工程实施方案.docx
《工程实施方案.docx》由会员分享,可在线阅读,更多相关《工程实施方案.docx(14页珍藏版)》请在冰点文库上搜索。
工程实施方案
XX平台
工程实施方案
目 录
第一章系统网络拓扑图1
1.1拓扑图1
第二章工程进度安排及分工界面2
2.1总体进度说明2
2.2工程实施计划3
2.2.1准备进场条件时间安排表3
2.2.2各厂家时间安排表4
2.3总结4
第三章安全策略及IP规划5
3.1安全策略5
3.1.1威胁和风险分析5
3.1.2系统安全策略5
3.2IP规划7
3.2.1VLAN划分情况7
3.2.2IP地址分配表7
3.2.3IP分配说明7
第四章机房布局安排及设备连接、布线情况8
4.1机房设备布置平面图8
4.2机柜内设备安装示意图9
4.3通信电缆布线计划表10
第五章硬件及操作系统、应用软件列表13
第六章服务器规划15
6.1数据库服务器连接方式15
6.2操作系统及系统软件15
6.3分区规划及数据库空间规划15
6.3.1操作系统15
6.3.2磁盘阵列空间规划:
15
6.4备份方式规划15
第一章系统网络拓扑图
一.1拓扑图
说明:
第二章工程进度安排及分工界面
二.1总体进度说明
为了保证XX前完成平台建设,以下网络工程施工任务要求在XX月XX日前完成,使整个系统具备调试的网络条件和操作系统环境条件。
具体内容包括以下几方面:
✧机房验收完毕,包括温、湿度,防静电要求等
✧所有设备验货、上架
✧网络布线
✧配置VLAN,使各子系统之间能顺利通讯
✧配置好四层交换机
✧配置好主干路由器
✧配置好防火墙
✧所有主机安装完操作系统及相关系统软件(包括数据库系统系统软件、网管软件、入侵检测)
二.2工程实施计划
二.2.1准备进场条件时间安排表
1)准备配套设施时间安排表
2)准备机房条件时间安排表
3)准备设备条件时间安排表
4)准备IP线路条件时间安排表
二.2.2各厂家时间安排表
二.3总结
时间进度安排:
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
✧XX月XX日:
XXX
……
关键时间点:
XX月XX日:
标志1
XX月XX日:
标志2
XX月XX日:
标志3
……
第三章安全策略及IP规划
三.1安全策略
三.1.1威胁和风险分析
攻击手段已由原来的主要依赖信号的截获与破译的被动攻击手段转为利用各种高科技手段和仪器,利用网络协议本身的不安全性、路由器的安全隐患、口令文件的安全隐患、操作系统的不安全性、数据库的安全隐患等,对信息系统实施主动攻击。
可能被攻击的方式有以下几种方式:
Ø窃密
Ø信息篡改
Ø假冒或伪造
Ø信息欺骗
Ø交易抵赖
Ø信息拦截、销毁
Ø黑客攻击
Ø病毒攻击
Ø获取访问权限攻击
Ø拒绝服务攻击
三.1.2系统安全策略
系统的安全问题分布在不同的层次和不同的方面,要保证XX平台的安全,不能单独的采用某种安全措施,必须综合各种安全措施,从不同的角度来保证系统的安全:
系统及网络安全
网络安全技术发展到今天,已经有成熟的方案来对付来自各方面的安全威胁。
信息技术的安全体系必须集成多种安全技术实现。
如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。
防火墙技术
网络层通讯可以跨越路由器,因此攻击可以从远方发起。
IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IPsweep,SequenceInsert,teardrop,sync-flood,IPspoofing攻击等。
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
从整体上来讲,XX必须采用防火墙技术来保证系统安全。
防火墙能防止来自"外部"世界XX的交互式登录的。
这大大有助于防止破坏者登录网络中的计算机上。
如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
这样隔离Internet,一方面可以防范公用网上非法用户的访问,另一方面可以防止服务器中心的一些重要数据被不合法用户所获取。
但是防火墙不能防范不经过防火墙的攻击,因此要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防火墙的检查。
入侵检测技术
入侵检测技术是近年出现的新型网络安全技术,通常采用实时检测方式,其目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
这种技术能够对付来自内部网络的攻击,且能够缩短黑客入侵系统的时间。
采取的入侵检测系统可分为两类:
1.基于主机:
入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
这种方式比较占用系统资源,但它可以比较准确的判断入侵行为,并针对入侵立即进行反应。
2.基于网络:
入侵检测系统用于监视本网段的任何活动,且实时的监视网络,但是其精确度较差,因此防入侵欺骗能力较差,但相对与防火墙来说监控得更细致。
安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。
安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于黑客在入侵网络系统时采用的工具。
商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
对网络设备、操作系统、数据库等等进行安全漏洞检测和分析,对整个网络实施实时监控。
安全扫描工具通常也分为基于服务器和基于网络的扫描器:
1.基于服务器的扫描器主要扫描服务器相关的安全漏洞,如passwd文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。
通常与相应的服务器操作系统紧密相关。
2.基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
通常该类扫描器限制使用范围(IP地址或路由器跳数)。
系统防病毒技术
在internet网上计算机病毒泛滥,联通电子商务平台必须具有防病毒能力。
目前市场上有大量商品化的防病毒软件,技术非常成熟,都能提供病毒预防,查杀病毒功能,同时还提供在线和自动升级功能,可自动下载最新的病毒码,并在下载完后自动完成病毒码安装更新,保证了病毒信息的及时性和有效性。
安全管理制度
尽管从技术上采用了多种安全防范措施,但完善的安全组织机构和规章制度仍是必不可少的。
根据调查,应用系统所出的安全问题20%来自与外部因素,而内部因素占到80%。
所以系统运营方需制定一系列的规章制度,并成立相关安全机构以确保应用系统的安全。
借助行政手段确保规章制度的遵守和执行,明确安全管理的职责和责任人。
三.2IP规划
三.2.1VLAN划分情况
各VLAN的具体地址段的分配为
VLAN1具体地址为:
192.168.1.0/24
VLAN2具体地址为:
192.168.2.0/24
VLAN3具体地址为:
192.168.3.0/24
VLAN4具体地址为:
192.168.4.0/24
VLAN5具体地址为:
192.168.5.0/24
VLAN6具体地址为:
192.168.6.0/24
三.2.2IP地址分配表
具体分配如下表:
三.2.3IP分配说明
1、将平台里的所有机器划分为C类地址,需要进行外部访问的机器由防火墙完成地址映
2、到165和到银河证券外部服务器的访问由防火墙完成安全访问控制,到联通内部的通讯也由防火墙完成安全访问控制;
第四章机房布局安排及设备连接、布线情况
四.1机房设备布置平面图
四.2机柜内设备安装示意图
四.3通信电缆布线计划表
第五章硬件及操作系统、应用软件列表
序号
应用名称
机型
主机名
密码
操作系统
平台IP地址
浮动ip
外部IP
应用软件/第三方软件
VLAN号
机柜
电缆编号
4507_1端口号
4507_2端口号
备注
XX部分
01
02
03
Net01
Net02
Net03
Net04
Net05
Net06
04
05
06
07
08
09
Net07
Net08
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
第六章服务器规划
六.1数据库服务器连接方式
六.2操作系统及系统软件
六.3分区规划及数据库空间规划
六.3.1操作系统
分区名称
分区大小
备注
/
/home
/opt
/tmp
/usr
/var
/stand
六.3.2磁盘阵列空间规划:
系统名称
数据库空间大小
备注
系统1
系统2
系统3
六.4备份方式规划
升级会员 