《信息安全体系结构设计报告(终).docx》由会员分享,可在线阅读,更多相关《信息安全体系结构设计报告(终).docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全体系结构设计报告(终) 信息安全体系结构设计报告中小型企业网络及安全方案 组长: 组员: 完成时间:2022年11月 30日 1. 系统需求分析 (3) 基本情况描述 (3) 需求分析 (3) 2系统设计原则 (5) .企业网络设计原则 (5) 3系统方案总体设计 (7) .网络总体拓扑设计 (7) 网络通信部分 (7) 应用区域边界部分 (7) 应用环境部分 (9) 网络架构概述 (9) 安全性分析 (9) 管理部门网络 (9) 其他部门网络 (10) 数据备份与恢复 (10) 地址划分 (11) VLAN划分 (11) 地址及端口分配 (11) 4.设备选型 (14) 交换机 (1
2、4) 交换机选择原则 (14) 交换机选型 (14) 路由器 (16) 路由器选择原则 (16) 路由器选型 (16) 服务器 (18) 服务器选型原则 (18) 服务器选型(5个) (18) 其他 (19) 漏洞扫描系统(1个) (19) 备用电源(1个) (19) 5.基本配置 (20) 路由器 (20) 接入层交换机 (21) 6.安全管理规则 (24) 1. 系统需求分析 基本情况描述 1)一个中小型企业环境,大约100台计算机; 2)包含几个部门(研发部,财务部,市场部); 3)通过专线接入到Internet,能提供若干真实IP地址(假如10个); 4)企业有独立对外的www服务器(
3、)、E-mail服务器; 5)内部有文件服务器,保存企业研发重要文档; 6)员工有独立的企业邮箱; 7)为了保证正常运行,需要考虑一定的安全性(包括技术、管理两个方面)。需求分析 1)企业日常工作需求 a.根据企业的要求,大约100台左右的计算机,对数据的传输量不大; b.企业包含研发部,财务部,市场部等部门,因此需要做VLAN划分, 降低网络内广播数据包的传播,提高带宽资源利用率,防止广播风 暴的产生。 c.企业通过专线接入Internet,只有10个IP地址,需要为企业网络 提供DHCP和NAT服务,使私有Internet地址供内部网络使用,并 采用静态地址转换,为提供固定服务的设备设置固
4、定地址。 d.企业要求有独立对外的服务器与企业邮箱,所以要建立DMZ区域, 用于存放对外提供访问服务的Web服务器、DNS服务器、E-mail服 务器等; e.针对中小型企业办公事物处理、资金投入等特点,为增加企业员工 的工作便易度,需提供无线局域网络。无线局域网络的实现将为人 员流动频繁的市场部与财务部提供较为便捷的网络环境、节约企业 网络铺设成本。 2)网络安全需求 考虑到企业对安全性能的要求,我们从技术安全和管理安全两个方面提供安全服务。 技术安全 a.在边界安全方面,需要在网络边界设置防火墙和入侵防御系统 (IPS)。所有试图访问内部网络的数据包均需经过防火墙的检查, 通过为防火墙设置
5、合适的访问,可有效的拒绝不符合规则的数据 包,从而阻塞内部主机与外部怀有不法目的的主机的连接。入侵 防御系统(IPS)的串联工作方式,可以保证直接阻断来自外部的威 胁以及阻断来自内部的攻击。IPS拥有多种检测方式和响应方式, 可以为企业网络提供完整的入侵防护解决方案。 b.在内部网络方面,需要部署漏洞检测系统。漏洞检测系统则将定 期扫描整体网络及其主机是否有威胁因素,实时报告给网络系统 管理员,防止网络漏洞与主机漏洞给企业带来损失。 c.针对企业员工通过外网访问内部服务器的安全性方面,需设计虚 拟专用网络。为远程用户和企业的分支机构访问企业内部网络资 源提供了安全的途径,同时利用VPN隧道技术
6、、加解密技术,充 分保证用户数据的完整性、安全性和可用性。 d.针对企业可能遇到的特殊及意外情况,需设计数据加密、数据恢 复与备份系统,以保障用户信息、物理资源的机密性、完整性和 确实性。 e.为保证网络安全性,需要使用的设备支持检测并防御Dos/DDos攻 击、缓冲区溢出攻击、恶意IP扫描等攻击行为。 管理安全 企业对网络用户(公司职员)进行网络的安全教育同样重要。 a.建立一套完整的网络管理规定和网络使用方法,并要求网络管理 员和网络使用人员必须严格遵守。否则,网络内部的人为因素将 会给网络安全造成很大的威胁。 b.制定合适的网络安全策略,制定一种让网络管理员和网络用户都 乐于接受的安全策
7、略,可以让网络用户在使用网络的过程中自觉 维护网络的安全。 2系统设计原则 .企业网络设计原则 (1)木桶原则 企业的网络应该具备对信息均衡、全面的保护功能,所以企业网络的信息系统安全体系结构必须能够充分、全面、完整地对信息系统的安全漏洞和安全威胁进行分析、评估和检测,防止最常用的攻击手段,提高整个系统“安全最低点”的安全性能。 (2)整体性原则 考虑企业网络安全性设计时,要采用多种安全措施,分层次有重点地对系统进行防护,在注重防外的同时,也不可轻视防内,做到防内与防外同等重要。要求网络的信息系统安全体系结构包括安全防护机制、安全检测机制、安全反应机制和安全恢复机制。从而保证在信息系统遭受攻击
8、、破坏事件的情况下,必须尽可能快速恢复信息系统的运行,减少损失。 (3)安全、代价平衡原则 对任何网络来说,绝对的安全都是无法达到的。针对企业网络的安全系统,要充分考虑到安全需求、安全风险和成本之间的关系,制定相应的规范和措施,确定实际可行的安全策略。在确保将信息系统安全风险控制在可接受范围内的前提下,将信息系统安全体系结构的成本控制在合理的范围内。 (4)标准优先、兼容原则 随着网络化进程的加快,网络规模的扩大,网络将连接到各个角落;网络环境和应用发生改变、新的攻击方式产生,支撑一个系统安全运行的设备数量也会越来越多。所以增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同
9、应用、不同协议进行连接。整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。 (5)动态发展原则 跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。 3系统方案总体设计 .网络总体拓扑设计 网络通信部分 网络通信部分主要是针对局域网与广域网的连接,中国电信作为互联网服务提供商,局域网与宽带互联网(ChinaNet)通过两条相互冗余的100Mbps带宽出口线路连接,并申请-公有地址段。同时,为保证企业异地办公的安全性,采用在公共网络中建立虚拟专用网络(V
10、PN)隧道的解决方案,其中针对企业员工远程访问,在VPN网关上采用Access VPN技术,针对企业异地分支或是兄弟企业则采用Intranet VPN技术。 应用区域边界部分 应用区域边界部分基于屏蔽子网防火墙体系结构思想,将DNS服务器、Mail 服务器、Web服务器这些可供外部网络访问的设施放在DMZ区域,DMZ区域处于网关路由器和内网防火墙之间。在网关路由器上,具有防火墙功能,可以抵御外 部对DMZ的一些攻击,也具有NAT功能,将私有地址转化为共有地址,其中DMZ 区域内的服务器采用静态NAT,其他终端采用动态NAT和PAT,这样能更充分地利用公有地址。内网防火墙对外部数据流量进一步过滤
11、检验,以保证内网的安全。从而在满足对外提供访问服务需求的同时,使企业内部工作环境与外部网络隔离,非常有效地保护了内部网络,并提供一定的冗余措施。DMZ区域如下图: 同时为了满足企业内部员工通过外部网络访问内部数据时的安全性和保密性,将VPN服务器网关连接到防火墙上。使得在安全的获取企业数据的同时,保证内部网络安全。VPN部分拓扑如下图: 由于该边界上的路由器和防火墙对企业网络安全有重要的影响,所以采用基于代理服务技术的防火墙,实现基于应用层的内容过滤,以此提高系统应用防御能力。 3.1.3应用环境部分 网络架构概述 应用环境部分采用两个层次化的网络架构思想,分别从核心层、接入层进行设计。 核心
12、层选用一台千兆以太网交换机,在保证传输速率和充足的端口数量的同时,可满足企业在未来3-4年网络快速发展的拓展需求。核心层交换机主要负责整网的主要数据传输。接入层网络采用星型拓扑方式,交换机采用二层交换机。 为满足企业内部设置文件服务器的需求,我们将文件服务器挂接在核心交换机上,方便企业内的文件传输与使用。 安全性分析 从安全性角度上考虑,将核心层交换机与基于网络的异常入侵防御系统(NIPS)相连,NIPS检查流经内网的所有流量,一旦辨识出入侵行为,NIPS便去除整个网络会话,提供对企业内部网络的最后一关保护。NIPS需要具备较高的性能,以免成为网络的瓶颈。 同时在核心层部分部署漏洞扫描安全策略
13、。即在局域网出口路由器上安装网络型漏洞扫描器模块,基于Internet远程检测目标网络或本地主机的安全性脆弱点技术。通过网络安全扫描,使系统管理员能够发现所维护服务器的各种TCP/IP端口分配、开放服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞,保障整体局域网的安全。 管理部门网络 管理部门负责同一管理内部网络的设备,处于一个单独的VLAN中,其他部门的所有交换机上均配置了管理部门的VLAN。部门的二层交换机管理VLAN配置了虚端口(SVI)以便于管理人员通过SSH远程访问。公司的网络设备VTY链路上均配置访问控制列表,只允许管理部门的IP地址对其远程访问,避免非授
14、权 人员远程访问网络设备。而且为增加部门工作便易度,所以为管理部门提供无限网络。 其他部门网络 每个部门具有自己独立的交换机和VLAN,从物理和逻辑上都保证了部门之间的安全性。每个部门的交换机VTP模式均采用透明模式(transparent),保证交换机VLAN数据的安全。部门交换机与核心交换机之间采用两条千兆以太网链路,采用快速生成树协议(RSTP),在一条链路发生故障的情况下,立即切换到另一条链路。考虑到市场部人员可能较多,终端设备数量大,交换机端口数量问题等问题,我们为市场部分配两台二层交换机供使用。无线网络通过与无线路由器相连的无限访问点进行配置。考虑到研发部门的保密性,不对研发部门提供无限网络。 数据备份与恢复 数据备份与恢复系统对企业网络有着重要的意义,遇到特殊或意外情况,系统能否快速恢复到运行状态,绝大程度上取决于数据的备份与恢复系统。我们采用server-free备份方式。 server-free备份方式采用无服务器备份技术,使数据在存储区域网中的两个存储设备之间直接传输,通常是在磁盘阵列和磁带库之间。可为企业减少服务器系统资源的消耗,且具有缩短备份及恢复所用时间的优势。该备份方式如下图: 地址划分 VLAN划分 地址及端口分配核心层交换机: 接入层交换机: