一、項目概況:
(一)建設背景
按照等級保護制度的相關要求,為促進保障單位信息化弱電系統集成建設、應用、管理和服務水平的持續提高,網絡信息系統的安全、穩定運行,考慮到系統承載業務的重要性和即將面臨的安全風險,開展信息系統與基礎設施安全差距評估、整改,并通過等級保護2.0的測評工作。
(二)建設內容
2.1 網絡等保安全整改部分
本次單位集體化弱電系統集成項目共需整改內外網絡,在外網的方案中,互聯網進來接入利舊的路由器,路由器下接安全設備防火墻以及上網行為管理,再下接到核心交換機,接入交換機通過光纖接入到核心交換機,接入交換機下掛無線AP以及接入終端即PC等。
內網是通過防火墻連接專網,下掛核心交換機,接入交換機通過光纖連接核心交換機。
等保通過建設安全設備來保證,通過國家法定的要求。通過部署防火墻、日志審計、數據庫審計、堡壘機等安全設備來達到國家法定要求。
2.1.1 通信網絡
單位的通信網絡的安全主要包括:網絡架構安全冗余性等方面。
網絡架構是否合理直接影響著是否能夠有效的承載業務需要,因此網絡架構需要具備一定的冗余性,包括通信鏈路的冗余,通信設備的冗余。
合理的劃分安全區域,子網網段和VLAN。
2.1.2 安全區域邊界
區域邊界的安全主要包括:邊界防護、訪問控制、入侵防范以及安全審計等方面。
1、邊界防護檢查
邊界的檢查是最基礎的防護措施,首先在網絡規劃部署上要做到流量和數據必須經過邊界設備,并接受規則檢查,其中包括無線網絡的接入也需要經過邊界設備檢查,因此不僅需要對非授權設備私自聯到內部網絡的行為進行檢查,還需要對內部非授權用戶私自聯到外部網絡的行為進行檢查,維護邊界完整性。
2、邊界訪問控制
單位的網絡可劃分為如下邊界:
對于各類邊界最基本的安全需求就是訪問控制,對進出安全區域邊界的數據信息進行控制,阻止非授權及越權訪問。
3、邊界入侵防范
各類網絡攻擊行為既可能來自于大家公認的互聯網等外部網絡,在內部也同樣存在。通過安全措施,要實現主動阻斷針對信息系統的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,實現對網絡層以及業務系統的安全防護,保護核心信息資產的免受攻擊危害。
4、邊界安全審計
在安全區域邊界需要建立必要的審計機制,對進出邊界的各類網絡行為進行記錄與審計分析,可以和主機審計、應用審計以及網絡審計形成多層次的審計系統。并可通過安全管理中心集中管理。
2.1.3 管理中心
劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;
能對服務器進行監控,包括監視服務器的CPU、硬盤、內存、網絡等資源情況,能夠對系統服務水平降低到預先規定的最小值進行檢測和報警。
對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求; 對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
對網絡中發生的各類安全事件進行識別、報警和分析。
2.1.4 應急相應服務
為確保單位的外網日常安全運維,采用云端平臺結合安全防御節點上報的安全日志與取證數據,實現安全事件分析、防護策略的聯動,提供安全分析、事件閉環、安全預警、安全咨詢等服務,主要包括:
1、接收安全防御節點上報的安全事件相關的關鍵信息,通過機器+人工的方式對安全事件進行分析,將準確的分析結果反饋給用戶;
2、對于授權云端自動處置的用戶,提供安全事件自動閉環服務,將閉環策略直接下發到安全防御節點;對于未授權云端自動處置的用戶,提供安全事件的處置建議,指導用戶自主閉環安全事件;
3、為用戶提供周報、月報、緊急安全事件短信通知等服務,通過短信、郵件形式為客戶提供統一安全分析、專家服務、安全事件處置指導,使安全運維工作易懂、高效。
2.2 外網無線覆蓋建設
近些年來,隨著筆記本、手機、PAD等無線終端的崛起,辦公場所部署無線網絡也越來越重要。WLAN憑借自己的高帶寬、低成本、可漫游的技術優勢,能有效分擔用戶密集地點的2G/3G帶寬壓力,帶給客戶更佳的體驗;同時又可靈活地延伸固定寬帶網絡,促進固網和移動業務的有機融合;也可用于解決布線困難區域的網絡接入問題。
隨時隨地自由的接入網絡已成辦公網的基本訴求,WLAN無線覆蓋自然也就成為辦公網最基本的需求。
Wi-Fi 6是下一代802.11ax標準的簡稱。隨著Wi-Fi標準的演進,WFA為了便于WiFi用戶和設備廠商輕松了解其設備連接或支持的Wi-Fi型號,選擇使用數字序號來對WiFi重新命名。另一方面,選擇新一代命名方法也是為了更好地突出Wi-Fi技術的重大進步,它提供了大量新功能,包括增加的吞吐量和更快的速度、支持更多的并發連接等。
2.2.1 無線網絡設計
建設單位整體網絡網絡,除了要滿足現有員工容量的現狀與未來幾年內的發展之外,還需要根據無線網絡自身的特點,為其設計規劃一個與“有線無線網絡融合、一體化管理、高帶寬、大范圍覆蓋、安全可信”的無線覆蓋網絡,無線網絡規劃將從無 線信道帶寬保障、重點區域覆蓋、安全可信、網絡管理充分融合等多方面綜合考慮。本次覆蓋綜合樓1-8F辦公區域。
2.2.2 無線AP覆蓋規劃
1、無線覆蓋信號
覆蓋區域信號強度不低于-65dBm,移動辦公業務使用較為集中區域的接入速率應不低于140Mbps,一般使用的接入速率不低于50Mbps
2、容量計算
當無線覆蓋區域并發員工不超過60個,如果人員分布密集或集中辦公區,考慮增加AP部署密度。
3、工作頻段與頻點規劃
依照WLAN的國際規范和國際無線電管理委員會的標準,WLAN無線設備的工作頻段為2400-2483.5MHz,帶寬
83.5MHz,劃分為14個子信道,每個子頻道帶寬為22MHz,最多有13個信道可用。
在多個頻道同時工作的情況下,為保證頻道之間不互相干擾,要求兩個頻道的中心頻率間隔不能低于25MHz??紤]參照
北美標準設計的許多WLAN設備和終端(比如網卡)不能使用12、13信道做為辦公信道,因此建議一般選用1/6/11信道。
5GHz頻段:更多的頻譜資源-數量較多的不沖突頻點,更少的干擾(藍牙、微波爐),從40MHz信道綁定獲得最高的性能,802.11ac的客戶端只有在5GHz頻段上支持40MHz。
2.4GHz頻段:兼容原有的802.11a、b/g的客戶端;不建議在2.4GHz頻點使用40MHz信道綁定,大部分客戶端不支持;避免了802.11a、b/g與802.11n混用,降低性能。
2.3 機房物理環境整改
物理安全風險主要是指網絡周邊的環境和物理特性引起的網絡設備和線路的不可使用,從而會造成網絡系統的不可使用, 甚至導致整個網絡的癱瘓。它是整個網絡系統安全的前提和基礎,只有保證了物理層的可用性,才能使得整個網絡的可用性, 進而提高整個網絡的抗破壞力,例如:
機房缺乏控制,人員隨意出入帶來的風險; 網絡設備被盜、被毀壞;
線路老化或是有意、無意的破壞線路; 設備在非預測情況下發生故障、停電等; 自然災害如地震、水災、火災、雷擊等; 電磁干擾等。
因此,在通盤考慮安全風險時,應優先考慮物理安全風險。保證網絡正常運行的前提是將物理層安全風險降到最低或是盡量考慮在非正常情況下物理層出現風險問題時的應對方案。
新機房按照等保相關要求進行建設,按照場地機房裝修、配電防雷系統、配電橋架及線纜敷設、UPS系統、防雷接地系統、空調系統、環境監控系統、設備機柜系統、機房綜合布線系統、消防系統等,進行機房整體等級保護;
2.3.1 機房整改內容
機房改造包括天花板安裝,門禁改造等內容: 天花板采用微孔鋁板裝飾;
機房門口增加智能門禁;
2.3.2 機房布線
機房布線材料采用超五類雙絞線和附件,建立一套先進、完善的機房綜合布線系統,為機房管理各種應用,包括數據、語音、控制等應用系統提供接入方式、配線方案,從而實現系統配置靈活、易于管理、易于維護、易于擴充的目的。
2.3.3 恒溫設備
由于計算機機房處于長時間連續工作狀態,故機房的熱負荷較大。為給計算機機房提供一個良好的工作環境,主機房區按照實際熱負荷計算,需安裝機房精密空調一臺,其有效控制區域為主機房區,在部署精密空調設備時,需在精密空調下加裝承 載體,以減輕對樓板的壓力。
2.3.4 UPS備電系統
UPS主機、電池柜放置在機房主機區的配電區域內,其底部均加裝承載體,以減輕對樓板的壓力。
2.3.5 防雷接地
在每路電源的進線配電柜內,安裝符合實際需要的電源浪涌抑制器;當市電出現較長時間的脈沖電壓或瞬間大電流脈沖電壓時,應能夠立即把市電短路到地線,并保護負載和設備。
2.3.6 消防系統
在設備機柜的吊頂上、吊頂下及地板下均裝有火災探測器,對其全面監測、設防。
2.3.7 機房智能監控系統
機房智能監控系統監測功能如下:機房異常情況報警;實時監測及控制;交直流電壓監測報警功能及UPS檢測功能;精密
空調的運行狀態檢測;溫度監控報警功能;濕度監控報警功能;浸水報警功能;煙霧報警功能;報警管理功能具有遠程監控功能。
(三) 設備清單及詳細參數、功能(略)
?廣東中誠智聯信息技術有限公司是一家集設計、施工、服務于一體,專業的網絡信息化技術整體解決方案提供商,主要致力于:弱電系統集成、網絡安全服務兩個方向。公司現有技術員工IT從業經歷都超過15年,有豐富的售前、售中及售后的全方位服務經驗,并以良好的信譽和全面的技術支持向各界用戶提供科學先進專業的解決方案。憑借出色的技術和優質的服務,中誠智聯已成為眾多上市企業的安心選擇。
訂閱 | 合作
微信掃描二維碼關注中誠智聯最新動態
24小時服務熱線:18602099133
官網:m.mm34298.com