欢迎来到天天文库
浏览记录
ID:13568366
大小:249.92 KB
页数:12页
时间:2018-07-23
《网络安全评估报告》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
山西省农村信用社联合社北大街数据中心网络安全评估报告2015年12月12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 目录1网络概况32网络安全评估内容42.1电源评估42.2线缆评估62.3温湿度评估62.4网络架构评估72.5访问控制评估82.6网络设备可靠性评估83评估总结114服务团队介绍1212持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 1网络概况1.1网络拓扑图1.2概况简介农村信用合作社是中国金融体系的重要组成部分,也是目前主要的合作金融组织形式。农村信用合作社是由社员入股组成、实行社员民主管理、主要为社员提供金融服务的合作金融机构。山西省农村信用社下设2个直属机构、11个地市级联社(办事处)、110个县联社、1651个信用社、1251个信用分社(储蓄所),共计3000多个机构网点,网络系统将按照“高效、严谨、安全、稳健”的指导思想,统一规划、为山西农信今后的发展与腾飞提供一个良好的电子化技术基础平台故此有必要进行一次系统的,全面年度巡检。12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 1网络安全评估内容1.1电源评估n评估对象:供应电源及设备的电源模块n评估手段:现场查看,工程资料查看n安全因素:电源供给是否双路,电源模块容量是否充足等评估结果:各项评估点全部满足。12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 序号评估点评估标准评估方法评估结果1设备供电可靠性设备具备双路供电能力检查电源线是否从电源分配柜或头柜架引2路独立电源至机架内形成不同的供电回路;架内设备的不同电源模块应分别接入架内不同的电源分配模块中核心路由交换设备均有备份电源模块,同时机柜具备双路供电。实际耗电量与机架电源模块(单模块)容量之比<75%现场检查机架每路电源分配模块的负载能力是否完全相同;从设备资料中查询机架电源模块容量;现场检测实际耗电量核心及接入设备实际耗电量与机架电源模块(单模块)容量之比<75%,符合标准机架内电源线不存在串接、复接电源插线板或设备现象;无设备使用多功能电源插座现象;无设备跨集装架取电现象现场查看架内电源线连线情况机架内电源线通过主备两路空开对设备供电,无设备使用多功能电源插座现象;无设备跨集装架取电现象;1.1线缆评估n评估对象:机架内部走线及架间走线12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 n评估手段:现场查看n安全因素:走线是否合理,线缆是否完好n评估结果:各项评估点全部满足。序号评估点评估标准评估方法评估结果1线缆布放规范三线(信号线、电源线、接地线)分离现场检查架内及架间走线信号线采用上走线方式从机柜上方的出线口上走线架,电源线和接地线通过下走线方式分别连接到电源柜和地排,符合标准;线缆在机柜内布放时不绷紧、线缆完好、线缆标签正确现场检查架内走线线缆在机柜内布放都在连接处留有一定的余量,不紧绷,线缆完好,标签正确,符合标准1.1温湿度评估n评估对象:机架内部n评估手段:现场查看、资料查询n安全因素:温度、湿度是否会超标n评估结果:各项评估点全部满足。评估点评估标准评估方法评估结果12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 序号1设备散热安全单个集装架内安装设备功耗总和不大于5千瓦现场检查架内安装设备情况,查询相关设备工程资料现场检查确认单个集装架内设备功耗总和不大于5千瓦架内通风状况良好,架内部温度在18-24℃现场检查架内通风状况架内通风状况良好,内部温度在18-24℃,符合标准1.1网络架构评估序号评估点评估标准评估方法评估结果1网络架构层次分明网络架构逻辑分区,层次清晰,构建物理和逻辑层次清晰的二层交换和三层路由网络查看工程资料,检查网络设备间物理及逻辑连接现网逻辑划分为十个分区;服务器接入网络采用二层交换;各地市分支机构、外联单位及新旧数据中心业务通过与核心区运行OSPF实现通信;其它区域间互访使用静态路由网络应用汇聚设备实现集中接入参考工程资料及查看网络设备数据配置12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 各外联单位通过外联区AR3260路由器接入;各地市业务通过广域网区NE40E-X8路由器接入;新旧数据中心业务通过双中心互联区CE12804汇聚设备接入网络结构扁平化:核心网大容量,少节点参考工程资料,分析网络拓扑图两台CE12808作为核心交换机;各区域汇聚设备为CE12800/S12708系列交换机;S6700/CE5810/S5700作为服务器和终端用户的接入交换机。整体而言,网络架构扁平。2系统出口链路冗余系统出口链路冗余,可以保证一条链路故障时另一条正常工作参考工程资料及网络设备数据配置广域网区及外联区两台路由器实现主备备份,通过路由协议控制链路的主备关系,发生故障时,在业务可承受时间内实现链路更换冗余链路可以正常切换查看AR3260及NE40E-X8路由器配置在业务可承受时间内可实现链路切换12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 1.1访问控制评估n评估手段:现场查看物理连接、检查数据配置、工程资料检查n评估结果:各项评估点全部满足。评估目的:通过划分有效的VLAN,减小广播风暴,提高网络性能序号评估点评估标准评估方法评估结果1维护人员访问维护人员对系统访问的路径控制检查交换机、防火墙配置维护人员需要先登录专用堡垒主机后才能登陆XX设备进行配置维护。同时使用ACL限制用户设备登录。系统内部各区域间互访通过防火墙对区域间互访进行安全控制检查防火墙配置各区域均有部署防火墙提供域间安全访问控制外部对系统内部的访问在访问路径中间部署安全网络设备对内网系统进行安全保护检查工程资料及查看设备数据配置外联区在外层墙和外联路由器间插入IPS实现对外联DMZ区服务器的安全控制,同时外部网络用户访问内网系统时需经外层墙地址转换1.2网络设备可靠性评估n评估对象:业务系统内部网络设备的安全性n评估手段:现场查看物理设备、检查数据配置、工程资料检查12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 n评估目的:确保在单个网络设备或链路出现故障时,流量均控制在正常负荷中序号评估点评估标准评估方法评估结果1网络设备可靠性网络设备主备备份配置,核心网络设备应硬件冗余查看工程资料及设备数据配置核心交换机使用VRRP热备网关;各区域防火墙双机热备部署;各区域汇聚交换机堆叠部署;且均有电源、引擎等冗余网络设备日志无异常不存在大量告警,无异常日志检查设备日志信息和trap信息不存在大量告警,无异常日志2网络设备软件可靠性网络设备软件版本无缺陷并及时更新最新补丁检查设备系统版本及补丁根据华为厂家版本说明,建议将现网CE12800及S12708设备进行补丁升级3路由协议的可靠性协议路径切换时间在可接受范围内参考工程资料,现场检查网络设备数据配置路由协议有效,倒换测试路由切换正常,切换时间在可接受范围12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 1评估总结目前登陆所有网络设备都是通过交换机的vtty认证方式,在vtty方式下采用了限制ip访问及用户和密码的方式(ssh加密传输),并且用户分3个等级(管理员、配置人员及监控人员),用户的密码实行3个月修改一次。用户登陆交换机需要通过堡垒机(登陆堡垒机需要用户及密码)跳转后才能进入,在操作间接入pc需要在接入交换机的相应端口添加pc的MAC地址和ip地址绑定后才能正常接入网络。所有设备的登陆密码有专人负责管控,关键设备的登陆密码分2人管理(各自负责部分密码,组合后才能登陆到设备上)。网络管理系统定时备份网络交换机的运行配置并下载到服务器上,网络设备关键线路的up及down、带宽的利用率等都在实时监控中,设备的动态路由协议的相关信息变化,都能立即发送信息到相关人员的手机,让管理人员能及时了解网络设备的运行状态。网络管理系统的告警信息分为紧急告警、重要告警、次要告警和提示告警,紧急告警会及时发送信息到相关人员的手机;其他告警在每天的4次巡检任务是都能根据ip拓扑图及告警提示了解网络设备的状态变化。针对目前安全情况提出如下建议:1、定期关注双数据中心互联300M链路和外联区人行业务链路的状态及带宽利用率,若发现有异常,需要联系华为工程师进行问题确认及处理。2、定期关注CE12800堆叠管理通道端口状态和数据通道端口状态,若发现端口状态有异常情况,需要联系华为工程师进行问题确认及处理。12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212 3、建议对设备的CPU使用率以及内存使用率进行定期监控,若发现有异常波动且不恢复的情况,需要联系华为工程师进行问题确认及处理。4、定期关注CE设备上的新增告警,需要联系华为工程师及时处理,如新增光模块功率不足告警等需要及时排查光模块、光纤和对端设备。5、建议定期监控设备物理端口带宽的使用率,若发现端口流量有超过80%的情况,网络中可能存在环路,需要联系华为工程师进行问题确认及处理。6、针对OSPF协议,定期监控协议状态稳定性,若发现协议状态有异常收敛情况,需要联系华为工程师进行问题确认及处理。12持qiye1212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212121212
此文档下载收益归作者所有
举报原因
联系方式
详细说明
内容无法转码请点击此处