《局域网安全性建网设计报告完整版.docx》由会员分享,可在线阅读,更多相关《局域网安全性建网设计报告完整版.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上5、网络安全性设计51网络安全性设计背景随着互联网的应用越来越广,伴随着互联网而来的网络安全问题,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全主要有四个特性。即完整性、保密性、可用性、可靠性和可审查性。因此我们整个网络都会紧紧环绕这几个特性展开。在实际应用当中,我们更多的遭受的攻击往往来自外面。因此,我们有必要尽可能地分析来自外部的攻击类型,从而建立相对应的防范策略。总体而言,来自外部攻击的主要有两大类,一个是生活中的,一个则是来自互联网的。生活中的最常见的
2、是我们疏于防范,外部人员进入政务系统盗取资料,或者通过在员工的U盘等设备植入病毒,从而感染系统。而来自互联网的攻击主要有以下几种:(1) 计算机病毒,包括系统病毒、脚本病毒、蠕虫病毒、木马病毒等。(2) 口令破解,包括网络监听和口令猜测。获取管理员权限,窃取资料。对于以上的安全问题,我们可以根据实际情况来制定防范策略。如果涉及到政府机构秘密,我们则有必要在员工管理方面严格,加强安保工作以及设定口令验证,比如指纹打卡。另外,对于互联网的攻击,我们可以借用传统的防范方法。一方面加强攻击防范,比如配置防火墙,设置访问控制策略,比如入网访问控制和重要文件属性设置。一方面通过设置复杂可靠的口令,并在此基
3、础上增加口令绑定和认证。在了解网络安全的基础上,我们再根据客户的需求对实际情况分析。我们建设的这个彭州市内网集成系统是为四川省政务系统而建的,依据四川党政网建设管理暂行规定第二十条规定,彭州市行政中心政务内网系统集成运行中,要保证党和国家秘密的安全,要认真规划落实网络系统的安全保密设施,要制定网络安全保密制度。安全保密设施要包含实体安全,网络安全,系统安全,信息安全,防电磁泄漏等各方面。因此,总结以上,我们在网络安全性设计只有体现在实体安全,网络安全,系统安全,信息安全,防电磁泄漏这五个方面上,当然我们着重于网络安全,系统安全和信息安全这三个方面上,因为三者的技术要求比较高。5.2网络安全性设
4、计原则在进行网络系统安全方案设计、规划时,我们应遵循以下几条重要的原则:(1) 需求、风险、代价平衡分析的原则。对任何一个网络,绝对安全是难以也不必要达到的。因此,对一个网络进行安全性设计的时候,要根据实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络可能面临的威胁及可能承担的风险进行定性和定量相结合的分析,然后制定规范和措施,确定系统的安全策略。(2) 综合性、整体性原则。应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查,工作流程,维护保障制度等)以及专业技术措施(包括访问控制、加密技术、认证技术、检测技术、容错和防病毒
5、等)。总体来说,一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节,包括个人、设备、软件、数据等,在网络安全中扮演着不同的角色,然而我们用系统整体的角度去看待,就会发现每个角色都有其重要的意义,而他们各个环节会出现的问题和解决方法也不尽相同。因此,计算机网络安全性设计应遵循综合性、完整性的原则(3) 一致性原则。一致性原则主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络验证、运行等都要有安全的内容及措施。实际上,在网络建设的开始,我们就应该考虑网络安全对策,这比在网络建好后再考虑安全措施要
6、相对容易,且更划算。(4) 易操作性原则。安全措施需要人去完成,如果安全措施过于复杂,对人的要求过高,则会导致成本过高,同时不容易维护。另外,过于复杂的安全措施有可能影响系统的正常运行,或者降低了系统的性能。(5) 适应性和灵活性原则。安全措施必须能适应时代发展的需求,能够随着网络性能及安全需求的变化而变化。能够随着需求的改变容易修改,容易升级。这样,就可以大大降低维护的成本。(6) 多重保护性原则。任何的安全措施都不能保证百分百安全,总有或多或少的缺陷。那么,我们应当考虑到多重保护的重要性,在一个保护系统被攻陷后,另外的安全措施还能起作用,以保障我们有足够的时间来替代或升级被攻陷的安全系统,
7、提高了系统运行的可靠性。(7) 可评价性原则。如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关信息安全测评认证机构的评估来实现。网络完全是整体的、动态的,任何的完全措施都不能一劳永逸的生效。针对网络安全性的特性,我们可以采用“统一规划,分步实施”的原则。具体而言,我们可以先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用情况,建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度增加,再在原来的基础上升级,建立增强的安全体系。对于彭州市内网系统的建设,我们将根据实际情况,结合以上的七个原则进一步分析,部署。实体安全,网络安全,系统安全
8、,信息安全,防电磁泄漏等各方面5.3网络安全性实施5.31物理层次的设计(1)物理位置机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求要符合设计需要和中国工程建设标准化协会关于建筑于建筑群综合布线系统工程设计规范的标准;应避免将机房建设在建筑物的高层或者地下室,以及用水设备的下层或隔壁,保证机房不被潮湿,同时机房的场地选择应当远离强电场、强磁场、强震动源、强噪声源、重度环境污染、易发生火灾、易受雷击的地方。这样,可以保持网络的可靠性和提高系统的健壮性。也减少维护的难度和降低后期的运行成本。(2)电力供应机房供电应与其他市供电局供电分开,最好能有一个后备电源,比如短期的备用电力供应
9、(UPS设备),最好有备用供电系统,比如发电机,以防发生特殊情况备用。其次,要设置稳压器和电压防护设备,防止电压的不稳定对系统设备造成的影响。(3) 电磁防护应采用接地式电路防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰5.3.2内网的设计政务系统内网可以根据各个部门的工作特点和安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路由的情况下,不同网段之间是不可以互访的。通过虚拟子网的划分,能够实现粗略的访问控制。1 VLAN的划分和地址分配可以如下:财务科:(vlan1)192.168.1.0 子网掩码:255.255.255.0综合科:(vlan2
10、)192.168.2.0 子网掩码:255.255.255.0文秘科:(vlan3)192.168.3.0 子网掩码:255.255.255.0公文管理科: (vlan4)192.168.4.0 子网掩码:255.255.255.0政务督办科:(vlan5)192.168.5.0 子网掩码:255.255.255.0政策调研科:(vlan6)192.168.6.0 子网掩码:255.255.255.0政务信息科:(vlan7)192.168.7.0 子网掩码:255.255.255.0应急管理科:(vlan8)192.168.8.0 子网掩码:255.255.255.02.特殊人员的权限管理(
11、1)政务信息科有一个特殊的ip,作为管理员,该管理员可以访问所有部门员工的权限。该管理主要负责的任务包括资料更新,人事变动,政务通告,会议发布,监控内部上网情况等任务(2)财务科不可以访问政务督办科,其他科都可以访问。(3)政务督办科可以访问所有其他部门,但是政务督办科具有可读的权限去调查其他部门的员工情况,但不能改写资料。(4)除督办科和信息科,应急管理科,其他部门设定管理员ip,该部门只有管理员能访问其他部门。3.3.3通信保密设计数据的机密性和完整性,对一个企业或部门有着不可估量的重要性,特别是涉及到国家政策和机密。因此,通信保密设计这一环节在网络安全性和可靠性设计中不可忽略。数据机密和
12、完整,主要是为了保护在网络上传送有可能涉及到秘密的信息,经过配备加密设备和设计合理有效的加密算法,使得在网上传送的数据得到加密。因此,我们选择了以下几个步骤: 链路层加密首先,链路层加密有它的独特之处,第一,它可以对所有出入网卡的数据帧进行选择性加密,一般来说我们可以对所有的数据帧进行加密,即使网络嗅探也无法获取原始数据,同时我们也可以利用网络嗅探特性做监控处理;其次在链路层加解密全用硬件实现,延时少,速度也快。最后,特别针对数据在局域网内部传送的特点,可以使专用的链路层或加密设备,由于本次的内网涉及到政府部门,因此,我们有必要在这一个层面下点功夫,可以在涉密网节点,根据线路种类不同采用相应的
13、的链路级加密设备,(如图)。同时对管理员的验证也必须使用可靠安全的加密算法,比如MD5算法。 网络层加密由于该系统要实现市行政中心与地方行政中心举行会议和政务汇报、通知。根据彭州市市政府的安全需求,我们在实现市行政中心和地方行政中心的网络互访时考虑了采用VPN加密的措施。这是考虑到如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护政务系统敏感信息的机密性、真实性及完整性。VPN设备一般安装在保护网络和路由之间的位置,如图所示。5.3.4病毒防护由于在
14、网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,公司网络系统中使用的操作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术:1)预防病毒预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等),建议网络管理员对可疑的东西,不要随意点击,防止中毒。同时,在网络边缘采用高性能防火墙或者路由器2)检测病毒检测病毒技术是通过对
15、计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。因此,我们必须要在设计网络系统时建立健全的入侵检测系统。主要的检测方法有泛洪攻击检测、Weak IV攻击检测和Spoofing攻击检测。检测方式可以如下图所示3)杀毒技术杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。常用的杀毒软件有小红伞,金山。3.3.5设置访问控制 配置防火墙。在核心服务器区域增加防火墙 配置路由。在网络边缘配置路由器,控制内网到外网的访问,提高系统的安全性 在内网每个VLAN中配置ACL规则,规范内部的访问权限,提高工作效率。 在核心交换机到每个楼层交换机增加一个路由器,保障各个楼层网络安全性,互不干扰。 由于涉及到政府机密,因此要保障系统的稳定性,配置双核心系统,一个为主,一个为配用,采用双线连接方式。专心-专注-专业