数据网终端安全管理专题研究.docVIP

数据网终端安全管理专题研究 目 录 项目摘要： 2 一、项目背景 3 二、技术或业务方案详细介绍 3 （一）概述 3 （二）方案介绍 3 （三）关键技术和业务创新点 5 （四）与当前其他单位应用或研究状况比较 6 三、经济与社会效益分析 6 四、应用推广情况或可推广度说明 6 （一）投资评估 6 （二）应用情况说明 6 （三）可推广度说明 6 五、项目实际完成情况 7 六：附IP地址管理系统截图 7  项目摘要： 数据网网络规模日益壮大，网络终端的管理成为越来越困扰网络维护人员的难题。传统的管理手段只能管理到交换机这一级别，而对终端的管理还是缺乏手段。 目前终端存在的主要问题以及隐患主要有以下几点： 终端的接入缺乏审核； 地址管理混乱，缺乏 使用人－IP地址－MAC地址 的一一对应 ； IP地址的随意配置，导致IP地址冲突时有发生； 地址配置麻烦； 本系统的研发有效的解决了上述问题，本系统实现的功能如下： 提高数据网终端安全，非审核批准的终端不得入网。 通过系统进行IP地址管理，有效提高地址管理的规范性以及效率。 3、杜绝IP地址冲突的现象，减轻网络维护人员的工作，少了手工分配的随意性以及人为错误。 4、可由终端信息（IP、MAC）快速定位到使用单位、使用人，从而促使安全事件得到快速处理。 可作为终端资产管理的辅助手段。 实现的效益：本系统有效的实现了IP地址的集中有效、有序管理，并限制未报批的终端入网，有效的提升数据网的安全。 关键字索引： IP管理系统、DHCP、IP-MAC绑定、 DAI 正文： 一、项目背景 数据网网络规模日益壮大，目前每个南通分公司数据网内的终端网内的终端数已达5000以上，而面对如此庞大的终端数量，传统的网管手段只能管理到交换机，在终端管理上无能无力。 数据网作为公司重要业务的承载网，对信息安全有着很高的要求，一旦信息泄露，后果非常严重。现数据网在终端准入以及安全事件追查方面均存在不足。 目前终端存在的主要问题以及隐患主要有以下几点： 终端的接入缺乏审核，任意终端只要配置网段内地址即可接入，对数据网的安全存在隐患，而且一旦发生信息安全事件后责任追查难度极大。 地址管理混乱，缺乏使用人－IP地址－MAC地址 的一一对应，目前依赖管理手段，但是未能从技术上保证现有的资料与实际在网终端的完全一致，也无法实时同步更新资料。 IP地址的随意配置，导致IP地址冲突时有发生，而且在网段较大情况下很难迅速定位； 地址配置麻烦，随着网络规模的扩大，不可避免的会发生网段更改的情况，传统的配置手段需每台终端单独手工修改，工作量大且容易出错。 因此在此背景下，南通分公司研究数据网终端准入系统着力于解决上述问题。 二、技术或业务方案详细介绍 （一）概述 数据网终端准入系统主要由两部分组成：IP地址管理系统、网络设备准入控制。这两部分相互配合工作组成了本系统。 IP地址管理系统通过人机界面操作生成DHCP服务器上终端数据，将IP与MAC在DHCP服务器绑定，并实现了与BOSS系统内营业厅资料同步； 网络设备准入控制限制用户手动设定IP，使得IP地址必须通过DHCP自动分配获得，而用户获得的地址必须由IP地址管理系统开通。 这样就很好的实现了在网的终端与IP地址管理系统内的资料完全一致，也实现了终端的准入（未在IP地址管理系统中开通的无法获得IP地址）功能，而且用户端的地址为DHCP动态获取，网段更改或扩容时对用户完全透明。 （二）方案介绍 系统结构示意图 系统介绍： 本系统由IP地址管理平台，DHCP服务器、以及支持DAI以及DHCP relay功能的三层交换机组成，出于多平台考虑，目前研究了基于操作系统为Windows 2003 Server的Dhcp服务器，同时研究了基于LINUX redhat的dhcp服务器。 汇聚层交换机：采用支持DAI功能华为S3528交换机，南通市区采用cisco catalyst3750，在三层交换机上配置DHCP relay以及DAI数据，使得交换机连接的用户只能通过DHCP到指定DHCP服务器上获得地址，特别的用户需静态地址的在交换机安全列表中手工添加。 在汇聚交换机的下挂二层交换机，通过隔离技术（华为s2403采用isolate-port），使得同一二层交换机下挂的用户在各接入端口相互隔离，并通过DHCP Snooping技术的应用，侦探伪DHCP服务器。当下挂终端有地址冲突（用户手工配置地址），交换机上会产生告警，可很容易追踪到发生冲突的端口。 IP地址管理系统采用.NET架构，嵌于南通原有小系统－“业务辅助系统”中，业务辅助系统中营业厅数据从BOSS同步，IP地址管理平台中营业厅管理部分直接共享业务辅助系统内营业厅数据。（后附界面） IP地址管理分为