工商局網(wǎng)絡優(yōu)化實施方案

1、XX工商局網(wǎng)絡安全優(yōu)化項目實施方案廣州北大明天資源科技發(fā)展有限公司目 錄第1章項目概述31.1項目背景31.2現(xiàn)狀分析31.3項目實現(xiàn)目標51.4項目方案設計與產(chǎn)品部署51.4.1防火墻部署設計51.4.2IPS部署設計61.4.3安全管理平臺部署設計71.4.4IT服務管理系統(tǒng)81.4.5項目設備分布10第2章項目實施方案112.1項目組織結(jié)構112.1.1項目管理組織結(jié)構112.1.2項目實施組織結(jié)構122.1.3項目小組122.2項目實施進度計劃13第3章實施保障計劃153.1用戶配合方案153.2系統(tǒng)回退方案153.3項目實施控制流程163.3.1項目實施工作程序163.3.2項目實施

2、流程圖173.3.3驗收表格示例18第1章 項目概述1.1 項目背景隨著Internet的不斷發(fā)展，信息技術越來越成熟。也改變了傳統(tǒng)工商管理行業(yè)的工作模式，通過基于Web的新興網(wǎng)絡應用和多媒體服務，工商管理部門可以提高其內(nèi)部機構的效率。網(wǎng)絡作為Internet時代IT應用的基礎設施，是工商管理部門向電子政務工作模式轉(zhuǎn)型的重要前提條件。因此，其可靠性、安全性和可用性都是關鍵，XX工商局根據(jù)網(wǎng)絡使用情況和增強網(wǎng)絡安全方面考慮，啟動了此次網(wǎng)絡安全建設項目。1.2 現(xiàn)狀分析目前東莞工商局的廣域網(wǎng)絡采用電信SDH專網(wǎng)線路分別連接到各下屬單位(共計30多個)，其中中心節(jié)點的帶寬為155M，各下屬單位的出口

3、帶寬為2M，同時中心點還有一條10M的電信線路連接到Internet。通過這些線路的互聯(lián)，基本構成了東莞工商局的廣域網(wǎng)。東莞工商局現(xiàn)有網(wǎng)絡拓撲圖如下：圖 11 東莞工商局網(wǎng)絡現(xiàn)狀拓撲圖現(xiàn)有網(wǎng)絡存在的問題：1、帶寬不足，原有網(wǎng)絡采用SDH 2M線路連接過分支局，在運行之初完全能滿足下屬單位訪問市工商局各類應用的需求。但隨著應用系統(tǒng)的逐步建設，數(shù)據(jù)大集中后，下屬單位對工商局中心業(yè)務訪問的流量也隨之增加。面臨鏈路擴容要求。2、原有網(wǎng)絡系統(tǒng)存在鏈路和廣域接入路由設備的單點故障。在市局中心的Cisco 7206路由器和分支局路由設備之間通過，單一設備和單一線路進行互聯(lián)，而應用系統(tǒng)的數(shù)量不斷增加，而電子政

4、務的發(fā)展使工商管理系統(tǒng)對信息化網(wǎng)絡的依賴度不斷提供，要求業(yè)務承載的廣域網(wǎng)絡系統(tǒng)具有更高的可靠性。3、原有網(wǎng)絡系統(tǒng)在安全性方面不夠。下屬單位到市局中心組成的廣域網(wǎng)絡，基本對所有應用協(xié)議都是開放的，沒有在網(wǎng)絡層面對網(wǎng)絡的不同區(qū)域進行不同安全級別的劃分，所有應用協(xié)議都可以在IP網(wǎng)上暢通無阻，使非業(yè)務或非關鍵流量擠占有限的帶寬。分局隨沒有直接連internet的出口，但可以通過市局中心訪問到internet，在用戶不清楚的情況下，就帶入來自公網(wǎng)的病毒、木馬，用戶并修改IE的設置，被流氓軟件侵害的事情時有發(fā)生。1.3 項目實現(xiàn)目標本次網(wǎng)絡安全建設項目，內(nèi)容主要包括把互聯(lián)的線路進行升級，并且在各單位之間架

5、設網(wǎng)絡安全設備進行訪問控制。具體包括以下內(nèi)容：l 新設置電信MSTP線路，連接到下屬單位的帶寬為10M，同時連接到中心點的帶寬也相應增加。電信MSTP線路接口為以太網(wǎng)口。l 原SDH線路作為備份線路，在主MSTP線路出現(xiàn)問題時要求能自動切換到備份線路，保障網(wǎng)絡通暢。l 在網(wǎng)絡的邊界增加網(wǎng)絡安全設備進行訪問控制。l 對安全及網(wǎng)絡設備的統(tǒng)一協(xié)同智能化管理。1.4 項目方案設計與產(chǎn)品部署1.4.1 防火墻部署設計在保證用戶MSTP和SDH兩套線路互為備份的基礎上，考慮網(wǎng)絡系統(tǒng)的安全性、高可靠性、可擴展性，提出我們提出如下安全的網(wǎng)絡升級方案。1)通過在中心設置兩臺千兆防火墻，將市局的數(shù)據(jù)中心和廣域網(wǎng)劃

6、分為不同級別的安全區(qū)域。2)在每一個分局部署一臺百兆防火墻，保護各分局的內(nèi)網(wǎng)。在各防火墻上只開放必須的應用端口，并制定部分應用層安全策略，包括HTTP 協(xié)議URL 過濾，建立白名單等。建議方案部署圖：圖 12 東莞工商局網(wǎng)絡改造后拓撲圖1.4.2 IPS部署設計根據(jù)目前東莞工商局的網(wǎng)絡拓撲圖，鎮(zhèn)區(qū)分局都已經(jīng)沒有了重要業(yè)務的服務器部署，東莞工商局的所有業(yè)務系統(tǒng)都已經(jīng)集中部署到市局中心機房。同時各分局也不再有獨立的internet出口，因此在IPS部署設計上，我們建議集中在市局中心。部署位置可以考慮三個核心位置（數(shù)據(jù)中心核心服務器區(qū)之前，保護核心數(shù)據(jù)庫和服務器，internet出口，鄉(xiāng)鎮(zhèn)遠程接入?yún)R

7、接點之后），具體如下圖所示：圖 13 IPS部署后網(wǎng)絡拓撲結(jié)構圖在本項目中，我們以防火墻安全方案為基礎，增加了兩臺H3C TippingPoint IPS設備。首先在最重要的數(shù)據(jù)中心前部署了一臺H3C TP 1200E，以保護東莞工商局IT核心資產(chǎn)；H3C TP 1200E有8個千兆端口，在鎮(zhèn)區(qū)分支點匯接到中心的防火墻后，為防范廣域內(nèi)網(wǎng)中的安全風險，通過復用數(shù)據(jù)中心部署的H3C TP 1200E端口，既節(jié)約成本又能防止鎮(zhèn)區(qū)分支點的安全風險擴散到市局內(nèi)網(wǎng)。1.4.3 安全管理平臺部署設計針對工商局目前面臨的一系列問題： （1）對實時安全信息不了解，無法及時發(fā)出預警信息，并且處理。（2）各種安全設

8、備是孤立的，無法相互關聯(lián)，信息共享。（3）安全事件發(fā)生以后，無法及時診斷網(wǎng)絡故障的原因，恢復困難。（4）網(wǎng)絡安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題，成本高。H3C安全統(tǒng)一管理解決方案以開放的安全管理平臺為框架，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡設備、用戶終端、網(wǎng)絡服務等納入一個緊密的統(tǒng)一管理平臺中，通過安全策略的集中部署、安全事件的深度感知與關聯(lián)分析以及安全部件的協(xié)同響應，在現(xiàn)有安全設施的基礎上構建一個智能安全防御體系，大幅度提高網(wǎng)絡的整體安全防御能力。H3C安全管理中心由策略管理、事件采集、分析決策、協(xié)同響應四個組件構成，與網(wǎng)絡中的安全產(chǎn)品、網(wǎng)絡設備、網(wǎng)絡服務、用戶終端等獨立功能

9、部件通過各種信息交互接口形成一個完整的協(xié)同防御體系（見下圖）。 圖 14 H3C基于安全管理中心的智能防御體系H3C安全管理中心旨在集中部署網(wǎng)絡安全保護策略，簡化對安全部件的管理，確保網(wǎng)絡安全策略的統(tǒng)一；廣泛采集與分析來自于計算機、網(wǎng)絡、存儲、安全等設施的告警事件，通過關聯(lián)來自于不同地點、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風險，提高安全報警的信噪比；準確的、實時的評估當前的網(wǎng)絡安全態(tài)勢和風險，并根據(jù)預先制定的策略做出快速響應。1.4.4 IT服務管理系統(tǒng)IT服務管理平臺通過合理的角色劃分和用戶管理，面向運維人員、面向技術人員、面向管理人員、面向領導和規(guī)劃人員，提供IT服務的綜合協(xié)作平

10、臺。從IT服務行業(yè)的需求方面來看，IT服務管理系統(tǒng)是建立起基本的服務體系結(jié)構和服務流程，IT服務管理（ITSM）系統(tǒng)主要分為服務臺管理、事件管理、問題管理、報表管理、配置管理、輔助工具、個人工作臺、資源管理、系統(tǒng)維護等功能模塊。下面分別描述系統(tǒng)的各個功能。圖1-5 系統(tǒng)功能結(jié)構1.4.5 項目設備分布序號局點設備名稱單位數(shù)量1、市局核心防火墻：H3C SecPath F1000-E臺22、分支節(jié)點分支防火墻：H3C SecPath F100-A臺323、市局入侵防御系統(tǒng)：H3C TippingPoint IPS 1200E臺24、市局網(wǎng)絡安全管理中心設備：H3C SecCenter A1000

11、臺15、市局IT服務管理系統(tǒng)：北大明天ITSM系統(tǒng)套1第2章 項目實施方案2.1 項目組織結(jié)構XX工商局網(wǎng)絡安全建設項目是一個涉及面廣、技術復雜的大型系統(tǒng)工程，為保證工程能分步驟有條理地順利進行，科學合理的項目管理非常重要。2.1.1 項目管理組織結(jié)構2.1.2 項目實施組織結(jié)構2.1.3 項目小組管理負責：許紅濤務負責：梁 黔3C技術支持：項目經(jīng)理：張官清組姓名聯(lián)系方式負責區(qū)域第一小組程濤二小組劉武三小組董必濤150997781682.2 項目實施進度計劃實施的具

12、體時間，盡量安排在不影響用戶業(yè)務高峰期情況下進行。圖 21實施區(qū)劃地圖節(jié)點分局日期時間工作內(nèi)容備注市局核心市局4天安裝調(diào)試市局千兆防火墻、IPS和安全管理系統(tǒng)及服務平臺部署。1、 完成千兆防火墻部署；2、 完成IPS部署和安全管理平臺部署；3、 完成服務管理平臺部署。4、 系統(tǒng)測試分支節(jié)點測試節(jié)點（2個）2天安裝調(diào)試市區(qū)兩個節(jié)點的百兆防火墻1、 安裝調(diào)試市區(qū)兩個測試節(jié)點的百兆防火墻。2、 安全策略部署和測試。分支節(jié)點實施（30個）15天安裝調(diào)試各分支節(jié)點的百兆防火墻1、 安裝調(diào)試市區(qū)兩個測試節(jié)點的百兆防火墻。2、 安全策略部署和測試。系統(tǒng)測試驗收市局2天系統(tǒng)調(diào)優(yōu)、測試、驗收1、 安全策略調(diào)優(yōu)；

13、2、 全網(wǎng)系統(tǒng)測試；3、 驗收。在實施過程中確保測試不通過時候可以通過回退方案保證用戶網(wǎng)絡正常培訓市局2天檢查核心和各節(jié)點的設備升級后情況，機動處理。全網(wǎng)測試與驗收。注：每個節(jié)點的整改時間需要用戶確定后才能實施切換，盡量避免影響用戶業(yè)務情況，切換生產(chǎn)環(huán)境后，預留時間進行觀察系統(tǒng)運行，如出現(xiàn)故障無法及時解決，做好回退處理工作。第3章 實施保障計劃3.1 用戶配合方案1、 市局需保證滿足新設備的供電需求；2、 各分支節(jié)點確保新設備的安裝環(huán)境，所有設備要安裝到機柜中，避免人為因素導致設備斷電中斷影響業(yè)務運行；3、 機房所接設備電源，盡量不要外露在臺面和地下，防止在搬動設備或者進行其它工作的時候弄到電

14、源松弛，影響對設備供電；4、 為保證不影響生產(chǎn)環(huán)境，割接工作時間必須由用戶安排合適時間，并安排好相關人員的配合工作。3.2 系統(tǒng)回退方案本次安全建設項目的涉及面廣、技術相對復雜，對網(wǎng)絡系統(tǒng)可能會造成不同程度的影響。為減小不可確定因素在網(wǎng)絡設備擴容調(diào)整過程中造成的影響，特制定系統(tǒng)回退方案。實施前詳細了解用戶網(wǎng)絡情況并對相關設備連接情況進行記錄： 序號：備份設備所連接對應端口擺放機柜位置物理鏈路標識1、需要做以下工作：（1）檢查該網(wǎng)段的路由走向和經(jīng)過幾跳到最終目的地,并做好備份。（2）記下每臺設備的靜態(tài)路由表，做好備份。2、各相關設備連線做好記錄。3、把原來IP地址規(guī)劃記下，檢查該服務器原來接在那

15、臺設備，在該設備上查找該服務器對應的端口，檢查MAC地址。并做好備份。 4、IP地址的規(guī)劃，及VLAN信息，做好登記。以上各項工作在進行中如果出現(xiàn)異常則立即停止修改，查找錯誤原因，在時間允許范圍內(nèi)恢復正常則繼續(xù)切換；若在時間允許范圍內(nèi)沒能恢復，則進行回退?；赝吮仨毎凑崭脑烨暗膫浞葙Y料進行，確保網(wǎng)絡恢復正常?；赝藭r必須記錄故障點，故障現(xiàn)象，現(xiàn)場分析手段及結(jié)果，以備事后分析。3.3 項目實施控制流程3.3.1 項目實施工作程序1. 承建單位根據(jù)合同、招標文件及投標文件，組織編制項目實施方案后提交建設單位及用戶單位，建設單位審核通過后出具開工令。2.承建單位接到建設單位的開工令后，項目經(jīng)理組織項目組

16、人員嚴格按項目實施方案開始進行項目實施。3.承建單位安排運輸工具，將合同內(nèi)設備送達項目現(xiàn)場，項目組按設備清單對設備進行清點審核，包括：設備名稱、型號規(guī)格、數(shù)量等，并與用戶單位負責人共同驗收設備并填寫用戶貨物驗收單。用戶貨物驗收單一式三份，兩份承建留檔，另一份提交用戶單位。發(fā)現(xiàn)設備有缺陷或與合同不符時由承建單位核查原因，經(jīng)與用戶單位協(xié)商后承建提出解決方案，并由實施工程師在工程實施問題處理單中記錄。4.在現(xiàn)場施工過程中，實施工程師對于具體實施過程中出現(xiàn)的突發(fā)性問題，在與用戶協(xié)商之后，視情況進行下列處理：a) 用戶認為出現(xiàn)的問題不影響整個項目的實施，則記錄于工程實施問題處理單，繼續(xù)按計劃進行實施工作；b) 用戶認為不可接受的，實施工程師根據(jù)用戶提出的整改意見，填寫工程實施問題處理單，上報項目經(jīng)理審批并經(jīng)用戶確認后執(zhí)行。5.在實施過程中若出現(xiàn)設備增減或?qū)嵤┯媱澯兴兏?，由請求方提出并填寫項目實施變更報告，并提交建設單位審核后按審核意見執(zhí)行。6.設備安裝完畢并完成配置后，由承建單位組織項目組對設備及系統(tǒng)進行測試，測試時填寫測試記