1.2 分析企业网络安全需求

单元2网络综合布线系统设计单元1网络安全系统集成概述目录单元3网络工程设计单元5网络工程的实施与测试验收单元4网络系统安全设计单元6网络系统安全管理

引例描述

计算机网络技术是计算机技术和通信技术的融合与交集，涉及多个交叉学科领域。如今，各行各业的大、中、小企事业单位都要组建网络，应当以用户的网络应用需求和投资规模为出发点，综合应用计算机技术和网络通信技术，合理选择各种软硬件产品，通过网络集成商相关技术人员的集成设计、应用开发、安装组建、调试和培训、管理和维护等大量专业性工作和商务工作，使集成后的网络安全系统具有良好的性价比，满足用户的实际需要，成为稳定可靠的计算机网络系统。网络安全系统集成是一项综合性很强的系统工程，本书主要介绍网络安全系统的规划、设计、组建和维‍护。

学习目标

掌握网络需求分析技能；具备开展需求调研、形成网络安全需求报告的能力；具备理论联系实际和团队协作的素‍养。

某知名外企ABC公司步入中国，在重庆建设了自己的中国总部。为满足公司经营、管理的需要，准备建立公司信息化网络。ABC公司总部设有市场部、财务部、人力资源部、企划部4个部门，并在上海、广州两地各设立一个公司分部。为了业务的开展，需要安全访问公司内部服务器。根据ABC公司的建网需求，在经过竞争激烈的招投标后，从事网络工程及系统集成业务的川海高新技术有限公司承接了ABC公司网络组建项目，目前进入了项目的启动阶段。按照ABC公司网络的设计要求，为了确保网络部署成功，需要分析用户需求、网络设备选型，并制定项目实施流‍程。

任务场景1.通过实地调查收集相关需求数据。2.对目标网络需求进行分析。3.制定任务实施步骤。4.形成网络安全分析文‍档。

任务布置1.2.1网络需求分析与网络需求调查的必要性BECDA建网动因应用需求网络覆盖范围内外网通信条件建网约束条件回答为什么需要进行相关的网络设计回答所建网络应包括哪些应用系统以及需要解决的实际问题包括地理范围、使用者范围和数量，主要回答网络有多大回答目前已有或可用的通信条件，目前状况如何即定量、定性条件及经费约束条件等1.网络需求调查要解决的问题2.网络需求调查为网络需求分析提供基本素材1.2.1网络需求分析与网络需求调查的必要性通过需求调查可以获取用户的真正需求用户所了解的需求与网络工程人员理解的需求可能存在差异在项目开始之前，不能知晓真正的需求另外需求本身是一个动态变化的过程需求调查完成后，对需求说明书进行细化，对比较复杂的用户需求还有进行建模分析，以帮助开发人员更好地了解需求因此将收集到的需求进行多次分析整理，直到双方理解为止

3.网络需求分析为项目设计提供基本依据

1.2.1网络需求分析与网络需求调查的必要性更好地评价网络体‍系能够客观地做出决‍策提供完美的交互功‍能提供网络的移植功‍能合理使用用户的资‍源1.2.2网络需求调查方法和调查内容决策者的建设思路用户提供的历史资料、行业资料和使用状况等资料用户技术人员的细节描述网络使用者对网络的需求1.需求来源1.2.2网络需求调查方法和调查内容问卷调查会议座谈用户访谈实地考察同行咨询2.需求调查的方法1.2.2网络需求调查方法和调查内容3.需求调查的内容一般状况调查（每个网络都因业务不同而有其不同的解决方案）也叫业务需求网络使用环境、企业组织结构、人员组成及分布内、外网连接、发展状况、企业和行业特点现有可用资源、投资预算、用户期望目标1.2.2网络需求调查方法和调查内容3.需求调查的内容性能需求调查（主要解决用户体验效果）也称用户需求网络性能是指该系统完成任务的有效性、稳定性和响应速率性能需求调查决定系统性能档次、所采用的技术和设备档次性能需求涉及很多的具体方面，有总体网络接入性能需求、交换机服务器等关键设备响应性能需求、磁盘读写性能要求1.2.2网络需求调查方法和调查内容3.需求调查的内容功能需求调查（考虑网络本身运行和将来对其维护的需求）也称网络需求主要侧重于网络自身的功能，而不包括应用系统是否配置网管系统、服务器管理系统、第三方数据备份和容灾系统、磁盘阵列系统、网络存储系统、服务器容错系统是否需要多域，或多子网、多服务器更多的网络功能需求还体现在具体的网络设备上1.2.2网络需求调查方法和调查内容3.需求调查的内容应用需求调查（在网上做什么，涉及网络应用和网络服务）期望使用的操作系统、办公系统、数据库系统是哪些？打印、传真和扫描业务是否多主要内部网络应用是否需要使用公司内（外）部的邮件服务是否需要用到公司内（外）部网站服务是否需要用到一些特定的行业管理系统1.2.2网络需求调查方法和调查内容3.需求调查的内容管理需求调查网络管理的功能主要体现在配置管理、故障管理、性能管理、安全管理和记账管理等几个方面。安全需求调查

网络安全的目标是使用户的网络财产和资源损失最小化安全性的基本要求是防止用户网络资源被盗用和破坏1.2.3网络需求分析2.网络业务需求分析（1）确定需要联网的业务部门及相关人员，了解各个工作人员的基本业务流程以及网络应用类型、地点和使用方‍法。（2）确定网络系统的投资规模，预测网络应用的增长率（确定网络的伸缩性需求）。（3）确定网络的可靠性、可用性及网络响应时‍间。（4）确定Web站点和Internet的连接‍性。（5）确定网络的安全性及有无远程访问需‍求1.2.3网络需求分析3.网络管理需求分析（1）是否需要对网络进行远程管理，远程管理可以帮助网络管理员利用远程控制软件管理网络设备，使网管工作更方便、更高‍效。（2）谁来负责网络管‍理。（3）需要哪些管理功能，如是否需要计费，是否要为网络建立域，选择什么样的域模式‍等。（4）选择哪个供应商的网管软件，是否有详细的评‍估。（5）选择哪个供应商的网络设备，其可管理性如‍何。（6）需不需要跟踪和分析处理网络运行信‍息。1.2.3网络需求分析4.网络安全需求分析（1）企业敏感性数据的安全级别及其分布情‍况。（2）网络用户的安全级别及其权‍限。（3）可能存在的安全漏洞，这些漏洞对本系统的影响程度如‍何。（4）网络设备的安全功能要‍求。（5）应用系统安全要‍求。（6）采用什么样的杀毒软件。（7）采用什么样的防火墙技术方‍案。（8）网络遵循的安全规范和达到的安全级‍别。1.2.3网络需求分析5.外部联网需求分析（1）是否接入Internet，内网与外网是否需要隔‍离。（2）采用哪种上网方‍式。（3）与外部网络连接的带宽要‍求。（4）是否要与某个专用网络连‍接。（5）上网用户权限如何，采用何种收费方‍式。1.2.3网络需求分析6.网络扩展性需求分析（1）企业需求的新增长‍点。（2）已有的网络设备和计算机资‍源。（3）哪些设备需要淘汰？哪些设备还可以保留？（4）网络节点和布线的预留比‍率。（5）哪些设备（是否模块化结构）便于网络扩展？（6）主机（CPU的数量、插槽数量、硬盘容量等）设备的升级性‍能。（7）操作系统（升级方式）平台的升级性‍能。（8）所采用的网络拓扑结构是否便于添加网络设备、改变网络层次结构？1.2.4网络安全系统集成实例2.ABC公司网络整体需求

按照部门进行网段划分，同时保证部门间的广播隔离；确保网络带宽主干千兆位，百兆位到桌面；网络必须要有冗余机制，避免单点故障而导致全网瘫痪；公司网络所有用户能接入Internet；公司总部和分部内网实现网络互通。1.2.4网络安全系统集成实例3.ABC公司网络功能分析

为了实现总部和分部各部门二层隔离，在交换机上划分VLAN；实现二层链路的冗余和负载均衡，在交换机上配置MSTP协议；实现网络三层链路冗余和负载均衡，交换机上使用VRRP协议；保障核心网络链路带宽，实现流量的负载均衡，需在核心层交换机上做链路聚合；总部和分部的内部网络均采用RIPv2协议，用于建立通往内部网络中各个子网的传输路径的路由项。使用OSPF协议用于建立隧道两端经过公共网络的传输路径和内网用户访问Internet的传输路径。分部网络使用单臂路由技术实现VLAN间的路由；总部和分部使用NAT技术，实现内部用户访问互联网资源。1.2.4网络安全系统集成实例4.ABC公司网络工程设计网络工程设计就是要明确采用哪些技术规范，构筑一个满足哪些应用需求的网络系统，从而为用户要建设的网络系统提供一套完整的实施方案。1.2.4网络安全系统集成实例4.ABC公司网络工程设计

逻辑网络设计—网络拓扑结构设计：由于ABC业务部门较多，同时还涉及与各分支机构的互联，从网络架构的合理性及易管理性方面考虑，整个ABC公司的网络应根据各种应用的功能进行分区域规划设计。1.2.4网络安全系统集成实例4.ABC公司网络工程设计

逻辑网络设计—IP地址规划：一方面确保子网的大小能够符合相应部门或连接对IP地址的需求，另一方面又尽量避免IP地址的浪费。

逻辑网络设计—交换策略：对于有较高带宽要求的部门，可以考虑使用LACP协议将多条物理链路聚合成一条逻辑链路。对于网络的可靠性要求比较高的部门，可以在数据链路层引入冗余链路并运行STP。逻辑网络设计—路由技术：由于在IP地址规划中采用了VLSM技术，选择无类别的路由选择协议进行不同网段之间的路由。对于网络的可靠性要求比较高的部门，可以在网络层引入冗余设备和冗余链路并运行VRRP协议。1.2.4网络安全系统集成实例4.ABC公司网络工程设计逻辑网络设计—广域网技术：总部和分部之间使用广域网连接，运行PPP协议。

逻辑网络设计—网络设备管理：网络设备必须能够远程登录进行配置管理，同时必须对所有的网络设备上的操作系统及配置文件进行备份。1.2.4网络安全系统集成实例4.ABC公司网络工程设计网络网络设计

具体包括局域网技术的选择、确定网络设备及选择不同的传输介质。网络部署

包括机房装修和综合布线，本书不做介绍。调试和验收

网络工程实施主要包括软硬件设备的采购、安装、配置、调试和培训等，通过系统综合测试，一是为了充分暴露系统是否存在潜在的缺陷及薄弱环节，以便及时修复；二是检验系统的性能是否达到设计标准要求。1.2.4网络安全系统集成实例5.ABC公司网络安全总体要求全面有效地保护公司网络设备及软件系统的安全。可自动和手动分析网络安全状况，实时监测并及时记录潜在的安全威胁。不影响公司信息系统的正常运行，具有很强的可用性和及时恢复性。满足公司业务需求和企业可持续发展需求，具有很强的可扩展性和柔韧性。所采用的安全设备和技术通过我国安全产品管理部门的合法认证。1.2.4网络安全系统集成实例6.ABC公司网络安全工作任务对ABC公司网络面临的威胁及可能承担的风险进行定性与定量的风险评估。对操作系统本身的缺陷以及可能承担的风险进行定性与定量的风险评估。对应用系统存在的问题、面临的威胁及可能承担的风险进行定性与定量的风险评估。制定该公司计算机网络系统的安全策略和解决方案，确保该公司计算机网络信息系统安全可靠地运行。1.2.4网络安全系统集成实例7.ABC公司信息系统面临的威胁

ABC公司信息网络比较开放，终端数量较大，非常容易受到来自Internet本身的安全威胁。对公司自身来说，其科研人员承担了大量的产品研制与开发任务，在开发过程中的数据需要采取严格的保护措施。公司网络管理结构相对复杂，没有系统的安全管理和安全事件监控机制。1.2.4网络安全系统集成实例8.ABC公司网络系统安全需求防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃。严格控制各种人员对公司局域网的接入，防止公司内部涉密信息的泄露。控制公司网络不同部门之间的相互访问。实现公司局域网与其他网络之间的安全，高效数据访问。确保广域网数据传输的保密性。网络系统需要充分考虑到各种网络设备的安全。1.2.4网络安全系统集成实例9.ABC公司网络安全风险分析整个网络均采用开放的TCP/IP协议，面临来自内、外网用户的各类攻击的安全风险。面临某些少数用户发起的“拒绝服务、病毒传播”等恶意攻击的安全风险。面临着某些重要信息（如核心交换机等网络设备的配置信息）泄露的安全风险。对公司用户的管理带来较大的困难，同时可能导致整个网络出现安全漏洞隐患。网络中运行的关键业务，在高质量数据传输的前提下，必须有充分的安全保障。