IT基础建设方案-初稿

XXXX社保局信息化平台系统设计方案初稿XXXX科技有限公司2011年6月目录第一部分总述................................................................................................................31.项目情况............................................................................................................32.建设原则............................................................................................................3第二部分网络建设.........................................................................................................41.网络架构............................................................................................................42.网络系统............................................................................................................52.1.网络三层架构.....................................................................................................52.2.Internet接入网络结构........................................................................................6第三部分安全系统建设.................................................................................................71.1.操作系统的安全规划..........................................................................................71.2.防火墙(Firewall).................................................................................................81.3.IPS（入侵防御）...............................................................................................81.4.防病毒(Anti-Virus)..............................................................................................9第四部分存储系统.......................................................................................................101.1.存储规划..........................................................................................................101.2.服务器应用情况................................................................................................101.3.数据情况分析...................................................................................................111.4.存储规划设计...................................................................................................11第五部分数据安全系统...............................................................................................141.1.规划指标..........................................................................................................141.2.业务分级..........................................................................................................141.3.数据安全架构...................................................................................................161.4.业务等级..........................................................................................................17第第一一部部分分总总述述此次项目是XX县社保局整体信息化系统建设方案。从前期了解的情况来看，社保局需要对其信息化业务平台进行统一规划。所涉及的方面包括：网络系统建设、服务器主机系统建设、存储系统构建及数据安全系统规划等。11..项项目目情情况况社保局此次准备在一幢新办公大楼建设IT信息化平台，整个系统都需要重新建设。从了解到的情况来看，社保局信息化平台如下：1、从应用结构上看，应用服务器主要包括：五险服务器（每个险种由一台服务器提供）；2、社保局网络由两部分构成：党政专网（用于业务内网连接，提供关键业务的访问），互联网（满足内部用户上网功能）；3、由于社保局信息化系统的特点，要求安全等级比较高，需要将两个网络进行物理隔离；4、内部终端用户有300多台，每个终端都要能访问业务服务器。同时，每个终端由于等级不同，一些终端要求具备同时访问内网与互联网的能力。5、关键业务系统是整个社保局信息平台的核心，要求能满足在灾难来临时能提供一定的保护措施与安全防护手段。22..建建设设原原则则在方案设计中，我们将从支撑信息化平台的各个方面来进行规划，建设一套满足用户要求的信息化平台系统。第第二二部部分分网网络络建建设设11..网网络络架架构构网络建设是信息化平台的基础，网络的整体规划是网络建设的第一部，从对上述要求的分析，我们规划网络架构如下：在网络建设中，我们采用两套网络：一套专网，一套互联网。两个网络利用隔离卡实现物理隔离：物理隔离卡是一个接口卡，将单一系统分成两个系统，且位于不同的网络环境中。每一个系统有其自己的资源，且不能共享，只连接唯一指定网络。将物理隔离卡安装在每一台客户端单机上，且为每一个客户单机购买一个存储外部网数据的硬盘。因为物理隔离卡不仅可以物理隔离内部网和外部网，而且可以物理隔离内部网硬盘和外部网硬盘。所以为了正确运行产品，需额外为外网购买一个硬盘。在系统中安装两个硬盘，分别装入独立的操作系统，通过物理隔离卡控制两个已分离的网络线和硬盘，而且当一个系统运行时，另一系统处于关闭状态。欲转换系统，需要先按正常程序关机，切换控制器，然后重新启动系统。这样一个重新启动过程，也是一个对CPU、内存、显示缓存等各种缓存进行物理清零的过程，以确保内外网信息不会经缓存相互间接传递，从而真正达到物理隔离的要求。22..网网络络系系统统2.1.网络三层架构由于实现了两套网络的隔离。每套网络都有自己的网络接入与核心设备。为满足不同的功能，网络的连接的方式有些不同，对网络的规划，我们采用三级分层的网络系统来规划整个网络：•核心交换层：由两台三层交换机构成，实现双机容错工作，保证数据的高速、无阻塞的交换。•分布层：可以由一组支持三层基础功能的交换机组成，负责完成服务器负载均衡和策略分布任务。主要部署在各个楼层，作为楼层与中心机房的通信设备。•访问接入层：由一组二层交换机组成，完成客户端的高速接入工作。主要部署在各办公区域•后端网络：实现IDC管理中心，数据库、邮件、应用等服务器和存储系统的连接，托管服务器通过第二块网卡和后端网络相连，保证独立和高速的数据访问。2.2.Internet接入网络结构由于本系统Internet接入服务用户主要来自于同层楼内的办公区，且相距较近，所以全部采用LAN结构为这些用户提供接入服务，如下图所示:第第三三部部分分安安全全系系统统建建设设从网络架构上来看，由于采用了物理隔离的网络规划，内部党政专网在一定程度上来说可以避免受到外部非法用户侵害的可能性。而与互联网络直连的外部网络则存在很大的安全隐患。也是安全系统主要考虑的对象外部网络系统安全架构的设计将包括两个方面：防止网络外部用户对内部网络系统可能的攻击，以及防止网络内部各子系统之间可能的攻击。这两个方面所采用的技术和思路是一致的。系统安全架构将从三个层次来考虑：网络层、主机/服务器系统及应用层。网络层的安全主要是防范对于整个网络的非法访问，一般通过防火墙来实现。通过配置了多级防火墙，以隔离网络各个组成部分相互之间的非法访问（合法访问可以通过）；对于Internet用户来讲，如果想非法侵入内部网络，必须突破防火墙的防范。另外，各级防火墙可采用不同的产品，以提高网络整体的安全性。主机/服务器系统的安全是针对个别机器的。除了主机/服务器的操作系统自身的安全性之外，目前有多种产品可供选择。应用层的安全将从三个方面来考虑：增强应用服务器系统的安全；采用身份认证机制，以保证应用的可靠性；采用数据加密技术和防病毒软件，以保证应用的安全性。1.1.操作系统的安全规划操作系统的安全性建设应是整个系统安全性建设的基础。操作系统的安全性建设主要包括用户的管理、超级用户的管理、文件系统安全管理、远程对系统的访问等。用户管理：对用户的管理主要有用户的账号口令管理，设置用户账号的有效期，用户账号口令的存活期限等。如果需要可以规定用户只能在指定的时间内才能登录系统，并对登录系统的用户进行审核（audit）。超级用户的管理：严格限制有普通用户变成超级用户（如使用su、rlogin等命令）。远程对系统的访问：封闭系统的telnet、ftp、r-访问（rsh、rlogin、rcp）等功能；但可以对系统管理员开放相应的telnet、ftp功能，以便利于对系统的管理和维护。1.2.防火墙(Firewall)防火墙(Firewall)是保证网络安全的重要手段之一，在建设IDC基础网络系统安全性时，首先是要考虑防火墙的建设。在Internet/Intranet上，通过防火墙来在两个或多个网络间加强访问控制，其目的是保护一个网络不受来自另一个网络的攻击，隔离风险区域与安全区域的连接，但不妨碍人们对风险区域的访问。防火墙要完成如下主要功能：