投稿
  1. 小新网首页
  2. 百科知识

网络结构设计(网络安全设计是保证网络安全运行的基础)

鬼斗车 百科知识

网络的安全性及其实施办法是网络规划中的关键任务之一,为了保障网络的安全性和信息的安全性,各种网络安全技术和安全产品得到了广泛应用。

请围绕“网络系统的安全设计”为论题,依次对以下三个方面进行论述。

1. 简述你参与的网络系统的安全设计与实施情况,以及你在项目中所担任的主要工作。

2. 详细论述你采用的保障网络安全和信息安全的技术和方法,并说明系统关于等级保护要求的具体实施,项目中所采用的软件、硬件产品安全以及管理措施的综合解决方案。

3. 分析和评估你所采用的网络安全措施的效果及其特色,以及相关的改进措施。

网络结构设计(网络安全设计是保证网络安全运行的基础)

摘要:

本文讨论了网络系统的安全设计。2020年6月,我作为XX公司的信息技术部负责人,全程参与了公司网络系统安全改造项目的规划设计、工程招标、项目实施和测试验收,该项目投资500万元,项目工期12个月。我们主要从物理安全、网络安全、主机安全、应用安全和管理安全5个方面进行了安全升级改造。具体的升级与改造措施包括核心机房的搬迁及环境改善,网络设备升级及冗余配置,网络设备用户安全认证及安全加固,主机密码复杂性设置及漏洞修复,严格用户权限管控,安全管理部门建设,规范制度的建设及人员的配备和培训等。项目完成后,公司网络的稳定性和安全性得到极大的提升。但是受资金限制,项目中还存在一些不足,如主机分布分散,管理难度大,IPS存在单点故障,没有定期聘请外部机构进行渗透测试等。

正文:

2020年6月至2021年5月,我作为某公司信息技术部负责人,参与了公司网络系统安全改造项目的规划设计、工程招标、项目实施和验收测试,以及后期运维工作。该项目投资500万元,项目工期12个月。

我公司的主要业务是清洁能源供暖设备的研发制作。经某省外事办和某省住建厅批复,将依托我公司建设一个集清洁能源装备的研发设计和生产制造为一体的清洁能源特色小镇。小镇占地面积8.5万平方公里,涵盖研发、制造、工艺和采购等上下游产业。随着政策的不断深入和用户规模的不断扩大,原有网络设计中的缺陷逐渐显现出来,原网络的网速越来越慢,各种安全问题层出不穷。根据上级部门要求和公司实际需求,我们联合第三方测评机构组成测评小组,对我公司的网络安全现状进行了安全定级与测评工作。其中,公司内部使用的ERP、MES、CRM等系统被定级为二级系统,供热管理系统和供热运行监控系统被定级为三级系统。针对等保测评公司给出的测评结果,我们从物理安全、网络安全、主机安全、应用安全和管理安全等5个方面进行了安全升级与改造,具体措施如下:

1.物理安全加固与改造

网络改造前,由于单位早期对信息化的不重视和办公空间的紧张,信息机房被安排在地下一层。机房内潮湿、渗水、空气不流通、鼠患严重,存在极大的安全隐患。本次整改,我们严格依据等保、《电子信息机房设计规范》等政策和规范的要求,在新建的办公楼二楼建设了机房。

机房安装了防盗门窗和防雨护窗,设置了电子门禁和监控系统,机房内配备了气体自动灭火系统,布设了烟感、水浸等探测设备。制冷方面,我们采用了精密空调下送风、上回风的方式,并且加砖了新风系统,保证机房内空气的清洁。电力供应方面,机房采用了双回路供电,同时配备了UPS不间断电源。

2.网络安全整改、实施用户认证、优化地址分配

网络改造前,网络中的大部分设备都是不可管理的傻瓜式设备,仅有的几台可通过Web界面进行简单管理的设备也是默认的用户名和空密码,密码没有修改过。原有网络被简单地划分了几段,IP地址自动获取方式,但可分配的IP地址几乎已经消耗殆尽。单点设备到处都有,没有冗余,且终端设备接入网络没有任何限制。

对此,我们对网络的拓扑结构进行了重新规划,按照层次化的原则划分为核心层、汇聚层和接入层三部分。核心层我们采用2台华为的CE12800系列交换机,利用华为特有的CSS技术将2台物理交换机虚拟成1台逻辑交换机,实现了核心层设备的高可用性。汇聚层按每2台华为S7700交换机为1组,用VRRP技术将2台设备虚拟成1台逻辑设备。接入层则采用华为S5730全千兆交换机,万兆上联,实现终端用户的高速接入。汇聚到核心,接入到汇聚的链路全部采用链路聚合技术实现链路的负载均衡及高可用性。为了加强网络设备安全管理,我们修改了设备默认的管理员用户,搭建了AAA服务器实现对设备管理的认证和授权控制。

基于Portal和RADIUS技术,我们实现了针对无线和有线用户的安全接入。对于内部员工的有线和无线的接入方式为用户名加密认证;访客访问无线网络则采用手机验证码的方式接入,这种方式均可以实现追朔和审计。我们还对全网IP地址进行了重新规划,以10.X.0.0/16地址段进行总的IP地址分配,结合掩码进行细化的IP地址段划分。在网络的边界,部署华为USG6600防火墙,通过精细化的策略实现内外网的控制。在网络内部部署IPS设备,并实现与边界防火墙的联动。

3.主机密码加固、病毒查杀及漏洞修复

网络改造前,公司计算机设备既有组装机也有联想、DELL等品牌机:操作系统也是各种类型,XP、Win7、Win10等操作系统都有。计算机存在大量的空密码、弱密码等现象,甚至是明文密码粘贴在显示器上的情况也随处可见:没有强制要求计算机系统安装杀毒软件。计算机系统的各类漏洞长期不进行修复。针对这些问题,我们首先统计区分了各种品牌和年代的主机,实施合理利用,分批淘汰的策略。我们对每台未淘汰的主机都设置了密码复杂性策略,加装了360企业版的杀毒软件和漏洞修复工具,定期统一更新病毒库和系统补丁。

4.应用系统口令加固及权限管控

网络改造前,公司运行的应用系统存在各类安全隐患。我们之前应用系统的购置比较随意,缺乏管理,许多较早的应用系统也早已找不到供应商。在应用系统管理与维护中也存在空口令、弱口令和到处张贴明文口令的现象。

针对这些问题,我们对公司现有的应用进行了较为彻底的梳理。针对用户的认证问题,我们引入了宁盾的双因素认证机制。在使用用户名和密码认证的基础上增加了手机动态密码验证,两种认证同时成功才能登录系统。对于可以找到服务商的应用系统,我们签订了应用系统更新升级服务,对于年代久远且使用较少的系统,我们配置较为严格的访问控制策略,尽可能地规避可能存在地风险。同时,我们对应用系统内各用户地权限进行了梳理,基于“权限最小化”的原则,对于系统内置的超级管理员角色,借助第三方工具对其权限进行了弱化。为了避免信息泄露,我们采用网络版的数据加密软件,审批并解密所有外发或带出公司的数据。

5.加强安全管理

俗话说,网络安全“三分靠技术,七分靠管理”。再好的安全技术和安全产品,如果没有实施有效的管理,都将是摆设。为此,通过与公司高层讨论,我们成立了专门的网络安全领导小组,并由公司一把手挂帅。为提高全员网络安全意识,我们进行了全员的网络安全意识培训,并协同危管部门编制了网络安全管理制度和相关的考核措施。针对网络安全运维人员,我们组织了不定期的技能提升培训和竞赛活动。

经过各方不懈地努力,项目成功完成并通过验收。项目完成后,公司网络速度和稳定性得到明显提升,各种网络安全问题明显减少,得到了公司领导、同事们和上级部门的一致好评。项目之所以能够取得成功,一方面得益于甲乙双方密切的配合、充分的调研和规范的项目管理;另一方面得益于我们充分认识到网络中可能存在的安全问题并采取了必要的防范措施。项目虽然取得了成功,但是由于资金限制,项目还存在一些不足,如主机安全管理方面,现在的主机仍然比较分散,管理难度较大,后期计划采用虚拟桌面的方式进行管理;没有引入外部的机构进行定期地安全测试等。我会在后期地工作中不断学习,提升自己的网络安全规划设计能力。

本文来自作者:鬼斗车,不代表小新网立场!

转载请注明:https://www.xiaoxinys.cn/306846.html

(0)
鬼斗车鬼斗车注册用户
0
上一篇 2022-12-21 17:22:00
下一篇 2022-12-21 17:24:00

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。