网络安全管理设计方案

1 网络安全管理设计方案 第一章 需求分析 司目标的需求 华城网络有限公司是一家有 100 名员工的中小型网络公司，主要以手机应用开发为主营项目的软件企业。公司有一个局域网，约 100 台计算机，服务器的操作系统是 003,客户机的操作系统是 P，在 工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。 司网络安全需求 华城网络有限公司根据业务发展需求，建设一个小型的企业网，有 服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到 安全性，以及网络安全等一些因素，如。因此本企业的网络安全构架要求如下： （ 1）根据公司现有的网络设备组网规划 （ 2）保护网络系统的可用性 （ 3）保护网络系统服务的连续性 （ 4）防范网络资源的非法访问及非授权访问 （ 5）防范入侵者的恶意攻击与破坏 （ 6）保护企业信息通过网上传输过程中的机密性、完整性 （ 7）防范 病毒的侵害 （ 8）实现网络的安全管理。 求分析 通过了解华城网络公司的需求与现状，为实现华城网络公司的网络安全 2 建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机 加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对 用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面 的监控和管理。因此需要 第二章 网络安全的设计 络设计主要功能 （ 1） 资源共享功能。网络内的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能。 （ 2） 通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现用、接入互联网、进行安全的广域网访问。 （ 3） 多媒体功能。支持多媒体组播，具有卓越的服务质量保证功能。远程 入访问功能。系统支持远程 入，外地员工可利用 络设计原则 （ 1） 实用性和经济性。系统建设应始终贯彻面向应用， 注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 （ 2） 先进性和成熟性。系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 （ 3） 可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间， 络作为国内知名品牌，网络领导厂商，其产品 的可靠性和稳定性是一流的。 （ 4） 安全性和保密性。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环 3 境，采取不同的措施，包括系统安全机制、数据存取的权限控制等， 络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分 址绑定、 。 （ 5） 可扩展性和易维护性。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费 用，提高网络的易用性。 络的设计 （ 1）物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内；机房的承重要求应满足设计要求；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。 （ 2）电力供应 机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供应（如 备）；应建立备用供电系统（如备用发电机），以备常用供电系统停电时启用。 （ 3）电磁防 护要求 应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰；电源线和通信线缆 应隔离，避免互相干扰。 司内部网的设计 内部办公自动化网络根 据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网（ 在没有配置路的情况下，不同虚拟子网间是不能够互相访问。通过虚拟子网的划分 ,能够实较粗略的访问控制 2。 1、 划分和地址的分配 经理办子网 ( 子网掩码 : 网关： 产子网 ( 子网掩码 : 网关：市场子网 ( 子网掩码 : 网关： 4 财务子网 ( 子网掩码 : 网关： 资源子网 ( 子网掩码 : 网关： 2、访问权限控制策略 （ 1）经理办 以访问其余所有 （ 2）财务 以访问生产 场 源 可以访问经理办 （ 3）市场 产 源 不能访问经理办 务 （ 4）生产 销售 以互访。 信保密 数据的机密性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是 明文。可以选择以下几种方式： （ 1）链路层加密 对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止非授权用户读懂、篡改传输的数据，如图 示。 图 路密码机配备示意图 链路加密机由于是在链路级，加密机制是采用点对点的加密、解密。即在有相互访 问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。 (2)网络层加密 5 鉴于网络分布较广，网点较多，而且可能采用 多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备（ 网络加密机，是实现端至端的加密，即一个网点只需配备一台密机。根据具体策略，来保护内部敏感信息和企业秘密的机密性、真实性及完整性 3。 在 P 体系中实现网络安全服务的重要措施。而 准的 议加密设备。它通过利用跨越不安全的公共网络的线路建立 全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对 配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说， 备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持 准 。如图 示。 图 备配置示意图 由于 备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络， 备可以使网络在升级提速时具有很好的扩展性。鉴于 备的突出 优点，应根据企业具体需求，在各个网络结点与公共网络相连接的进出口处安装配备 备。 毒防护 由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，公司网络系统中使用的操作系统一般均为 统，比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术 4： 6 （ 1）预防病毒技术 预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入 计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。 （ 2）检测病毒技术 检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。 （ 3）杀毒技术 杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除 ），防止病毒进入网络进行传播扩散。 用安全 应用安全，顾名思义就是保障应用程序使用过程和结果的安全。简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。 （ 1） 内部 统中资源享 严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要 的口令认证机制，即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全，但对一般用户而言，还是起到一定的安全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。 （ 2） 信息存储 对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。 7 置防火 墙 防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。 华城公司 网络中使用的是神州数码的 面包含了防火墙和 功能。 由于采用防火墙、 术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点： （ 1） 管理、维护简单、方便 ; （ 2） 安全性高 (可有效降低在安全设备使用上的配置漏洞 ); （ 3） 硬件成本和维护成本低 ; （ 4） 网络运行的稳定性更高 由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。 络结构 网络拓扑图，如图 示 图 司网络结构 由于华城网络公司是直接从电信接入 接经由防火墙分为 域和普通区域。防火墙上做 换，分别给客户机端的地址为 火墙接客户区端口地址为 主 要 有 各 类 的 服 务 器 ， 地 址 分 配 为 8 火墙 的接口地址为 网主要由 3 层交换机作为核心交换机，下面有两台 2 层交换机做接入。 第三章 系统安全架构 统设计 安全系统设计是在信息系统安全策略的基础上，从安全策略的分析中抽象出安全系统及其服务。安全系统的设计如图 1 所示。安全系统设计的目标是设计出系统安全防御体系，设计和部署体系中各种安全机制从而形成自动的安全防御、监察 和反应体系，忠实地贯彻系统安全策略。 统组建 目前市场主流终端架构有独立 、无盘工作站和虚拟化终端。从节约成本和简化管理工作量角度来看， 的模式基本不予以考虑。综合对比无盘工作站和虚拟化终端无盘工作站要求前端硬件型号及配置一致，扩展性较差。而瘦客户机访问虚拟桌面时采用的是统一架构与协议，与瘦客户机及后端服务器品牌及型号均无要求。 无盘工作站与传统 唯一不同就是将本地的硬盘移除，但用户数据仍会驻留在工作站的内存中，非常容易被窃取。而虚拟桌面的运算均驻留在数据中心的服 务器上，保证了数据及应用的安全性。 采用无盘工作站方式对客户端及服务器的资源要求均很高，当无盘工作站数量达到一定数量时，速度会变得缓慢，同时整体系统的稳定性不高，由此带来的维护成本也较高。 因此综合如上因素： 我们推荐针对办公计算机和试验办公计算机均采用虚拟化终端架构。 但是针对试验计算机终端需要通过传统的 连接试验仪器，而一般虚拟化瘦客户端机器都不具备这些接口。因此为试验室使用计算机我们还是采用传统的独立 终端模式 。 第四章 数据安全设计 据层的架构 9 该数据层架构主要是针对实验计算机上所有 机密数据采用何种数据存储而言。首先我们明确要对实验计算机每日生成的机密实验数据需要进行集中存储，而且要实现自动存储。 一般来说，会被企业采用的存储架构，可分为 3 种，以下作简单的说明： 一、 数字数据尚未大量暴增的早期，比较简单的存储架构就是采用直接附加存储（ 所有的存储装置，包括硬盘、光盘、软盘、随身碟等存储设备，皆附属于计算机本身，这些由个人使用的计算机延伸出来的装置，透由计算机连接到服务器上，就形成 1 个简单的存储架构。 现今企业数据的复杂化 ，种类也渐趋多元，伴随着异质平台互相分享文件的需求，也就需要更为完整的存储架构，作为理想的解决方案。不过，只要企业数据量增加，就必须另外购买存储设备与服务器，因为这些零散的服务器大大增加管理者的工作份量。 由于 是透过 盘进行存储，在硬盘的 I/O 表现比网络慢的情形下， 构效能及存取速度也的确是 1 个问题，因此透过网络进行存储的方式，成为企业采取的主要存储架构，而 为企业最常用的 2 种。 二、 用以太网络所建构的局域网络，来串连公司内部的存储设备，就是网络附加存储（ 基本精神。简单说来，是网络硬盘的概念，透过 1 台 机来管理数据，以减少在个人使用者端，所必须花费的存储设备购买成本。 经是相当成熟且便利的解决方案，对于进行文件式的数据存取，也相当方便，不过，由于是透过 络进行数据的存取，走的是开放架构，代表流窜于网络上的病毒、黑客攻击，极有可能造成网络磁盘驱动器的瘫痪。此外，当终端使用者人数增加，多人同时存取的时候，就会造成服务器的过度负担，甚至当机，这些状况往往会延误到前端使用者的工作进行。 三、 谓的存储局域网络（ 是 1 种更为专门、精准的存储架构。透过光纤信道，以及光纤交换机（ 、和存储设备的串接，自成 1 个网络。和 同的是，为了保护数据的完整性，全藉由光纤网络将网络存储元素串起来，并自成 1 个系统。不会受到网络频宽质量与服务器速度的限制。 10 因此在本次项目中的数据存储架构中，我们推荐 储架构。将一个大的存储空间为每个实验计算机映射为一定空间大小的本地磁盘，让所有生成的实验数据保存到该空间中。 据安全测试 数据加密保护通过每台实验计算机上安装加密程序，对存储设备对应本地的磁盘空间进行全盘加密，这样保存在上面的文件即为密文。只有安装了加密程序并且被授权的计算机才有权限以明文方式看到对应的文档。 数据备份异地备份通过一台备份服务器和备份软件对 储设备中的数据每天进行数据备份。可以采用离线备份如磁带机，或者采用另外一台磁盘阵列存储设备。 第五章 安全设备选型 备选型 服务器选型 2(7837本资料 产品型号 2(7837产品类型 塔式 产品结构 5U 处理器 处理器 型号 504 理器主频 (2000理器二级缓存 (4512处理器三级缓存 (M) 4M 配 目 标配 1 个 11 最大 目 最大 2 个 主板 主板扩展插槽 8展插槽 内存 内存类型 配内存 2048M 内存插槽数 12 最大支持内存容量 96G 存储 标配硬盘 46G 磁盘阵列 ,标配 8 个硬盘槽可标配 列卡 光驱 驱 网络与插槽 网卡 21000M 以太网卡 机箱与电源 尺寸 767440218重量 38源 一个 670 瓦服务器电源 其它 支持操作系统 作温度及湿度 () 作温度 10 工作湿度 8%至 85% 存储温度及湿度 () 储存温度 10 储存湿度 5%至 95% 工作高度 (米 ) 2133 米 售后服务 3 年有限保修 工作战选型： 12 基本参数 型号 扬天 5300/1G/160G) 类型 商用台式机 处理器 5300 理器类型 奔腾 E 双核 处理器频率 2600理器接口 75 二级缓存 (2048理器外频 200板 /内存 主板 /芯片组 31 总线频率 800板参数 26,1 内存类型 存大小 1储设备 硬盘类型 盘 硬盘参数 7200 转 硬盘容量 320驱 驱 读卡器 无读卡器 视频音频 13 显示器 宽屏液晶 尺寸 19 寸 显示器描述 分辨率 1440900 显卡 集成 3100 显卡 显卡性能 16 接口标准 ,支持 声卡 板载声卡 通 讯 网卡 板载 10卡 其它硬件 电源 220V/180W 机箱 立式 ,75398 键盘 /鼠标 键盘 /光电鼠标 其它附件 光盘 1 张 ,说明书 ,其它资料 其 它 操作系统 P 带软件 有奖纠错 拯救系统 (一 键恢复 一键杀毒 驱动智能安装 文件管理 ),安全中心 (私密文件柜 安全登陆管理 ),培训中心 ,通讯中心 (虚拟服务器 内网沟通 手机短信 通讯录 互联一点通 ) 售后服务 三年有限保修和三年有限上门服务 属性关键字 双核处理器 ,处理器支 持 64 位计算技术 联想 细参数 我要挑错，赢积分，取大奖 打印、复印、传真机选型 14 主要参数 型号 品类型 彩色激光 标配功能 打印 ,扫描 ,复印 内存 64动输稿器 50 页 接口类型 口 ,10/100太网端口 打印参数 打印方式 激光打印 打印速度 32 页 /分 最高打印分辨率 24001200最大打印幅面 印参数 复 印速度 32 页 /分 最高复印分辨率 600600最大复印幅面 续复印 1 复印缩放 25%扫描参数 最高扫描分辨率 (平台 )6002400 内插 )96009600其它参数 15 耗材描述 墨粉 :鼓 :寸 533(W)459(D)478(H)重量 用平台 98/000/32/64(32/64其它性能 选购 :20 页 / ) 佳能传真机主机规格 型号 动输稿器 20 张 (供纸容量 纸盒 :100 张 (技术指标 传真传输速度 6 秒 /页 传真精度 600600传真打印速度 /分 图象品质 256 级 其他参数 耗电量 39W 电源要求 000量 包括电话听筒 ,墨盒 :约 它性能 传输模式 :描方式 :接触式图像传感器 真存储容量 :约 60 页 ;支持来电显示 16 交换机及其他设备选型 1) 核心交换机 基本参数 产品型号 产品类型 工作组级 ,二层 ,可网管型交换机 传输方式 存储转发方式 背板带宽 20包转发率 10 14,880 00 148,810 1000 1,488,100 外形尺寸 29418044硬件参数 接口类型 10/100口 ,10/100/1000口 接口数目 8 口 传输速率 10M/100M/1000模块化插槽数 1 堆叠 不可堆叠 网络与软件 支持网络标准 持 支持 能 网管功能 支持网管功能 是否支持全双工 支持全双工 址表 8k 其它参数 电源电压 1000/60部通用电源 ) 2) 接入层交换机 17 基本参数 产品型号 品类型 桌面级 ,二层 ,非网管型交换机 ,千兆交换机 ,以太网交换机 传输方式 存储转发方式 背板带宽 48转发率 10M:1488000M:148800000M:1488000形尺寸 29418044硬件参数 接口类型 10/100口 ,10/100口 ,10/100/1000口 ,口数目 24 口 传输速率 10M/100M/1000块化插槽数 0 堆叠 不可堆叠 网络与软件 支持网络标准 持 无 能 网管功能 无网管功能 是否支持全双工 支持全双工 址表 8K 其他性能 支持端口自动翻转 ,支持 址自学习 其它参数 18 电源电压 100部通用电源 ) 最大功率 25W 3) 电子白板 基本参数 型号 主要参数 产品类型 交互式 /读取尺寸 1200920/ 面板尺寸 1270990/ 面板数量 1/电源 计算机总线供电方式 /功耗 1W/重量 22寸它性能 接口 标准 准配件 白板 ,电子笔 ,壁挂支架 ,缆 /可选附件 可升降移动式支架 , 远程数码互动帐号 , 高级应用技巧培训 功能特性 60 英寸 , 对角线 151辨率 : 40964096, 屏幕比例 4:3/电磁感应原理 /进口高强度 ,低反射材料 , 高抗磨损 , 可使用 标准清洁剂或湿布擦拭 (标配 )/选配 )/智能技术 : 技术 (20项 )/处理速率 : 480 点 /s 布线材料选择（水晶头双绞线信息点（模块面板底板）机柜） 布线材料主要有水晶头，双绞线，信息点，机柜等。主要参数如下 19 20 基本参数 型号 有奖纠错 产品类型 有奖纠错 网络机柜 机柜容量 有奖纠错 19U 机柜标准 有奖纠错 19 英寸国际标准 门及门锁 有奖纠错 前门玻璃带锁 材料及工艺 有奖纠错 质冷轧钢板制作 ,表面处理 :脱脂 ,酸洗 ,磷化 ,静电喷塑 规格 有奖纠错 1000600450 主要参数 有奖纠错 角规： 19U 喷塑 4 根 , 可安全接地 ,固定托盘 1个：承重 200散热孔 ,五孔插线板 1 只 ,安装螺丝： 20套 细表 总的购物清单 品名 规格 单价 数量 服务器 2（ 7837 12800 1 交换机 080 5 电子白板 3800 1 核心交换机 100 1 传真机 佳能 20 1 打印复印一体 松下 680 1 21 工作站 联 想 杨 天5300/1G/160G) 2300 55 息面板 4 55 普天 5 55 1 300 压线钳 26 1 材 室内用 3 300 标签条 25 5 包 微软 003 中文标准版 2550 1 瑞星杀毒软件 瑞星网络企业版 560 1 需要可从 载 网络实名 3721 硬件： 161422 元 软