信息安全体系结构课程设计-中小型企业的网络解决方案(编辑修改稿)

信息安全体系结构课程设计-中小型企业的网络解决方案(编辑修改稿)内容摘要：

因可预见或不可预见的甚至是恶意的原因而遭到破坏，更改、泄露或功能失效，使信息系统处于异常状态，甚至引起系统的崩溃瘫痪，造成巨大的经济损失。 在这样的形势下，以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。 计算机网络改变着人们赖以行动的社会信息结构，改变着人们获取利用信息的方式，从而引起人类生活方式的全面改观。 网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。 外部闯入是指未经授权计算机系统用户的入侵。 内部突破是指己 授权的计算机系统用户访问未经授权的数据。 不正当行为是指用户虽经授权，但对授权数据和资源的使用不合法或滥用授权。 网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。 由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息，因而计算机网络的安全性可以定义为：保障网络服务的可用性和网络信息的完整性。 前者要求网络向所有用户有选择地随时提供各自应得到的网络服务，后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。 可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络 服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响 [2]。 一个安全的计算机网络应该具有以下几个特点： (1)可靠性是网络系统安全最基本的要求。 可靠性主要是指网络系统硬件和软件无故障运行的性能。 (2)可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。 (3) 保密性是指网络信息不被泄露的特性。 保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。 保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容。 (4)完整性是指 网络信息未经授权不能进行改变的特性，即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保也称做不可否认性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。 从技术角度看，网络安全的内容大体包括 4 个方面： 7 由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全等。 其特征是针对计算机网络本身可能存在的安全问题，实施网络安全保护方案 ，以保证算机网络自身的安全性为目标。 网络安全策略 网络中的所有计算机都应能抵御来自于外部和内部的攻击。 基于以上的安全目标，我们可以制定如下安全策略：利用路由器，防火墙， VPN，实现内部网络和外部网络的隔离、审查和过滤。 同时在内部不同部门之间，利用 VLAN 技术，划分虚拟局域网，实现内部各个部门的隔离。 网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息，一般来说，安全策略包括两个部分：一个总体的策略和具体的规则。 总体的策略用于阐明公司安全政策的总体思想，而具体的规则用于说明什么 活动是被允许的，什么活动是被禁止的。 为以下 4 个等级： (1)不把内部网络和外部网络相连，因此一切都被禁止。 (2)除那些被明确允许之外，一切都被禁止。 (3)除那些被明确禁止之外，一切都被允许。 (4)一切都被允许，当然也包括那些本来被禁止的。 可以根据实际情况，在这 4 个等级之间找出符合自己的安全策略。 当系统自身的情况发生变化时，必须注意及时修改相应的安全策略。 2 网络设计原则 中小型企业网络的规模通常较小，结构相对简单，对性能的要求则因应用的不同而差别较大。 许多中小型企业的 网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单，可靠，易用，降低网络的使用和维护成本，提高产品的性价比就显得尤为重要。 基于以上特点：在进行系统设计时应当遵循以下设计原则： （ 1） 实用性和经济性。 方案设计应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 （ 2） 先进性和成熟性。 当前计算机网络技术发展很快，设备更新淘汰也很快。 这就要求网络建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。 只有采用当前符合国际标准的成熟先进的技术和设备，才能确保网 络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位。 （ 3） 可靠性和稳定性。 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。 （ 4） 安全性和保密性。 在方案设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此方案应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 （ 5）可扩展性和易维护性。 为了适应系统变化的要求，必须充分考 虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。 把当前先进性、 8 未来可扩展性和经济可行性结合起来，保护以往投资，实现较高的总体性能价格比。 3 网络安全的方案设计 总体设计方案 企业网络建设的基本目标就是在网络中心和各部门的局域网建设、及其广域网互联的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的内部网络系统。 整个系统在安全、可靠、稳定的前提下，实现合理投入，最大产出，即符合最优经济的原则。 中小型网络安全体系建设应按照“统一 规划、统筹安排，统一标准、相互配套“的原则进行，采用先进的”平台化“建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。 在实际建设中遵循以下指导思想：宏观上统一规划，同步开展，相互配套。 在实现上分步实施，渐进获取。 在具体设计中结构上一体化，标准化，平台化。 安全保密功能上多级化，对信道适应多元化。 针对中小型公司系统在实际运行中所面临的各种威胁，采用防护、检测、反应、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，确保中小型公司系统安全可靠的运行。 客户机 /服务器（ C/S）网有着突出的优点：网络系统稳定，信息管理安全，网络用户扩展方便，易于升级。 客户机服务器网的缺点是：需专用文件服务器和相应的外部连接设备，建设网络的成本较高，网络管理上也较复杂。 这种网络结构适用于计算机数量较多，位置相对分散，且传输的信息量较大的情况。 对于具有一定规模，并且在内部已经有了几个部门的企业，如果所有部门的用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，使网络数据的安全性下降，而且部门内的大量通信也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃，降低了 网络的可用性。 为了克服这个缺点，需要将经常进行通信的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起，形成局域网。 9 网络拓扑方案设计 网络拓扑图设计 图 321 IP 地址分配策略 由于本网中局域网的规模不是很大，因此出于网络安全的角度考虑，在网络设计中采用静态地址分配的方法。 并结合中心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络的安全性。 使用静态 IP 地址分配可以对各部门进行合理的 IP 地址规划，能够在 第三层上方便地跟踪管理，再加上对网卡 MAC 地址的管理，网络就会具有更好的可管理性，可通过固定 IP 地址及 MAC 地址直接定位内部的某台 PC 机，对于内部入侵有着较好的防御力。 内部网络 IP 地址分配 内部网部分可以使用保留地址。 根据 IANA 的规定，以下地址为保留地址，并可以由用户自由使用，只需保证企业范围内的地址唯一性。 保留地址如下： ~（ 256 个 C 类地址）。 内部网络采用保留 IP 地址 ，子网掩码 ，则最多可以提 供 254 254=64516 个 10 IP 地址， 254 个子网，在可以预见的将来基本能够满足信息点增长的要求。 分配原则：把 （ x=1… 254）称作一个二级子网（ VLAN），分别分给财务部、市场部、研发部等部门的网段可以是其中的任意三个，如： ， ， ，子网掩码为。 根据部门的规模和信息点的数量，可以按需调整。 每个部门需指定专人负责本子网的 IP 地址分配和管理工作，并和网络管理员协同工作，确保 IP 地址管理的效率。 对 于重要的 IP 地址（例如领导使用的 IP 地址和各个服务器使用的 IP 地址），采取 IP 地址和 MAC 地址绑定的方法，来保证 IP 地址不被盗用。 外部网络 IP 地址分配 Web 服务器、电子邮件服务器都需要与外围网络通讯，需要申请一定数量的 Inter IP 地址，并绑定在在防火墙的外部网卡上，然后通过 IP 映射，使发给其中某一个 IP 地址的包转发至 Web 服务器上，然后再将该 Web 服务器响应包伪装成该合法 IP 发出的包。 假设以下情况： 分配 Web 服务器的 IP 为：内部 IP： ，真实 IP： .。 分配给电子邮件服务器的 IP 为：内部 IP： . 200，真实 IP： .。 PIX 防火墙的 IP 地址分别为：内网接口 e1： ，外网接口 e0：。 通过设置 PIX 把真实 IP 绑定到防火墙的外网接口，并在 PTX 上定义好 NAT 规则，这样，所有目的 IP为 和 的数据包都将分别被转发给 和 ；而所有来自 和 的数据包都将分别被伪装成 202. 和 . ，从而也就实现了 IP 映射。 NAT 地址转换过程如图 2： 内部网外部网N A T源 地 址 目 的 地 址1 9 2 . 1 6 8 . 1 . 1 0 0 e x a m p l e . c o m . c n源 地 址 目 的 地 址e x a m p l e . c o m . c n 1 9 2 . 1 6 8 . 1 . 1 0 0源 I P 包源 I P 包 路 由源 地 址 目 的 地 址e x a m p l e . c o m . c n 2 0 2 . 1 1 0 . 1 2 3 . 1源 地 址 目 的 地 址2 0 2 . 1 1 0 . 1 2 3 . 1 e x a m p l e . c o m . c n回 应 I P 包回 应 I P 包 路 由图 例 ： 图 324 需要申请合法 IP 地址的服务器包括： Inter 接入路由器、 Web 服务器、电子邮件服务器、防火墙。 4 设备选型及配置 防火墙 产品概述 本方案采用 CISCO 公司的防火墙系列产品 PIX 中的 CISCO SECURE PIX 525，它很好的支持了多媒体信息的传输，使用与管理更方便。 主要起到策略过滤，隔离内外网，根据用户实际需求设置 DMZ。 CISCO提供防火墙运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。 该产品经过了美国安全事 11 务处（ NSA）的认证，同时通过中国公安部安全检测中心的认证。 另外，实时嵌入式系统还能进一步提高 Cisco Secure PIX 防火墙系列的安全性。 虽然 UNIX 服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。 而专用的 Cisco Secure PIX 防 火墙是为了实现安全、高性能的保护而专门设计。 而且考虑到是中小企业所以我们选择了 CISCO PIX525URB。 无论从安全要求还是价格方面 CISCO PIX525URB 它都符合我们的要求。