计算机网络及安全子系统建设

1、1.1 计算机网络及安全子系统建设1.1.1 设计原则网络设计的总体目标在于构建成一个高效、 可靠、安全、便于管理的网络系统。 设计原则具体如下：先进性： 网络技术应为当期国际同业中先进的，并能支持未来网络技术 的高性能需求，并且在业界表现出较高的网络性能；安全性： 能有效防止网络的非法访问，保护关键的数据不被非法窃取、 篡改或泄漏，使数据具有极高的安全性；可靠性：整个网络系统应具有很高的安全可靠性，必须满足7&4X365小时连续运行的要求。在通信故障发生时，网络设备可以快速自动地切 换到备份链路或设备上；可用性： 整个网络系统要按照实用、好用的原则，使网络具有较高的实用性；时效性： 网络要保

2、证各类业务数据流的及时传输，网络时效性要强，网 络延时要小，确证业务交易的实时高效完成；完整性： 网络系统应实现端到端的，能整合数据、语音和图象的多业务 应用，需要实施安全策略、 QoS 策略、流量管理策略和系统管理策略的 完整的一体化网络；成熟性：本网络系统需要整合包括TCP/IP，语音和图象及视频等多种网络技术，只有成熟的平台和解决方案并在国内的边防部队用户成功使用 才可以保证关键业务系统有一个可靠的运行，以有利于业务发展； 可扩展性： 网络要具有面向未来的良好的伸缩性能，既能满足当前的需 求，又能支持未来各种应用的扩展和与其它机构或部门的连接等对网络 的扩充性要求；效益性： 网络的投资应

3、随网络的伸缩能够持续发挥作用，保护网络的投 资，充分发挥网络投资的最大效益；可管理性： 网络要应用统一的网络管理平台实现对整个网络系统、 设备、 安全性、数据流量、性能等的监控和管理，并可方便直观的进行远程管 理和故障诊断。可实施性： 整个网络解决方案的实施要便于实际的实施，并在实施过程 中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺 利。1.1.2 指挥中心局域网设计指挥中心网络系统将指挥中心大部分 PC终端、应用服务器及数据库服务器、 集中控制设备、打印机等设备进行互联，所有设备均采用1000M接入，通过防火 墙接入公安网。服务器均通过双网卡连接两台核心交换机，通过VRRP

4、技术，实现服务器到核心交换机之间的链路备份。指挥大局及值班室PC终端分别接入两台核心交换机，确保在单个交换机发生故障的情况下，仍有半数PC终端可正常工作。IP 设 计采用统一规划的 IP 地址。路由设计路由协议采用RIPV2采用统一专网路由标准，要求符合公安网的互联路由 规划。可靠性和负载均衡设计在物理层采用双机热备份配置和双链路全冗余设计，并通过业界标准 IEEE 802.3ad/ IEEE 802.1S 链路层备份技术以及 VRRP / ECMP等价多路径路由分担 等网络层技术实现全网的快速备份收敛以及业务分布式转发和负载均担， 保证全 网设备级/骨干链路级 /网络路由级任何故障点的高可靠

5、快速备份收敛， 并且充分 利用网络中双链路和双机热备份的资源， 最大程度实现网络投资的充分使用和发 挥。在保证全网高可靠收敛的同时， 通过负载均担技术实现网络资源的最大发挥， 为边防部队应急指挥平台的网络应用提供最高的可靠性和负载均担。1.1.3 防火墙设计2台防火墙作为指挥中心与公安专网之间的安全隔离设备， 连接到 2台核心 交换机上， 形成两个安全区域之间的双通道连接， 根据统一的安全策略， 在防火 墙设备上进行安全设备， 实现不同安全区域之间的访问控制， 以及相应的安全防 护。防火墙的重要作用是网络隔离和对用户进行访问控制， 目的是防止对网络信 息资源的非授权访问和操作。防火墙安全策略包

6、括防火墙集中管理策略、 访问控制策略以及安全联动策略 三方面，用以实现对系统的保护作用。集中管理策略利用防火墙产品随即提供的防火墙集中管理器， 可以对网络重点防火墙进行 集中管理。 它为管理人员的日常工作提供了方便， 而且可以随时或定时对防火墙 的运行情况进行实时监控。访问控制策略防火墙在实现隔离后， 提供了一种访问控制机制， 能够实现安全区域之间的 访问控制。防火墙通常利用访问的源地址、目标地址、协议、端口、等内容进行 判断，根据预先制定的访问规则， 决定哪些访问能够通过防火墙， 哪些访问要被 阻断，从而保证安全访问。1.1.4 网络入侵检测系统在指挥中心公安网内，部署入侵检测设备。网络入侵

7、检测系统 IDS 可以检测正在发生的攻击， 也可以检测已经发生的攻 击。检测正在发生的攻击包括实时事件检测与响应、可疑事件报警等方面的内 容：使用入侵检测系统的行为监测功能，监测网络上的各种行为； 使用入侵检测系统的事件分析功能，对安全事件进行高速模式匹配，实 现高效率和高精确率的入侵检测；使用入侵检测系统的事件响应功能，通过个性化的策略配制，对网络及 系统中的异常现象能够以多种响应方式实时响应，通知安全管理人员；检测已经发生的攻击包括对历史事件进行分析、 对关联时间进行分析这两个方面的内容：历史事件分析；对存放在数据库中的历史日志数据进行分析，发现攻击 趋势变化并进行事件统计，从而对安全策略

8、进行调整。IDS提供了多种分析模板, 并且具有多种选择过滤条件，用户可以自定义分析模板的内容。最后可以产生多 种形式的事件报表和图形化的统计报告，让用户能够快速、清晰的发现网络中已 经发生的历史事件发展趋势及内在联系。关联事件；网络攻击往往是一连串相同或者不同的行为组成，而关联事件是指在已经产生的事件基础上，分析该种事件的大量出现可能造成的危害以及 和其它事件之间隐藏的对应关系，根据分析结果动态调整网络安全策略。本项目中，配置1套联想网御IDS N3200 GS入侵检测系统，针对重要网段 进行监测。设备性能要求基本 参数入侵检测防御类 别入侵检测系统IDS系统构架检测设备+软件硬件检测功能综合

9、运用会话状态检测、应用层协议完全解析、误用检测、 异常检测等多种检测技术，并支持自定义协议检测事件； 支持对VLAN Trunk、SSL加密数据等进行检测；支持IP与MAC地址绑定，实现了对ARP欺骗和IP地址冒用 的报警；支持IP碎片重组、TCP流重组、报警缩略再分析、规则阈值 修改、多网段定义检测等功能 ；超过3000条的检测规则，全面兼容CVE、BugTraq等国际标 准漏洞库；可按源地址、目的地址、协议、事件类型、风险级别、时间 范围、地址范围等条件灵活定义安全策略，实现安全策略的动 态调整.硬件管理功能Leadsec安全管理系统的统一管理控制软件语言版本配合适用软件软件版本类型硬件产

10、品软件版本号无软件功能描述冋效精准的入侵检测 .联想网御自主开发的 USE统 安全引 擎检测性能是普通检测引擎的3至5倍，百兆和千兆产品均可实现线速级的高性能处理综合运用了协议分析、协议重组、 快速特征匹配和异常行为检测等方法.1 操作系统Win dows接口类型_11个10/100M自适应通讯口（管理口 ）, 2个10/100/1000M自适 应监听口，2个GBIC插槽（可插千兆GBIC多模光口 /单模光口/电口模块）,监听口可扩展为4个.系统 要求适用硬件环境千兆标准型，2U机箱，热备冗余电源，适用于1G负载的千兆 网络环境；标配1个10/100M自适应通讯口（管理口 ）, 2个10/10

11、0/1000M 自适应监听口，2个GBIC插槽（可插千兆GBIC多模光口 /单模 光口 /电口模块）,监听口可扩展为4个.适用软件环境Windows操作系统1.1.5 防病毒系统本项目中有大量的桌面终端（PC机）和多台服务器，因此防病毒的工作是 一大挑战。与传统通过软盘、光盘方式传播的文件型和引导区病毒不同，目前病毒传播方式、使用技术和带来的危害已经有了较大的变化。 流行病毒的新传播趋势有如通过邮件附件传播病毒，如 Sobig等邮件病毒；利用操作系统或者应用系统漏洞传播，如冲击波蠕虫、Sqlslammer蠕虫等；通过无口令或者弱口令共享传播病毒，如 Nimda Mumu Lovegate等，

12、严格的说，这类病毒也大多利用了系统漏洞。因此，在本项目中统一部署防病毒系统软件， 在每台桌面电脑和服务器都安 装网络版防病毒软件，并及时更新病毒库和系统补丁。1.1.6 网络校时子系统GPS时间同步系统由GPS接收机、GPS天线和专业时间同步软件组成，GPS接收机采用了性能优异的核心部件，接收性能好，定位和授时精度高，工作稳定网络校时软件网络校时软件网络校时软件时间同步软件RS232GP黴收机GP取收机通过RS232与服务器计算机连接，在服务器端安装时间同步软件,在客户端安装网络校时软件，可实现整个网络的时间处于同步状态，并与GPS时间保持一致。系统功能可选GPS时间或网络时间服务器时间作为时间基准；自动和人工校正模式，自动校正间隔从1分钟-44640分钟任意设置；IRIG输出功能；可输入时延改正，有效减少因计算机性能和串口通讯产生的时间误差； 兼容所有具有NMEA-0183数据