一、项目概况:
(一)建设背景
按照等级保护制度的相关要求,为促进保障单位信息化弱电系统集成建设、应用、管理和服务水平的持续提高,网络信息系统的安全、稳定运行,考虑到系统承载业务的重要性和即将面临的安全风险,开展信息系统与基础设施安全差距评估、整改,并通过等级保护2.0的测评工作。
(二)建设内容
2.1 网络等保安全整改部分
本次单位集体化弱电系统集成项目共需整改内外网络,在外网的方案中,互联网进来接入利旧的路由器,路由器下接安全设备防火墙以及上网行为管理,再下接到核心交换机,接入交换机通过光纤接入到核心交换机,接入交换机下挂无线AP以及接入终端即PC等。
内网是通过防火墙连接专网,下挂核心交换机,接入交换机通过光纤连接核心交换机。
等保通过建设安全设备来保证,通过国家法定的要求。通过部署防火墙、日志审计、数据库审计、堡垒机等安全设备来达到国家法定要求。
2.1.1 通信网络
单位的通信网络的安全主要包括:网络架构安全冗余性等方面。
网络架构是否合理直接影响着是否能够有效的承载业务需要,因此网络架构需要具备一定的冗余性,包括通信链路的冗余,通信设备的冗余。
合理的划分安全区域,子网网段和VLAN。
2.1.2 安全区域边界
区域边界的安全主要包括:边界防护、访问控制、入侵防范以及安全审计等方面。
1、边界防护检查
边界的检查是最基础的防护措施,首先在网络规划部署上要做到流量和数据必须经过边界设备,并接受规则检查,其中包括无线网络的接入也需要经过边界设备检查,因此不仅需要对非授权设备私自联到内部网络的行为进行检查,还需要对内部非授权用户私自联到外部网络的行为进行检查,维护边界完整性。
2、边界访问控制
单位的网络可划分为如下边界:
对于各类边界最基本的安全需求就是访问控制,对进出安全区域边界的数据信息进行控制,阻止非授权及越权访问。
3、边界入侵防范
各类网络攻击行为既可能来自于大家公认的互联网等外部网络,在内部也同样存在。通过安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,实现对网络层以及业务系统的安全防护,保护核心信息资产的免受攻击危害。
4、边界安全审计
在安全区域边界需要建立必要的审计机制,对进出边界的各类网络行为进行记录与审计分析,可以和主机审计、应用审计以及网络审计形成多层次的审计系统。并可通过安全管理中心集中管理。
2.1.3 管理中心
划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
能对服务器进行监控,包括监视服务器的CPU、硬盘、内存、网络等资源情况,能够对系统服务水平降低到预先规定的最小值进行检测和报警。
对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; 对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
对网络中发生的各类安全事件进行识别、报警和分析。
2.1.4 应急相应服务
为确保单位的外网日常安全运维,采用云端平台结合安全防御节点上报的安全日志与取证数据,实现安全事件分析、防护策略的联动,提供安全分析、事件闭环、安全预警、安全咨询等服务,主要包括:
1、接收安全防御节点上报的安全事件相关的关键信息,通过机器+人工的方式对安全事件进行分析,将准确的分析结果反馈给用户;
2、对于授权云端自动处置的用户,提供安全事件自动闭环服务,将闭环策略直接下发到安全防御节点;对于未授权云端自动处置的用户,提供安全事件的处置建议,指导用户自主闭环安全事件;
3、为用户提供周报、月报、紧急安全事件短信通知等服务,通过短信、邮件形式为客户提供统一安全分析、专家服务、安全事件处置指导,使安全运维工作易懂、高效。
2.2 外网无线覆盖建设
近些年来,随着笔记本、手机、PAD等无线终端的崛起,办公场所部署无线网络也越来越重要。WLAN凭借自己的高带宽、低成本、可漫游的技术优势,能有效分担用户密集地点的2G/3G带宽压力,带给客户更佳的体验;同时又可灵活地延伸固定宽带网络,促进固网和移动业务的有机融合;也可用于解决布线困难区域的网络接入问题。
随时随地自由的接入网络已成办公网的基本诉求,WLAN无线覆盖自然也就成为办公网最基本的需求。
Wi-Fi 6是下一代802.11ax标准的简称。随着Wi-Fi标准的演进,WFA为了便于WiFi用户和设备厂商轻松了解其设备连接或支持的Wi-Fi型号,选择使用数字序号来对WiFi重新命名。另一方面,选择新一代命名方法也是为了更好地突出Wi-Fi技术的重大进步,它提供了大量新功能,包括增加的吞吐量和更快的速度、支持更多的并发连接等。
2.2.1 无线网络设计
建设单位整体网络网络,除了要满足现有员工容量的现状与未来几年内的发展之外,还需要根据无线网络自身的特点,为其设计规划一个与“有线无线网络融合、一体化管理、高带宽、大范围覆盖、安全可信”的无线覆盖网络,无线网络规划将从无 线信道带宽保障、重点区域覆盖、安全可信、网络管理充分融合等多方面综合考虑。本次覆盖综合楼1-8F办公区域。
2.2.2 无线AP覆盖规划
1、无线覆盖信号
覆盖区域信号强度不低于-65dBm,移动办公业务使用较为集中区域的接入速率应不低于140Mbps,一般使用的接入速率不低于50Mbps
2、容量计算
当无线覆盖区域并发员工不超过60个,如果人员分布密集或集中办公区,考虑增加AP部署密度。
3、工作频段与频点规划
依照WLAN的国际规范和国际无线电管理委员会的标准,WLAN无线设备的工作频段为2400-2483.5MHz,带宽
83.5MHz,划分为14个子信道,每个子频道带宽为22MHz,最多有13个信道可用。
在多个频道同时工作的情况下,为保证频道之间不互相干扰,要求两个频道的中心频率间隔不能低于25MHz。考虑参照
北美标准设计的许多WLAN设备和终端(比如网卡)不能使用12、13信道做为办公信道,因此建议一般选用1/6/11信道。
5GHz频段:更多的频谱资源-数量较多的不冲突频点,更少的干扰(蓝牙、微波炉),从40MHz信道绑定获得最高的性能,802.11ac的客户端只有在5GHz频段上支持40MHz。
2.4GHz频段:兼容原有的802.11a、b/g的客户端;不建议在2.4GHz频点使用40MHz信道绑定,大部分客户端不支持;避免了802.11a、b/g与802.11n混用,降低性能。
2.3 机房物理环境整改
物理安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用,从而会造成网络系统的不可使用, 甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保证了物理层的可用性,才能使得整个网络的可用性, 进而提高整个网络的抗破坏力,例如:
机房缺乏控制,人员随意出入带来的风险; 网络设备被盗、被毁坏;
线路老化或是有意、无意的破坏线路; 设备在非预测情况下发生故障、停电等; 自然灾害如地震、水灾、火灾、雷击等; 电磁干扰等。
因此,在通盘考虑安全风险时,应优先考虑物理安全风险。保证网络正常运行的前提是将物理层安全风险降到最低或是尽量考虑在非正常情况下物理层出现风险问题时的应对方案。
新机房按照等保相关要求进行建设,按照场地机房装修、配电防雷系统、配电桥架及线缆敷设、UPS系统、防雷接地系统、空调系统、环境监控系统、设备机柜系统、机房综合布线系统、消防系统等,进行机房整体等级保护;
2.3.1 机房整改内容
机房改造包括天花板安装,门禁改造等内容: 天花板采用微孔铝板装饰;
机房门口增加智能门禁;
2.3.2 机房布线
机房布线材料采用超五类双绞线和附件,建立一套先进、完善的机房综合布线系统,为机房管理各种应用,包括数据、语音、控制等应用系统提供接入方式、配线方案,从而实现系统配置灵活、易于管理、易于维护、易于扩充的目的。
2.3.3 恒温设备
由于计算机机房处于长时间连续工作状态,故机房的热负荷较大。为给计算机机房提供一个良好的工作环境,主机房区按照实际热负荷计算,需安装机房精密空调一台,其有效控制区域为主机房区,在部署精密空调设备时,需在精密空调下加装承 载体,以减轻对楼板的压力。
2.3.4 UPS备电系统
UPS主机、电池柜放置在机房主机区的配电区域内,其底部均加装承载体,以减轻对楼板的压力。
2.3.5 防雷接地
在每路电源的进线配电柜内,安装符合实际需要的电源浪涌抑制器;当市电出现较长时间的脉冲电压或瞬间大电流脉冲电压时,应能够立即把市电短路到地线,并保护负载和设备。
2.3.6 消防系统
在设备机柜的吊顶上、吊顶下及地板下均装有火灾探测器,对其全面监测、设防。
2.3.7 机房智能监控系统
机房智能监控系统监测功能如下:机房异常情况报警;实时监测及控制;交直流电压监测报警功能及UPS检测功能;精密
空调的运行状态检测;温度监控报警功能;湿度监控报警功能;浸水报警功能;烟雾报警功能;报警管理功能具有远程监控功能。
(三) 设备清单及详细参数、功能(略)
广东中诚智联信息技术有限公司是一家集设计、施工、服务于一体,专业的网络信息化技术整体解决方案提供商,主要致力于:弱电系统集成、网络安全服务两个方向。公司现有技术员工IT从业经历都超过15年,有丰富的售前、售中及售后的全方位服务经验,并以良好的信誉和全面的技术支持向各界用户提供科学先进专业的解决方案。凭借出色的技术和优质的服务,中诚智联已成为众多上市企业的安心选择。
订阅 | 合作
微信扫描二维码关注中诚智联最新动态
24小时服务热线:18602099133
官网:www.3gaf.com.cn