易城企业网络安全规划与设计.doc

浙江警官职业学院毕业综合实践课题题 目： 易城企业网络安全规划与设计 专 业： 司 法 信 息 安 全 区 队： 信安101 姓 名： 孙经纬 学 号： 201011132 指导教师： 江 波 提交日期： 25目 录第1章 易城企业网络安全概述21.1目前企业网络的主要安全隐患21.2企业网络的安全误区3第2章 易城网络安全问题需求分析52.1公司背景52.2公司网络安全需求52.3 需求分析5第3章 案列展示63.1建设需求63.2公司网络结构73.3系统结构功能说明73.4网络构建设计原则8第4章 构建全方位的数据泄漏防护系统94.1企业U盘认证系统实现功能94.2文档安全管理系统实现功能104.3建立一体化的本地/异地备份与容灾体系11第5章 安全设备选型155.1设备选型155.2明细表21总 结22致 谢23参考文献24易城企业网络安全规划与设计作者：孙经纬 指导老师：江波 摘 要随着信息化进程的提速，越来越多的企业信息披露于企业内外部网络环境中，如何保护企业的机密。保障企业信息安全，成为现今信息化企业发展过程中不然需要面的和解决的问题。网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、真实性、可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自网外的攻击。防火墙，则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。建立了一套网络安全系统是必要的。 对于企业网络安全管理需要部署的内容，首先要明确企业的那些资产需要保护，确定相关业务和关键数据支持技术资产的价值，然后在此基础上，制定并实施安全策略，完成安全策略中的部署，设立安全标准。关键词企业 网络安全 信息管理 部署第1章 易城企业网络安全概述1.1 目前企业网络的主要安全隐患企业网络安全现状和威胁现今无论是中小企业还是大企业，都广泛使用信息技术，特别是网络技术，以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的同时，也给企业带来了安全隐患。网络的安全问题一直困扰着企业的发展，给企业所造成的损失不可估量。由于计算机网络特有的开放性，网络安全问题日益严重。企业所面临的安全威胁主要有以下几个方面:1.1.1互联网安全：企业通过Internet可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等已成为影响广泛的安全威胁。1.1.2企业内部网安全：企业中大量员工利用网络处理私人事务。对网络的不正当使用以及操作方法不当，降低了生产效率、消耗了企业的网络资源，并引入病毒和木马程序等。发生在企业网络上的病毒事件，据调查80以上是经由电子邮件或网页浏览，进入企业内部网络并传播的。垃圾邮件和各种恶意程序，造成企业网络拥塞瘫痪，甚至系统崩溃，造成难以弥补的巨大损失。1.1.3内网与内网、内网与外网之间的连接安全： 随着企业的不断发展壮大，逐渐形成了企业总部、异地分支机构、移动办公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企业的运行效率。现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括：1、病毒、木马和恶意软件程序的入侵。2、网络黑客的攻击。3、重要文件或邮件的非法窃取、访问与篡改。4、关键部门的非法访问和敏感信息外泄。5、外网的非法入侵。6、备份数据和存储媒体的损坏、丢失。7、通过软盘、U盘或移动硬盘从电脑中拷出带走，或盘内病毒感染。针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。1.2 企业网络的安全误区（一）安装防火墙就安全了防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。（二）安装了最新的杀毒软件就不怕病毒了安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。（三）只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。（四）文件设置只读就可以避免感染病毒设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。（五）网络安全主要来自外部基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。第2章 易城网络安全问题需求分析2.1 公司背景 易城网络有限公司是一家有100多名员工的中小型网络公司，主要以手机应用开发为主营项目的软件企业。公司有一个局域网越100台计算机，服务器操作系统是Windows Server 2003,客户机操作系统是Wimdows XP，在工作组的模式下一人一机办公。该公司对网络的依赖性较强，主要的业务都要涉及到互联网以及内部的局域网。随着公司发展现有的网络安全已不能满足，因此构建新的健全的网络安全体系是当前的重中之重。2.2 公司网络安全需求 易城网络有限公司根据自身业务的发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部和业务部门，需要他们之间相互隔离。同时由于考虑到Internet的安全性，以及其他的一些网络安全因素，如DDoS、ARP等。因此本企业的网络安全构架有以下要求：1、根据公司现有的网络设备组建网络规划2、保证网络系统的可用性和连续性3、防范网络资源的非法入侵与非法访问4、保护企业信息通过网上传输过程中的机密性及完整性5、防范病毒和黑客侵害6、实现网络的集中安全管理2.3 需求分析通过对易城网路现状及其发展需求，为实现易城网络公司安全建设的系统改造。提高企业网络系统运行的稳定性，保证企业各种信息设计安全性，避免信息资源的丢失和外泄。通过软件和安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，防范外来计算机的入侵造成的破坏。通过网络改造，是管理者更加便于对网络中服务器、客户端、登入用户的权限以及应用软件的安装惊醒全面的监控与管理。因此需要：1、构建良好的环境确保企业物理设备的安全2、划分VLAN控制内的网络安全3、安装防火墙体系4、建立VPN（虚拟专用网络）确保数据安全5、安装防病毒服务器6、加强企业对网络资源的管理第3章 案列展示3.1 建设需求 应对企业的现代化信息建设。基于该系统的应用包括数据库的应用、邮件系统和Web服务器的应用。这些系统分布在4太服务器上，邮件系统和Web服务器应用分散在各应用服务器内硬盘中，数据库采用SQL数据库系统。该系统中心数据，运行着各种重要的应用系统，关系到企业各个部门的运作和数据信息的安全，因此本次的信息基础构建要求将信息安全、可靠性放在首位。为避免其中数据信息的破坏和攻击，本项目还要考虑到安全防护管理等方面以达到网络安全和链路安全的目的。3.2 公司网络结构图3-1 公司网络结构图由于易城网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0，直接经由防火墙分为DMZ区域和普通区域。防火墙做NAT转换，分别给客户机端的IP地址为10.1.1.0 255.255.255.0.防火墙接客户端口IP地址为10.1.1.1 255.255.255.0DMZ内主要有各类服务器，IP地址分配为10.1.2.0 255.255.255.0.防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机，下面有2层交换机接入。3.3 系统结构功能说明3.3.1系统可靠性该网络构建核心配置一台三层交换机和三台二层接入机。接入交换机及服务器分别千兆光纤连接至两台核心交换机。核心交换机支持传统的STP/RSTP/MSTP生成树协议。还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠网络质量。进一步提高了宽带利用率。3.3.2关键业务应用可靠性企业数据库（关键业务应用）服务器采用采用基于储存共享的双机热备方案，两台服务器可以互备或者并行方式运行。在工作操作中，两台服务器将以一个徐牛的IP地址对外提供服务，依工作方式的不同，将服务请求发送给其中一台服务器承担。同时，服务器通过心跳线侦测另一台服务器的工作状况。当一台服务器出现故障时，另一台可迅速作出判断惊醒切换并接管当前服务。对于用户而言是一个全自动的过程，耗时短，从而对业务不会造成影响。由于是共享的存储设备因此两台服务器使用实际的属于一直，可双机或集群管理，对于用户还是企业管理，都大大提高了效率。3.3.3网络安全防护位系统配置的统一安全网关集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P阻断和限流、IM软件控制、L2TP/IPSEC/SSL/MPLS VPN等特性与一体，提供高性能的安全防护，帮主企业提升工作效率。3.4 网络构建设计原则1、先进性：以先进的、成熟的网络通信技术组合进行组网，支持数据、语音、视频等多媒体应用。2、标准化和开放性：采用符合ISO或IEEE、ITUT、ANSI等标准的网络协议，采用符合国际标准的网络设备。3、可靠性和可用性：选用高可靠的产品技术，充分考虑西圆通程序运行时的应变和容错力，确保系统安全可靠，有强大的网络负载能力，支持多用户多进程的网络传输。4、实用性和经济性：从实用和经济的角度出发，兼顾近期和长期的企业网站目标，选用先进的设备，进行最佳性能组合，利用有限的投资创造最佳性能的网络系统。5、安全性和保密性：再介入Internet/Intranet时，保证网上信息和各种用用系统的安全，采用网络安全产品必须经过国家公安部门的认证。6、扩展性和升级能力：选用具有良好升级能力和扩展性的设备，在未来的升级和扩展中，保护现有资源，并支持多种网络协议、高层协议和多媒体应用。7、灵活性：运用交换机与路由器产品支持的、先进的虚拟网络技术。8、可管理性：集中式管理，方便网络的日常管理和维护。第4章 构建全方位的数据泄漏防护系统近年来，泄密案件日益成为企业管理者的梦魇。各种数据泄露事件越演越烈，不仅给企业带来严重的直接经济损失，而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。为防止数据外泄，企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品，以为可以高枕无忧了。其实，这种想法是错误而且极其危险的。FBI和CSI对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致了 6056.5 万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。因此，易城企业在加强网络安全建设和信息安全管理的投资上十分注重，引进先进的数据泄露防护(DLP)体系防止企业敏感资料泄密。4.1 企业U盘认证系统实现功能U盘的安全认证可以有效防止非法U盘在企业（或政府）内部的使用而导致的泄密问题。UCS系统采用了先进的WDM驱动技术、加密技术和磁盘读写权限控制技术，集U盘身份识别、数据加密和权限控制功能为一体，是目前功能最强大、安全性最高的U盘认证系统之一。企业U盘认证系统功能特点：安全U盘制作：将任何的普通U盘转换为一个具有身份标识，并且具有加密功能的U盘。该U盘插入到普通未授权的计算机中，U盘内容无法读取。U盘智能识别：可自动识别普通U盘和授权认证U盘，未经授权认证的U盘无法在电脑上使用；U盘身份识别：经过认证的U盘使用时，必须再次输入密码，验证通过后方能正常使用；U盘统一管理：所有经过认证的U盘在使用时，都可以通过总控台进行监控和记录；外网限制使用：当安全U盘带回家中，由于无法进行身份认证，所以无法正常使用。U盘使用权限控制：控制指定的计算机对于U盘的只读/禁止使用权限。企业U盘认证系统实施部署图：图4-1 U盘认证系统部署图4.2 文档安全管理系统实现功能HS-Key是HS-DLP体系的基础核心软件，用于对企业的机密文件资料进行加密保护，有效防止员工主动泄密或无意间的数据泄露。HS-Key通过文件加密、权限管理、流程管理，以及与AD域和企业现有的管理系统的紧密结合，来达到企业对文件安全性和管理人性化的双重要求。文档安全管理系统功能特点：文件自动加密，无需人工干预:HS-Key采用透明加解密技术，可以在用户没有感觉的情况下，完成文件的自动加密。精细权限控制，控制文件流转:既可控制文件内容复制、拖拽、打印、截屏等操作。也可对文件（本地磁盘/网络磁盘/移动磁盘文件等）和文件夹的操作进行分权限/分级/分用户控制。集成管理系统，完美融合流程:可与Windows域用户完美结合。同时可以和企业的OA/PDM/ERP等管理系统进行紧密的集成，进行组织架构的导入/同步，工作流程融合等。开放策略管理，轻松扩展需求:用户可根据需求，任意添加需加密监控的应用程序和文件类型，无需二次开发即可适应未来环境，为用户节约投资成本。解密审批流程，贴合企业管理:加密文件或邮件附件，必须经过解密审批流程或者邮件解密流程方能正常完成解密外发。外发文件控制，覆水亦可收回:可以对外发离开企业的文件的读写权限、打开次数、打开时间、复制截屏等操作权限进行精确控制。强制或不强制，部门区别对待:可以根据不同部门的加密需求选择是否强制加密，如技术部门可以强制进行全盘加密，销售部门可以有选择的加密。黑白名单功能，加强安全管理:可对信任的邮箱设置为白名单，加密文件发往白名单邮箱时自动解密，发往黑名单邮件时自动拒绝发送；可对与工作无关的聊天程序、游戏等程序做控制，禁止运行和启动，实现应用程序黑白名单的管理效果。离网工作控制，外出亦可控制:有效控制离网工作电脑的使用权限，并可配合加密狗来实现指定的管控功能。日志审计功能，追溯安全责任:提供完善的事后追查和操作日志检索功能，对于所有可能造成文件泄密的途径都可进行追踪和筛查。4.3 建立一体化的本地/异地备份与容灾体系随着易城企业现代的高速发展，对于数据可用性的依赖性越来越高，数据已成为企业最为宝贵的财富。要保证企业业务持续的运作和成功，就要保护基于计算机的信息。但是由于自然灾难或是人为错误引发的业务宕机给企业造成无可估量的损失，不能被企业所接受。因此，为企业的信息系统建立起有效的备份与容灾体系，在发生各类灾难时快速响应、全力保证业务连续性，成为保证企业连续运营的关键。美国飞康CDP备份/容灾一体化解决方案，彻底改变了传统的数据备份及灾难恢复方式，全面整合了数据备份、系统恢复、灾难恢复、本地及异地容灾等多项功能。无论企业的应用服务器发生任何意外，例如，恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障，甚至整个机房毁于意外，都可以完整保护整个信息系统，彻底解决所有传统备份与容灾难题。帮助企业最大程度的使数据丢失最少(RPO)，业务中断时间最短(RTO)。图4-2 美国飞康CDP备份/容灾一体化解决方案飞康CDP备份/容灾一体化解决方案的特点：1分钟立即验证并恢复备份传统备份机制只能从备份纪录中确认备份工作执行成功，却不能保证数据能够用于正确恢复。飞康CDP在主机端就能快速转换为快照磁盘并浏览快照内容，通过iSCSI及FC与应用服务器连结，一分钟内就能检查快照磁盘里的文件内容，并直接加载数据库系统进行数据比对和恢复验证，完全不需要耗时的数据回存过程，或占用服务器本身的磁盘空间，影响系统运行。图4-3 1分钟立即验证并恢复备份5分钟恢复中断的业务系统传统备份机制保护下的服务器，一旦发生黑客/病毒攻击、打补丁造成系统不稳定、系统崩溃，就必须经过繁复且冗长的回存过程，才能让系统恢复正常运行。利用飞康CDP的SAN Boot功能，可以在意外发生后，通过安装在应用服务器上的FC HBA或iSCSI HBA，在应用服务器重新开机后接手本机硬盘，5分钟内就能恢复系统正常运行，无需重新安装操作系统和数据恢复过程。图4-4 5分钟恢复中断的业务系统10钟让故障服务器恢复运行当服务器因主板等硬件故障或遭遇自然灾害，导致整台服务器无法运行时,必须送修或更换备机，相当耗时费力。飞康CDP利用虚拟服务器(如VMware)作为恢复平台，采用P2V恢复机制，将CDP管理器内的磁盘快照，通过iSCSI直接提供给虚拟机使用，无需冗长的文件系统转换过程，更不用考虑硬件与驱动程序的兼容性，10分钟内就能从虚拟机上启动系统，快速恢复服务。图4-5 10钟让故障服务器恢复运行第5章 安全设备选型5.1 设备选型服务器选型IBM x3400 M2(7837I01)基本资料产品型号System x3400 M2(7837I01)产品类型塔式产品结构5U处理器处理器型号Intel Xeon,5504 2.0G处理器主频(MHz)2000MHz处理器二级缓存(KB)4512KB处理器三级缓存(M)4M L3标配CPU数目标配1个最大CPU数目最大2个主板主板扩展插槽8PCI扩展插槽内存内存类型ECC标配内存2048M内存插槽数12最大支持内存容量96G存储标配硬盘2.5寸 HS SAS 146G磁盘阵列Raid 0,Raid 1,标配8个硬盘槽可标配BR10i阵列卡光驱DVD-ROM光驱网络与插槽网卡21000M以太网卡机箱与电源尺寸767440218mm重量38Kg电源一个670瓦服务器电源其它支持操作系统Microsoft Windows、Red Hat Enterprise Linux、SUSE LinuxEnterprise、VMware ESX 和 ESXi工作温度及湿度()作温度10-35,工作湿度8%至85%存储温度及湿度()储存温度10-43,储存湿度5%至95%工作高度(米)2133米售后服务3年有限保修工作站选型：基本参数型号扬天 T4900V(E5300/1G/160G)类型商用台式机处理器Intel Pentium E5300 2.6G处理器类型奔腾E双核处理器频率2600MHz处理器接口LGA 775二级缓存(KB)2048KB处理器外频200MHz主板/内存主板/芯片组Intel G31总线频率800MHz主板参数2PCI,1PCI Express16,1PCI Express1内存类型DDR2内存大小1GB存储设备硬盘类型SATA硬盘硬盘参数7200转硬盘容量320GB光驱DVD光驱读卡器无读卡器视频音频显示器宽屏液晶尺寸19寸显示器描述分辨率1440900显卡集成Intel GMA X3100显卡显卡性能PCI-E X16接口标准,支持DirectX 9声卡板载声卡通 讯网卡板载10-100-1000M网卡其它硬件电源220V/180W机箱立式,402.5175398 mm键盘/鼠标键盘/光电鼠标其它附件光盘1张,说明书,其它资料其 它操作系统Windows XP Home附带软件有奖纠错 拯救系统(一键恢复 一键杀毒 驱动智能安装 文件管理),安全中心(私密文件柜 安全登陆管理),培训中心,通讯中心(虚拟服务器 内网沟通 手机短信 通讯录 互联一点通)售后服务三年有限保修和三年有限上门服务属性关键字双核处理器,处理器支持64位计算技术联想 T4900V 详细参数 我要挑错，赢积分，取大奖 交换机及其他设备选型1) 核心交换机基本参数产品型号TL-SG3109 产品类型工作组级,二层,可网管型交换机 传输方式存储转发方式 背板带宽20Gbps 包转发率10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps 外形尺寸29418044mm硬件参数接口类型10/100Base-T端口,10/100/1000BASE-T端口 接口数目8口 传输速率10M/100M/1000Mbps 模块化插槽数1 堆叠不可堆叠 网络与软件支持网络标准IEEE802.3,802.3u,802.3z,802.3ab,802.3x VLAN支持支持VLAN功能 网管功能支持网管功能 是否支持全双工支持全双工 MAC地址表8k 其它参数电源电压100-240VAC,50/60Hz(内部通用电源)2) 接入层交换机基本参数产品型号TL-SG1024D产品类型桌面级,二层,非网管型交换机,千兆交换机,以太网交换机传输方式存储转发方式背板带宽48Gbps包转发率10M:14880pps,100M:148800pps,1000M:1488000pps外形尺寸29418044mm硬件参数接口类型10/100BASE-TX端口,10/100Base-T端口,10/100/1000BASE-T端口,RJ45接口数目24口传输速率10M/100M/1000Mbps模块化插槽数0堆叠不可堆叠网络与软件支持网络标准IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3xVLAN支持无VLAN功能网管功能无网管功能是否支持全双工支持全双工MAC地址表8K其他性能支持端口自动翻转,支持MAC地址自学习其它参数电源电压100-240VAC,0.8A(内部通用电源)最大功率25WTB-66 5.2 明细表总的购物清单品名规格单价数量服务器IBMx3400 M2（7837I01）128001交换机TP-Link TL-SG1024D10805