张家界美年大健康网络升级改造建设项目需求通知
随着互联网技术的发展,公司的业务模式和员工的工作模式、行为习惯都在不断发生改变,各部门既存在着大量接入互联网的需求,又有通畅、高速的内部办公专用网络使用需求,考虑到业务安全的需求,为了进一步加强公司网络管理,需要将内网与吉首大学附属医院的内网物理隔离出来,实现公司网络的集中化和内部数据的统一管理,保障各部门上网数据的安全,包括实现对于员工上网风险预警、泄密风险防控、统一管控建设及全网安全监测,进而进行本次网络升级改造。
网络安全保障系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据营区不断深入发展的需要,方便灵活的扩展应用覆盖范围、扩大存储容量和增加系统功能。具备支持多种网络协议、多种物理接口的能力,提供技术升级、设备更新的灵活性。
具备与多种协议计算机通信网络互连互通的特性,确保本系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,坚持统一规范的原则,从而为未来的发展奠定基础。设备及端口模块的选型须满足国内外相关的技术标准,并保证与主流的网络设备厂家的设备互联、互通。
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以必须具备全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时实现先进的分布式管理。最终能够实现监控、监测整个系统的运行情况,合理分配资源、动态配置策略、可以迅速确定故障点等。通过先进的管理策略、管理工具提高系统的运行性能、可靠性,简化维护工作,从而为管理提供最有力的保障。
应以较高的性能价格比构建本系统,使资性金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。
在系统开发中,必须保证系统的可维护性。合理设计应用体系结构,正确选择主流产品及运行软硬件平台,以及严格组织应用服务软件的规范化开发。
每个信息点要求能达到8M/秒数据量峰值,同时满足高转发率和低掉包率。因此,简化组网结构,减少网络层级,网络结构简化为【核心层】-【接入层】-【终端】。
能够满足至少300台终端接入互联网,同时满足单个终端接入互联网至少100KB上行、200KB下行需求,部分重点保障部门单个终端接入互联网达到1M的上行和5M的下行。在核心路由器上采用双WAN口接入,同时接入电信和联网的网络,达到上网平衡负载的目标。
出差员工能够通过VPN在授权的前提下安全访问公司内部网络以方便其工作。
VPN授权用户数量不低于20个。
随着公司业务的不断发展,以及员工人数变多,网络规模逐渐扩大。公司网络出口安全成为整个安全防护的短板,需要对出口网络进行安全防护,避免因为网络的安全防护疏漏,致使攻击威胁入侵到网络核心及生产应用及数据库服务器等,造成网络安全隐患,产生不可估量的损失。
目前各部门部署的网关设备日常维护、配置、调试无法做到统一组织管理,整体的网络缺少强有效的管理策略。
(1)终端感染病毒、木马
各部门往往安全防护不到位,病毒、木马、蠕虫仍是互联网出口面临的最为迫切的安全防护需求,病毒木马蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、终端被引导访问钓鱼网站、终端成为僵尸网络甚至于终端被控制之后形成跳板攻击危害到终端具有权限访问的各类服务器。
(2)终端系统漏洞
各部门终端感染病毒、木马、蠕虫等威胁是终端面临的主要威胁之一。而终端系统层面的漏洞被利用,会导致终端更严重的风险,比如终端被控制成为黑客攻击的跳板,或者终端成为僵尸网络的一部分,随时有可能发起针对内网的攻击。
(3)APT不断渗透
互联网出口各类终端与对外发布的服务器往往是APT攻击切入的第一扇门,他们往往容易被黑客渗透之后对内网发起横向转移的攻击导致敏感信息被窃取、系统被控制所有行为都暴露在黑客的视野里。
结合上述的需求以及IT系统的现状,现提出如下一套完整、可视、智能联动的网络安全解决方案。
本次方案布署下一代防火墙、核心路由器、核心交换机、可网管接入交换机等:
简化组网结构,减少网络层级,网络结构简化为【核心层】-【接入层】-【终端】。
核心层部署一线品牌三层核心交换机作为数据转发、交换,作用是把各个楼层交换机连接起来,提供数据的高速转发,以及整个网络路由表的维护,提供高速网络访问,其上行口达万M,各汇聚中均为千M口,直连应用服务器和数据库服务器等生产核心应用设备。
接入层采用一线品牌全千M可网管二层交换机负责接入各部门电脑终端,提供高速网络通道。
部署下一代防火墙作为互联网出口,针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能。
部署一线品牌千M核心路由器,实现能够满足至少300台终端接入互联网,同时满足单个终端接入互联网至少100KB上行、200KB下行需求,部分重点保障部门单个终端接入互联网达到1M的上行和5M的下行。该核心路由器上采用双WAN口接入,同时接入电信和联网的网络,达到上网平衡负载的目标。
配置30个SSL VPN授权,让出差员工能够通过VPN在授权的前提下安全访问公司内部网络以方便其工作。
通过在网络出口部署下一代防火墙、核心路由器、核心交换机等,对公司网络出口进行安全防护和实现网络资源分配的统一管理。
互联网与内网之间通过部署下一代防火墙、核心路由器及三层核心交换机等一系列安全设备,从不同维度、不同种类升级了内部网络的安全级别。
部署下一代防火墙之后,通过对应用层的防护,保障整个互联网的出口的安全。
(1)防病毒、木马
当内网用户使用安全桌面上网,文件、注册表重定向技术使本机内真实文件与注册表得到了保护,而访问目录权限功能使病毒无法访问继而感染本机内部文件,有效地防止了病毒对本机系统的破坏,弥补杀毒软件对安全事件事前防护的不足。
(2)拦截不良网页
AC内置自动更新的海量URL库,包括色情、反动等分类,潜藏在此类网站中的威胁将被AC过滤;AC允许用户手工添加新URL分类;再过滤用户通过搜索引擎搜索的关键字、过滤URL地址关键字和网页正文关键字。
(1)一套设备两个网络
通过布置三层交换机,设置不同的VLAN,将内网和互联网逻辑隔离开来,既保障了网络的相对独立性,又实现了同时访问互联网的需求。
(2)实现了两处办公场所网络的集约化管理
统一互联网出口后,各级网络设备都采用可网管交换机,各部门部署的网关设备日常维护、配置、调试做到统一组织管理,整体的网络拥有了强有效的管理策略。
改造建设技术文档投递邮箱:zhaoyong@health-100.cn欢迎电信运营商及网络硬件(公司)商家报名参加本次改造项目。
联系方式:后勤部 胡主任18974400816 8230330
张家界美年大健康管理有限公司