信息安全体系结构报告自制版Word格式.docx

1、4.1.2配置过程 114.2路由器 114.2.1 产品概述 114.2.2 配置过程 124.3中心交换机 124.4二级交换机 134.5入侵检测系统（IDS） 134.5.1 产品概述 134.5.2 配置过程 135服务器的安装和配置 145.1 Web/DNS服务器的配置 145.2 邮件服务器的配置 145.3 文件服务器的配置 156安全管理规则 156.1使用中的网络安全问题 156.1.1 网络安全的外部问题 156.1.2网络安全的内部问题 166.2 网络防护 166.2.1 登陆控制 166.2.2防火墙 176.3 后期安全服务 176.3.1 网络拓扑分析 176

2、.3.2 操作系统补丁升级 186.3.3防病毒软件病毒库定期升级 186.3.4服务器定期扫描加固 186.3.5防火墙日志备份、分析 186.3.6入侵检测等安全设备日志备份 186.3.7服务器日志备份 186.3.8设备备份系统 186.3.9信息备份系统 196.4网络管理员的责任 196.5公司内部制定安全规章 19简介本文结合中小型网络安全系统建设的实例，重点研究计算机网络的安全问题，对不同的网络安全方案进行优化、集中和协同，从而尽可能的使本网络安全系统保持可扩展性、健壮性，使网络安全系统真正获得较好的结果。主要研究工作有：1. 查找和收集网络安全相关的资料，剖析网络攻击的手段，

3、分析影响网络安全的因素。2.详细阐述网络安全系统设计的目标和总体规划。3.详细分析中小型公司物理层安全风险、网络层安全风险、系统层安全风险、病毒的安全风险、数据传输的安全风险、管理的安全风险，提出了具体的需求和设计依据。4.根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划，设计了中小型网络安全系统方案，运用先进的网络安全技术和网络安全产品对方案进行了实现，探讨了今后网络安全系统的发展方向。1 系统需求分析1.1企业需求该中小型企业大约需要100台计算机；其中包含了三个部门（研发部，财务部，市场部）；通过专线接入到Internet，已经获得10个真实I

4、P地址；企业有独立对外的Web服务器、E-mail服务器，内部有专用私有文件服务器，保存企业研发重要文档，每个员工有自己独立的企业邮箱。1.2网络实现功能（1）资源共享功能：网络内的各个计算机可共享文件服务器，实现研发文档的上传下载，实现办公自动化系统中的各项功能。（2）安全通信功能：企业可通过专线接入到Internet，企业员工有独立的企业邮箱，并可以通过广域网连接可以收发电子邮件、实现Web 应用、接入互联网、进行对广域网的访问。同时，在所有通信过程中应当保证客户端与服务器端，以及内部和外部和内部与内部的所有通信是安全的和透明的。1.3 网络系统安全分析正确的风险分析是保证网络环境安全的非

5、常重要的一环，一个性能优良的安全系统结构和安全系统平台，能够以低的安全代价换得高的安全强度。下面对中小型公司的具体状况从物理层安全、网络层安全、系统层安全、数据传输安全、病毒的安全威胁及管理安全进行分类描述网络系统的安全风险。1.3.1 物理层安全风险因为网络物理层安全是整个网络系统安全的前提。一般的物理安全风险主要有：1.电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。2.地震、水灾、火灾等环境事故造成整个系统毁灭。3.电磁辐射可能造成数据信息被窃取或偷阅。4.不能保证几个不同机密程度网络的物理隔离。针对中小型公司物理层安全是指由于网络系统中大量地使用了网络设备如移动设备、服务器如

6、PC服务器、交换机，那么这些设备的自身安全性也会直接影响信息系统和各种网络应用的正常运转。物理安全的威胁可以直接造成设备的损坏，系统和网络的不可用，数据的直接损坏或丢失等等。为了保证中小型公司系统的物理安全，首先要保证系统满足相应的国家标准，同时对重要的网络设备采用UPS不间断稳压电源，对重要的设备如数据库服务器、中心交换机等采用双机热备份，对安全计算机电磁泄漏发射距离不符合安全距离的应采取电磁泄漏发射防护措施，对重要的通讯线路采用备份等等。1.3.2 系统层安全风险中小型企业网络采用的操作系统（主要为UNIX，Windows NT / Workstation，Windows2000 serv

7、er / professional，Windows ME）本身在安全方面考虑的较少，服务器的安全级别较低，存在若干安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。在中小型公司的网络系统中，包含的设备有：交换机，服务器，工作站等。在服务器上主要有操作系统、软件系统和数据库系统，交换机上也有相应的操作系统。所有的这些设备、软件系统都可能会存在着各种各样的漏洞，这些都是重大安全隐患。一旦被利用并攻击，将带来不可估量的损失。1.3.3 网络层安全风险网络边界的安全风险分析：该中小型公司校园网络由教学区网络、计算机机房网络和学校资源服务器群组成。由于存在外联服务的要求应在网络

8、出口处安装防火墙对访问加以控制6。2、由于中小型公司中小型公司校园网络中大量使用了网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。3、网络传输的安全风险分析：中小型公司中小型公司校园网络与其他院校的远程传输安全的威胁来自如下两个方面：内部业务数据明文传送带来的威胁;线路窃听。1.3.4 数据传输的安全风险由于在中小型企业内部网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录密码和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。如果没有专门的软件或硬件对数据进行控制，所有的通信都将不受限制地进行传

9、输，因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的。造成泄密或者做一些篡改来破坏数据的完整性。1.3.5 病毒的安全风险传统的计算机病毒传播手段是通过存储介质进行的，当企业员工在交换存储着数据的介质时，隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。而现代的病毒传播手段主要是通过网络实现的，一台客户机被病毒感染，迅速通过网络传染到同一网络的上百台机器。员工们在上网浏览网页、收发电子邮件，下载资料的时候，都有可能被病毒传染。1.3.6 管理的安全风险管理混乱、安全管理制度不健全，责权不明及缺乏可操作性等都可能引起管理安全的风险。因此，最可

10、行的做法是管理制度和管理解决方案相结合。管理方面的安全隐患包括：内部管理人员或师生为了方便省事，设置的口令过短和过于简单，甚至不设置用户口令，导致很容易破解。责任不清，使用相同的口令、用户名，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的人员有的可能造成极大的安全风险10。网络安全管理是防止来自内部网络入侵的必须部分，管理上混乱、责权不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的风险。即除了从技术上功夫外，还得靠安全管理来实现。随着中小型公司整个网络安全系统的建设，必须建立严格的、完整的、健全的安全管理制

11、度。网络的安全管理制度策略包括：确定安全管理等级和安全管理范围;制订有关网络操作使用规程和出入机房管理制度;制定网络系统的维护制度和应急措施等。通过制度的约束，确定不同学员的网络访问权限，提高管理人员的安全防范意识，做到实时监控检测网络的活动，并在危害发生时，做到及时报警。1.4 企业网的安全目标从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可用性、不可抵赖性等方面。网络安全的意义，就在于资料、信赖关系和网络的传输能力与端系统的处理能力三个要素的保护，保证这三者能为所适合的用户服务。而且，只为合适的用户服务。与此同时，由于计算机网络自身存在的局限性和信息系统的

12、脆弱性，使得计算机网络系统上的硬件资源，通信资源，软件及信息资源等因可预见或不可预见的甚至是恶意的原因而遭到破坏，更改、泄露或功能失效，使信息系统处于异常状态，甚至引起系统的崩溃瘫痪，造成巨大的经济损失。在这样的形势下，以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。计算机网络改变着人们赖以行动的社会信息结构，改变着人们获取利用信息的方式，从而引起人类生活方式的全面改观。网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。外部闯入是指XX计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问XX的数据;不正当行为是指用户虽经授权，但对授权数据和资源的使用不合法或滥用

13、授权。网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息，因而计算机网络的安全性可以定义为：保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务，后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响2。一个安全的计算机网络应该具有以下几个特点：（1）可靠性是网络系统安全最基本的要求。可靠性主要是指网络系统硬件和软

14、件无故障运行的性能。（2）可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。（3） 保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容。（4）完整性是指网络信息XX不能进行改变的特性，即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保也称做不可否认性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。从技术角度看，网络安全的内容大体包

15、括4个方面：1.网络实体安全2.软件安全3.网络数据安全4.网络安全管理由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全保护方案，以保证算机网络自身的安全性为目标。1.5网络安全策略网络中的所有计算机都应能抵御来自于外部和内部的攻击。基于以上的安全目标，我们可以制定如下安全策略：利用路由器，防火墙，VPN，实现内部网络和外部网络的隔离、审查和过滤。同时在内部不同部门之间，利用VLAN技术，划分虚拟局域网，实现内部各个部门的隔离。网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息，一般来说

16、，安全策略包括两个部分：一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想，而具体的规则用于说明什么活动是被允许的，什么活动是被禁止的。1.网络安全策略的等级网络安全策略可分为以下4个等级：（1）不把内部网络和外部网络相连，因此一切都被禁止。（2）除那些被明确允许之外，一切都被禁止。（3）除那些被明确禁止之外，一切都被允许。（4）一切都被允许，当然也包括那些本来被禁止的。可以根据实际情况，在这4个等级之间找出符合自己的安全策略。当系统自身的情况发生变化时，必须注意及时修改相应的安全策略。2 网络设计原则中小型企业网络的规模通常较小，结构相对简单，对性能的要求则因应用的不同而差

17、别较大。许多中小型企业的网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单，可靠，易用，降低网络的使用和维护成本，提高产品的性价比就显得尤为重要。基于以上特点：在进行系统设计时应当遵循以下设计原则：（1）实用性和经济性。方案设计应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。（2）先进性和成熟性。当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地

18、位。（3）可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。（4）安全性和保密性。在方案设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此方案应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。（5）可扩展性和易维护性。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。把当前先进性、未来可扩展性和经济可行性结合起

19、来，保护以往投资，实现较高的总体性能价格比。3网络安全的方案设计3.1总体设计方案企业网络建设的基本目标就是在网络中心和各部门的局域网建设、及其广域网互联的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的内部网络系统。整个系统在安全、可靠、稳定的前提下，实现合理投入，最大产出，即符合最优经济的原则。中小型网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套“的原则进行，采用先进的”平台化“建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想：宏观上统一规划，同步开展，相互配套;在实现上分步实施，渐进获取

20、;在具体设计中结构上一体化，标准化，平台化;安全保密功能上多级化，对信道适应多元化。针对中小型公司系统在实际运行中所面临的各种威胁，采用防护、检测、反应、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，确保中小型公司系统安全可靠的运行。客户机/服务器（C/S）网有着突出的优点：网络系统稳定，信息管理安全，网络用户扩展方便，易于升级。客户机服务器网的缺点是：需专用文件服务器和相应的外部连接设备，建设网络的成本较高，网络管理上也较复杂。这种网络结构适用于计算机数量较多，位置相对分散，且传输的信息量较大的情况。对于具有一定规模，并且在内部已经有了几个部门的企业，如果所有部门的用户无

21、差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，使网络数据的安全性下降，而且部门内的大量通信也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃，降低了网络的可用性。为了克服这个缺点，需要将经常进行通信的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起，形成局域网。3.2网络拓扑方案设计3.2.1网络拓扑图设计图3-2-13.2.2 IP地址分配策略由于本网中局域网的规模不是很大，因此出于网络安全的角度考虑，在网络设计中采用静态地址分配的方法。并结合中心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络的安全

22、性。使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，再加上对网卡MAC地址的管理，网络就会具有更好的可管理性，可通过固定IP地址及MAC地址直接定位内部的某台PC机，对于内部入侵有着较好的防御力。3.2.3 内部网络IP地址分配内部网部分可以使用保留地址。根据IANA的规定，以下地址为保留地址，并可以由用户自由使用，只需保证企业范围内的地址唯一性。保留地址如下：192.168.0.0192.168.255.0（256个C类地址）。内部网络采用保留IP地址192.168.x.x，子网掩码255.255.255.0，则最多可以提供254254=64516个IP

23、地址，254个子网，在可以预见的将来基本能够满足信息点增长的要求。分配原则：把192.168.x.0 （x=1254）称作一个二级子网（VLAN），分别分给财务部、市场部、研发部等部门的网段可以是其中的任意三个，如：192.168.2.0，192.168.3.0，192.168.4.0，子网掩码为255.255.255.0。根据部门的规模和信息点的数量，可以按需调整。每个部门需指定专人负责本子网的IP地址分配和管理工作，并和网络管理员协同工作，确保IP地址管理的效率。对于重要的IP地址（例如领导使用的IP地址和各个服务器使用的IP地址），采取IP地址和MAC地址绑定的方法，来保证IP地址不被盗

24、用。3.2.4 外部网络IP地址分配Web服务器、电子邮件服务器都需要与外围网络通讯，需要申请一定数量的Internet IP地址，并绑定在在防火墙的外部网卡上，然后通过IP映射，使发给其中某一个IP地址的包转发至Web服务器上，然后再将该Web服务器响应包伪装成该合法IP发出的包。假设以下情况：分配Web服务器的IP为：内部IP：192.168.1.100，真实IP：202.110. 123.100。分配给电子邮件服务器的IP为：192.168.1. 200，真实IP：202.110. 123.200。PIX防火墙的IP地址分别为：内网接口e1：192.168.1.1，外网接口e0：202.

25、110.123.1。通过设置PIX把真实IP绑定到防火墙的外网接口，并在PTX上定义好NAT规则，这样，所有目的IP为202.110.123.100和202.110.123.200的数据包都将分别被转发给192.168.1.100和192.168.1.200；而所有来自192.168.1.100和192.168.1.200的数据包都将分别被伪装成202.110.123.100和202.110. 123.200，从而也就实现了IP映射。NAT地址转换过程如图2：图3-2-4需要申请合法IP地址的服务器包括：Internet接入路由器、Web服务器、电子邮件服务器、防火墙。4设备选型及配置4.1

26、防火墙4.1.1 产品概述本方案采用CISCO公司的防火墙系列产品PIX中的CISCO SECURE PIX 525，它很好的支持了多媒体信息的传输，使用与管理更方便。主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ。CISCO提供防火墙运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。该产品经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证。另外，实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco

27、Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。而且考虑到是中小企业所以我们选择了CISCO PIX-525-UR-B。无论从安全要求还是价格方面CISCO PIX-525-UR-B它都符合我们的要求。设备配置：1）CISCO SECURE PIX 525；2）4个100M以太网端口；3）128M内存；4）600MHZ CPU。4.1.2配置过程基本配置策略:1）对外的IP地址只有一个，即防火墙的IP地址，对内部网络的访问，都通过防火墙的IP地址转换（NAT）；2）内部网络使用保留的IP地址192.168.x.x。当内部某一用户要访问Internet时，Internet上看见

28、的这个用户的IP地址就是防火墙的地址；3）外部网络的用户只有通过防火墙来才能访问WEB服务器和邮件服务器，由防火墙来完成IP地址的映射。4）外部网络用户不允许直接访问其他服务器。5）不必要的端口被禁止。PIX防火墙配置：ip address outside 202.110.123.1ip address inside 192.168.1.1global 1 192.168.2. 0-192.168.5.200nat 1 192.168.0.0static 202.110.123.1 192.168.5.100conduit 202.110.123.1 514 udp 192.168.5.100

29、255.255.255.255 mailhost 202.110.123.1 192.168.1.200telnet 192.168.5.100syslog facility 20.7syslog host 192.168.5.100 4.2路由器4.2.1 产品概述为保证Internet连接的可靠性和将来的流量扩展，选用高性能的CISC0 2811路由器作为Internet接入服务平台。CISCO 2811系列是适合大中型企业较小型Internet服务供应商的一系列模块化多服务访问平台。CISCO 281具有先进、集成的端到端安全性，以用于提供融合服务和应用。凭借思科IOS软件高级安全特性集

30、，它在一个解决方案集中提供了一系列强大的通用安全特性。CISCO 2811提供了2个10Mbps/100Mbps端口，它能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用2个板载AIM（内部）插槽 4个接口卡插槽 1个插槽（支持NM和NME模块）4.2.2 配置过程路由器RTRA：RTRA是外部防护路由器（直接连接Internet），它必须保护PIX防火墙免受直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。只允许网管工作站远程登录到此路由器，当用户想从Internet管理此路由器时，应对此存取控制列表进行修改。按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护，防止外部的非法攻击。路由器配置：no service tcp small-servers logg