项目经理论文.docVIP

论计算机网络的安全性设计 杨改丽—361080006 2012年3月14日 摘要： 曾经为一家证券公司工作，其公司建成了总部及各个营业网点的企业网络，随着公司业务的不断拓展，公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等，为了保证各业务正常开展，特别是为了确保证券交易业务的实时高效，公司以在2008年将中心至各个营业部的通讯链路有初建时的主链路64K的DDN和备用链路33KPSTN，扩建成主链路为2M的光缆作为主链路和256K的DDN作为备链路，实现了通讯线路及关键网络设备的冗余，较好的保证了公司业务的需要。并随着网上交易系统的建设和网上办公的需要，公司企业网与互联网之间建起了桥梁。改造前，应用系统在用户认证及加密传输方面采取了相应措施，如集中交易在进行身份确认后信息采用了Blowfish128位加密技术，网上交易运用了对称加密和非对称加密相结合的方法进行身份认证和数据传输加密，但公司办公系统、交易系统、互联网应用之间没有进行安全隔离，只在互联网入口安装了软件防火墙，给黑客的攻击、病毒的蔓延打开了方便之门。 关键词： 网络安全 病毒防治 安全管理 正文： 作为项目负责人，系统安全一直是的话题，特别是随着公司集中报盘系统、网上交易系统的建设，以及网上办公需要，网络安全系统的建设更显得尤为迫切。但公司考虑到目前证券市场疲软，竞争十分激烈，公司暂时不打算投入较大资金来建设安全系统。在投入较少资金的前提下，在公司可以容忍的风险级别和可以接受的成本之间作出取舍，充分利用现有的条件及成熟的技术，对公司网络进行了全面细致的规划，并且最大限度地发挥管理功效，尽可能全方位地提高公司的网络安全水平。在网络安全性和保密性方面，我采用咯以下技术和策略：1、将企业网化为交易网、办公网、互联网应用网，进行网络隔离。2、在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。3、运用多版本的防病毒软件对系统交叉杀毒。4、制定公司网络安全管理办法，进行网络安全集中管理。 网络安全隔离 为了达到网络互相不受影响，最好的办法是将网络进行隔离，网络隔离分为物理隔离和逻辑隔离，系统的重要程度即安全等级考虑划分合理的网络安全边界，使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。针对的网络系统的应用特点把公司证券交易系统、业务办公系统之间进行逻辑分离，划分成交易子网和办公子网，将互联网应用与公司企业网之间进行物理隔离，形成独立的互联网应用子网。公司中心与各营业都之间建有两套网络，中心路由器是两台思科7206，营业部是两台思科2612，一条通讯链路是联通2M光纤，一条是电信256K DDN，改造前两套链路一主—备，为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换，子网的划分采用VLAN技术，并将中心端和营业部端的路由器分别采用两组虚拟地址的HSRP技术，一组地址对应交易子网，一组地址对应办公网络，形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法，在确保隔离前提下实现双网数据的安全交换。 二、网络边界安全控制 网络安全的需求一方面要保护网络不受破坏，另一方面要确保网络服务的可用性。将网络进行隔离后，为了能够满足网络内的授权用户对相关子网资源的访问，保证各业务不受影响，在各子网之间采取了不同的存取策略。 (1)、互联网与交易子网之间：为了保证网上交易业务的顿利进行，互联网与交易子网之间建有通讯链路，为了保证交易网不受互联网影响，在互联网与中心的专网之间安装了NETSCREEN委托防火墙，并进行了以下控制：a)、只允许股民访问网上交易相应地址的相应端口。b)、只允许信息技术中心的维护机地址PING、TELNET委托机和路由嚣。c)、只允许行情发送机向行情主站上传行情的端口。d)、其他服务及端口全部禁止。并且在互联网和交易网之间还采用了SSL并口隔离，进一步保证了交易网的安全。 (2)、交易网和办公网之间：对于办公网与交易网之间的互访，采用思科2501路由器进行双向控制或有限访问原则，使受控的子网或主机访问权限和信息流向能得到有效控制，主要采用的策略主要是对具体IP进行地址与MAC地址的绑定。 (3)、办公子网与互联网之间：采用东大NETEYE硬件防火墙，并进行了以下控制：a)、允许中心上网的地址访问互联网的任何地址和任何端口。b)、允许股民访问网上交易备份地址的8002端口。c)、允许短消息访问公司邮件110、25端口，访问电信SP的8001端口。d)、其他的都禁止。 三、病毒防治 网络病毒往往令人防不胜防，尽管对网络进行网络隔离，但网络资源互防以及人为原因，病毒防治依然不可掉以轻心。困此，采用适当的措施防治病毒，是进一步提高