XX非涉密网建设方案.v1.0.docx

温州市人民检察院 非涉密网建设方案VI. 1温州市人民检察院信息技术处202X年8月第1章建设背景温州市人民检察院（以下简称：我院）现有网络主要建设在两张网上，一张为我院日常 访问因特网的办公互联网，另一张为承载业务数据的涉密网，目前几乎所有的业务数据都跑 在涉密网上随着我院业务的逐步开展，越来越多的业务数据平安级别不需要到达“涉密” 保护的要求，但仍然需要一定的平安性保障，不能使其与互联网直接进行数据交互，因此, 这局部业务数据只能在涉密网中运行这样一来，我院信息化建设的管理压力也是越来越大 同时，政法委部门正在推行网络互通及数据共享，在这样的大背景下，我院在上级院相关信 息化建设文件精神的指导下，急需建设一张独立于原来互联网和涉密网的“非涉密”网，用 于承载我院非涉密业务系统，到达和政法委专网互联并进行数据共享的目的方案参照标准我院本次“非涉密”网的建设方案是在上级院相关文件精神的指导下，参照以下标准和 要求进行拟定它们分别是：0《国家信息化领导小组关于加强信息平安保障工作的意见》0《关于加强党政机关计算机信息系统平安和保密管理的假设干规定》0最高人民检察院《人民检察院机关信息化工作管理方法》0最高人民检察院《检察机关计算机网络建设标准》0最高人民检察院《检察机关计算机网络平安保密管理标准》0信息平安技术信息系统平安等级保护根本要求0GB/T 20271-2006信息平安技术 信息系统通用平安技术要求0 GB/T 20270-2006信息平安技术网络根底平安技术要求0 GB/T 20984-2007信息平安技术 信息平安风险评估标准第3章需求分析我院本次“非涉密”网建设在保障检察院信息化建设先进性的根底上，主要面临以下几 方面问题：1、 虽然“非涉密”网承载的将是我院不需要进行涉密保护的业务系统，但是其中一些业务数据还是存在敏感信息，因此，在保障整个“非涉密”网根底网络平台7*24 小时无间断稳定运行外，这些敏感业务数据的平安保障还必须到达甚至高于相 对应等级保护的要求，在保障数据完整性的前提之下，做到数据的使用平安、 存储平安以及传输平安；2、 本次建设的“非涉密”网主要用于承载我院除涉密业务系统以外的内部业务系统平台，基于对“非涉密”网以及我院内部业务系统及相关数据平安的考虑，本次 建设的“非涉密”网必须与互联网进行隔离，并要求互联网与“非涉密”网无 任何数据交互，坚决禁止互联网数据进入“非涉密”网，杜绝互联网平安隐患;3、 本次“非涉密”网建设之后，我院将面临互联网、“非涉密”网和“涉密”网三网同时运行，对于我院相关工作人员来说，网络越多，工作复杂程度越大，因此“非涉密”网的建设在保证网络和数据平安的根底上，还应在一定程度上为单 位工作人员的使用便利性、固定资产（原PC、笔记本等）的利旧上面多做考虑, 力争在不增加工作人员使用复杂度的前提下最大程度提高资源利用率；4、 此外，我院信息化建设的现状主要表现为：维护人员少、维护要求高、维护压力大,“非涉密”网建设以后我院将要面临更多网络设备、更多的终端维护工作量（由于“非涉密”网需要和互联网和涉密网隔离），因此如何对新建设的网络和终端 设备进行有效的管理从而降低日常的运维工作量也是目前急需解决的问题；第4章建设方案4.1整体架构我院技术处在综合考虑本次“非涉密”网各方需求，征求上级指导部门意见，经过和各 方专家讨论后，基于高平安性、高可靠性、高可扩展性的设计原那么，兼顾信息化建设的先进 性、提高资源利用率、降低网络维护工作量的考虑，采用业界主流的虚拟化、平安技术进行 设计。

详细设备部署结构图如下：业务负责均衡数据库审计温州市检察院非涉密网建设方案非涉密网DMZ前宣区非涉密网 办公瘦客户 机接入 区广域网链路：万兆链路：千兆链路（备）： 千兆链路（主）：非涉密网运维管理区看守所接入SSL VPN接入主要设备部署及IP地址分配说明：1、 省非涉密网接入区：通过路由器与省非涉密网接入设备进行互联，设备WAN 口 IP地址（含Lookback地址）: ； LAN 口 IP 地址分别使用:和 ；（路由器推 荐品牌：华为、华三、cisco）2、 非涉密网核心区：两台防火墙双网桥模式部署，提供互联网接入区和非涉密网接入区的平安防护，WAN 口分别接路由器LAN 口和网闸，网桥IP（防火墙管理IP）地址使用： ；（防火墙推荐品牌：天融信、深信服、启明） 两台核心交换进行虚拟化，虚拟化之后采用两组逻辑接口接防火墙的两组逻辑接口分别使用 和；（核心交换推荐品牌:华为、华三、cisco）3、 互联网接入区：互联网出口采用防火墙网关模式部署，提供互联网接入平安防护和NAT等；在互联网 接入区核心交换和防火墙之间，网桥模式部署上网行为管理，提供行为管理、流控和审计功 能；（防火墙推荐品牌：天融信、深信服、启明；上网行为管理推荐使用：深信服） 核心交换和非涉密网之间部署网闸，提供互联网接入区和非涉密网的物理隔离，防止互联网 和非涉密网的数据交互；网闸IP地址使用：（网闸推荐品牌： 金电网安、网域星云、中网）;核心交换旁路部署互联网接入云平台，为非涉密网用户提供互联网访问虚拟桌面系统, 非涉密网PC机或笔记本电脑，通过浏览器进行虚拟桌面接入后访问互联网；部署SSLVPN 设备，提供办公人员移动办公接入；（云平台和SSLVPN推荐品牌：深信服）4、 非涉密网外联区：网桥模式部署防火墙，提供第三方接入（直属区县检察院、横向公安、法院等接入）安 全隔离防护，防火墙管理IP地址使用；对应的核心交换IP地 址使用和；对端第三方接入路由器WAN 口 IP地址使用 （防火墙推荐品牌：天融信、深信服、启明）5、 非涉密网运维管理区：在非涉密网运维管理区，旁路模式部署入侵防御设备、数据库审计设备、网络运维管理 设备、漏洞扫描设备，平安设备以及对应的核心交换机接口使用IP地址分别为： 143.83.0.65/27-143.83.0.94/27,本区域预留30个IP地址，以备使用；（入侵防御设备推荐品 牌：东软、深信服、绿盟；数据库审计设备推荐品牌：启明；漏洞扫描设备推荐品牌：绿盟; 网络运维管理设备推荐品牌：深信服、启明）6、 非涉密网数据中心：在数据中心出口网桥模式分别部署两台WEB防火墙，提供数据中心业务系统的WEB 平安防护、敏感信息防泄漏、网页防篡改等应用层平安防护，设备使用桥IP（管理IP地址）以 及对应的核心交换机接口地址、效劳器地址等使用143.83.0.129/25-143.83.0.254/25,本区域 预留126个IP地址以备使用；（WEB防火墙推荐品牌：深信服）7、 非涉密网办公接入区：本区域主要为楼层接入使用，客户端主要采用当前网络当中的办公PC、笔记本电脑， 该电脑默认处于非涉密网当中，当用户有需要接入互联网访问相关资源时，通过PC、笔记 本电脑，采用浏览器方式接入外网桌面云平台，使用外网云平台的虚拟机进行互联网访问， 所有计算资源和数据资源，均存储与外网数据中心，与内网进行隔离。

后续，如果有相应的 PC需要更新换代，可以采用瘦客户机进行替代相应使用IP地址段 ；市看守所接入 PC 使用 IP 地址段： 云平台和瘦客户机推荐品牌：深信服）4-2桌面云系统架构本次“非涉密”网建设采用虚拟桌面系统进行互联网和“非涉密”网网络隔离和数据隔离，整个桌面云系统架构说明如下：架构旧日日日日交换机AgentSANGFOR VMSL—r^!管理员:接入集群主^器进行管理虚拟机管理软件VMS /智能终端笔记本gilPC\瘦客户机/ 、\ a Desk /1、虚拟化根底架构虚拟桌面系统通过采用计算集群和存储集群相别离的架构，提升系统的可靠性效劳器集群完成虚拟机的按需分配以及集群内的热迁移，存储集群完成系统卷和用户卷的按需分配 以及跨磁盘/物理效劳器的存放采用双链路全冗余机制，防止效劳器与存储之间、效劳器 与通讯网络之间出现故障导致的停机事件，其中效劳器与存储网络、存储网络与磁盘阵列采 用多路径负载均衡机制保障数据读写的高性能，而效劳器与通讯网络之间采用双网卡绑定机 制保障可用性O2、虚拟机管理软件VMS每台效劳器都安装虚拟机管理软件VMS,将底层物理资源如CPU、内存、磁盘、I/O 等抽象成逻辑资源，形成动态管理的“资源池”，并根据实际需要创立适宜的虚拟效劳器VM, 每台VM可提供独立的桌面环境。

3、虚拟桌面控制器VDC作为虚拟桌面发布平台，为用户提供认证和桌面资源分配4.3平安设计思路本次“非涉密”网建设关系到我院日常业务平台的稳定性、可靠性和平安性，在方案安全性方案说明如下：1.内外网隔离和数据平安采用网闸进行“非涉密”网和互联网的隔离，禁止任何数据进行交互，也不允许互联网数据通过u盘、网络等方式带入到“非涉密”网，仅仅允许内网pc、笔记本对外网桌面云平台的接入访问；对于整个云平台采用本地认证、短信认证或数字证书等身份认证机制，保证平台接入身份平安；基于灵活策略设置USB端口使用权限（允许、禁止、单向传输）；提供集中的细粒度的策略，控制用户的授权访问桌面/应用；桌面注销时复原至原始状态，降低终端中毒风险在数据传输过程中，仅传输图像变化和指令信息，不直接传输实际数据2. “非涉密”网平安防护整个“非涉密”网明确分为了 7个平安域，在每个平安域之间均采用防火墙等平安方式进行平安域隔离与权限划分，保证平安域之间的隔离平安与授权访问，关闭不需要的端口在平安运维管理区，部署入侵防御、漏洞扫描，针对整个“非涉密”网提供漏洞平安防护和入侵防御，在“非涉密”网数据中心出口部署专业WEB防火墙，防止WEB攻击、敏感信息泄露、网页篡改等。

第5章设备选型方案序号设备名称及型 号描述数量品牌预算（万 元）、硬件局部1物理效劳器2*E5-2650/128G 内存/2*1T 硬盘(RAID1)/4*1GB 网卡/1*HBA双端口卡(brocade825)根据实际用户数选择2存储效劳器双控、4端口、控制块、FC、10K SAS 900GB*18、 4GB 缓存/控制块、阵列raidlO1台3防火墙提供平安域之间的隔离和 平安防护4台天融信、深信服、启明4WEB防火墙提供数据中心WEB安 全防护、敏感信息防泄漏、 网页防篡改等2台深信服5入侵防御提供对非涉密网的入侵防御1台东软、深信 服、绿盟6漏洞扫描提供非涉密网漏洞扫描1台绿盟、启明7运维管理提供非涉密网运维管理和设备、效劳器、应用监控1台深信服、启明8上网行为管理提供互联网接入行为 管理、流控、审计1台深信服9网闸提供非涉密网和互联网的物理隔离1台金电网安、网域星云、中网10SSL VPN提供移动办公接入1台深信服11核心交换、路由器等根底网络设备提供根底网络数据交换根据实际需要选择华为、华三、思科二、软件局部1效劳器虚拟化软件VMS裸金属架构，直 接安装于物理效劳器 上，提供性能强劲、 高可靠性的虚拟化计 算平台，实现虚拟机 快速部署、资源管理 和监控、动态迁 移、数据备份及恢复 等1套深信服2虚拟桌面系统及授权提。