目录
1. 单位信息化建设现状分析
1.1 网络性能风险
1.2 管理功能风险
1.3 网络安全风险
1.4 数据安全风险
1.5 访问身份识别风险
1.6 信息化支撑环境风险
2. 需求分析
2.1 网络及管理需求分析
2.2 网络安全需求分析
2.3 数据安全需求分析
2.4 访问身份识别认证需求分析
2.5 信息化支撑环境建设需求分析
3. 规划思路
4. 建设目标
4.1 总体目标
4.2 网络建设
4.3 网络安全建设
4.4 数据安全建设
4.5 访问身份识别认证建设
4.6 信息化支撑环境建设
4.6.1 一体化智能机房支撑环境建设
4.6.2 超融合私有云平台支撑环境建设
5. 解决方案
5.1 企业信息化总体规划网络拓扑图
5.2 近期网络改造拓扑图
6. 规划预算
6.1 企业信息化总体规划建设预算
6.2 近期网络改造建设预算
7. 实施步骤
1. 单位信息化建设现状分析
近期通过对XXX企业运营(集团)有限公司(以下简称XXX企业)的财务系统及办公系统进行巡检,分别对上述系统的运行环境、运行的状态以及设备的健康情况都做了一次全面的检测。
通过这次巡检,发现XXX企业的网络性能和管理功能缺失、网络安全保护缺失、数据网安风险、访问身份识别缺失、信息化运行支撑环境缺失等重要的生产风险。以下分别详细说明上述风险情况。
1.1网络性能风险
XXX企业目前的财务系统使用的两台服务都是接入到一台傻瓜交换机,性能不足。影响业务处理效率,会导致数据传输瓶颈,日后业务量增加会造成系统卡顿,正常业务无法开展。
1.2管理功能风险
由于傻瓜交换机只做简单的数据转发,不能设置VLAN、访问控制策略、QOS等高级的网络管理功能,不具备管理性。网络一出现故障根本无从查起,随着单位业务的扩大,数据访问规模也不断增加这将是致命的风险。
1.3网络安全风险
网络中没有防火墙,对于网络边界控制无法有效保护。黑客容易攻击内网,瘫痪服务器,导致业务中断。内网电脑和服务器没有安装网络版的杀毒软件只有单机版软件,防护能力比较弱不能统一管理。存在病毒爆发的风险较高,如勒索病毒攻击,造成单位经济损失。
1.4数据安全风险
目前备份计划采用本机备份和手工拷贝的方式进行备份存储,没有实现异地备份要求。万一发生突发情况,容易导致数据损坏难以及时恢复。手工拷贝的数据管理层面上不规范容易丢失,也依赖人员的日常工作效率,存在备份不及时的情况。无法实现数据容灾业务切换本地数据损坏或突然灾害,数据全部永久丢失。
1.5访问身份识别风险
财务数据服务器访问是直接通过互联网打开网址访问,外网用户和未经授权的用户都可以直接访问到这个财务业务的网址,这些都没有经过授权身份验证,导致网上访问未授权人员随意访问,容易造成业务数据容易遭篡改、删除以及泄露等。
1.6信息化支撑环境风险
从目前设备存放环境,例如OA和合同服务器存放地点环境较为恶劣且不符合国家对信息化机房标准的规范,没有防雷、防盗、消防等安全措施。以及不符合国家等保建设要求。信息资产难以保障稳定运行,例如;盗窃、雷击损坏、火灾损坏。不符合国家《网络安全法》的建设要求,单位的相关责任人承担法律责任的风险。
上述风险的存在多是由于单位在长期的经营过程中逐步积累下来,因为信息化的建设都是跟随单位的业务发展而推进,大多是因地制宜有什么条件上什么系统的现象。也是国内企业信息化建设的通病,重建设轻设计,“头痛医头,脚痛医脚“的情况。大量的企业信息化建设往往最容易忽视的就是信息化的顶层设计和整体规划,忽略了企业业务飞速发展的可能以至于信息建设严重滞后于企业的发展。导致了上述风险的出现。
2.需求分析
2.1网络及管理需求分析
根据现有业务以及企业未来发展对带宽需求的分析,以及技术上千兆以太网技术更为规范、更为稳定可靠,并且最为广泛应用的特点,因此要求网络交换机的主干链路采用千兆端口链路。同时要求使用较高性能的交换机做为服务器接入交换机,未来可以配置更高性能的路由交换机做为核心交换机以承载整个企业网络的数据业务流量。针对各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、配合ACL等具体技术提升整个网络的可管理性。
2.2网络安全需求分析
首先在确保目前系统的边界访问保护安全的前提下,在网络出口部署防火墙,应对传统网络攻击和高级威胁,实现网络安全域隔离、精细化访问控制、高效威胁防护和高级威胁检测等功能。同时对出口的流量及访问做审计,以满足《网络安全法》对上网日志留存审计的要求。
在上述基础上再考虑安全等级保护的建设任务。用以满足公安部等保2.0相应等级的基本要求,综合平衡风险与资金投入,以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标的网络安全防御体系并落地为具体的安全需求,包括安全物理环境、安全网络通信、安全区域边界、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理各个层面的安全需求,将安全需求转化为可以实现的技术防护、安全管理措施,安全运营手段,设计合理的安全建设方案。建设“可信、可控、可管”的安全体系,从而实现以安全保应用,用安全促应用的最终目标。
2.3数据安全需求分析
为了实现核心业务的持续运行,保障企业业务的稳定发展。本项目要求建设数据备份解决方案,在出现服务器数据存储硬件或软件错误时,比如服务器硬盘损坏、数据中毒、遭遇误删误改、丢失等情况下,业务系统能有一份额外的数据实现数据的可恢复性,确保应用系统的安全,同时实现核心业务数据的连续性保护,避免数据丢失时间过长。
数据备份需求:
- 实现对核心数据的连续保护,以确保在发生逻辑错误时,可以将数据恢复至上一个正确的时刻。能够实现系统数据任意时间点的恢复,时间精度为微秒级,避免出现数据大量丢失。
- 灾备数据可以不通过恢复直接使用,方便进行数据验证,确保数据可用性。
解决客户通过互联网使用电脑及智能终端远程办公、专网环境办公等场景的未授权和安全接入问题。实现客户安全接入企业内部业务系统,如财务、OA、合同管理系统等。在满足客户的身份安全、传输加密、访问授权、日志追溯等多种安全需求基础上进行高强度链路加密和多维度身份认证。
2.5信息化支撑环境建设需求分析
信息化支撑环境包括数据中心机房以及数据中心私有云基础设施。企业数据中心机房主要是用于存放企业核心信息化设备的场所,就是企业信息化的中枢。数据中心机房的是集建筑,室内装修,配电,空调,安全防范,防雷接地,计算机网络等多个专业于一体的系统工程。机房系统设计与施工的优劣,直接关系到机房内企业信息化系统(如财务系统、OA系统、合同管理系统等)是否稳定可靠运行。因此,构建一个高可用性的机房环境,才能保证企业信息系统软硬件和数据免受外界因素的干扰,确保各项业务安全顺畅运行。
数据中心私有云基础设施通过超融合软件、超融合一体机等产品来承载用户业务,构筑云化演进的基石,降低用户初步建设云数据中心的复杂度与成本。同时针对企业多种业务应用大规模上云的用户,通过超融合基础架构,构建的不同资源池承载不同类型的业务,同时解决业务安全分级与业务连续性保障的问题。未来针对数据中心私有云建设需求,以超融合为IT基础架构,完善私有云建设,包括云管体系、云安全体系、并初步构建容器云与应用商店等,以提升IT的管理能力与效率。
3.规划思路
企业信息化的建设坚持“统一规划、分布实施、自主应用、资源整合、数据共享、网络安全合规”的指导思想。
统一规划
企业信息化的建设是一个庞大的系统工程、涉及数据中心技术、网络技术、计算机技术、通讯技术、数据库技术、网络安全技术和软件技术等多个方面。具有投资大、建设难、周期长、涉及部门和人员多等特点。必须站在学校的层面高度,整体规划;保证统一的数据标准、统一技术路线、统一基础架构和统一组织管理。避免传统信息化建设,重建设、轻规划导致的各自为战、应用孤岛和数据孤岛的问题。
分布实施
企业信息化建设周期长、投入大,涉及需求调研、方案论证、系统选型、部署与集成、人员培训、应用推广、运行反馈、修改完善等多个过程。所以整体建设必须统筹安排,分布实施,确保进度和质量,降低失败风险。企业信息化建设的核心目的是应用和数据共享。应使企业的各个智能部门的实现管理信息化,让上下级部门之间沟通更便捷;平级部门之间数据共享交换;提高企业决策的科学性和民主性;提升智能部门管理的高效性和服务性;为企业管理人员和员工提供个性化的综合信息服务。
实用性和经济性
信息化设计应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设办公网信息化建设的网络扩展系统,保护用户的投资。
先进性和成熟性
既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证此网络建设的领先地位,并随时进行扩展和升级。
高可靠
稳定可靠是信息正常流动的保证也是网络设计基本的原则。设计中应采用高可靠性的网络产品和冗余链路、制定完备的网络备份策略来满足可靠性的要求,使网络具有故障自愈的能力。可靠性设计不仅包括网络设备、链路等物理设计的可靠性,同时包括路由等逻辑设计的可靠性。
高性能
网络规划设计和设备选型时,要注意消除链路带宽、节点转发性能等瓶颈;选择高性能、高带宽的网络设备,保障全网高速线速转发。
高安全
随网络的不断发展,安全问题已日益引起广泛的关注,为保证网络的具有良好的安全性,需系统地、有条理地进行全面规划,充分地、全方位地考虑安全需求和特性。针对网络内部的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、配合ACL等具体技术提升整个网络的安全性。
可扩展性
设计构架具有可扩展性,为业务的发展打下良好基础。业务的发展对网络的需求是不断变化的,网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求,网络应当能够作出快速和有效的反应。因此,网络必须具备良好的可扩展性,应支持核心业务系统的不断扩展,适应未来业务的发展和变化。同时,网络结构应当能够变化,具有灵活的伸缩能力,网络设备可以扩充和升级。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
易管理
“三分建设,七分运维”,运维管理是信息化的基础,需要实现动态实时的全程监控管理,通过图形化软件,实现设备配置、设备监控、链路监控,软件升级等工作,提升运维管理效率。
4. 建设目标
4.1总体目标
通过企业信息化建设,构建可以满足企业长期持续发展的应用架构;通过企业信息化建设框架为应用系统建设提供良好的支撑和服务。建设完整统一、技术先进、全面覆盖、高可靠、高性能、高效稳定、安全可靠、可扩展的企业信息化系统。消除信息孤岛和应用孤岛。以信息化建设手段为抓手,适度超前规划建设。全面护航XXX企业未来业务发展对信息化的需求。
4.2网络建设
网络交换机采用高性能千兆三层以太网交换机,该系列交换机采用全新的硬件架构设计,搭载专用的模块化操作系统,提供更大的表项规格、更快的硬件处理性能、更便捷的操作使用体验。高性能交换机可以为大型网络汇聚、中小型网络核心提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置,有效满足高速、安全、智能的企业网需求。
4.3网络安全建设
通过对前述网络的边界风险与需求分析,在单位网络出口的网络层进行访问控制需部署防火墙产品,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,杜绝越权访问,防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动,为网络创造全面纵深的安全防御体系。
防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
未来随着企业业务的发展,对网络安全的防护也会随着信息资产的不断增加而增加。可以结合《网络安全法》以及《安全等级保护》2.0的要求,对企业的网络系统进行网络安全等级保护的建设。等保安全防护建设包括“一个中心,三重保护(安全管理中心、安全通信网络、安全区域边界以及安全计算环境)“以及物理安全防护。同时建立相应安全管理制度。
4.4数据安全建设
根据需求和业务特点,在私有备份容灾云平台方案的设计中,我们从以下几点出发,作为方案设计的原则,从而保证整个方案的针对性和合理性。
Ø 符合行业技术潮流和发展方向
软件产品符合国际主流的技术和发展方向,具有很长的技术寿命。
Ø 具有云备份架构的体系结构
基于云架构的体系结构具有极强的平台可扩展性和可扩充性。
Ø 支持未来应用系统的可扩展性
通过模块化的扩展支持未来可能投入使用的应用系统,减少额外投资。
Ø 尽量减少对正常的业务系统的影响
备份容灾云的实施尽量少的影响正常的业务系统。
Ø 全面性
要求方案首先要能够备份和管理现有所有环境,从异构的环境、异构平台和异构应用都能提供一体化的备份和恢复,从操作系统、应用数据库到文件数据,可以提供统一的管理,与现有设备兼容,并能兼容流行厂商的存储设备与方案。全面性直接决定了方案的可行性。
Ø 数据恢复的可靠性
备份的数据系统具有可靠的恢复能力。
Ø 系统的安全性
备份系统能够提供全面的安全体系,从生产数据、备份数据和备份系统的管理都应该具有高可靠的安全保障体系,保证数据的安全。
4.5访问身份识别认证建设
通过部署VPN多功能网关实现用户在任何时间、任何地点、使用任何终端都能安全地接入业务系统。它以IPSEC/SSLVPN二合一网关作为基础,通过构建一套平台,帮助用户节省大量的IT建设开支,还可以统一地管理用户的身份、权限和接入设备,监控系统环境是否安全。只需简单的鼠标操作即可完成配置,无需专业人员维护。还可以对VPN隧道内的流量进行查看和控制,建立起可视化的VPN网络,为通过VPN开展的关键业务提供保障。
同时多功能网关还能实现上网行为管理——规范上网行为,保障信息安全。可对用户的上网行为进行精细化管理,支持HTTPS审计,网页内容/搜索引擎访问过滤、可针对QQ等聊天工具、邮件、论坛、微博等进行内容安全审计,并生成审计报表,保障企业信息安全。从而符合《网络安全法》对上网日志记录审计的要求。
4.6信息化支撑环境建设
4.6.1 一体化智能机房支撑环境建设
随着企业内部网络、通信和计算机系统的大规模应用和发展,作为其核心的各种机房的重要性越来越突出。机房的动力、环境设备,如配电、不间断电源、空调、消防、监控、防盗报警等子系统,必须时刻保证能够提供系统正常运行所需的环境。
机房的性能和能耗比将成为机房评估的一个重要指标。随着节能意识的加强,各种节能措施将被实施,如高效率UPS(尤其在负载率的运行状态)、围护结构的绝热处理、低传热系数玻璃的采用等。另外,针对目前采用的房间内开放式制冷模式的"冷库式"机房,在有些应用场合将被采用房间内密闭空间的封闭式制冷模式的"冰箱式"机房所替代,用以减少或消除围护结构的能耗、提高制冷效率。
"机柜就是机房"的概念逐渐被接受。这是从"IT微环境"或机柜是模块化的机房环境这方面考虑机房的作用,井以此为出发点来规划、设计机房的模式。设计思路上“选址--布局--机房设备(指UPS、空调等)摆放--机柜摆放”的设计逻辑将完全逆转。
"一体化机房"或"整体机房"概念将被实施。标准化的、定制化的、预生产的、组件式(或称积木式)的、整体设计的机房构建(或称"搭建")模式将越来越普及,尤其是针对中小型机房用户。
4.6.2 超融合私有云平台支撑环境建设
伴随着数据与业务的集中,传统数据中心的硬件架构已经无法满足业务的快速上线和灵活的业务部署。本次私有云平台数据中心建设项目推荐使用企业级云方案,即通过“超融合架构”方案,基于分布式云数据中心架构,通过软件定义的方式实现全新的IT基础架构,通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过兼容分布式虚拟存储和各类外置存储实现存储空间的融合,同时提供完整的安全和灾备方案。
平台具备良好的扩展能力,满足数据中心长期发展的要求。根据业务的发展预测,平台系统定期按照适度预留的原则进行建设,能在规定时间内快速响应新的用户,新的业务的新增要求。满足资源的随时随地按需分配,需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。
企业私有云平台计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过 Web 界面使用该功能。
自动化的部署流程不仅能做到“随需应变”,适应用户的需求,而且能够带来以下好处:引入技术和创新的时间缩短,设计、采购和构建硬件和软件平台的人力成本降低,以及通过提高现有资源的利用率和复用率节省成本。
5.解决方案
5.1企业信息化总体规划网络拓扑图
XXX企业信息化建设总体规划建设包括一体化智能机房、超融合私有云平台、高性能智能化网络、网络安全等保系统以及异地灾备系统等。
5.2近期网络改造拓扑图
根据XXX企业现在网络信息化建设的现状,近期急需改造的部分包括增加网络边界防火墙预防网络攻击;增加VPN多功能网关用于确保外部访问是经过安全加密及认证授权的,杜绝非授权人员通过网络访问财务系统。同时记录单位内部上网日志确保符合《网络安全法》的要求;增加一台高性的核心交换机确保网络访问性能,确保不造成网络访问瓶颈;以及实现对网络的精细管理,包括设置VLAN、访问控制、MAC地址绑定等。在内部网络增加一套终端安全管理系统用以统一的终端电脑安全管理,如统一的杀毒、病毒库升级、补丁管理、信息资产统计等,从而防止网络病毒在终端电脑上感染暴发。最后是增加一台本地的备份一体,对核心财务数据进行实时自动的备份,解决数据丢失的后顾之忧。
6. 规划预算
6.1企业信息化总体规划建设预算
序号 | 项目 | 内容 | 预算(万元) |
1 | 一体化智能机房 | 含机房土建工程、装修工程、电气工程、环境控制工程、防火工程、应急电源工程、弱电工程等(按50平米建设) | 80 |
2 | 超融合私有云平台 | 含超融合一体机、私有云平台软件、数据中心交换机、超融合安全软件等(以四个计算节点计算) | 65 |
3 | 高性能智能化网络 | 含性能双冗余核心交换机、汇聚交换机、接入交换机。WIFI6高速无线网络,实现千兆到桌面,万兆骨干互联局域网 | 50 |
4 | 网络安全等保系统 | 含安全边界防护、安全通讯保护、安全计算环境保护以及安全管理中心,物理安全保护等。二级安全测评(按二级等保建设) | 75 |
5 | 异地灾备系统 | 含异地机房建设、网络安全、灾备一体机等 | 85 |
合计 | 355 |
6.2近期网络改造建设预算
序号 | 产品名称 | 产品描述 | 单价 | 数量 | 总价 |
1 | 防火墙 | 多核AMP+架构,网络层吞吐量8G,并发连接≥230万,每秒新建连接数15万, 标准2U机箱,冗余电源,标准配置6个10/100/1000M自适应电口,4个SFP插槽,另有1个接口板卡扩展插槽,1个Console口,支持液晶屏;配置128GB SSD固态硬盘存储;含三年硬件维保服务,需选配特征库升级。 | 1 | ||
2 | 核心交换机 | 28个10/100/1000M自适应电口,4个复用的SFP接口(SFP为千兆/百兆口),4个1G/10G SFP+光口,2个模块化电源插槽 | 1 | ||
3 | 70W交流电源模块,支持1+1电源冗余 | 2 | |||
4 | VPN多功能网关 | 固化8个千兆电口,固化1个千兆光口,固化1个万兆光,2G内存,内置1T硬盘,1U尺寸,并发带机数500(集成状态防火墙/安全域,若需要网监对接功能,请单独下单网监对接功能授权,RG-EG-WJ-LIS) | 1 | ||
5 | 终端安全软件 | 病毒查杀引擎包括云查杀引擎、鲲鹏(含AVE引擎)、Behavioral脚本引擎(QEX)、QVM等引擎,支持多引擎的协同工作对病毒、木马、等进行查杀,提供主动防御系统防护等功能。(含50个终端,5个服务器) | 1 | ||
6 | 备份一体机 | 1、标配具备Windows、Linux、环境下数据库备份功能,包括SQL Server、Exchange Server、AD、Orcale,Oracle RAC,DB2,MySQL等应用的增量备份和热备份,不限制服务器备份授权数量 | 1 | ||
小计 | |||||
基础维保服务 | 设备开局调试,远程技术支持、远程问题处理、在线技术支持、软件更新支持、标准保修 | 1 | |||
总计 |
7. 实施步骤
阶段 | 时间 | 建设内容 |
第一阶段 | 2021年四季度 | 近期网络改造建设部分 |
第二阶段 | 2022年择机 | 企业信息化总体规划建设部分 |