計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)及局域網(wǎng)構(gòu)建實(shí)習(xí)案例二

1、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)及局域網(wǎng)構(gòu)建實(shí)習(xí)案例計(jì)算機(jī)技術(shù)系二一七 年五月目 錄一、項(xiàng)目概述11.建設(shè)目標(biāo)1二、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)21.辦公網(wǎng)網(wǎng)絡(luò)整體拓?fù)?2.數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)?3.冀東分局辦公網(wǎng)34.各*辦公網(wǎng)3三、路由策略41.總體路由策略42.IGP路由策略4四、設(shè)備安裝與實(shí)施71.安裝準(zhǔn)備72.設(shè)備安裝規(guī)劃83.硬件安裝14.網(wǎng)絡(luò)測(cè)試2五、設(shè)備的安全配置41.防火墻的使用42.內(nèi)網(wǎng)控制43.訪問控制54.密碼加密55.服務(wù)安全56.日志記錄5六、標(biāo)簽及線纜整理51.標(biāo)簽材料62.標(biāo)簽的書寫63.網(wǎng)線標(biāo)簽64.光纖標(biāo)簽85.設(shè)備到ODF標(biāo)簽96.電源線的工程標(biāo)簽10七、網(wǎng)管系統(tǒng)11八、網(wǎng)絡(luò)安全建設(shè)111.設(shè)

2、備安全設(shè)置14九、網(wǎng)絡(luò)設(shè)備清單20實(shí)習(xí)案例二、建設(shè)*局本地辦公網(wǎng)絡(luò)一、項(xiàng)目概述1.建設(shè)目標(biāo)河北省*信息化一期辦公網(wǎng)絡(luò)系統(tǒng)工程依托河北省*網(wǎng)平臺(tái)，實(shí)現(xiàn)河北省*管理局及所轄*的網(wǎng)絡(luò)連接；完善河北省*管理局及所轄*的局域網(wǎng)；建成全省*電子政務(wù)網(wǎng)絡(luò)，初步實(shí)現(xiàn)建設(shè)全省*信息化的內(nèi)部網(wǎng)絡(luò)和硬件平臺(tái)的目標(biāo)。依托河北省政法網(wǎng)平臺(tái)，建設(shè)河北省*內(nèi)網(wǎng),覆蓋河北省*管理局及所屬*。完成河北省*管理局和全省23所*及冀東分局所屬*的內(nèi)網(wǎng)的局域網(wǎng)建設(shè)。實(shí)現(xiàn)全省*機(jī)關(guān)可控互聯(lián)、互通，確保信息交換和資源共享；河北省*管理局與河北省政法網(wǎng)銜接，*與所屬地政法網(wǎng)銜接；實(shí)現(xiàn)全省各級(jí)*機(jī)關(guān)之間縱向互聯(lián)、互通，確?？v向信息交換和資源

3、共享。二、網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)1.辦公網(wǎng)網(wǎng)絡(luò)整體拓?fù)浜颖笔?管理局辦公網(wǎng)網(wǎng)絡(luò)在政法網(wǎng)傳輸?shù)幕A(chǔ)上，建設(shè)數(shù)據(jù)中心、冀東分局辦公網(wǎng)、各*辦公網(wǎng)三大建設(shè)部分。2.數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)中心的兩臺(tái)S10508核心交換機(jī)，通過萬(wàn)兆鏈路實(shí)現(xiàn)IRF（虛擬化）功能，將兩臺(tái)設(shè)備虛擬化成一臺(tái)設(shè)備。另外在S10508交換機(jī)上配置防火墻、入侵防御系統(tǒng)、流量分析和負(fù)載均衡等插卡，提供網(wǎng)絡(luò)和安全一體化的產(chǎn)品，便于網(wǎng)絡(luò)的維護(hù)和管理。3.冀東分局辦公網(wǎng)冀東分局局機(jī)關(guān)采用單臺(tái)核心交換機(jī)S7508E-X，接入交換機(jī)額采用千兆S5120交換機(jī)。冀東分局各*單臺(tái)核心交換機(jī)S7503E-S，配置硬件防火墻插卡接入交換機(jī)采用全千兆三層路由交換機(jī)S

4、5120和百兆交換機(jī)S3100。4.各*辦公網(wǎng)各*單臺(tái)核心交換機(jī)S7503E-S，配置硬件防火墻插卡接入交換機(jī)采用全千兆三層路由交換機(jī)S5120和百兆交換機(jī)S3100。三、路由策略1.總體路由策略基于開放性、可擴(kuò)展性、易于維護(hù)等原則選擇路由協(xié)議，IGP采用OSPF路由協(xié)議。OSPF（Open Shortest Path First，開放最短路徑優(yōu)先）是IETF組織開發(fā)的一個(gè)基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。目前針對(duì)IPv4協(xié)議使用的是OSPF Version 2。針對(duì)本網(wǎng)絡(luò)，由于網(wǎng)元數(shù)量不是很多，可以設(shè)計(jì)全部S7503E級(jí)別的核心交換機(jī)全部在一個(gè)ospf進(jìn)程中，保證全部*的三層互通。但是，為了避免一

5、個(gè)*的網(wǎng)絡(luò)故障不至于影響到其他*，我們?cè)O(shè)計(jì)各個(gè)*局點(diǎn)分屬于不同的ospf area，可以有效減少路由動(dòng)蕩。并且可以設(shè)置*為stub區(qū)域，是核心網(wǎng)絡(luò)進(jìn)一步減少路由條目。整網(wǎng)可以規(guī)劃為以省核心機(jī)房與各個(gè)*局點(diǎn)的S7503E交換機(jī)為骨干的核心交換區(qū)，和以各個(gè)分局、*等S5500系列、S5100系列等交換機(jī)組成的接入層。這樣的二層組網(wǎng)，在配以ospf區(qū)域的劃分，既可以滿足網(wǎng)絡(luò)扁層化的需求，又可以有效控制路由發(fā)布，減少網(wǎng)絡(luò)動(dòng)蕩。2.IGP路由策略O(shè)SPF進(jìn)程號(hào)分配包括核心機(jī)房與*核心交換機(jī)在內(nèi)的核心設(shè)備，規(guī)劃為同一個(gè)OSPF進(jìn)程，進(jìn)程號(hào)為1。其他交換機(jī)，S5500系列、S5120系列、S3100系列均不

6、啟用OSPF協(xié)議。OSPF Router ID每臺(tái)設(shè)備的Router ID與其網(wǎng)管地址loopback0地址相同。OSPF Area劃分各*核心交換機(jī)與上聯(lián)中心均位于OSPF的區(qū)域0之內(nèi)，只發(fā)布本*內(nèi)部網(wǎng)段，均采用互聯(lián)vlan的ID號(hào)。列表如下：?jiǎn)挝籄REA ID省 局200冀東分局202石家莊石家莊*203鹿泉*204未管所205女子*206出監(jiān)*207張家口沽源*208涿鹿*209張家口*210邢臺(tái)邢臺(tái)*211隆堯*212沙河*213承德承德*214上板城*215滄州滄州*216滄南*217衡水深州*218衡水*219邯鄲邯鄲*220保定保定*221定州*222冀中*223太行*224唐山

7、唐山*225冀東分局第一*226第二*227第三*228第四*229第五*230第六*231第七*232第八*233OSPF Cost分配由于各個(gè)*都是單臺(tái)設(shè)備，且省中心機(jī)房做IRF組成一臺(tái)設(shè)備，所以cost按照默認(rèn)，不做修改。OSPF路由控制充分使用OSPF協(xié)議中STUB區(qū)域的優(yōu)勢(shì)，減少路由數(shù)目，配置非骨干區(qū)域?yàn)镾TUB區(qū)域。 四、設(shè)備安裝與實(shí)施1.安裝準(zhǔn)備Ø 技術(shù)組和用戶確認(rèn)設(shè)備配置及實(shí)施方案；Ø 經(jīng)用戶確認(rèn)的設(shè)備清單使用網(wǎng)絡(luò)模擬環(huán)境進(jìn)行模擬配置和調(diào)試測(cè)試；Ø 測(cè)試通過后進(jìn)入設(shè)備采購(gòu)環(huán)節(jié)；Ø 檢查機(jī)房環(huán)境；Ø 在設(shè)備加電前檢查機(jī)房環(huán)境，對(duì)機(jī)

8、房的詳細(xì)環(huán)境要求請(qǐng)參考附件：機(jī)房準(zhǔn)備要求；Ø 檢查設(shè)備的外包裝；Ø 在設(shè)備開箱前，仔細(xì)檢查設(shè)備的外包裝是否完好；Ø 開箱；Ø 由于設(shè)備到貨時(shí)已由甲方代表、監(jiān)理單位、廠商工程師及我們工程師開箱驗(yàn)收完畢，本次開箱由安裝地項(xiàng)目負(fù)責(zé)人簽署確認(rèn)書；Ø 清點(diǎn)設(shè)備；Ø 對(duì)照裝箱單點(diǎn)貨，檢查到貨內(nèi)容是否與裝箱單內(nèi)容相符；2.設(shè)備安裝規(guī)劃省*數(shù)據(jù)中心機(jī)柜布置圖內(nèi)網(wǎng)接入?yún)^(qū)： 省*數(shù)據(jù)中心機(jī)柜布置圖互連網(wǎng)接入?yún)^(qū)：省*數(shù)據(jù)中心機(jī)柜布置圖監(jiān)控網(wǎng)接入?yún)^(qū)：各*核心與分支機(jī)柜布置圖：3.硬件安裝1）機(jī)框安裝依照工程設(shè)計(jì)文件提供的信息，將機(jī)框安裝到指定位置。機(jī)框各支撐

9、點(diǎn)要求受力均勻、固定。安裝人員需仔細(xì)并牢記設(shè)備安裝手冊(cè)中相關(guān)的警示性內(nèi)容。2）設(shè)備模塊安裝在開啟該類物品的包裝袋以及接觸該類物品表面之前，安裝人員必須采取防靜電措施。若機(jī)框有電源供應(yīng)，須先切斷電源。依照方案及工程設(shè)計(jì)，將該類物品固定在機(jī)框相關(guān)的槽位。3）與其他設(shè)備的連接與其他設(shè)備的連接線必須走線規(guī)范、擺放有序，連線兩端須有標(biāo)簽標(biāo)示。標(biāo)簽內(nèi)容簡(jiǎn)明、唯一。4）電源供應(yīng)及接地保護(hù)仔細(xì)閱讀設(shè)備手冊(cè)中有關(guān)電源供應(yīng)的技術(shù)參數(shù)。安裝人員必須首先測(cè)試交、直流電源是否滿足參數(shù)要求；只有在外部電源滿足設(shè)備技術(shù)參數(shù)的情況下，才能進(jìn)行安裝和連接。若設(shè)備有兩路電源供應(yīng)，一般情況下須接入兩路獨(dú)立外部電源支路。設(shè)備的接地保

10、護(hù)端須與保護(hù)地排直接相連，電纜線徑必須滿足技術(shù)規(guī)范；安裝人員必須測(cè)試并記錄接地電阻。5）設(shè)備加電測(cè)試設(shè)備首次加電測(cè)試，須保證設(shè)備廠家、斯凱文工程師、用戶三方共同監(jiān)督執(zhí)行。安裝人員須仔細(xì)檢測(cè)電源線連接是否正確；直流電源的極性是否符合要求。在三方人員確認(rèn)后，安裝人員才能閉合電源開關(guān)對(duì)設(shè)備供電，同時(shí)記錄設(shè)備運(yùn)行情況（指示燈、溫度、異常情況等）。4.網(wǎng)絡(luò)測(cè)試測(cè)試項(xiàng)目測(cè)試內(nèi)容檢驗(yàn)結(jié)果1、硬件配置是否正常對(duì)照裝箱單及合同副本進(jìn)行檢查正正確 未通過2、安裝標(biāo)準(zhǔn)物理檢查安裝系統(tǒng)，確保所有部件正常工作針對(duì)安裝要求，確保硬件安裝條件正常。正確 未通過3、硬件檢查基本檢查（電源、系統(tǒng)板、內(nèi)存）開機(jī)，確認(rèn)系統(tǒng)能夠正常

11、啟動(dòng)，沒有顯示任何出錯(cuò)信息，內(nèi)存自檢通過且內(nèi)存大小正確正確 未通過 運(yùn)行 命令檢查系統(tǒng)中可用設(shè)備正確 未通過 運(yùn)行 命令檢查系統(tǒng)中的內(nèi)存大小正確 未通過4軟件版本及硬件資源檢查 用 命令檢查IOS操作系統(tǒng)版本正確 未通過用 命令檢查CPU正確 未通過 運(yùn)行 命令檢查所有文件系統(tǒng)正確 未通過運(yùn)行 命令檢查MEM情況正確 未通過5網(wǎng)絡(luò)系統(tǒng)用 命令檢查所有端口狀態(tài)網(wǎng)絡(luò)狀態(tài)正確 未通過用ping 命令檢查網(wǎng)絡(luò)的連通性正確 未通過檢查路由表的一致性、完整性正確 未通過6附件 網(wǎng)絡(luò)設(shè)備配置文檔 網(wǎng)絡(luò)設(shè)備硬件、軟件、CPU、MEN說明文檔 網(wǎng)絡(luò)設(shè)備路由表、IP地址表統(tǒng)計(jì)文檔 網(wǎng)絡(luò)設(shè)備端口統(tǒng)計(jì)文檔7其他正確

12、未通過結(jié)論五、設(shè)備的安全配置1.防火墻的使用省中心機(jī)房的核心交換機(jī)和安全插卡都為雙機(jī)部署，使用OSPF動(dòng)態(tài)路由協(xié)議。交換機(jī)通過IRF方式增強(qiáng)可靠性和管理性，F(xiàn)W插卡與上游設(shè)備建立三層連接關(guān)系，提供安全保護(hù)功能。SLB插卡與接入交換機(jī)建立三層連接關(guān)系，同時(shí)對(duì)下做為服務(wù)器網(wǎng)關(guān)設(shè)備提供服務(wù)器負(fù)載均衡功能。其他分局和*防火墻做為透明模式。2.內(nèi)網(wǎng)控制通過iMC中，EAD組件的使用，可以有效控制未授權(quán)電腦的侵入。3.訪問控制Console采用本地認(rèn)證，并給VTY配置入方向的ACL，所有會(huì)話超時(shí)時(shí)間設(shè)置為5分鐘。4.密碼加密在設(shè)備本地配置的密碼信息應(yīng)該設(shè)置為cipher格式，避免以明文的形式出現(xiàn)。5.服務(wù)

13、安全關(guān)閉非必須服務(wù)，如http、ftp等，保留telnet、ntp、snmp等服務(wù)。6.日志記錄啟用info-center，記錄設(shè)備運(yùn)行過程中產(chǎn)生的關(guān)鍵日志信息。六、標(biāo)簽及線纜整理工程標(biāo)簽是現(xiàn)場(chǎng)安裝及之后維護(hù)時(shí)使用的一種識(shí)別標(biāo)識(shí)。工程標(biāo)簽按照電源線和信號(hào)線分為兩種，信號(hào)線包括告警外接電纜、網(wǎng)線、光纖；電源線包括直流電源線和交流電源線（不包括電源母線）。電纜工程標(biāo)簽主要是為了保證安裝時(shí)的條理化、正確性及以后維護(hù)檢查時(shí)的方便。在河北省*信息化一期項(xiàng)目中我們負(fù)責(zé)整理省中心新機(jī)柜內(nèi)雙絞線和光纖的整理、標(biāo)識(shí)、記錄工作，做到標(biāo)識(shí)清楚、線纜規(guī)范、整齊。1.標(biāo)簽材料一、 標(biāo)簽厚度為0.09mm；二、 面材顏色

14、為啞白本色；或其他顏色；三、 材料為PET（聚酯的縮寫：Polyester）；四、 使用溫度范圍：-29149；五、 兼容激光打印和油性筆手寫，材質(zhì)通過了UL和CSA認(rèn)證。2.標(biāo)簽的書寫標(biāo)簽內(nèi)容有兩種填寫方式：一是打印機(jī)打印，二是使用油性筆手工書寫?？紤]效率和美觀性，省*管理局建議采用打印機(jī)打印的方式，其他*采用油性筆手工書寫方式。3.網(wǎng)線標(biāo)簽適用于機(jī)柜插框單板的網(wǎng)口電纜，配線架到配線架之間、配線架和計(jì)算機(jī)之間、配線架和交換機(jī)之間、設(shè)備之間多種情況。網(wǎng)線標(biāo)簽內(nèi)容如下：標(biāo)簽內(nèi)容含義舉例MN-B-C-DMN：機(jī)柜號(hào)舉例：A01；B-配線架號(hào)按照從下到上的順序用兩位數(shù)字編號(hào)，舉例：01。C-物理板位

15、號(hào)按照從上到下、從左到右的順序用兩位數(shù)字編號(hào)，舉例：01。D-網(wǎng)口序號(hào)網(wǎng)口的順序，按照從上到下，從左往右的順序編號(hào)。舉例：01。MN-ZMN：機(jī)柜號(hào)舉例：B02；Z：位置號(hào)或者房間號(hào)根據(jù)現(xiàn)場(chǎng)具體情況填寫可以識(shí)別的終端設(shè)備位置號(hào)；如連接到機(jī)柜中的路由器需要注明路由器所在的機(jī)柜號(hào)、插框號(hào)、網(wǎng)口序列號(hào)等，舉例：B02-03-12；如果是連接到網(wǎng)管，則需要注明網(wǎng)管所在具體位置。示例標(biāo)簽一側(cè)為“A01-03-10-05”：說明此網(wǎng)線一端連接到我方設(shè)備，即機(jī)房中A排01列的機(jī)柜，第三個(gè)配線架、（或者第10個(gè)板位）、第5個(gè)網(wǎng)口的位置；標(biāo)簽另一側(cè)為“B02-03-12”：說明此網(wǎng)線另一端連接到終端設(shè)備上，即機(jī)

16、房中B排02列的機(jī)柜，第三個(gè)配線架、第12個(gè)網(wǎng)口的位置。4.光纖標(biāo)簽光纖工程標(biāo)簽適用于機(jī)柜插框或者盒式設(shè)備中單板光口連接器光纖上。光纖標(biāo)簽的制作有兩種：一種是設(shè)備之間的連接，此時(shí)標(biāo)簽粘貼在連接兩個(gè)設(shè)備的光纖上。另一種是設(shè)備到ODF（Optical Distribution Frame）架之間的連接，標(biāo)簽粘貼在連接設(shè)備和ODF架的光纖上。標(biāo)簽內(nèi)容含義舉例MN-B-C-D-R/TMN：機(jī)柜號(hào)舉例：A01；B：插框序號(hào)按照從下到上的順序用兩位數(shù)字編號(hào)，舉例：01。C：物理板位號(hào)按照從上到下、從左到右的順序用兩位數(shù)字編號(hào)，舉例：01。D：光接口號(hào)按照從上到下、從左到右的順序用兩位數(shù)字編號(hào)，舉例：05。

17、R：光接收接T：光發(fā)送接口MN-B-C-D-R/TMN：機(jī)柜號(hào)含義同上。其中機(jī)柜號(hào)MN，當(dāng)對(duì)端設(shè)備和本端設(shè)備不在同一機(jī)房中時(shí)，可以用具體站名詳細(xì)說明。B：插框序號(hào)C：物理板位號(hào)D：光接口號(hào)R：光接收接口T：光發(fā)送接口示例標(biāo)簽一側(cè)“A0-01-05-05-R”：說明光纖本端連接機(jī)房中A行、01列的機(jī)柜、第一個(gè)插框、05板位、05光接收端口。標(biāo)簽另一側(cè)“G01-01-01-01-T”：說明光纖另一端連接機(jī)房中G行、01列的機(jī)柜、第一個(gè)插框、01板位、01光發(fā)送端口。5.設(shè)備到ODF標(biāo)簽標(biāo)簽內(nèi)容含義舉例MN-B-C-D-R/TMN：機(jī)柜號(hào)舉例：A01；B：插框序號(hào)按照從下到上的順序用兩位數(shù)字編號(hào)，舉

18、例：01。C：物理板位號(hào)按照從上到下、從左到右的順序用兩位數(shù)字編號(hào)，舉例：01。D：光接口號(hào)按照從上到下、從左到右的順序用兩位數(shù)字編號(hào)，舉例：05。R：光接收接口T：光發(fā)送接口ODF-MN-B-C-R/TMN：ODF配線架行、列號(hào)M：機(jī)房中每一排設(shè)備從前至后稱為行，編號(hào)為AZ；N：每一排中再?gòu)淖笾劣曳Q為列，編號(hào)為0199；舉例：G01，即G行01列的ODF架B：端子行號(hào)范圍：0199。舉例：01-01。C：端子列號(hào)R：光接收接口T：光發(fā)送接口示例標(biāo)簽一側(cè)為“ODF-G01-01-01-R”：說明光纖本端連接到機(jī)房中第G排、01列的ODF架上、第01行、第01列端子、光接口接收端的位置；標(biāo)簽另一

19、側(cè)為“A01-01-05-05-R”：說明此光纖對(duì)端連接到機(jī)房中第A排、01列的機(jī)柜、第一個(gè)插框、第5個(gè)板位、第5個(gè)光接收端口的位置。6.電源線的工程標(biāo)簽適用于機(jī)柜交流供電時(shí)的交流電源線上，包括POWER、BGND、PGND；用于粘貼在交流電源線兩端；220V交流電源線的220V、工作地、保護(hù)地有絕緣保護(hù)外被，所以每個(gè)電源線標(biāo)簽上只需要寫“AC”字樣和機(jī)柜號(hào)即可；交流電源線標(biāo)簽（僅粘貼在線扣標(biāo)識(shí)牌的其中一面），內(nèi)容如下所示：標(biāo)簽內(nèi)容含義MN-ACMN：機(jī)柜號(hào)或者電源引入（插座）的位置號(hào)；電源引入（插座）位置號(hào)：根據(jù)現(xiàn)場(chǎng)具體位置注明即可；如果插座所在的位置可以分行列，則可以用與機(jī)柜號(hào)類似的方法表

20、示。如果無法區(qū)分行列，注明特定的位置，不要和其它插座位置混淆即可。標(biāo)簽內(nèi)容為電纜源方向位置信息，本端位置信息可以不寫。即僅填寫電纜所在側(cè)的對(duì)端設(shè)備、插座的相應(yīng)信息。粘貼時(shí)注意方向，線扣綁扎在電纜上后要求有標(biāo)簽的一面朝向外側(cè)，同一機(jī)柜中電纜標(biāo)簽上字體朝向相同。負(fù)載柜側(cè)電纜上標(biāo)簽內(nèi)容為“A01-AC”：說明此電源線來自于機(jī)房第A排、01列的電源插座；插座側(cè)電纜上標(biāo)簽內(nèi)容為“B01-AC”：說明此電源線來自于機(jī)房第B排、01列負(fù)載柜。七、網(wǎng)管系統(tǒng)為方便辦公網(wǎng)網(wǎng)絡(luò)設(shè)備集中統(tǒng)一管理，工程實(shí)施過程中為所有網(wǎng)絡(luò)設(shè)備配置SNMP信息。設(shè)備的SNMP版本設(shè)置為V2C或者V3。讀寫community、trap等設(shè)

21、置為不易破解的字符。八、網(wǎng)絡(luò)安全建設(shè)河北省*信息化一期辦公網(wǎng)絡(luò)建設(shè)項(xiàng)目安全建設(shè)參考等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)（S3A3G3）。本實(shí)施方案中，我們將等保三級(jí)（S3A3G3）所需測(cè)評(píng)項(xiàng)陳列出來，在實(shí)際項(xiàng)目建設(shè)完成后，根據(jù)此測(cè)評(píng)項(xiàng)進(jìn)行自評(píng)。等級(jí)保護(hù)建設(shè)流程“等級(jí)化”設(shè)計(jì)方法，是根據(jù)需要保護(hù)的信息系統(tǒng)確定不同的安全等級(jí)，根據(jù)安全等級(jí)確定不同等級(jí)的安全目標(biāo)，形成不同等級(jí)的安全措施進(jìn)行保護(hù)。等級(jí)保護(hù)的精髓思想就是“等級(jí)化”。等級(jí)保護(hù)可以把業(yè)務(wù)系統(tǒng)、信息資產(chǎn)、安全邊界等進(jìn)行“等級(jí)化”，分而治之，從而實(shí)現(xiàn)信息安全等級(jí)保護(hù)的“等級(jí)保護(hù)、適度安全”思想。整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)信息系統(tǒng)安全

22、等級(jí)保護(hù)基本要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面。整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)?！备鶕?jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過以下步驟進(jìn)行：1.系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)。通過此步驟充分

23、了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提供依據(jù)。2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過分析省*管理局系統(tǒng)業(yè)務(wù)流程、功能模塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過安全域設(shè)計(jì)將系統(tǒng)分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。3.確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全域的安全要求。通過安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確各安全域所需采用的安全指標(biāo)。4.評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行

24、有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安全需求。通過等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。5.安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。6.安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)并要符合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。7.持續(xù)安全運(yùn)維：通過安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急響應(yīng)等，從事前、事中

25、、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的持續(xù)安全，滿足持續(xù)性按需防御的安全需求。通過如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障河北省*信息化一期建設(shè)項(xiàng)目整體的安全。而應(yīng)該特別注意的是：等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過程，所以通過整個(gè)安全項(xiàng)目、安全服務(wù)的實(shí)施，來保證等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。1.設(shè)備安全設(shè)置在項(xiàng)目的實(shí)際實(shí)施過程中，我們將參照等保三級(jí)標(biāo)準(zhǔn)，根據(jù)客戶的實(shí)際需求和網(wǎng)絡(luò)實(shí)際狀況，對(duì)設(shè)備的安全策略進(jìn)行配置。我們將通過配置插卡式防火墻、IPS、流量管理等設(shè)備，實(shí)現(xiàn)辦公網(wǎng)整體的安全防

26、護(hù)功能。分類等保三級(jí)防護(hù)要求實(shí)施方案網(wǎng)絡(luò)安全結(jié)構(gòu)安全（G3）應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；部署兩臺(tái)H3C10508交換機(jī)，配置IRF。應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；由省局統(tǒng)一調(diào)配應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；繪制整網(wǎng)拓?fù)鋺?yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；應(yīng)用服務(wù)器、財(cái)務(wù)服務(wù)器和普通用戶分別屬于不同的子網(wǎng)和VLAN訪問控制（G3）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；交換機(jī)配置了防火墻插卡，并根據(jù)實(shí)際訪問需求進(jìn)行訪問控制。應(yīng)能

27、根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)；根據(jù)源IP地址、目的IP地址，端口號(hào)進(jìn)行訪問控制。應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；防火墻取消設(shè)置長(zhǎng)連接，會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。不允許撥號(hào)用戶的訪問安全審計(jì)（G3）應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；配置了網(wǎng)管系統(tǒng)iMC的網(wǎng)管組件和EAD組件，配置了流量管理組件，能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等，并對(duì)上述情況進(jìn)行日志記錄審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)

28、的信息；iMC系統(tǒng)能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)事件的日期和時(shí)間、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息進(jìn)行記錄應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；iMC系統(tǒng)具備報(bào)表功能，可以對(duì)數(shù)據(jù)進(jìn)行分析邊界完整性檢查（S3）應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；EAD組件具備非法外聯(lián)、違規(guī)接入的定位、阻斷功能應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。EAD組件具備非法外聯(lián)、違規(guī)接入的定位、阻斷功能入侵防范（G3）應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊

29、和網(wǎng)絡(luò)蠕蟲攻擊等；在核心交換機(jī)配置了IPS插卡，能夠在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。在核心交換機(jī)配置了IPS插卡，能夠在檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。網(wǎng)絡(luò)設(shè)備防護(hù)（G3）應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；采用用戶名+密碼方式驗(yàn)證應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；分配管理地址，僅允許管理地址的用戶對(duì)設(shè)備進(jìn)行管理。網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一；

30、為每個(gè)設(shè)備配置唯一的網(wǎng)絡(luò)標(biāo)識(shí)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；配置復(fù)雜的登錄口令，并定期更換口令。應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；登錄失敗5次后，鎖定用戶30分鐘當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；為遠(yuǎn)程管理配置密碼，密碼密文形式存儲(chǔ)。應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。為設(shè)備的管理員分配不同的權(quán)限主機(jī)安全身份鑒別應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別。對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒

31、用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換。操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換。應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。訪問控制應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問。核心交換機(jī)配置防火墻插卡，通過安全策略的制定，控制用戶對(duì)資源的訪問應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。管理用戶按照角色和“最小權(quán)限”原則分配權(quán)限應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離。操