信息系统安全网络改造方案

网络办公、互联网办公已经是当前企业办公的主要工作模式。据中国互联网信息中心2017年发布的《第39次中国互联网络发展状况统计报告》称“截止201612月,全国使用计算机办公的企业比例为99.0%。经过多年发展,中国企业已基本实现计算机的普及应用”。

           

随着网络工作模式在国民生产过程中所占比重日益加深,网络信息在企业生产总值中所占地位也渐趋核心重要。频发的网络信息安全事件(棱镜门、心脏出血漏洞、水牢漏洞、CSRF漏洞等)不仅仅对个人、企事业单位乃至国家都会造成不可弥补的损失。

没有网络安全就没有国家安全,没有信息化就没有现代化”,加强企事业单位网络信息安全建设刻不容缓。在政策层面,网络安全法规相应出台,2016117日,十二届全国人大常委会第二十四次会议表决通过了《中国人民共和国网络安全法》;20161227日,国家互联网信息办公室发布《国家网络空间安全战略》,为国家未来网络安全工作的开展指明了方向。

       在网络解决方案及技术层面,结合国家信息系统安全等级保护等一系列标准要求,信联安宝率先推出基于国产自主可控安全网络设备技术的硬件解决方案。

安全

国产处理器就购买国外授权的处理器而言,其自身存在的安全风险可想而知。芯片技术若自身不被国内掌握,无法避免后门植入等风险,安全性也必然得不到根本保障。信联安宝采用国产龙芯+CEC盛科5160作为设备处理器,二者均属于完全不依赖国外芯片IP核、采用自主开发微结构的全自主芯片。经过多年商用,其性能和兼容性方面已经可与国外芯片比标,最重要不存在安全性不可控,供应链不可控的问题。棱镜门、CSRF漏洞等利用硬件作为恶意代码载体的恶性事件即可完全规避。

自主操作系统信联安宝自主可控网络安全设备采用全自主知识产权操作系统作为软件支撑。




权威机构认证信联安宝自主可控安全网络设备从研发、生产到售后,均严格按照国军标及国标质量管理体系要求完成,并已顺利通过工信部权威实验室安全及性能多项测试。现有客户主要集中在部队、政府、医疗、能源等行业用户单位,在客户信息化安全改造项目中,信联安宝是他们重要合作伙伴之一。

方案

一、数据中心网络安全升级方案

特点

内容

结构安全

关键网络设备(服务器)均采用冗备机制,满足业务高峰流量需求。

网络接入采用均衡对等设计,满足业务接入高峰期需求。

采用自主可控网络安全设备(交换机)划分不同子网与网段,保证内部设备网络接入安全。

访问控制

自主可控网络安全设备(交换机、路由器、防火墙)根据角色设置设备访问权限,满足边界网络设备访问控制需求。

服务器、存储等根据角色设置设备访问权限,满足核心网络设备访问控制需求。

自主可控网络安全设备(交换机)无法加装不可信可疑远程访问固件,满足通路设备可控需求。

通信安全

数据传送加载国产密码设备,在保障数据传输完整性的同时避免明文、明码传送,保障通信安全。

设备安全

网络传送设备尤其是基础边界网络设备(交换机)均采用自主可控网络安全设备,可防止恶意代码加载,防止网络窃听与端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

二、集团公司网络安全升级方案

特点

内容

结构安全

关键网络设备(服务器)均采用冗备机制,满足业务高峰流量需求。

根据部门工作职责及职能,采用自主可控网络安全设备(交换机)划分不同子网与网段,保证内部设备网络接入安全。

访问控制

自主可控网络安全设备(交换机、路由器、防火墙)根据角色设置设备访问权限,满足边界网络设备访问控制需求。

服务器、存储等根据角色设置设备访问权限,满足核心网络设备访问控制需求。

自主可控网络安全设备(交换机)无法加装不可信可疑远程访问固件,满足通路设备可控需求。

通信安全

关键部门要求保障通信安全。采用国产密码设备,在保障数据传输完整性的同时避免明文、明码传送,保障通信安全。

设备安全

网络传送设备尤其是基础边界网络设备(交换机)均采用自主可控网络安全设备,可防止恶意代码加载,防止网络窃听与端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。





三、中小企业网络安全升级方案

特点

内容

结构安全

根据部门工作职责及职能,采用自主可控网络安全设备(交换机)划分不同子网与网段,保证内部设备网络接入安全。

访问控制

自主可控网络安全设备(交换机、路由器、防火墙)根据角色设置设备访问权限,满足边界网络设备访问控制需求。

服务器、存储等根据角色设置设备访问权限,满足核心网络设备访问控制需求。

自主可控网络安全设备(交换机)无法加装不可信可疑远程访问固件,满足通路设备可控需求。

通信安全

小型企业保障数据安全可不采用硬件加密设备,可在小型办公OA系统上加载安全办公模块即可。

设备安全

网络传送设备尤其是基础边界网络设备(交换机)均采用自主可控网络安全设备,可防止恶意代码加载,防止网络窃听与端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

 


 

TX3900/TX6900自主可控交换机

2013年,随着美国“棱镜计划”的曝光,我国对网络安全的重视达到前所未有的高度,国家成立了国家安全委员会和中央网络安全和信息化领导小组,网络安全已上升到国家安全层面。要从根本上实现网络安全,则必须实现信息系统和网络平台的“自主可控”。

TX3900\TX6900是信联安宝(北京)科技有限公司面向党政军专网、以及国民经济命脉领域推出的新一代“自主可控”万兆交换机,该产品在硬件平台、操作系统两个关键层面实现全部国产化。其中,硬件核心部件CPU采用中科院龙芯2H,交换芯片采用CEC(中国电子集团)下属盛科网络自主交换芯片,并搭载信联自主知识产权的基于Linux操作系统的XLOS软件平台。

TX3900\TX6900可提供高性能的L2/L3/L4线速交换服务,并进一步融合了IPv6MPLS VPN、网络安全、等多种网络业务,结合不间断升级、不间断转发、冗余保护等多种高可靠性技术,可以保证网络最长时间的不间断安全通信能力。

TX3900\TX6900万兆交换机支持高达48个千兆+8个万兆端口,能够满足不同规模网络对设备的端口密度及性能要求。

                         TX6900                                                 AC电源模块                   DC电源模块


 

 

产品特性

先进的硬件架构设计,业界领先的强大处理能力

       1U盒式交换机上,实现48个千兆+8个万兆的业界最高端口密度,搭载高性能的ASIC交换芯片,可满足各种复杂场景的应用需求。

       运营级的高可靠性

       基于HPSHitless Protection System)无中断保护系统,TX3900\TX6900的关键器件,如电源模块均可热插拔,支持故障时无缝切换,无需人工干预。

       TX3900/TX6900支持STP/RSTP/MSTP协议,支持VRRP协议,同时支持环网保护,双上行主备链路保护,LACP链路聚合等简单高效的冗余保护机制。

       支持ISSUIn-Service Software Upgrade)业务不中断系统升级,保证系统升级时用户数据的不间断转发。

       超高精度的BFD双向链路检测机制,通过和二、三层协议的联动,实现毫秒级的故障检测及业务恢复,极大程度地提高了网络系统的可靠性。

       完善的以太网OAM机制,支持802.3ah802.1agITU-Y.1731,通过对网络运行状态的实时监控,实现对故障的快速检测与定位。

       TX3900/TX6900软硬件的高可靠性设计,满足电信级业务50ms的故障恢复时间要求,真正做到了运营级核心设备5999.999%)的高可靠性。

丰富的业务特性

       完善的二、三层组播路由协议,满足IPTV、多终端的高清视频监控和高清视频会议的接入需求;

       齐备的三层路由协议,超大的路由表容量,满足各种类型的网络互联需求,可组建超大型的园区网、企业网和行业用户专网。

       全面支持二、三层的MPLS VPN,可组建超大型的MPLS VPN核心网络,满足行业专网VPN用户、企业网VPN用户的接入需求。

全面的IPv6解决方案

       全面支持IPv6协议族,支持IPv6邻居发现、ICMPv6Path MTU 发现、DHCPv6IPv6特性。

       支持基于IPv6PingTracerouteTelnetSSHACL等,满足纯IPv6网络设备管理及业务控制的需要。

       支持MLDMLD SnoopingIPv6组播特性,支持IPv6静态路由、RIPngOSPFv3BGP4+IPv6三层路由协议,为用户提供完善的IPv6二、三层解决方案。

       支持丰富的IPv4IPv6过渡技术,包括:IPv6手工隧道、自动隧道、6to4隧道、ISATAP隧道等隧道技术,保证IPv4网络向IPv6网络的平滑过渡。

       完善的安全机制

       设备级安全防护:先进的硬件架构设计,硬件实现对报文的分级调度及保护,支持防范DoSTCPSYN FloodUDP Flood、广播风暴、大流量等对设备的攻击;支持命令行分级保护,不同级别用户拥有不同管理权限;

       完备的安全认证机制:支持IEEE 802.1xRadiusBDTacacs+等,可为用户提供完备的安全认证机制。

       增强的业务安全机制:支持相关路由协议的明文或MD5认证,支持uRPF逆向路由查找技术,可有效控制非法业务;硬件级报文深度检测和过滤技术,支持对控制报文和数据报文的深度检测,从而有效隔离非法数据报文,提高网络系统的安全性。

创新的绿色环保设计

       智能的电源管理系统:TX3900\TX6900采用先进的电源系统架构设计,实现高效的电源转换,独有的电源监控、缓启动等功能,实时监测整机运行状态,智能调节,深度节能。

       智能的风扇管理系统:智能风扇设计,支持自动调速,有效降低转速、减少噪声,同时延长了风扇的使用寿命。

       支持能效以太网功能,遵循国际标准IEEE 802.3az,有效降低了能源消耗。

产品规格

项目

TX3900\TX6900

整机交换容量

256Gbps

整机包转发率

190Mpps

MAC容量

32K

业务端口描述

48端口千兆电+8端口万兆光

机箱尺寸mm(宽×深×高)

442×330×44

电源

AC100V-240V50Hz±10%

DC-36V~-72V

可选双电源

环境要求

工作温/湿度:0-50℃,10%-90%无凝露

存储温/湿度:-20-70℃;5%-95%无凝露

MAC交换功能

支持静态配置和动态学习MAC地址

支持查看和清除MAC地址

MAC地址老化时间可配置

支持MAC地址学习数量限制

支持MAC地址过滤功能

支持黑洞MAC表项

VLAN

支持4K VLAN表项

支持GVRP

支持11N1 VLAN Mapping

支持基本QinQ功能

支持灵活QinQ功能

支持Private VLAN

STP

支持802.1DSTP)、802.1WRSTP)、802.1SMSTP

支持BPDU保护、根保护、环路保护

组播

支持IGMP v1/v2/v3

支持IGMP Snooping

支持IGMP Fast Leave

支持组播组策略及组播组数量限制

支持组播流量跨VLAN复制

支持PIM-SMPIM-DM

IPv4

支持静态路由、RIP v1/v2OSPFBGP

支持策略路由

支持等价路由实现负载均衡

支持OSPFBGPGraceful Restart

支持BFD for OSPFBGP

IPv6

支持ICMPv6DHCPv6ACLv6IPv6 Telnet

支持IPv6邻居发现

支持Path MTU发现

支持MLD v1/v2

支持MLD Snooping

支持IPv6静态路由、RIPngOSPFv3BGP4+

支持手工隧道、ISATAP隧道、6to4隧道

MPLS VPN

支持LDP协议

支持MCE

支持MPLS VPNP/PE功能要求

QoS

支持基于L2/L3/L4协议头各字段的流量分类

支持CAR流量限制

支持802.1P/DSCP优先级重新标记

支持SPWRRSP+WRR等队列调度方式

支持Tail-DropWRED等拥塞避免机制

支持流量监管与流量整形

安全特性

支持基于L2/L3/L4ACL流识别与过滤安全机制

支持防DDoS攻击、TCPSYN Flood攻击、UDP Flood攻击等

支持对组播、广播、未知单播报文的抑制功能

支持端口隔离

支持端口安全、IP+MAC+端口绑定

支持DHCP SnoopingDHCP Option 82

支持IEEE 802.1x认证

支持RadiusBDTacacs+认证

支持uRPF

支持命令行分级保护

可靠性

可选支持电源1+1备份

支持静态/LACP方式链路聚合,支持跨业务卡的链路聚合

支持EAPS环网保护

支持VRRP

支持BFD for OSPFBGP

支持ISSU业务不中断系统升级

管理与维护

支持ConsoleTelnetSSH 2.0

支持基于浏览器WEB方式管理

支持SNMP v1/v2/v3

支持TFTP方式的文件上传、下载管理

支持RMON事件历史记录

支持sFLOW等流量统计分析

 





信联安宝(北京)科技有限公司 版权所有 京ICP备16041526 京公网安备 11010602005623号