省财政信息网网络扩容及改造项目具体实施方案
省财政信息网网络扩容及改造项目
实施方案
目录
第一章概述 (4)
1.1文档目的 (4)
1.2适用范围 (4)
1.3设计思路概述 (4)
1.4项目组联系人 (4)
第二章网络基本构架 (6)
2.1项目背景 (6)
2.2建设目标 (7)
第三章网络改造基本架构 (8)
3.1网络扩容改造方案原则 (8)
3.2网络扩容改造步骤 (8)
3.3省中心局域网改造 (8)
3.3.1需求分析 (8)
3.3.2USG5550防火墙规划 (8)
3.3.3改造步骤 (9)
3.4 QUIDWAYLS VPN搭建(配置案例详见附件三、四) (10)
3.4.1 新购设备物理拓扑搭建 (11)
3.4.2 SDH线路时隙分配 (11)
3.4.3 配置IGP (15)
3.4.4 配置QUIDWAYLS (15)
3.4.5 配置VRF (15)
3.4.6 配置QUIDWAY-BGP (16)
3.5 IP地址过渡实现 (16)
3.5.1 IP地址使用现状 (16)
3.5.2 IP地址过渡第一阶段 (16)
3.5.3 IP地址过渡第二阶段 (17)
3.5.4 IP地址过渡实现的难点 (17)
3.6 过渡期间新旧网络互通实现 (17)
3.7结算类VPN访问实现 (18)
3.8上联集团公司线路访问实现 (19)
3.9 NAT实现财务类IP访问集团公司金融业务平台 (21)
3.10割接前网络测试 (22)
3.11试点市州网点割接 (22)
3.11.1市州汇接中心网络结构核心区域 (22)
3.11.2市州广域网拓扑结构 (23)
3.11.3试点县局/网点割接 (24)
3.11.4线路备份走向 (25)
3.11.5市州主备路由器及主备交换机配置 (26)
第四章网络切换方案 (28)
4.1网络改造人员以及分工安排 (28)
4.2割接整体思路 (28)
4.3省中心局域网割接 (28)
4.3.1网络现状 (28)
4.3.2过渡连接描述 (29)
4.3.3割接过渡方案 (30)
4.4市州中心局域网割接 (30)
4.4.1网络现状 (30)
4.4.2过渡连接描述 (30)
4.5网点割接 (31)
4.5.1网络现状 (31)
4.5.2过渡连接描述 (31)
第五章应急预案 (33)
5.1改造过程的相关工作 (33)
5.1.1检查现有网络情况 (33)
5.1.2备份现有网络中设备的参数配置 (33)
5.1.3检查线缆标签 (33)
5.1.4省、市州中心局域网改造完成后的验证和不成功回退 (33)
5.1.5网点割接后的验证和不成功回退 (33)
5.2应急反应小组组成及分工 (33)
5.3应急处理预案 (34)
5.3.1实施过程中紧急情况的应急预案 (34)
5.3.2割接过程中的紧急情况的应急预案 (34)
5.3.3使用过程中的紧急情况的应急预案 (34)
附录一各市州IP地址分配表 (35)
附录二工程实施进度表 (36)
附录三QUIDWAYLS VPN在华为设备上的实现 (41)
3.3.4骨干网络的配置步骤 (41)
3.3.5R2-PE1设备完整配置 (43)
3.3.6R3-P设备完整配置 (48)
3.3.7R4-PE2设备完整配置 (52)
3.3.8R1-CE-RED-1设备备完整配置 (56)
3.3.9R5-CE-RED-2设备备完整配置 (59)
3.3.10R6-CE-Green-1设备备完整配置 (62)
3.3.11R5-CE-Green-2设备备完整配置 (65)
附录四QUIDWAYLS VPN在迈普设备上的实现 (68)
3.3.12关键配置如下(AR4680): (68)
3.3.13设备在QUIDWAYLS网络中完整配置案例如下: (71)
第一章概述
1.1文档目的
本文档是xx省财政信息网网络扩容改造工程项目实施方案文档,旨在构建一个更加标准、稳固、可靠、安全的企业网接入网络架构,以支持xx财政目前和今后的业务需求。本实施方案在实施过程中也将逐步调整和完善,以进一步适应财政业务发展的需要。
1.2适用范围
本文档的适用范围是xx省财政信息网网络扩容改造一期工程的实施。
1.3设计思路概述
按照中国财政集团公司下发的《关于财政信息网省内网建设工作的指导意见》(中国财政[2007]520号)(以下简称《指导意见》)要求,以及xx省财政信息网安全规范要求,省公司计划对我省财政信息网网络进行扩容改造,同时考虑网络安全系统及增值业务建设,内容包括:省信息中心改造、市州汇接中心改造及城市网改造。根据xx省财政信息网的业务需求,总体设计思路将整网采用QUIDWAYLS VPN技术进行业务隔离,划分为金融类VPN、财务类VPN、结算类VPN、综合类VPN(含视频会议、IP语音和OA、人力、财务、量收等)及借用线路第三方VPN。改造后我省财政信息网将成为高速(高带宽)、稳定(设备及链路备份)、安全(使用VPN等安全技术)、可靠(使用802.1x认证技术),集数据、视频、语音为一体的综合信息网,可满足今后三年左右的业务发展需求。
1.4项目组联系人
第二章网络基本构架
2.1项目背景
我省财政信息网经过2004和2006年两次扩容改造后,省、市县及网点各级汇接的覆盖范围、网络带宽和传输能力得到了极大的提升,现已形成覆盖全省所有市州、支撑绝大部分财政业务的信息网络,并为提升我省财政服务水平、促进业务发展提供了有力保障。
从2005年开始,随着财政业务持续发展和财政信息化应用的不断深入,集团公司逐步开始进行综合类系统(B/S架构)的建设,截止目前我省已陆续有业务量收管理、人力资源和财务管理系统等综合类系统上线。由于管理类系统与生产类系统在系统架构、数据访问、应用方式等方面存在较大差异,因此这两类系统在同一生产网上运行表现出一些弊端,具体体现在以下三个方面:(一)、带宽不足。目前我省财政信息网的管理类信息系统均采用B/S(浏览器/服务器)结构,特点是界面美观、操作简便,但系统访问占用较大带宽。目前我省省内网的规模是:13个市州局分别通过主备各一条2Mbps电路接入省信息中心,省会兰州局以局域网方式接入省信息中心。根据集团公司近期下发的《关于财政信息网省内网建设工作的指导意见》(中国财政[2007]520号)要求,省内网通信带宽要求最低为3×2Mbps,推荐为6×2Mbps;网络设备配置应满足省中心到市州未来20Mbps的通信带宽需求;网点带宽建议为一般网点64Kbps,骨干网点为512Kbps,特别骨干网点为2Mbps,网络设备配置要能满足未来4Mbps通信带宽的需求。我省财政信息网各级网络汇接带宽与集团公司要求不符。
(二)、安全性不符合最新规范。目前我省财政省中心和市州中心网络采用ACL等策略区分金融类、财务类、速递类等业务,集团公司最新规范明确要求必须采用VPN等技术区分不同财政业务数据。同时,我省信息网绝大部分的网络设备系2002年以前配置,已超过折旧年限,设备本身的不稳定增大了安全运行的难度。
(三)、省内网尚未开发网络增值业务。我省财政生产、调度等功能都依赖于电信运营商提供的PSTN网来实现。财政在向电信运营商缴纳数据业务网使用
费同时,还需缴纳语音网使用费。如在省内网上开发IP语音等增值业务,可以大大节省全省财政语音网通信话费。
综上所述,随着全国财政信息化进程的快速推进,目前我省财政信息网不论从网络架构、网络带宽,还是从安全防范管理及增值业务的应用等方面已无法满足集团公司提出的相关要求及今后业务发展需要,因此建议对我省财政信息网网络进行扩容改造,同时考虑进行网络安全系统及增值业务的建设。
如下图所示,我省财政信息网骨干网为省中心、市州两级汇接,骨干网所有网络设备均是1998年至2000年省内绿卡网和综合网机房建设初期配置的。2004年第一次全省财政信息网骨干网扩容改造工程后,以上设备可扩展模块全部使用,设备及配件已停产,而且所有设备保修期已过。因此,全省财政骨干网现有网络设备既无法满足扩容需求,也无法确保网络处于高稳定、高可靠性的运行。此外,我省财政虽采用2条互为备份的2M线路作为骨干网数字电路,但仅为同一运营商提供,不符合集团公司双运营商要求;而且我省所有财政业务系统均共用物理线路,没有使用VPN等隔离技术,仅使用访问控制列表等基本安全要求,不符合集团公司对网络安全的推荐要求。
骨干网网络拓扑如下图示:
2.2建设目标
我省财政信息网将采用QUIDWAYLS VPN技术对运行在信息网内的系统进行隔离,分为金融类VPN、财务类VPN、结算类VPN、综合类VPN(含视频会议、IP语音和OA、人力、财务、量收等)和借用线路第三方VPN,也可根据今后业务开办和系统功能不同实际需要进行更为细致的划分。省信息中心及各市州汇接中心改造所需的网络设备配置应考虑冗余,杜绝单点故障的发生;省到市州的骨干网线路按照集团公司相关指导意见要求将采用不同运营商的线路,且省信息中心及各市州汇接中心的运营商光纤线路应尽量采用双路由双局向模式引入。在资金允许的情况下在省中心及市州信息中心采用光纤接入设备,以减少汇接中可能出现的故障点;网点线路视运营商资费情况而定,县局及部分业务量较大的网点建议采用2M数字电路接入为主,64K或128K DDN电路接入为备用线路的方式。
第三章网络改造基本架构
3.1网络扩容改造方案原则
一、对现有网络影响最小,平稳过渡。
二、业务割接前应形成详细的割接方案。
三、割接方案可逆,以便最短时间恢复。
四、改造工作必须统一协调部署。
五、割接时间应选择在业务量最小的时候。
3.2网络扩容改造步骤
一、省中心局域网改造。
二、QUIDWAYLS VPN 网络搭建。
三、新旧网络之间互通实现。
四、试点市州网点业务切割。
五、总结试点经验并全省推广。
3.3省中心局域网改造
3.3.1需求分析
现有省中心局域网拓扑如下图所示:
财政金融业务、综合网、综合业务平台、第三方业务平台通过两台主备的华为T3000防火墙接入全省财政信息网,为全省网点提供业务访问。
为配合现有网络向QUIDWAYLS VPN网络平滑过渡,需对省中心局域网按业务系统进行归类,并将各业务系统隔离,分别为金融类、结算类、财务类、综合类四种业务系统及上联集团公司类。
3.3.2USG5550防火墙规划
一、虚拟防火墙规划
根据业务系统的分类,我们建议此次规划四个Context(虚拟通透式防火墙),分别为Admin、结算、结算-金融、结算-财务。
Context_Admin:系统管理专用,建议绑定1-2个子接口用于系统管理。
Context_结算:结算VPN到各个业务系统服务器平台之间数据交换中心,绑定六个子接口,分别为:
Interfac_结算:连接结算服务器业务平台。
Interfac_vrf_结算:用于下联QUIDWAYLS VPN网络的结算vrf。
Interfac_金融:连接金融服务器业务平台。
Interfac_财务:连接财务服务器业务平台。
Interfac_vrf_集团公司:用于下联QUIDWAYLS VPN网络的集团公司vrf。
Interfac_集团公司:用于上联集团公司。
Context_结算-金融:用于保护结算服务器平台访问金融业务服务器,绑定两个子接口,分别为:
Interface_结算:连接结算服务器平台。
Interface_金融:连接金融服务器平台。
Context_结算-财务:用于保护结算服务器平台访问财务业务服务器,绑定两个子接口,分别为:
Interface_结算:连接结算服务器平台。
Interface_财务:连接财务服务器平台。
二、防火墙Failover规划
两台USG5550通过Failover实现网络的高可用性,可选模型为A/A和A/S。A/A可以实现性能负载的功能,但缺点是实现复杂,维护成本高,排错不易,考虑到USG55505540本身性能强大,因此本次项目建议使用A/S模式来实现Failover。
3.3.3改造步骤
1、综合网(财务类)平台分别连接至统一接入交换机和新网核心交换机。统一接入交换机与旧网华为7206汇接路由器互联,新网核心交换机与两台新网核心设备NE80E 路由器互联,实现新旧网络同时访问财务类业务系统。
2、结算类系统平台由综合业务平台和第三方业务平台整合形成。综合业务平台交换机启用三层路由,第三方业务系统更改为连接至综合业务平台交换机,原有第三方地址转换移至该交换机。第三方访问策略移至安氏防火墙或新增Netscreen防火墙。结算类系统平台交换机分别连接至统一接入交换机和华为USG55505540防火墙,该防火墙再连接至新网核心交换机。统一接入交换机与旧网华为7206汇接路由器互联,新网核心交换机与两台新网核心设备NE80E 路由器互联,实现新旧网络同时访问结算类系统。
3、综合类系统分别连接至统一接入交换机和新网核心交换机。统一接入交换机与旧网华为7206汇接路由器互联,新网核心交换机与两台新网核心设备NE80E 路由器互联,实现新旧网络同时访问综合类系统。
4、财政金融业务系统相关设备通过两台Failover的华为T3000防火墙不同端口连接至统一接入交换机和新网核心交换机。统一接入交换机与旧网华为7206汇接路由器互联,新网核心交换机与两台新网核心设备NE80E 路由器互联,实现新旧网络同时访问财政金融系统。
5、将集团公司灾备路由器华为7604从综合网移出至与上联集团公司华为3640路由器同一网段,并将上联集团公司所有路由器连接至新网核心交换机,划分单独的VLAN。将新网核心交换机上与统一接入交换机连接的端口划入该VLAN,实现新旧网络同时访问上联集团公司路由器。
6、四种业务系统及上联集团公司类在统一接入交换机及新网核心交换机上使用VLAN进行隔离,并且禁止启用SVI接口,以避免各种业务系统在交换机上互通。
7、结算业务平台访问金融业务平台和财务业务平台通过华为USG55505540防火墙上建立不同的虚拟防火墙(结算类至金融类、结算类至财务类)实现保护。此外,在该防火墙上还建立一个虚拟防火墙用于对结算类系统平台的防护。
8、在原省中心汇接华为7206路由器及新网核心设备NE80E 路由器上以子接口的方式实现与四种业务系统互联及集团公司线路的上联。省汇接路由器华为7206及其他业务系统的三层设备上修改路由及访问控制列表。
3.4 QUIDWAYLS VPN搭建(配置案例详见附件三、四)
3.4.1 新购设备物理拓扑搭建
1、机房内电源、防雷接地等基础配套实施完成。
2、相关广域网线路与局域网线路铺设完成,调试无误。
3、所有新设备进行加电单机测试。
4、在接口配置IP并以Ping大包的方式测试线路质量。
3.4.2 SDH线路时隙分配
1、NE80A CPOS时隙分配(假设CPOS模块在NE80上的接口编号为S2/1/1)序号时隙子接口远端地址/30 本端地址/30 下联单位名
1 1 S2/1/1.1/1/1/1:0 甘南、平凉、
庆阳
2 22 S2/1/1.1/1/1/2:0
3 43 S2/1/1.1/1/1/3:0
4 4 S2/1/1.1/1/2/1:0
5 25 S2/1/1.1/1/2/2:0
6 46 S2/1/1.1/1/2/3:0
7 7 S2/1/1.1/1/3/1:0
8 28 S2/1/1.1/1/3/2:0
9 49 S2/1/1.1/1/3/3:0
10 10 S2/1/1.1/1/4/1:0
11 31 S2/1/1.1/1/4/2:0
12 52 S2/1/1.1/1/4/3:0
13 13 S2/1/1.1/1/5/1:0
14 34 S2/1/1.1/1/5/2:0
15 55 S2/1/1.1/1/5/3:0
16 16 S2/1/1.1/1/6/1:0
17 AR46 S2/1/1.1/1/6/2:0
18 58 S2/1/1.1/1/6/3:0
19 19 S2/1/1.1/1/7/1:0
20 40 S2/1/1.1/1/7/2:0
21 61 S2/1/1.1/1/7/3:0
22 2 S2/1/1.1/2/1/1:0
23 23 S2/1/1.1/2/1/2:0
24 44 S2/1/1.1/2/1/3:0
25 5 S2/1/1.1/2/2/1:0
26 26 S2/1/1.1/2/2/2:0
27 47 S2/1/1.1/2/2/3:0
28 8 S2/1/1.1/2/3/1:0
30 50 S2/1/1.1/2/3/3:0
31 11 S2/1/1.1/2/4/1:0
32 32 S2/1/1.1/2/4/2:0
33 53 S2/1/1.1/2/4/3:0
34 14 S2/1/1.1/2/5/1:0
35 35 S2/1/1.1/2/5/2:0
36 56 S2/1/1.1/2/5/3:0
AR46 17 S2/1/1.1/2/6/1:0
38 38 S2/1/1.1/2/6/2:0
39 59 S2/1/1.1/2/6/3:0
40 20 S2/1/1.1/2/7/1:0
41 41 S2/1/1.1/2/7/2:0
42 62 S2/1/1.1/2/7/3:0
43 3 S2/1/1.1/3/1/1:0
44 24 S2/1/1.1/3/1/2:0
45 45 S2/1/1.1/3/1/3:0
46 6 S2/1/1.1/3/2/1:0
47 27 S2/1/1.1/3/2/2:0
48 48 S2/1/1.1/3/2/3:0
49 9 S2/1/1.1/3/3/1:0
50 30 S2/1/1.1/3/3/2:0
51 51 S2/1/1.1/3/3/3:0
52 12 S2/1/1.1/3/4/1:0
53 33 S2/1/1.1/3/4/2:0
54 54 S2/1/1.1/3/4/3:0
55 15 S2/1/1.1/3/5/1:0
56 36 S2/1/1.1/3/5/2:0
57 57 S2/1/1.1/3/5/3:0
58 18 S2/1/1.1/3/6/1:0
59 39 S2/1/1.1/3/6/2:0
60 60 S2/1/1.1/3/6/3:0
61 21 S2/1/1.1/3/7/1:0
62 42 S2/1/1.1/3/7/2:0
63 63 S2/1/1.1/3/7/3:0
2、NE80B CPOS时隙分配(假设CPOS模块在NE80上的接口编号为S2/1/1)序号时隙子接口远端地址/30 本端地址/30 下联单位名
1 1 S2/1/1.1/1/1/1:0 甘南、平凉、
庆阳
2 22 S2/1/1.1/1/1/2:0
3 43 S2/1/1.1/1/1/3:0
5 25 S2/1/1.1/1/2/2:0
6 46 S2/1/1.1/1/2/3:0
7 7 S2/1/1.1/1/3/1:0
8 28 S2/1/1.1/1/3/2:0
9 49 S2/1/1.1/1/3/3:0
10 10 S2/1/1.1/1/4/1:0
11 31 S2/1/1.1/1/4/2:0
12 52 S2/1/1.1/1/4/3:0
13 13 S2/1/1.1/1/5/1:0
14 34 S2/1/1.1/1/5/2:0
15 55 S2/1/1.1/1/5/3:0
16 16 S2/1/1.1/1/6/1:0
17 AR46 S2/1/1.1/1/6/2:0
18 58 S2/1/1.1/1/6/3:0
19 19 S2/1/1.1/1/7/1:0
20 40 S2/1/1.1/1/7/2:0
21 61 S2/1/1.1/1/7/3:0
22 2 S2/1/1.1/2/1/1:0
23 23 S2/1/1.1/2/1/2:0
24 44 S2/1/1.1/2/1/3:0
25 5 S2/1/1.1/2/2/1:0
26 26 S2/1/1.1/2/2/2:0
27 47 S2/1/1.1/2/2/3:0
28 8 S2/1/1.1/2/3/1:0
29 29 S2/1/1.1/2/3/2:0
30 50 S2/1/1.1/2/3/3:0
31 11 S2/1/1.1/2/4/1:0
32 32 S2/1/1.1/2/4/2:0
33 53 S2/1/1.1/2/4/3:0
34 14 S2/1/1.1/2/5/1:0
35 35 S2/1/1.1/2/5/2:0
36 56 S2/1/1.1/2/5/3:0 AR46 17 S2/1/1.1/2/6/1:0
38 38 S2/1/1.1/2/6/2:0
39 59 S2/1/1.1/2/6/3:0
40 20 S2/1/1.1/2/7/1:0
41 41 S2/1/1.1/2/7/2:0
42 62 S2/1/1.1/2/7/3:0
43 3 S2/1/1.1/3/1/1:0
44 24 S2/1/1.1/3/1/2:0
45 45 S2/1/1.1/3/1/3:0
46 6 S2/1/1.1/3/2/1:0
47 27 S2/1/1.1/3/2/2:0
48 48 S2/1/1.1/3/2/3:0
49 9 S2/1/1.1/3/3/1:0
50 30 S2/1/1.1/3/3/2:0
51 51 S2/1/1.1/3/3/3:0
52 12 S2/1/1.1/3/4/1:0
53 33 S2/1/1.1/3/4/2:0
54 54 S2/1/1.1/3/4/3:0
55 15 S2/1/1.1/3/5/1:0
56 36 S2/1/1.1/3/5/2:0
57 57 S2/1/1.1/3/5/3:0
58 18 S2/1/1.1/3/6/1:0
59 39 S2/1/1.1/3/6/2:0
60 60 S2/1/1.1/3/6/3:0
61 21 S2/1/1.1/3/7/1:0
62 42 S2/1/1.1/3/7/2:0
63 63 S2/1/1.1/3/7/3:0
复用单元:SDH的基本复用单元包括若干容器(C-n)、虚容器(VC-n)、支路单元(TU-n)、支路单元组(TUG-n)、管理单元(AU-n)和管理单元组(AUG-n),其中n为单元等级序号。
容器(Container):用来装载各种速率的业务信号的信息结构单元,G.709定义了C-11、C-12、C-2、C-3和C-4五种标准容器的规范。
虚容器(VC,Virtual Container):用来支持SDH的通道层连接的信息结构单元,是SDH通道的信息终端。虚容器分为低阶虚容器和高阶虚容器两类,VC-4和AU-3中的VC-3都属于高阶虚容器。
支路单元(TU,Tributary Unit)和支路单元组(TUG,Tributary Unit Group):TU是提供低阶通道层和高阶通道层之间适配的信息结构。在高阶VC净负荷中,固定地占有规定位置的一个或多个TU的集合称为TUG。
管理单元(AU,Administration Unit)和管理单元组(AUG,Administration Unit Group):AU是提供高阶通道层和复用段层之间适配的信息结构。在STM-N 的净负荷中,固定地占有规定位置的一个或多个AU的集合称为AUG。
Tu3编号+(Tu2编号-1)*3+(Tu12编号-1)*21=时隙关系
E.g. S2/1/1.1/3/5/2.0
Tu3=3,tu2=5,tu12=2
时隙关系=3+(5-1)*3+(2-1)*21=36
建议两台NE80E 核心路由器上的SDH线路使用相同的时隙下联同一个市州路由器。
3.4.3 配置IGP
所有PE设备一起运行IGP OSPF,统一进程号100,并只使用一个Area 0(最终由多方协商决定),手工指定OSPF的Router-id为loopback0接口地址,并在OSPF里(仅)发布loopback接口地址和互联网段地址。
3.4.4 配置QUIDWAYLS
本次项目涉及多厂家设备联调,标签分发协议必须采用IETF起草的标准协议LDP,并手工指定LDP router-id为loopback0的接口IP。
在华为设备端必须保证CEF被开启。
3.4.5 配置VRF
在配置VRF过程中,VRF、RT、RD等相关参数必须严格按照本次改造方
网络安全检查总结
网络安全检查总结 根据省财政厅科技信息处《云南省财政厅关于开展财政系统网络安全检查的通知》(云财科〔2016〕5号)文件要求,我局高度重视,结合检查内容及相关要求,认真组织落实,对网络系统的安全管理、技术防护、运维管理、财政专网、重要信息系统等五个方面进行逐一排查。本次检查采用单位自查方式,共涉及4县区的信息系统、网站和网络安全检查。现将我市自查情况总结汇报如下: 一、网络安全检查工作组织开展情况 1、2016年,我局就成立了财政网络与信息安全应急处置工作领导小组。以局长为领导小组组长,分管科技信息的副局长为副组长,科技信息科具体负责全局网络信息系统安全监督管理工作,对局网络系统实行不定期安全检查。 2、2016年,科技信息科配合办公室针对新增网络安全风险修订完善了计算机及网络保密管理制度,中心机房管理、值班制度,网络与信息安全应急处理预案等相关规定并下发各科室和县(市、区)财政局。 二、网络安全检查情况汇总 1、信息安全制度落实情况。我局严格按照上级部门要求,全面落实安全防范措施,全力保障信息系统安全工作,积极开展信息安全应急演练,有效降低、防范信息安全风险,应急处置能力得到切实提高,保证了信息系统持续安全稳定
运行,建立建全信息安全制度。我局针对信息化工作,制订了有关规章制度,对内部网络安全管理、计算机及网络设备管理、数据、资料和信息的安全、人员管理、信息资产管理政府信息公开保密审查等各方面都作了详细规定,进一步规范了我局信息安全管理工作。定期组织全局级各县(市、区)财政工作人员学习有关网络知识,提高计算机使用水平,确保网络安全。对下级财政部门网络安全工作,要求下级财政单位配一名负责科信事务人员,负责本单位网络安全工作。 2、加强日常监督,切实抓好内网、外网和应用软件管理,遵照“涉密计算机不上网,上网计算机不涉密”的工作原则。终端计算机安全管理采取集中统一管理:规范软硬件安装、统一补丁升、统一病毒防范。严格控制接入互联网、办公电脑,按照科技信息科规划,统一配置分配IP地址,统一管理,保障网络安全。内网计算机通过部署通软桌面终端管理系统对内网计算机进行统一管理。外网电脑通过360安全卫士等辅助软件实时进行系统漏洞修复。 3、中心机房网络边界配置情况:配置防火墙、入侵检测设备、安全审计设备,安装趋势防病毒网络版杀毒软件,加强了在防病毒、防攻击、防泄密等方面的有效性;4县(市、区)局域网配置防火墙。 4、财政业务专网情况,纵向采取专网方式连接县(市、区)财政局,电子政务外网及VPN方式连接乡镇财政所。横
XX医院网络项目设计实施方案
XX医院网络项目设计方案
————————————————————————————————作者:————————————————————————————————日期:
网络设计方案 2009-3-20
目录 第一部分需求分析 (5) 第一章调研 (5) 1. 医院楼房分布 (5) 2. 科室分布情况 (5) 3. 现有网络的物理布局及信息点数统计 (5) 4. 现有网络情况 (7) 5. 现有网络的主要问题 (7) 第二章建网需求 (7) 第二部分网络设计 (8) 第三章网络设计 (8) 1. 网络设计概述 (8) 2. 网络拓扑 (8) 3. 设备选型及链路选型 (8) 4. 网络资源规划 (9) (1) 新增设备主机名、loopback/管理IP和管理VLAN (9) (2) 链路互联及端口IP表 (10) (3) 本部业务VLAN及IP (10) (4) B区门诊楼业务VLAN及IP (11) (5) C区干休所业务VLAN及IP (11) 5. 详细技术方案 (11) (1) 技术方案概述 (11) (2) 本部LAN技术模块 (11) (3) B区门楼技术模块 (11) (4) C区干休所技术模块 (12) (5) 本部与B区、C区互联技术模块 (12) 6. 实施方案 (12) 7. 测试方案 (14) 第三部分设备介绍 (15) 1. RSR20-04 (15) 2. RSR10-02 (16) 3. RG-S3760-24 (17) 4. RG-S2126S (19)
第一部分需求分析 第一章调研 1. 医院楼房分布 A区(本部):医院主楼、住院楼、门诊楼 B区:门诊部(4F) C区:干休所(3F) 2. 科室分布情况 12个临床科室:普内科(含消化内科、神经内科、血液内科、中毒急救、肾脏病内科、内分泌等)、心内科(心脏和支气管肺病)、普外科(肝胆、泌尿、烧伤等)、骨外科、神经外科、妇产科、小儿科(含新生儿科)、 五官科、中医科、传染病区、急诊科、120急救中心 6个医技科室:检验科、放射科、功能科等 16个行管职能科室:办公室、人事股、医务科等 3. 现有网络的物理布局及信息点数统计 大楼之间的距离:本部各大楼之间都在200m以内,本部与两个分部之间均相隔在5公里以上,10KM以下 A区主楼:
网络优化改造项目施工方案方案大全
网络优化改造项目实 施方案 2017年5月11日 目录 第1章项目概况 (1)
1.1对项目目标的理解 (1) 1.2对工作范围的理解 (1) 第2章设备清单 (1) 2.1汇聚交换机 (1) 2.2接入交换机 (1) 2.3光纤模块 (2) 第3章实施方案 (2) 3.1通过HSRP协议实现汇聚交换机的双机热备功能 (2) 3.2使用生成树协议防止交换机环路产生 (2) 3.3IP和VLAN配置 (3) 3.4路由配置 (3) 3.5设备命名 (3) 3.6设备配置调试 (3) 3.7设备上架安装 (4) 3.8网络测试 (4) 第4章项目实施安排 (5) 4.1项目进度安排 (5) 4.2开箱验货 (5) 4.3商务验收 (6) 4.4技术验收 (6) 4.5项目实施管理 (7) 4.5.1实施重点 (7) 4.5.2系统安装调试 (7) 4.5.3项目安装调试 (8) 4.5.4 制定计划 (8) 第5章项目实施管理 (9) 5.1项目管理 (9)
5.1.1实施约定 (9) 5.1.2计划管理 (9) 5.1.3质量管理 (9) 5.1.4文档管理 (10) 5.1.5风险管理 (10) 5.2规范化网络系统建设 (11) 5.3对工程实施的风险控制和保障措施 (12) 5.4项目实施内容 (12) 5.5风险考虑 (14)
第1章项目概况 1.1对项目目标的理解 承担福清核电有限公司技术要求范围内的设备安装、调试、上线部署及质保服务。内容包括实施前调研、设备采购、设备安装部署、产品技术培训、业务测试、设备试运行和项目验收。 1.2对工作范围的理解 1)负责本项目建设目标的最终实现,协调解决目标实现过程中的各种问题;2)负责福清核电网络优化改造项目的建设,包括产品的采购、安装和调试实施; 3)制定符合客户要求的项目实施和验收计划; 4)负责提供本项目所涉及相应的工程文档; 第2章设备清单 2.1汇聚交换机 2.2接入交换机
财政局网络设计方案
目录 第一章财政局财政网络需求分析 (2) 第二章财政网络系统设计 (3) 2.1总体架构设计 (3) 2.2外网设计 (3) 2.2.1 外网核心层部分设计 (4) 2.2.2 外网汇聚层部分设计 (5) 2.2.3 外网接入层部分设计 (5) 2.2.4 外网防火墙设计 (5) 2.3内网设计 (6) 2.4网络管理 (8) 2.5网络安全 (9) 2.5.1 物理隔绝 (9) 2.5.2 设备访问控制安全 (9) 2.5.3 防火墙 (9) 第三章设备的性能指标和报价 (10)
第一章财政局财政网络需求分析 财政局是人民政府的重要组成部门,是主管全县财政收支、财税政策、国有资本金基础工作的宏观调控部门,担负着在全县范围内拟定和执行财政、税收的发展战略、方针政策、中长期规划、改革方案及其它有关政策等职能。因此,实现全县财政系统的信息化是财政搞好管理现代化、科学化的重要基础。财政信息化建设就是要把科学技术和现代化管理手段运用到财政管理体制、运行机制、业务流程和工作方式中去,从而全面实现财政管理电子化。 财政局网属于国家机关网性质,与市局财政网直接相连,间接连接省和国家财政网,对财政内网安全的最高要求是内网的信息可以通过正当途径(如新闻发布)传播,决不允许内网信息与外网信息有任何交换,外网的信息不允许进入内网,内外网之间的绝对物理隔离是保障政府机关网络安全性的唯一途径,内网的信息在公安部门的监控下严格按照国家有关保密法律法规进行操作。 财政局局域网是财政局内部信息高速路。连接对象是本单位的计算机,局域网的功能是实现本单位计算机的联网,同时在该局域网上运行各种财政应用系统。 财政局主要有18个科室股,分别是:办公室、研究室、预算科、农财科、农税科、企财科、社保科、政府采购办、监督检查科、国库资金中心、会计核算中心、会计培训中心、会计科、国有资产管理中心、会计管理办公室、农业税收稽查大队、招商办、信息中心。 共有职工人数人,共计有PC机台。 对网络的要求: 1. 平时办公文件的共享传输; 2. 需要连接国际互联网进行一些资料数据的相关查询; 3. 需要连接财政内网进行资料数据的上传下载; 4. 对内网的带宽要求至少100Mbps; 5. 外网内网物理隔绝,绝对禁止内外网之间进行通信。
大型企业网络项目解决方案
大型企业网络解决方案 前言 今天的中国,聚焦了世界的目光,经济空前繁荣,企业面临着异常激烈的竞争,机遇与挑战并存。如何增强核心竞争力,如何提高运营效率和客户满意度,如何控制并降低成本,如何获得业务的增长,成为企业负责人最关心的话题。信息技术在各行各业发展中起到的作用日益凸显,信息化为我们带来了高效率的业务模式,信息化为企业的高速发展提供了最新的技术保证,如何让信息技术转化为高生产力,并最终成为我们的核心竞争力,将是每位企业信息主管不断思考的话题。 锐捷网络基于对信息化建设和发展的深刻洞察,以及企业信息化建设的特点,推出了“倾力打造商务智能企业”的企业网络整体解决方案,助您打造一个坚实的信息化基石。 基础网络平台建设 企业建设基础网络平台,以实现企业资源共享,提供管理应用系统,实现企业办公自动化,接入Internet,共享网络资源,企业拥有自己的IP地址和域名,建立企业Email系统和部通讯系统,在公司主机上建立,提供对外宣传的信息平台、
基础平台解决方案特色: 从实时设备获得可重复的、准确的数据,从而确保业务的持续有效运营 通过冗余的设计提高网络和系统的可靠性,提高业务运营的安全性和完整性 通过将所有数据与业务系统集成在一起,让员工可以在需要的时候获取重要的信息,有助于提高业务效率和决策能力 关键业务优先处理,构建企业的核心竞争力 简易便捷的网络扩容,降低企业运营成本企业无线网络解决方案 企业建设无线网络,以降低经营成本和大幅度提高库存管理的效率,直接提供来自于活动点的信息,准确安排生产进度和保持响应紧急变化的灵活性以提高企业业务的竞争力,更加全面的管理生产线中的机械和设备,保持工厂的有效运营,提高员工的反应能力,消除不利于提高生产效率的障碍,方便的部署和管理,灵活的网络扩容,节省企业运营成本。
防控网络舆情应对方案
防控新型冠状病毒感染肺炎网络舆情应对方案为快速妥当处置新冠状病毒感染肺炎网络舆情,有序引导舆论,有效预防、减少和因舆情造成的负面影响,切实提升应对媒体的能力,营造我局良好舆论环境,依据有关规定,制定本预案。 一、工作原则 (一)统一领导,统筹组织。 将舆情应对处置工作纳入应急管理工作统筹安排,成立专门领导小组加强组织协调。采取法律、管理、技术、舆情疏导等综合措施加强舆情应对处置工作,有效防止舆情危机发生。 (二)分级负责,依法处置。 按照“谁主管谁负责”的原则,依法组织实施舆情应对处置工作和应急处置工作。 (三)监测预警,及早防范。 建立舆情监测、报告、通报制度,及时发现和掌握苗头性和预警性信息,加强分析研判,有针对性地采取防范和控制措施,及时预防和消除不良影响。 二、组织体系及工作职责 (一)领导机构及职责 成立市****学校防控新型冠状病毒感染肺炎网络舆情应急处置工作领导小组,由***校长任组长,***副校长、***副校长任副组长,各院务会成员及辅导员为成员的工作领导小 组,负责舆情应急处置预案、工作方案的制定并组织实施,有效监督。
(二)职能职责 1、领导小组职责 (1)根据舆情突发事件的发生情况启动应急预案,决定各班级班主任、辅导员介入突发事件的处置; (2)审定舆情控制与信息发布方案,积极与学校及上级相关部门沟通,商定信息发布的口径、原则和内容,确定审定信息发布稿、负责信息发布和接受媒体采访的领导及相关部门负责人; (3)对舆情突发事件与信息发布应急处置过程中出现的新情况、新问题及时进行会商,提出解决方案及处置措施。 (4)落实****市教育局等相关上级部门交办的其他事项。 2、领导小组办公室职责 (1)加强对网络新闻、论坛、博客、微信群、QQ群、贴吧、搜索引擎等具有新闻舆论及社会动员功能业务的日常监测,及时对相关信息进行收集、整理、分析,发生舆情突发事件,迅速上报领导小组组长; (2)协调班主任、督导员对相关信息进行收集、整理、分析,重要信息及时上报; (3)主动配合宣传部门的工作,及时提供事件有关信息。三、处置程序及办法 (一)研判预警 对可能引发重大舆情的突发事件、热点敏感问题,要及时搜集掌握有关真实信息,做好应对处置准备,增强工作前瞻性和时效性。
财政局计算机网络系统建设方案
财政局办公大楼 计算机网络系统建设方案
一、需求分析 在人类迈向社会信息化的今天,如何进一步提高行政办公效率,健全管理指挥系统,进行信息共享,提高信息的传递速度和质量,实现管理现代化和决策的科学性、先进性和实时性,是摆在每一个企事业单位和领导者面前的重要课题。随着市场竞争的日益加剧,我们已经充分认识到科学的管理和决策是增强竞争实力的重要途径。政府作为国家的职能机构,承担大量的管理和服务职能,为适应未来社会发展的需要,政府信息化已成为社会信息化的基础。 某区财政局为了提高办公效率,加强管理能力,适应今后信息化社会的发展要求,将在财政局内全面应用办公自动化系统。但对于任何应用系统都需要计算机网络系统作为系统运行的基础,因此某区财政局的首要任务是在财政局办公大楼内搭建高性能的计算机网络系统平台。 在本次网络的规划和建设中,我们将根据某区财政局办公自动化系统具体的应用需求,对办公楼的布线系统进行设计,建立一套高质量、高可靠性的综合布线系统,并通过选择最新的网络技术和性能优异的网络产品构建办公局域网系统。同时我们对办公自动化系统服务器和其他软硬件提出合理建议,最终为某区财政局办公自动化系统的应用提供一个可靠、安全、高性价比的应用基础平台。 整个某区财政局办公大楼计算机网络系统建设将要实现以下的总体目标: 1、建立起某区财政局办公大楼的局域网,实现某区财政局内部各种信息资源的 共享,以及相互访问、调用文件和程序。 2、建设一个高性能、高可用性及高可扩展性的服务器系统。 3、将来建设某区财政局办公自动化网,实现内部的办公自动化和传递信息无纸 化。 4、实现与某区政府信息网和广州市财局的财政网络互连,并通过专线连接 Internet,实现某区财政局内部用户访问Internet,获取各方面信息的功能。 根据某区财政局对计算机网络信息网络的需求和实现目标,本次我们将对布线系统、网络系统、服务器系统和软件平台的建设提出建议。
锐捷网络方案样本
目录 1.方案拓扑及特点介绍........................ 错误!未定义书签。 1.1方案拓扑............................... 错误!未定义书签。 1.2方案特点介绍........................... 错误!未定义书签。 1.2.1 锐捷产品高性能、高可靠性, 保证网络安全稳定运行错 误!未定义书签。 1.2.2网络级ARP防护体系.................. 错误!未定义书签。 1.2.3 MAC绑定, 实现安全接入控制.......... 错误!未定义书签。 1.2.4 整合双出口线路, 实现负载均衡........ 错误!未定义书签。 1.2.5 交换机VLAN隔离技术, 保障通信安全... 错误!未定义书签。 1.2.6 完善的Qos策略, 保证关键网络应用优先转发错误!未定义 书签。 1.2.7 强大的防攻击能力和网络病毒防御能力.. 错误!未定义书签。 1.2.8 完善的流量控制, 保证网络带宽资源的合理利用错误!未定 义书签。 2.方案产品介绍.............................. 错误!未定义书签。 2.1NBR1100电信级防攻击宽带路由器.......... 错误!未定义书签。 2.2RG-S3250安全智能三层交换机............. 错误!未定义书签。 2.3RG-S2026F接入交换机.................... 错误!未定义书签。 3. 产品清单................................. 错误!未定义书签。
农产品流通网络项目建设实施方案(20200918012707)
食品有限公司 农产品流通网络项目建设实施方案 第一章项目概况 一、项目名称 冷链改造项目 二、项目承担单位 食品有限公司 三、项目建设地点 鹤壁市淇滨区金山工业园 四、项目建设规模及内容 建设农产品配送中心一座,包括改造双螺旋式速冻机2 套、改造低温熟食加工车间3000 平方米、改造冷库排管蒸发器119 组; 建设1000吨冷链物流立体冷库1座及装卸平台、停车场、供水、供电、给排水及总图工程等配套设施,总建筑面积4000 平方米;购臵制冷设备、冷库货架、堆垛机、叉车、轨道导轨、滑触线及输送系统等;运用现代化物流配送技术,建立智能配送中心管理系统、仓储管理系统等信息管理系统,配套购进服务器、计算机、打印机、传真机等信息技术设备。 五、项目总投资及资金筹措 项目总投资322.6 万元。其中冷链加工改造系统142.6 万元,现代化物流
配送系统180 万元(土建基础22.5 万元,钢架结构79万元,冷库货架、堆垛机、叉车等设备投资37.5 万元,制冷设备投资21 万元,自动化输送系统及信息管理系统投资15 万元,工器具投资5 万元)。 资金来源:企业自筹资金322.6 万元。 六、项目建设期限 从2011 年5 月至2011 年12 月。 七、效益分析 项目建成投产后,物流配送中心年物流吞吐量达20 万吨,可新增300 多家连锁店、200 多个超市专柜及2000 多个经销网点,年配送禽肉制品10 万吨,可直接安排劳动就业100 人,直接带动参与运输户150户,间接安排劳动就业1000多人,为农民增收1 亿元以上;年新增营业收入6000万元,年均利润总额600 万元,所得税150 万元,财务内部收益率28.55%,远大于基准收益率12%,投资回收期5.4 年。 该项目的实施对加快农超对接、加速农产品流通、提升农产品附加值具有重大的现实意义,对促进农业结构的调整,实现农民增收,农业增效,增加劳动就业,带动养殖行业升级,繁荣区域经济,为消费者提供安全放心的食品,提高 人们的生活质量,均能起到积极的推动作用。 第二章建设背景与编制依据 一、项目的由来及必要性 1、项目建设背景 食品有限公司是2002年5月新建的一家食品加工企业,公司占地60 余亩,注册资本1950 万元,员工530 余名,现有鸡肉深加工、丸子系列、烤肠系列、面点系列产品。公司经过几年的生产运营、市场运作,呈现出良好的发
网络安全工作总结
网络安全工作总结 xx财政局xx年网络安全防护 工作总结 今年以来,我局财政网站安全防护工作在县委、县政府的正确领导下,严格按照省、市加强政府网站安全防护工作相关要求,以规范内容为依托,以创新方法为手段,按照健全机制,狠抓落实的工作思路,大力开展计算机安全员培训、信息网络安全检查、网络安全漏洞隐患检测等各项防护工作,进一步加大对网站的安全监督和检查力度,不断提高网站安全防范能力,充分发挥了网站政务公开、政务服务和公众交流的平台作用,为促进县域经济社会发展奠定了基础。现就我局网站安全防护工作总结如下: 一、健全组织,细化工作任务 根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)、《计算机网络国际互联网安全保护管理办法》和《信息安全等级保护管理办法》(公通字[XX]43号)等文件要求,结合签定的《政府网站安全责任书》,我局认真开展了网络安全防护自查工作,进一步完善制度,加强管理,细化技术措施,提高防护能力,确保网站顺利运行。成立了由分管副局长为组长,相关股室负责人和信息网络管理员为成员的网络信息安全领导小组,负责我局网站信息安全防护管理工作。及时建立了信息系统安全责任制、计算机及
网络信息系统安全管理制度、应急预案、值班制度、信息发布审核制度、政府信息公开工作制度、责任追究制度等,-1- 进一步细化工作任务,做到执行严格,落实到位。同时,我局不断加大对信息公开业务知识的培训力度,采取以会代训的方式组织系统各单位和机关各股室相关人员系统的学习了《政府信息公开条例》等政策性文件,使全体干部职工明确实施政府信息公开的意义、基本内容以及相关配套措施和工作规范,提高了信息工作人员对网站安全防护的能力和水平。 二、重点突出,全面落实网站安全责任 我局严格按照“上网信息不涉密、涉密信息不上网”的原则,坚决杜绝在上传和发布政务信息过程中出现失密、泄密事件。一是定期对接入互联网计算机逐台进行检查,主要针对计算机密码管理、安全漏洞、防火墙、杀毒软件等涉及到我局办公电脑网络信息安全各个方面,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的严控性和有效性;二是实行安全网络定期查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、U盘等载体,不访问非法网站,严格控制和阻断病毒来源。在单位外的U盘,不得携带到单位内使用,局域网中的计算机在使用多功能一体机进行打印,专网计算机使用独立的打印机,专机专用;三是涉密计算机均设有开机密码,处于物理隔离未接入互联网,除专人使用和管
计算机网络技术专业建设规划与实施方案.doc
计算机网络技术专业建设方案 (2013-2015年) 一、建设背景 计算机网络的普及和应用水平的提高,使得各行业都迫切需要建网、管网和用网的高素质技能型网络技术人才。计算机网络技术专业是面向高速发展的IT行业,面对技术性强、操作性强且技术更新速度快的岗位,对人才的要求具有很强的时代感,它要求从业人员不仅具有较强的理论基础,还应熟练掌握操作技术与技能,具有解决实际问题的能力和创新能力,这是一种计算机领域新型的技能型人才。为适应市场对网络技术人才培养的要求,在高职院校加强计算机网络技术专业的教学改革建设已刻不容缓。要根据市场不断变化需求及技术的发展,加强专业培养目标、人才培养模式、专业人才培养方案、专业教师队伍、专业教学资源和教学方法手段的建设,形成一个科学而规范的体系。 (一)目标 坚持以服务为宗旨,以就业为导向,计算机网络技术专业建设,必将使本专业特色和优势将更加明显,教学基础能力加强,办学水平提高,管理水平提升。通过专业建设、人才培养模式建设、课程体系模式建设、人才培养方案建设、实习实训基地建设、师资队伍建设、质量监控与评价体系建设,在全省高职院校同类专业具有示范作用,更好地发挥服务行业、企业、跨区域的职业教育基地的重要作用。 1、通过广泛的市场调研,构建“企业+专业”的校企共建专业模式和“课证融通”情境教学工学结合的人才培养模式,形成“课证融通”
情境教学工学结合的模块化课程体系,制定基于工作过程导向的IT型人才培养方案,形成一支以专业带头人和骨干教师为中坚,专兼一体的“双师”结构的教学团队。通过对本专业职业岗位需求分析,以项目任务和工作流程为引领、岗位需求和职业标准为依据,对接计算机网络技术企业岗位群实际优化专业,实现专业课程设计与项目工作过程紧密结合的工学结合模式,构建以学生为中心、以“工作任务驱动为导向”,以职场典型的真实任务为主要教学内容,功能相对独立的模块化专业课程体系。使教学质量明显提高,学生到课率很高,校内考核合格率98%以上,专业技能合格率95%以上,当年就业率达到95%,专业对口率在80%以上,用人单位对计算机网络技术毕业生的满意率达到100%以上。 2、通过专业的人才培养模式和课程体系的改革,建成网络建设与管理1个院级精品课程群,完成1门核心课程的教材编写出版工作。在此基础上,以互联网为平台,以开放的形式逐步丰富各种教学资源。 3、加强实训实习基地建设,一个校内网络建设、管理与维护综合性实训基地,一个网站设计与开发实训基地,利用实训基地的优势开展对社会人员的职业技能培训,形成本地区一流示范性实训实习基地和计算机网络技术培训鉴定机构,从而提高学生的职业能力和计算机网络技术从业人员的工作能力,充分发挥职业教育的社会服务功能。 4、实现师资队伍职称的稳步提高,保证三年内晋升3个副高级职称,晋升5个讲师职称,实现高、中、初合理的职称结构,通过校企合作,优化教师挂职锻炼模式,实现100%的教师能够在三年内挂职锻炼半年,利用行业企业一线的优质工程师队伍建立校内稳定的兼职教师师资库,
中学网络舆情监控应急处置预案
中学网络舆情监控应急处置预案 为切实维护校园和谐稳定,加强学校网络文化建设与管理,最大限度地避免、减少和消除因网络舆情造成的各种负面影响,营造良好的学校舆论环境,根据学校工作实际,特制定本预案。 一、工作原则 1.准确把握、快速反应。网络舆情事件发生后,力争在第一时间发布准确、权威信息,稳定公众情绪,最大限度地避免或减少公众猜测和新闻媒体的不准确报道,掌握新闻舆论的主动权。 2.加强引导、注重效果。提高正确引导舆论的意识和工作水平,使突发事件的新闻发布有利于学校工作大局,有利于维护全体师生的切身利益,有利于社会稳定和人心安定,有利于事件的妥善处置。 3.讲究方法、提高效能。坚持网络舆情突发事件处置与新闻发布同时布置、同时落实,新闻发布依托主流强势媒体、积极引导和应用好外来媒体,处置舆情突发事件的各行政部门密切配合新闻发布工作等行之有效的做法,确保以最短的时间、最快的速度,发布最新消息,正确引导舆论。 4.严格制度、明确职责。完善新闻发布制度,加强组织协调和归口管理,健全制度,明确责任,严明纪律,严格奖惩。 二、工作方法 1.加大学校网站建设力度,增强校园网的吸引力和感染力。配合上级部门做好网上正面宣传,唱响主旋律,打好主动仗。 2.加强对校内网络信息内容管理,对各部门采写的信息,在部门负责人审核通过后,由各单位网络信息员通过学校网络信息处理平台报送,党总支进行文字审核,对涉密信息和重大信息还须同时报校保密办、党办、校办审核。 3.围绕网上热点问题,在师生访问频繁、关注度高的新闻网站、门户网站以及互动类网站等,撰写正面评论文章;对涉及本校工作的网上不实言论,适时以论坛贴文的形式主动进行引导,消除负面影响。 4.围绕学校改革发展的重点、难点问题以及重大突发事件,在校园网上主动导贴,积极跟贴,适时结贴。及时发布正面观点,做好正面引导工作。 5.针对别有用心的造谣、歪曲和攻击,开展理直气壮的舆论斗争,发表即时性评论,及时跟贴,批驳反面声音,澄清事实,抵御负面言论的渗透和传播。
学院网络改造项目实施方案
学院网络改造实施方案 WORD版本下载可编辑
一、概述 1、工程概况 某某学院本次网络改造主要是对学生宿舍网和学校出口网络进行改造。原有的学生宿舍网没有自己单独的核心设备,并且所有的桌面接入交换机均为不可网管设备,无论是从网络稳定性、安全性、可管理性和可控性上都无法得到保证,而出口位置以前没有专门的安全设备,整个校园网的安全也有缺陷。针对这些问题,本次改造增加了一台H3C的高端路由交换机9505作为学生宿舍网的核心,将楼宇接入设备和桌面接入设备更换成了H3C的可网管交换机,并且增加了基于802.1X技术的cams用户管理系统,对学生上网进行认证和计费。在出口位置,增加了一台高端的防火墙设备,作为校园网访问公网的边界设备。 2、实施原则 网络改造的实施遵循下面三个原则: 以用户需求为指导的原则 由于本次网络改造是对原有网络的升级和扩容,因此,网络的改造首先要深刻理解用户的需求。通过了解目前网络的现状,分析其所存在的缺点,结合用户提出的要求,制定最佳的实施方案,充分发挥出新设备的性能。 先进性的原则 目前,某某学院网络在网络性能、可靠性、安全性和可管理性等方面存在一定的缺点,因此网络改造一定要遵循先进性的原则,弥补现有网络的缺陷,并且能够满足未来3至5年网络应用发展的需求。 合理规划、认真实施的原则 在规划过程中,要充分考虑设备、vlan、地址使用的合理性及扩展性。做到既不浪费、有又良好的可扩展性。同时要做到便于管理。实施过程中要注意各种细节问题,多余用户进行沟通,真正做到一丝不苟、认真负责。
二、网络改造实施方案 1、新建网络拓扑情况 新建网络将学生宿舍网与办公网在结构上做了分离,学生宿舍网成为一个单独的网络。整个学生宿舍网呈星形结构,分为核心、汇聚和接入三层。在逻辑结构上设计为一个大的交换网络,核心层是一台H3C 的9505路由交换机,既汇聚各楼的交换机,又与校园网出口防火墙通过千兆互联。各学生宿舍楼使用一台E328作为楼宇汇聚设备,通过千兆光纤链路与核心设备互联,接入层的桌面接入设备为H3C 的E126交换机,通过百兆链路与楼宇汇聚设备互联。学生宿舍网的网关均设置在9605上,Cams 用户管理服务器直接连接到核心9505上。 新建网络的出口位置增加了一台千兆防火墙,连接网通提供的Internet 链路和教育网某某地区的核心设备Ne40,同时通过千兆连接校园网的9505和6509,此防火墙的主要任务是做校园网访问外网的地址转换,并且抵御外部病毒和攻击。 新建网络拓扑如下图所示: 学生宿舍3#CERNET 2 学生核心9505 Ne40 学生宿舍1#学生宿舍2#学生宿舍4#学生宿舍7# 学生宿舍5#学生宿舍6# 学生宿舍8# 教工宿舍网 潍坊地区各高校网络 一条链路双栈互联 1000M 155M 100M 教学1#教学3#教学2# 教学4#教学5#教学6#教学7# Catalyst2950H3C https://www.360docs.net/doc/f97159228.html, 2133SecGate 3600-G10 Cams 认证服务器 具体的设备分配见表《设备分配与管理地址表》
信息系统和网络安全责任书
信息系统和网络安全 责 任 书 云南省公安厅网络安全保卫总队制
为进一步加强信息系统和网络安全保护工作,根据国家相关法律法规和规章要求,个旧市公安局网络安全保卫大队与个旧市财政局(以下简称“运营使用单位”)就信息系统和网络安全保护工作签定以下责任书: 一、公安机关应认真履行职责,加强对计算机信息系统和网络安全保护工作的监督、检查、指导,定期进行现场安全检查和远程技术检测,及时向运营使用单位通报预警信息系统和网络存在的安全隐患,严厉查处危害信息系统和网络安全的违法犯罪案件。对不落实安全责任和工作要求的,公安机关应当督促运营使用单位及时整改;情节严重的,要依法追究相关单位及责任人的法律责任。 二、运营使用单位应当按照《全国人民代表大会常务委员会关于维护互联网安全的决定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》《计算机病毒防治管理办法》《互联网安全保护技术措施规定》《云南省网络与信息系统安全监察管理规定》等法律法规和规章的规定,加强对本单位信息系统和网络的安全保护,接受公安机关的安全监督、检查、指导,协助公安机关查处网络违法犯罪。在日常工作中,认真履行以下安全保护职责: (一)高度重视网络与信息系统安全等级保护工作,建
立健全网络与信息系统安全管理机构和工作机制,按照“谁主管、谁负责,谁运营、谁负责”的原则,将网络与信息系统安全责任层层落实到具体部门、具体岗位和具体人员。 (二)将网络与信息系统安全等级保护制度落实到信息系统和网络规划、审批、建设、评估、运行、维护的各个环节,确保网络安全和信息化统一谋划、统一部署、统一推进、统一实施。 (三)落实本单位网络与信息系统安全等级保护定级、备案、等级测评、建设整改和安全自查等工作,确保本单位网络与信息系统的安全、稳定运行。 (四)确定专职或兼职网络与信息系统安全等级保护工作联络员,具体负责网络与信息系统安全保护及联络工作。联络员应当积极参加公安机关组织的有关培训。在联络员发生变更时,应第一时间向公安机关报备。 (五)科学规划、合理建设数据备份技术措施,充分保障重要数据安全。建立健全安全监测手段,实时掌握本单位网络与信息系统的安全状况。制定完善网络安全应急预案,加强人员培训,做好技术力量和资源储备,定期开展应急演练,提高对网络安全突发事件的应急处置能力。 (六)切实加强安全监测和实时监控,发现被攻击后,应当在第一时间切断网络和信息系统与互联网的连接,完整保留有关原始记录,立即向属地公安机关报告,在公安机关指导下及时采取措施,消除隐患和影响,协助公安机关做好调查取证工作。
舆情应对处置预案 3篇
舆情应对处置预案 3篇 一、责任主体 (一)局法规科负责全局网络舆情工作的牵头协调,负责网络舆情信息的汇总、报送,负责网络舆情监控及评论员队伍管理。 (二)局法规科负责“武侯人社局”(新浪和腾讯)微博舆情的监控、收集、研判、处置、引导工作;局人才中心负责“武侯人才”(新浪和腾讯)微博舆情的监控、收集、研判、处置、引导工作;各科室(单位)负责本科室(单位)业务范围内网络舆情的监控、收集、研判、处置、引导工作;各QQ工作群负责人负责本群舆情的监控、收集、研判、处置、引导工作。 (三)局办公室负责网络舆情监控及评论员队伍建设,会同局法规科组织相关培训。 二、工作机制 (一)舆情监测报告机制。各责任主体将监控和收集到的网络舆情信息实时报送局法规科;法规科汇总网络舆情信息后实时以电话、短信方式报告局领导,由局领导牵头视情组建舆情应对处置小组,决定是否向上级报告;法规科按照局领导指示督促各责任主体及时处置负面舆情,并动态跟踪、实时汇报舆情处置情况。 (二)舆情研判预警机制。各责任主体应认真甄别收集到
的舆情,对舆情最新动向和发展趋势进行分析判断,提出舆情工作措施;重大政策出台、重要活动举办时,要分析判断可能出现的负面舆情,拟制舆情预警应对方案,准备应答口径,做到业务工作与舆论引导、舆情应对同步部署、同步推进、统筹兼顾。 (三)舆情应急处置机制。网络上突发涉及人力资源社会保障的公共事件,或出现涉及人力资源社会保障的热点、敏感、负面舆情时,各责任主体要严格按照局领导指示,及时组织局网络舆情监控及评论员开展网络舆情评论,通过网络跟帖评论、论坛发帖、撰写博文、微博发布等形式,抢占先机,正面引导舆论走向。 (四)舆情外联协调机制。各责任主体应加强与省人社厅、市人社局和区委宣传部对口处室、对口单位的联系,经请示局领导同意后及时汇报,争取省、市、区及相关领导对我局工作的了解和支持。 三、工作要求 (一)增强主动性。人力资源社会保障网络舆情工作关系民生,影响部门形象,全局干部职工要强化大局观念、整体意识和协作精神,积极主动并富有前瞻性地自觉做好网络舆情工作。 (二)提高时效性。各责任主体要切实增强网络舆情工作敏感性,严格按照责任分工,不断提高网络舆情工作时效,
XX网络改造项目工程实施方案
XXXXXXXXX网络改造项目工程实施方案 V1.0 2010年7月
1 客户网络情况调查(可选) 1.1 概述 青海黄河鑫业水电网络项目(EAD部分)实施,本次主要实施为IMC平台部署、客户端安装、双机备份部署,以及对用户方的培训工作。 1.2 账号情况 此处请检查EAD的license是否够用 ?账号数不是指在线用户数,而是在iMC EAD中开户的数量 ?如果账号是从LDAP服务器中同步过来的,需要确保同步的LDAP服务器中的用户数小于iMC EAD的license数。 ?iMC EAD的license数目以客户实际购买数量为准。 1.3 网络设备情况 此处仅统计与EAD相关做身份认证的设备情况 1.4 终端操作系统情况 此处仅统计需要安装iNode客户端做EAD认证的用户。
常见的操作系统有:widnows,linux,MacOS等 1.5 终端操作系统杀毒软件情况 1.6 服务器情况 如果有多个服务器,请添加多行 Raid请填写该服务器是否有Raid卡,radi卡大小是多少。 1.7 操作系统及数据库情况
?为了保障业务软件产品的正常运行,请确保现场的操作系统及数据库为正版 ?常见的虚拟机有Vmware等 ?为了保障业务软件产品的正常运行,要求服务器服务器专机专用,除了业务软件产品及必要杀 毒软件外,不能安排其它厂家的软件产品。 2 EAD组网方案选择 根据客户的网络情况,选择合适的EAD组网方案。
2.1 802.1xEAD典型组网 2.1.1 推荐的组网: 1. 接入层交换机二次acl下发方式 组网说明: ?802.1x认证起在接入层交换机上 ?采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检 查合格的用户放行 ?由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产 品版本配套表) ?控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源) ?由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户 未认证前能访问一些服务器,如DHCP,DNS,AD(active directory域控),此时可以通过H3C交换机的EAD快速部署物性来实现,关于该特性的具体描述请参考: /kms/search/view.html?id=14452 ?为确保性能,iMC EAD一般要求分布式部署 2. 客户端acl方式 对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode 的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上。
网络安全审计案例与解决方案
网络安全审计案例与解决方案 来源:比特网2008-09-28 11:07:56 浏览次数:【打印】 需求背景1: 某部委是我国拟定方针政策、发展战略和中长期规划,组织起草有关法律法规并监督实施的国家部委。某部的网络是一个跨地区、跨部门的综合性网络系统,下辖多个数据中心,比如水土保持监测中心等,该网络由国家信息中心同全国省级、副省级、地市级和县级四级政府部门信息中心构成的完整体系构成。政务外网与政务内网物理隔离,与互联网逻辑隔离。国家电子政务外网安全管理平台用于管理国家电子政务外网中央城域网、广域网骨干网的主要网络设备、安全设备和网络承载的业务系统的安全事件。 某部委信息中心希望通过部署审计系统,旨在提高对各类安全事件的防范,规范信息发布,保障内部重要关键主机的业务正常运行。具体而言主要包括几部分内容:第一,对各省及地市的接入数据库的人员能准确定位,并且能够控制,只有授权许可的人员才能察看其访问授权范围内的内容。 第二,对具有访问授权的人员所进行的网络行为操作做记录。 第三,能够对办公自动化OA系统的操作进行审计,较为关注办公自动化中收发邮件、网络共享等基本网络操作行为的审计。 解决方案: 某部委网络由一个核心网络机房构成,全国省级、副省级、地市级和县级四级政府部门信息中心与该机房的核心交换相连。网络安全建设较为完善,主要设备有防火墙、IDS、洞扫描、网关防病毒等网络安全产品。该方案在原有网络安全设备基础上,在核心交换机处部了署审计产品,情况如下图所示: 案例点评: 事实上,整个方案将审计产品作为整体安全的关键设备,审计产品部署在交换机出口处作为监控预警的环节,对内外部的各关键节点进行保护,同时,通过审计系统,实现了与综合管理平台SOC的有效结合与统一管理。 该方案为信息中心网络构建了一道提供了从宏观到微观的多层次,立体化的网络安全保护体系。信息中心主任如实说,“审计产品在我们的整个网络中发挥了比较重要的作用,帮助我们在日常运维的工作中形成了一个有效的监管机制,准确定位相关人员对我们系统的数据库、服务器等系统维护的网络行为,因此,我们对天玥网络安全审计系统表示满意。” 需求背景2: 某市广播电影电视局是国家的重要行政单位,是我国研究并拟定广播电视宣传和 影视创作的方针政策,把握舆论导向的政府机构。随着我国广播电影电视的蓬勃发展,某市广播电影电视局担负着越来越沉重的管理工作,尤其是在信息化时代到来的今天,某市广播电影电视局必须应对新形势下的管理和舆论导向。 该局为加强对内部管理和建设,对内外网着手部署了审计系统,主要达到以下目的:第一,随着总局IT系统的增多,用户的操作权限无法得到有效的控制和管理,如果内部网络维护人员针对核心服务器进行telnet、x11、Rlogin 的操作时,没有有效的监控机制必将带来很大隐患。 第二,该局后台系统中有大量的业务应用系统,包括但不限于:业务审批系统、电子报文系统、流媒体制作播放管理系统、Web服务系统、流媒体后台管理系统、运营业务管理系统、宽带互动访谈系统、硬件系统等,承载这些系统的每一个关键服务器,都是需要做安全保障和防护的,最为重要的是,必须能够做到角色和用户实现一对一的对应关系,保证登录用户身份的真实性。 解决方案:
锐捷大中型企业VLAN网络方案(1)
?摘要:企业规模的扩大造就了企业网络规模的不断膨胀,众多企业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现,随之而来的就是网络体系变得越来越复杂,对网络的管理也变得越来越困难,网内的安全指数也变得越来越低,并且网络资源的利用率也大大降低,如何行之有效的管理网络和合理利用网络资源成为企业最大的难题。 ?标签:网络VLAN ?企业规模的扩大造就了企业网络规模的不断膨胀,众多企业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现,随之而来的就是网络体系变得越来越复杂,对网络的管理也变得越来越困难,网内的安全指数也变得越来越低,并且网络资源的利用率也大大降低,如何行之有效的管理网络和合理利用网络资源成为企业最大的难题。 采用VLAN方式划分网络体系能够让管理员更加方便的管理企业网络,而VLAN网络灵活的扩展能力也让企业网络规模在不断扩大的同时不会出现网络混乱的情况,VLAN网络所具有的控制广播风暴能力让企业网络资源的性能得到大幅度提高,并且VLAN网络还具有管理简单,安全性高的特点。因此,在网络最初的设计中采用VLAN方式能够对网络将来的扩展带来极大的好处。 在普通的小型企业中,采用路由器方式划分VLAN是一种节约成本的方法,不过在大中型企业中,采用路由器方式划分VLAN会严重影响企业网络的性能,而VLAN间的通信必需通过路由才能实现,因此,具有路由功能的三层交换机被广泛应用于大中型企业VLAN网络中。但我们必需清楚一点,就是采用三层交换机的VLAN网络同样需要路由器,只不过路由器只是企业网络和互联网的连接工具,VLAN间的通信不会靠路由器来实现。 三层交换机构建的VLAN网络结构