信息安全体系结构设计报告(终).doc

信息安全体系结构设计报告 ——中小型企业网络及安全方案 组长： 组员： 完成时间：2013年11月 30日 1. 系统需求分析 3 1.1基本情况描述 3 1.2需求分析 3 2．系统设计原则 5 2.1.企业网络设计原则 5 3．系统方案总体设计 7 3.1.网络总体拓扑设计 7 3.1.1 网络通信部分 7 3.1.2 应用区域边界部分 7 3.1.3 应用环境部分 9 网络架构概述 9 安全性分析 9 管理部门网络 9 其他部门网络 10 3.1.4 数据备份与恢复 10 3.2.IP地址划分 11 3.2.1 VLAN划分 11 3.2.2地址及端口分配 11 4.设备选型 14 4.1交换机 14 4.1.1交换机选择原则 14 4.1.2 交换机选型 14 4.2路由器 16 4.2.1路由器选择原则 16 4.2.2路由器选型 16 4.3 服务器 18 4.3.1服务器选型原则 18 4.3.2服务器选型(5个) 18 4.4 其他 19 4.4.1 漏洞扫描系统（1个） 19 4.4.2 备用电源（1个） 19 5.基本配置 20 5.1路由器 20 5.2接入层交换机 21 6.安全管理规则 24 1. 系统需求分析 1.1基本情况描述 一个中小型企业环境，大约100台计算机； 包含几个部门（研发部，财务部，市场部）； 通过专线接入到Internet，能提供若干真实IP地址（假如10个）； 企业有独立对外的www服务器（）、E-mail服务器； 内部有文件服务器，保存企业研发重要文档； 员工有独立的企业邮箱； 为了保证正常运行，需要考虑一定的安全性（包括技术、管理两个方面）。 1.2需求分析 企业日常工作需求 根据企业的要求，大约100台左右的计算机，对数据的传输量不大； 企业包含研发部，财务部，市场部等部门，因此需要做VLAN划分，降低网络内广播数据包的传播，提高带宽资源利用率，防止广播风暴的产生。 企业通过专线接入Internet，只有10个IP地址，需要为企业网络提供私nternet地址供内部网络使用并静态地址转换，固定设备固定地址。mail服务器等； 针对中小型企业办公事物处理资金投入企业的工作便易度到服务 技术安全边界IPS)。所有试图访问内部网络的需经过防火墙的检查的访问有效的拒绝不符合规则的数据包从而阻塞内部主机与外部的主机连接。IPS)的串联工作方式，保证直接阻断来自外部的威胁阻断来自内部的攻击PS拥有多种检测方式响应，可以为企业网络提供完整的入侵防护解决方案。 ， 针对企业员工外网访问安全性方面，设计同时利用技术加解密完整性安全性可用性。 企业可能遇到的特殊意外情况，需与备份保证网络安全性，需要设备支持防御os/DDos攻击、缓冲区溢出攻击、攻击行为。 对 建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守。否则，内的人为因素给造成很大的威胁。网络应该对信息均衡、全面的保护功能所以企业的信息系统安全体系结构必须能够充分、全面、完整对信息系统的安全漏洞和安全威胁进行分析、评估和检测防止最常用的攻击手段，提高系统“最低点”安全性能。企业网络安全性设计，要采用多种安全措施，分层次有重点地对系统进行防护，在注重防外的同时，也不可轻视内，做到防内与防外重要。的信息系统安全体系结构安全防护机制、安全测机制安全反应机制和安全恢复机制。从而在信息系统遭受攻击破坏事件的情况下，必须尽可能快速复信息系统的，减少损失。网络来说，的安全都是无法达到的。企业网络安全系统，到、安全风险成本之间的关系制定相应的规范和措施确定实际可行的安全在确保安全风险控制在可接受范围内的前提下，将信息系统安全体系结构的成本控制在合理的范围内。优先兼容 随着网络化进程的加快，网络规模的扩大，网络将连接到各个角落；网络环境和应用发生改变、新的攻击方式产生，运行 （5）动态发展原则 跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。 3．系统方案总体设计 3.1.网络总体拓扑设计 3.1.1 网络通信部分 网络通信部分主要是针对局域网与广域网的连接，中国电信作为互联网服务提供商，局域网与宽带互联网（ChinaNet）通过两条相互冗余的100Mbps带宽出口线路连接，并申请-0公有地址段。同时，为保证企业异地办公的安全性，采用在公共网络中建立虚拟专用网络（VPN）隧道的解决方案，其中针对企业员工远程访问，在VPN网关上采用Access VPN技术，针对企业异地分支或是兄弟企业则采用Intranet VPN技术。 3.1.2 应用区域边界部分 应用区域边界部分基于屏蔽子网防火