辦公網(wǎng)絡(luò)安全系統(tǒng)分析與設(shè)計(jì),計(jì)算機(jī)網(wǎng)絡(luò)論文

辦公網(wǎng)絡(luò)安全系統(tǒng)分析與設(shè)計(jì),計(jì)算機(jī)網(wǎng)絡(luò)論文【題目】【第一章】【2.1-2.4】【2.5-2.7】【第三章】辦公網(wǎng)絡(luò)安全系統(tǒng)分析與設(shè)計(jì)【4.14.2】【4.3-4.5】【總結(jié)/以下為參考文獻(xiàn)】第三章辦公網(wǎng)絡(luò)安全系統(tǒng)分析與設(shè)計(jì)3.1現(xiàn)在狀況介紹。某水利局早已實(shí)現(xiàn)辦公自動(dòng)化和無(wú)紙化辦公，公文扭轉(zhuǎn)與發(fā)布都是在辦公網(wǎng)絡(luò)上完成。總局與各水利站的聯(lián)網(wǎng)辦公也已經(jīng)實(shí)現(xiàn)了公文和檔案的聯(lián)機(jī)管理?！?〕軟硬件設(shè)備情況：水利局部署有3臺(tái)服務(wù)器〔型號(hào)為DELLpoweredge2950,操作系統(tǒng)為Winserver2003〕、3臺(tái)交換機(jī)〔型號(hào)為CISCOCATALYST2950〕、2臺(tái)juniperSSG5安全網(wǎng)關(guān)和1臺(tái)路由器。設(shè)備型號(hào)陳舊，使用年限長(zhǎng)，硬件老化。〔2〕網(wǎng)絡(luò)環(huán)境：水利局中心端通過100M光纖接入，各水利站與局通過10MMPLS-VPN連接。樓內(nèi)網(wǎng)絡(luò)布線采用超五類非屏蔽雙絞線，網(wǎng)絡(luò)規(guī)劃混亂，私接路由現(xiàn)象嚴(yán)重?！?〕業(yè)務(wù)應(yīng)用情況：3個(gè)服務(wù)器都是DELLpoweredge2950,操作系統(tǒng)為winserver2003.水利業(yè)務(wù)應(yīng)用分別為：〔a〕辦公自動(dòng)化系統(tǒng)，〔b〕防汛抗旱指揮系統(tǒng)，〔c〕水利管理監(jiān)視系統(tǒng)，〔d〕三維電子沙盤系統(tǒng)。3.2需求分析。3.2.1存在問題。網(wǎng)絡(luò)中使用的交換機(jī)已過保修期，但當(dāng)前仍在投入使用?？偩旨捌湎聦俚乃韭?lián)網(wǎng)主機(jī)臺(tái)數(shù)已經(jīng)超過200臺(tái)，以其當(dāng)下網(wǎng)絡(luò)構(gòu)造已經(jīng)早已不能到達(dá)當(dāng)代化IT業(yè)務(wù)發(fā)展需求，需要進(jìn)行重新規(guī)劃和硬件更換。由于使用總局核心出口，所有分支站點(diǎn)均通過MPLS-VPN與總局核心網(wǎng)絡(luò)互聯(lián)，這對(duì)于總局的出口帶寬和網(wǎng)絡(luò)吞吐能力要求較高。但實(shí)際上，從整體上看，總局100M的光纖出口，和路由器的設(shè)置，并不能知足這一條件。網(wǎng)絡(luò)傳輸能力低下，直觀反映就是用戶經(jīng)常抱怨網(wǎng)速慢，下載經(jīng)常中斷，郵件發(fā)不出去。網(wǎng)絡(luò)構(gòu)造幾乎沒有安全防護(hù)措施，對(duì)局內(nèi)辦公網(wǎng)絡(luò)也沒有有效的監(jiān)管措施，導(dǎo)致網(wǎng)絡(luò)內(nèi)存在眾多不良的使用記錄，木馬、病毒等肆意傳播。原有服務(wù)器被查出有黑客登錄痕跡，暫未發(fā)現(xiàn)重要信息泄露，但不排除有內(nèi)部辦公文檔被竊取。很可能黑客借助該服務(wù)器進(jìn)行危害操作，當(dāng)肉雞對(duì)外進(jìn)行攻擊行為，或者大肆傳播網(wǎng)絡(luò)病毒，阻礙水利局公共網(wǎng)站的正常運(yùn)作。這一潛在威脅，不僅影響到局內(nèi)辦公文件的保密性，同時(shí)對(duì)社會(huì)公共網(wǎng)絡(luò)也是一個(gè)極大的安全隱患。該局所有的數(shù)據(jù)和核心業(yè)務(wù)都依存于數(shù)據(jù)中心，且沒有額外進(jìn)行備份操作。假使發(fā)生災(zāi)禍?zhǔn)鹿?，短期?nèi)很難恢復(fù)工作，這將對(duì)當(dāng)?shù)厮ぷ髟斐蓸O大影響。因而，部署雙機(jī)熱備和異地災(zāi)備是當(dāng)局必須考慮的方案，這是為了保證本身數(shù)據(jù)的完好性，以及核心業(yè)務(wù)應(yīng)用的連續(xù)性。局內(nèi)的數(shù)據(jù)中心是整個(gè)辦公網(wǎng)絡(luò)數(shù)據(jù)交互的核心，該數(shù)據(jù)中心的設(shè)計(jì)和建設(shè)是進(jìn)一步實(shí)現(xiàn)當(dāng)局當(dāng)代化信息化工作的重大事件。3.2.2建設(shè)要求。隨著信息化發(fā)展加快，數(shù)據(jù)中心運(yùn)作的數(shù)據(jù)量日益增加，辦公自動(dòng)化對(duì)數(shù)據(jù)的依靠性也越來越強(qiáng)，數(shù)據(jù)的收集、管理、分析、備份等處理要求日益提高。為充分考慮本局各類用戶的實(shí)際需求，該數(shù)據(jù)中心具有下面的需求：〔1〕數(shù)據(jù)集中化收集下屬水利站遞交的監(jiān)測(cè)數(shù)據(jù)，采取數(shù)據(jù)庫(kù)式的集中存儲(chǔ)和統(tǒng)一管理，由專職管理員進(jìn)行維護(hù)。支持多種數(shù)據(jù)類型，包括但不限于文本、圖像、報(bào)表等，能夠通過格式轉(zhuǎn)換，將信息數(shù)據(jù)有效儲(chǔ)存保管起來?！?〕信息系統(tǒng)綜合化數(shù)據(jù)中心將各站資源統(tǒng)一為整體，在辦公網(wǎng)絡(luò)上分享，消除信息傳播障礙，給數(shù)據(jù)挖掘和深度分析打下基礎(chǔ)?！?〕提高效率降低成本原有數(shù)據(jù)傳輸和保管都沒有專門設(shè)備管理，進(jìn)場(chǎng)造成歷史文件丟失，檔案找尋困難。本次數(shù)據(jù)中心建設(shè)，集成了管理機(jī)制，提供效率，同時(shí)降低了人力成本?！?〕提高兼容性和可擴(kuò)展性本次建設(shè)要考慮到兼容性和可擴(kuò)展性，由于用戶數(shù)不斷增加，用戶數(shù)據(jù)信息的分析工作也會(huì)變得繁瑣且有針對(duì)性。伴隨對(duì)外Web應(yīng)用業(yè)務(wù)的擴(kuò)大，為保證業(yè)務(wù)的連續(xù)性，后期擴(kuò)容勢(shì)在必行。〔5〕網(wǎng)絡(luò)流量的監(jiān)控與管理本局的應(yīng)用在逐步增加，為了適應(yīng)業(yè)務(wù)需要，入口帶寬也在不斷提高，可局內(nèi)的網(wǎng)絡(luò)速度卻沒有感悟上的變化。經(jīng)檢查，木馬等惡意程序，還有不良應(yīng)用，嚴(yán)重占用了局內(nèi)帶寬，導(dǎo)致正常辦公無(wú)法順利開展。必須確保局內(nèi)的關(guān)鍵應(yīng)用：辦公自動(dòng)化系統(tǒng)、防汛抗旱指揮系統(tǒng)、水利管理監(jiān)視系統(tǒng)等能夠獲得充足的帶寬。還必須保證職員正常的上網(wǎng)辦公需求，這樣單位就能夠避免無(wú)休止的帶寬擴(kuò)容，降低單位網(wǎng)絡(luò)的運(yùn)營(yíng)成本。〔6〕病毒防護(hù)病毒隨著科技發(fā)展，亦是更新?lián)Q代，無(wú)孔不入。本局系統(tǒng)遭受著病毒的侵蝕和毀壞，急需部署一個(gè)切實(shí)可靠的方案來解決病毒問題，保證日常工作和應(yīng)用服務(wù)不受其威脅，同時(shí)也能解決網(wǎng)速異常等問題。〔7〕數(shù)據(jù)備份數(shù)據(jù)重要要想不斷發(fā)展和完善，必須實(shí)行有效的數(shù)據(jù)安全保衛(wèi)措施。所以，本次要采取有效的數(shù)據(jù)備份手段來確保數(shù)據(jù)業(yè)務(wù)的安全，打造一個(gè)高自動(dòng)化、跨平臺(tái)的備份管理系統(tǒng)?！?〕遠(yuǎn)程數(shù)據(jù)容災(zāi)災(zāi)難總是多種多樣，與計(jì)算機(jī)數(shù)據(jù)中心有關(guān)的，小到人工操作失誤導(dǎo)致的數(shù)據(jù)丟失、系統(tǒng)癱瘓；中到硬盤損壞、硬件老化、系統(tǒng)失靈；大到非人為因素的地震、火災(zāi)等，都會(huì)造成數(shù)據(jù)的損失。當(dāng)今信息安全，保證業(yè)務(wù)應(yīng)用的持續(xù)性是首要方面，因而，遠(yuǎn)程的數(shù)據(jù)災(zāi)備技術(shù)是保證本局業(yè)務(wù)不會(huì)中斷的關(guān)鍵。數(shù)據(jù)中心數(shù)據(jù)管理策略采用分類存儲(chǔ)、統(tǒng)一備份、關(guān)鍵應(yīng)用和關(guān)鍵數(shù)據(jù)異地雙重保衛(wèi)的數(shù)據(jù)資源集中管理方案。3.3建設(shè)目的。針對(duì)局內(nèi)當(dāng)前的網(wǎng)絡(luò)狀況，本次數(shù)據(jù)中心改造將分為網(wǎng)絡(luò)構(gòu)造升級(jí)、網(wǎng)絡(luò)安全改造、數(shù)據(jù)雙機(jī)熱備三個(gè)方面展開闡述。3.3.1網(wǎng)絡(luò)升級(jí)目的。網(wǎng)絡(luò)系統(tǒng)的改造本著實(shí)用性、安全性、可靠性、開放性、先進(jìn)性、可擴(kuò)大性、可管理性相結(jié)合的原則，改變?cè)械木W(wǎng)絡(luò)構(gòu)造，參考最實(shí)用的網(wǎng)絡(luò)布局進(jìn)行設(shè)計(jì)?！?〕實(shí)用性原則以實(shí)際需要為基礎(chǔ)，結(jié)合將來發(fā)展需要，確定改造規(guī)模，控制成本。〔2〕安全性原則根據(jù)實(shí)際需求，建立完善的安全管理體系和策略。〔3〕可靠性原則為本系統(tǒng)考慮冗余備份，在關(guān)鍵設(shè)備選型時(shí)，要保證降低故障發(fā)生幾率，并且可實(shí)現(xiàn)快速修復(fù)?！?〕成熟和先進(jìn)性原則系統(tǒng)整體構(gòu)造采用當(dāng)下IT信息化行業(yè)最成熟的技術(shù)。〔5〕規(guī)范性原則所有設(shè)計(jì)要求符合國(guó)家標(biāo)準(zhǔn)，設(shè)備選型采用國(guó)內(nèi)一線品牌，為后續(xù)產(chǎn)品的對(duì)接提供良好基礎(chǔ)。〔6〕開放性和標(biāo)準(zhǔn)化原則設(shè)計(jì)方案要具有開放性，同時(shí)符合標(biāo)準(zhǔn)化原則?！?〕可擴(kuò)大和擴(kuò)展化原則設(shè)備選擇不但知足本次方案要求，更要能夠在將來五年十年內(nèi)不被淘汰，能夠和往后最先進(jìn)的設(shè)備進(jìn)行擴(kuò)展互聯(lián)，不影響其性能。保證本次投資的價(jià)值。〔8〕可管理性原則本方案的軟硬件都采用圖形界面化，方便管理、易于維護(hù)，管理員通過一臺(tái)PC聯(lián)網(wǎng)，就能遠(yuǎn)程管理所有設(shè)備運(yùn)行。綜上所述，本次網(wǎng)絡(luò)設(shè)計(jì)更換和升級(jí)硬件設(shè)備，并部署新的系統(tǒng)。解決當(dāng)前存在的問題，并大大提高系統(tǒng)運(yùn)行的速度，對(duì)網(wǎng)絡(luò)進(jìn)行VLAN劃分和IP子網(wǎng)的重新劃分，提高網(wǎng)絡(luò)系統(tǒng)的可管理性。在機(jī)房部署核心交換機(jī)，在每個(gè)樓層設(shè)備間部署接入交換機(jī)，采用星型連接方式，光纖傳輸。根據(jù)樓層和部門劃分子網(wǎng)，同時(shí)將分局接入的網(wǎng)段進(jìn)行單獨(dú)規(guī)劃。3.3.2網(wǎng)絡(luò)安全改造目的。從設(shè)計(jì)方案上來看，要增加網(wǎng)絡(luò)安全設(shè)備，同時(shí)為管理員制定網(wǎng)絡(luò)運(yùn)維規(guī)范，用以提高網(wǎng)絡(luò)安全性。從技術(shù)的角度看，將著重從邊界防護(hù)、行為管理、Web應(yīng)用系統(tǒng)的安全防護(hù)、數(shù)據(jù)災(zāi)備恢復(fù)等多個(gè)方面同步進(jìn)行。在戶外光纖入口部署防火墻，對(duì)應(yīng)申請(qǐng)的公共網(wǎng)段配置映射路由，對(duì)基礎(chǔ)訪問進(jìn)行挑選，主動(dòng)防御惡意攻擊。在防火墻和核心交換機(jī)之間配置網(wǎng)絡(luò)流量監(jiān)控管理設(shè)備，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)閱讀信息和帶寬占用情況，對(duì)大量占用帶寬的P2P協(xié)議等應(yīng)用進(jìn)行封鎖或限速。在應(yīng)用服務(wù)器和核心交換機(jī)之間部署文檔安全保衛(wèi)設(shè)備和Web應(yīng)用防護(hù)設(shè)備，做到有效防護(hù)內(nèi)部重要文檔被竊取、本地重要服務(wù)被攻擊，并有效組織在辦公內(nèi)網(wǎng)發(fā)起的攻擊和竊取行為。在服務(wù)器上安裝網(wǎng)絡(luò)防病毒管理平臺(tái)，實(shí)時(shí)更新病毒庫(kù)，并開放對(duì)內(nèi)網(wǎng)用戶的下載權(quán)限，防止病毒攻擊從內(nèi)部開場(chǎng)傳播。3.3.3數(shù)據(jù)熱備設(shè)計(jì)目的。建設(shè)本地雙機(jī)熱備系統(tǒng)，新用單臺(tái)服務(wù)器旁接入核心交換機(jī)作為熱備份服務(wù)器，在其系統(tǒng)中安裝虛擬機(jī)和同步備份軟件，將本地所有應(yīng)用服務(wù)器虛擬進(jìn)該熱備份服務(wù)器，保證本地應(yīng)用服務(wù)器因故障等停機(jī)后，能夠?qū)崟r(shí)切換到熱備份服務(wù)器繼續(xù)工作。在另一辦公分局安裝一臺(tái)新服務(wù)器，建立異地災(zāi)備系統(tǒng)，保證數(shù)據(jù)中心核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的有效性。