信息安全集成設計方案

XX科技有限公司 1、項目背 2、需求分 3、系統(tǒng)設 設計依據(jù)及設計原 信息安全技術(shù)設 信息安全管理設 產(chǎn)品選 1201010184.68平方公里，位于成都高新區(qū)西部園區(qū)。新設型)和成都出口加工區(qū)南區(qū)（803區(qū)）進行整合擴展而成的。2綜合布線系統(tǒng)包括管理網(wǎng)G（六類系統(tǒng)、業(yè)務網(wǎng)Y（超五類系統(tǒng)、互聯(lián)5個系統(tǒng)（可根據(jù)監(jiān)管要求及功能設置作相應調(diào)整5類屏蔽電纜。44芯多模光纖；準《綜合布線系統(tǒng)工程設計規(guī)范》GB50311的有關規(guī)定。90~130150mm,橋架宜采用網(wǎng)格式橋架。UPS10KVAUPS210KVA30分鐘。3（GB17859-2008（GB/T22240-（信安字[2007]10號（GB/T20271-（信安秘字[2009]059號（GB/T20269-（GB/T20282-（GB/T21052-（GB/T20270-（GA/T708-（GA/T709-（GA/T710-（報批稿（報批稿（GA/T713-（GB/T20272-（GB/T20008-（GB/T20273-（GB/T20009-（GB/T20279-（GB/T20277-（GB/T20278-（GB/T20280-（GA/T684-（GA/T686-（GA/T681-（GB/T21028-（GB/T20275-（GA/T700-（GA/T683-（報批稿（報批稿（GB/T20281-（GB/T20010-（GB/T18018-（GB/T20011-（GA/T682-（GB/T21050-（GA/T685-（GA/T671-（GA/T671-（GA/T686-（GA/T711-（GA/T712-（GB/T20277-（GB/T20280-（GB/T20984-（GB/Z20985-（GB/Z20986-（GB/T20988-1235年以上的需求發(fā)展。456建立完善的網(wǎng)絡安全體系，保證海關信息中心網(wǎng)絡設備的安全運行。789圖9主配線間樓層配線間各配線間設置光纖配線架,19”標準機柜內(nèi)，用1000M連接。1.名稱:2.技術(shù)參數(shù)：HPDL580G7E75202P1.名稱:2.技術(shù)參數(shù)：HPDL388G7E5506EntrySvr（配內(nèi)置光驅(qū)，2*146G雙端口熱插拔硬操作系統(tǒng)（服務器Windowsserver2003coem企業(yè)版1.名稱:操作系統(tǒng)（服務器2.Windowsserver2003coem數(shù)據(jù)庫軟件Server20081.名稱:2.規(guī)格型號：SQLServer20081.2.技術(shù)參數(shù):LS-5120-28P-SI-H3LS-5500-28C-1.LS-5500-28F-EI-1.2.技術(shù)參數(shù):LS-5500-28F-EI-AC8操作系統(tǒng)（客戶機WindowsXPP1.名稱:操作系統(tǒng)（客戶機2.WindowsXPP1.2.MSA2300SAG212槽,6x300GSAS1.名稱:2.規(guī)格型號：ROSEFORWINDOWS8.51.名稱:2.型號:ZFDF-3.參數(shù)：標稱通流容量：≥20KA BVR-BVR-25mm2銅芯線，均壓環(huán)引至聯(lián)合接地2.BVR-BVR-50mm2銅芯線，均壓環(huán)引至聯(lián)合接地2.1.名稱：抗靜電地板接地跨線1.均壓環(huán)材質(zhì)、規(guī)格、技術(shù)要求:30*3BZGG120-1.B級ZGG120-2.CZGG80-1.C級ZGG80-2.DZGG40-1.C級ZGG40-2.1.名稱：輸入輸出模塊JF-.名稱:JTY-GD/JF-2.1.名稱:感溫探測器JTW-BCD/JF-2.1.名稱:J-SAP-M/JF-2.1.名稱:聲光報警裝置JBU-2.1.名稱:JB-QBZ-2.1.名稱:控制器電源*4KG1.2.點數(shù):≤1281.2.規(guī)格型號：1路市電入、1UPS入、路市電出、10UPS1.2.規(guī)格型號：1路市電入、1UPS入、路市電出、15UPS柜式空調(diào)1.2.UPS1.名稱：UPS2.規(guī)格類型：30KVA,1小時,輸入為三相,輸出為三相,芯電線，9355-30-N-UPS1.名稱：UPS2.類型：EDX15KXL31(15KVA、1數(shù)據(jù)庫服務器HPProLiantDL580CPU類型：Intel7500CPU型號：XeonE7520CPU頻率：1.866GHzCPU數(shù)量：4顆CPU數(shù)量：4顆總線規(guī)格：QPI4.8GT/sCPU核心：四核CPU線程數(shù)：擴展槽：11硬盤描述：3300GBSAS8SAS/SATA/SSD硬盤RAID模式：1P410i/512MB光驅(qū)：薄型SATADVD網(wǎng)絡控制器：1GbENC375i系統(tǒng)管理：HPInsightControl套件24x7支持iLOInsightControl（iLO電源數(shù)量：4個HPProLiant服務器發(fā)揮最佳應用程序運行時間和性能為客戶帶來更多的效HPProLiantDL580G7利用HPProLiantDL580G7服務器可擴展的4核性能和類似IntelMachineCheckArchitecture(MCA)復原的耐用安全功能，增進系統(tǒng)可靠性。與前一代8插槽服務器相比，HPProLiantDL580G7為數(shù)據(jù)密集型應用程序帶來3倍于以前的數(shù)據(jù)庫性能。因為采用Intel7500系列處理器，該服務器允許向HPProLiantx86適用于HPProLiantDL系列G7服務器的HPIntelligentPowerDiscovery，在通過HPInsightControl提供的IntegratedLights-OutAdvanced(iLO3)，加速HPInsightControlHPProLiantHPMissionCriticalServices應用服務器ProLiantDL388CPU類型：Intel5600CPU型號：XeonE5649CPU頻率：2.53GHzCPU數(shù)量：1顆CPU數(shù)量：2顆總線規(guī)格：QPI5.86GT/sCPU核心：六核CPU線程數(shù)：12內(nèi)存描述：PC3-10600RRDIMMDDR3PC3-10600EUDIMM8SFFSATA/SAS硬盤RAID模式：P410i網(wǎng)絡控制器：兩個NC382i系統(tǒng)管理：iLO27.2kg惠普ProLiantDL388G7(616659-AA1)機架式服務器一款品質(zhì)高、價位合理5600系列處理器作為核心保障，配合大容量的內(nèi)存和硬盤存儲，增加機身惠普ProLiantDL388G7(616659-AA1)ProLiantDL388G7(616659-AA1)Intel5600系XeonE562032nm制程工藝，頻率為2.4GHz，通過智能加速主頻，使處理器的頻率提升到2.666GHz，配合12MBProLiantDL388類型內(nèi)存，智能陣列ProLiantDL388G7(616659-AA1)2NC382i雙端口千兆網(wǎng)卡，并配合iLO3管理程序，增加機體整體可控程度。ProLiantDL388G7(616659-AA1)機架式服務器的主板6192GB8TB，充分保障運轉(zhuǎn)的流暢程度。ProLiantDL388G7(616659-AA1)機架式服務器是一款性價比非常高的2UIntel5600XeonE5620型號處理核心，2NC382iiLO3管理程序，充分保障了機體的可靠性磁盤陣列HP產(chǎn)品型號序列號描述數(shù)量HPMSA2324fc1GB4GbFibreChannelRAID0,1,3,5,10,5064242.5HPMSA2312fc每個控制器1GB緩存;24GbChannelRAID0,1,3,5,6,10,50HPMSA2312sa1GB緩存;4SASRAID0,1,3,5,6,10,50；直連最大8SASBLSwitch6412HPStorageWorks2324sa1GB4SASRAID0,1,3,5,6,10,508SASBLSwitch242.5HPMSA2312iLFF1GB緩存;1GbiSCSIRAID0,1,3,5,6,10,3212HPMSA2300fcSANStarterHAUpgrade包括額外一個單獨控制器，1×88GbSANAJ955A選一個LFF或SFFFC/SA/iSCSIHPMSA2324SFF2.5“2242.5寸硬盤插槽，冗HPMSA2312LFF3.5”2123.5寸硬盤插槽，冗DCHPMSA20123.5“HPMSA20242.5”HP2300fc磁盤存儲控制器，1GB緩存;24GbFibreChannel端口;64HP2300saG2ModularSmartArray1GB緩存;43GbSASRAID0,1,3,5,6,10,508個主機SASBLSwitch64個主機HPMSA2300iModularSmartArray1GB21GbiSCSI32StorageWorksStorageWorksMSA2300FC(AJ798A)2U16TB。內(nèi)置三種硬盤SAS、SATAIISCSI，可滿足日常0,1,3,5,6,10,50。StorageWorksMSA2300FC(AJ798A)磁盤陣列支持MicrosoftWindowsServer2008IA32,x64,IA64(Standard,Enterprise,Datacenter)，MicrosoftWindows2003and2003R2IA32,x64,IA64RedHatLinux(32/64)等多種操作系統(tǒng)。1500000小時。骨干網(wǎng)交換機S5120-28P-H3CS5120-SIH3C技術(shù)有限公司自主開發(fā)的全千兆二H3CS5120-SIS5120-20P-SI：1610/100/1000Base-T以太網(wǎng)端口，41000Base-XS5120-28P-SI：2410/100/1000Base-T以太網(wǎng)端口，41000Base-XS5120-52P-SI：4810/100/1000Base-T以太網(wǎng)端口，41000Base-XH3CS5120-SI系列全千兆以太網(wǎng)交換機提供靈活的16/24/48個10/100/1000MSFP插槽，充分考慮用戶的戶投資。H3CS5120-SI104Gbps交換容量，保證所有端口二H3CS5120-SI系列交換機采用專利技術(shù)允許交換機利用專用互聯(lián)電纜實現(xiàn)H3CS5120-SIARP入侵檢測功能，可有效防止黑客ARP報文實施網(wǎng)絡中逐漸盛行的“中間人”DHCPSnoopingARP欺騙報文直接丟棄。內(nèi)的非法地址仿冒，以及大量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnoopingDHCPDHCP環(huán)境H3CS5120-SIMAC地MAC地址允許/限制流量，或者設定每個端口允許的MACMAC地址可以由管理員靜態(tài)配H3CS5120-SI802.1XMAC認證方式對接入的用戶GuestVLANCAMS服務器配合還可以實現(xiàn)代理檢測、SNMPv1/v2/v3OpenViewiMC智能管理中心。CLI命令行，Web網(wǎng)管，TELNET，HGMP集群管理，使設備管理更方便。SSH2.0等加密方式，使得管理更加安全。H3CS5120-SIVCT（VirtualCableTest）電纜檢測功能，便S5120-28P-（長×寬×高（1Console2410/100/1000Base-T以太網(wǎng)端口，41000Base-XSFP千交換容量（全雙工包轉(zhuǎn)發(fā)率（整機LACPIEEE802.3x流控（全雙工支持基于端口速率百分比、ppsbpsVLAN（4K個DHCPDHCPDHCPSnoopingIGMPSTP/RSTP/MSTPMACMACIP地址、TCP/UDP端口號、協(xié)議類型、VLANIEEE802.1p/DSCP優(yōu)先級4個隊列支持端口隊列調(diào)度Radius認證SSH802.1XMAC地址認證GuestVLANMAC地址學習數(shù)目限制IP源地址保護ARPIP+MAC+（CLI，Telnet，ConsoleSNMP，WEB網(wǎng)管RMON（RemoteMonitoring）iMC智能管理中心HGMPv2Modem遠端撥號NTPTelnetVCT（VirtualCableTest）電纜檢測功能Loopback-detection端口環(huán)回檢測額定電壓范圍：100V～240V最大電壓范圍：90V～264V功耗（滿負荷時工作環(huán)境相對濕度（非凝露核心網(wǎng)交換機LS-5500-28C-H3CS5500-EIH3CIPv6強三層萬兆IPv6時代；除此以外，其出色的安全性，可靠性和10GEH3CS5500-EI系列交換機支持10GE的擴展能力，盡力保護用戶投資。IPv4/IPv6IPv4IPv6三層IPv4IPv6的平滑升級。H3CS5500-EIEAD（端點準入防御）功能，配合后臺系統(tǒng)H3CS5500-EIMAC地址認證、802.1x認證、PORTALCAMS系統(tǒng)對在線用戶進行實時的管理，及時的診斷和瓦解網(wǎng)絡非法行為。H3CS5500-EIACL控制邏輯，支持超大容量的入端ACL資源的浪費。另外，S5500-EI系列還將支持單播反向路徑查找（uRPFS5500-EIS5500-28F-EI支持可插拔的冗余電源模塊，也就PoE（PoweroverEthernet）技術(shù)，通過以太網(wǎng)對所連接的設備（IPPhone,WirelessAP等）進行遠程供電，從而使得不必在使用現(xiàn)場為設備部署單VoiceVLAN技術(shù)，交換機通過識別端口的語音流，將對應的接入端口加入VoiceVLAN（VLAN）中，為語音流量提供專門通道，并自動下發(fā)優(yōu)先級規(guī)VoiceVLAN安全特性，VoiceVLAN內(nèi)的語音流量H3CS5500-EIMCEVPN網(wǎng)絡帶來與網(wǎng)絡內(nèi)的VPNVPN創(chuàng)建和維護獨立的路由轉(zhuǎn)發(fā)表VRF豐富的QoSH3CS5500-EIL2（Layer2）~L4（Layer4）包過濾功PriorityRobinSP+WRR三種模式。支持CAR（CommittedAccessRate）功能，粒度最小達H3CS5500-EISNMPv1/v2/v3（SimpleNetworkProtocolSSH2.0等加密方式，使得管理更加安全S5500-28C-交換容量（全雙工包轉(zhuǎn)發(fā)率（整機外形尺寸（長×寬×高（1Console2410/100/1000Base-T41000Base-XSFP雙機熱備份軟件 FORWINDOWS8.5版RoseHA雙機系統(tǒng)的兩臺服務器（主機）都與磁盤陣列（共享存儲）系統(tǒng)直RoseHA高可用軟件分別安裝在兩臺主機配置好的系統(tǒng)主機開始工作后，RoseHA軟件開始監(jiān)控系統(tǒng)，通過私用網(wǎng)絡傳遞RoseHA軟件都可監(jiān)控另一臺主機的狀態(tài)。當工作主RoseHARoseHA就會控制系統(tǒng)進行主機切換，即備份機啟動和工作主機一樣的應用程序接管工作主機的工作（TCP/IP網(wǎng)絡服RoseHA主機。在進行網(wǎng)絡服務時，RoseHA提供一個邏輯的虛擬地址，任何一個客戶過私用心跳網(wǎng)絡連接。系統(tǒng)主機開始工作后，RoseHA軟件開始監(jiān)控系統(tǒng)，通過RoseHA軟件。之后，RoseHA就會控制系統(tǒng)進行服務切換，行維護。當維護完畢后，RoseHA可以自動或手動地將切換回原先的工作主機。也可以選擇不切換，此時維修好的主機就作為備份機，雙機系統(tǒng)繼續(xù)工作。下 HARS232線路或?qū)Ｓ?00/1000MCPU資源也不占用基礎業(yè)務網(wǎng)絡RoseHA的特色功能，在實際的應用中得到用戶的一致好評。支持豐富的應用配置，如：Oracle、SQLServer、Sybase、ExchangeRoseHARoseHA提供了友好直觀的圖形安裝界面和監(jiān)控管理界面。通過直觀而又方JavaApplet管理界面，用戶可以交互式地對集群系統(tǒng)進行配置、監(jiān)控和管Applet的網(wǎng)絡特性，通過網(wǎng)絡對系統(tǒng)進行遠程管理，實時地顯靈活的Active-Active模式和Active-StandbyRoseHAActive-ActiveActive-Standby模式。用戶可指定每臺服RS-232RoseHA當系統(tǒng)出現(xiàn)故障時（如：系統(tǒng)宕機、HA進程/應用進程被殺掉、RS-232、SCSI、光纖、網(wǎng)絡線纜斷開），RoseHA將確定故障原因，并采取相應對策，并同樣是致命的故障。如果該服務器配備了冗余的網(wǎng)絡接口，RoseHA會使用它來VolumeManager軟件管理的磁盤陣列，RoseHA提供了相應的處理程A將處理這個失敗。如果希望兩個服務獨立地進行切換，則此兩PP地址，在發(fā)生切換時，HA會將P的服務都切換到另外一臺服務器上去。Agent程序，使服務監(jiān)控更切實際，更加有效；Agent程序，執(zhí)行與特定服務相關的狀態(tài)診斷及錯誤恢復工作的。SQLServer2008MicrosoftSQLServer2008提供了有助于有效管理安全性功能配置、強身份使用SQLServerAudit合配置策略。使用新的接口區(qū)Facet控制使用中的服務和功能，以降低暴露在WindowsUpdateSQLServer2008。減少已知軟件弱點所造成自動應用MicrosoftWindowsServer2003(或更新版本)的密碼策略，以強制使用角色和Proxy使用msdb使用多個Proxy帳戶，讓當做作業(yè)步驟的SQLServerIntegrationServices(SSIS)封裝執(zhí)行更安全使用執(zhí)行內(nèi)容標示模塊，以便使用特定的用戶身分(而不是調(diào)用的用戶身分在SQLServer2008中使用內(nèi)置密碼編譯層次結(jié)構(gòu)來創(chuàng)建非對稱密鑰、對稱(DEK)，以透明方式在數(shù)據(jù)庫層次結(jié)構(gòu)執(zhí)(如存儲結(jié)構(gòu)和函數(shù))，然使用SQLServerAudit定義審核，自動將活動記錄在記錄文件、Windows應用程序記錄文件或Windows安全日志中。創(chuàng)建審核規(guī)格來判斷要并入審核的服務器和數(shù)據(jù)庫動作，使用DDL使用觸發(fā)程序捕獲及審核數(shù)據(jù)定義語言(DDL)活動。擴充觸發(fā)程序來響應DDL事件和數(shù)據(jù)操作語言(DML)事件，并記錄DDL事件，以改善審核及增WindowsServer2003WindowsServer2003R2MicrosoftWindows2003Server安全性技術(shù)方面做出的創(chuàng)新給客Windows2003Server以安全為理念重新設計了許多組件，而這些組件也建構(gòu)出以安全為主要目標的創(chuàng)新。Windows2003Server由基于全新的安全設計原則services的工作程序以較低權(quán)限的使用者賬戶來執(zhí)行，借由限制網(wǎng)絡存取的方法IIS5.0Bug。CommonLanguageRuntime(CLR)Windows2003Server的Windows2003Server中有二十多項服務預設為不安裝或以較低的權(quán)限執(zhí)行，以便幫助IT管理員在最IIS6.0在Windows2003ServerInternetExplorer在Windows2003Server中，安全設定的默認值為“高”Windows2003ServerWindowsServer的存取。其中幾個使Windows2003Server在部署時更安全的新功能有：PKI經(jīng)過了重大的改良?，F(xiàn)在可以在以IPSEC為基礎的VPN及網(wǎng)絡通訊、使用802.1x的無線網(wǎng)絡驗證、智能卡登入、加密的檔案系統(tǒng)與其它服務等方面，改進的證書注銷列表。Windows2003Server的證書服務器現(xiàn)在支持deltaPEAP)署或管理PKI基礎架構(gòu)的客戶。快速、容易地管理終端使用者對WebServ