1、集团公司网络改造方案建议书目录1.网络出口安全问题32.网络带宽管理问题33.网络架构问题64.无线网络覆盖问题65.桌面运维管理问题75.服务器数据安全问题93.预算清单101.网络出口安全问题集团公司网络出口设备应配备1台华为路由器，该产品主要用于集团公司上网用户的IP地址转换，外网光纤链路为电信50M，由于路由器未提供安全功能模块，集团公司的网络安全受到很大危险，同时集团公司的销售人员在出差时需远程访问公司内网业务系统，现有设备没有防火墙、入侵检测、VPN等功能，某些功能需要购买软件授权才可以实现。急需对全集团公司网络安全进行改造。解决方案：新购一台网络安全网关UTM，该产品具备高级功能2、，同时提供VPN、AV、IDP等多种功能，UTM区别于传统防火墙，能分析网络3-4层数据报文，自带的规则库能识别90%的病毒，阻止非法的网络攻击，如非法扫描，漏洞探测，僵尸网络，暴力破解等。通过配置SSL VPN可以实现远程用户以安全的虚拟通道连接到集团公司内网访问业务系统，SSL VPN支持在手机、电脑终端任意访问，不再限制用户的访问终端类型。公司领导可以在家、出差，上下班路上，轻松连接到内网进行相关工作流程的签发，实现了智能终端设备的安全移动办公。2.网络带宽管理问题集团公司网络基础平台2013年建设完成，互联网接入电信带宽50M，现阶段对用户上网的行为，上网的带宽，访问的应用没有任何安全3、控制，如：员工上网在论坛发帖，评论、转发，撰写法X功，非法言论，因公司没有相应的管控设备，无法定位和查看是发送者身份，将会给集团公司造成很大负面影响。公安部82号令，要求能够记录终端用户访问网站的日志，对外发的内容可以进行审计以及关键字过滤。解决方案：新采购一台上网行为管理设备，部署在机房，可以实现对陕西核工业集团公司网络带宽管理、网络行为管理，通过该设备可以配置相应的流量管理策略，可基于用户角色或者时间段来分配带宽管理策略。控制P2P下载、在线应用，通过部署了上网行为管理设备，可以灵活、有效的控制和解决陕西核工业集团公司网络带宽及用户访问行为，提升网络安全，实现网络可视化管理。上网行为管理设4、备有如下四大主要功能特点：1、 内容过滤；2、应用控制；3、带宽管理；4、内容审计；3.网络架构问题集团公司基础网络建设处于起步阶段，新购置一台千兆三层的核心交换机，新购的核心交换机配置为用户终端网关设备，通过虚拟局域网（VLAN）技术按照楼层的办公区域划分不同的VLAN，不同的VLAN之间不能直接访问，通过三层交换机的路由实现了不同VLAN的互访，配置了VLAN之后，即使有终端机器感染网络病毒产生的广播报文只在本部门VLAN内广播，不会影响其他部门VLAN，这样大大降低了病毒对网络影响的范围，保护了内网的安全性。核心交换机的强大的背板带宽和包转发率能保证用户的数据请求无阻塞的完成转发，没有网5、络瓶颈。4.无线网络覆盖问题集团公司办公楼共11层，几乎每个办公室都需要无线接入的需求，公司员工的笔记本、手机都有访问无线用于移动办公，访客室、会议室都要求接入无线。现阶段无线接入是通过购买了家用型磊科无线路由器产品来实现的。购买的无线路由器需要逐个安装调试，按照这样的发展趋势，办公楼出现了非常多的家用型无线设备。出现常见的问题有：无线信号不稳定、频繁掉线、相互之间干扰严重、无法集中统一管理所有无线设备、无线网络安全无法控制，非法设备抢占空口资源，管理员经常奔波于每个办公室处理无线连接问题。解决方案：1.简单高效的AC+瘦AP网络架构针对集团公司需要对网络设备实行统一管理的要求，采用了AC+瘦6、AP网络架构，并结合功能强大的华为eSight无线网管功能，不仅可以做到AP的统一配置和集中管理，从无线网络配置、故障定位和快速恢复等方面，全面提升无线网络的运维管理效率，让公司网络管理方既省心又省力；另一方面，在AC射频管理中采用华为自研的高级优化算法，实现无线覆盖的快速调整和优化，保证无线网络性能。2.内外网统一的无线访问通过VAP/SSID，设置内外网为一张物理网络，并且安全隔离出内网、外网，极大的简化了布线成本和对施工的要求；并且易于维护，支撑未来的业务扩展。3.稳定可靠的无线连接通过双频、自动信道选择调整、高可靠的无线网络设计，保障集团公司网络干扰小，信号稳定，单设备故障不影响业务等7、，实现稳定的无线办公环境。5.桌面运维管理问题集团公司计算终端约30台，当前企业在对人员的管理主要是基于传统的桌面进行管理，主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制，例如：l 禁止USB口，防止用户利用USB设备拷贝数据l 禁止蓝牙和红外设备，防止用户通过蓝牙和红外设备传输数据l 对数据进行加密，防止文件外泄造成信息外流但是这些手段并不能很好地解决当前问题，仍然存在以下风险：l 目前需要第三方的软件禁止USB访问，但是都在客户端实现，具有技术背景的开发人员可以绕开软件，通过USB设备将数据拷贝出来l 目前的的软件对蓝牙和红外设备的管理能力有限l 对数据进行加密，开发人员可8、以通过各种手段进行反向破解l 移动设备的普及使得用户可以不通过传统存储设备，利用蓝牙和红外将数据传输到手机等设备上l 用户也可以通过将硬盘PC上拆卸下来，带走通过其他PC进行拷贝，而这些手段实施也存在以下的问题和局限：当前解决方案都是在客户端实现，而开发人员可以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷贝出来；开发人员使用桌面上各种应用的行为无法记录，对于不合理行为无法进行控制；采用多种软硬件技术进行管控，成本高，效果差，像补丁一样对各个潜在风险进行修补，无法根本上解决问题；为了满足业务需求，目前开发人员都必须得在企业进行开发，占用企业大量的设备，场地，整个开发成本高。使用虚拟桌9、面解决方案可以很好地解决上述问题：l 由于虚拟桌面是基于服务器计算的模式，所有的计算都是发生在服务器上，即运行在服务器上的虚拟操作系统（xp，vista，windows 7），所有数据都在服务器上产生，所以可以从根本上控制数据的访问和使用，即通过策略限制将产生的数据存储在本地磁盘，USB设备上。l 利用远程访问协议高效性，以及对数据的安全访问机制，开发团队可以通过网络包括vpn网络远程进行开发，而无需在企业规定的开发场地，占用大量的资源。l 通过提供虚拟桌面，企业无需为开发方的团队提供设备，或者对这些设备进行全面管理和支持，可以让开发方使用自己的设备，只需要网络进行管理，访问受控的、安全的、开10、发虚拟桌面。开发环境被分为可控的虚拟开发环境与物理的自有环境，在满足开发人员的特殊需求同时，能够管控开发环境，减少企业IT人员的管理复杂性。l 可以利用服务器的资源动态进行调整，满足用户的需求，而不需要采购新的PC满足需求。l 虚拟桌面最大限度共享资源，大大降低能源消耗和碳排放量。当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍：l 需要采用虚拟桌面的解决方案，将传统的桌面计算转换到服务器计算，所以需要投入一定数量的服务器与软件l 已有的投入的桌面由于计算压力的调整，可能无法充分发挥其计算能力l 虚拟桌面方案需要网络的支持，实现不受地域的访问，当然对于企业的应用开发，网络连接是最起码的基础11、要求l 由于桌面使用方式产生了一定的变化，需要对用户的使用习惯进行调整l 由于在工作过程中，虚拟桌面也是需要连接到网络进行工作的，所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险，但是由于只有这一条潜在外泄通道，企业IT管理人员可以通过网络工具和设备来对网络进行管理，解决这一问题l 从整体对比来看，虚拟桌面解决方案从数据安全的角度，相对于传统本地桌面，从成本，管理，安全和环保层面，都有很大优势，而且已经成为了未来趋势。5.服务器数据安全问题集团公司现应配备联想服务器1台，用于支撑公司财务系统运行，财务数据保存在服务器本地硬盘。财务报表等数据是集团公司最机密的信息，一旦服务器系统损坏或者硬盘12、故障，将面临集团公司无法访问财务系统，严重情况下将会导致数据丢失。同时现有服务器只承载了一个业务系统，服务器的CPU，内存等物理资源长期利用率在3%以下，造成资源了极大浪费，但因为现有的服务器建设架构无法提高服务器硬件资源利用率，需改变现在服务器部署模式来改善这些问题。解决方案：为了提升服务器硬件资源利用率，保护财务系统数据安全性，即使服务器系统及硬件出现故障仍能保持业务连续性，我们建议客户采用服务器虚拟化的解决方案来改善集团公司业务的部署模式。新购3台服务器及一套统一存储，新购的两台服务器和现有一台服务器，用于构建一套资源池，通过虚拟化软件实现CPU、内存、硬盘、网络等资源的池化，可以针对某13、个应用按需分配资源，实现服务器高可用，保护数据安全可高，服务器只用来承载业务系统，业务系统产生的生产数据通过高速光纤链路传送到存储上。6.施工说明 集团会议室是8M*6M的投影的位置在两个半径的中心交叉点，每个房间的东面、西面和南面要保证一个5孔插座和RJ45接口面板，会议室与视频会议需要对接，辅材需要一根电源线和2跟VGA视频连接线。视频线和电源线的长度为地面高度和房间半径长度总和延长2米。建议长度9M3.预算清单基础网络部分序号名称型号内容描述数量单位单价总价备注1核心交换机华为S7703ES0B00770300S7703总装机箱1台4,618.004,618.00核心交换机机箱ES0D014、0MCUA00S7703主控处理单元A2个6,179.0012,358.00核心交换机主控板ES0DG48CEAT036端口十兆/百兆/千兆以太网电接口和12端口百兆/千兆以太网光接口板(EA,RJ45/SFP)1个31,359.0031,359.00千兆48端口业务板卡W2PSA0800800W交流电源模块(黑色)2个4,199.008,398.00核心交换机配置双电源SFP-GE-LX-SM1310光模块-eSFP-GE-单模模块(1310nm,10km,LC)1块2,214.002,214.00千兆光纤模块用于楼层接入ES0SMS237700S7700基本软件,V200R0031套2,415、31.002,431.00核心交换机软件系统C1016YG00电子电力线缆-450V/750V-60227 IEC 02(RV)-16mm2-黄绿-85A-免熏蒸包装(每米)10个26.00260.00核心交换机电力线缆2服务器接入交换机S5700-24TP-SI-ACS5700-48TP-SI-AC(48个10/100/1000Base-T以太网端口,4个复用的千兆Combo SFP,交流供电)1 台4,000.004,000.00服务器专用接入专用交换机3小计65,638.00视频会议部分序号名称型号内容描述数量单位单价总价备注1华为TE40 视频终端TE40最高支持8M速率；支持720P16、4CIF;支持H.323、SIP协议，H.261/H.263/H.264HP/H.264SVC和音频编解码标准：G.711.G.722/G.728/AAC-LD，支持H.239/BFCP双流协议；具有3路高清视频输入,3路输出接口，视频信号支持：HDMI、VGA；支持语音呼叫，支持Wi-Fi接入，支持7*24小时常年开机；支持USB接口，支持3G接入，Frog遥控器&界面；支持7*24小时常年开机1台18000160002华为VPC600 高清摄像机VPC600200万像素 1/3英寸CMOS成像芯片 ；1080p 50/60、1080p 25/30、1080i 50/60、720p 50/17、60 ；支持LED显示屏功能；12倍光学变焦 + 4倍数字变焦 ，最大水平视角 大约72 度 ；平移/俯仰角 -100至+100度(平移),-30至+30度(俯仰)；预知位数量：20个；视频输出 HD-VI；通信控制接口输入 1RS-232C。1套14000140003华为M220全向麦克风M220支持双声道，6m的拾音距离、360度拾音，支持ANS、AEC、AGC技术、达到业界顶尖的语音处理技术,支持级联1个22002200网络安全部分序号名称型号内容描述数量单位单价总价备注1上网行为管理网康NI3000-SI适用范围：适用用户数200人，功能描述：网康科技NI系列上网行为管理产品支持超过318、000万条URL网址识别，3000多种网络应用识别，其中包括700余种主流移动应用识别，专利的XAI技术可对加密应用进行有效识别、审计和控制，是国内最专业的上网行为管理产品。产品提供业内最先进的企业无线环境移动终端识别及管理解决方案，精准识别管控各种移动终端和移动应用，是业内首家提供完整BYOD解决方案的上网行为管理厂商，帮助企业有效管理各种移动设备，防止信息泄露。支持用户认证及管理，移动终端识别管控，网页过滤，应用控制，带宽管理，内容审计，互联网活动审计，终端准入，代理服务，攻击防护；支持独立部署的日志中心存储数据，支持硬件集中管理统一管理多台设备。适用硬件环境：2个电千兆+1个管理口；2个19、USB接口；1xRJ45；RS232串口；支持面板Bypass按钮；500GB硬盘容量；2GB Flash卡1台18,285.0018,285.00设备部署在机房，功能见内容描述部分软件版本与协议库升级软件版本升级服务，提供新版本功能优化与性能提升价值。URL库、应用协议库定期更新，保持对网络应用识别与管理的有效性。3年1,900.005,700.002出口UTMTopGate500 TU-213041U机型，配置为4个10/100/1000MBase-T端口。专业版快速扫描查杀病毒功能，1年病毒库升级服务许可IPSECVPN功能，含5个IPSECVPN客户端许可；IDP入侵防御功能，含IDP20、攻击规则特征库1年升级许可WEBFITER功能，含1年过滤规则库升级许可。整机吞吐率：1.5Gbps;最大并发连接数100W;防病毒吞吐率60Mbps;IPS吞吐率150Mbps;IPSE才加解密吞吐率60Mbps;IPSEC VPN隧道数500;SSL吞吐率100Mbps;SSL并发用户数500. SSLVPN模块SSLVPN-MODULE-F-UTMSSLVPN模块，默认含5个SSLVPN客户端许可。1台55,000.0055,000.00设备部署在机房，主要用户保护公司边界安全3终端安全管理金盾终端安全管理软件数据防泄密、文档控管解决方案；桌面管理、移动存储管理解决方案；安全审计；IT资21、产管理、补丁管理解决方案120点位530.0063,600.00全面的终端安全管理4小计142,585.00服务器&存储部分序号名称型号内容描述数量单位单价总价备注1服务器RH2288H V28盘(2*E5-2650 CPU,4*16GB 内存,2*2.5300GB SAS 硬盘,4*GE,SR120 SAS/SATA RAID 卡,RAID0,1,1块8Gbps单通道HBA卡；2*460W电源,备份还原工具,DVD,滑轨)配置说明：2U机架式，标配2颗Intel Xeon E5-2650 (八核-2.0GHz-95W);可支持2颗Intel Xeon E5-2600全系列处理器；4条DDR322、 Registered DIMM 16GB（1.5ns-1600MHz-1.35V-ECC-2Rank);可支持24个内存插槽；标配4*GE以太网卡;可升级为2*10G以太网卡 或 4*GE以太网卡；标配1块SR120 SAS/SATA RAID 卡,RAID0,1,1E,10,0 Cache(LSI2308);标配2块2.5 inch 300G SAS硬盘;可支持8块2.5inch SAS/SATA热插拔硬盘；标配3个PCI-E插槽（3个PCIe 3.0 x8 插槽）;1个4*GE 接口 Card；1个RH2285H/RH2288H 2U 3*8X RISER 卡组件标配6个PCIe插槽（523、个PCIe 3.0 x8，1个PCIe3.0 x4）；N+1个冗余系统风扇；6个USB（前面2个，后面2个，内置2个）；集成BMC管理模块，支持华为iMana，支持IPMI、SOL、KVM Over IP、虚拟媒体等管理特性，对外提供1个10/100Mbps RJ45管理网口；1块8Gbps单通道,光纤通道多模LC光接口-HBA卡；标配2个460W金牌高效电源, 可选冗余；备份还原工具；内置DVD-RW；导轨；2U机架式 3 台48,120.00144,360.00服务器用于做虚拟化，实现硬件资源池化，实现高可用2华为存储S2600T2600T-2C16G-ACS2600T控制框(含华为阵列控24、制系统软件,2U,2.5,双控,交流,16GB,8*8G FC,4*24G SAS后端口,SPE31C0224)3 台38,150.00114,450.00控制框SAS600-10K-3600GB 10K RPM SAS硬盘单元(2.5)3 块2,668.008,004.00硬盘组件NLSAS2K-7.2K-22000GB 7.2K RPM NL SAS硬盘单元(3.5)4块2,191.008,764.00DAE12435U4-AC-3DAE12435U4硬盘框(含华为SAS带内管理软件,4U,3.5寸,交流,SAS级联模块,不包含硬盘单元)1个14,517.0014,517.00硬盘框LIC25、-S2A-ISM02-BLOCK华为集成存储管理软件-OceanStor S2600T 块存储-设备管理使用许可10.000.00软件CLOUDSERVICE-SERCloud Service远程维护管理10.000.00S2600T Control Enclosure实施服务-工程服务13,295.003,295.00实施服务DAE(S2600T)实施服务-工程服务13,160.003,160.003小计296,550.00会议室部分序号名称型号内容描述数量单位单价总价备注1会议室投影仪日立-842X1台780078002幕布音响三星120寸电动幕布，湖山音响调音台和话筒1套800080005小计15000