不僅根據政府機關單位對於資訊系統的建置需求為目標,在規劃上,
除了滿足現有使用人數之需求,
並考量到未來擴增之規劃,全面提升網路頻寬的使用速度,以符合現在及未來之需求。
此案的規劃與建置如下:
1. 網路效能之提昇
某政府機關資訊網路既有核心交換器一台,核心交換器與各邊縁存取交換器僅有單一光纜連接,且没有無線網路的建置,整體架構效能及穩定度在目前運行中是較為薄弱,故在此建置工程中規劃有
- 核心高速交換器Alcatel-Lucent OS9700,除交換效能大幅提昇外,本高速核心交換器各線路模組皆為相互備援配對,並且搭配雙電源及雙管理模組達到完整備援之高可用度能力。
- 邊縁交換器採用Alcatel-Lucent OS6250系列,在各處室機櫃以高速堆疊互連,形成一虛擬大型邊縁交換器,至少有兩條不同光纜連接至核心交換之不同模組,大幅提昇網路路徑之穩定度。
- 無線網路引用了與有線網路相同廠牌Alcatel-Lucent的AP125基地台,可同時提供802.11b/g/n的存取。無線網路的存取是經由微軟Active Directory作統一的驗證。另外,也規劃了訪客使用及無線報表的統計與管理。
- 網際網路頻寬管理需要慎密的控制,才能讓機關的網路資源為該用的同仁及主管充份的利用,而不會因少數人吃掉大部份的頻寬而影響到正常的公務運作。在此所使用的是Exinda智慧型服務類別導向的頻寬效能管理器,可即時快速了解頻寬使用的情況,因不同的使用者、應用程式可加以限制調整,以確保網路的順暢。
- 網路氣象台的開發建置是以使用者的角度定期量測某政府機關對外及內部主要常用的網站的回應時間,加上語音/簡訊/mail的告警機制可以在第一時間通知管理者,提供一簡易方便的工具快速了解整體網路服務的健康程度。
没有資訊安全為前提,網路上一切的便利將是空談,故某政府機關資訊網路規劃必要的資安設備作為網路存取使用的後盾,整體網路資安架構如下圖所示
其中包含有
- 防火牆FortiGate 1240B兩台相互備援,該設備是以硬體作處理加速運行,切割不同的VDOOM作不同程度的訊務導流及過濾阻擋,也可依府內管理面之需求,隨時進行調整,或利用其應用程式控制功能,對不具生產力之網路應用加以限制。各同仁連至網際網路時亦需經此防火牆輸入AD身份作驗證,除可確認使用者身份外,亦可作為日後資安紀錄追蹤參考的重要依據。
- 入侵防禦係採用McAfee NSP M4050產品兩台互為備援,切割成兩個不同虛擬IPS,一IPS負責防火牆至外網的阻擋過濾,另一IPS則負責防火牆內部的阻擋過濾。本設備可針對內外網路傳輸中的封包作詳細檢查並依需要採取對應的措施。同時具有以雲端為基礎的病毒捕獲能力,大幅縮短病毒被發現後到系統更新後具備防護能力的時間落差。
- 上網行為管控採用McAfee Web Gateway 5500設備,可避免不正當的上網行為,如存取某政府機關所不允許的色情、遊戲及股票交易等類別的網站。系統可即時自動更新資料庫,針對上網下載的內容亦會即時進行過濾並阻擋具有危害的檔案,進而提供同仁在Web 2.0世界中安全健康無慮的上網。
- 人員管理: 在本工程中規劃共通認證資料庫微軟Active Directory,主要儲存本存各單位處室及人員的基本資料,以作為網際網路及無線網路存取的統一驗證之用。此項建置也為未來整合其它系統single login奠立良好的基石。同時提供方便的Web界面可提供使用者隨時修改密碼之用。
- 網路管理: 採用Alcatel-Lucent的OmniVista 2500網管系統來管理各項網路及資安設備,可提供整合的配置(Configuration)管理、告警(Alarm)管理及效能(Performance)管理等機能。
- 設備管理: 以IPScan進行管理,針對府內現有的電腦、伺服器、印表機等網路設備皆以其MAC位址為人員使用註冊依據,並與AD資料庫整合,任何非註冊過之網路設備皆無法使用網路,必需提出申請才能使用網路資源。如此將可預防不明人士偷接某政府機關有線及無線網路,造成不必要之風險。同時利用過期設備還原機制,將逾期未使用之設備,取消其上網授權,確保設備管理之正確性
本案的建置主要是以人為中心(User-Centric)進行考量,提供某政府機關同仁最便利及最安全的資通服務,並以此作為未來其它資訊系統建置的基底。同時,網路與資安的技術是一日千里,需隨時跟上腳步,持續檢視及校調各項網路元作,才是資通服務長期健康運作之道。
沒有留言:
張貼留言