招標系統(tǒng)安全整體解決方案設(shè)計

千里之行，始于足下。第2頁/共2頁精品文檔推薦招標系統(tǒng)安全整體解決方案設(shè)計課程設(shè)計成績評價表

封面

成都信息工程學院

課程設(shè)計

題目：某招標系統(tǒng)安全設(shè)計解決方案

作者姓名：

班級：

學號：

指導教師：

日期：2010年12月13日

作者簽名：

摘要

隨著計算機技術(shù)和通訊技術(shù)的飛快進展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和日子方式，成為當今社會進展的一具主題。由于網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴大，特殊是Internet的浮現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的妨礙也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)國稅等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)犯罪也充斥著整個網(wǎng)絡(luò)，給網(wǎng)絡(luò)中的用戶帶來了非常大的損失。所以關(guān)于這些企業(yè)的網(wǎng)絡(luò)安全咨詢題的解決差不多刻別容緩。

本設(shè)計方案是針對某招標系統(tǒng)的安全治理動身，大伙兒都懂招標系統(tǒng)含有大量的商業(yè)絕密信息，關(guān)于商業(yè)用戶有著至關(guān)重要的妨礙，所以這套安全設(shè)計方案有著非凡的意義。本方案首先提出了系統(tǒng)所面臨的要緊威脅再針對系統(tǒng)中的網(wǎng)絡(luò)設(shè)備等因素舉行了分析；然后針對前面的需求以及分析提出了網(wǎng)絡(luò)安全解決方案的設(shè)計原則，策略等總體規(guī)劃；最終介紹的是方案的詳細設(shè)計咨詢題，用到的各方面技術(shù)，例如IPSEC，防火墻的運用等。設(shè)計方案里面也特殊強調(diào)到了在運用系統(tǒng)中的以為因素，俗話講3分技術(shù)7分治理，可見人為的因素是相當重要的，我們因該在日常日子中培養(yǎng)好良好的安全防范意識，把技術(shù)與人為治理完美的結(jié)合起來，建立一具真正意義上安全的招標系統(tǒng)。

關(guān)鍵詞：Internet；IPSEC；招標系統(tǒng)；防火墻與入侵檢測。

名目

1引言(1)

1.1課題背景(1)

1.2國內(nèi)外現(xiàn)狀(1)

1.3本課題研究的迫切性(1)

1.4本課題的研究作用(1)

2招標系統(tǒng)安全體系概述(1)

2.1安全威脅(1)

2.2平臺安全的需求(2)

2.3平臺安全的體系結(jié)構(gòu)(2)

2.4平臺安全的治理因素(3)

3招標系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)分析及安全需求(3)

3.1招標系統(tǒng)現(xiàn)行網(wǎng)絡(luò)整體結(jié)構(gòu)分析(3)

3.1.1網(wǎng)絡(luò)結(jié)構(gòu)(3)

3.1.2網(wǎng)絡(luò)設(shè)備(4)

3.1.3主機設(shè)備(4)

3.1.4系統(tǒng)軟件平臺(4)

3.2系統(tǒng)面臨要緊網(wǎng)絡(luò)安全威脅(4)

4網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃(5)

4.1安全體系結(jié)構(gòu)(5)

4.2安全體系設(shè)計(5)

4.2.1安全體系設(shè)計原則(6)

4.2.2安全治理的實現(xiàn)(7)

4.2.3網(wǎng)絡(luò)安全設(shè)計(7)

5網(wǎng)絡(luò)安全整體解決方案詳細設(shè)計(8)

5.1應(yīng)用防火墻技術(shù),操縱拜訪權(quán)限,實現(xiàn)網(wǎng)絡(luò)安全治理(8)

5.1.1使用FIREWALL的意義(8)

5.1.2設(shè)置FIREWALL的要素(8)

5.2應(yīng)用入侵檢測技術(shù)愛護主機資源，防止非法拜訪和惡意攻擊(9)

5.2.1入侵檢測系統(tǒng)(9)

5.2.2挑選入侵監(jiān)視系統(tǒng)的要點(10)

5.2.3具體實施方案(10)

5.3應(yīng)用VPN技術(shù)，保證挪移用戶拜訪內(nèi)部網(wǎng)的安全性(10)

5.3.1網(wǎng)絡(luò)系統(tǒng)對VPN技術(shù)的需求(10)

5.3.2IPSEC(10)

5.3.3怎么保證挪移用戶遠程拜訪內(nèi)部網(wǎng)的安全性(11)

結(jié)論(12)

參考文獻(12)

1引言

1.1課題背景

隨著計算機網(wǎng)絡(luò)技術(shù)的飛快進展，網(wǎng)絡(luò)技術(shù)越來越受到人們的重視，它已逐漸滲入我們?nèi)兆痈鱾€層面。在人們縱情享受網(wǎng)絡(luò)帶來的便捷的并且也同樣在遭受網(wǎng)絡(luò)犯罪所帶來的危害。

病毒是網(wǎng)絡(luò)安全最大的隱患，它對網(wǎng)絡(luò)的威脅占導致經(jīng)濟損失的安全咨詢題的76%。幾乎所有的企業(yè)都別同程度的遭受過病毒的侵襲。目前全球已發(fā)覺二萬余種病毒樣本，同時以每月新增300多種的速度接著破壞著網(wǎng)絡(luò)和單機上珍貴的信息資源。病毒給每個計算機用戶和企業(yè)帶來了無法估量和彌補的損失。

1.2國內(nèi)外現(xiàn)狀

計算機網(wǎng)絡(luò)犯罪所造成的經(jīng)濟損失很令人吃驚。在中國盡管差不多由國家頒布了相關(guān)的法律法規(guī)然而網(wǎng)絡(luò)犯罪還是泛濫，具體數(shù)據(jù)這個地方我就別多加說述，總之每天是有增五減。而在國外，事情也非常嚴峻，僅在美國每年因計算機犯罪所造成的直截了當經(jīng)濟損失就達150億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，同時一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所實用戶都會遭殃。面對計算機網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。

1.3本課題研究的迫切性

隨著網(wǎng)絡(luò)規(guī)模的別斷擴大，復(fù)雜性別斷增加，異構(gòu)性別斷提高，用戶對網(wǎng)絡(luò)性能要求的別斷提高，網(wǎng)絡(luò)治理也逐步成為網(wǎng)絡(luò)技術(shù)進展中一具極為關(guān)鍵的任務(wù)，對網(wǎng)絡(luò)的進展產(chǎn)生非常大的妨礙，成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的咨詢題之一。假如沒有一具高效的網(wǎng)絡(luò)治理系統(tǒng)對網(wǎng)絡(luò)舉行治理，就非常難向廣闊用戶提供令人中意的服務(wù)。據(jù)測算，治理一臺連網(wǎng)的PC機五年的成本就超過65,000美元。所以，找到一種使網(wǎng)絡(luò)運作更高效，更有用，更低廉的解決方案已成為每一具企業(yè)XXX和網(wǎng)絡(luò)治理人員的迫切要求。盡管其重要性已在各方面得到體現(xiàn)，并為越來越多的人所認識，可迄今為止，在網(wǎng)絡(luò)治理領(lǐng)域里仍有許多漏洞和亟待完善的咨詢題存在。

1.4本課題的研究作用

本課題研究要緊針對商業(yè)系統(tǒng)的安全咨詢題，首先提出安全威脅，分析規(guī)劃并提出解決方案，以保證企業(yè)的信息安全。

2招標系統(tǒng)安全體系概述

2.1安全威脅

自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全咨詢題，經(jīng)過網(wǎng)絡(luò)遠程拜訪而構(gòu)成的安全威脅成為日益受到嚴峻關(guān)注的咨詢題。依照美國FBI的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過170億美元。

由于招標系統(tǒng)網(wǎng)絡(luò)內(nèi)運行的要緊是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。因此，研究所網(wǎng)絡(luò)也許存在的安全威脅來自以下方面：

(1)操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC；

(2)防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要通過檢驗；

(3)來自內(nèi)部網(wǎng)用戶的安全威脅；

(4)缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性；

(5)采納的TCP/IP協(xié)議族軟件，本身缺乏安全性；

(6)應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在拜訪操縱及安全通訊方面思考較少，同時，假如系統(tǒng)設(shè)置錯誤，非常容易造成損失。

2.2平臺安全的需求

滿腳基本的安全要求，是該網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障，是該網(wǎng)絡(luò)系統(tǒng)安全的重要原則。

招標系統(tǒng)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，愛護這些設(shè)備的正常運行，維護要緊辦公網(wǎng)，網(wǎng)站服務(wù)器系統(tǒng)的安全，是該網(wǎng)絡(luò)的基本安全需求。

關(guān)于各種各樣的網(wǎng)絡(luò)攻擊，怎么在提供靈便且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的并且，抵御和發(fā)覺網(wǎng)絡(luò)攻擊，同時提供跟蹤攻擊的手段，是本項目需要解決的咨詢題。

該網(wǎng)絡(luò)基本安全要求：

(1)網(wǎng)絡(luò)正常運行。在受到攻擊的事情下，可以保證網(wǎng)絡(luò)系統(tǒng)接著運行。

(2)網(wǎng)絡(luò)治理/網(wǎng)絡(luò)部署的資料別被竊取。

(3)具備先進的入侵檢測及跟蹤體系。

(4)提供靈便而高效的內(nèi)外通訊服務(wù)。

2.3平臺安全的體系結(jié)構(gòu)

本招標系統(tǒng)安全涉及到平臺的各個方面。按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫通于整個7層模型。針對招標系統(tǒng)網(wǎng)絡(luò)網(wǎng)絡(luò)實際運行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫通于信息系統(tǒng)的4個層次。

物理層的安全：

物理層信息安全，要緊防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）。

鏈路層的安全：

鏈路層的網(wǎng)絡(luò)安全需要保證經(jīng)過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)別被竊聽。要緊采納劃分VLAN（局域網(wǎng)）、加密通訊（遠程網(wǎng)）等手段。

網(wǎng)絡(luò)層的安全：

網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，幸免被攔截或監(jiān)聽。

操作系統(tǒng)的安全：

操作系統(tǒng)安全要求保證XXX、操作系統(tǒng)拜訪操縱的安全，并且可以對該操作系統(tǒng)上的應(yīng)用舉行審計。

應(yīng)用平臺的安全：

應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、XXX服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)很復(fù)雜，通常采納多種技術(shù)（如SSL等)來增強應(yīng)用平臺的安全性。

應(yīng)用系統(tǒng)的安全：

應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最后目的--為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)

計和實現(xiàn)關(guān)系緊密。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全，如通訊內(nèi)容安全，通訊雙方的認證，審計等手段。

2.4平臺安全的治理因素

平臺安全能夠采納多種技術(shù)來增強和執(zhí)行。然而，非常多安全威脅來源于治理上的松懈及對安全威脅的認識。

安全威脅要緊利用以下途徑：

（1）系統(tǒng)實現(xiàn)存在的漏洞；

（2）系統(tǒng)安全體系的缺陷；

（3）使用人員的安全意識薄弱；

(4）治理制度的薄弱；

良好的平臺治理有助于增強系統(tǒng)的安全性：

（1）及時發(fā)覺系統(tǒng)安全的漏洞；

（2）加強對使用人員的安全知識教育；

（3）建立完善的系統(tǒng)治理制度；

（4）審查系統(tǒng)安全體系；

3招標系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)分析及安全需求

3.1招標系統(tǒng)現(xiàn)行網(wǎng)絡(luò)整體結(jié)構(gòu)分析

3.1.1網(wǎng)絡(luò)結(jié)構(gòu)

以下我們將從內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和外部網(wǎng)絡(luò)連接兩個方面討論研究所網(wǎng)絡(luò)的結(jié)構(gòu)。

（1）內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)：

從網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖中能夠看出，將整個托管服務(wù)器網(wǎng)站與辦公自動化網(wǎng)設(shè)為內(nèi)部網(wǎng)絡(luò)，它包括：

●各種服務(wù)器（如：LotusdominoSERVER,Proxyserver等）

●運行Win9x的工作站

●經(jīng)過DDN專線連接的托管服務(wù)器網(wǎng)站與辦公自動化網(wǎng)

托管服務(wù)器網(wǎng)站經(jīng)過ISP與Internet連通，辦公自動化網(wǎng)經(jīng)過ADSL與Internet連通，托管服務(wù)器網(wǎng)站與辦公自動化網(wǎng)之間經(jīng)過路由器經(jīng)過DDN專線連接。網(wǎng)絡(luò)間各節(jié)點經(jīng)過TCP/IP協(xié)議舉行通訊。

（2）外部網(wǎng)絡(luò)連接：

由于業(yè)務(wù)需要，某研究所職員經(jīng)常需要出差，同時要保證該挪移用戶能使用當?shù)豂SP撥號上網(wǎng)連接上Internet，安全進入內(nèi)部網(wǎng)網(wǎng)絡(luò)，形成一具虛擬私有網(wǎng)絡(luò)（VPN）。

以上連接屬于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接，一方面盡管滿腳了該研究所的需要，并且也導致了新的安全咨詢題。這些外部連接的安全防范也成為研究所網(wǎng)絡(luò)安全的重要方面之一。

3.1.2網(wǎng)絡(luò)設(shè)備

在整個網(wǎng)絡(luò)中，各節(jié)點是經(jīng)過租用ISP的通訊線路舉行連接的，局域網(wǎng)要緊使用了以下設(shè)備：

●MODEM

●以太網(wǎng)交換機；

●HUB；

●以太網(wǎng)接口卡；

3.1.3主機設(shè)備

●PCSERVER；

●PC機；

3.1.4系統(tǒng)軟件平臺

操作系統(tǒng)平臺要緊包括以下內(nèi)容：

●WINDOWSNT/2000網(wǎng)絡(luò)操作系統(tǒng)；

●WINDOWS95/98；

3.2系統(tǒng)面臨要緊網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。所以，它的風險未來自對企業(yè)的各個關(guān)鍵點也許造成的威脅，這些威脅也許造成總體功能的失效。由于在這種廣域網(wǎng)分布式計算環(huán)境中，相關(guān)于過去的局域網(wǎng)、主機環(huán)境、單機環(huán)境，安全咨詢題變得越來越復(fù)雜和突出，因此網(wǎng)絡(luò)安全風險分析成為制定有效的安全治理策略和挑選有作用的安全技術(shù)實施措施的基礎(chǔ)。

安全保障別能徹底基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，竭力消除使用者為使用資源別得別信任他人或被他人信任的咨詢題，建立起完整的安全操縱體系和保證體系。

經(jīng)過以上對網(wǎng)絡(luò)結(jié)構(gòu)的分析別難看出，目前研究所網(wǎng)絡(luò)的規(guī)模龐大，結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)上運行著各種各樣的主機和應(yīng)用程序，使用了多種網(wǎng)絡(luò)設(shè)備；并且，由于多種業(yè)務(wù)的需要，又和許多其他網(wǎng)絡(luò)舉行連接。所以，我們以為，研究所計算機網(wǎng)絡(luò)安全應(yīng)該從以下幾個層面舉行思考：

第一層：外部網(wǎng)絡(luò)連接及數(shù)據(jù)拜訪，其中包括

●出差在外的挪移用戶的連接

●托管服務(wù)器網(wǎng)站對外提供的公共服務(wù)

●辦公自動化網(wǎng)使用ADSL與Internet連接

第二層：內(nèi)部網(wǎng)絡(luò)連接，其中包括

●經(jīng)過DDN專線連接的托管服務(wù)器網(wǎng)站與辦公自動化網(wǎng)

第三層：同一網(wǎng)段中別同部門間的連接

這個地方要緊是指同一網(wǎng)段中，即連接在同一具HUB或交換機上的別同部門的主機和工作站的安全咨詢題。

其中外部網(wǎng)絡(luò)攻擊威脅要緊來自第一層，內(nèi)部網(wǎng)絡(luò)的安全咨詢題集中在第二、三層上。以下我們將就外部網(wǎng)絡(luò)安全和內(nèi)部網(wǎng)絡(luò)的安全咨詢題展開具體討論。

4網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃

4.1安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全體系結(jié)構(gòu)要緊思考安全對象和安全機制，安全對象要緊有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計算機病毒防治等，其安全體系結(jié)構(gòu)如圖3-1所示：

4.2安全體系設(shè)計

網(wǎng)絡(luò)拓撲圖如上：

4.2.1安全體系設(shè)計原則

在舉行計算機網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：

需求、風險、代價平衡分析的原則：

對任一網(wǎng)絡(luò)來講，絕對安全難以達到，也別一定必要。對一具網(wǎng)絡(luò)要舉行實際分析，對網(wǎng)絡(luò)面臨的威脅及也許承擔的風險舉行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。愛護成本、被愛護信息的價值必須平衡，價值僅1萬元的信息假如用5萬元的技術(shù)和設(shè)備去愛護是一種別適當?shù)膼圩o。

綜合性、整體性原則：

運用系統(tǒng)工程的觀點、辦法，分析網(wǎng)絡(luò)的安全咨詢題，并制定具體措施。一具較好的安全措施往往是多種辦法適當綜合的應(yīng)用結(jié)果。一具計算機網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)安全中的地位和妨礙作用，惟獨從系統(tǒng)綜合的整體角度去看待和分析，才也許獲得有效、可行的措施。

一致性原則：

這要緊是指網(wǎng)絡(luò)安全咨詢題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）并且存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實際上，在網(wǎng)絡(luò)建設(shè)之初就思考網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再思考，別但容易，而且花費也少得多。

易操作性原則：

安全措施要由人來完成，假如措施過于復(fù)雜，對人的要求過高，本身就落低了安全性。其次，采納的措施別能妨礙系統(tǒng)正常運行。

習慣性、靈便性原則

安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易習慣、容易修改。

多重愛護原則

任何安全愛護措施都別是絕對安全的，都也許被攻破。然而建立一具多重愛護系統(tǒng)，各層愛護相互補充，當一層愛護被攻破時，其它層愛護仍可愛護信息的安全。

4.2.2安全治理的實現(xiàn)

信息系統(tǒng)的安全治理部門應(yīng)依照治理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的治理制度或采納相應(yīng)規(guī)范，其具體工作是：

●確定該系統(tǒng)的安全等級；

●依照確定的安全等級，確定安全治理的范圍；

●制訂相應(yīng)的機房出入治理制度，對安全等級要求較高的系統(tǒng)，要

實行分區(qū)操縱，限制工作人員出入與己無關(guān)的區(qū)域；

●制訂嚴格的操作規(guī)程，操作規(guī)程要依照職責分離和多人負責的原

則，各負其責，別能超越自個兒的管轄范圍；

●制訂完備的系統(tǒng)維護制度，維護時，要首先經(jīng)主管部門批準，并

有安全治理人員在場，故障緣故、維護內(nèi)容和維護前后的事情要詳細記錄；

●制訂應(yīng)急措施，要制訂