您好,欢迎来到南京仲子路科技有限公司!
您好,欢迎来到南京仲子路科技有限公司!
create smarter cities via our expertise
网络安全规划
1需求分析
高级威胁防御
当前0day漏洞、社工攻击、变种或新型恶意软件等高级威胁层出不穷,由于很多安全设备检测方式主要是基于静态特征检测,对于勒索病毒新型变种等这些攻击很难被传统检测手段发现,因此分公司在建设时要对互联网中的高级威胁进行防护。
员工安全意识薄弱
部分员工的整体安全意识较为薄弱,无法有效区分来自互联网的威胁,比如钓鱼邮件,恶意链接,恶意应用等,可能导致整个的网络受到波及,再加上部分员工自制力较弱,上班期间若浏览视频网站或者下载视频或者炒股,乱发邮件和滥用网盘,这些行为一方面会导致贵公司出口带宽被占用,同时也会降低工作效率和带来安全风险。因此分公司在建设时要对员工的上网行为进行管控,同时做好审计满足《网络安全法》的要求。
1.2远程接入风险
此刚刚成立分公司,同时还存在出差的移动办公人员,需要保障分支和移动办公人员的接入、传输、权限等安全性要求。
1.3总部设备升级
总部从原来的一条100m链路升级为2条100m链路,原有的防火墙和上网行为管理性能不足需要进行替换。
1.4安全规划方案
整体方案拓扑图
(网络拓扑)
基于腾亚当下的主需求,本方案采用如下设计:
在总部出口网桥部署满足200m带宽的下一代防火墙设备,来有效防御来自互联网的高级威胁。
在总部出口网桥部署满足200m带宽上网行为管理设备,做好内部员工上网行为的管控,流量的管控以及做好上网行为审计,满足《网络安全法》的要求。
在分支出口网桥部署满足200m带宽的下一代防火墙设备,来有效防御来自互联网的高级威胁。
在分支出口网桥部署满足200m带宽上网行为管理设备,做好内部员工上网行为的管控,流量的管控以及做好上网行为审计,满足《网络安全法》的要求。
在分支核心交换机上旁路部署ssl vpn设备,和总部ssl vpn设备进行ipsec组网,满足分支和总部的安全互联。
1.5方案详述
通过相应的安全设备和技术手段对总部和分支网络建设进行安全建设,主要涉及安全域边界的安全防护,同时做好员工上网行为的有效管控和审计以及分支和总部间的安全互联。
出口边界安全建设
对于互联网出口来说,应能够做到以下安全防护:
有效防范来自互联网的蠕虫、病毒、间谍软件和黑客等攻击和入侵,快速发现网络安全事件,保护用户网络安全,防止黑客带来的业务安全损失;
能实时发现网络入侵、控制、破坏等安全问题,有效解决被控制后产生的扩散、泄密、对外攻击等问题,对僵尸网络和web安全进行事前、事中、事后全面双向安全防护。
能针对自身业务维度进行一键式运维,可以自动识别当前服务器资产和终端资产,并对其进行全面体检,发现脆弱性,包括弱密码,开放端口,web 明文传输等问题,及时补足安全短板;
在遭受攻击时,可以基于黑客攻击链条来防护,定位失陷终端具体处于哪个阶段,比如是在 c&c 攻击阶段,还是内网扩散阶段,或者数据外发阶段等,可及时做出相应策略,及时止损;
可导出可视化的安全报表,针对业务,终端,漏洞,脆弱性等安全风险详细分析,便于总结和汇报;
发现和阻断员工通过互联网无意识下载恶意的木马程序和恶意代码,保护用户网络不受网络病毒的入侵,快速定位内部失陷主机,及时消除潜在风险;
因此建议在出口网桥部署深信服下一代防火墙,通过 l2-7层深度防御,能够有效防御边界的安全威胁。
深信服下一代防火墙来说智能融合了僵尸网络识别技术,其内置的僵尸网络特征库数量已经达到了50多万条,包含了木马、后门、蠕虫、恶意软件、间谍软件等多种分类,和cncert、virustotal等专业组织保持了密切合作,实时更新;对于钓鱼、盗号、欺诈、木马、页面伪造等多种恶意链接,能够自动检测出来并阻止进一步访问弹出重定向告警页面。对于漏洞检测方面,拥有专业的漏洞研究团队,此外还加入了国内cnvd、cnnvd等专业单位及时共享漏洞特征信息,同时是微软的mapp项目麻将胡了pg电子网站的合作伙伴,有效发现底层系统漏洞、弱密码问题、业务应用漏洞、开放端口等多种安全缺陷,并提供对应的防护方案。
上网管控建设
对于内部员工的上网行为管控和审计,通过在出口部署深信服上网行为管理设备,可以实现对员工上网流量管控,应用封堵以及行为审计的作用。
通过制定管控策略,针对风险应用,比如安全风险类的钓鱼及恶意网站、翻墙代理、非法网页、病毒、木马等,外发文件;泄密风险类的网盘上传、im外发文件、邮件发送等应用进行管控;
同时对员工浏览上网行为进行审计,做到有据可查,可以审计微博论坛,新闻评论等,微信和 qq 的 pc 客户端全面审计,同时支持 ssl 加密网页审计和网盘上传下载审计,可以查看上传或者发送的附件,也可对附件的大小,数量等进行限制,全面管控泄密风险;
通过创新的行为感知系统的大数据分析技术可以直观有效的查看人员外发情况和泄密追踪以及员工工作效率和离职倾向;
6分支接入安全建设
总部端设计
总部端通过原有的ssl vpn设备进行和分支互联。
分支端设计
通过在分支端核心交换机网桥部署ssl vpn设备,和总部ssl vpn设备进行ipsec组网。
移动办公人员接入
通过在总部部署的ssl vpn设备,在外出差的移动办公人员通过每个人一个账号登录 vpn,进而访问内网资源。
sangfor ssl vpn支持localdb、ldap/ad、radius、第三方ca、自建ca、dkey、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地保证了接入用户的合法性。
数据传输安全
vpn的本质就是需要保证数据在公网上传输的安全性,达到虚拟专用网的效果。传输的安全性强度往往需要依靠vpn数据所采用的加密算法。sangfor ssl vpn通过aes、des、3des、rsa、rc4、签名算法等多种国际主流加密算法对数据进行强加密,保证数据传输的高安全。
快速易用的ssl vpn
深信服ssl vpn通过自主研发的srap协议,单边加速技术和多线路智能选路技术以及htp快速传输协议来提高访问速度。
同时,借助于浏览器技术,sangfor ssl vpn可以支持所有网络环境,只要浏览器能够上网就可以使用ssl vpn。
如今主流的操作系统主要有windows、linux、mac os等。主流的浏览器分为基于ie内核的如ie、遨游、腾讯tt等,自行开发内核的如firefox、opera、safari、chrom、konqueror(linux)等等。而用户端使用的操作系统及浏览器往往具有随机、广泛的特点,需要满足用户随时随地方便的接入ssl vpn,所使用的ssl vpn系统就必须具有高平台兼容性,并具备其平台之上对b/s应用及c/s应用完整的支持性。
sangfor ssl vpn可完整支持上述主流的操作系统、浏览器,并可完整支持其上的所有应用,提供用户最高的使用体验。
深信服ssl vpn支持真正的跨平台:
支持主流的操作系统;
无需插件,即可兼容所有浏览器;
三层vpn功能在不同操作系统功能一致;
vpn功能在所有浏览器上功能一致。
精细化的权限管控
基于角色的应用访问授权
在应用访问权限的划分上,可通过ip、端口、服务、url等方式对内网应用以“资源”的方式进行定义,并基于“角色”将特定用户/用户组与相应的资源进行对应绑定,实现指定用户只能访问指定的应用的权限划分。
通过独特的角色管理功能,提供了细致到每个url和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。同时,基于角色的授权机制可结合对客户端安全检查结果的准入和授权,做到根据用户所属角色、用户登录时间、登录终端、终端安全检查结果的细致应用访问授权。
角色:用户、资源、准入策略及授权策略的绑定
url细粒度授权
对于b/s架构的应用如文件共享应用等往往需要做到url级别细粒度的权限控制以防止核心数据的泄露。支持http、https、fileshare、ftp应用的url细粒度用户授权。并可自行编辑url授权不通过的告警页面,友好化操作。
服务器方案优势
安全组网:深信服ssl vpn设备中sangfor vpn模块实现总部与分支机构的安全组网,采用深信服独有vpn协议;采用硬件特征码vpn对接接入认证专利技术,保证接入对象的唯一性。
快速流压缩技术加速网络访问:集成了快速的压缩算法,同时也可以作为加密的加强。压缩算法采用lzo,比传统的zip快出近10倍,能很好的保证传输的实时性。在启动了该流压缩选项后,能极大的减少冗余数据流量,增大传输效率;平均而言,将传输效率提高到130%。
带宽叠加技术扩充带宽:多线路复用技术是深信服公司的专利技术之一,通过该技术可以在腾亚总部和分支间同时使用两条internet 线路实现互联。一方面通过线路复用实现互联带宽叠加,大大增加大数据量业务的处理速度,另一方面,当其中的一条线路中断时,系统可以把负载自动切换到其他线路,使得互联线路不中断,大大增强vpn系统的稳定性。
多线路负载均衡和断线重连:支持多达6条线路的线路备份和负载均衡,大大提高了vpn网络的稳定性。若任何一条线路出现故障,可以将数据无缝切换到其他正常线路,不会影响ssl vpn用户的接入和访问。并且若故障线路恢复正常,vpn的连接隧道将自动愈合。同时,为了保证拨号网络的稳定性,集成了自动拨号软件,在拨号中断后,可以自动重拨。网络物理连接恢复正常后,可以实现总部、分支ip无变化时3s内恢复vpn连接;任意一端ip发送变化时25s恢复vpn连接。
总体需求
工作范围为两大项,一是机房设备购置部分,包括机房精密空调、机房气体消防、机房ups、机房视频监控系统、机房门禁控制系统。二是机房工程部分,包括机房装修工程、机房配电、机房的强电布线、机房弱电布线施工、机房电源防雷接地系统以及机房新排风系统。
为保证计算机机房安全、可靠的运行,以及为工作人员提供一个良好的工作环境,具备一个完整的机房工程系统是必不可少的。该系统包括空调、防静电、防雷击等方面的内容。作为机房建设的首要任务,工程项目的设计规划是十分重要的起步。优秀的设计,合理的性价比以及切实可行的项目规划是建设一个成功机房的重要保证。
室内装修要求
一般要求:
1.计算机房的室内装修工程主要包括吊顶、隔断墙、门、窗、墙壁装修、地面、活动地板的施工验收及其他室内作业。
2.室内装修作业应符合《装饰工程施工及验收规范》、《地面与楼面工程施工及验收规范》、《木结构工程施工及验收规范》及《钢结构工程施工及验收规范》的有关规定。
3.在施工时应保证现场、材料和设备的清洁。隐蔽工程(如地板下、吊顶上、假墙、夹层内)在封口前必须先进行除尘,清洁处理、并由有关专业人员验收,暗处表层应能保持长期不起尘、起皮和龟裂。
4.机房所有管线穿墙处的裁口必须作防尘处理,对缝隙必须用密封材料填堵。
5.在裱糊、粘接贴面及进行其他涂复施工时,其环境条件应符合材料说明书的规定。
6.装修材料应尽量选择无毒、无刺激性的材料,尽量选择难燃、阻燃材料,否则应涂防火涂料。
活动地板
1.本工程区域地面采用防静电活动地板。地面铺设前应对原地面进行防尘处理及用15mm厚保温进行保温处理;
2.计算机房用活动地板应符合国标gb6650-86《计算机房用活动地板技术条件》。
3.活动地板的铺设应在机房内各类装修施工及固定设施安装完成并对地面清洁处理后进行。
4.建筑地面应符合设计要求,并应清洁、干燥、活动地板下空间作为静压箱时,四壁及地面均应作防尘处理(如防尘油漆等),应保证长期不起皮、起泡或龟裂。
5.现场切割的地板,周边应光滑,无毛刺,并按原产品的技术要求作相应处理。
6.活动地板铺设前应按标高及地板布置严格放线将支撑部件调整至设计高度。
7.活动地板铺设过程中应随时调整水平遇到障碍或不规则地面,应按实际尺寸镶补并附加支撑部件,保证地板牢固可靠。
8.在活动地板上搬运,安装设备时应对地板表面采取防护措施,保证竣工时提供完整如新的地板面。
9.活动地板铺设接缝应横平竖直,铺设偏差应符合下表的规定:
活动地板允许偏差
10.为防止地面结露,精密空调区地面应铺设15厚橡塑保温材料。
空气调节系统
空调系统主机
1.本工程标明采用精密空调区域采用下送风、上回风恒温恒湿精密机房空调系统,依据本项目现场实际面积,因此预计单台精密空调的极限制冷量至少需要12.5kw(理论上空调系统主体设备应有20%的备份余量)。
2.计算机机房活动地板下空间作为静压箱时,管道安装应符合下列要求:
静压箱内各种管道应严格按设计要求施工。设计无规定时,各种管道应安装在同一水平高度上,不要叠放。
在静压箱与各种管道接缝处应采取密封措施,做到清洁、严密。
机房空调系统的主体设备要留有备份余量。
机房专用空调安装应竖向垂直,横向水平,牢固稳定。空调器的基础台座应与建筑楼地面牢靠固定,空调器与金属台座间应垫隔震材料。
空调器与风冷冷凝器之间的气体和液体管道在安装后应用氮气进行吹洗干净,管道内不得存有异物、灰尘和水份等。
3.温度、相对湿度传感器的安装应符合下列要求:
安装在室内的,应设置在空气流通的回风气流中。
安装在活动地板下时,应设置在离空调器出风口顺气流方向3m远外气流均匀的地方。
4.室外风冷冷凝器的安装应符合下列要求:
风冷冷凝器的四周应留有足够的通风及维修空间,设计无规定时,设备与围挡物之间及二台设备之间距离应大于1.5m;留有人员上下维修的通道。
连接空调与风冷冷凝器之间的管道保温材料,设计无规定时应采用导热系数小,抗温性及耐火性强,不易霉烂,机械强度高,经久耐用,便于加工的材料。
为了避免下层结露,楼板保温建议采用目前最新技术,效果良好的橡塑的保温层方式。
采取措施,保证机房主控区域不因远离空调机组而造成调温、调湿效果差的问题。
主机房精密环境控制设备的制冷量不应小于 12.5 kw。并需要形成主机1+1冗余备份工作方式。
ups配电区域、操作间、备份机房采用大金吸顶空调。
新风
新风采用独立的新风系统,送入机房的新风应符合下列要求:新风应是新鲜洁净的空气,本机房的新风补充量应为8%-10%。
新风机采用变频式,应具有高效过滤作用。
新风机安装过程中,应防止损坏过滤材料,并保持完好与清洁。
机房温度指标
机房相对湿度指标
开机时的测试应在计算机设备正常运转1小时后进行。
空气洁净度指标
机房空气洁净度依机器的要求而定,本机房根据国家标准《计算机场地技术条件》中a级的要求,即粒度(μm)≥0.5的尘粒数(粒/dm3)≤18,000。
机房压力
主机房内应保持有正压力,对外界空气一般应维持10-20pa的正压。
供配电系统
供配电电源
1.供电电源应满足下列要求:
频率:50hz;
电压:交流380v/220v;
相数:三相五线制和单相三线制。
2.国家标准《计算站场地技术条件》对机房的供电要求见下表。
3.机房的低压配电室为机房提供1路不小于20kw、100a容量的电源至机房进。
4.ups输出低压控制的数量视机房内ups输出插座和接线盒数量确定,并应留有扩充余量。
配线
1.干线与电源盘,柜应采用压接端子连接。
2.机房内的电源线、信号线和通讯线应分别铺设、排列整齐、捆扎固定、长度留有余量。
3.电源相线、中性线,保护接地线,直流工作地线,各种信号线和通讯线的颜色应各不相同,并按设计要求编号。
4.电缆电线连接应可靠,不得有扭绞,压扁和保护层断裂等现象。
5.地板下管线应与地面保持一定高度。
6.所有电气装置、导线通电运行2小时后的温升,不得超过允许值。
不间断电源系统
1.ups设备由施工单位负责采购、安装、调试。
2.ups输出配电柜应有足够的余量(可至少支撑机房设备总用电量2小时或以上)和高度的可靠性,其每路开关与对应的插座、接线盒都有明显的标识(可按坐标位置标注)。
3.所有的ups输出线缆均应穿铁管铺设并与地面保持一定的高度距离。
4.ups配电区域,应进行加固处理,ups主机及电池柜均布置于承重钢梁上。
防雷接地
对机房内弱电设备的防雷接地设置要求如下:
1.防雷接地,要求严格按照有关标准执行(如《建筑物防雷设计规范》gb 50057等,能够确切保证系统和人身安全、数据和设备安全。
2.机房采用二级电源防雷标准。一级设置在ups的出口端;二级设置在重要设备前端,并考虑等电位设计。信号防雷主要针对安防系统前端进行防雷。
3.应设置供电电源浪涌保护器以及ups后的配电箱浪涌保护器。
4.各信息系统需要设置信号避雷器。
5.弱电系统的接地系统要考虑完整。采用综合接地方式。接地系统的接地体与强电专业共用,接地电阻小于1欧姆。
6.弱电机房和弱电井均要设置“接地端子箱”。
机房大体效果图
南京仲子路科技有限公司14年机房建设系统工程施工经验,如果您对机房建设系统工程有任何疑问或需求,请致电4001-868-111或在线咨询!也可到我们的麻将胡了pg电子网站官网留言咨询、麻将胡了pg电子网站官网:麻将胡了pg电子网站-pg电子试玩入口、我们7-24小时为您服务。
本文相关关键词:网络机房建设方案、江苏机房建设公司、数据中心机房建设、机房装修、机房建设
声明:本文只做技术研究讨论,请勿用于非法目的,如果恶意使用造成任何法律责任本站概不负责!