系统集成设计方案-7..doc

北京市统计信息系统二期工程 设计与建设项目 系统集成、网络及安全 体系设计方案 北京和利时系统工程股份有限公司 2005年10月 目 录 第 1 章 概述 1 第 2 章 现状与需求分析 3 2.1 网络现状与需求 3 2.1.1 现状描述 3 网络基本情况 3 计算中心基本情况 4 2.1.2 需求分析 5 2.2 安全现状与需求 6 2.2.1 现状描述 6 2.2.2 安全风险和需求 7 物理安全风险与需求 9 网络安全风险与需求 10 .1 网络结构不合理容易造成系统被入侵和破坏 10 .2 对来自互联网的入侵攻击缺乏综合防范 10 .3 专网和区县统计接入存在安全隐患 12 .4 对来自内部的安全风险不设防 12 系统安全风险与需求 13 .1 安全漏洞可能被黑客利用 13 .2 可能传染计算机病毒 13 .3 分发攻击的威胁 13 应用安全风险与需求 14 .1 身份被假冒将造成非授权访问 14 .2 用户可能对操作进行事后抵赖 14 .3 数据可能在传输中泄漏、丢失、篡改 14 .4 基于应用系统的分发攻击 15 管理安全风险与需求 15 .1 管理制度不够健全 15 .2 管理手段不足 15 .3 安全技术人才不足 15 .4 防火墙审计周期过长 16 第 3 章 系统总体设计 17 3.1 总体目标 17 3.2 建设内容 17 3.2.1 网络系统改造 17 3.2.2 整体安全保障体系建设 18 3.2.3 网络信任体系建设 19 3.3 设计思想 21 3.4 设计依据 22 3.4.1 政策法规 22 3.4.2 技术标准和规范 23 3.4.3 其他依据及参考资料 24 3.5 设计原则 24 3.6 系统总体结构设计 25 3.6.1 技术路线选择 25 3.6.2 网络结构设计 26 层次结构概述 26 网络结构选择 26 3.6.3 安全总体设计 27 安全策略 27 .1 总体安全策略 27 .2 安全策略 27 安全域划分 28 安全等级划分 31 .1 安全等级确定 31 .2 安全等级保护实施办法 32 安全保障框架 33 .1 安全支撑体系 34 .2 基础安全防护系统 35 .3 安全管理体系 35 .4 安全服务体系 35 .5 北京市信息安全基础设施 36 3.6.4 存储备份结构设计 36 3.6.5 系统总体结构 36 接入线路说明 37 路由说明 38 安全系统部署说明 38 服务器及存储备份部署说明 39 3.6.6 方案的优势和技术特点 40 第 4 章 网络平台设计 42 4.1 广域网设计 42 4.1.1 广域网现状 42 4.1.2 通信线路 42 区县城域网连接 44 互联网专线 44 4.1.3 结构设计 45 接入线路 45 市统计局边界路由器 45 区县边界路由器 45 链路负载均衡 46 广域网结构 48 4.2 局域网设计 50 4.2.1 核心层 50 4.2.2 分布层 52 4.3 VLAN规划 53 4.4 IP地址初步规划 57 4.4.1 现有IP资源 58 4.4.2 IP初步规划 58 4.5 路由设计 60 4.6 机房集中管理平台 62 4.6.1 现状和需求分析 62 机房现状 62 需求分析 63 4.6.2 管理平台设计 65 系统连接示意图 65 系统连线图 66 线缆连接说明 66 4.7 网络性能管理 67 4.7.1 网络性能管理需求 67 4.7.2 解决方案 67 第 5 章 安全保障体系设计 70 5.1 安全保障体系结构设计 70 5.2 安全防护系统建设 71 5.2.1 物理安全防护 71 5.2.2 边界安全防护 72 防火墙 74 网络入侵检测 75 URL地址过滤 77 5.2.3 计算环境安全防护 77 主机入侵检测 77 网页防篡改 78 网络防病毒 79 网络安全审计 81 容灾备份 82 漏洞扫描与安全加固 84 5.2.4 应用安全 85 5.3 安全支撑体系建设 85 5.3.1 应急响应体系 86 应急响应的重要性 86 应急响应组织建设 87 应急响应预案制订 87 5.3.2 网络信任体系 89 统一认证管理系统 90 .1 用户管理模型 90 .2 系统功能结构 91 .3 系统功能特点 92 .4 部署集成 93 .5 系统单点登录流程 93 安全业务系统 94 .1 系统结构 94 .2 系统功能特点 95 .3 部署集成 96 安全通信系统 99 证书发放 99 5.4 安全管理体系建设 100 5.4.1 健全安全管理组织 100 5.4.2 完善安全管理制度 101 5.4.3