局域網(wǎng)安全性建網(wǎng)設(shè)計(jì)報(bào)告完整版(共6頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上5、網(wǎng)絡(luò)安全性設(shè)計(jì)51網(wǎng)絡(luò)安全性設(shè)計(jì)背景隨著互聯(lián)網(wǎng)的應(yīng)用越來越廣，伴隨著互聯(lián)網(wǎng)而來的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全主要有四個(gè)特性。即完整性、保密性、可用性、可靠性和可審查性。因此我們整個(gè)網(wǎng)絡(luò)都會(huì)緊緊環(huán)繞這幾個(gè)特性展開。在實(shí)際應(yīng)用當(dāng)中，我們更多的遭受的攻擊往往來自外面。因此，我們有必要盡可能地分析來自外部的攻擊類型，從而建立相對(duì)應(yīng)的防范策略?？傮w而言，來自外部攻擊的主要有兩大類，一個(gè)是生活中的，一個(gè)則是來自互聯(lián)網(wǎng)的。生活中的最常見的

2、是我們疏于防范，外部人員進(jìn)入政務(wù)系統(tǒng)盜取資料，或者通過在員工的U盤等設(shè)備植入病毒，從而感染系統(tǒng)。而來自互聯(lián)網(wǎng)的攻擊主要有以下幾種：（1） 計(jì)算機(jī)病毒，包括系統(tǒng)病毒、腳本病毒、蠕蟲病毒、木馬病毒等。（2） 口令破解，包括網(wǎng)絡(luò)監(jiān)聽和口令猜測(cè)。獲取管理員權(quán)限，竊取資料。對(duì)于以上的安全問題，我們可以根據(jù)實(shí)際情況來制定防范策略。如果涉及到政府機(jī)構(gòu)秘密，我們則有必要在員工管理方面嚴(yán)格，加強(qiáng)安保工作以及設(shè)定口令驗(yàn)證，比如指紋打卡。另外，對(duì)于互聯(lián)網(wǎng)的攻擊，我們可以借用傳統(tǒng)的防范方法。一方面加強(qiáng)攻擊防范，比如配置防火墻，設(shè)置訪問控制策略，比如入網(wǎng)訪問控制和重要文件屬性設(shè)置。一方面通過設(shè)置復(fù)雜可靠的口令，并在此基

3、礎(chǔ)上增加口令綁定和認(rèn)證。在了解網(wǎng)絡(luò)安全的基礎(chǔ)上，我們?cè)俑鶕?jù)客戶的需求對(duì)實(shí)際情況分析。我們建設(shè)的這個(gè)彭州市內(nèi)網(wǎng)集成系統(tǒng)是為四川省政務(wù)系統(tǒng)而建的，依據(jù)四川黨政網(wǎng)建設(shè)管理暫行規(guī)定第二十條規(guī)定，彭州市行政中心政務(wù)內(nèi)網(wǎng)系統(tǒng)集成運(yùn)行中，要保證黨和國家秘密的安全，要認(rèn)真規(guī)劃落實(shí)網(wǎng)絡(luò)系統(tǒng)的安全保密設(shè)施，要制定網(wǎng)絡(luò)安全保密制度。安全保密設(shè)施要包含實(shí)體安全，網(wǎng)絡(luò)安全，系統(tǒng)安全，信息安全，防電磁泄漏等各方面。因此，總結(jié)以上，我們?cè)诰W(wǎng)絡(luò)安全性設(shè)計(jì)只有體現(xiàn)在實(shí)體安全，網(wǎng)絡(luò)安全，系統(tǒng)安全，信息安全，防電磁泄漏這五個(gè)方面上，當(dāng)然我們著重于網(wǎng)絡(luò)安全，系統(tǒng)安全和信息安全這三個(gè)方面上，因?yàn)槿叩募夹g(shù)要求比較高。5.2網(wǎng)絡(luò)安全性設(shè)

4、計(jì)原則在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，我們應(yīng)遵循以下幾條重要的原則：（1） 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則。對(duì)任何一個(gè)網(wǎng)絡(luò)，絕對(duì)安全是難以也不必要達(dá)到的。因此，對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行安全性設(shè)計(jì)的時(shí)候，要根據(jù)實(shí)際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)可能面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性和定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。（2） 綜合性、整體性原則。應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查，工作流程，維護(hù)保障制度等）以及專業(yè)技術(shù)措施（包括訪問控制、加密技術(shù)、認(rèn)證技術(shù)、檢測(cè)技術(shù)、容錯(cuò)和防病毒

5、等）?？傮w來說，一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中扮演著不同的角色，然而我們用系統(tǒng)整體的角度去看待，就會(huì)發(fā)現(xiàn)每個(gè)角色都有其重要的意義，而他們各個(gè)環(huán)節(jié)會(huì)出現(xiàn)的問題和解決方法也不盡相同。因此，計(jì)算機(jī)網(wǎng)絡(luò)安全性設(shè)計(jì)應(yīng)遵循綜合性、完整性的原則（3） 一致性原則。一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、運(yùn)行等都要有安全的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始，我們就應(yīng)該考慮網(wǎng)絡(luò)安全對(duì)策，這比在網(wǎng)絡(luò)建好后再考慮安全措施要

6、相對(duì)容易，且更劃算。（4） 易操作性原則。安全措施需要人去完成，如果安全措施過于復(fù)雜，對(duì)人的要求過高，則會(huì)導(dǎo)致成本過高，同時(shí)不容易維護(hù)。另外，過于復(fù)雜的安全措施有可能影響系統(tǒng)的正常運(yùn)行，或者降低了系統(tǒng)的性能。（5） 適應(yīng)性和靈活性原則。安全措施必須能適應(yīng)時(shí)代發(fā)展的需求，能夠隨著網(wǎng)絡(luò)性能及安全需求的變化而變化。能夠隨著需求的改變?nèi)菀仔薷模菀咨?jí)。這樣，就可以大大降低維護(hù)的成本。（6） 多重保護(hù)性原則。任何的安全措施都不能保證百分百安全，總有或多或少的缺陷。那么，我們應(yīng)當(dāng)考慮到多重保護(hù)的重要性，在一個(gè)保護(hù)系統(tǒng)被攻陷后，另外的安全措施還能起作用，以保障我們有足夠的時(shí)間來替代或升級(jí)被攻陷的安全系統(tǒng)，

7、提高了系統(tǒng)運(yùn)行的可靠性。（7） 可評(píng)價(jià)性原則。如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。網(wǎng)絡(luò)完全是整體的、動(dòng)態(tài)的，任何的完全措施都不能一勞永逸的生效。針對(duì)網(wǎng)絡(luò)安全性的特性，我們可以采用“統(tǒng)一規(guī)劃，分步實(shí)施”的原則。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用情況，建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、應(yīng)有的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度增加，再在原來的基礎(chǔ)上升級(jí)，建立增強(qiáng)的安全體系。對(duì)于彭州市內(nèi)網(wǎng)系統(tǒng)的建設(shè)，我們將根據(jù)實(shí)際情況，結(jié)合以上的七個(gè)原則進(jìn)一步分析，部署。實(shí)體安全，網(wǎng)絡(luò)安全，系統(tǒng)安全

8、，信息安全，防電磁泄漏等各方面5.3網(wǎng)絡(luò)安全性實(shí)施5.31物理層次的設(shè)計(jì)（1）物理位置機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房的承重要求要符合設(shè)計(jì)需要和中國工程建設(shè)標(biāo)準(zhǔn)化協(xié)會(huì)關(guān)于建筑于建筑群綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范的標(biāo)準(zhǔn)；應(yīng)避免將機(jī)房建設(shè)在建筑物的高層或者地下室，以及用水設(shè)備的下層或隔壁，保證機(jī)房不被潮濕，同時(shí)機(jī)房的場(chǎng)地選擇應(yīng)當(dāng)遠(yuǎn)離強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染、易發(fā)生火災(zāi)、易受雷擊的地方。這樣，可以保持網(wǎng)絡(luò)的可靠性和提高系統(tǒng)的健壯性。也減少維護(hù)的難度和降低后期的運(yùn)行成本。（2）電力供應(yīng)機(jī)房供電應(yīng)與其他市供電局供電分開，最好能有一個(gè)后備電源，比如短期的備用電力供應(yīng)

9、（UPS設(shè)備），最好有備用供電系統(tǒng)，比如發(fā)電機(jī)，以防發(fā)生特殊情況備用。其次，要設(shè)置穩(wěn)壓器和電壓防護(hù)設(shè)備，防止電壓的不穩(wěn)定對(duì)系統(tǒng)設(shè)備造成的影響。（3） 電磁防護(hù)應(yīng)采用接地式電路防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避免互相干擾5.3.2內(nèi)網(wǎng)的設(shè)計(jì)政務(wù)系統(tǒng)內(nèi)網(wǎng)可以根據(jù)各個(gè)部門的工作特點(diǎn)和安全需求，利用三層交換機(jī)來劃分虛擬子網(wǎng)（VLAN），在沒有配置路由的情況下，不同網(wǎng)段之間是不可以互訪的。通過虛擬子網(wǎng)的劃分，能夠?qū)崿F(xiàn)粗略的訪問控制。1 VLAN的劃分和地址分配可以如下：財(cái)務(wù)科：（vlan1）192.168.1.0 子網(wǎng)掩碼：255.255.255.0綜合科：（vlan2

10、）192.168.2.0 子網(wǎng)掩碼：255.255.255.0文秘科：（vlan3）192.168.3.0 子網(wǎng)掩碼：255.255.255.0公文管理科: （vlan4）192.168.4.0 子網(wǎng)掩碼：255.255.255.0政務(wù)督辦科：（vlan5）192.168.5.0 子網(wǎng)掩碼：255.255.255.0政策調(diào)研科：（vlan6）192.168.6.0 子網(wǎng)掩碼：255.255.255.0政務(wù)信息科：（vlan7）192.168.7.0 子網(wǎng)掩碼：255.255.255.0應(yīng)急管理科：（vlan8）192.168.8.0 子網(wǎng)掩碼：255.255.255.02.特殊人員的權(quán)限管理（

11、1）政務(wù)信息科有一個(gè)特殊的ip，作為管理員，該管理員可以訪問所有部門員工的權(quán)限。該管理主要負(fù)責(zé)的任務(wù)包括資料更新，人事變動(dòng)，政務(wù)通告，會(huì)議發(fā)布，監(jiān)控內(nèi)部上網(wǎng)情況等任務(wù)（2）財(cái)務(wù)科不可以訪問政務(wù)督辦科，其他科都可以訪問。（3）政務(wù)督辦科可以訪問所有其他部門，但是政務(wù)督辦科具有可讀的權(quán)限去調(diào)查其他部門的員工情況，但不能改寫資料。（4）除督辦科和信息科，應(yīng)急管理科，其他部門設(shè)定管理員ip，該部門只有管理員能訪問其他部門。3.3.3通信保密設(shè)計(jì)數(shù)據(jù)的機(jī)密性和完整性，對(duì)一個(gè)企業(yè)或部門有著不可估量的重要性，特別是涉及到國家政策和機(jī)密。因此，通信保密設(shè)計(jì)這一環(huán)節(jié)在網(wǎng)絡(luò)安全性和可靠性設(shè)計(jì)中不可忽略。數(shù)據(jù)機(jī)密和

12、完整，主要是為了保護(hù)在網(wǎng)絡(luò)上傳送有可能涉及到秘密的信息，經(jīng)過配備加密設(shè)備和設(shè)計(jì)合理有效的加密算法，使得在網(wǎng)上傳送的數(shù)據(jù)得到加密。因此，我們選擇了以下幾個(gè)步驟：Ø 鏈路層加密首先，鏈路層加密有它的獨(dú)特之處，第一，它可以對(duì)所有出入網(wǎng)卡的數(shù)據(jù)幀進(jìn)行選擇性加密，一般來說我們可以對(duì)所有的數(shù)據(jù)幀進(jìn)行加密，即使網(wǎng)絡(luò)嗅探也無法獲取原始數(shù)據(jù)，同時(shí)我們也可以利用網(wǎng)絡(luò)嗅探特性做監(jiān)控處理；其次在鏈路層加解密全用硬件實(shí)現(xiàn)，延時(shí)少，速度也快。最后，特別針對(duì)數(shù)據(jù)在局域網(wǎng)內(nèi)部傳送的特點(diǎn)，可以使專用的鏈路層或加密設(shè)備，由于本次的內(nèi)網(wǎng)涉及到政府部門，因此，我們有必要在這一個(gè)層面下點(diǎn)功夫，可以在涉密網(wǎng)節(jié)點(diǎn)，根據(jù)線路種類不

13、同采用相應(yīng)的的鏈路級(jí)加密設(shè)備，（如圖）。同時(shí)對(duì)管理員的驗(yàn)證也必須使用可靠安全的加密算法，比如MD5算法。Ø 網(wǎng)絡(luò)層加密由于該系統(tǒng)要實(shí)現(xiàn)市行政中心與地方行政中心舉行會(huì)議和政務(wù)匯報(bào)、通知。根據(jù)彭州市市政府的安全需求，我們?cè)趯?shí)現(xiàn)市行政中心和地方行政中心的網(wǎng)絡(luò)互訪時(shí)考慮了采用VPN加密的措施。這是考慮到如果采用多種鏈路加密設(shè)備的設(shè)計(jì)方案則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來了相應(yīng)困難。VPN是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺(tái)VPN加密機(jī)。根據(jù)具體策略，來保護(hù)政務(wù)系統(tǒng)敏感信息的機(jī)密性、真實(shí)性及完整性。VPN設(shè)備一般安裝在保護(hù)網(wǎng)絡(luò)和路由之間的位置，如圖所示。

14、5.3.4病毒防護(hù)由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。我們都知道，公司網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為WINDOWS系統(tǒng)，比較容易感染病毒。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)：1）預(yù)防病毒預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等），建議網(wǎng)絡(luò)管理員對(duì)可疑的東西，不要隨意點(diǎn)擊，防止中毒。同時(shí)，在網(wǎng)絡(luò)邊緣采用高性能防火墻或者路由器2）檢測(cè)

15、病毒檢測(cè)病毒技術(shù)是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)（如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等），來確定病毒的類型。因此，我們必須要在設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)時(shí)建立健全的入侵檢測(cè)系統(tǒng)。主要的檢測(cè)方法有泛洪攻擊檢測(cè)、Weak IV攻擊檢測(cè)和Spoofing攻擊檢測(cè)。檢測(cè)方式可以如下圖所示3）殺毒技術(shù)殺毒技術(shù)通過對(duì)計(jì)算機(jī)病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測(cè)。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程序會(huì)采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。常用的殺毒軟件有小紅傘，金山。&