企业网络安全工程案例

Ｔｅｃｈ　￣—ｏｌｏ—ｇｙ＆Ｅｎｇｉｎｅｅｒｉｎｇ　Ｃａｓｅ　・・・・　。　渤　嚣　；　鬻　豫　§　｜　ｌ　　一…　——　黪黪　≯　；　。。　溺　一　入￡　＿＿＿－同　ｉｊ｝　崔树辉　划　人工：｛Ｉ量≥蕉　Ⅱ　・＿’ｌ士口由　Ｉ＿　。。　≮＿　ｉ　溯　ｌ　ｌ　８　＿　《神华黄骅港务公司¨　一　一　．１网络安全工程系统概要　１．１公司的网络安全问题　某公司局域网及应用系统是为生产、办公　存在，或有不幸事件发生但不造成影响　都不考　虑成是风险。安全机制在系统中存在的根本目的　便是将系统遗留风险控制在可接受的程度内。　生活服务的关键数据传输平台。目前，该公司的　网络平台建设已经延伸到了各个单位的各个层　面。在这样大范围分布的网络中，业务系统、网　络的分散管理势必会制约管理效率的提高，同　时，也带来了诸多安全隐患。本解决方案希望能　从安全管理方面提高公司整个网络和业务系统的　抗攻击能力。　１．３网络系统安全设计依据及原则　公司信息系统安全体系框架如图１所示。由　于本方案内容涉及很多方面，基于公司网络现状　和未来的业务发展需求　在网络及系统安全设计　构建中，我们将遵循以下原则：整体设计、有效　管理、技术成熟、合理折中。　安全目标　Ｏ　Ｔ　Ｐ　Ａ　Ｐ　Ｔ　Ｒ　Ａ　Ｐ　Ｄ　Ｒ　１．２公司网络安全威胁分析　公司信息系统建设覆盖面广　涉及的多类专　用（如港口的生产调度系统）和通用服务（如ＯＡ　组　人　织　员　建　管　设　理　组织体系　制　度　管　理　系统、Ｗｅｂ服务等）众多　面临的ＩＴ威胁也具有　资　物　技　风　安　产　理　术　险　全　管　管　管　管　评　理　理　理　理　估　管理体系　公司信息系统安全体系框架　安　入　全　侵　防　检　护　测　技术体系　应　急　恢　复　ＮＳＦＯＣＵＳ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｙｓｔｅｍ　Ｓｅｃｕｒｉｔｙ　Ｆｒａｍｅｗｏｒｋ　定的普遍性和典型性。下文从面临的安全威胁　及系统自身的脆弱性等方面加以分析，并结合二　者总结出公司信息系统面临的风险。　◆安全威胁分　：一是对网络中信息的威　胁；二是对网络中设备的威胁。　２网络需求及设计思路　２．１网络设计思路　方案设计思路是新建网络核心和原有网络构　◆脆弱性分析包括难以抵制针对系统自　建一个高速通信服务网络。在此次方案设计上网　络中心处于信息安全系统整个网络的核心地位，　身缺陷的攻击　安全监控手段不多　现有防病毒　系统难以应对复杂多变的病毒环境　没有针对数　据保密性　完整性保护措施，缺少严格合理的安　全管理制度等。　◆全面风险分析：不安全的系统如无威胁　负责整个城域网络的规划。该网络中心在本网络　中的地位较特殊，它一方面负责自己这个核心节　点的网络ＶＬＡＮ的规划设计，另一方面它还要负　责内网之间以及局域网内部之间的安全监控　９６　智能建筑与城市信息２００６年　第ｆＤ期　总第１１９期　维普资讯 http://www.cqvip.com

和防范．而其它汇聚层设备主要负责自己内部　ＶＬＡＮ￣１Ｊ分｛Ｉ：］ＶＬＡＮＩ＂ｑ路由以及相关安全措施部署。　这样　由于部分ＶＬＡＮ的划分不再是全局性的．所　以各个汇聚层下面的科室内部ＶＬＡＮ的修改、添　加、删除不会向整个网络扩散．从而保证了整个　网络的良好扩展性　并使得各个部门科室单位享　有较高的灵活性。核心设备通过增加嵌入式的安　全模块从而提高整个网络的安全可用性。　网络通信主干的组网技术采用第三层路由技　术构成网络路由主干。根据需求和流量分析以及　设计原则和设计基础要求　采用三级交换体系，　６－，整个网络结构划分为三个层次：　（１）网络核心层主要是与全院数据信息进　行交流和对关键应用数据进行收集与管理。　（２）网络骨干层：构造本地网络核，通过汇　聚设备实现与其它部门问的大量信息交换。　（３）接入层：主要实现各级单位终端节点设　备的接入。　２．２局域网核心技术选型　快速以太网、千兆位以太网、万兆以太网的　国际标准已经形成　由于它们是目前广泛使用的　以太网技术的平滑升级，最大限度地兼容了现有　的以太网技术，且价格也比较便宜　所以是以太　网技术向上升级的合适选择。鉴于以太网本身固　有的传输特性　其适用范围较大，它既适用于连　接高性能工作站服务器　也可用于构筑中、小规　模的骨干网．所以建议在公司信息安全系统骨干　链路中采用千兆以太网技术，接入采用快速以太　网和千兆以太网连接桌面终端。　２．３路由核心技术选型　ＯＳＰＦ协议采用链路状态的触发更新和增量　更新为主　收敛速度非常快，稳定后额外带宽占　用低，而且还兼有支持地址可变长子网掩码　（ＶＬＳＭ）、路由负载均衡、路由汇总（ｓｕｍｍａｒｙ）　等高级路由协议特性，同时它是由ＲＦＣ文档定义　的开放标准，非常适于企业自治域系统内部使　用。因此从协议的开放性和收敛的高效性考虑，　我们采用三层协议作为汇聚与核心之间的连接协　议　选择ＯＳＰＦ作为本项目汇聚与核心之间的路　由协议。　综上所述，思科公司针对该公司信息安全系　统网络的特点　提以下几方面因素作为网络设计　指导原则：高可靠性．高性能，可扩展，对原有　设备的投资保护和无缝的集成　多业务支持能　力，自防御的集成化网络安全　易于管理。　３网络安全工程系统设计　３．１互联网接入　互联网接入区块是整个网络安全最敏感的区　域．因此，］ｎｔｅｒｎｅｔ接入区块作为整个公司内　服务平台的关键点。作为公司与公共ＩＰ骨干网络　的接口　］ｎｔｅｒｎｅｔ连接层提供了公司信息系统与公　共ＩＰ网的桥梁，它的运行情况直接关系到公司信　息系统为其用户所提供的服务的质量，这就要求　该层的设备必须具有以下的特点：　◆高速的路由交换能力　◆对各种高级路由协议（如ＯＳＰＦ、ＢＧＰ等）　的全面支持；　◆具备丰富的接口类型　◆完善的ＱＯＳ支持能力　◆基本的安全策略实现能力　３＿２生活区接入　家属区可以利用办公网的核心交换４５０７Ｒ来　实现多层接入和ＶＬＡＮ隔离，在家属区网和办公　网之间设置～台防火墙．其上配置访问策略，加　强安全性　并且只允许对ＤＭＺ区的公共资源进行　访问。接入层交换机要求具备身份认证、动态　ＶＬＡＮ配置，并可进行带宽。　３．３远程接入及广域网接入　远程访问ＶＰＮ是为了实现接入互联网的终端　用户能够通过Ｊｎｔｅｒｎｅｔ访问到企业局域网内部的网　络资源　该终端对局域网内部资源的使用方式与　其它局域网内部终端是一致的。在技术上，考虑到　通过公网进行通信的特点，我们设计ＩＰＳｅｃ／ＶＰＮ　ｎｔｅｌｌｉｇｅｎｔ　Ｂｕｉｌｄｉｎｇ＆Ｃｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　２００６　１０　Ｎｏ．１１９　９７　维普资讯 http://www.cqvip.com

蕉　Ｔｅｃｈｎｏｌｏｇｙ＆Ｅｎｇｉｎｅｅｒｉｎｇ　Ｃａｓｅｓ　狸ｌ　实现３ＤＥｓ的加密，同Ｂ１￣ＶＰＮ网关的实现逻辑上　建议将其放置在防火墙的ＤＭｚ区并对防火墙的　，较新的ＨＩＰＳ提供了一个本地代理。它可以　，执行相同的扫描功能：当某个事ｆｔ－Ａ￣时该事　件被记录到～个日志文件中，安全策略进行严格的设计（见图２）。　安装在网络资源　上的本地软件代理就会检查该事件是否与其攻　击数据库中列出的已知特征相匹配。有些ＨＩＰＳ　还可以通过监控应用日志文件发现其它攻击的　证据　监控本地文件的任何变动或者修改当某　。塑堕望二塑每实现任何员工从任何地点对嗣络丽要至两ｉｉ丽　３．４自防御的集成化网络安全　（１）自防御网络安全解决方案　思科的集成网络安全解决方案包含了对有效　保护网络安全至关重要的三个要素：　①攻击防御系统：思科威胁防御系统提高　了现有网络基础设施的安全性，增强了终端（包　括服务器和台式机）的全面安全，并将专用的安　全技术应用干网络设备和工具中，主动保护业　务、应用、用户和网络的安全。　②安全连接系统：思科安全连接系统采用　加密和鉴权功能，在不受信任的网络上提供安全　传输。　③信用和身份管理系统：思科信用和身份　管理系统主要进行基于网络的许可控制。它负责　根据用户的优先权和权利，允许或拒绝对业务应　用和网络资源的访问。　（２）自防御网络解决方案设计　思科利用自防御网络蓝图所描述的多层深入　防御战略来对抗当今最先进的攻击技术。自防御　网络蓝图是一些灵活、可行的，以模块化　格式详细说明了最佳安全实践经验，包括防御的　交叉方式。借助自防御网络，即使入侵者能够突　破第一道防线，相互交叉的安全防御层也能阻止　入侵者访问客户的网络。　（３）基于行为规则的主动防御技术　９８　智能建筑与城市信息２００６年　第７Ｄ期　总第１１９期　个事件符合某个攻击特征时　ＨＩＰＳ将发送～个　警报并采取某种潜在措施　以避免由恶意活动　导致的损失。　（４）用于服务器和台式机的思科安全代理实　现入侵防范的自动防御　思科安全代理采用了＿一种独特的、主动的方　式来阻止入侵。思科安全代理可以防止信息安全　系统遭受已知的和未知的（后者更加重要）、基于　主机的安全风险。这可以为用户提供五种重要的　优势：　◆在安全升级比赛中领先，采取必要预防　而不是检测的方法：　◆大幅度提高准确性：有助干预防攻击；　◆阻止试图采用相同的恶意行为的新型　攻击。　◆思科缺省安全策略可以消除进行繁琐的　ＨＩＰＳ特征升级的必要性　◆将网络上的特征和终端系统上的行为保　护结合到一起　Ｃｉｓｃｏ　ＣＳＡ的系统结构如图３所示。思科安　全代理不仅可以检测攻击　它还可以予以阻止。　由于ｌＴ部门都希望以更少的投入完成更多的任　务，自动攻击预防已经不再是一个可有可无的选　择　而是已经成为一个非常重要的必须条件。思　维普资讯 http://www.cqvip.com