2M線路連接過分支局，在運行之初完全能滿足下屬單位訪問市工商局各類應(yīng)用的需求。但隨著應(yīng)用系統(tǒng)的逐步建設(shè)，數(shù)據(jù)大集中后，下屬單位對工商局中心業(yè)務(wù)訪問的流量也隨之增加。面臨鏈路擴(kuò)容要求。2、原有網(wǎng)絡(luò)系統(tǒng)存在鏈路和廣域接入路由設(shè)備的單點故障。在市局中心的Cisco 7206路由

8、器和分支局路由設(shè)備之間通過，單一設(shè)備和單一線路進(jìn)行互聯(lián)，而應(yīng)用系統(tǒng)的數(shù)量不斷增加，而電子政務(wù)的發(fā)展使工商管理系統(tǒng)對信息化網(wǎng)絡(luò)的依賴度不斷提供，要求業(yè)務(wù)承載的廣域網(wǎng)絡(luò)系統(tǒng)具有更高的可靠性。3、原有網(wǎng)絡(luò)系統(tǒng)在安全性方面不夠。下屬單位到市局中心組成的廣域網(wǎng)絡(luò)，基本對所有應(yīng)用協(xié)議都是開放的，沒有在網(wǎng)絡(luò)層面對網(wǎng)絡(luò)的不同區(qū)域進(jìn)行不同安全級別的劃分，所有應(yīng)用協(xié)議都可以在IP網(wǎng)上暢通無阻，使非業(yè)務(wù)或非關(guān)鍵流量擠占有限的帶寬。分局隨沒有直接連internet的出口，但可以通過市局中心訪問到internet，在用戶不清楚的情況下，就帶入來自公網(wǎng)的病毒、木馬，用戶并修改IE的設(shè)置，被流氓軟件侵害的事情時有發(fā)生。項目

9、實現(xiàn)目標(biāo)本次網(wǎng)絡(luò)安全建設(shè)項目，內(nèi)容主要包括把互聯(lián)的線路進(jìn)行升級，并且在各單位之間架設(shè)網(wǎng)絡(luò)安全設(shè)備進(jìn)行訪問控制。具體包括以下內(nèi)容：新設(shè)置電信MSTP線路，連接到下屬單位的帶寬為10M，同時連接到中心點的帶寬也相應(yīng)增加。電信MSTP線路接口為以太網(wǎng)口。原SDH線路作為備份線路，在主MSTP線路出現(xiàn)問題時要求能自動切換到備份線路，保障網(wǎng)絡(luò)通暢。在網(wǎng)絡(luò)的邊界增加網(wǎng)絡(luò)安全設(shè)備進(jìn)行訪問控制。對安全及網(wǎng)絡(luò)設(shè)備的統(tǒng)一協(xié)同智能化管理。項目方案設(shè)計與產(chǎn)品部署防火墻部署設(shè)計在保證用戶MSTP和SDH兩套線路互為備份的基礎(chǔ)上，考慮網(wǎng)絡(luò)系統(tǒng)的安全性、高可靠性、可擴(kuò)展性，提出我們提出如下安全的網(wǎng)絡(luò)升級方案。1)通過在中心

10、設(shè)置兩臺千兆防火墻，將市局的數(shù)據(jù)中心和廣域網(wǎng)劃分為不同級別的安全區(qū)域。2)在每一個分局部署一臺百兆防火墻，保護(hù)各分局的內(nèi)網(wǎng)。在各防火墻上只開放必須的應(yīng)用端口，并制定部分應(yīng)用層安全策略，包括HTTP 協(xié)議URL 過濾，建立白名單等。建議方案部署圖：圖 STYLEREF 1 s 12 東莞工商局網(wǎng)絡(luò)改造后拓?fù)鋱D IPS部署設(shè)計根據(jù)目前東莞工商局的網(wǎng)絡(luò)拓?fù)鋱D，鎮(zhèn)區(qū)分局都已經(jīng)沒有了重要業(yè)務(wù)的服務(wù)器部署，東莞工商局的所有業(yè)務(wù)系統(tǒng)都已經(jīng)集中部署到市局中心機(jī)房。同時各分局也不再有獨立的internet出口，因此在IPS部署設(shè)計上，我們建議集中在市局中心。部署位置可以考慮三個核心位置（數(shù)據(jù)中心核心服務(wù)器區(qū)之前

11、，保護(hù)核心數(shù)據(jù)庫和服務(wù)器，internet出口，鄉(xiāng)鎮(zhèn)遠(yuǎn)程接入?yún)R接點之后），具體如下圖所示：圖 STYLEREF 1 s 13 IPS部署后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖在本項目中，我們以防火墻安全方案為基礎(chǔ)，增加了兩臺H3C TippingPoint IPS設(shè)備。首先在最重要的數(shù)據(jù)中心前部署了一臺H3C TP 1200E，以保護(hù)東莞工商局IT核心資產(chǎn)；H3C TP 1200E有8個千兆端口，在鎮(zhèn)區(qū)分支點匯接到中心的防火墻后，為防范廣域內(nèi)網(wǎng)中的安全風(fēng)險，通過復(fù)用數(shù)據(jù)中心部署的H3C TP 1200E端口，既節(jié)約成本又能防止鎮(zhèn)區(qū)分支點的安全風(fēng)險擴(kuò)散到市局內(nèi)網(wǎng)。 安全管理平臺部署設(shè)計針對工商局目前面臨的一系列問題：

12、 （1）對實時安全信息不了解，無法及時發(fā)出預(yù)警信息，并且處理。（2）各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。（3）安全事件發(fā)生以后，無法及時診斷網(wǎng)絡(luò)故障的原因，恢復(fù)困難。（4）網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題，成本高。H3C安全統(tǒng)一管理解決方案以開放的安全管理平臺為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端、網(wǎng)絡(luò)服務(wù)等納入一個緊密的統(tǒng)一管理平臺中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個智能安全防御體系，大幅度提高網(wǎng)絡(luò)的整體安全防御能力。H3C安全管理中心由策略管理、事件采集、分析決策、協(xié)

13、同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的協(xié)同防御體系（見下圖）。 圖 STYLEREF 1 s 14 H3C基于安全管理中心的智能防御體系H3C安全管理中心旨在集中部署網(wǎng)絡(luò)安全保護(hù)策略，簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計算機(jī)、網(wǎng)絡(luò)、存儲、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險，提高安全報警的信噪比；準(zhǔn)確的、實時的評估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢和風(fēng)險，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。 IT服務(wù)管理系統(tǒng)IT服務(wù)管理平臺通過合理的角色劃分和用

14、戶管理，面向運維人員、面向技術(shù)人員、面向管理人員、面向領(lǐng)導(dǎo)和規(guī)劃人員，提供IT服務(wù)的綜合協(xié)作平臺。從IT服務(wù)行業(yè)的需求方面來看，IT服務(wù)管理系統(tǒng)是建立起基本的服務(wù)體系結(jié)構(gòu)和服務(wù)流程，IT服務(wù)管理（ITSM）系統(tǒng)主要分為服務(wù)臺管理、事件管理、問題管理、報表管理、配置管理、輔助工具、個人工作臺、資源管理、系統(tǒng)維護(hù)等功能模塊。下面分別描述系統(tǒng)的各個功能。圖 STYLEREF 1 s 1-5 系統(tǒng)功能結(jié)構(gòu)項目設(shè)備分布序號局點設(shè)備名稱單位數(shù)量市局核心防火墻：H3C SecPath F1000-E臺2分支節(jié)點分支防火墻：H3C SecPath F100-A臺32市局入侵防御系統(tǒng)：H3C TippingPo

15、int IPS 1200E臺2市局網(wǎng)絡(luò)安全管理中心設(shè)備：H3C SecCenter A1000臺1市局IT服務(wù)管理系統(tǒng)：北大明天ITSM系統(tǒng)套1項目實施方案項目組織結(jié)構(gòu)XX工商局網(wǎng)絡(luò)安全建設(shè)項目是一個涉及面廣、技術(shù)復(fù)雜的大型系統(tǒng)工程，為保證工程能分步驟有條理地順利進(jìn)行，科學(xué)合理的項目管理非常重要。項目管理組織結(jié)構(gòu)項目實施組織結(jié)構(gòu)項目小組管理負(fù)責(zé)：許紅濤務(wù)負(fù)責(zé)：梁 黔3C技術(shù)支持：項目經(jīng)理：張官清組姓名聯(lián)系方式負(fù)責(zé)區(qū)域第一小組程濤二小組劉武三小組董必濤15099778

16、168項目實施進(jìn)度計劃實施的具體時間，盡量安排在不影響用戶業(yè)務(wù)高峰期情況下進(jìn)行。圖 STYLEREF 1 s 2 SEQ 圖 * ARABIC s 1 1實施區(qū)劃地圖節(jié)點分局日期時間工作內(nèi)容備注市局核心市局4天安裝調(diào)試市局千兆防火墻、IPS和安全管理系統(tǒng)及服務(wù)平臺部署。完成千兆防火墻部署；完成IPS部署和安全管理平臺部署；完成服務(wù)管理平臺部署。系統(tǒng)測試分支節(jié)點測試節(jié)點（2個）2天安裝調(diào)試市區(qū)兩個節(jié)點的百兆防火墻安裝調(diào)試市區(qū)兩個測試節(jié)點的百兆防火墻。安全策略部署和測試。分支節(jié)點實施（30個）15天安裝調(diào)試各分支節(jié)點的百兆防火墻安裝調(diào)試市區(qū)兩個測試節(jié)點的百兆防火墻。安全策略部署和測試。系統(tǒng)測試驗收

17、市局2天系統(tǒng)調(diào)優(yōu)、測試、驗收安全策略調(diào)優(yōu)；全網(wǎng)系統(tǒng)測試；驗收。在實施過程中確保測試不通過時候可以通過回退方案保證用戶網(wǎng)絡(luò)正常培訓(xùn)市局2天檢查核心和各節(jié)點的設(shè)備升級后情況，機(jī)動處理。全網(wǎng)測試與驗收。注：每個節(jié)點的整改時間需要用戶確定后才能實施切換，盡量避免影響用戶業(yè)務(wù)情況，切換生產(chǎn)環(huán)境后，預(yù)留時間進(jìn)行觀察系統(tǒng)運行，如出現(xiàn)故障無法及時解決，做好回退處理工作。實施保障計劃用戶配合方案市局需保證滿足新設(shè)備的供電需求；各分支節(jié)點確保新設(shè)備的安裝環(huán)境，所有設(shè)備要安裝到機(jī)柜中，避免人為因素導(dǎo)致設(shè)備斷電中斷影響業(yè)務(wù)運行；機(jī)房所接設(shè)備電源，盡量不要外露在臺面和地下，防止在搬動設(shè)備或者進(jìn)行其它工作的時候弄到電源松

18、弛，影響對設(shè)備供電；為保證不影響生產(chǎn)環(huán)境，割接工作時間必須由用戶安排合適時間，并安排好相關(guān)人員的配合工作。系統(tǒng)回退方案本次安全建設(shè)項目的涉及面廣、技術(shù)相對復(fù)雜，對網(wǎng)絡(luò)系統(tǒng)可能會造成不同程度的影響。為減小不可確定因素在網(wǎng)絡(luò)設(shè)備擴(kuò)容調(diào)整過程中造成的影響，特制定系統(tǒng)回退方案。實施前詳細(xì)了解用戶網(wǎng)絡(luò)情況并對相關(guān)設(shè)備連接情況進(jìn)行記錄： 序號：備份設(shè)備所連接對應(yīng)端口擺放機(jī)柜位置物理鏈路標(biāo)識1、需要做以下工作：（1）檢查該網(wǎng)段的路由走向和經(jīng)過幾跳到最終目的地,并做好備份。（2）記下每臺設(shè)備的靜態(tài)路由表，做好備份。2、各相關(guān)設(shè)備連線做好記錄。3、把原來IP地址規(guī)劃記下，檢查該服務(wù)器原來接在那臺設(shè)備，在該設(shè)備上

19、查找該服務(wù)器對應(yīng)的端口，檢查MAC地址。并做好備份。 4、IP地址的規(guī)劃，及VLAN信息，做好登記。以上各項工作在進(jìn)行中如果出現(xiàn)異常則立即停止修改，查找錯誤原因，在時間允許范圍內(nèi)恢復(fù)正常則繼續(xù)切換；若在時間允許范圍內(nèi)沒能恢復(fù)，則進(jìn)行回退。回退必須按照改造前的備份資料進(jìn)行，確保網(wǎng)絡(luò)恢復(fù)正常?；赝藭r必須記錄故障點，故障現(xiàn)象，現(xiàn)場分析手段及結(jié)果，以備事后分析。項目實施控制流程項目實施工作程序1. 承建單位根據(jù)合同、招標(biāo)文件及投標(biāo)文件，組織編制項目實施方案后提交建設(shè)單位及用戶單位，建設(shè)單位審核通過后出具開工令。2.承建單位接到建設(shè)單位的開工令后，項目經(jīng)理組織項目組人員嚴(yán)格按項目實施方案開始進(jìn)行項目實施。3.承建單位安排運輸工具，將合同內(nèi)設(shè)備送達(dá)