大型网络整改方案(精选7篇)
第 1 章 项目概述
XX 大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团,为了落实国家及集团的信息安全等级保护制度,提高信息系统的安全防护水平,细化各项信息网络安全工作措施,提升网络与信息系统工作的效率,增强信息系统的应急处置能力,确保信息系统安全稳定运行,集团参照国家等级保护标准的要求,找出系统现有安全措施的差距,为安全整改建设提供依据。
本方案针对 XX 大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。
1.1 项目目标 本方案将通过对集团网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动网络信息系统安全整改工作的进行。
根据 XX 大型制造型企业集团信息系统目前实际情况,综合考虑信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高信息系统的安全防护水平,完善安全管理制度体系。
资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产
而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
因此资产的评估是企业网络安全的一个重要的步骤,它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用为资产进行估价。
根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,明确各业务系统的关键资产,确定安全评估和保护的重点对象。
1.2 项目范围 本文档适用于指导 XX 大型制造型企业集团网络信息系统安全整改加固建设工作。
1.3 整改依据 主要依据:
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T25070-2010)
《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)
《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)
《信息安全技术 信息系统物理安全技术要求》(GB/T21052-2007)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 信息系统安全等级保护体系框架》(GA/T708-2007)
《信息安全技术 信息系统安全等级保护基本模型》(GA/T709-2007)
《信息安全技术 信息系统安全等级保护基本配置》(GA/T710-2007)
GBT 20984 信息安全风险评估规范
GBT 22239 信息安全技术信息系统安全等级保护基本要求
GBZ 20985 信息技术安全技术信息安全事件管理指南
第 2 章 安全整改原则
保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;
标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护基本要求,进行分等级分安全域进行安全设计和安全建设。
规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:服务所使用的工具、方法和过程都会与集团双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性;
整体性原则:服务的范围和内容整体全面,涉及的 IT 运行的各个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。
体系化原则:在体系设计、建设中,需要 充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。
先进性原则:为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。
服务细致化原则:在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合,结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
第 3 章 系统现状分析
3.1 系统定级情况说明 综合考虑信息系统的业务信息和系统服务类型,以及其受到破坏时可能受到侵害的客体以及受侵害的程度,已将系统等级定为等级保护第三级、根据就高不就低的原则,整体网络信息化平台按照三级进行建设。
3.2 业务系统说明 本次参加整改的共有 3 个信息系统,分别是 OA 系统、物流查询系统、智能制造系统,其中比较重要的是物流查询系统,具体情况介绍如下:
物流查询电子化管理系统(网络版)历经系统开发、模拟测试、网络、硬件设备安装部署,已经正式启动试运行工作,在试点和实施过程当中发现系统仍有不足之处,需要对系统进行深入完善和改进,其具有应用面广、用户规模大,并涉及到财政性资金的重要数据信息,以及基于公众网上部署的特性,因此系统自身和运行环境均存在一定的安全风险,在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。
3.3 安全定级情况 信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:
第 4 章 现网安全风险分析
4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构
通过网络架构分析,我们发现现网出口网络:互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。
4.1.2 缺少安全防护功能
通过网络架构分析和安全基线核查,我们发现现有的网络:互联网出口的下一代防火墙,入侵防御、web 应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。
4.1.3 弱资源控制
通过网络架构分析和安全基线核查,我们发现现网网络:链路负载、下一防火墙未设置网络的最大链接数,存在资源耗尽的风险。
4.1.4 弱设备安全
通过网络架构分析和安全基线核查,我们发现现网网络:网络设备和安全设备存在共享账号,无法实现有效的身份鉴别,未实现双因素鉴别,存在弱口令,未周期修改密码,部分网络设备未启用登录设备失败功能和密码复杂度要求,存在口令爆破的风险;未对网络设备和安全设备可管理地址进行限制,交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。
4.1.5 弱安全审计
通过网络架构分析和安全基线核查,我们发现现网网络:未配置专业日志审计设备,无法对审计记录进行有效的保护,无法定期日志长期保存和有效审计。
4.1.6 缺少安全管理中心
通过网络架构分析和安全基线核查,我们发现现网网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
4.2 主机安全风险 4.2.1 存在高风险安全漏洞
通过漏洞扫描,我们发现 OA 系统主机上存在高风险安全漏洞:OpenSSH < 7.0 存在多个漏洞等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.2 弱身份鉴别能力
通过安全基线核查,我们发现物流查询系统主机上:操作系统的密码策略、账户锁定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别,无法实现有效的身份鉴别。
通过利用弱身份鉴别能力,攻击者可以对业务系统主机进行口令爆破,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.3 弱访问控制能力
通过安全基线核查,我们发现系统主机上:操作系统管理使用 root 账户,数据库和主机是同一人管理,未能实现操作系统和数据库系统特权用户的权限分离;数据库系统开启 XDB 危险服务;存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标记;未限制登录终端的操作超时锁定时间;未设定终端接入方式、网络地址范围等条件限制终端登录。
通过利用弱访问控制能力,在攻击者拿到一部分系统访问权限后可实现越权。
4.2.4 弱安全审计能力
通过安全基线核查和网络架构分析,我们发现 OA 系统未部署专业的日志审计设备或软件,审计日志仅保存在主机本地,无法生成审计报表和自动告警。
这类弱安全审计能力,会导致系统安全事件时无法有效的记录和保存日志,影响安全事件的溯源。
4.2.5 缺少入侵防范能力
通过安全基线核查和漏洞扫描,我们发现现网系统未能够对重要程序的完整性进行检测,数据库系统和操作系统软件和补丁未及时更新,主机扫描存在漏洞。
缺少入侵防范能力,攻击者会较容易利用漏洞进行入侵攻击,系统容易遭到破坏。
4.2.6 缺少恶意代码防范能力
通过安全基线核查,我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。
4.2.7 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度;未有措施对服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况;未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.3 应用安全风险 4.3.1 存在高风险安全漏洞
通过漏洞扫描和渗透测试,我们发现相关应用系统存在高风险安全漏洞:SQL 盲注、URL 重定向、跨站脚本攻击等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得 web 应用的权限和数据,甚至获取到主机权限。
4.3.2 弱身份鉴别能力
通过安全基线核查,我们发现 OA 系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。
通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.3.3 未进行传输加密
通过安全基线核查,我们发现仓储系统上:应用系统未采用 hash 技术或者 HTTPS 协议,未能保证通信过程中数据的完整性与保密性、应用系统鉴别信息明文传输。
通过利用未进行传输加密,攻击者可嗅探网络数据窃取到应用传输消息,甚至是用户鉴别信息、个人信息等敏感信息。
4.3.4 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统:系统未对单个账户的多重并发会话进行限制;未能够对系统服务水平降低到预先规定的最小值进行检测和报警。
缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.4 数据安全和备份恢复风险
4.4.1 缺少数据完整性和数据保密性能力
通过安全基线核查,我们发现三个系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。
缺少数据完整性和数据保密性能力,容易导致数据被篡改和数据泄露的风险。
4.5 管理安全风险 4.5.1 缺少维护手册和用户操作规程
通过管理体系检查,我们发现现网的管理体系缺少网络设备、安全设备、主机系统、应用系统、数据库的维护手册和用户操作规程等。
4.5.2 缺少执行记录和审批记录文件
通过管理体系检查,我们发现现网管理体系缺少各项信息安全关键事项的执行记录和审批记录文件,如:备份恢复执行记录和审批记录、变更执行记录和审批记录、防恶意代码检查记录执行记录和审批记录文、漏洞检查执行记录和报告、日志审计执行记录和报告、补丁升级执行记录和审批记录文、安全事件处理记录和审批记录文、培训记录和考核记录、应急演练执行记录和报告等。
4.5.3 缺少管理体系评审和修订
通过管理体系检查,我们发现管理体系缺少未定期对 ISMS 管理体系的合理性和适用性进行评审和修订,以及 ISMS 执行和落实情况进行检查和审核。
4.5.4 缺少总体建设规划和详细设计方案
通过管理体系检查,我们发现 ISMS 管理体系 未根据企业的安全需求和安全目标,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略设计总体建设规划和详细设计方案,并形成配套文件。
4.5.5 工程验收和交付缺少部分环节
通过对管理体系检查,我们发现 ISMS 管理体系 未在工程的测试验收缺少必要安全性测试和安全报告,在工程交付中未未进行运维手册的定制。
4.5.6 未定期进行应急演练
通过管理体系检查,我们发现 ISMS 管理体系 未在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容,并定期进行应急演练及事后教育和培训。
4.5.7 未定期进行安全评估和安全加固
通过管理体系检查,我们发现 ISMS 管理体系未定期进行恶意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安全评估及风险整改。
4.5.8 缺少安全管理中心
通过网络架构分析、安全基线核查和管理体系检查,我们发现整体网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
第 5 章 安全需求分析
5.1 安全计算环境需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全计算环境的要求,还需要满足以下需求:
主机防病毒:该信息系统缺少主机防病毒的相关安全策略,需要配置网络版主机防病毒系统,从而实现对全网主机的恶意代码防范。
数据库审计:该信息系统缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒主机:该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证,需要部署堡垒机来实现。
备份与恢复:该信息系统没有完善的数据备份与恢复方案,需要制定相关策略。同时,该信息系统没有实现对关键网络设备的冗余,建议部署双链路确保设备冗余。
5.2 安全区域边界需求分析
根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全区域边界的要求,还需要满足以下需求:
边界访问控制:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界入侵防范:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界恶意代码过滤:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
防 web 攻击:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
安全域边界安全审计:该信息系统无法实现对边界的访问控制,需要部署署网络安全审计等安全设备来实现。
互联网出口安全审计:该信息系统无法实现对边界的访问控制,需要部署行为管理等设备来实现。
5.3 安全通信网络需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全通信网络的要求,还需要满足以下需求:
通信完整性和保密性:该信息系统无法实现对边界的访问控制,需要部署 SSL VPN 等安全设备来实现。
流量管理:该信息系统无法实现对边界的访问控制,需要部署流量管理系统等安全设备来实现。
5.4 安全管理中心需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全管理中心的要求,还需要满足以下需求:
统一日志平台:该信息系统无法实现对相关网络及安全设备的日志审计功能,需要部署日志审计系统来实现。
统一监控平台:该信息系统无法统一展示边界的安全威胁情况,需要部署安全感知平台等来实现。
统一管理平台:该信息系统无法实现对边界的访问控制,需要部署运维堡垒主机来实现。
第 6 章 总体安全设计
6.1 总体设计目标 本次安全等级保护整改方案设计的总体目标是依据国家等级保护的有关标准和规范,结合现网信息系统的现状,对其进行重新规划和合规性整改,为其建
立一个完整的安全保障体系,有效保障其系统业务的正常开展,保护敏感数据信息的安全,保证信息系统的安全防护能力达到《信息安全技术 信息系统安全等级保护基本要求》中第三级的相关技术和管理要求。
6.2 总体安全体系设计 本项目提出的等级保护体系模型,必须依照国家等级保护的相关要求,利用密码、代码验证、可信接入控制等核心技术,在“一个中心三重防御”的框架下实现对信息系统的全面防护。
安全管理中心
安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台,是信息系统做到可测、可控、可管理的必要手段和措施。依照信息系统等级保护安全设计技术要求中对安全管理中心的要求,一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中心应至少包含以下三个部分:
系统管理
实现对系统资源和运行的配置。控制和管理,并对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
安全管理
实现对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略,确保标记、授权和安全策略的数据完整性,并对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
审计管理
实现对系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录应进行分析,根据分析结果进行处理。此外,对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
此外,安全管理中心应做到技术与管理并重,加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度,规范安全管理操作规程,建立完善的安全管理制度集。
安全计算环境
参照基于可信计算和主动防御的等级保护模型,安全计算环境可划分成节点和典型应用两个子系统。在解决方案中,这两个子系统都将通过终端安全保护体系的建立来实现。
信息安全事故的源头主要集中在用户终端,要实现一个可信的、安全的计算环境,就必须从终端安全抓起。因此,依照等级保护在身份鉴别,访问控制(包括强制访问控制)、网络行为控制(包括上网控制、违规外联的控制)、应用
安全、数据安全、安全审计等方面的技术要求,可充分结合可信计算技术和主动防御技术的先进性和安全性,提出一个基于可信计算和主动防御的终端安全保护体系模型,以实现从应用层、系统层、核心层三个方面对计算环境的全面防护。
安全区域边界
为保护边界安全,本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能:信息层的自主和强制访问控制、防范 SQL 注入攻击和跨站攻击、抗 DoS/DDoS 攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟,因此,在本次系统整改总体设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审计系统、IDS、IPS 等有机地结合在一起,实现协同防护和联动处理。
此外,对于不同安全等级信息系统之间的互连边界,可根据依照信息流向的高低,部署防火墙或安全隔离与信息交换系统,并配置相应的安全策略以实现对信息流向的控制。
安全通信网络
目前,在通信网络安全方面,采用密码等核心技术实现的各类 VPN 都可以很有效的解决这类问题,达到在满足等级保护相关要求的同时,可灵活提高通信网络安全性的效果。
6.3 安全域划分说明 安全域的划分是网络防护的基础,事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命,具有不同的功能,分域保护的框架为明确各个域的安全等级奠定了基础,保证了信息流在交换过程中的安全性。
在本项目中,将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域,将划分如下几个区域:
互联网接入域,该区域说明如下:
在网络出口需提供流量清洗设备实现对 DDOS 等异常流量的清洗,链路负载自动匹配最优线路,保障网络可用性的同时实现快速接入;需在互联网出口边界利用防火墙进行隔离和访问控制,保护内部网络,利用 IPS 从 2-7 层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击;需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验。
办公网区域,该区域说明如下:
安全域内的终端上需具备防恶意代码的能力,并对接入内网的用户终端进行访问控制,明确访问权限以及可访问的网络范围。
DMZ 区,该区域说明如下:
该安全域内主要承载对外提供服务的服务器等,包括门户网站前端服务器、Web 业务服务器等。需在 DMZ 区域边界设置访问控制策略,并具备应用层攻击检测与防护能力、防篡改能力,同时也需要保证访问量较大的服务能够保持健康、稳定的运行。
服务器区域,该区域说明如下:
该安全域内主要承载内网核心业务信息系统,包含本次需过等级保护测评的 3 大信息系统,需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力,如 SQL 注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie 篡改等;需对存储业务信息系统产生的数据访问权限进行划分,并对数据的相关操作进行审计;需对敏感或重要数据进行备份。
综合安全管理区域,该区域说明如下:
该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计;用于监控内网安全域之间的流量,对流量中的威胁进行实时检测并统一呈现 ;对资产及其可能存在的漏洞进行扫描。
第 7 章 详细方案技术设计
7.1 物理和环境安全保障
“物理和环境安全保障体系”是支撑整个信息网应用系统的基石。其作为网信息安全管理体系建设的重要组成部分,必须依据《信息系统安全等级保护基本要求》对物理安全的有关要求,并结合信息化大集中、大整合、高共享的建设实际,不断扩展和变化,以满足信息化建设对基础设施保障和设备、数据安全的需求。
物理安全保障体系建设规划与应用的发展有着紧密的联系,其设计方向必须紧贴应用发展的实际需求,以机房的基础设施和安保系统的完善建立物理层面的保障和安全管控。在基础设施方面扩容机房的综合布线、电气配线、动力系统、制冷系统,使应用部署不再受到机房、功能区域的限制,消除物理空间上的限制,让系统的建设更加灵活且具有高度的可扩展性。在物理安保方面进一步加强对人员的管控,通过整合现有安保资源,形成多元化的安保防控一体化构件,达到对资产的全面管理和安全防护。
1、供配电系统
各级网络机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断,做到无单点失效和平稳可靠,这就要求两路以上的市电供应,足够后备时间供电的 N+1 冗余的 UPS 系统,还有与机房供电系统匹配的自备发电机系统。
2、防雷接地
要求机房设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。
3、消防报警及自动灭火
为实现火灾自动灭火功能,应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。
4、门禁
各级网络机房应建立实用、高效的门禁系统,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合,形成统一授权,分区管理的集中监控模式。
5、保安监控
各级网络机房的保安监控包括几个系统的监控:闭路监视系统、通道报警系统和人工监控系统,必要情况要求记录集中存储。
6、一体化的安保系统集成
机房应将门禁管理、视频监控、人员身份鉴别、人员行为管控、资产管控等多个基本安保元素进行一体化集成,遵循安全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形成完善的安保防控体系。
7.2 网络边界安全管控 网络边界安全管控体系从网络整体结构、网络层边界管控措施、网络安全防护及监测、主机边界管理等几个方面来设计。
7.2.1 网络安全域设计
在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护,应进行安全域的划分、结构安全、边界整合以及防护策略设计。
在理顺了信息系统访问控制关系的基础上,结合信息安全体系框架安全域划分部分的内容,以及信息系统本身的业务特点和安全要求,建立 XX 企业客户的安全域模型,从交换域、计算域和用户域划分安全域模型,提出具体解决方案及实施建议。
7.2.2 制定访问控制策略
根据信息系统网络访问关系梳理得到的相关结果,以及对于安全域划分结果进行分析,从大的方面制定各个安全级别之间的访问控制策略和安全防护措施(各种安全产品的部署),从小的方面制定同一个安全级别各个系统之间以及各个具体的安全域之间的访问控制策略。
7.2.3 网络安全防护管理
网络访问控制是防止对网络服务的未授权访问,根据安全域划分和访问控制策略在信息网络接入边界、核心边界实施访问控制;网络入侵检测(NIDS)是对信息系统的安全保障和运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入侵检测系统,监控所有进出服务器网段的流量,并对核心信息系统中的安全事件进行实时监控,发现和对各种攻击企图、攻击行为或者攻击结果进行告警,从而使整个信息系统的网络入侵防范更为完善;终端准入控制机制从终端层到网络层,再到应用层和边界层,提供了
客户端准入、网络准入和应用准入等多种准入控制手段,确保只有通过身份验证和安全基线检查的办公终端才能接入内网并进行受控访问,对非法的或存在安全隐患的办公终端进行隔离和修复,构建出完善的 “ 内网安检系统 ”,从源头上有效减少内网安全漏洞。
边界出口处采用防火墙技术进行严格的链路访问控制,并能承载高会话数转发和会话状态控制。
核心计算域的访问控制通过核心交换机进行区域划分,然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控,细化到 IP+ 端口细粒度的级别。
在出口增加防火墙加网络病毒检测防护,提升网络边界的恶意代码的防护。
7.3 终端主机安全管理 相关的安全接入基线要求为日常管理提供必要的安全底线,避免祼机运行或带“病”运行。应用系统主机安全在其相关的章节中描述。
应监控办公终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的 安全基线 不能满足要求的情况,该办公终端的网络访问将被禁止。此时启动自动修复机制,或提示终端用户手工进行修复。待修复完成后,办公终端将自动得到重新访问网络的授权。
终端安全加固
通过禁用系统 Autorun(自动播放)、禁用终端的账号和共享的匿名枚举、禁用终端的可匿名的共享、禁用 Windows 系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows 远程桌面、禁用启用系统自带的 DEP 功能(数据执行保护)、并可禁止对终端网卡属性进行修改,避免用户违规修改网卡的 IP、MAC、网关地址等属性,对终端操作系统进行安全加固,防止终端用户误操作,并有效预防蠕虫病毒和木马对办公终端带来的攻击。
除此之外,还提供丰富多样的自定义安全策略,可以用于对终端进行安全加固。例如可以通过检测特定文件或指定程序是否存,来检查终端是否有隐藏的木马或病毒;通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在,来检查终端是否存在隐藏的木马或病毒的可能,并可以通过对指定注册表项,进行保护,防止被木马或病毒恶意对其进行修改,从而达到控制终端的可能。
还可以根据公司内网要求,检查终端是否按照要求加入或登录指定的 AD 域,如果没有按照要求加入或登录域,还可以将其进行安全隔离,使其无法访问网络,保证单位域管理的有效实施。
进程红白黑名单管理
在现网网络环境中,办公终端软件环境的标准化能为桌面运维管理带来多方面的效益:能够降低桌面维护的复杂程度,确保关键软件在办公终端的强制安装与使用,同时通过禁止运行某些软件来提高工作效率。
进程管理通过定义办公终端进程运行的红、白、黑名单,实现自动、高效的进程管理功能,完全覆盖用户对进程管理的要求。进程管理,无论是进程红名单、黑名单还是白名单,都可以通过设置 MD5 码校验的方式检查进程名,防止用户对程序改名逃避安全检查。
在进程管理中所定义的红名单、白名单和黑名单的详细定义如下:
进程红名单:
办公终端必须运行的进程清单,是 “ 进程白名单 ” 的子集;
进程白名单:
办公终端能够运行的进程清单;
进程黑名单:
办公终端禁止运行的进程清单。
7.4 核心应用系统安全保护 核心应用系统的安全应从安全预警、安全管控和安全溯源三个方面来的保障,具体来说应做到事前的安全漏洞的检查、安全配置基线核查的安全风险预警,事中的严格边界访问控制、事后的网络业务审计、综合日志审计在内的业务溯源。
漏洞扫描及配置核查
据“全球信息安全调查”的数据,当前面临的最大安全挑战是“预防安全漏洞的出现”,在日益复杂的网络环境和层出不穷的安全威胁面前,手工的漏洞管理工作几乎是不可想象的,尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具来识别和修补漏洞。
应根据“发现—扫描—定性—修复—审核”的安全体系构建法则,综合运用多种国际最新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。
由于服务和软件的不正确部署和配置造成安全配置漏洞,入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和各种安全威胁事件的不断发生,越来越多的安全管理人员已经意识到正确进行安全配置的重要性。但是随着业务系统网络结构越来越复杂,重要应用和服务器数量及种类繁多,很容易发生安全管理人员的配置操作失误造成极大的影响。基于安全配置最低标准的安全配置基线检查就应运而生。
通过安全配置核查管理系统对于设备入网、工程验收、日常维护、合规检查等方面展开合规安全检查,找出不符合的项并选择和实施安全措施来控制安全风险。检查范围包括主流的网络设备、安全设备、数据库、操作系统和应用系统等,检查项包括:账号、口令、授权、日志、IP 协议和设备专有配置等内容。
核心边界业务访问控制
在核心的网络边界部署访问控制设备启用访问控制功能,根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力,控制粒度为端口级,应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET 等协议命令级的控制;在会话处于非活跃一定时间或会话结束后终止网络连接,限制网
络最大流量数及网络连接数,对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要应用系统主机。
运维审计
因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如 root 账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。
无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。
业务数据审计
信息网络的急速发展使得数据信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。数据库的安全威胁主要来自两个方面,一方面来自外部的非法入侵,黑客针对业务系统或者数据库漏洞,采取各种攻击手段,篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防。而另一方面的威胁来自内部,内部员工的恶意
破坏、违规操作和越权访问,往往会带来数据的大量外泄和严重损坏,甚至导致数据库系统崩溃。而且,这些操作往往不具备攻击特征,很难被普通的信息安全防护系统识别出来,就更加防不胜防,迫切需要一种行之有效的手段来进行防护。
围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是 IT 治理人员和 DBA 们关注的焦点:
管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。
技术层面:除了在业务网络部署相关的信息安全防护产品(如 FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。
不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。
网络安全审计系统(业务网审计)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。在网络层通过对业务人员访问系统的访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
7.5 数据安全建设 健全现有数据备份平台系统,并着手建立异地备份平台。
数据安全及备份恢复建设目标
根据等级保护前期调研结果,结合 对三级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案,进行数据安全和备份安全等级保护建设与改造。
数据完整性、数据保密性
三级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应完善以下几点:
系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密,确保信息在传输过程中的完整性和保密性;
系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密,保证信息在存储过程中的完整性和保密性,存储过程中检测到完整性错误时需采取必要的恢复措施。
建设方案:
采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。加密技术需满足以下要求:
o 密钥的安全管理:需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程和程序非相关组件访问到。
o 证书验证:数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别,且不接受或继续使用非法的或者无效的证书。
备份和恢复
三级系统数据备份和恢复与等级保护要求存在一定的差距,应完善以下几点:需提供本地数据备份与恢复功能,完全数据备份需每天一次,备份介质场外存放;必须提供异地数据备份功能,关键数据需定时批量传送至备用场地。
建设方案:
健全现有数据备份平台系统,完善《备份系统运行管理制度》内容,在现有内容上,需增加对三级系统备份周期要求(本地备份需每天一次)。备份介质场外存放,本地备份数据需提供恢复功能,并定期进行恢复测试。
建立异地备份中心,定期对各业务系统数据进行异地备份,对于重要的业务系统应进行实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密性,加密方案使用数据完整性和保密性相关措施。
第 8 章 详细方案管理设计
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
8.1 总体安全方针与安全策略 总体安全方针与安全策略是指导集团所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。本次项目中将协助集团确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责以及安全策略,建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落实性。
本次设计的 总体安全方针与安全策略 将具备以下特性:
o 安全策略紧紧围绕行业的发展战略,符合实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
o 总体安全方针与安全策略 中将明确阐述所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。
o 安全策略在经过信息安全决策机构批准之后,将具备指导和规范信息安全工作的效力。
o 安全策略中将规定其自身的时效性,当信息系统运行环境发生重大变化时,我方将协助及时对总体安全策略进行必要的调整,并将调整后的策略提交信息安全决策机构批准。
8.2 安全策略和管理制度 根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
8.3 安全管理机构和人员 根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
8.4 安全建设管理 系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
8.5 安全运维管理、环境和资产安全管理制度
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。、设备和介质安全管理制度
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。、日常运行维护制度
随着医院信息网规模的逐渐扩大和各种应用的不断增加和深化,网络系统越来越庞大,网络环境也变得越来越复杂,运行中出现了网络性能下降、不时遭受计算机病毒的滋扰和网络攻击等问题,影响了医院信息网的正常使用[1]。在充分考虑网络技术发展并结合医院业务发展的背景,我院于2010年对网络系统进行了全面升级,合理调整了网络架构,取得了良好的效果。下面根据医院普遍存在的问题,探讨改造医院计算机网络的具体方案。
1 医院网络改造需求
以往的信息网络存在以下缺陷[2]:(1)网络布局不合理;(2)信息点严重不足;(3)网络骨干的带宽过窄;(4)核心网络设备不具备容错功能;(5)核心网络设备的可扩展性、可管理性差。
新的信息网络目标:医院信息化建设以患者诊疗信息和医疗质量为中心,实现医院医疗、教学、科研及信息的网络化管理。从应用系统的角度来看,网络系统应具有较高的数据处理能力,能满足数字化医院大规模数据采集、存储、传输、处理、共享等需要。
2 网络的设计与规划
网络系统的设计要有灵活的扩展能力,要充分考虑医院信息系统未来几年的发展需要;网络系统应具有数据的全方位安全防护措施,防止病毒、外部入侵和黑客攻击;在实现各项功能基础上,应充分利用现有资源,节省投资、统一规划、分步实施,真正满足高速、稳定、可靠、网络系统安全、易管理及网络无故障升级等性能要求。简而言之,以实用性、先进性、开放性、可扩展性和安全可靠性为建网的主要原则[3]。综合各种网络技术的特点,综合考虑到医学信息对网络传输速度和传输带宽的具体要求,以及目前网络技术发展的趋势和网络的可扩展性,可以采用以光纤为主要数据干线、6类非屏蔽双绞线(UTP)为水平传输介质的高速以太网,主干网络符合TIA/EIA-568B CAT6的性能要求,传输频宽达350 MHz,对语言和视频的传输都可以达到较好的效果。
3 网络架构改造方案
网络是医院信息系统(HIS)得以稳定、快速运行的基础,网络建设不但要考虑目前系统的要求,更要为今后的发展保留足够的可扩充余地。既要满足门诊、住院等系统的数据量传输需求,又要为PACS等大数据量传输的系统做好准备。针对我院目前的网络状况,结合医院信息化建设的发展趋势,网络改造采用流行的三层网络架构方案,全面升级为1 000 MB交换式以太网。
3.1 网络结构设计
3.1.1 网络核心层
通过更换网络中心交换机和楼宇交换机构成医院的网络核心层。网络主干线布设可有2种方案[4]:(1)利用原有的光纤进行升级,核心层部署1 000 MB网络交换设备,增加带宽,以提高网络传输速率;(2)重新铺设网络中心至各楼宇1 000 MB光纤,全面提升为1 000 Mbit/s快速以太网。
3.1.2 网络分布层
楼宇的层间视为网络分布层,楼宇交换机采用1 000 MB光纤接入。根据实际情况决定楼宇交换机至楼层交换机的连接,楼层信息点多,可采用1 000 MB光纤引入各楼层交换机,反之,可采用超5类双绞线100 MB引入到楼层交换机。
3.1.3 网络访问层
根据医院规划和各建筑物的医疗功能布局,全面扩容访问层网络信息点,采用1 000 MB光纤介入楼层交换机,通过水平布线系统100 MB交换到桌面。为保护利用原有资源,对于访问量不大的信息点,可以考虑采用10 MB HUB或10 MB Switch到桌面。
3.2 对网络布线的要求
针对医院目前的网络现状,我认为对网络布线应遵循“总体规划、分步实施、水平布线尽量到位”的设计原则。在网络结构上,采用楼宇结构化综合布线设计,尽量做到局部设计一步到位,减少日后的反复施工。
布线工程质量控制、网络工程质量控制,是工程组织和工程实施过程中十分重要的环节。网络建设应注意进行科学设计和规范化管理。必须按照国家有关智能化建筑中弱电系统施工的标准和技术规范对工程进行设计、施工和验收。
3.3 设备选择[5]
目前,以太网交换技术的主要特点集中体现在高速度、高带宽、能适应不同的网络规模和提供服务质量保证上,能满足Internet/Intranet发展所需的高性能。
核心层交换设备的选择应考虑以下指标:(1)提供10100/1 000 Mbit/s速率;(2)提供线速度IP路由功能,网络能简便地扩展到几百个上行用户;(3)服务质量(Qo S)采用包括带宽管理、优先级、拥塞控制和带宽预留技术,有基于策略的服务质量保证;(4)支持多种容错功能及基于策略的Qo S功能;(5)既具有三层交换功能,又具有端口中断能力;(6)支持VLAN功能、全双工/半双工操作,支持多生成树,支持远程管理。
访问层交换设备的选择应考虑以下指标:(1)采用直接转发或存储转发技术;(2)交换机数据交换延长时间;(3)交换机提供的可管理功能;(4)端口提供的MAC地址数;(5)交换机智能化管理功能;(6)提供扩展树算法或其他算法,检测并限制拓扑环;(7)允许端口同时收/发,全双工通讯;(8)提供高速端口连接关键业务服务器或上行主干;(9)支持VLAN功能,支持多生成树,支持远程管理。
4 网络改造工程
4.1 网络主干改造
采用6芯单模光缆重新铺设网络中心至各楼宇的主干光纤,在网络核心层和网络分布层接入1 000 MB的网络交换设备,全面提升医院主业务网络的传输速率。
4.2 网络分布层改造
由于医院目前大多数楼宇在结构设置上没有设置弱电井和网络间,因此,在楼宇干线布设和设备安放地点选择上应根据楼宇结构,遵循既安全可靠又方便维护、不破坏大楼原设计功能的原则,在满足综合布线技术规范的前提下,尽可能简化网络分布结构。
4.3 网络设备改造
设备选型应考虑因素:(1)根据医院网络应用及今后4~5 a内网络设备技术储备的应用空间,选择网络设备类型;(2)主干交换机应能满足今后一段时期内医院业务扩展的需要;(3)网络中心交换设备光/电接口应满足应用要求,并有端口冗余;(4)楼宇工作组交换机具备1 000 Mbit/s上连端口及10/100 Mbit/s自适应接入端口;(5)所有交换机应具备智能管理功能,可进行网络远程控制管理。
设备选型:(1)核心交换机。在实际改造升级方案中选用CISCO 4507R-E机箱式带扩展插槽交换机,既有无阻塞的第三层交换、Qo S功能,又有事务优先级设置、组播过滤、VLAN、多点链路聚合等功能;≥48 Gbit/s的交换矩阵,实现无阻塞的网络交换性能并确保不间断运行;智能化网络管理功能;≥240 Gbit/s容量的背板速度。(2)楼宇交换机。由于在楼宇网络布局结构上基本采取设备集中管理的模式,在改造升级方案中,选用3COM Super Stack 3Switch 4400访问层交换机,通过1 000 MB光纤接口直接上连核心交换机,交换机配有24或48口10BASE-T/100BASE-TX自适应端口,1 000 MB上行光线端口;既有网络质量服务(Qo S),实现流量的优先级和带宽预留功能,又支持热插拔堆叠,便于维护和扩展;交换机结构性能≥17.6 Gbit/s交换能力,≥10.1 Mbit/s转发速率。
5 讨论
在医院信息网络系统改造方案设计中,应以总体发展的眼光规划系统的建设,不能只满足当前使用的要求,适当超前可为医院信息化建设的持续发展奠定一个长久坚实的基础。医院网络布局中内部的业务网与外部的互联网之间应实行隔离,以防止病毒入侵造成对医院关键数据的破坏。
6 结语
我院通过对网络改造的精心准备、合理规划、分步实施,加之医院领导对信息化建设的大力支持,使得医院网络改造工程项目的实施取得了预期的效果[6]。网络改造后,为医院信息系统的稳定运行提供了良好的运行环境,提高了系统的运行效率,减少了信息系统的运行故障,有效地确保了医院各网络站点稳定、可靠和高效的运行,满足了我院对未来信息化发展的需要,取得了良好的社会效益和经济效益。
参考文献
[1]梁建新.构建医院网络信息安全体系的建议[J].医疗设备信息,2004,19(8):17-18.
[2]任忠敏.数字化医院中的网络改造建设[J].医学信息,2007,8(20):1 313-1 315.
[3]柳明.医院信息系统安全策略探讨[J].医疗卫生装备,2011,32(3):47-49,51.
[4]郑蕾,翁盛鑫,黄影.医院信息系统客户端的安全管理和实践[J].医疗卫生装备,2010,31(3):62-63.
[5]徐艳.数字化医院建设[J].中国医疗器械信息,2006,12(7):73-75.
关键词:大型网络游戏;平台架构;集群;多层
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)12-21579-02
A Four-tier Large Network Game Platform Architecture Based On Distributed Cluster Technology
FU Dong-lai,KUANG Hua
(Department of Computer Science & Technology, North University of China,TaiYuan , 030051)
Abstract:there are two factors which determine the success or failure of the game. One is Interesting game itself .Another is a stable, efficient network game platform structure Based on the analysis of large-scale online games network of the actual operating environment, this paper proposed a technology-based clustering of large multi-tier network game platform architecture and introduced the layers of detail design and server deployment scenarios. Finally this paper give a 20,000 people simultaneously online server deployment program.
Key words:Large network game;platform structure;clustering;multi-tier
1 课题研究背景
网络游戏就是以互联网为媒介,可以多人同时参与的电脑游戏,人们通过互动达到交流、娱乐和休闲的目的。当前,大型多人在线角色扮演类游戏是最受玩家喜欢游戏类型,这种游戏构筑了一个有基本健全的社会体制和经济系统的虚拟世界,玩家在游戏虚拟世界中扮演特定角色,通过自己的游戏技能及其它各方面投入实现自己所扮演的角色在游戏虚拟社会中的生存和成长并参与游戏虚拟世界的人际沟通及社会活动等。市场上知名的《魔兽世界》、《传奇》系列等游戏都属于这一类型。近几年,随着社会生活节奏的不断加快,越来越多的人选择通过“网游”的形式缓解压力。上海征途网络科技有限公司在2006年10月28日宣布,旗下大型角色扮演类网络游戏《征途》最高同时在线人数达到63.42万人。于是,面对如此庞大且仍在飞速增长的网络用户群,如何架构能适应海量用户访问的游戏平台,就必然成为网络游戏开发商的重点研究的对象。本文就是研究这种大型多人在线角色扮演类游戏平台架构设计的核心技术。
2 平台整体架构解决方案
2.1大型游戏的实际运行环境
在大型游戏中,实际需要处理的玩家数量往往过万甚至几十万,一台普通的服务器是无法完成所要完成的工作。因此,通常是要由一组多台服务器共同完成一个完整游戲世界的功能,即“战区”的概念。一个战区实际上就是由多台服务器构成的一个集群系统,每个玩家所处的游戏世界就是一个战区。由于一个战区所能容纳的玩家数量是有限的,因此,针对海量级的玩家,我们可以把玩家分散到不同的战区中去,以满足玩家数量的增长。同时,为使玩家体验到更快的响应速度,对服务提供商来说节约网络带宽,降低成本。服务器群必须分布式部署。大量的服务器群构成一个完整庞大的分布、协作的游戏系统,这样一个复杂的系统必然会涉及到服务器间复杂的数据通信与管理。因此,构架一个安全、稳定、高效的游戏平台有着非常重要的意义。
2.2平台整体架构方案描述
平台总体上采用基于集群技术的分布式四层网络游戏平台架构,具体描述如下:
(1)表示层:用户接口部分,担负用户与应用间的对话功能。检查用户从键盘或其它终端设备上输入的数据,接收应用服务输出的数据。用户输入的数据通过通讯平台传入功能层。
(2)通信层:负责游戏服务器和客户端之间数据交换的服务器,管理所有的玩家和游戏服务器连接,并且负责客户端的登陆登出,记费校验等工作。
(3)功能层:实现网络游戏世界中的所有业务处理逻辑,而处理所需的数据是从表示层或数据层取得的。在这一层的设计中,我们尽可能保持表示层和功能层之间的数据交换的简洁,避免进行一次业务处理,在表示层和功能层进行多次数据交换。在功能层中包含有确认用户对应用和数据库存取权限的功能,以及记录系统处理日志的功能。该层可分为数据库和游戏服务模块。游戏服务模块设计为一个个单独的子系统,即游戏的战斗系统、任务系统、寻路系统等等,用来处理游戏世界中的业务。数据库服务模块是网络游戏连接数据库读取玩家信息和战区信息、存取玩家档案的接口,并且肩负着监视战区运行状态的任务,提供与数据库连接管理、数据读写等功能。游戏服务模块实现具体的应用逻辑。平台的通信服务器收到玩家的操作请求后,转换成对数据库或游戏服务模块的请求,调用相应的服务模块处理请求并将结果返回给通信服务器。
(4)数据层:负责存放并处理所有玩家资料及其相应的数据,采用通用的大型关系数据库系统。从处理能力和容错的角度考虑,硬件应该采用高可用性系统。
2.3平台功能结构划分
平台功能从网络结构的角度可以分为三个部分:系统服务模块、受控安全模块和启动平台模块。系统服务模块包括数据库、数据库接口、游戏场景服务器、网关服务器、列表服务器、入口服务器、角色存盘接口及存盘服务器、第三方合作接口和游戏计费系统;受控安全模块包括数据库接口服务监控端、存盘服务器信息查询工具、游戏管理员工具、计费系统监控、平台配置系统和WEB服务(帐户站、玩家论坛和游戏官方网站);启动平台模块包括平台初始启动程序、列表程序、游戏客户端和下载工具。
2.4数据存储层设计
数据库设计是很大程度上决定应用程序的质量和成功与否,并关系着整个平台的功能和效率。平台根据网络游戏的逻辑功能要求,可将数据库系统分为游戏数据库、用户数据库、游戏日志数据库三个数据库。其中游戏数据库主要处理游戏业务逻辑,存储游戏内容相关的数据,像角色信息、战区配置信息等,同时也处理与角色相关的计费问题;游戏日志数据库主要处理日志数据和外挂数据,存储外挂封停记录、日志数据,像外挂封停名单、封停日志等;用户数据库主要处理玩家帐号信息和费用管理。
3 具体模块设计
3.3系统服务模块
系统服务模块就是一个服务器集群,在网络游戏中称为战区,服务器群内的服务器按照功能可划分为数据库、网关服务器、游戏服务器、角色存盘接口及存盘服务器、列表服务器、入口服务器等。每组战区服务器根据战区人数的多少可以灵活的改变战区的逻辑结构。系统服务模块各服务器功能描述如下:
(1)数据库:为战区提供数据存储空间和数据操作的特定环境,是其他一切服务的基础。
(2)数据库接口:是战区连接数据库读取玩家信息和战区信息的接口,并负责监视战区运行状态的任务。
(3)网关服务器:是整个游戏的网关,玩家和游戏世界的消息通过网关服务器传递,并且由其判断消息的正确性和过滤非法消息,负责客户端的登陆登出,计费校验等工作。该服务器处理的消息量很大。
(4)游戏服务器:负责打开游戏场景,并处理玩家在游戏过程中的操作。通常该服务器的实际承受人数在千人左右。
(5)角色存盘接口:根据游戏服务器的需求存取玩家档案。目前角色存盘接口服务器常用于存储帮派信息、玩家在游戏中的活动记录等。这是整个游戏世界的核心部分,其数据需要重点保护。
(6)入口服务器:负责引导寻找列表服务器,具有分压功能,能自动寻找较闲置的列表服务器,分担玩家请求战区列表的压力。
(7)列表服务器:游戏世界的入口,它的作用是从数据库中读取列表信息,显示战区列表。维护人员可通过开关列表服务器或更改数据库中的开关来控制玩家登陆游戏。
3.4受控安全模块
网络游戏平台的特点有两多,一是服务器多,并且分布在全国各地;二是服务多,有数据库服务、web服务、平台的DBI、Gate服务等。平台管理员要管理这些服务器主机和起停主机上的服务等一些繁琐的工作,当服务器达到一定数量的时候,这些工作会变得庞大而且容易出错。并且对主机的资源状态、性能和服务的负载等等情况都没有很好的办法获得。所以在这样的情况下,就需要监控管理界面来完成实时监控和自动化操作。
同时网络游戏平台需要给玩家提供一个注册、交流、帐户操作的地方,给第三方提供开展业务合作的接口。这些需求通过WEB来实现。受控安全模块就包含这些功能,主要分为WEB应用、管理和监控这两个部分,此处不再详细描述。
3.5启动平台模块
游戏启动平台是指启动游戏的一些客户端和服务器程序其中包括启动界面、显示列表服务的界面、升级程序、升级提示程序、列表服务器、入口服务器。其主要流程:用户通过启动界面访问入口服务器,由入口服务器通知界面应该连接的列表服务器;确定列表服务器后,通过列表服务器列取战区列表;选择战区后,界面可获得其ip和端口,并进行版本升级控制,并引导玩家登录;登录成功后界面将启动游戏客户端;游戏客户端根据参数连接网关服务器并进入游戏世界开始游戏。
3.6容灾与安全方案
作为大型网络在线系统必须考虑容灾及安全方案。平台中采用的容灾方案的基本思想是:生产环境的两台服务器,组成一个本地的双机热备环境,热备份实现交易日志双机备份。当本地的一台服务器发生故障时,应用会自动切换到本地另外一台服务器上。在备份地点,由一台服务器作为备份服务器。当生产环境中的两台服务器都不能工作时,灾备中心的服务器自动启动应用,恢复正常的生产环境。
本平台从以下几个方面保证平台的安全:统一管理登陆服务器的用户,记录用户登陆服务器的详细信息,将所有服务器设置安全策略,限制只有VPN服务器的IP地址才可以登陆。用来阻止除VPN服务器以外的计算机登录平台;对非法外挂、帐号盗用提供投诉管理机制;对数据核查,通过全面完整的日志纪录,平台系统可以对业务、操作等进行核查工作,及时发现管理问题,保证系统安全;在各个环节的任何两点之间都采用加密算法保护数据安全;对于像通讯平台这种接入的关键节点,对客户端连接进行安全性检查,验证身份的有效合法性;在数据的存储过程中,对于高安全性数据,采用加密存储的方式进行存储,以最大程度地保证客户交易的安全性和員工操作的安全性;内置的双机热备份功能和建立专门的灾备中心,保证系统可靠运行;应用服务器、通讯服务器、数据服务器以集群方式运行,保证系统不应单点故障失效;将对用户、员工、游戏管理员等所有对系统进行操作的权限控制集中到数据中心;实时监控网关服务器、数据库接口、异常事件等等的,及时发现处理机和应用服务器故障,减少停机时间,防止业务管理问题。
4 方案的特色
稳定、可靠:平台设计采用分组的方式,用一台角色存盘接口服务器、二台游戏服务器、一台网关服务器组成一个网络组,用很多不同的小组分散开满足前端的游戏请求,对集中计算的一些工作,可以被分配到后端不同的小组中,这些小组共同组成一个功能强大的系统平台。而在每一个小组中,不同的服务器各司其职,前端的网关认证服务器负责接入、经过负载均衡算法后把用户引入到合适的游戏服务器,最大限度地发挥设备的功能,满足在线用户的游戏需求。
可扩展性、可维护性:由于玩家数量的多少关系到一款网络游戏的成败,因此平台就要有可扩展的机制来满足越来越多的在线人数。平台通过采用同时开放多个战区或者改变战区的逻辑结构以提高承载在线人数。
高安全、易管理:系统设置为内、外网。外网主要实现与网络上用户的互连,提供一个基础的认证、游戏平台。内网则主要是对系统文件的管理、游戏内容管理、用户信息管理、系统的维护,甚至是收费方面的管理和内部的信息化管理、自动化管理等。
5 结论与讨论
基于集群技术的分布式四层网络游戏平台体系结构属于松耦合集群系统,不需要在集群中部署特殊的中间件层或者OS扩展,对服务器结点OS的兼容性比较好。对于其内部结点而言,基本上可以兼容多数的IP应用,不需要做复杂的移植和安装工作,该方案具有很好的稳定性、可靠性及可扩展性。经测试,10台网关服务器+20台游戏服务器+10台角色存盘服务器+2台数据库接口服务器+存盘节点服务器2台。最高可支持20000人同时在线。
参考文献:
[1]陈志刚,李登,曾志文.分布式系统中动态负载均衡实现模型[j].中南工业大学学报,2001,32(6):635-639.
[2]王晓川,叶超群,金士尧. 一种基于分布式凋度机制的集群体系结构[J].计算机工程,2002,28(8):232-234.
[3]赵水宁, 邵军力. 多web服务器负载均衡技术的研究[J].电信科学,2001,(7):6-8.
[4]章文嵩.Linux服务器集群系统(四)[DB/OL]. http://www-900.ibm.cora/developerWorks/cn/linux/cluster/lvs/part4/in-dex.Shtml.2002-05-10/2003-02-18.
[5]李东.IBM金融行业灾难恢复解决方案.软件世界,2001(12).
[6]李虎雄,徐贯东,张燕姑. 网络游戏数据平台数据通讯的实现方案.计算机工程与设计,2005.11.
[7]梁健,董德存.基于IMS的游戏平台构架研究.广东通信技术,2005.7.
[8]荣钦科技.著.游戏设计概论.北京科海电子出版社,2003.6.
深圳维佳元创科技有限公司 http://
目录
第一章 工程概况说明............................................................2
1、总述........................................................................2
2、建设方案标准................................................................3
3、国内有关标准................................................................3 第二章 机房整改方案...........................................................4
1、现有网络存在的问题..........................................................4
2、网络整改的目标..............................................................4
3、网络整改的原则..............................................................5
4、管理子系统..................................................................5 第三章 机房整治解决方案.........................................................8
第一章 工程概况说明
1、总述
随着互联网应用越来越广泛,网络安全始终是人们需要解决的大 问题,提高互联网用户计算机网络的可靠性和安全性应该成为当务之 急。相关资料显示,美国在网络安全投入方面,占整个网络建设的 15% ~ 20%,而中国还不到 1%。国内网络安全专家尤其提醒政府机关和企业要关注网络安全问题,否则将根本无法保证内网信息安全。如今,我们已越来越发觉,我们必须联接网络,无论是 Internet、www、电子邮件、网上办公等等,“联接”令我们受益匪浅,当你已进入了互联网时代,你将很难再离开网络,但与此同时,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。尽管我们正在广泛地使各种复杂的软件技术,如防火墙、代理服 务器、侵袭探测器、通道控制机制,但是由于这些技术都是基于软件 的保护,是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而 言是可能被操纵的,即由于这些技术的极端复杂性与有限性,这些在线分析技术无法提供某些组织(如军队、军工、政府、金融、研究院、电信以及企业)提出的高度数据安全要求。
国家保密局在 2000 年 1 月 1 日发布并施行了 计算机信息系统国际联网保密管理规定 》,《 规定中第二章第六条明确规定:
“凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离”。
2、建设方案标准
在提出解决方案时我们遵循了以下标准: 国际标准: ANSI/TIA/EIA568A 美国商用建筑综合布线标准
ANSI/TIA/EIA569-A 美国商业建筑布线系统通道,空间标准 TSB-67 UTP布线系统现场测试标准 TSB75 开放办公室布线系统标准 TSB-72 集中式光纤布线系统标准 * ANSI/TIA/EIA 568-A-5 美国增强五类布线系统标准 *EMC 电磁兼容性有关标准
*EN55022 欧洲信息技术设备的无线电干扰特性极限值和测量方法 其它:IEC,CCITT,FCC, ITU-T,CSA, AUSTEL,JIS,UL等
3、国内有关标准
YD/T926.1-1997 大楼通信综合布线系统标准(邮电部行业标准)GB/T 50311-2000《建筑与建筑群综合布线系统工程设计规范》 GB/T 50312-2000 《建筑与建筑群综合布线系统工程施工及验收规范》 YD/T 1013-1999 “综合布线系统电气特性通用测试方法”
第二章 机房整改方案
1、现有网络存在的问题
目前网络线路凌乱、病毒现象严重、权限管理混乱、Internet连接不稳定等,主要总结为以下几个问题: 1.1 网络组成无专用机柜,理线不清;
1.2 线路标示不明确,无线路走向标示图,节点标示不明确; 1.3 与Internet连接无任何安全措施,网络中病毒传播现象严重;使用简易路由器接口,Internet网络经常断线;
1.4 网络中IP地址使用不规范,名字解析失效,无法用计算机名进行内部网络互访;
1.5 Internet访问权限不受控制,BT一类网络下载工具滥用,造成网速慢、不稳定;
1.6 无线路由器存在问题,部分电脑连接无线无法上网。1.7 计算机使用人员无安全意识、无保密意识,没有明确的计算机使用管理规范管理制度。
2、网络整改的目标
综合上述的几点问题,公司网络的整改在现有设备的基础上,采用先进的系统集成技术和管理模式,实现一个高效的办公网络体系。公司内部形成高效、畅通、安全的网络体系,初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到Internet,使公司保持
与外界先进事物以及合作伙伴,公司客户的密切联系。
为了保证基本网络的安全性、稳定性,建设一个快速、高效、通畅、安全的公司办公网络,为公司办公自动化作准备,整改后的网络架构必须具备以下几点:
a.实用性,网络系统应实用、满足应用为主,不追求最高、最新; b.安全可靠性,同时考虑应用系统的设计、网络系统的设计、硬件设备的选型配置几个方面,以确保数据的安全;
c.兼容性与可扩展性,要采用成熟的技术,保证当前网络系统可以在广泛的设备上使用,具备更新与升级的能力;
d.经济性,在满足功能与性能的基础上的性能与价格比最优; e.易管理性,随着网络规模和复杂程度的增加,网络系统的管理故障排除将成为较难的事情,针对各种设备都应选用易管理或具备管理功能的。
3、网络整改的原则
本次网络整改必须按照统一规划、着眼未来、注重实效的原则,兼顾先进性和实用性,尽量采用先进的技术以提高系统的效率和可靠性,还要结合公司特点,避免造成不必要的浪费。
4、管理子系统
在布线系统中,网络应用的变化会导致连接点的移动、增加和变化。一旦没有标识或使用了不恰当的标识,都会使最终用户不得不付出更
高的维护费用来解决连接点的管理问题。所以,越来越多的用户都认识到了标识系统对于综合布线的重要性。建立和维护标识系统的工作贯穿于布线的建设、使用及维护过程中。
布线系统中有五个部分需要标识:线缆(电信介质)、通道(走线槽/管)、空间(设备间)、端接硬件(电信介质终端)和接地。五者的标识相互联系,互为补充,而每种标识的方法及使用的材料又各有各的特点。像线缆的标识,要求在线缆的两端都进行标识,严格的话,每隔一段距离都要进行标识,而且要在维修口、接合处、牵引盒处的电缆位置进行标识。空间的标识和接地的标识要求清晰、醒目,让人一眼就能注意到。配线架和面板的标识除应清晰、简洁易懂外,还要美观。从材料上和应用的角度讲,线缆的标识,尤其是跳线的标识要求使用带有透明保护膜(带白色打印区域和透明尾部)的耐磨损、抗拉的标签材料,像乙烯基这种适合于包裹和伸展性的材料最好。这样的话,线缆的弯曲变形以及经常的磨损才不会使标签脱落和字迹模糊不清。另外,套管和热缩套管也是线缆标签的很好选择。面板和配线架的标签要使用连续的标签,材料以聚酯的为好,可以满足外露的要求。由于各厂家的配线架规格不同,有六口的、四口的,所留标识的宽度也不同,所以选择标签时,宽度和高度都要多加注意。4.1标识位置
a)电缆标识—水平和主干子系统电缆在每一端都要标识。
b)跳接面板/110块标识—每一个端接硬件都应该标记一个标识符。
c)插座/面板标识—每一个端接位置都要被标记一个标识符。d)路径标识—路径要在所有位于通信柜、设备间或设备入口的末端进行标识。
e)空间标识—所有的空间都要求被标识。f)结合标识—每一个结合终止出要进行标识。4.2标识类型
粘贴型—粘贴标签应满足UL969中规定的清晰、磨损和附着力的要求。还应满足UL969中规定的室内一般外露使用的要求。插入型—插入标签应满足UL969中规定的清晰、磨损性和一般外露要求。设备外的标签应满足UL969中列出的室内和室外的要求。插入标签根据标记单元,在正常操作和使用情况下应牢固地放置到位。4.3应用上的标识 A、电缆标识
水平和主干子系统电缆在每一端都要标识。推荐用标签贴于电缆的每一端而优于只是给电缆作标志。作为适当的管理,额外的电缆标识可以被要求在中间的位置,像管道的末端,主干的接合处,检修口和牵引盒。
B、跳接面板/110块标识
每一个端接硬件或它的标签都应该标记一个标识符。位于工作区域的连结硬件的重复的标签是可选的。例如,如果一个连接器的标识符被电缆使用的话,那么面板或箱子就不需要用一个分开的标识符。C、出口/面板标识
每一个端接位置标签都要被标记一个标识符。每一个端接位置标签都要被标记一个标识符,但是在高密度的端接位置作标识是不切实际的。在这种情况,标识符将被分配到每一个端接硬件单元和实际的端接位置,这将由硬件单元的习惯用法来决定。在工作区的末端标识也可以包括电缆另一端端接位置的标识符和电缆标识符。D、路径标识
路径要在所有位于通信柜、设备间或设备入口的末端进行标识。另外,在中间位置或是路径平均的分配点上作标识时非常好的。封闭的环形路径(像电缆盘的环形)要在平均间隔上作标识。
第三章 机房整治解决方案
1.XX公司局域网内约有100台左右电脑终端,局域网网络规
二、聚会时间和地点
活动时间:初定于2011年2月8日(农历正月初六)一天
集合地点:鲅鱼圈世纪门(正门有横幅注标)
三、聚会组委会
组长:●圈∮小涛,电话***,负责主持本次聚会活动,收取和保管聚会费用
副组长:●圈∮☠鬼☠,电话***,负责联系订餐,协助组长组织聚会活动
副组长:●圈∮小7,电话***负责联系ktv包间,协助组长组织聚会活动
报名联系人:
●营∮太子,电话***负责报名和召集
■桥∮娘们,电话***负责报名和召集
●圈∮星辰,电话***负责报名和召集
■营∮婷婷,负责人员报到登记和人员接待
报名联系方式:有意参加聚会的群友,可以到群空间论坛跟贴报名,或者去群主空间日志报名,也可以联系管理员电话报名。报名截止日期:2011年2月5日前(农历正月初三)例如:营口网名(姓)联系电话:151********
四、人员:(待定)
五、经费筹集:
1、聚会经费实行ab制,男100女50。(活动结束后,多退少补)
2、欢迎提供赞助!
六、议程安排:
1、报到:上午11点~1点
2、自由活动(等人):可相互介绍等
3、照相留念
4、会餐
5、ktv娱乐k歌
6、棋牌或酒吧
七、活动规定:每次聚会能成功都是因为大家报着共同的目的,就是开心快乐、广交好友,希望大家在聚会的时候能够遵守时间,一切行动听指挥!凡是都要忍耐,不要发生任何不愉快,凡是以捣乱为目的朋友请不要参加本次聚会,非诚勿扰!
xxx有限公司
计算机、网络、办公设备改进初案
概要简述
计算机、网络、办公设备是公司办公自动化不可缺少的重要组成部分,对公司起着至关重要的作用,设备的正常使用以及安全更是系统管理的重点,设备故障特别是网络故障和数据的丢失将会给整个公司带来不可预计的损失。本改进方案包括了改进及维护方案两大类,主要以改进为主,方案涉及范围为芳村店及珠江店,涉及设备基本包括:网络调整、服务器、员工电脑、传真机、网络打印机、打印机、复印机、以及其他周边办公设备等.一、网络调整
1.由于电脑设备多网络的依赖以及对网络的要求不断提高,加之之前网络由于硬件设备投入原因和软件的更新换代,应对现有网络网络,服务器和员工电脑(图1)进行一次改进及升级,对员工电脑进行一次常规维护。
2.网络的整体调整应按标准网络进行相应的调整(图2)。根据公司现有的硬件设备以及网络的分布在标准网络上进行网络调整,调整网络参考(图3)进行相应设备调整。使服务器的调整达到相对安全的网络环境。
3.将客户电脑和休息室电脑分布于防火墙之上直接在外网路由下进行访问必要时可以增加对客户电脑的限速防止大量下载以保证对整个网络正常运行,客户电脑将不能有任何的途径进入公司
内部网络的可能性。从而更加安全的保证公司内部资料。
4.在调整网络中应增加一台低端服务器或者普通PC电脑以及一个无线路由设备。
二、服务器
1.服务器是整个网络最为重要的部分,服务器的安全和稳定是直接影响整个网络及员工使用。本方案在原有的服务器设备上进行改动,并增加一台服务器作为防火墙和网络监控软件,用于管理和外网的阻隔,并防止外部攻击导致内部服务器出现危险情况,因此建议此服务器为独立物理服务器。
2.另外两台原有的服务器作为物理服务器进行安装并在服务器上安装相应的虚拟服务器,并做好去版权后的系统纯备份,以及每个虚拟服务器安装完后的备份并刻录成光盘以备服务器出现故障时能快速恢复,尽量减少对公司的损失。
3.虚拟机系统可以相互克隆以及镜像备份等特点,是的服务器资源大大减少的同时对维护服务器更为方便。可以在网络调整之前在其他机器做好相应安装及配置之后,在调整时直接导入系统,可以在不影响公司的前提下进行网络的调整和维护工作。
4.服务器分为2台详见图4分别为SVW_SERVER_A和SVW_SERVER_B。其中A服务器上安装文件服务器和业务系统及其sql2000数据库服务器,2个虚拟服务器;B服务器上安装域管理、DNS、邮件服务器(linux)、公司内部管理服务器,3个虚拟服务器。
三、员工电脑 办公设备
1.员工电脑在配置等方面多参差不齐对整体维护,并以呈现成就及多坏等问题,对员工使用带来不便。员工电脑应制定员工计算机使用规定,规定应包括员工操作电脑规范,电脑整洁,员工数据存放规范,网络使用规范等几个重要的方面。并制定系统管理员日常维护规范及检查制度。
2.应对员工电脑及办公设备进行必要的编号及电脑名称等设置,并必须在一个周期(主要参考系统管理制度)内进行一次员工电脑的整理及主机的清理工作,公司电脑现在已经需要一次清理,并对电脑的故障等进行一次整体的维护,以保证员工可以更好的使用电脑。主要以除尘清理为主。
四、网络打印机
主要对网络打印机进行IP重新设定以及名称的设定并进行设备的编号,对客户机重新进行网络打印机添加;
五、命名规则
1.设备编号规则
设备编号按5位数进行编号;第一位F和Z(芳村和珠江),第二位0,1,2(0:服务器,1:电脑设备,2:网络打印机及其网络设备,3:其它外设),后2为为连续编号;
2.电脑及网络网络名规则
电脑命名按照主机设备命名方式命名,其他网络设备安装设备命名方式命名;
3.IP设定规则
参照(图4)本次服务器将内部网络将不再采用DHCP自动地址租约分配的方式,需要自行需要设置固定IP地址,客户机器和休息室机器采用自动分配方式进行。网络设备尽可能跟进编号后2位连续编号;
4.共享命名以及网络设备共享命名规则
共享名应写明机器的型号,位置处必须标记打印机位置,以便添加网络打印时不易搞混。
六、邮件系统 邮箱用户们由最初简单的只要能满足收发要求发展到根据企业自身情况能自主管理并符合其行业要求的 自建企业邮箱已是目前企业信息化工作中的发展趋势。自建企业邮箱的优势有:
1.全面体现企业形象。以企业域名为邮箱后缀,所有员工邮箱均为“abe@企业域名”,树立统一的企业形象,方便企业形象推广。
2.克服员工流动影响。员工离职,企业邮箱可以顺利收回,从而将所有业务联系保留和延续下来。
3.便于企业管理。可以根据企业需要自主开设企业邮箱,可自由命名、分配容量、分组、群发、设定功能限制等,方便企业的统一管理。
4.增强内部信息沟通和协同办公能力。利用企业邮箱的部分
高级功能可实现来信自动分拣,对常见咨询问题自动解答等,提高工作效率,增进内部信息沟通和协同办公能力。
5.优于个人邮箱 和租用虚拟主机邮箱的安全性、稳定性和服务品质。企业邮箱在安全性、稳定性以及防病毒、反垃圾邮件功能方面远高于其他形式邮箱,有专门的管理,更适于企业商务应用。
6.有助于网上推广和产品宣传。当收到一封陌生邮件,根据来信域名查询网站是个初步了解对方的好方法。有了企业邮箱,日常通信中即可附带宣传企业。
七、用户名密码管理
1.域用户名登陆目前采用的是员工姓名拼音字母的方法进行登陆,对于企业来说用户名显得较为混乱,建议使用员工统一编号进行用户名登陆,并设置第一次和一定时间后必须要修改密码的策略.(此为建议)
八、内部即时通讯服务
1.建立企业内部即时通讯服务器,可以使员工之间直接使用即时通讯软件进行沟通和通讯,避免在客户交谈时打电话让客户等待,即时软件用户名及密码为企业自行控制只能为内部员工登陆,并可以设置外网连接,但仍然只能内部员工使用,并可以让芳村及珠江都同时使用即时聊天系统,让员工之间更加提高办公效率,包括文件的传送,文字的传达等,电话有时往往在数字和英文字母表达式不能清楚表达.并可以发布公告等信息.(此为建议,另建议考虑公
司内部OA管理系统使用的必要性,可以和即时通讯系统连接)
九、网络监控
1.对电脑网络的进行必要的监控,主要为监控网络攻击及内部网络访问记录,以及邮件、即时聊天、下载软件等违规软件使用进行必要的监控.以规范员工正常的工作秩序,并及时发现不良软件进行网络拦截,确保公司内部网络运行正常畅通;
十、近期维护及工作
1.对电脑进行一次清洁除尘处理,以及硬件检查工作。
2.对电脑内不必要的软件进行清理,以及对有问题的系统进行优化或重新安装系统(其中包括电脑logo信息的修改和主页修改)。
3.对电脑及相关的办公设备安装编号规则进行编号,用小标签进行标贴。
4.记录机器的相关配置以及使用的办公设备。
5.对经常出现的问题进行一次统计记录,以备参考。
6.对服务器进行数据备份和刻录工作;
7.尽快制定系统管理员制度,制度中应包括员工电脑的维护和服务器的维护备份,并需要明确时间周期;
8.制作员工电脑操作规范及使用规定;
核电运营网络是大型核电集团网络的重要组成部分之一,全面支撑着公司电厂生产系统和信息化管理系统的稳定运行,其地位非常重要。因此,提前深入分析并全面消除网络运行风险,保障公司核心网络安全稳定运行是网络运维的首要任务。
1 问题分析
近年来,公司业务快速扩张,随之信息系统规模快速增大,信息业务种类迅速增多,网络流量增长显著,而公司核心网络自投运以来未进行架构调整和性能升级,公司核心网络已不能为公司各类信息系统运行提供稳健的支撑。具体表现为以下7个方面。
1)核心网络设备使用均超过5年,最长使用近10年,设备老化现象严重且故障率高,设备性能低,业务处理能力弱。
2)核心网络设备安全防护能力弱,易受网络病毒、木马、蠕虫等安全威胁攻击,且各区域之间没有清晰明确的网络安全边界,无法有效隔离阻断网络攻击。
3)核心网络设备缺乏精细化的网络流量监控功能,不能清晰透视网络流量具体明细,无法快速定位网络异常流量,不能有效地保障重要业务服务质量。
4)专项数据中心网络核心设备存在设备单点故障,各类服务器都混接到单台核心设备上,一旦此设备故障,将会造成整个服务器网络的瘫痪。
5)专项数据中心网络可扩展能力弱,各服务器跨机房混接在数据中心网络核心设备上,无法满足数据中心规模快速扩展要求。
6)专项数据中心核心网络设备安全防护能力弱,既无法有效主动监控并阻断外部网络攻击,又无法实现服务器之间互访精细化控制。
7)专项数据中心网络核心设备缺乏精细化的网络流量监控功能,无法提供有效手段快速支持服务器故障定位和性能调优。
因此,公司核心网络需要改造,以求全面彻底消除以上7个方面的风险隐患,保障核电生产和信息化办公。
2 核心网络改造总体方案
公司各区域核心网络多投产于各生产电厂发电前,现有核心光缆链路大部分铺设在各核电生产厂区内,重新铺设难度非常大,时间周期长。考虑到现用光缆链路质量正常,因此,公司核心网络改造立足于在现有光缆链路连接资源和现有网络架构基础上进行提升优化,网络架构全新调整空间有限。
2.1 用户网络解决方案
1)通过将核心设备升级为电信级高性能核心设备,同时将网络主干链路从千兆升级为万兆链路,全面消除设备老化隐患,解决设备及链路性能局限问题。
2)核心设备增加防火墙业务板卡,同时实施严格的网络病毒检测阻断策略,为各区域之间构建清晰明确的病毒防护与安全隔离边界,有效实施安全隔离防护。
3)核心设备增加网络流量检测硬件板卡,通过硬件实现网络流量精细化监控,全面实现用户网络异常流量检测,为重要业务服务质量保障提供强有力的技术支持。
2.2 专项数据中心解决方案
1)数据中心网络核心设备升级为电信级高性能核心设备且双机热备,全面消除设备单点故障。
2)数据中心网络增加网络接入层设备,构建核心/接入2层网络架构,各服务器就近机房直接接入,提升服务器网络快速规范接入能力,满足数据中心规模扩展要求。
3)数据中心在入口处增加单体高性能防火墙以检测并阻断数据中心外部网络攻击,从进口关键位置保护数据中心。同时数据中心内部核心交换机增加防火墙业务板卡,从内部保障服务器间安全正确互访,实现服务器之间内部精细化互访控制。
4)数据中心网络核心设备增加网络流量检测硬件板卡,在实现网络流量精细化查看监控的基础上,提供有效技术手段快速进行服务器流量方面的故障定位和性能调优。
3 核心网络改造方案实施要点
3.1 用户局域网络核心架构调整实施
3.1.1 按高可靠性原则升级公司各区域核心网络设备
公司生产厂区网络涉及到核电生产,网络可靠性需放在第一位进行保障。为保障各区域核心网络的高可靠性,网络可靠性从设备器件数量、器件安装分布、设备主备双机配置、设备互联链路冗余等4个方面进行综合设计考虑,设计原则如表1所示。
按此设计原则采购设备,将原有网络核心升级为电信级核心网络设备,并且每台区域核心设备标配1块防火墙业务板和1块网络流量检测硬件板卡。
3.1.2 构建运营企业MPLS VPN网络
改造前,运营企业网络与集团各子公司网络一起全部在一个公共的MPLS VPN网络中,没有运营企业独立的VPN网络[1]。通过改造将运营企业用户局域网部分独立划到规划的运营企业VPN中(见图1),为规划的未来广核集团各子公司网络单独形成VPN网络实施打好基础。目前运营企业与现网中所有VPN连通所有路由,可以访问集团其他公司网络区域。
运营企业VPN建立后,具有如下2方面优势。
1)便于公司业务系统逻辑安全隔离,实现公司业务系统逻辑网络的相对独立,可以满足公司业务系统对安全保护、服务质量、安全管理等方面的要求。
2)便于实施公司间业务访问控制管理,实现各公司业务系统间按需访问并保证业务互访安全合法。
3.1.3 优化各区域网络路由发布和交换机生成树协议配置
核心设备与汇聚交换机运行开放式最短路径优先协议(OSPF,Open Shortest Path First Protocol),业务网段进行路由聚合后再发布到OSPF进程中,减少路由发布数量。
部分2层接入交换机需要直接上行接入核心交换机,要求如下。
1)2台核心交换机启用虚拟路由器冗余协议(VRRP,Virtual Router Redundancy Protocol),实现VRRP业务负载分担。
2)接入交换机启用快速生成树协议(RSTP,Rapid Spaning Tree Protocol),防止网络产生环路。除接入交换机上联端口以外,其余端口设置为边缘端口,并开启STP BPDU保护功能。
3.2 用户局域网络安全管理边界实施
通过交换机配置的防火墙业务板卡来构建各区域间的安全管理边界[2](见图2)。
防火墙业务板卡采用2层透明工作模式,通过10G的内部接口与交换机交互数据,通过外部接口与另一个防火墙业务板卡相连,实现高可靠性(HA,High Availability)会话同步。
防火墙业务板卡划分Trust和Untrust 2个安全区域区域,防火墙业务板卡下联公司各区域局域网内部接口,属于Trust区域,上联接口属于Untrust区域,配置相应的安全策略,控制业务流的互访互通,检测并阻断公司各区域局域网用户的病毒入侵,保护各区域网络安全稳定。
3.2.1 攻击防范安全策略
网络中各种攻击经常来自外部,因此,通过对防火墙安全区域启用攻击防范功能,阻断各种常见的攻击。攻击防范安全策略包括但不限于以下12个方面:发现攻击丢包、启动Fraggle攻击检测、启动Land攻击检测、启动WinNuke攻击检测、启动TCP Flag攻击检测、启动ICMP不可达报文攻击检测、启动ICMP重定向报文攻击检测、启动Tracert报文攻击检测、启动Smurf攻击检测、启动带源路由选项IP报文攻击检测、启动带路由记录选项IP报文攻击检测、启动超大ICMP报文攻击检测。
3.2.2 业务访问异常检测安全策略
通过检测防火墙各安全区域流量和设置合理阀值,当某种业务访问流量异常(通常是大量ICMP、UDP、SYN报文),超过阀值后相应报文丢弃,实现对后台数据中心服务器的保护。例如设置ICMP Flood、UDP Flood连接数为每秒1 000个,SYN Flood连接数为每秒10 000个,半连接数为每秒1 000个。
3.3 用户局域网络异常流量检测实施
公司用户局域网络异常流量检测功能通过网络流量检测硬件板卡进行实施[3]。方案原理如图3所示,实施要点如下。
1)交换机和网络流量检测硬件板卡通过内部的10G接口连接,交换机使用VLAN虚接口进行三层转发。
2)在交换机的内外网接口上配置流镜像,把从上行链路进入交换机的数据流,镜像到和网络流量检测硬件板卡连接的内部10 G接口上。
3)网络流量检测硬件板卡插卡对10 G端口收到的流进行统计,定期向网络流量监控中心(通过板卡外部接口回绕至交换机端口,使路由与流量监控中心服务器可达)发送流信息。
4)镜像报文经过统计以后,通过内部10 G端口Inline(黑洞模式)丢弃。
实施运行效果如图4所示。
3.4 专项数据中心核心网络架构调整实施
为方便实施不同服务器间的互访精细化控制,各服务器间的网关设置在数据中心核心交换机的内部防火墙,并实现VRRP负载均衡,核心交换机之间互联捆绑链路透传各服务器业务网段。
接入交换机启用快速生成树协议(RSTP),除上联端口外,其余端口设置为边缘端口,开启STP BPDU保护功能。同时各接入交换机启用虚拟化功能,将2台设备虚拟化为1台逻辑设备,并且为虚拟化交换机配置多活体检测和冲突处理(MAD,Multi-Active Detection),以保障交换机稳定运行。对于部分可靠性要求高的服务器,将服务器多个网卡捆绑上连到虚拟化接入交换机,以实现网络高可靠性和负载均衡。
3.5 专项数据中心外部防火墙方案实施
公司数据中心核心交换机与集团核心路由器之间的单体防火墙设备的工作模式为2层透明模式,划分Trust与Untrust 2个区域,公司专项数据中心属于Trust区域,其他区域属于Untrust区域,配置严格的域间策略,保护数据中心访问的合法性与安全性。
3.6 专项数据中心内部防火墙方案实施
数据中心内部防火墙板卡负责完成公司数据中心内部不同等级服务器之间的访问控制,以实现服务器间的合法安全访问,保护重要服务器安全运行。
数据中心内部防火墙业务板卡通过10G的内部接口与交换机交互数据,通过外部接口与另一数据中心核心设备的内部防火墙业务板卡相连,做HA会话同步备份(见图5)。
数据中心内部防火墙业务板卡采用3层路由模式,将服务器网关设置在防火墙业务板卡上,以求减少同网段服务器之间互访所经过防火墙业务板卡的业务流次数。板卡上联与集团核心路由器建立OSPF邻居,数据中心业务网段发布到OSPF进程。
数据中心内部防火墙业务板卡防火墙划分Trust和Untrust 2个安全区域,防火墙业务板卡下联服务器的内部接口划分到Trust区域,上联接口属于Untrust区域,配置严格的域间访问策略,控制业务流的互访互通,阻断各等级服务器之间的非法访问。
4 结语
本文所述网络改造方案于2011年在某大型核电运营企业核心网络改造工程中成功实施。实践证明,通过核心网络改造,公司核心网络升级为主干万兆互联,服务器千兆接入,各区域间构建了清晰明确的网络安全隔离边界、全面的网络流量监控系统和高效的网络安全访问防护体系,彻底解决了原有旧网中存在的7类安全隐患,全面提升了公司核心网络的整体性能和安全防护能力,有力地保障了公司各类电厂生产系统和信息管理系统的稳健运行。下步工作是在此基础上充分挖掘并优化各设备功能实现,进行网络精细化管理与运维。
参考文献
[1]Guichard J.MPLS和VPN体系结构(第2卷)[M].北京:人民邮电出版社,2010.
[2]Convery S.网络安全体系结构[M].北京:人民邮电出版社,2010.
【大型网络整改方案】推荐阅读:
公司网络整改 方案07-26
网络安全整改方案07-01
大型消防演习方案05-27
大型论坛会议筹备方案05-24
大型歌唱比赛策划方案06-19
大型元旦晚会招商方案06-28
大型歌舞晚会策划方案07-08
幼儿大型元旦活动方案09-19
大型现场活动策划方案06-01
药店大型促销活动方案06-24
