中国商飞公司信息化网络安全平台技术方案项目号文档编号工程编号版本号1.1保密级别一般秘密机密绝密上海宝信软件股份有限公司2009年03月中国商飞公司信息化网络安全平台技术方案编制：编制日期：审核：审核日期：批准：批准日期：上海宝信软件股份有限公司修订历史日期作者版本修订原因主要修订内容目录TOC\o"1-3"\h\z\u1.网络及安全基础平台介绍51.1.网络安全基础平台概述51.2.网络安全基础平台规划目标及支撑范围52.技术方案62.1.网络安全基础平台层次架构62.1.1.涉密网网络安全基础平台层次架构图62.1.2.业务网网络安全基础平台层次架构图62.2.网络安全基础平台功能72.2.1.涉密网网络安全基础平台功能82.2.2.业务网网络安全基础平台功能93.建设计划建议12网络及安全基础平台介绍网络安全基础平台概述中国商飞公司网络作为设计、制造、服务、管理等应用的数据流转平台，按照地域划分为公司行政办公区、客户服中心、总装制造和研发设计中心四个区域，其中公司总部在张杨路，设计研发中心在龙华，总装制造中心在大场而客户服务中心则在闵行紫竹，各区域之间通过租用运营商线路的方式实现高速互联，而公司客户和国内外供应商则通过IPSECVPN、SSLVPN等方式接入，此外各协作单位通过专线等方式接入。而在职能上，中国商飞公司网络又划分为涉密网和业务网两个物理隔离的网络。其中涉密网同上级主管单位以及保密部门互联，主要用于涉密文件、流程的处理。业务网则为集团与各成员单位之间在飞机设计、飞机制造、客户服务等各个环节有效的信息传递、交换和共享，形成基于数字化的飞机研制、生产、服务管理的业务环境提供服务，并对外提供IPSECVPN、SSLVPN等安全的接入方式。四个区域中都包含有涉密网以及业务网两部分。网络安全基础平台规划目标及支撑范围参照公安部于2005年发布的《信息系统安全等级保护基本要求》，从长远角度出发对中国商飞公司网络安全基础平台建设进行规划工作，实现涉密网网络安全平台建设达到信息系统安全等级保护基本要求第四级以及业务网网络安全平台建设达到信息系统安全等级保护基本要求第三级的目标，为商飞公司PDM、ERP、MES等数字化信息系统运行提供安全、可靠、高效的基础支撑环境。技术方案网络安全基础平台层次架构涉密网网络安全基础平台层次架构图图一：涉密网整体网络安全层次架构图架构图说明：商飞公司涉密网网络安全架构层次共划分为5个大安全区域：涉密网、涉密骨干网区域、属地涉密办公网区、属地涉密服务器区以及涉密网数据中心/灾备区域，安全级别依次递升；涉密网外联区：定位于商飞公司内部涉密网与外部的涉密主干网互联区域；涉密骨干网区域：定位于为各区域所属涉密网同其它区域涉密网互联而设立的区域；属地涉密网办公区：定位于为各区域所属涉密网中的办公用户接入而设立的区域；属地涉密网服务器区：定位于为各区域所属涉密网中内部服务器接入而设立的区域；涉密网数据中心/灾备区域：定位于为商飞公司涉密网核心数字化信息系统接入而设立的区域；业务网网络安全基础平台层次架构图图二：业务网整体网络安全层次架构图架构图说明：商飞公司业务网网络安全架构层次共划分为5个大安全区域：Internet区域、业务骨干网区域、属地业务网办公区、属地业务网服务器区及业务网数据中心/灾备区域，安全级别依次递升；Internet区域：定位于为商飞公司业务网提供安全的因特网访问和对外信息发布接入而设立的区域。对因特网提供服务的安全系统和应用系统均部署在此区域；业务骨干网区域：定位于为各区域所属业务网同其它区域业务网以及数据中心互联而设立的区域；属地业务网办公区：定位于为各区域所属业务网中的办公用户接入而设立的区域；属地业务网服务器区：定位于为各区域所属业务网中内部服务器接入而设立的区域；业务网数据中心/灾备区域：定位于为商飞公司业务网核心数字化信息系统接入而设立的区域；网络安全基础平台功能中国商飞公司网络安全基础平台分为涉密网以及业务网两套物理隔离的网络，每套网络都有各自独立的结构化综合布线系统和网络安全系统。两套网络安全基础平台的建设均参照信息系统安全等级保护基本要求中的技术标准进行规划。涉密网网络安全基础平台功能建议在涉密骨干网出口画上防火墙，否则边界上缺少防护了。图三：涉密网网络安全拓扑架构图商飞公司涉密网网络及安全基础平台规划中采用的架构及技术以信息系统安全等级保护基本要求第四级中的以下指标为依据：结构安全（G4）访问控制（G4）边界完整性检查（G4）入侵防范（G