网络安全设计书

DUFE

计算机网络

实验室网络安全方案设计书

学号：

专业：

姓名：

教师评阅意见：

□95 □90 □85 □80 □75 □70 □65 □60 论文成绩

□60以下

目录

网络安全方案设计书 (3)

1.实验室网络安全隐患与需求分析 (3)

1.1.网络现状 (3)

1.2.安全隐患分析 (3)

1.2.1.应用系统的安全隐患 (3)

1.2.2.管理的安全隐患 (3)

1.2.3.操作系统的安全漏洞 (3)

1.3.需求分析 (4)

2.网络信息安全策略及整体方案 (5)

2.1.方案综述 (5)

2.1.1.防火墙实施方案 (5)

2.1.2.Internet 连接与备份方案 (5)

2.1.3.入侵检测方案 (6)

2.1.4.VPN 系统 (6)

2.1.5.网络安全漏洞 (6)

2.1.6.防病毒方案 (6)

2.1.7.访问控制管理 (7)

2.1.8.重要文件及内部资料管理 (7)

2.1.9.网络信息管理策略 (7)

网络安全方案设计书

应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、云服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。

1.2.2.管理的安全隐患

管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。用户权限设置过大、开放不必要的服务端口，或者一般用户因为疏忽，丢失帐号和口令，从而造成非授权访问，以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。

1.2.3.操作系统的安全漏洞

计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不

仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。

1.2.4 病毒侵害

一旦有主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的其他主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。

1.3.需求分析

学院实验室根据学科建设发展需求要建设一个小型局域网络，有Web、云服务大数据等服务器和实验室学生客户端。其中服务应用划分为生产环境可试验环境，需要进行隔离。同时由于考虑到Internet 的安全性，以及网络安全等一些因素。因此实验室的安全构架要求如下：

1)根据现有的网络设备组网规划；

2)保护网络系统的可用性；

3)保护网络系统服务的连续性；

4)防范网络资源的非法访问及非授权访问；

5)防范入侵者的恶意攻击与破坏；

6)保护信息通过网上传输过程中的机密性、完整性；

7)防范病毒的侵害；

8)实现网络的安全管理。

通过了解实验室的需求与现状，为实现实验室的网络安全建设实施网络系统建设，提高网络系统运行的稳定性，保证实验室各种信息的安全性，避免数据的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，防范外来计算机的侵入而造成破坏。通过网络的建设，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

1)构建良好的环境确保实验室物理设备的安全

2)使用Docker进行资源隔离控制内网安全

3)安装防火墙体系

4)安装防病毒服务器

5)加强对网络资源的管理

如前所述，实验室信息系统存在较大的风险，网络信息安全的需求主要体现在如下几点：

1) 实验室系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。

4)信息安全防范是一个动态循环的过程，如何利用学校已有的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是我们面临的重要课题。

2.网络信息安全策略及整体方案

信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。

2.1.方案综述

实验室整个网络安全系统从分为两个部分，生产环境和试验环境，使用软件进行划分。对于生产环境，由学生客户端和云服务软件服务器通过三层交换机进行连接，通过软件服务器分发的防病毒软件进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围。外部访问通过路由器、交换机以及防火墙进行防范。通过对实验室现状的分析与研究以及对当前安全技术的研究分析，我们制定如下企业信息安全策略。

2.1.1.防火墙实施方案

根据网络整体安全及保证财务部的安全考虑，采用1台服务器作为防火墙服务另一防火墙，对Internet 与实验室内网之间进行隔离，其中内服务器对外服务器连接在防火墙的DMZ 区与内、外网间进行隔离。防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问；防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3 以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管理员权限严格控制。

防火墙

2.1.2.Internet 连接与备份方案

防火墙经外网交换机接入 Internet。此区域当前存在一定的安全隐患：首先，Web作为实验室接入Internet的出口，占有及其重要的作用，一旦其出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与 Internet 失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。为此，新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关可对进入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网