公司2014年度信息化升级建设方案.doc

中环计算机公司网络信息化升级改造方案 项目概要 天津市中环电子计算机有限公司（注：下面简称计算机公司）是1987年组建的国家计算机重点企业，依托计算机工业小区良好的投资环境和雄厚的自身实力，公司与国际著名公司共同成立了十几个合资企业，使计算机公司在整体规模、产品结构、机制转换，经济效益取得飞跃的发展，但是随着日益增长的内部网络需求和现代信息技术发展， 计算机公司网络的承载及防护能力的压力越来越大，对公司信息化办公造成安全隐患和部分影响。 需求分析 1、目前计算机公司网络专线使用的是天津联通10M共享专线，承载公司近200人规模的上网用户。 2、目前计算机公司网络存在的主要问题有： 一、网络攻击导致公司外网邮件系统及运行网站、研发测试服务器不能被外网访问。 二、由于邮件用户的激增，邮件系统的存储空间严重不足。特别是邮件系统及网关的服务只有两年，到期后的后续技术支持费用过高。导致未能及时续费，网关垃圾邮件过滤和防病毒库已经长达三年未更新。 三、随着公司上网用户的增加，对公司整体出口带宽及网络中枢设备吞吐量的需求增高。 3、计算机公司网络现状拓扑图如下： 网络规划 未来规划目标及结构示意图如下： 2009年计算机公司针对当时网络情况进行网络升级改造，但随着互联网技术的发展及计算机公司业务对信息化要求的提高，目前计算机公司网络承载压力大，针对未来网络信息化发展需要，特别是信息安全的重要性，需要在计算机公司目前网络状况下进行升级改造。考虑到公司网络建设需要投入大量的资金，为减轻公司网络信息化资金投入的压力，建议采取整体规划分步实施，逐步完善。 1、初期网络规划 从安全性方面，建议增加外层硬件防火墙及入侵检测系统，以抵御一定规模的网络攻击，保证公司最外层网络入口及外网服务器集群的安全。 从业务需求方面，在解决安全问题后，再寻找便于公司员工操作及使用的邮件系统。 2、中远期网络规划 从网络稳定性方面，随着计算机公司网络用户的快速增长，对外网带宽及内部网络吞吐量的要求越来越高，建议对内部网络的核心设备继续升级，比如：网络内部的核心交换机，作为网络的中枢设备，必须做到性能稳定、高效。然后逐步根据网络各节点的需求更新升级网络子中枢设备，使内部网络运行畅通。 从上网需求方面，如果公司内部用户及外网应用服务对带宽的要求很高，可以扩充计算机公司光纤专线带宽来解决。 解决方案 1、初期解决方案 初期建议购买增设硬件防火墙，使用后，可以为公司对外服务应用的服务器集群提供安全DMZ区域（DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”）。DMZ区域在内部网络和外部网络之间构造了一个安全地带，能够极大缓解目前计算机公司网络存在的攻击影响。通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。 外网硬件防护设备选型 产品名称 品牌 型号 规格参数 功能描述 防火墙 网御星云 Power V 6000-U1323-ZH 标准1U设备；2x10/100MBase-TX 6x10/100/1000MBase-TX ；整机最大吞吐2Gbps，最大并发连接数180万。 包含防火墙、防病毒、入侵防护等功能。 防火墙 思科 ASA5540-K8 并发连接数：400000 网络吞吐量：650Mbps 纠错 安全过滤带宽：325Mbps 用户数限制：无用户数限制 网络端口：4*10/100/1000,1*10/100,1*SSC/SSM 控制端口：console,2个RJ-45 VPN支持：支持 入侵检测：DoS 管理：思科安全管理器(CS-Manager),Web安全标准：UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 对比： 一款是联想网御硬件安全产品，针对国内的网络级黑客攻击、病毒侵袭，防御效果好。另一款是思科硬件防火墙产品，针对国外网络及黑客攻击、病毒侵袭防御效果好。两者针对的防御侧重点方向不同，一个主要针对国内，一个主要针对国外。 由于斯诺登事件的曝光，网络入侵造成的泄密危险越来越高，同时考虑到我公司性质，建议使用国产的联想网御硬件安全产品，避免由于网络防御产品自身的漏洞和后门，导致公司网络出现安全问题。在性能上，国产安全设备的性能指标及参数高于国外同类产品，性能优异可以减少未来几年公司在信息安全上的资金投入，对网络发展适应的时间更长。 初期通过增配硬件防火墙设备，结合之前已有的软件防火墙ISA Server，形成内外两道安全防护。 李耀华 科技质量部 20