中国商飞信息化技术方案网络安全平台.docx
《中国商飞信息化技术方案网络安全平台.docx》由会员分享,可在线阅读,更多相关《中国商飞信息化技术方案网络安全平台.docx(17页珍藏版)》请在冰点文库上搜索。
中国商飞信息化技术方案网络安全平台
中国商飞信息化技术方案网络安全平台
网络安全平台
技术方案
项目号
文档编号
工程编号
版本号
1.1
保密级别
一样
隐秘
隐秘
绝密
上海宝信软件股份
2020年03月
中国商飞公司信息化
网络安全平台
技术方案
编制日期:
审核日期:
批准日期:
上海宝信软件股份
修订历史
日期
作者
版本
修订缘故
要紧修订内容
1.网络及安全基础平台介绍5
1.1.网络安全基础平台概述5
1.2.网络安全基础平台规划目标及支撑范畴5
2.技术方案6
2.1.网络安全基础平台层次架构6
2.1.1.涉密网网络安全基础平台层次架构图6
2.1.2.业务网网络安全基础平台层次架构图6
2.2.网络安全基础平台功能7
2.2.1.涉密网网络安全基础平台功能8
2.2.2.业务网网络安全基础平台功能9
3.建设打算建议12
1.网络及安全基础平台介绍
2.
2.1.网络安全基础平台概述
2.2.
中国商飞公司网络作为设计、制造、服务、治理等应用的数据流转平台,按照地域划分为公司行政办公区、客户服中心、总装制造和研发设计中心四个区域,其中公司总部在张杨路,设计研发中心在龙华,总装制造中心在大场而客户服务中心那么在闵行紫竹,各区域之间通过租用运营商线路的方式实现高速互联,而公司客户和国内外供应商那么通过IPSECVPN、SSLVPN等方式接入,此外各协作单位通过专线等方式接入。
而在职能上,中国商飞公司网络又划分为涉密网和业务网两个物理隔离的网络。
其中涉密网同上级主管单位以及保密部门互联,要紧用于涉密文件、流程的处理。
业务网那么为集团与各成员单位之间在飞机设计、飞机制造、客户服务等各个环节有效的信息传递、交换和共享,形成基于数字化的飞机研制、生产、服务治理的业务环境提供服务,并对外提供IPSECVPN、SSLVPN等安全的接入方式。
四个区域中都包含有涉密网以及业务网两部分。
2.3.网络安全基础平台规划目标及支撑范畴
2.4.
参照公安部于2005年公布的«信息系统安全等级爱护差不多要求»,从长远角度动身对中国商飞公司网络安全基础平台建设进行规划工作,实现涉密网网络安全平台建设达到信息系统安全等级爱护差不多要求第四级以及业务网网络安全平台建设达到信息系统安全等级爱护差不多要求第三级的目标,为商飞公司PDM、ERP、MES等数字化信息系统运行提供安全、可靠、高效的基础支撑环境。
3.技术方案
4.
4.1.网络安全基础平台层次架构
4.2.
4.2.1.涉密网网络安全基础平台层次架构图
4.2.2.
图一:
涉密网整体网络安全层次架构图
架构图说明:
1)商飞公司涉密网网络安全架构层次共划分为5个大安全区域:
涉密网、涉密骨干网区域、属地涉密办公网区、属地涉密服务器区以及涉密网数据中心/灾备区域,安全级别依次递升;
2)
3)涉密网外联区:
定位于商飞公司内部涉密网与外部涉密互联区域;
4)
5)涉密骨干网区域:
定位于为各区域所属涉密网同其它区域涉密网互联而设立的区域;
6)
7)属地涉密网办公区:
定位于为各区域所属涉密网中的办公用户接入而设立的区域;
8)
9)属地涉密网服务器区:
定位于为各区域所属涉密网中内部服务器接入而设立的区域;
10)
11)涉密网数据中心/灾备区域:
定位于为商飞公司涉密网核心数字化信息系统接入而设立的区域;
12)
4.2.3.业务网网络安全基础平台层次架构图
4.2.4.
图二:
业务网整体网络安全层次架构图
架构图说明:
1)商飞公司业务网网络安全架构层次共划分为5个大安全区域:
Internet区域、业务骨干网区域、属地业务网办公区、属地业务网服务器区及业务网数据中心/灾备区域,安全级别依次递升;
2)
3)Internet区域:
定位于为商飞公司业务网提供安全的因特网访问和对外信息公布而设立的区域。
对因特网提供服务的安全系统和应用系统均部署在此区域;
4)
5)业务骨干网区域:
定位于为各区域所属业务网同其它区域业务网以及数据中心互联而设立的区域;
6)
7)属地业务网办公区:
定位于为各区域所属业务网中的办公用户接入而设立的区域;
8)
9)属地业务网服务器区:
定位于为各区域所属业务网中内部服务器接入而设立的区域;
10)
11)业务网数据中心/灾备区域:
定位于为商飞公司业务网核心数字化信息系统接入而设立的区域;
12)
4.3.网络安全基础平台功能
4.4.
中国商飞公司网络安全基础平台分为涉密网以及业务网两套物理隔离的网络,每套网络都有各自独立的结构化布线系统和网络安全系统。
两套网络安全基础平台的建设均参照信息系统安全等级爱护差不多要求中的技术标准进行规划。
4.4.1.涉密网网络安全基础平台功能
4.4.2.
图三:
涉密网网络安全拓扑架构图
商飞公司涉密网网络及安全基础平台规划中采纳的架构及技术以信息系统安全等级爱护差不多要求第四级中的以下指标为依据:
Ø结构安全〔G4〕
Ø
Ø访问操纵〔G4〕
Ø
Ø边界完整性检查〔G4〕
Ø
Ø入侵防范〔G4〕
Ø
Ø恶意代码防范〔G4〕
Ø
Ø网络设备防护〔G4〕
Ø
Ø通讯保密性〔S4〕
Ø
Ø数据安全及备份复原〔S4〕
Ø
涉密网网络平台功能规划:
商飞公司涉密网按功能划分为涉密骨干网和属地涉密网两部分。
核心层高性能路由器部署在涉密骨干网中,所有属地涉密网以及涉密网数据中心/灾备中心均通过双路上联至骨干网路由器上,再转而接入至涉密网中。
每个属地涉密网由办公网以及服务器区两部分组成,其中办公网用于用户的接入而服务器区域那么为属地内部服务器提供接入,属地涉密网采纳千兆主干、百兆至桌面的网络架构,不同安全区域间通过防火墙进行逻辑隔离,通讯链接间采纳专用设备进行链路加密,此外网络中的核心节点以及链路均考虑到了冗余设计。
商飞涉密网规划建立主、备两个数据中心,两个数据中心网络结构保持一致,采纳核心、接入两层架构,网络核心以及接入设备均采纳千兆架构以满足高速、大量的数据传输要求,两个网络中心间通过专线实现互备,并部署专门的线路仅供两个中心间备份数据传输使用,保证数据备份的可用性、可靠性。
此外,网络中的核心节点以及链路均考虑到了冗余设计。
涉密网安全平台功能规划:
涉密骨干网:
1.使用专门的链路加密设备对涉密骨干网同属地涉密网以及涉密主干网互联的线路进行加密,保证重要数据在涉密网中流转时的隐秘性以及可靠性要求。
2.
3.在涉密骨干网中部署入侵防护设备,该设备具有实时检测和拦截多种攻击特点的实时入侵防范功能,能够对关键信息资源进行完全爱护,保证商飞涉密网的安全。
4.
5.通过流量监控设备,分析涉密网流量及其使用的网络协议,为确定网络使用状况及带宽使用率等提供准确的资料。
6.
属地涉密网:
1.在属地涉密网出口部署防火墙设备,通过防火墙将涉密办公网、涉密服务器区域、涉密骨干网以及其它属地涉密网进行逻辑隔离以及访问操纵。
2.
3.在属地涉密网中部署属地防病毒系统,对属地办公网和服务器区终端防病毒客户端进行统一治理,实现立体全方位的病毒防护体系。
4.
5.在属地涉密网办公区中部署终端安全准入操纵系统,通过终端接入健康检测、IP地址治理、资产信息治理、进程监控、组织机构治理、外设与端口监控、非法外联监控、软硬件变更监控等操纵措施,确保涉密办公网的终端接入安全要求。
6.
7.通过在商飞涉密网中部署网络治理系统,实现对涉密网络系统的拓扑发觉、故障报警、Log信息收集等功能。
8.
涉密网数据中心/灾备中心:
1.在数据中心网出口部署高性能防火墙设备,通过防火墙将数据中心、涉密骨干网以及其它接入区域进行逻辑隔离以及访问操纵。
2.
3.在主、备两个数据中心间部署专门的通讯线路,为数据中心间备份数据同步提供高速、可靠的承载平台。
4.
4.4.3.业务网网络安全基础平台功能
4.4.4.
图四:
业务网网络安全拓扑架构图
商飞公司业务网网络及安全基础平台规划中采纳的架构及技术以信息系统安全等级爱护差不多要求第三级中的以下指标为依据:
Ø结构安全〔G3〕
Ø
Ø访问操纵〔G3〕
Ø
Ø安全审计〔G3〕
Ø
Ø边界完整性检查〔S3〕
Ø
Ø入侵防范〔G3〕
Ø
Ø恶意代码防范〔G3〕
Ø
Ø网络设备防护〔G3〕
Ø
Ø通讯保密性〔S3〕
Ø
Ø数据安全及备份复原〔S3〕
Ø
业务网网络平台功能规划:
商飞公司业务网按功能划分为Internet出口、业务骨干网、属地业务网以及业务网数据中心。
核心层高性能路由器部署在业务骨干网中,所有属地业务网以及数据中心/灾备数据中心均通过双路上联至骨干网路由器上,从而实现商飞业务网的互联。
所有需要访问Internet的业务网用户通过统一的Internet出口实现访问需求,需要对外提供服务的各应用以及安全系统均部署在Internet区域中。
公司客户、国内外供应商、驻外办事处以及移动办公用户可通过Internet区域设置的IPSECVPN、SSLVPN访问到业务网中所必需的资源,而各协作单位那么采纳专线方式直截了当接入到业务骨干网中。
每个属地业务网由办公网以及服务器区两部分组成,其中办公网用于用户的接入而服务器区域那么为属地内部服务器提供接入,属地业务网采纳千兆主干、百兆至桌面的网络架构,不同安全区域间通过防火墙进行逻辑隔离,通讯链接间采纳专用设备进行链路加密,此外网络中的核心节点以及链路均考虑到了冗余设计。
商飞业务网规划建立主、备两个数据中心,两个数据中心网络结构保持一致,采纳核心、接入两层架构,网络核心以及接入设备均采纳千兆架构以满足高速、大量的数据传输要求,两个网络中心间通过专线实现互备,并部署专门的线路仅供两个中心间备份数据传输使用,保证数据备份的可用性、可靠性。
此外,网络中的核心节点以及链路均考虑到了冗余设计。
业务网安全平台功能规划:
Internet区域:
1.在Internet区域部署多条不同ISP提供的Internet线路,并通过专门的链路负载均衡设备实现Internet线路的负载均衡以及冗余备份。
2.
3.通过防火墙设备操纵来自外部接入网的连接要求,同时屏蔽内部对企业关键资产及敏锐信息的非法访问,并为国内外供应商以及驻外办事处提供IPSECVPN接入。
4.
5.在Internet区域中部署入侵防护设备,该设备具有实时检测和拦截多种攻击特点的实时入侵防范功能,能够对关键任务资源进行完全爱护,从而保证商飞业务网的安全。
6.
7.针对不同用户、应用关于Internet带宽使用的不同要求,通过专门的带宽治理设备来实现Internet带宽分区、分类网络流量、基于应用级别的带宽分配需求,进一步保证关键应用的可用性。
8.
9.通过专门的SSLVPN产品并结合双因素身份认证的方式,为公司客户以及移动办公人员在Internet环境下访问业务网中重要应用资源提供安全的通道。
10.
11.通过网络安全审计系统以及流量监控设备,对业务网用户的上网行为进行实时监控,并记录储存相关日志。
同时分析上网流量及其使用的网络协议,为确定网络使用状况及带宽使用率等提供准确的资料。
12.
13.通过Web反向代理设备,规避了外部Web服务器以及应用直截了当暴露在外部用户前而可能存在的安全隐患。
14.
业务骨干网:
1.使用专门的链路加密设备对业务骨干网同属地业务网以及业务网数据中心互联的线路进行加密,保证重要数据在业务网中流转时的隐秘性以及可靠性要求。
2.
3.通过部署网络治理系统的方式,对业务主干网络系统的拓扑发觉、故障报警、Log信息收集等功能。
4.
属地业务网:
1.在属地业务网出口部署高性能防火墙设备,通过防火墙将属地办公网、属地服务器区域、业务骨干网以及其它属地业务网进行逻辑隔离以及访问操纵。
2.
3.在属地业务网中部署属地防病毒系统,对属地办公网和服务器区终端防病毒客户端进行统一治理,实现立体全方位的病毒防护体系。
4.
5.在属地办公网中部署终端安全准入操纵系统,通过终端接入健康检测、IP地址治理、资产信息治理、进程监控、组织机构治理、外设与端口监控、非法外联监控、软硬件变更监控等操纵措施,确保属地办公网的终端接入安全要求。
6.
商飞数据中心〔主、备〕:
1.在数据中心网出口部署高性能防火墙设备,通过防火墙将数据中心、业务骨干网以及其它接入区域进行逻辑隔离以及访问操纵。
2.
3.在主、备两个数据中心间部署专门的通讯线路,为数据中心间数据同步提供高速、可靠的承载平台。
4.
4.5.涉密网与业务网关系说明
4.6.
商飞公司网络安全基础平台依照职能划分为涉密网与业务网两套物理隔离的网络,每套网络都具有独立的结构化布线系统以及网络安全系统,但从两套网络设备部署的物理位置上来说,各属地以及数据中心下的涉密网、业务网相关设备都部署在临近的地理位置内。
依照信息安全等级爱护差不多要求,由于涉密网、业务网两套网络的安全等级有差异〔涉密网为第四集,业务网为第三级〕,两个网络间不承诺在没有任何防护措施的情形下进行数据交互,必要时需要采纳手工的方式进行数据的流转。
但假设业务网同涉密网间数据传输要求较高,采纳手工的方式效率过低,阻碍到了公司业务的正常流转,那么能够在业务网与涉密网间通过建立安全爱护等级均满足第四级要求的通讯接口作为两网间数据传递的安全通道,以下为两网间数据传输安全通道的建立方式。
图五:
业务网、涉密网数据传递安全通道架构
在业务网与涉密网内各部署一台专门用于网间数据流转的专用前置机,两个前置机间通过隔离网闸实现数据传递安全通道的建立,并仅在必要时开通。
5.建设打算建议
6.
1.网络安全基础平台建设
2.
内容:
完成网络安全基础平台总体方案设计,网络、安全平台建设。
时刻节点:
2020-2020年完成
3.灾备数据中心网络安全基础平台建设
4.
内容:
完成灾备中心网络安全平台总体方案设计,网络、安全平台建设。
时刻节点:
2021年完成
.〔.....〕成立于2004年,用心于企业治理培训。
提供60万企业治理资料下载,详情查看:
...../map.htm
提供5万集治理视频课程下载,详情查看:
...../zz/
提供2万GB高清治理视频课程硬盘拷贝,详情查看:
...../shop/
2万GB高清治理视频课程名目下载:
...../12000GB.rar
高清课程可提供免费体验,如有需要请于我们联系。
咨询:
020-.
值班手机:
.
网站....
升级会员 