網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案

1 網(wǎng)絡(luò)信息系統(tǒng)的安全設(shè)計(jì)方案 一 、 常用的 網(wǎng)絡(luò)信息系統(tǒng) 安全技術(shù) 面對網(wǎng)絡(luò)信息安全的諸多問題，我們采取了多種的防范措施。 1、防火墻 目前出現(xiàn)的新技術(shù)類型主要有以下幾種狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和其他一些新技術(shù)是未來防火墻的趨勢。 2、認(rèn)證 目前 ,常用的身份識別技術(shù)主要是基于 鑒別、授權(quán)和管理 (系統(tǒng)。 in 網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶或服務(wù)器模式。它包含有關(guān)用戶的專門簡檔 , 2 如 ,用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、記費(fèi)和審查的得到接受的標(biāo)準(zhǔn)。華為、思科等廠商都有使用 術(shù)的產(chǎn)品。 3、虛擬專用網(wǎng) 隨著商務(wù)的發(fā)展 ,辦公形式的改變 , 分支機(jī)構(gòu)之間的通信有很大需求 ,如果使用公用的互聯(lián)網(wǎng)絡(luò)來進(jìn)行通信 ,而不是架設(shè)專用線路 ,這樣 ,就可以顯著降低使用成本。 虛擬專用網(wǎng)是解決這一問題的方法。 立一條通過公眾網(wǎng)絡(luò)的邏輯上的專用連接 ,使得用戶在異地訪問內(nèi)部網(wǎng)絡(luò)時(shí) ,能夠和在本地訪問一樣的資源 ,同時(shí) ,不用擔(dān)心泄密的問題。采用 議的產(chǎn)品是市場的主流和標(biāo)準(zhǔn) , 有相當(dāng)多的廠商都推出了相應(yīng)產(chǎn)品。 3 4、入侵檢測和集中網(wǎng)管 入侵檢測 ( 對入侵行為的發(fā)覺 ,是一種增強(qiáng)系統(tǒng)安全的有效方法 ,能檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。目前 ,入侵檢測系統(tǒng)的產(chǎn)品很多 ,僅國內(nèi)的就有東軟、海信、聯(lián)想等十 幾種 ;集中網(wǎng)管主要體現(xiàn)在對網(wǎng)管的集中上 ,網(wǎng)管集中的實(shí)現(xiàn)方式主要包括存放網(wǎng)管系統(tǒng)的物理平面集中和通過綜合集中網(wǎng)管實(shí)現(xiàn)對不同廠商網(wǎng)管系統(tǒng)的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網(wǎng)管產(chǎn)品上市。 4 二 、 網(wǎng)絡(luò)信息系統(tǒng)的 安全設(shè)計(jì)方案 5 網(wǎng)出口 外網(wǎng)出口采用防火墻。支持雙機(jī)熱備功能，核心交換機(jī)通過兩根電纜連到防火墻上，防火墻通過兩臺 2 層交換機(jī)分別接入電信線路和網(wǎng)通線路。當(dāng)出口設(shè)備開啟雙機(jī)熱備后，即使其中一臺防火墻出問題，另外一臺防火墻也能正常保證外網(wǎng)的使用，不會出現(xiàn)網(wǎng)絡(luò)中斷的情況。 心設(shè)備 作為網(wǎng)絡(luò)的核心，要有很高的穩(wěn)定性，癱瘓一分鐘都會帶來嚴(yán)重的后果，針對這個(gè)因素，我們將兩臺全千兆核心交換機(jī)采用雙機(jī)熱備 的方式，上聯(lián)到防火墻，并下聯(lián)到辦公網(wǎng)絡(luò)。 960系列交換機(jī) 具有 240線速三層交換包轉(zhuǎn)發(fā)率達(dá)到 96 是標(biāo)準(zhǔn)三層無阻塞交換機(jī) 為所有的端口提供 多層交換能力和線速的路由轉(zhuǎn)發(fā)能力。 同時(shí) 具有高性能、低成本等主要特點(diǎn)。而其 強(qiáng)大的處理能力是構(gòu)建可靠、穩(wěn)定、高速的絡(luò)平臺的重要保障。同時(shí) 具有高性能、低成本等主要特點(diǎn)。960支持 特有的 止包括 P 欺騙、 P 欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的 擊等。 入設(shè)備 接入交換機(jī)作為樓層網(wǎng)絡(luò)的小型網(wǎng)關(guān)設(shè)備上連至上級交換機(jī)，需要考慮交換機(jī)能提供的 網(wǎng)絡(luò)安全性 以及設(shè)備的 處理能力 。 6 我們所采用的接入交換機(jī)可以支持劃分 口保護(hù)、 能、廣播 /組播風(fēng)暴控制等功能。同時(shí)應(yīng)具備擴(kuò)展性。 達(dá)到可根據(jù)需要靈活地配置網(wǎng)絡(luò)。交換機(jī)能與所有的以太網(wǎng)、快速以太網(wǎng)設(shè)備相連接，保護(hù)用戶已有的網(wǎng)絡(luò)投資。可在工作組之間或企業(yè)內(nèi)部提供高 帶寬、高性能連接，同時(shí)還能增強(qiáng)服務(wù)器群的容量，讓用戶能更快速存取整個(gè)網(wǎng)絡(luò)資源?？梢跃徑庖?yàn)榫W(wǎng)絡(luò)帶寬不足及用戶迅速增長所造成的網(wǎng)絡(luò)傳輸瓶頸，并且投資少，管理簡單。 問控制 我們認(rèn)為采用 網(wǎng)方式，可實(shí)現(xiàn)不同部門、不同應(yīng)用系統(tǒng)之間進(jìn)行隔離，實(shí)現(xiàn)對跨系統(tǒng)、跨部門的訪問控制。其本身已經(jīng)能夠提供的安全機(jī)制，可保證訪問控制的安全。采用現(xiàn)組網(wǎng)，按照各樓層或各部門，實(shí)現(xiàn) 劃分。 所有的部門系統(tǒng)全部二層隔離，同一個(gè)匯聚層設(shè)備下的單位需要進(jìn)行互通，則在核心交換機(jī)上終結(jié) 進(jìn)行三層互通，如果是不同的匯聚層設(shè)備下的單位需要互通，則需要經(jīng)過匯聚交換機(jī)上送到核心交換機(jī)上，通過配置的 路由進(jìn)行三層轉(zhuǎn)發(fā)，實(shí)現(xiàn)受控互通。 機(jī)熱備實(shí)現(xiàn)方案 對于集團(tuán)內(nèi)網(wǎng)的組網(wǎng)方式，我們規(guī)劃了 機(jī)熱備方案： 讓我們來看看雙機(jī)熱備的工作 7 1 如上圖所示，正常情況下，左邊核心交換機(jī)優(yōu)先級高于右邊核心交換機(jī)，所以左側(cè)核心交換機(jī)處于 態(tài)，響應(yīng)所有對虛擬 圖中的 請求，右側(cè)核心交換機(jī)處于 態(tài)，不會響應(yīng)任 何關(guān)于虛擬 請求，但是右側(cè)交換機(jī)實(shí)時(shí)關(guān)注著從 跳線發(fā)來的狀態(tài)包。 很明顯，現(xiàn)在所有匯聚交換機(jī)都會將數(shù)據(jù)包發(fā)送至左側(cè)交機(jī)。 左側(cè)交換機(jī)作為線路正常時(shí)的主交換機(jī)。右側(cè)交換機(jī)只關(guān)注 此時(shí)，辦公網(wǎng)交換機(jī)到左側(cè)核心交換機(jī)的線路若發(fā)生故障，或左側(cè)核心交換機(jī)的發(fā)生故障。如下圖： 8 2 如果是匯聚交換機(jī)到核心交換機(jī)的線路產(chǎn)生故障，此時(shí)左側(cè)核心交換機(jī)將會發(fā)現(xiàn)所連接端口發(fā)生故障，左側(cè)交換機(jī)將會通過跳線通知右側(cè)交換機(jī)，告之關(guān)于 狀態(tài)變化，此時(shí)， 右側(cè)核心交換機(jī)將會作為主核心交換機(jī)，并相應(yīng)并處理來自二層匯聚交換機(jī)的所有數(shù)據(jù)包。 如果是左側(cè)核心交換機(jī)產(chǎn)生故障，右側(cè)交換機(jī)收不到心跳線傳來的數(shù)據(jù)，那么它會認(rèn)為左側(cè)交換機(jī)已經(jīng)無法正常工作，自己切換成為 態(tài)，處理來自所有匯聚交換機(jī)的數(shù)據(jù)包。 從左側(cè)核心設(shè)備發(fā)現(xiàn)線路故障到右側(cè)核心設(shè)備變?yōu)橹鹘粨Q機(jī)，或者右側(cè)核心設(shè)備發(fā)現(xiàn)左側(cè)設(shè)備產(chǎn)生故障無法工作而自己變?yōu)橹鹘粨Q機(jī)，期間耗時(shí)不到 2 秒鐘，對正在使用網(wǎng)絡(luò)的用戶而言，完全感覺不到發(fā)生了什么故障。這樣就能保證整個(gè)網(wǎng)絡(luò)骨干層7*24 小時(shí)的無故障運(yùn)行了。 如果線路恢復(fù)正 ?；蜃髠?cè)核心交換機(jī)的故障排查解決完畢能夠正常工作，左側(cè)交換機(jī)同樣可以發(fā)現(xiàn)其線路所連接的端口恢 9 復(fù)正常，而通知右側(cè)核心設(shè)備，同時(shí)自己變?yōu)橹鹘粨Q機(jī)，左側(cè)核心交換機(jī)在故障處理完畢后能正常工作同樣會通知右側(cè)核心交換機(jī)，自己變?yōu)橹鹘粨Q機(jī)。 護(hù) 騙類）病毒可謂是現(xiàn)在最普遍的網(wǎng)絡(luò)危害，一具用戶感染病毒就可能危害到整個(gè)網(wǎng)絡(luò)。 欺騙類病毒目前可以分為 3 種類型： 1、中毒機(jī)器不停發(fā)送“我是網(wǎng)關(guān)”的 息，試圖來欺騙其他 他們將自己看作網(wǎng)關(guān)，如圖中的 口下的 可以通過這種類型的 毒讓 認(rèn)為網(wǎng)關(guān)是 。 1 9 2 . 1 6 8 . 4 3 . 2 5 40 0 - E 0 - 0 F - 2 7 - 9 6 - D 0I P ： 1 9 2 . 1 6 8 . 4 3 . 9 9M A C ： 0 0 - 0 F - B 0 - 7 F - 3 8 - 8 2無 網(wǎng) 關(guān) I P ： 1 9 2 . 1 6 8 . 4 3 . 1 0 0M A C ： 0 0 - E 0 - 0 F - 2 6 - 2 2 - 3 0網(wǎng) 關(guān) ： 1 9 2 . 1 6 8 . 4 3 . 2 5 4P C A P C 欺 騙 源 被 欺 騙 者待 測 設(shè) 備F 0 / 1 F 0 / 1 0F 0 / 2 4L o o p b a c k ： 1 . 1 . 1 . 12、中毒機(jī)器不停的變換自己的 擾亂網(wǎng)關(guān)設(shè)備的 圖讓網(wǎng)關(guān)看到的所有的 是自己，這樣其他用戶的 上圖中， 可以不停的變換自己的 樣網(wǎng)關(guān)就會被欺騙認(rèn)為 是 ， 當(dāng)然就不能被網(wǎng)關(guān)識別了。 3、中毒機(jī)器將自己的 址修改成交換機(jī)的下一跳網(wǎng)絡(luò)設(shè) 10 備的 址，試圖讓交換機(jī)的 發(fā)生紊亂，讓交換機(jī)從錯誤的端口發(fā)送出數(shù) 據(jù)包，如上圖中， 會將自己的 址修改成網(wǎng)關(guān)的 址 00樣交換機(jī)在 和4 上都學(xué)習(xí)到這個(gè)地址， 就亂了 毒，但是同屬于欺騙類病毒。 目前大部分廠家都是通過綁定 口的方式來保證安全，但是這樣的方式實(shí)現(xiàn)起來麻煩（要一條一條的把綁定信息寫進(jìn)去），如果增加了新設(shè)備或者某臺設(shè)備更換了端口或者網(wǎng)卡，如果不及時(shí)通知網(wǎng)絡(luò)管理員進(jìn)行修改，就沒有辦法上網(wǎng)，費(fèi)時(shí)費(fèi)力。 針對這種情況，我們設(shè)計(jì)了一套較完善的 護(hù)方式。 在端口下過濾 文，防止冒充網(wǎng)關(guān) 。既然我們知道交換機(jī)的 4 口上接的是網(wǎng)關(guān)，那么 到 3 口都不可能發(fā)送出“我是網(wǎng)關(guān)”的 息，所以我們可以在這些端口下過濾此類報(bào)文。 交換機(jī)命令（需要兩層半交換機(jī)， 2126 以上設(shè)備） ： ，交換機(jī)可阻止其下端口發(fā)送“我是網(wǎng)關(guān)”類的 騙報(bào)文 在接口下配置 能，防 描攻擊。 如果中毒機(jī)器不停變換自己的 么他在短時(shí)間內(nèi)發(fā)送的 息是非常多 11 的，我們可以通過設(shè)置 數(shù)器 的方式來進(jìn)行管理，在一個(gè)時(shí)間單位內(nèi)，如果某個(gè)設(shè)備發(fā)送的 量超過了我們設(shè)置的閥值，那么我們將過濾這臺設(shè)備的 段時(shí)間，這個(gè)時(shí)間段內(nèi)這臺設(shè)備發(fā)送任何信息我們的交換機(jī)都不進(jìn)行轉(zhuǎn)發(fā)。 交換機(jī)命令（需要兩層半交換機(jī)，既 2126 以上設(shè)備）： /在接口下啟用 濾功能 ！ /以 5 秒鐘為一個(gè)統(tǒng)計(jì)周期 0 /將攻擊主機(jī)隔離 60 秒 00 /一個(gè)統(tǒng)計(jì)周期超過 100 個(gè) 文，就進(jìn)行隔離 /在全局下啟用過濾功能 一旦交換機(jī) 端口下有 5 秒內(nèi)發(fā)送的 文超過100 個(gè)，交換機(jī)將在 60 秒內(nèi)禁止此 過。 免費(fèi)發(fā)放 文，糾正主機(jī)錯誤的網(wǎng)關(guān) 。 對于網(wǎng)關(guān)類的設(shè)備一般是不主動發(fā)送 文的，通常它都是被動響應(yīng)下面的 求，因此我們也可以讓網(wǎng)關(guān)主動發(fā)送 動矯正下面 錯誤。 交換機(jī)命令（需要三層交換機(jī)或者路由器） /啟用免費(fèi)發(fā)放 文的功能 12 0 /發(fā)放 文的間隔 ip no ip ip no ip 樣每 30 秒網(wǎng)關(guān)可以主動矯正下面 錯誤。 將網(wǎng)關(guān)的 址、端口、以及 行綁定，防止 騙。 交換機(jī)命令（兩層設(shè)備即可） 4 /保證網(wǎng)關(guān)的 的 址只能出現(xiàn)在 4 上 將交換機(jī)下聯(lián)口全部開啟端口保護(hù)，保證用戶只能和上聯(lián)口互通，和其他用戶之間無法互通。 交換機(jī)命令（兩層設(shè)備即可） 13 根據(jù)上面提到的 4 種防護(hù) 騙的機(jī)制原理，我們可以進(jìn)行組合，設(shè)置多種全網(wǎng)阻斷 騙的拓?fù)洌?首先通過 分隔離廣播域，讓 會在同 1 個(gè) 外 我們可以在接入層采用 兩層 設(shè)備 換機(jī)，開啟端口保護(hù)，匯聚層采用 三層 交換機(jī) 啟 護(hù)機(jī)制。此類方法可以保證： 1、用戶之間發(fā)送“我是網(wǎng)關(guān)”的 騙（類型 1 欺騙）信息由于接入交換機(jī)的端口保護(hù)機(jī)制，無法傳播到其他用戶的端口上。 2、用戶發(fā)送類型 2 欺騙的信息由于匯聚交換機(jī)的 護(hù)，在匯聚層上就被阻擋掉，無法欺騙網(wǎng)關(guān)設(shè)備 此類方法的缺點(diǎn)就是同個(gè)交換機(jī)且在同個(gè) 此我們可以只對不需要產(chǎn)生直接互相通信的兩臺用戶之間開啟端口保護(hù)，其他不開，或者是采 用結(jié)合軟件的辦法，電腦上安裝 火墻，這樣就可以不開啟端口保護(hù)了。結(jié)合軟件 火墻和三層交換機(jī)的 能，也是一種非常實(shí)用有效防止 擊的方法。 全制度 任何的措施都不可能解決所有的網(wǎng)絡(luò)安全問題，也就是“網(wǎng)絡(luò)沒有絕對的安全，沒有絕對的網(wǎng)絡(luò)安全”。我們在采取安全控制措施后，在加強(qiáng)了安全性、可靠性的同時(shí)，還需要通過制度和行政手段來進(jìn)行干預(yù)，比如發(fā)文強(qiáng)制統(tǒng)一安裝網(wǎng)絡(luò)防病毒軟件，因 14 為如果在一個(gè)網(wǎng)絡(luò)里如果有機(jī)器沒裝防病毒產(chǎn)品或者裝的是單機(jī)版產(chǎn)品，勢必會給整個(gè)單位網(wǎng)絡(luò)帶來不小影響，在出了 問題的時(shí)候沒有一個(gè)統(tǒng)一的解決方案，反而會讓他們成為“漏網(wǎng)之魚”。沒有那個(gè)單機(jī)版用戶能保證自己每天都及時(shí)做病毒碼升級，而且現(xiàn)在裝的單機(jī)版無非就是瑞星，金山， 360 之類的產(chǎn)品，這些產(chǎn)品相對于卡巴斯基這類統(tǒng)一部署的防病毒產(chǎn)品來說還是有一定差距的，像最近的好多單位網(wǎng)絡(luò)癱瘓都是因?yàn)榫W(wǎng)絡(luò)里有些機(jī)器裝了這類軟件導(dǎo)致的，而裝有統(tǒng)一部署的防病毒的基本上沒有問題。還有一種情況普遍，就是網(wǎng)絡(luò)存儲設(shè)備的使用，經(jīng)常會有用戶會因?yàn)?U 盤攜帶病毒而使機(jī)器出現(xiàn)問題，如果有一個(gè)好的管理制度來做些約束，定期做些關(guān)于網(wǎng)絡(luò)安全方面的培訓(xùn)，使每個(gè)人都 知道網(wǎng)絡(luò)安全問題的重要性也很必要。 三 、 網(wǎng)絡(luò)信息系統(tǒng)的 安全 預(yù)算方案 產(chǎn)品名稱 型號 單價(jià) 單位 數(shù)量 價(jià)格 核心交換機(jī) 9512110000 2 220000 路由器 銳捷網(wǎng)絡(luò) 80000 2 960000 防火墻 思科 8000 2 136000 服務(wù)器 戴爾 710 21800 3 65400 匯聚層交換機(jī) 51006000 10 260000 二層交換機(jī) 10 501 205410 網(wǎng)絡(luò)機(jī)柜 奧科 130 380 49400 水晶頭 30000 6000 網(wǎng)線 50 1065 692250 信息模塊 20 6500 130000 配線架 安普 406330類非屏蔽 24口配線架 2 620 501 310620 15 總造價(jià) =材料 +A+B+C+D； A（系統(tǒng)設(shè)計(jì)費(fèi)） =材料總價(jià) *3%； B（施工督導(dǎo)費(fèi)） =材料總價(jià) *5%； C（安裝調(diào)試費(fèi)） =材料總價(jià) *10%； D（輔材費(fèi)用） =材料總價(jià) *5%。 E（稅收費(fèi)） =材料總價(jià) *雙絞線施工預(yù)算內(nèi)損耗 5%。 共： 3013560 +3013560 *3%