解决方案02-国家档案局网络规划设计方案.docVIP

国家档案局网络系统 规划设计方案 2014.7.15 目录 1 项目建设总体思路 4 2 国家档案局总体网络方案设计 5 3 国家档案局互联网平台方案设计 8 3.1 互联网设计依据和原则 8 3.2 互联网网络平台建设 9 3.3 设备选型依据 9 3.4 互联网建设方案说明 10 3.4.1 核心层方案设计 11 3.4.2 接入层方案设计 12 3.4.3 互联网出口方案设计 16 3.4.4 移动用户接入接入设计 17 3.4.5 IP地址规划设计 18 3.4.6 QoS规划方案设计 18 4 国家档案局内部局域网平台方案设计 20 4.1 内部局域网设计依据和原则 20 4.2 建设原则 21 4.3 内部局域网网络平台建设 22 4.4 设备选型依据 23 4.5 内部局域网网建设方案说明 23 4.5.1 内部局域网方案设计思路 23 4.5.2 用户安全接入设计 24 4.6 内部局域网设备选型建议 25 5 国家档案馆涉密网平台方案设计 27 5.1 涉密网设计依据和原则 27 5.2 涉密网平台建设 28 5.3 涉密网建设方案说明 28 5.4 内部局域网设备选型建议 29 6 国家档案局安全保障体系设计 30 6.1 安全设计主要依据 30 6.2 安全系统风险分析 30 6.3 安全保障体系设计目标分析 32 6.4 安全保障体系构架设计框架 33 6.5 信息安全体系详细设计 33 6.5.1 物理安全设计 36 6.5.2 主机安全设计 36 6.5.3 网络安全设计 37 7 国家档案局网络规划使用设备清单 44 项目建设思路 高可靠性——国家档案局网络系统的稳定可靠是应用系统正常运行的关键保证，在此次的网络设计中应该选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证业务应用等各业务系统的正常运行。 技术先进性和实用性——保证满足应用业务系统的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术—与现有的成熟技术和标准结合起来，充分考虑到网络目前的现状以及未来技术和业务集中的发展趋势。 高性能——整个网络良好运行的基础，设计中必须保障国家档案局网络及设备的高吞吐能力，保证各种信息(数据、语音、图象)的高质量传输，保证各项业务的高效、高质完成处理。 安全性——制订统一的网络安全策略，整体考虑网络平台的安全性。特别是网络能够具备防病毒、防攻击的特性和功能。网络应采取措施保证数据的安全。 标准开放性——支持国际上通用标准的网络协议(如IP和IPv6)、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络(如涉密网、互联网等其它网络)之间的平滑连接互通，以及将来网络的扩展。 灵活性及可扩展性——根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。 国家档案局总体网络方案设计 国家档案局需建设涉密网、内部局域网网、互联网三套相互独立、相互隔离的网络系统，其中，内部局域网、互联网和涉密网都要物理隔离；涉密网是涉及国家秘密的网络，设计和实施规范按照国家有关涉密网相关规范执行。 国家档案局内部局域网/互联网/涉密网三套网络逻辑关系图如下： 本次网络系统建设涉及3层（屏蔽机房）、11层-13层（利用区）、14层-18层（办公区），分布较集中，是典型的园区网结构，考虑到国家档案局内部网络会承载很多部门的业务，而且随着社会经济的发展和人民群众对行政部门服务水平要求的不断提高，国家档案局承担的责任和压力会越来越大，相应的对国家档案局的网络设计也提出了更高的要求。 如下图所示，基础网络平台是国家档案局信息化建设的基石。 由此，我们对于国家档案局网络系统建设的目标如下： 高性能的网络系统。“万兆骨干、千兆桌面”是目前园区网建设技术路线的趋势，随着业务类型的不断变化，图像、视频、多媒体等需要高带宽、高处理能力的业务日益普及，这些都对网络系统形成了很大的挑战，为了让内部客户有一个很好的上网体验，势必要对网络系统的性能设计提出更高的要求，以满足未来三到五年的应用性能需要。 如下图所示： 高可靠的网络系统。国家档案局负责对全国档案工作实行统筹规划、宏观管理并集中统一管理党和国家中央机关的重要档案资料，保守党和国家机密，维护档案的完整，确保档案资料的安全，因此国家档案局的网络可靠性就显得极其重要，我们在设计中均采用双核心、全冗余连接网络设计来确保网络可靠性。 如下图所示： 高安全的网络系统。国家档案局部门众多，对于安全有四大需求，首先是相互隔离的需求，要求设备支持ACL功能，各部门网络需要相对独立，相互间不能任意访问；其次是权限划分的需求、各部门权限不同，独立和共享业务同时存