信息安全工程实验报告一

1、、信息安全工IS验报告一沈阳工程学院学生实验报实验室名称：信息安全综合实验室 实验课程名称： 实验项目名称：实验学时：2班级：信安本信息安全工程信息安全工程规划与设计111 姓名：白文峰学号：28实验日期： 2014年4月15日指导教师：周振柳 祝世东实验台编号:成绩:一. 实验目的熟悉和掌握信息安全工程基础概念，学习和掌握系统安全工程能力成熟 度模型，学习信息安全工程实施的各阶段内容，结合组织需求，制订组织信 息安全工程规划。二. 实验内容1学习电监会发布的电力二次系统安全防护总体方案及各级调度中心、 变电站、发电厂及配电二次系统安全防护方案，熟悉掌握信息安全工程方案 的组织结构和内容。2.

2、自选合适的组织对象，对组织对象信息安全工程实践 ISSE的方法、步 骤，内容，制订出步的工程规划，生成规划书。三. 实验前的准备学习掌握ISSE关于信息安全工程规划设计的过程、步骤、方法 熟悉信息安全工程规划的内容。四.实验要求及实验软硬件环境 【实验环境】Windows操作系统主机一台。 能够连接互联网。【实验组织方式】个人独立完成五.实验步骤和内容根据ISSE信息安全过程的五个阶段，规划某单位的信息安全过程建设计 划和内容、前言随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各 种业务系统都立足于Internet/lntranet环境中。但随之而来的安全问题也在困 扰着用户。I

3、n ternet所具有的开放性、国际性和自由性在增加应用自由度的同 时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于 瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如 何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所 要考虑的重要事情之一。中国电子信息产业发展研究院曾经做过预测，针对中国中小企业调查他 们对信息安全需求，企业对于信息安全的认知也跨出了一大步，有相当一部 分的企业担心信息安全问题，而网络问题则是他们关心的第一位，调查还显 示只有五分之一的企业没有信息泄密的事实，却也足以让人心惊胆战。企业 的正常运作离不开信息资源的支持，包括企

4、业的经营计划、知识产权、生产 工艺、流程配方、方案图纸、客户资源以及各种重要数据等，这些都是企业 全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶，是企 业发展的方向和动力，关乎着企业的生存与发展，企业的重要信息一旦被泄 露会使企业顿失市场竞争优势，甚至会遭受灭顶之灾。因此，企业要保持健康可持续性发展，信息安全是基本的保证之一。 随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事 件的发生，信息安全问题逐渐被提上议事日程，企业管理者也逐渐走出以往 的误区，信息安全建设成了企业首要任务，一些中小企业也纷纷加入到这个 日益庞大的队伍中来。所以，在不久的将来，信息安全将更

5、多的被企业所关 注，会有更多的企业加入到安全行列中来的，这也是企业生存和发展的关键 步骤之一。二、工程概况、工程详述公司有50台左右PC公司共有多个部门，不同部门的相互访问要有限制； 公司有自己的0A系统；公司中的台机能上互联网；核心技术采用 VPN公司 网内部覆盖4栋建筑物，分别是公司办公大楼和生产经营场所，少量的信息 点，供未来可能的需求使用，目前并不使用。办公大楼每层楼布有个信息点，共个信息点。每栋建筑有，每层楼有一个机柜。每栋建筑和办公楼之间通过1条4芯的室外单模光纤连接。要求将全部信息点接入网络，但目 前不用的信息点关闭。、项目工期2012年8月1日2012 年10月1日、需求分析网

6、络要求满足公司信息化的要求，为各类应用系统提供方便、快捷的信息通路；具 有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有 较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求， 具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维 护容易，为用户提供良好的售后服务。主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通 道。系统主干采用千兆以太网 1000M交换，下属子网采用百兆以太网，网络 协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。交 换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三 层交换机，

7、支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时 响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过 载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措 施。下属单位接入交换机可采用相对低一档的产品；本系统处理的信息包括 数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在 内的信息共享等方面的实时性要求。；UPS电源的配备，配置要保证机房中所 有的服务器、交换机、集线器等设备的连续、正常地运转：网络带宽的分配: 应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。网络需要需要具有多主机跨平台主机连接能

8、力，数据集 中存放、集中管理、数据有效共享，为全面集中管理和数据仓库的建设奠定 坚实的基础系统要求配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的， 并保障客户端的方便使用；广泛的设备支持：所有操作系统及选择的服务应尽 量广泛的支持各种硬件设备；稳定性及可靠性：系统的运行应具有高稳定性， 保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式 和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理；更低的 成本：系统设计应尽量降低整个系统的成本；安全性：在系统的设计、实现 及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还 应具有开放性、可扩展

9、性及兼容性，全部系统的设计要求采用开放的技术和 标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业 务发展需求，便于网络的扩展和集团的结构变更。用户要求要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、 界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速 度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网 连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以 支持目前和未来的应用和服务为标准。允许网络集成，使用三层交换来代替 路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符 合国际通用的标准，兼容现

10、有的网络环境，提供良好的互联性；要求网络提 供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留 一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的 可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作 失误造成的损害和来自外部的恶意攻击。设备要求根据公司的网络功能需求和实际的布线系统情况，楼层接入设备需要选择 同一型号的设备。网络设备必须在技术上具有先进性、通用性，必须便于管 理、维护，应该满足公司现有计算机设备的高速接入，应该具备良好的可扩 展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必 须具有良好的性价比。网络设备应该选择拥

11、有足够实力和市场份额的厂商的 主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。四、网络系统设计规划网络设计指导原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、 高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证、网络设计总体目标先进性：系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S 水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求；主 干系统传输速率达到1000Mb/s,同时具有较高的带宽，满足现在和未来的图 像、

12、影像传输的需求。灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化 时可以在非常简便的调整下重新连接；布线系统适应各种计算机网络结构， 如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能 力。实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在 满足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用 方便、易于扩展的特点。网络技术方案设计总体网络采用基于树型的双星型结构， 使之具有链路冗余特性；整体网络 规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域， 客户端接入区域；核心位于集团总部机房，并为双核心，使用双主干网络

13、设 计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正 常运行，也不用手工切换和维护，保证网络的可靠性。采用全交换硬件体系 结构，可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术， 可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与 实时性，使用了 FEC/GEC技术实现网络带宽的扩展，适应网络不断扩展的要求。根据需求概括，我们选择的是 D-Link企业级的DES-8503万兆核心交换 机为本次网路建设总部机房的核心交换；DES-8503万兆核心路由交换机作为 新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽 高达，包转发速率最大为

14、 952Mpps具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器分 布式处理机制和Crossbar空分交换结构的体系结构，关键模块均采用1:1冗 余备份。可提供10GEGEFE等各种丰富的接口模块，并全面支持IPv4、IPv6、 MPLS NAT组播、QoS带宽控制等业务功能。整个所具备的高可靠性、高 扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。 DES-8503 （3个插槽）作为D-Link行业产品线核心交换机之一，可广泛的应 用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、校园网核心 等场所，为用户提供

15、多种业务接入、路由交换一体化的安全融合网络解决方 案。ES-8503万兆核心路由交换机具有一下的优点：先进的系统架构：采用了分布式、模块化设计理念，并采用了基于多处 理器分布式处理机制和 Crossbar空分交换结构的体系结构。这保证了系统优 异的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换：具有丰富的接口类型，提供10GE GEFE等接口。可以真正实现高端口密度和线速路由及交换。大容量、高性能：支持高达952M pps的路由包转发能力，并支持512K条 第三层路由信息、512K第二层的MAC地址以及4096组VLAN 8K条安全和访 问控制策略，保证了数据线速转发的要

16、求。增强的业务功能：具有 L2/L3/L4线速交换能力、具备 QoS MPLS NAT 带宽控制、组播等高级性能，是定位于网络核心层、实现整体网络增值的优 选设备。同时，提供基于硬件的流量分类和组播以及速率限制和先进的服务 质量保证（QoS机制，可为用户开展增值业务提供强大的支持。uRPF 防 DDOS强大的安全功能：支持 ACL安全过滤机制，可提供基于用户、地址、应 用以及端口级的安全控制功能，并支持 IP Sec、MP LS VPN特性。同时，支持 基于端口不同优先级对列的和基于流的入口和出口带宽限制、攻击、安全管理、接入认证及透传，VLAN ID与MAC地址、端口号、IP地址捆绑等安全功

17、能。此外，系统还具备完善的抗病毒机制，可以为网络运营提 供全面的安全保证。支持IPv6 :全面实现了各种IPv6协议技术，包括IPv4和IPv6双协议栈 和基于手工配置隧道、自动配置隧道、 6to4隧道等IPv4向IPv6的基本过渡 技术。同时，实现了 IPv6静态路由，支持 BGP4/BGP4+RIPng、OSPFv3等动 态路由协议。全面支持二、三层 MPLS VPN二层MPLS VPr支持Martini协议（VPWS 和VPLS三层MPLS VPr采用RFC2547bis,具有良好的兼容性，可以与其他 主流厂家的设备实现 MPLS VPI业务的全面互通。电信级可靠性：系统的主控单元、电源

18、等等关键模块均可以进行1:1方式的备份，无中断保护系统（Hitless Protection System - HPS 为 DES-8500 的高可靠性提供了最重要的保证，在配置冗余控制模块的情况下，它能满足 最苛刻的可靠性要求。同时，DES-8500的VRRP STR LACP等功能为用户提 供了进一步的可靠性保证。统一的网管功能:接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相 连，传输速率达1Gbps采用全双工通信可达2Gbpso其物理连接采用超5类 双绞线相互连接，以提供物理层、链路层及IP层的冗余连接能力。网络安全系统设计内网安全设计：访问控制，通过密码、口令（不定期修

19、改、定期保存密 码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的 访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防 御、数据完整、审计记录、防病毒入侵。外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防 病毒软件；利用代理服务器提供In ternet与Intranet之间的防火墙功能； 通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件 等。网络管理维护设计根据公司和服务器应用模式及全网范围资源集中管理的原则，在公司建 立中心管理机房，统一网络中的交换设备的管理配置，虚网设计和配置，各 种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、 配置和维护；进行故障隔离、分析、统计、报警、设置；网管软件采用图形 化界面，支持广泛的网管平台。五、网络布线系统设计布线系统总体结构设计总体4撞建筑，从总部机房用4芯单模光纤与其他3撞建筑的设备间|BD| 相连，每个设备间设用五类双绞