網絡信息系統(tǒng)的安全設計方案

1 網絡信息系統(tǒng)的安全設計方案 一 、 常用的 網絡信息系統(tǒng) 安全技術 面對網絡信息安全的諸多問題，我們采取了多種的防范措施。 1、防火墻 目前出現的新技術類型主要有以下幾種狀態(tài)監(jiān)視技術、安全操作系統(tǒng)、自適應代理技術、實時侵入檢測系統(tǒng)等?；旌鲜褂脭祿^濾技術、代理服務技術和其他一些新技術是未來防火墻的趨勢。 2、認證 目前 ,常用的身份識別技術主要是基于 鑒別、授權和管理 (系統(tǒng)。 in 網絡遠程接入設備的客戶和包含用戶認證與配置信息的服務器之間信息交換的標準客戶或服務器模式。它包含有關用戶的專門簡檔 , 2 如 ,用戶名、接入口令、接入權限等。這是保持遠程接入網絡的集中認證、授權、記費和審查的得到接受的標準。華為、思科等廠商都有使用 術的產品。 3、虛擬專用網 隨著商務的發(fā)展 ,辦公形式的改變 , 分支機構之間的通信有很大需求 ,如果使用公用的互聯(lián)網絡來進行通信 ,而不是架設專用線路 ,這樣 ,就可以顯著降低使用成本。 虛擬專用網是解決這一問題的方法。 立一條通過公眾網絡的邏輯上的專用連接 ,使得用戶在異地訪問內部網絡時 ,能夠和在本地訪問一樣的資源 ,同時 ,不用擔心泄密的問題。采用 議的產品是市場的主流和標準 , 有相當多的廠商都推出了相應產品。 3 4、入侵檢測和集中網管 入侵檢測 ( 對入侵行為的發(fā)覺 ,是一種增強系統(tǒng)安全的有效方法 ,能檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動。目前 ,入侵檢測系統(tǒng)的產品很多 ,僅國內的就有東軟、海信、聯(lián)想等十 幾種 ;集中網管主要體現在對網管的集中上 ,網管集中的實現方式主要包括存放網管系統(tǒng)的物理平面集中和通過綜合集中網管實現對不同廠商網管系統(tǒng)的集中管控。大唐、朗訊、華勤等廠商各自有不同的集中網管產品上市。 4 二 、 網絡信息系統(tǒng)的 安全設計方案 5 網出口 外網出口采用防火墻。支持雙機熱備功能，核心交換機通過兩根電纜連到防火墻上，防火墻通過兩臺 2 層交換機分別接入電信線路和網通線路。當出口設備開啟雙機熱備后，即使其中一臺防火墻出問題，另外一臺防火墻也能正常保證外網的使用，不會出現網絡中斷的情況。 心設備 作為網絡的核心，要有很高的穩(wěn)定性，癱瘓一分鐘都會帶來嚴重的后果，針對這個因素，我們將兩臺全千兆核心交換機采用雙機熱備 的方式，上聯(lián)到防火墻，并下聯(lián)到辦公網絡。 960系列交換機 具有 240線速三層交換包轉發(fā)率達到 96 是標準三層無阻塞交換機 為所有的端口提供 多層交換能力和線速的路由轉發(fā)能力。 同時 具有高性能、低成本等主要特點。而其 強大的處理能力是構建可靠、穩(wěn)定、高速的絡平臺的重要保障。同時 具有高性能、低成本等主要特點。960支持 特有的 止包括 P 欺騙、 P 欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的 擊等。 入設備 接入交換機作為樓層網絡的小型網關設備上連至上級交換機，需要考慮交換機能提供的 網絡安全性 以及設備的 處理能力 。 6 我們所采用的接入交換機可以支持劃分 口保護、 能、廣播 /組播風暴控制等功能。同時應具備擴展性。 達到可根據需要靈活地配置網絡。交換機能與所有的以太網、快速以太網設備相連接，保護用戶已有的網絡投資。可在工作組之間或企業(yè)內部提供高 帶寬、高性能連接，同時還能增強服務器群的容量，讓用戶能更快速存取整個網絡資源?？梢跃徑庖驗榫W絡帶寬不足及用戶迅速增長所造成的網絡傳輸瓶頸，并且投資少，管理簡單。 問控制 我們認為采用 網方式，可實現不同部門、不同應用系統(tǒng)之間進行隔離，實現對跨系統(tǒng)、跨部門的訪問控制。其本身已經能夠提供的安全機制，可保證訪問控制的安全。采用現組網，按照各樓層或各部門，實現 劃分。 所有的部門系統(tǒng)全部二層隔離，同一個匯聚層設備下的單位需要進行互通，則在核心交換機上終結 進行三層互通，如果是不同的匯聚層設備下的單位需要互通，則需要經過匯聚交換機上送到核心交換機上，通過配置的 路由進行三層轉發(fā)，實現受控互通。 機熱備實現方案 對于集團內網的組網方式，我們規(guī)劃了 機熱備方案： 讓我們來看看雙機熱備的工作 7 1 如上圖所示，正常情況下，左邊核心交換機優(yōu)先級高于右邊核心交換機，所以左側核心交換機處于 態(tài)，響應所有對虛擬 圖中的 請求，右側核心交換機處于 態(tài)，不會響應任 何關于虛擬 請求，但是右側交換機實時關注著從 跳線發(fā)來的狀態(tài)包。 很明顯，現在所有匯聚交換機都會將數據包發(fā)送至左側交機。 左側交換機作為線路正常時的主交換機。右側交換機只關注 此時，辦公網交換機到左側核心交換機的線路若發(fā)生故障，或左側核心交換機的發(fā)生故障。如下圖： 8 2 如果是匯聚交換機到核心交換機的線路產生故障，此時左側核心交換機將會發(fā)現所連接端口發(fā)生故障，左側交換機將會通過跳線通知右側交換機，告之關于 狀態(tài)變化，此時， 右側核心交換機將會作為主核心交換機，并相應并處理來自二層匯聚交換機的所有數據包。 如果是左側核心交換機產生故障，右側交換機收不到心跳線傳來的數據，那么它會認為左側交換機已經無法正常工作，自己切換成為 態(tài)，處理來自所有匯聚交換機的數據包。 從左側核心設備發(fā)現線路故障到右側核心設備變?yōu)橹鹘粨Q機，或者右側核心設備發(fā)現左側設備產生故障無法工作而自己變?yōu)橹鹘粨Q機，期間耗時不到 2 秒鐘，對正在使用網絡的用戶而言，完全感覺不到發(fā)生了什么故障。這樣就能保證整個網絡骨干層7*24 小時的無故障運行了。 如果線路恢復正 常或左側核心交換機的故障排查解決完畢能夠正常工作，左側交換機同樣可以發(fā)現其線路所連接的端口恢 9 復正常，而通知右側核心設備，同時自己變?yōu)橹鹘粨Q機，左側核心交換機在故障處理完畢后能正常工作同樣會通知右側核心交換機，自己變?yōu)橹鹘粨Q機。 護 騙類）病毒可謂是現在最普遍的網絡危害，一具用戶感染病毒就可能危害到整個網絡。 欺騙類病毒目前可以分為 3 種類型： 1、中毒機器不停發(fā)送“我是網關”的 息，試圖來欺騙其他 他們將自己看作網關，如圖中的 口下的 可以通過這種類型的 毒讓 認為網關是 。 1 9 2 . 1 6 8 . 4 3 . 2 5 40 0 - E 0 - 0 F - 2 7 - 9 6 - D 0I P ： 1 9 2 . 1 6 8 . 4 3 . 9 9M A C ： 0 0 - 0 F - B 0 - 7 F - 3 8 - 8 2無 網 關 I P ： 1 9 2 . 1 6 8 . 4 3 . 1 0 0M A C ： 0 0 - E 0 - 0 F - 2 6 - 2 2 - 3 0網 關 ： 1 9 2 . 1 6 8 . 4 3 . 2 5 4P C A P C 欺 騙 源 被 欺 騙 者待 測 設 備F 0 / 1 F 0 / 1 0F 0 / 2 4L o o p b a c k ： 1 . 1 . 1 . 12、中毒機器不停的變換自己的 擾亂網關設備的 圖讓網關看到的所有的 是自己，這樣其他用戶的 上圖中， 可以不停的變換自己的 樣網關就會被欺騙認為 是 ， 當然就不能被網關識別了。 3、中毒機器將自己的 址修改成交換機的下一跳網絡設 10 備的 址，試圖讓交換機的 發(fā)生紊亂，讓交換機從錯誤的端口發(fā)送出數 據包，如上圖中， 會將自己的 址修改成網關的 址 00樣交換機在 和4 上都學習到這個地址， 就亂了 毒，但是同屬于欺騙類病毒。 目前大部分廠家都是通過綁定 口的方式來保證安全，但是這樣的方式實現起來麻煩（要一條一條的把綁定信息寫進去），如果增加了新設備或者某臺設備更換了端口或者網卡，如果不及時通知網絡管理員進行修改，就沒有辦法上網，費時費力。 針對這種情況，我們設計了一套較完善的 護方式。 在端口下過濾 文，防止冒充網關 。既然我們知道交換機的 4 口上接的是網關，那么 到 3 口都不可能發(fā)送出“我是網關”的 息，所以我們可以在這些端口下過濾此類報文。 交換機命令（需要兩層半交換機， 2126 以上設備） ： ，交換機可阻止其下端口發(fā)送“我是網關”類的 騙報文 在接口下配置 能，防 描攻擊。 如果中毒機器不停變換自己的 么他在短時間內發(fā)送的 息是非常多 11 的，我們可以通過設置 數器 的方式來進行管理，在一個時間單位內，如果某個設備發(fā)送的 量超過了我們設置的閥值，那么我們將過濾這臺設備的 段時間，這個時間段內這臺設備發(fā)送任何信息我們的交換機都不進行轉發(fā)。 交換機命令（需要兩層半交換機，既 2126 以上設備）： /在接口下啟用 濾功能 ！ /以 5 秒鐘為一個統(tǒng)計周期 0 /將攻擊主機隔離 60 秒 00 /一個統(tǒng)計周期超過 100 個 文，就進行隔離 /在全局下啟用過濾功能 一旦交換機 端口下有 5 秒內發(fā)送的 文超過100 個，交換機將在 60 秒內禁止此 過。 免費發(fā)放 文，糾正主機錯誤的網關 。 對于網關類的設備一般是不主動發(fā)送 文的，通常它都是被動響應下面的 求，因此我們也可以讓網關主動發(fā)送 動矯正下面 錯誤。 交換機命令（需要三層交換機或者路由器） /啟用免費發(fā)放 文的功能 12 0 /發(fā)放 文的間隔 ip no ip ip no ip 樣每 30 秒網關可以主動矯正下面 錯誤。 將網關的 址、端口、以及 行綁定，防止 騙。 交換機命令（兩層設備即可） 4 /保證網關的 的 址只能出現在 4 上 將交換機下聯(lián)口全部開啟端口保護，保證用戶只能和上聯(lián)口互通，和其他用戶之間無法互通。 交換機命令（兩層設備即可） 13 根據上面提到的 4 種防護 騙的機制原理，我們可以進行組合，設置多種全網阻斷 騙的拓撲： 首先通過 分隔離廣播域，讓 會在同 1 個 外 我們可以在接入層采用 兩層 設備 換機，開啟端口保護，匯聚層采用 三層 交換機 啟 護機制。此類方法可以保證： 1、用戶之間發(fā)送“我是網關”的 騙（類型 1 欺騙）信息由于接入交換機的端口保護機制，無法傳播到其他用戶的端口上。 2、用戶發(fā)送類型 2 欺騙的信息由于匯聚交換機的 護，在匯聚層上就被阻擋掉，無法欺騙網關設備 此類方法的缺點就是同個交換機且在同個 此我們可以只對不需要產生直接互相通信的兩臺用戶之間開啟端口保護，其他不開，或者是采 用結合軟件的辦法，電腦上安裝 火墻，這樣就可以不開啟端口保護了。結合軟件 火墻和三層交換機的 能，也是一種非常實用有效防止 擊的方法。 全制度 任何的措施都不可能解決所有的網絡安全問題，也就是“網絡沒有絕對的安全，沒有絕對的網絡安全”。我們在采取安全控制措施后，在加強了安全性、可靠性的同時，還需要通過制度和行政手段來進行干預，比如發(fā)文強制統(tǒng)一安裝網絡防病毒軟件，因 14 為如果在一個網絡里如果有機器沒裝防病毒產品或者裝的是單機版產品，勢必會給整個單位網絡帶來不小影響，在出了 問題的時候沒有一個統(tǒng)一的解決方案，反而會讓他們成為“漏網之魚”。沒有那個單機版用戶能保證自己每天都及時做病毒碼升級，而且現在裝的單機版無非就是瑞星，金山， 360 之類的產品，這些產品相對于卡巴斯基這類統(tǒng)一部署的防病毒產品來說還是有一定差距的，像最近的好多單位網絡癱瘓都是因為網絡里有些機器裝了這類軟件導致的，而裝有統(tǒng)一部署的防病毒的基本上沒有問題。還有一種情況普遍，就是網絡存儲設備的使用，經常會有用戶會因為 U 盤攜帶病毒而使機器出現問題，如果有一個好的管理制度來做些約束，定期做些關于網絡安全方面的培訓，使每個人都 知道網絡安全問題的重要性也很必要。 三 、 網絡信息系統(tǒng)的 安全 預算方案 產品名稱 型號 單價 單位 數量 價格 核心交換機 9512110000 2 220000 路由器 銳捷網絡 80000 2 960000 防火墻 思科 8000 2 136000 服務器 戴爾 710 21800 3 65400 匯聚層交換機 51006000 10 260000 二層交換機 10 501 205410 網絡機柜 奧科 130 380 49400 水晶頭 30000 6000 網線 50 1065 692250 信息模塊 20 6500 130000 配線架 安普 406330類非屏蔽 24口配線架 2 620 501 310620 15 總造價 =材料 +A+B+C+D； A（系統(tǒng)設計費） =材料總價 *3%； B（施工督導費） =材料總價 *5%； C（安裝調試費） =材料總價 *10%； D（輔材費用） =材料總價 *5%。 E（稅收費） =材料總價 *雙絞線施工預算內損耗 5%。 共： 3013560 +3013560 *3%