信息安全体系结构设计报告(终).doc

信息安全体系结构设计报告 ——中小型企业网络及安全方案 组长： 组员： 完成时间：2013年11月 30日 1. 系统需求分析 3 1.1基本情况描述 3 1.2需求分析 3 2．系统设计原则 5 2.1.企业网络设计原则 5 3．系统方案总体设计 7 3.1.网络总体拓扑设计 7 3.1.1 网络通信部分 7 3.1.2 应用区域边界部分 7 3.1.3 应用环境部分 9 网络架构概述 9 安全性分析 9 管理部门网络 9 其他部门网络 10 3.1.4 数据备份与恢复 10 3.2.IP地址划分 11 3.2.1 VLAN划分 11 3.2.2地址及端口分配 11 4.设备选型 14 4.1交换机 14 4.1.1交换机选择原则 14 4.1.2 交换机选型 14 4.2路由器 16 4.2.1路由器选择原则 16 4.2.2路由器选型 16 4.3 服务器 18 4.3.1服务器选型原则 18 4.3.2服务器选型(5个) 18 4.4 其他 19 4.4.1 漏洞扫描系统（1个） 19 4.4.2 备用电源（1个） 19 5.基本配置 20 5.1路由器 20 5.2接入层交换机 21 6.安全管理规则 24 1. 系统需求分析 1.1基本情况描述 一个中小型企业环境，大约100台计算机； 包含几个部门（研发部，财务部，市场部）； 通过专线接入到Internet，能提供若干真实IP地址（假如10个）； 企业有独立对外的www服务器（）、E-mail服务器； 内部有文件服务器，保存企业研发重要文档； 员工有独立的企业邮箱； 为了保证正常运行，需要考虑一定的安全性（包括技术、管理两个方面）。 1.2需求分析 企业日常工作需求 根据企业的要求，大约100台左右的计算机，对数据的传输量不大； 企业包含研发部，财务部，市场部等部门，因此需要做VLAN划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。 企业通过专线接入Internet，只有10个IP地址，需要为企业网络提供DHCP和NAT服务，使私有Internet地址供内部网络使用，并采用静态地址转换，为提供固定服务的设备设置固定地址。 企业要求有独立对外的服务器与企业邮箱，所以要建立DMZ区域，用于存放对外提供访问服务的Web服务器、DNS服务器、E-mail服务器等； 针对中小型企业办公事物处理、资金投入等特点，为增加企业员工的工作便易度，需提供无线局域网络。无线局域网络的实现将为人员流动频繁的市场部与财务部提供较为便捷的网络环境、节约企业网络铺设成本。 网络安全需求 考虑到企业对安全性能的要求，我们从技术安全和管理安全两个方面提供安全服务。 技术安全 在边界安全方面，需要在网络边界设置防火墙和入侵防御系统(IPS)。所有试图访问内部网络的数据包均需经过防火墙的检查，通过为防火墙设置合适的访问，可有效的拒绝不符合规则的数据包，从而阻塞内部主机与外部怀有不法目的的主机的连接。入侵防御系统(IPS)的串联工作方式，可以保证直接阻断来自外部的威胁以及阻断来自内部的攻击。IPS拥有多种检测方式和响应方式，可以为企业网络提供完整的入侵防护解决方案。 在内部网络方面，需要部署漏洞检测系统。漏洞检测系统则将定期扫描整体网络及其主机是否有威胁因素，实时报告给网络系统管理员，防止网络漏洞与主机漏洞给企业带来损失。 针对企业员工通过外网访问内部服务器的安全性方面，需设计虚拟专用网络。为远程用户和企业的分支机构访问企业内部网络资源提供了安全的途径，同时利用VPN隧道技术、加解密技术，充分保证用户数据的完整性、安全性和可用性。 针对企业可能遇到的特殊及意外情况，需设计数据加密、数据恢复与备份系统，以保障用户信息、物理资源的机密性、完整性和确实性。 为保证网络安全性，需要使用的设备支持检测并防御Dos/DDos攻击、缓冲区溢出攻击、恶意IP扫描等攻击行为。 管理安全 企业对网络用户(公司职员)进行网络的安全教育同样重要。 建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守。否则，网络内部的人为因素将会给网络安全造成很大的威胁。 制定合适的网络安全策略，制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中自觉维护网络的安全。 2．系统设计原则 2.1.企业网络设计原则 （1） 木桶原则 企业的网络应该具备对信息均衡、全面的保护功能，所以企业网络的信息系统安全体系结构必须能够充分、全面、完整地对信息系统的安全漏洞和安全威胁进行分析、评估和检测，防止最常用的攻击手段，提高整个系统“安全最低点”的安