网络安全的技术与管理大连港网络安全分析与设计Teehno1ogyandManagementofNetwork1ngSeeurity一一一Ana1ys15andDes1gnofPortDa1anNetwork1ngSeeur1ty专业:电子与通信工程Major:作者:Author:EleetronieandCo咖unieationEngineering裘志华QiuZhihua指导教师:夏志忠教授SuPervisor:ProfessorXiaZhizhong企业副导师:顾兆禄高工AssistantSuPervisor:SeniorEngineerGuZhaolu学位授予单位:大连海事大学University:完成日期:DalianMaritimeUniversity2004年9月Date:SePtember，2004摘要信息时代，工nternet/工ntrnae七技术广泛应用于社会的各个领域，网络安全面临重大挑战。大量事实证明，确保网络安全己经是一件刻不容缓的大事，解决网络安全课题具有十分重要的理论意义和现实背景。中央提出的“振兴东北老工业基地”及“把大连建成东北亚重要的国际航运中心”，为大连港的发展提供了重要的历史契机，同时对大连港的信息化建设，特别是网络安全建设提出了更高的要求。本课题首先针对目前大连港网络结构进行分析，重点对其存在的安全风险进行详细分析，包括物理安全风险分析、网络安全风险分析、系统安全风险分析、应用安全风险分析、外部侵害、管理安全风险分析等六大方面，继而分析得到大连港网络安全需求。其次，针对网络安全方案基本设计原则进行研究和探讨，并主要从物理安全、访问控制、数据保护、病毒防护、备份恢复、安全管理等六个方面对网络安全方案进行分类描述。最后，在此前安全风险及需求分析的基础上，重点从以下七个方面分别进行大连港网络安全具体方案设计，包括:物理安全方案设计、网络结构安全方案设计、网络系统安全方案设计、防黑客方案设计、网络防病毒方案设计、建立网管中心、安全管理方案设计等。从而基本实现大连港网络安全的目标。关键字:网络安全风险分析方案设计AbstraCtInhteeraofinofrmationage，Intenre/tIntranetteehnologyhasbeenwideylusednivariousfieldsoftheworld.Newtorkseeuriyt15nwoeonrfontedwtihmajorehallenges.NmuerousafetsPovrehtatit15ofgreaturgenCytoensuerne柳orkseeuriytIthas面PortanttheoretiealmeaningsanderalsitiebaekgroundtosovlethePerblemofne幻叩orkseeuri.ytTheideaofRveital挂ingtheoldIndustrialBaseinNortheastChinaandEstablis址ngDaliannitoanImPortantShiPPnigCenterinNortheastAsiaProPosedbyhtecenrtalgovernmentProvidessign访eantoPPortunitiesofrthedveeloPmentofPortDalianandnteawnhilePutsof柳ardshigherrequire斑entsontheniofr斑ational议ationeonstruetionofPortDalian，esPeeialyltheeonsrtuetionofnewtorkseeuriytThea川clefirstylofeusesonanaylsisoftheeurrentnewtorkstruetureinPortDalian，mainylanaylzestheexistentsecuriytrisksindetail，nieludings议asPedssuchasPhysiealseeuriytriskanalysis，newtorkseeurytiriskanaylsis，ysstemseeuriytriskanaylsis，aPPlicationseeuriytriskanaylsis，exteriorinrfingementandmanagementseeuriytriskanaylsisandhtendiseusseshtenewtorkseeuriytdemandsofPortDalianbyanaylsisSeeondyl，thea川elesutdiesthebasiedesingPrineiPleofne柳orkseeuriytshcemeanddeseribesthenewtorkseeuriytsehemerfomsixasPeets，ie.Physiealseeuriyt，aeeesscontrol，dataProtection，virusPreventionandProteetion，eoPyrestorationandsaefmanagementaeeordingtodieffrenteategoriesFniayll，thea川eleemPhas忱esondesignofthesPeeifienewtokrseeuriytsehemeofPortDalianresPeeVtieylrfomtheofllwonigsveenasPeets:Physiealseucrytisehemedesign，newtorkstrueutreseeuriytschemedesing，newtorksystemsecuriytschemedesing，anti一haekersehemedesign，newtorkanti一irussehemedesign，newtorkmanagementeenterestablishmentandsecuriytmanagementsehemedesingbasedontheaofresaidseeuriytriskanddemandanaylsis50astorealsiethenewtorkseeuriyttargetofPortDalian.Keywords:newtorkseeuryti，riskanaylsisandshcemedesingll、/目录摘要.，.工Absrtact.n第1章绪论.，.11.1课题背景及意义二，.21.2网络安全概述.，.21.2.1网络安全的含义.佗1.22安全网络的特征.31.23网络安全体系结构模型二，、.、.1.24网络安全体系结构框架.，.、.51.3课题主要研究内容及预期目标.第2章大连港计算机网络结构及安全分析.，.72.1大连港计算机网络结构.，.7.22大连港网络安全风险分析.8.22.1物理安全风险分析.，.8.2.22网络安全风险分析.9.2.23系统安全风险分析.9.2.24应用安全风险分析.10.2.25外部侵害.12.2.26管理安全风险分析.，、.，.13.23安全需求分析.15.24网络安全策略.16.25安全目标.17.26小结.17第3章安全方案设计描述.183.1安全系统基本设计原则.183.1.1综合性、整体性原则.，.183.1.2需求、风险、代价平衡的原则.183.1.3一致性原则.183.1.4易操作性原则.183.1.5分步实施原则.193.1.6多重保护原则.:二，.193.1.7可评价性原则.193.2安全方案分类描述.，.193.2.1物理安全.193.22访问控制.，.，.0.3.23数据保护.加.3.24病毒防护.，.，.213.25备份恢复.223.26安全管理.23.33小结.，.，.5第4章大连港网络安全方案设计.64.1物理安全方案设计.;.，.264.1.1机房防雷系统.64.1.2主干网络设备的冗余备份.6.42网络结构安全方案设计.，.27.42.1配备防火墙.7.4.22统一互联网出口.;.7.4.23统一拨号入口.，.28.4.24财务系统安全.30.4.25大窑湾大连湾通信链路备份.，.O.43网络系统安全方案设计.1.43.1网络操作系统安全.32.43.2应用系统安全.，.犯.44防黑客方案设计.32.44孚入侵检测系统.3.4.42漏洞扫描系统.4.4.43主机检测系统.34.45网络防病毒方案设计.34.46建立网管中心.，.35.47安全管理方案设计.36.47.1安全管理原则.，.，.36.4.72安全管理的实现.37.48小结.，.，.，.38第5章设计方案的部分实现.395.1机房防雷系统的实施.、.395.1.1实施原则.o5.1.2现场勘测.415.1.3具体实施.415.1.4实施效果及后续工作.425.2主干网络设备冗余备份的实施.43.52，1实施前存在的故障隐患.、.435.22具体实施.3.5.23实施效果及后续工作.44.53网络防病毒系统的实施.，.455.4接入工nterne七安全措施的实施.465.4.1网络结构.65.42VPN(虚拟专网)系统.475.43工nterne七出口扩容.、.485.44入侵检测系统(工DS).8.5.45上网控制系统.，.48.55小结.，.，.49第6章结束语.，.50攻读学位期间公开发表的论文.51致谢.，.52参考文献.气.53附录.、.、.54第1章绪论1.1课题背景及意义在信息时代，信息安全问题越来越重要。现在，大部分信息都是通过网络来传播，工nternet/nIrtnaet技术的广泛应用，给整个社会的科学、技术、经济与文化带来了巨大的推动和冲击。同时，网络安全面临重大挑战。事实上，资源共享和信息安全历来就是一对矛盾，计算机网络体系结构中的开放性决定了网络安全问题是先天存在的，TCP/IP框架结构基本上是不设防的。随着工nterne七的飞速发展，计算机网络资源共享进一步加强，随之而来的是安全问题日益突出，病毒、黑客攻击等肆虐全球。同时，人们也开始重视来自网络内部的安全威胁。网络安全的重要性已有目共睹。特别是随着全球信息基础设施和各个国家的信息基础逐渐形成，国与国之间变得“近在咫尺”，信息电子化已成为现代社会的一个重要特征。信息本身就是时间，就是财富，就是生命，就是生产力。因此，各国开始利用电子空间的无国界性和信息战来实现其以前军事、文化、经济侵略所达不到的战略目的。另外，由于网络的快速、普及、客户端软件多媒体化、协同计算、资源共享、开放、远程管理化等，电子商务、金融电子化成为网络时代必不可少的一个产物。但是，科技进步在造福人类的同时，也带来了新的危害。计算机网络中的各种犯罪活动己经严重危害着社会的发展和国家的安全，也给人们带来了许多新的课题。大量事实证明，确保网络安全己经是一件刻不容缓的大事，否则悔之晚矣!有人预计，未来网络安全问题比核威胁还要严重。因此，解决网络安全课题具有十分重要的理论意义和现实背景。在最近党中央、国务院制定的东北等地区老工业基地振兴战略中，中央明确提出“把大连建成东北亚重要的国际航运中心”。这既是中央对大连的期望，又是大连千载难逢的发展机遇。对城市总体功能的科学定位，实现城市资源的最佳配置，发挥城市的核心竞争力，并带动辽宁省和整个东北地区的老工业基地振兴具有深远的历史意义。“振兴东北老工业基地”，“建成东北亚重要的国际航运中心”的提出，为大连港这样一个远洋运输区位优势独到、自然条件优良、海陆腹地广阔、基础设施齐全、服务功能完善的大型现代化综合性港口的发展提供了重要的历史契机。同时，也对为建设东北亚国际航运中心提供硬件支持的港口设施建设，以及提供软件支持的集装箱陆海集疏运网络的建设、中转业务的发展以及口岸公共信息平台的建立等提出了更高的要求。今后几年，大连港又将进入新一轮港口建设高潮期，将形成“六大中心”、“三大基地”、“四大系统”。而这一切都与港口的信息化建设息息相关，密不可分。1998年9月，大连港投资3000万元，开始正式实施国家863计划项目DP一CIMs(大连港计算机集成系统)一期工程。“网络平台建设”作为该工程16个子课题之一，也同步进行。这是大连港自建港以来，网络平台建设范围及投资规模最大的一次。2000年9月28日，DP一工MS一期工程通过国家863计划专家组验收。至此，大连港己形成以集团机关为中心，覆盖全港20余个单位，具有开放性、实用性和一定先进性的广域网，其主干网为千兆以太网，基本满足港口生产业务的需求。但由于当时时间紧、任务重，加之技术水平、投资规模、建设经验等的限制，只能先建设、应用，再逐步完善，并着手解决网络安全方面的问题。大连港建设“东北亚重要的国际航运中心”发展目标的确定，对信息化建设提出了更高更快更安全的要求，尤其是随着办公自动化系统(A0)、客户关系管理系统(CRM)、口岸公共信息平台等应用的不断深入，网络安全问题日渐显现，己成为堕待解决的当务之急。1.2网络安全概述网络安全是一个关系到国家安全和主权、社会稳定的重要问题，也是一个涉及计算机技术、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘学科。1，2.1网络安全的含义网络安全从本质上讲就是网络上的信息安全，它涉及的领域相当广泛。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可连续、可靠、正常地运行，网络服务不中断。网络安全在不同的应用环境有不同的解释。运行系统安全，即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等，本质上是保护系统的合法操作和正常运行。网络上系统信息的安全，包括用户口令鉴别、用户存取权限，存储方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。网络上信息传播安全，即信息传播后果的安全性，主要是信息过滤。它侧重于防止和控制非法、有害的信息进行传播，避免公用通信网络上大量自由传播的信息失控。本质上是维护道德、法律和国家利益。网络上信息内容的安全，即狭义的“信息安全”。它侧重于保护信息的保密性、真实性和完整性，避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为，本质上是保护用户的利益和隐私。显而易见，网络安全与其所保护的信息对象有关。网络安全、信息安全和系统安全的研究领域是相互交叉和紧密相连的。因此，网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在功用通信网络中传播、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。1.2.2安全网络的特征(1)保密性信息不泄露给非授权的用户、实体或进程。数据保密性是保证只有授权用户可以访问数据，而限制其他用户对数据的访问。数据保密性分为网络传输保密性和数据存储保密性两个方面。(2)完整性数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。目的是保证计算机系统上的数据和信息处于一种完3整和未受损害的状态。(3)可用性可被授权实体防卫并按需求使用的特性，即当需要时能否存取和访问所需的信息。(4)不可否认性也称不可抵赖性，即所有参与者都不能否认和抵赖曾经完成的操作和承诺。(5)可控性是人们对信息的传播途径、范围及其内容所具有的控制能力，即不容许不良内容通过公共网络进行传播。1.2.3网络安全体系结构模型一个网络安全体系的建立应在对网络的全面了解之上，按照安全策略的要求及风险分析的结果，整个安全措施应按系统体系建立。安全体系结构由三个方面组成:物理安全、网络安全和信息安全，具体构架分别如图1.1、1.2、1.3所示。物物物环境安全全电子计算机机房设计规范理理理理计算机场地技术条件安安安安计算机场地安全要求全全全全全全全全全全全全全全全全全全全全全全全全全设设设备安全全电源保护护防防防防盗、防毁、抗电磁干扰扰防防防防电磁信息辐射泄露、防止线路截获获媒媒媒体安全全媒体数据安全全媒媒媒媒体本身安全全图1.1物理安全构架网网网系统安全全反病毒毒系统安全检测测络络络(主机、服务器)入侵检测测安安安安安审计与分析析全全全全全全全全全全全全全全全全全全全全全全全全全全网网网络运行安全全备份与恢复复应急、灾难恢复复局局局域网、子网安全全访问控制制网络安全检测测(防火墙)图1.2网络安全构架信信信信息传输安全全数据加密密数据完整性的鉴别别防抵赖赖息息息(动态安全)安安安安安安安安安安安安安安安安安安安安安安安安安安安安安全全全信息存储安全全数据库安全全终端安全全(静态安全)信信信息的防泄密密信息内容审计计用用用户户鉴别别授权权图1.3信息安全构架1.2.4网络安全体系结构框架计算机网络系统安全体系结构框架反映信息系统安全需求和体系结构的共性，其构成要素是安全特性、系统单元及051参考模型的结构层次。图1.4所示为三维信息系统安全体系结构框架。安全特性系统单元图1.4信息系统安全体系结构框架1.3课题主要研究内容及预期目标本课题的主要研究内容:(1)针对大连港网络现状进行分析，重点对其存在的安全风险进行详细分析，包括物理安全风险分析、网络安全风险分析、系统安全风险分析、应用安全风险分析、外部侵害、管理安全风险分析等六大方面，通过分析得到大连港网络安全需求。(2)针对网络安全方案基本设计原则进行研究和探讨，并主要从物理安全、访问控制、数据保护、病毒防护、备份恢复、安全管理等六个方面对网络安全方案进行分类描述。(3)针对大连港实际情况，提出大连港网络安全方案设计的设计原则。在此前安全风险及需求分析的基础上，重点从以下七个方面分别进行具体安全方案设计，包括:物理安全方案设计、网络结构安全方案设计、网络系统安全方案设计、防黑客方案设计、网络防病毒方案设计、建立网管中心、安全管理方案设计等。本课题研究的预期目标:(1)使用防火墙，实现对工nternet和港外网络的隔离和访问控制。(2)网络防病毒系统的使用，构建全网的防病毒体系。(3)为网络添加入侵检测系统、漏洞扫描系统、网管测试系统与安全审计系统，达到对整个网络监控的作用。(4)建立完善的备份机制，以防止突发事件的发生。(5)按照国家有关技术标准进行机房环境和场地条件进行建设，加强物理安全防护。(6)建立完善的安全管理机构及管理制度，强化安全管理。从而基本实现大连港网络安全的目标。第2章大连港网络结构及安全分析2.1大连港网络结构大连港集团有限公司(以下简称大连港)的网络属于大型网络，覆盖面广，下设大港区、大连湾、大窑湾等许多分支网络，其中大连湾、大窑湾是通过ZM微波线路连接到大连港网络内部，其余全部通过光纤同大连港网络主干连接。目前，港内已建成了以集团机关为中心，连接各主要单位的计算机主干网。.目前全港联入计算机主干网的单位有:大港，寺儿沟，黑嘴子，香炉礁，甘井子，大窑湾，大连湾，新港，铁路，轮驳，物资，外理，机械，客运，通信，电力，港湾，监理，日兴，港华等公司，以及档案中心，引航站，港报社等。其中，大窑湾和大连湾仅通过M2微波通信链路与集团中心连网，速率很低。.除前面这些单位以外，还有38个单位仅财务部门联入主干网。另有19个单位的财务部门通过电话拨号联入港内主干网。.集发公司，DCT等通过光缆从防火墙外联入港内主干网。.有部分单位通过工SND或电话拨号经代理服务器联入互联网。.还有大量CP机通过电话拨号上网，拨入港内5000号，以及16900，165等等。.港内的基层单位分布较广，有些单位没有直接连接在主千光纤网络上，因业务需要，通过电话拨号联入港内网络，如客运滚装售票，外理场站，组织人事，工会等部门。这些联网方式中很多没有经过防火墙保护，给港内计算机网络的安全带来隐患。一些单位有自己的访问服务器，可接受电话拨号入网，但同时又没有任何安全防护，因此也存在安全隐患。集团公司连接互联网后，需要解决大窑湾和大连湾两地与集团中心的计算机通信扩容问题，也要解决相应的网络安全问题。整个网络的大体拓扑图如图2.1所示:图2大连港网络结构拓扑图2.2大连港网络安全风险分析由于网络的发展，各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用、网络服务器的可靠性等因素密切相关。网络安全风险主要从以下几个方面进行分析:2.2.1物理安全风险分析物理安全是整个网络系统安全的前提。物理安全的风险主要有:()l地震、水灾、火灾、雷击等自然灾害;(2)电源或硬件故障;(3)人为操作失误或错误;(4)设备被盗、被毁或超负荷运转;(5)电磁辐射、干扰;(6)线路盗用及搭线窃听:2.2.2网络安全风险分析网络安全涉及到网络拓扑结构、网络路由状况及整个网络环境等的安全。与公网连接面临的威胁大连港对外有相应的Wbe、Mail等重要服务器，如果这些机器被攻破，不但对大连港的声誉造成很坏的影响，并且还需要投入很多人力物力来恢复整个网络。因此，有必要对外网也要采取相应的措施，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝，这些可以通过合理的配置防火墙而得到实现。网络内部不同安全域之间互联的安全风险大连港网络有自己的内部办公系统，包括业务部门、财务部门、技术部门、档案中心、办公室等多个部门，由于各部门职责不一样，存在的安全性质也可能不一样。如果存在着不同的安全级别需求，而实际互联中又没采取相应的安全措施，即不同安全域之间没有加以隔离及采用必要的访问控制，则可能因为相互之间的自由访问而造成网络间的攻击事件。2.2.3系统安全风险分析所谓系统的安全是指整个网络操作系统、网络硬件平台是否可靠且值得信任。当然对于我国来说，恐怕没有绝对安全的操作系统可以选择，无论是Mierosoft的Windows或者其它任何商用的UNIX、NETwARE等操作系统，其本身就存在许多安全漏洞，而且其开发厂商必然也有其BaCk一D。r，这些“后门”或安全漏洞都给网络带来重大安全隐患。虽然说没有绝对安全的操作系统，但是，系统的安全程度与对其进行安全配置、管理及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易，这需要相当高的技术水平及相当长时间。在2001年5月份中美黑客大战中，很多攻击网站事件都是利用微软HS应用系统的Unicode漏洞。还有很多邮件的攻击事件也是由于Exchnageserver、LotusDomino等应用系统存在安全漏洞而发生的。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案，同时要及时了解业界新闻，以便及时修补被发现的漏洞。从另外一个角度讲，一个工作组的打印服务器和一个机要部门的数据库服务器的选择标准显而易见是不可同日而语的。不同的用户应从不同的方面对其网络作详尽的分析，以正确评定资金流向。比如，硬件服务器，由于服务器需要进行日常的维护与管理及内容更新，这就要求系统管理员或服务提供者能登录到服务器上。对此类访问服务器不应拒绝。在使用防火墙之前，服务器通过简单静态的口令字进行身份鉴别(如使用服务器或数据库的认证机制)，一旦身份鉴别通过，用户即可访问服务器。侵袭者可以通过以下几种方式很容易地获取口令字:一是内部的管理人员因安全管理不当而造成泄密;二是通过在公用网上搭线窃取口令字;三是通过假冒，植入嗅探程序，截获口令字;四是采用字典攻击方式，获得口令字。侵袭者一旦掌握了某一用户口令字，就有可能得到管理员的权限并可造成不可估量的损失。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证(特别是在到达服务器主机之前的认证)，确保用户的合法性;其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。2.2.4应用安全风险分析应用安全是指主机系统上应用软件层面的安全，如:Wbe服务器、办公自动化系统、电子邮件系统、数据库、财务软件系统、防病毒软件等的安全问题。应用系统软件的引入给用户带来方便的同时，也给网络带来新的威胁，这是因为大部分Internet应用系统软件没有进行很好的安全性设计，且网络服务器程序经常要用超级用户特权来执行，这便造成诸多安全问题。如何防范应用系统软件引入的安全问题?如何更好的发挥应用软件的功能?这是迫切需要解决的一个问题。同时互联网的高速发展，使之成为了病毒传播的主要途径，每一个信息点都可能导入不安全因素，比如说病毒和黑客程序，一旦出现问题，后果将不堪设想。网络资源共享应用风险l0大连港网络内部用户之间必定会用到共享网络资源以提供办事效率。那么，内部办公网络中就可能存在着:员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。或者某个员工把一些木马程序偷偷放到他人计算机的共享目录中，诱导他人去执行，然后控制他的机器电子邮件系统应用风险由于电子邮件的应用是比较广泛的，内外用户间的信息传递，就存在被黑客跟踪或收到一些特洛伊木马、病毒等来历不明的程序。如果没有采用防病毒系统或者因为许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，让黑客掌握了系统的主动权，给系统带来不安全因素。另外接入互联网，还会遇到来自各方面的垃圾邮件，干扰内部合法用户的日常工作。用户使用的安全风险许多网络系统的最基本的安全性是要求对使用者的合法身份进行验证，比如登录网络需要输入用户名及口令;管理一个应用系统也需要输入用户名及口令。如果用户在设置自己的网络系统时为了便于记忆而采用个人身份特征的相关信息作为用户名或者口令字(如名字的全拼或者简拼，口令用生日、电话号码等)。还有用户在临时离开电脑时，没有退出相应网络系统界面或者关机，可能在这个时间差的时间内就发生了信息泄漏或者攻击事件。因此，用户加强自身网络安全意识，加强网络应用每个环节的安全验证是降低网络安全风险的必要手段。数据信息安全风险数据信息的安全性涉及到，机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。对于大连港网络来说，主要保护对象也是数据信息。对重要的个人数据或者是应用数据库，如果没有进行必要的保护就有可能被非法窃取。用户硬盘上的数据，光盘、磁带保存的数据都可能被窃取或者破坏。应用系统的安全是动态的、不断变化的。应用的安全涉及面很广，以目前工nterne七上应用最为广泛的E一mail系统来1l说，其解决方案有sendmail、NetseapeMessagingServer、Software.ComPos:.offiee、LotuSNotes、ExehangeServer、SUNCIMS等不下二十多种。其安全手段涉及LDAP、DES、RAS等各种方式、但其系统内部的编码甚至编译器导致的UBG是很少有人能够发现的，因此一套详尽的测试软件是相当必须的。此类软件可以理解为一套专用的扫描器，通过扫描inet服务的各个端口并利用软件编制人员的经验和对系统的熟悉程度，对扫描结果作出详细的报表。其内容类似如下:被扫描对象的那些危险端口正在应用，被扫描对象的那些应用具有危险性，如何防止以上漏洞。但是应用系统是不断发展且应用类型是不断增加的，其结果是安全漏洞也是不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。对于重要信息的通讯必须授权，传输必须加密。必须采用多层次的访问控制与权限控制手段，实现对数据的安全保护，同时采用加密技术，保证网上传输的信息(包括管理员口令与帐户、上传WWW信息等)的机密性与完整性。2.2.5外部侵害2.2.5.1黑客攻击黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服务器软件，得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后，有可能修改特权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能开发欺骗程序，将其装入UNIX服务器中，用以监听登录会话。当它发现有用户登录时，便开始存储一个文件，这样黑客就拥有了他人的帐户和口令。这时为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问料w页面文件以外的东西。这可以通过采用防火墙技术来实现。2.2.5.2病毒的攻击计算机病毒一直是计算机安全的主要威胁。能在工ntenret上迅速广泛传播的新型网络病毒，例如funlove、Codered、n加da等病毒，增加了这种威胁的程度。而且病毒的种类和传染方式也在增加，目前的病毒总数己达数万甚至更多。因此l2下载可执行文件和接收来历不明的E一Man文件时需要特别警惕，否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一个可怕的例子。2.2.5.3恶意代码恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意运行的软件。应该加强对恶意代码的检测。2.2.5.4非授权访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。2.2.5.5信息泄漏或丢失是指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏(如”黑客“们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。)，信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。2.2.5.6破坏数据完整性以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应;恶意添加，修改数据，以干扰用户的正常使用。2.2.5.7拒绝服务攻击它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。2.2.6管理安全风险分析管理是网络安全中最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管l3理上却没有相应制度来约束。内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房重地如果允许任何人都可以来去自由，那么存有恶意的入侵者便有机会得到入侵的条件。内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。缺乏必要的奖惩制度，或者法律制度来约束内部员工或者外部用户的个人破坏行为。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。通过以上对网络安全风险的分析，如果网络的这些安全风险被利用来攻击，将会对大连港网络信息系统带来以下结果:引起非大连港网络用户的非法访问;内部合法用户假冒他人(不同权限用户)进行非授权访问;非法用户或者不信任用户通过窃听方式窃取网上传输的信息;从物理上破坏网络设备、传输线路等网络环境，导致网络系统的不可用;利用网络系统存有的漏洞进行恶意攻击或者拒绝服务攻击，影响网络系统服务的及时性;恶意修改大连港网络对外开放的宣传窗口，影响大连港网络在社会中的形象。建立全新的网络安全机制，必须深刻理解网络并能提供直接的解决方案，l4因此，最可行的做法是管理制度和技术解决方案的结合。2.3安全需求分析相对应于前面的安全风险分析，可以推得网络系统的安全需求同样有以下几个方面:今网络运行安全在机房环境、场地条件等方面实现。令网络信息的安全信息的分级保护;信息的保密;信息的完整与真实;身份鉴别;对网络信息的访问权限控制;网络信息的可用性。令管理控制的安全具体的安全需求主要有:访问控制需求:.由于大连港网络与nIterne七相连，所以必须在内部局域网与外部互联网之间进行隔离和访问控制。.由于大连港网络中各个节点的重要性与权利责任各不相同，因而各节点网络之间应进行相应的隔离和控制。对内部局域网的用户必须经过授权后才可访问大连港内部网络的限定资源。身份鉴别与权限控制需求:提供网络范围内用户身份与应用之间的双向认证，保证用户资源不被非法、非授权的人员访问和使用。令病毒防护:保护网络中的计算机系统不受计算机病毒的侵害。今入侵侦测与监控:对网络中的信息发布业务、对内部局域网中重要网段上的服务器，应进行重点保护，防止非授权用户对其进行非法操作和恶意攻击，并对攻击行为进行识别、实时响应。l5令信息审计与记录:提供针对用户网络操作的监视、记录与统计，根据用户身份和应用活动进行审计。今安全风险评估:能够根据运行状况和各种记录日志不定期地对整个网络安全风险进行评估，确定整个网络所能达到的安全等级，以便对安全策略进行优化。个安全备份与恢复:保护网络中的数据库及公开姗W服务器，防止其上的信息被非法篡改，保护系统运安全。令统一管理全网:管理最重要，能实现集中统一对全网的管理，对于象大连港这样的大型网络，统一管理不但提高效率，同时也降低了安全风险。2.4网络安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即:.威严的法律:安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。.先进的技术:先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。.严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。为满足网络的安全需求，须在项目建设时根据网络项目组的具体管理要求，制定出明确的系统安全策略。安全策略分为安全管理策略和安全技术实施策略两方面:.管理策略:安全系统需要人来实现，即使是最好的、最值得信赖的系统安全措施，也不能由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。.技术策略:技术策略要针对网络、操作系统、应用系统、数据库、信息共享授权等提出具体的安全保护措施。l62.5安全目标大连港网络安全策略，是针对大连港网络内部业务需求的有关信息所面临的和潜在的来自网络内部和外部的安全风险，结合对需要保护的各类信息及可承受的最大风险程度分析，制定和各类信息(系统)安全需求相应的安全目标，建立实现安全目标的安全模型和安全等级，并对信息安全进行评估，达到风险、安全与投资的最佳平衡。具体安全目标为:一是，实现不同网络或不信任域之间的隔离。二是，各节点应采用网络防病毒系统，构建起一套完整的防病毒体系。三是，采取内、外网隔离的方式防止涉及秘密的信息泄露。四是，建立完善的安全管理机构及安全管理制度，强化安全管理，提高全体人员的网络安全意识和防范技术。2.6小结本章针对大连港网络现状进行分析，重点对其存在的安全风险进行详细分析，包括物理安全风险分析、网络安全风险分析、系统安全风险分析、应用安全风险分析、外部侵害、管理安全风险分析等六大方面，继而得到大连港网络安全需求。第3章安全方案设计描述3.1安全系统基本设计原则3.1.1综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。3.1.2需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。3.1.3一致性原则一致性原则主要是指网络安全问题应用与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。3.1.4易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。3.1.5分步实施原则由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。3.1.6多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。3.1.7可评价性原则如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。3.2安全方案分类描述通过对网络系统的全面了解，按照网络风险分析结果、安全策略的要求、安全目标及整个网络安全方案的设计原则，整个网络安全措施应按系统整体建立。具体的安全控制系统由以下几个方面组成:3.2.1物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:令环境安全:对系统所在环境的安全保护，如区域保护和灾难保护;(参见国家标准GB50173一93电子计算机机房设计规范、国标GB2887一89计算站场地技术条件、GB9361一88计算站场地安全要求)令设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;令媒体安全:包括媒体数据的安全及媒体本身的安全。可主要通过几个方面来实现:令机房环境和场地安全方面达到标准令制订严格的机房管理制度3.2.2访问控制访问控制可以通过如下几个方面来实现:令制定严格的管理制度，如用户授权实施细则、口令字及帐户管理规范、权限管理制度等。今配备相应的安全设备，在各节点网络的出口处或网络内部不同安全域之间安装防火墙设备。防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间，是不同网络或网络安全域之间信息的唯一出入口。防火墙一般利用PI和TCP包的头信息对进出被保护网络的P1包信息进行过滤，能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审计与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。防火墙可以通过包过滤，进行基于地址的粗粒度访问控制，同时，还可以通过S/Key一次性口令对用户身份进行鉴别，既而实现基于用户的细粒度访问控制。令使用应用代理，对于大连港内部网络中的互联网用户，可以使用防火墙的应用代理功能。3.2.3数据保护数据保护所包含的内容比较广，除了前面讲过的通信保密和访问控制外，还包括以下几个方面:制定明确的数据保护策略和管理制度保护策略和管理制度有:系统信息安全保密等级划分及保护规范、数据安全管理办法、上网数据的审批规定。3.2.安全设备与机制3.1文件加密系统目前，个人计算机的安全性非常差，文件对本机的所有用户都是开放的，既没有加密，也没有权限控制。因此，实现CP机上文档的安全保护是构建安全系统的一个重要部分。通过文件的加密存储，控制文件的访问者，增加文件的安全性，对文件进行保护。3.2.3.2.数据库安全数据库安全保密系统是在目前流行的通用数据库(如SYBASE)基础上增加控件，以实现对数据库的访问/存取控制及加密控制等。其主要安全功能有:身份鉴别:系统对用户身份进行识别和验证，以阻止非法用户访问系统;访问控制:阻止合法用户对其权限范围外的信息进行非法访问，并设置了角色控制和强制访问控制两层控制机制;密码机制:通过对数据库中的数据进行加密，保证数据的机密性，并能发现数据的非法修改;文电管理:指用户之间可以通过数据库进行通信，在文电处理中有以下安全机制:防假冒、防抵赖、防篡改、防泄漏。该系统可需要根据大连港网络的具体应用进行二次开发。3.2.3.3.服务器灾难恢复为了保护重点服务器的完整性，防止其上的信息被非法篡改，保护系统运行安全，应使用服务器灾难恢复系统。服务器灾难恢复系统可以将服务器上的重要信息进行备份，并定期检测服务器上的信息内容的完整性，一旦发现信息被非法篡改，就会使用原始数据对服务器进行灾难恢复。该系统尤其适合于大连港网络中对外发布信息的WWW服务器和内部重要的服务器系统。也可以用于其他基于文件系统的服务器，如FTP、E一mail和DNS服务器等。3.2.4病毒防护防病毒措施主要包括技术和管理方面，技术上可在服务器中安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器。管理上应制定一整套有关的规章制度，如:不许使用来历不明的软件或盗版软件，2l软盘使用前要首先进行消毒等。只有提高了工作人员的安全意识，并自觉遵守有关规定，才能从根本上防止病毒对网络信息系统的危害。具体可通过以下几方面来实现:制订防病毒制度、措施和病毒侵害的应急计划网络防病毒体系为了使大连港网络免受病毒侵害，保证网络系统中信息的可用性，必须构建一个从主机到服务器的完善的防病毒体系。首先，在Client/Server的网络系统结构中，服务器作为网络的核心，为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机。所以应重点加强对服务器进行保护，安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力。其次，在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器。这样，由单机防毒到网络防毒，再加上防病毒制度与措施，就构成了一套完整的防病毒体系。3.2.5备份恢复备份恢复主要通过以下方面来实现:令制订完善的安全备份管理制度管理制度有:系统安全备份规范，数据介质保存规定。令主要技术途径对重要设备进行设备备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。一般的数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质;二是增量备份，只备份那些上次备份之后更改过的文件，是最有效的备份方法;22三是差分备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带，最后一次全盘备份的磁带和最后一次差分备份的磁带就可恢复。在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份;另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。在进行备份的过程中，常使用备份软件，它一般应具有以下功能。保证备份数据的完整性，并具有对备份介质的管理能力;支持多种备份方式，可以定时自动备份，还可设置备份自动启动和停止日期;支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描)，以保证备份的正确性;提供联机数据备份功能;支持RAID容错技术和图像备份功能。3.2.6安全管理安全管理主要通过如下几个方面来实现:令制订安全管理策略和原则(1)多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动:23访问控制使用证件的发放与回收;信息处理系统使用的媒介发放与回收;处理保密信息;硬件和软件的维护;系统软件的设计、实现和修改;重要程序和数据的删除和销毁等;(2)任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3)职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制;访问证件的管理与其它工作;计算机操作与信息处理系统使用媒介的保管等。令管理制度除了前面谈到的管理策略和制度外，须制定的管理制度还有:(1)信息安全领导小组职责和工作制度(2)信息安全领导小组办公室职责和工作制度(3)企业中心信息安全管理员岗位设置和岗位责任(4)企业各站点系统安全员岗位设置及岗位责任(5)安全事故处理程序规定24(6)操作系统、数据库安全管理规范(7)涉外应用计算机系统的安全管理(8)应急计划(9)防火墙的安全管理规范(10)信息系统(网络)安全性评估规范(11)系统风险评估与安全需求分析要求(12)专用安全设备管理制度(13)安全事故处罚规定3.3小结本章就网络安全方案基本设计原则进行研究和探讨，并主要从物理安全、访问控制、数据保护、病毒防护、备份恢复、安全管理等六个方面对网络安全方案进行分类描述。下面将依据大连港实际情况，从不同角度详细描述大连港网络安全设计方案。第4章大连港网络安全方案设计通过对大连港网络结构、网络应用的全面了解，按照安全风险、需求分析结果、安全目标及安全设计原则，为大连港网络安全进行规划，构建一个适合于大连港网络的安全体系。具体的安全系统结构可以从以下几个方面分述:4.1物理安全方案设计保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。4.1.1机房防雷系统保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提，其中防雷、防静电是网络安全的一个重要环节，国家有关部门也逐渐把这项工作列入到有关标准中。大连港计算机系统在建设中，由于历史的和技术的原因，主要依赖于所在建筑物采取的一些防雷措施，对计算机电源系统、信号输入系统、接地系统防雷电措施没做考虑。在实际应用过程中，传统防雷技术带来的隐患和事故屡有发生，例如94年、95年、2000年新港公司、大窑湾公司、DTC的计算机、通讯设备先后遭到雷击出现设备损坏现象，2000年大窑湾公司计算机设备遭受一次雷击直接经济损失就达7万余元。因此对我港计算机网络系统加强防雷击保护势在必行。由于此前大窑湾机房已经发生过因遭到雷击导致计算机及其网络设备损坏的情况，因此，集团中心机房和大窑湾机房作为全港网络的中心，安装防雷系统是十分必要的。在此基础上，再给其他各主要单位机房安装防雷系统。4.1.2主干网络设备的冗余备份由于网络建设初期经费有限，因此，虽然全港主要服务器全部实现了双机备份，但主千网络设备还都是单机运行。一旦某一主交换机出现故障，将导致整个生产系统及网络的中断。因此，必须对主干网络设备进行冗余备份。4.2网络结构安全方案设计网络结构的安全主要指:网络拓扑结构是否合理;线路是否有冗余;路由是否冗余，防止单点故障等。网络在设计或者安全设计时，要求对不同用途的子网、不同安全需求的子网进行有效的分布。把具有相同的安全需求的主机分布划分在同一子网，即区别出不同的安全域、安全等级。只有比较好地考虑了这些因素，比较合理地分布大连港网络的整体网络结构，才能将由于网络结构存在的安全风险大大降低。4.2.1配备防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙的位置，是安装在内部网络的出口处，而且串在两个网络或者安全域之间，两个网络之间的通讯都经过防火墙。利用防火墙网络地址转换功能，可以隐藏内部网的网络结构，可以对所有的访问行为进行检查和过滤，防范不安全的访问行为进入内部受保护网络或者主机。防火墙作为内部网络安全的屏障，其主要目标是保护内部网络资源，强化网络安全策略;防止内部信息泄露，黑客和其它外部入侵;提供对网络资源的访问控制:提供对网络活动的审计、监督等功能。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制、可以针对时间、流量进行访问控制，过滤一些不安全服务。甚至通过透明应用代理，或以对高层应用协议进行较细粒的访问控制和过滤。同时利用防火墙网络地址转换功能，可以隐藏内部网的网络结构，以及解决可用的合法PI不足等问题。4.2.2统一互联网出口通过工nternet可以把遍布世界各地的资源互联互享，但因为其开放性，在工nternet上传输的信息在安全性上不可避免地会面临很多危险。越来越多的企业把自己的商务活动放到网络上后，而对网络系统的各种非法入侵、病毒等活动也随之增多。由于目前港内有些单位有自己的工nternet出口，并且没有任何防护，给网络27安全带来了极大的隐患。因此，集团公司应建立统一的并且唯一的Internet出口，港内计算机只允许经统一出口访问因特网。上网用户必须由全港统一出口访问互联网。少数没有连入主干网的CP如因工作需要访问互联网，应先拨号到中心机房进入港内网络，经认证确认后由统一出口访问互联网。为防止私自上网，特别是私自拨号上网。应对全港计算机的上网情况进行有效管理。利用程控交换机限制单位的电话线路，使所有电话都不能拨号到任何网站，如16900、96163、96161、165等等。综上所述，统一互联网出口应做到以下几点:(1)在集团中心机房建立统一的工nternet出口。(2)已经连入主千网的PC机应由全港统一出口访问互联网。(3)没有连入主干网的CP机需要访问互联网，应先从统一拨号入口进入港内网络，再由统一出口访问互联网。(4)集团公司采取措施禁止拨号到港外网站。4.2.3统一拨号入口港内的基层单位分布较广，有些单位没有直接连接在全港的主干光纤网络上，需要通过拨号进行连接。一些单位有自己的访问服务器，可接受电话拨号入网，但同时又没有任何安全防护，因此存在安全隐患。建议集团所属各公司不保留拨号服务器，由集团中心机房为全港提供拨号服务。在拨号服务器与港内网络之间用防火墙隔离，保护内部网络的安全。大窑湾机房可在现有的防火墙外设置拨号服务器，为大窑湾地区的港内用户提供联入港内网络的拨号接入服务。大窑湾周围用户拨入大窑湾机房要比拨入集团中心机房节约较多电话费。各单位己经连入全港主干网的本地局域网，不应建立自己的电话拨号接入口。确有特殊需要的应报集团办审批，经批准后可将拨号接入设备隔离在本单位防火墙之外。各单位没有连入全港主干网的本地局域网，在保证安全的情况下可以保留拨号接入口，但以后连入全港主干网后应取消本地拨号接入。28客运站售票系统已使用多年，该系统已连接因特网，用户可从网上购票，也可通过电话拨号购票。因担心售票系统的安全问题，客运站一直未与港内联网。考虑到售票系统的特殊性，复杂性和对安全性的较高要求，本方案建议保留售票系统及其拨号系统不动，购置一台防火墙，将客运站售票系统隔离在大连港内部网之外，而客运站其它办公用CP机位于防火墙之内，并与港内连网。大连湾地区目前还没有拨号接入需求，以后如有需要，可根据具体情况考虑。这样，本方案仅在集团中心和大窑湾两处提供拨号接入服务，而客运站售票系统的拨号接入作为特例予以保留。三个地点的拨号访问服务器均在防火墙之外，以保证安全。拨号用户在拨号成功后，即可以进入防火墙访问港内网络，进行数据操作。这些用户也同港内其它用户一样，如果有访问互联网的权限，即可通过统一互联网出口上网。实现了统一拨号入口后，在集团中心和大窑湾两个机房需要配备一些访问服务器，为全港提供拨号服务。为了节约费用，目前可利用各单位现有的闲置未用的访问服务器。如大港、黑嘴子、香炉礁、新港、轮驳、甘井子公司各有一台Cisco2610访问服务器，这些设备的固定资产已划在各公司，可重新划归集团统一使用。将来用户增加，这些设备也不够用时再购置新设备。港外单位、合资公司或相对独立的单位与港内联网时，应该用防火墙隔离。这些单位隔离在大连港的防火墙之外，因此可不受上述集团公司内部统一互联网出口和统一拨号入口的规定限制。比如DTC，集发公司等。综上所述，统一拨号入口应做到以下几点:(1)集团公司机房和大窑湾机房的防火墙之外建立全港的统一拨号入口。(2)部分公司闲置未用的拨号服务器，调集团公司统一使用，作为拨号入口设备。(3)各单位已经连入全港主干网的本地局域网，不应建立自己的电话拨号接入口。(4)各单位没有连入全港主干网的本地局域网，在保证安全的情况下可以保留拨号接入口。29(5)保留客运售票系统的拨号接入，购置一台防火墙，隔离售票系统。4.2.4财务系统安全由于财务系统应用的特殊性，为保证财务数据的安全性，应使财务部门的计算机与其它部门的计算机隔离，即为各单位的财务部门划分独立于其它部门的子网。目前集团中心，大窑湾，大连湾，香炉礁，甘井子，黑嘴子，大港，新港，铁路，轮驳，外理，等十几个主要单位的财务部门，都已有独立子网。其它还有三十多个单位仅财务部门已连入主干网，它们都没有划分独立子网。要解决这一问题，其中有些单位需要增加具有网络管理功能的交换机，而有些单位只需多铺设一条网线，利用其它单位的交换机实现。4.2.5大窑湾大连湾通信链路备份大窑湾新港地区与集团中心的计算机通信目前仍依靠ZM带宽的微波通讯链路。该地区单位较多，包括大窑湾公司、新港公司、外理分公司、铁路分公司、轮驳分公司、DTC，以及正在建设的30万吨矿石码头、30万吨油品码头、汽车码头、大窑湾集装箱二期等多个在建项目。现在使用的M2带宽仅能满足目前的生产应用需要，不能满足该地区各单位上互联网的需要，可能会影响港内生产应用系统。因此必须扩充该通信链路的网络带宽。经多方调研，从集团中心到大窑湾的通信链路扩容问题目前有以下几种解决方法:第一种是采用计算机无线通信技术，新建计算机专用的无线通信链路，速率为1IM。该方案的缺点是需要在无人值守的大窑湾山上建立无线通信转发站，又由于山上没有电源而只能采用太阳能设备供电，可靠性与日常维护都难以保证。第二种是租用电信光缆。此方式租用的带宽越大，费用越高，M2带宽每月的租用费为4000元，SM每月为11000元。第三种是利用港内现有的通信微波设备扩容。该设备目前除了用于电话通信以外，仍有10M以上的容量可用于计算机数据通信。综合上面几种方法，考虑到大窑湾地区的重要性，特别是该通信链路还承担着EDI系统的数据传输，可靠性要求很高，提出下面解决方案:利用港内现有的通信微波设备将该链路带宽扩充为1M0，作为主要数据通道。同时租用M2带宽的电信光缆作为备用数据通道。备用通道作为主通道的热备份，在主通道故障时自动接管数据传输任务，保证生产应用系统和EDI系统的正常运行。本方案利用港内电话通信网现有微波设备的闲置未用的通信容量，仅购置两台协议转换器用于在传输链路两端将通信数据转换为计算机数据，不需购置新的微波设备，节约大量费用。此方案还需要将数据从大连港招待所17楼顶的微波设备传送到集团公司中心机房。目前是用两条配有光端机的光缆传送，从17楼顶到通信公司2楼通讯机房，再从通信公司到集团公司办公楼6楼中心机房。其中后一条光缆的光端机尚有1M0余量可用，而前一条已无余量，需从大连港招待所17楼顶铺设光缆到通信公司2楼通讯机房，再购置一对光端机。大窑湾港务公司需要从9楼微波机房铺设5条通信同轴电缆到3楼计算机房。还需要两台协议转换器用于在传输链路两端将通信数据转换为计算机数据。见图4.1，图中加黑的光端机和转换器为需要采购设备。图4.1大窑湾通信链路简图大连湾地区与集团中心之间的数据通道也只有一条M2微波链路，考虑冗余备份，可与大窑湾一样租用一条M2速率光缆。4.3网络系统安全方案设计系统安全通常包括网络操作系统以及网络应用系统的安全。4.3.1网络操作系统安全对于网络操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统，并进行必要的安全配置，如:关闭一些并不常用却存在安全隐患的应用、服务及端口。对一些保存有用户信息及其口令的关键文件(如UNIX下:/.rhost、ete/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令)，并及时给系统打补丁、系统内部的相互调用不对外公开。4.3.2应用系统安全32在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、TFP、TENLTE、RLOGNI等服务。还有就是加强登录身份认证。确保用户使用的合法性;并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。同时还要及时升级各种已经发布的升级补丁程序，减少因为升级过程周期长而带来攻击事件的发生。4.4防黑客方案设计4.4.1入侵检测系统工DS是一种网络安全“设备”，它能够通过实时分析流量，检测出网络上的非法活动，如黑客攻击，从而保证用户快速地对安全漏洞进行响应。当非法活动被检测到以后，传感器向管理控制台发出带有活动详细内容的告警信息，然后控制其它系统，如路由器，断开非法对话。IDS安装在网络的重要位置，用于网络监视，实时分析网络流量，通过基于广泛和内置特征库检查异常和误用行为，特征库可以灵活地更改和添加。在系统检查到未授权的行为时，DIS可以自动地中止连接，永久关闭攻击主机的通信，记录事件并报警给导向器策略管理器。网络中其它的合法连接不受事件的影响，保持正常工作。传感器可以放置在其它安全设备不能发挥作用的地方，如:内部网段、防火墙的前面、防火墙的后面、拨号Mdoem服务器的后面、外部网连接处等。传感器几乎可以放置在整个企业网络的任何网段上，在那里需要可视化的安全措施。DIS可以将通过传感器得到的数据收集分析，从中得出敏感的流量信息，并对这些信息进行相应的处理，主要的处理方法如下:一是，对可疑信息做记录(lgoging)，并同时通知管理人员进行相关处理。二是，通过与PIX、边界路由、核心交换机等设备的互动，实现对可疑连接的拒绝，可以是复位一个连接，可以是暂时中断这个地址的通信等等。针对大连港的实际情况，配置两台工DS设备，分别放置于集团中心机房与大窑湾中心机房，监测内网的异常情况。4.4.2漏洞扫描系统此类软件可以理解为一套专用的扫描器，通过扫描各个端口并利用软件编制人员的经验和对系统的熟悉程度，对扫描结果作出详细的报表。其内容类似如下:被扫描对象的哪些危险端口正在使用，被扫描对象的哪些应用具有危险性，如何防止以上漏洞等。4.4.3主机检测系统集团公司中心机房的外网WEB服务器和邮件服务器，对外提供服务，容易受到外来攻击。采用主机入侵检测系统，可以最大限度地、全天候地监控和分析服务器的安全问题。它能捕获安全事件，给予适当的响应，阻止非法的入侵行为，保护企业的信息资产。LkniTrust主机入侵检测系统采用了新一代的检测技术，是较先进的实时入侵检测系统。检测WEB服务器和邮件服务器，需购买两套该系统，安装在一台作为监测控制台的PC机上。4.5网络防病毒方案设计由于在网络环境下，计算机病毒传播速度快得.惊人，例如美国刚报道某种病毒危害很大，有可能在他报道些消息时，该病毒已经传入中国，网络就是这么神奇。计算机病毒有着不可估量的威胁性和破坏力。在大连港网络系统中，办公系统用的操作系统一般为WNIDWOS系统，而W工NDOWS操作系统下的病毒程序又是最多。因此计算机病毒的防范也是网络安全建设中必须考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术:.预防病毒技术预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。.检测病毒技术检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等)，来确定病毒的类型。.杀毒技术杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进宁了频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施(清除、更名或删除)，防止病毒进入网络进行传播扩散。防病毒系统的使用可以防范病毒的侵害。但新病毒会随着时间的推移不断出现。这就要求安全管理员或者使用者必须及时通过网络或者其它方式对防病毒系统进行更新、升级。以便防病毒系统能够查杀各种最新的病毒。4.6建立网管中心大连港计算机网络规模较大，分布几十公里，网络环境复杂，其中含有光缆、双绞线、电话线、微波等多种传输介质，有以太网、快速以太网、千兆以太网、FDDI、TCP/IP等多种网络协议，有WINDOWSNT、W工N2000、UN工X等多种网络操作系统，为保证这样大型网络的安全稳定运行，应该建立一个网络管理中心，负责全港网络日常管理。A、网管中心需要一台服务器，用于管理网络设备和检测网络故障。B、网络测试仪升级，并增加必要的功能，适应集团大型网络管理的需要。optivlew升级为增强型增加跨VLAN测试选件OPV一VALN，实现跨子网远程管理。大连港网络划分为几十个子网，网管人员可在集团公司机房管理各基层公司的子网。增加广域网测试选件OVP一WV，测试广域网故障。增加OPt1View网络控制台软件，该软件动态地监测并记录网络的所有性能状况，全面监测整个网络，并详细记录每个网络设备的参数、性能，及运行情况，遇故障及时发出警报。354，7安全管理方案设计4.7.1安全管理原则网络信息系统的安全管理主要基于三个原则。第一个原则，多人负责原则。每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动:令访问控制使用证件的发放与回收;令信息处理系统使用的媒介发放与回收;令处理保密信息;令硬件和软件的维护;令系统软件的设计、实现和修改:令重要程序和数据的删除和销毁等;第二个原则，任期有限原则。一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。第三个原则，职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。令计算机操作与计算机编程;令机密资料的接收和传送;令安全管理和系统管理;令应用程序和系统程序的编制;令访问证件的管理与其它工作;今计算机操作与信息处理系统使用媒介的保管等。4.7.2安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是:令根据工作的重要程度，确定该系统的安全等级。个根据确定的安全等级，确定安全管理的范围。个制订相应的机房出入管理制度个对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。.制订严格的操作规程操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。.制订完备的系统维护制度对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。.制订应急措施组织应急响应小组，要求制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。根据管理原则和系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是:根据工作的重要程度，确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。制订相应的机房出入管理制度制订严格的操作规程，要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。37制订完备的系统维护制度，对系统进行维护时，应采取数据保护措施，如数据备份等。故障的原因、维护内容和维护前后的情况要详细记录。制订应急措施，组织应急响应小组，要求制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘的管理制度，对工作调动和离职人员要及时调整相应的授权。对互联网用户和电话拨号用户，应作如下规定:()l互联网用户必须由全港统一出口访问互联网。各单位不得建立自己的互联网出口。(2)电话拨号用户应从统一拨号入口进入大连港网络。各单位不得建立自己的电话拨号入口。(3)拨号互联网用户必须先从统一拨号入口拨入大连港网络，再由统一出口访问互联网。(4)集团公司应禁止港内互联网用户用电话拨号到任一港外网站。4.8小结本章在此前安全风险及需求分析的基础上，重点从以下七个方面分别进行大连港网络安全具体方案设计，包括:物理安全方案设计、网络结构安全方案设计、网络系统安全方案设计、防黑客方案设计、网络防病毒方案设计、建立网管中心、安全管理方案设计等。第5章设计方案的部分实现5.1机房防雷系统的实施根据前面讨论的方案设计，同时考虑到集团中心机房是全港的网络中心、EDI中心和数据中心，是全网的关键部位，是重点保护对象。因此，加强集团中心机房的防雷保护势在必行。另外，随着大连港重心的北移，大窑湾机房作为大窑湾地区的网络中心和数据中心，其重要性也愈加突出。加上大窑湾地区雷雨多的气象特点，为大窑湾机房安装防感应雷系统也成为当务之急。5.1.1实施原则(1)感应雷的防护所谓感应雷的防护是指设备对ELMP(雷击电磁脉冲)的防护。LMEP是天空打雷时产生的强大闪电流及闪电电磁场。它的感应范围很大，对建筑物、人身和各种电气、电子设备及管线都有不同程度的危害，这种危害就是LEMP所产生的干扰。EIC1312条文规定:“屏蔽、等电位连接、合理布线、安装过电压保护器是LEMP防护的基本措施，这些措施联合使用、互相配合、各行其则、缺一不可。”屏蔽为了减小雷电感应，减少电磁干扰，建筑物屏蔽、机房屏蔽、设备屏蔽、线路屏蔽是主要措施;等电位连接为了消除电位差，应该在首层(基础地网)和顶层做等电位连接。要作到接地电阻尽量小、连接可靠、连接方式正确等;合理布线为了减小感应效应，防御ELMP，对楼内布线要求很严格，电源线、信号线分开敷设或相互屏蔽，分开敷设间距要求不小于30厘米。安装过电压保护器为了抑制传导来的线路雷电过电压和过电流，就必须安装电子避雷器来泄放瞬态过电压和过电流，将过电压限制到电子设备能承受的耐压水平。电源系统防护电源系统进雷概率占雷电击毁设备事故的7%0以上，所以电源系统的防雷保护不可缺少。电源避雷器选用性能优良质量可靠的压敏电阻。当线路正常时，压敏电阻处于高阻抗状态，不影响供电线路正常工作。当线路中由于雷击或操作过电39压而引起的最大峰值电流或高能脉冲超过压敏电阻的启动电压时，压敏电阻以Sn(10一S9)级的响应速度呈低阻状态，迅速将过电压限制在很低的防护水平。当高能量脉冲过后，压敏电阻恢复高阻状态，系统的续流值为零。对于电源系统，采用一级电源避雷器很难满足需要，必须采用多级保护的概念，实行分级保护，从而将雷电过电压降到设备能承受的水平。最后一级避雷器的电压保护水平必须低于需要保护设备耐冲击电压的能力。此次采用二级保护。信号系统防护信号线路也是设备感应入ELMP的一大通道，信号避雷器采用压敏电阻、放电管和瞬态二极管组合使用。它的特点是:启动快(可达Sn级)、无残压。进户的电信电缆、DND以及HUB均要求安装相应的信号避雷器，来抑制感应入的LEMP进入设备，保护交换机、计算机、MODEM、HUB等。(2)接地系统接地系统是电源系统的重要组成部分，但地线往往是引入千扰造成设备故障的主要因素。良好的接地系统可以避免设备遭受窜入信号地线的交流电流的袭击而损坏或受到交流干扰工作不正常。此次采用联合接地，即建筑物防雷接地、设备保护接地、直流工作接地、屏蔽接地、逻辑接地等均采用同一组地网。机房内弱电设备的接地采用S形接线方式。接地遵循“共地不共线、分类接地线、不串不共用、一点接地法”的原则。对接地装置要求如下:总接地线(接地引入线)要求采用不小于4只40镀锌扁钢或70nnIfZBVR铜线;强PE:交流配电屏的接地线，采用不小于35nnIlZVBR铜线;弱PE:计算机、交换机、交换机主机架、静电地板、微波设备、直流接地等弱电子设备的接地线，采用不小于50nnIlZBVR铜线;总汇流排:又叫等电位基准点，代表整个联合接地地网的接地电阻，也是各种设备的总接地汇集点，采用6x60x1000铜带或8x100火500铜排;机房内汇流排:机房内各种弱电子设备的接地汇集点，计算机、交换机等弱电子设备的保护接地、直流接地均由此引出，采用8X100X250铜排;40交流配电屏接地线:根据设备负荷量设计，但不应小于16二ZBVR铜线;静电地板接地:采用6mnIZBVR铜线沿室内四周呈环状敷设，并在四角与静电地板金属支柱连接。5.1.2现场勘测(1)集团中心机房己具有较好的接地系统，个别地方由于年久不符合规范要求。电源系统、信号系统没安装防雷设备，不能防止LEMP的侵入，不符合计算机设备防雷要求。(2)大窑湾中心机房多次发生进雷现象，交换机、MODME、计算机等设备均造成不同程度的损坏，主要问题有:一楼等电位基准点(40X4镀锌扁钢)腐蚀严重;计算机房无可靠接地线，静电地板没做接地处理，工作接地不标准。没做等电位连接。电源系统、信号系统没安装防雷设备，不能防止ELMP的侵入，不符合防雷要求。5.1.3具体实施.集团中心机房:(1)进行等电位连接对室内弱PE、静电地板接地线、计算机接地线进行检查、处理、更换，达到国家有关部门标准。(2)安装过电压保护器电源系统电源防雷两级保护一级保护:ZGB153B2一2型电源避雷器一台，启动电压91V0，雷电通流60AK，安装在计算机房交流配电屏的三相电源进线端;二级保护:ZGG62O一20型交流电源避雷器一台，启动电压62OV，雷电通流ZOKA，安装在计算机设备的三相电源进线端。信号系统在程控交换机入口处安装ZGB232AIOO一150信号避雷器1套。在网络交换机前安装ZGBZ10F24一H5组合信号避雷器3台。.大窑湾中心机房:(1)进行等电位连接一楼地沟中的镀锌扁钢(等电位基准点)腐蚀严重，此次施工采用6X6OXIO00铜排代替。室内弱EP:采用50米70mnIZBVR线，自一楼地沟中的等电位基准点(6X60X1000铜排)引出至三楼计算机房;室内汇流排:8X100X250铜排;静电地板接地线:采用S5米10mnlZBVR线，自室内汇流排引出，环形布置，室内四角与静电地板支柱连接;计算机接地线:采用100米25mnrZBVR线，自室内汇流排引出，环形沿地板插座布置，插座中的PE采用4nnIlZBVR线就近自25mnIZBVR线引出。计算机接地线与静电地板接地线在室内汇流排后严格绝缘。(2)安装过电压保护器电源系统电源防雷两级保护一级保护:ZGB153B一60型电源避雷器一台，启动电压91OV，雷电通流60AK，安装在一楼计算机交流配电屏的三相电源进线端;二级保护:GZB149B一20型交流电源避雷器一台，启动电压62V0，雷电通流ZOKA，安装在三楼计算机房交流配电屏的三相电源进线端。信号系统在MODME池的电话线接口处安装三台ZGB232D一150型信号避雷器，抑制自交换机感应入的LEMP。在网络交换机前安装ZGBZ1OF24一H5组合信号避雷器二台。5.1.4实施效果及后续工作上述两个机房安装完防雷设备后效果是比较明显的，仅大窑湾机房在安装后两个月内计数器便记录到遭到雷击近百次，再未出现设备因遭受雷击而损毁的情42况。由此可见，如果不及时安装防雷系统，那么危险性是十分大的。除了上述两个机房外，大连湾、香炉礁、甘井子、黑嘴子、大港、新港、铁路、轮驳、外理、物资、机械、客运等12个主要单位的机房尚未安装防雷系统，仍然存在安全隐患，还需要进一步实施解决。但由于机房防雷系统需要考虑网络设备情况和现有地线质量等多种因素，因此在实际施工中，要具体结合机房和机房周围环境情况做好防雷系统。5.2主干网络设备冗余备份的实施5.2.1实施前存在的故障隐患大窑湾公司是港内主要生产公司，其公司级网络设备与局中心的网络设备连接，是港内计算机网络的重要主干网链路。其主交换机、路由器、防火墙等设备，都是单机运行，存在单点故障隐患。一旦故障出现，将会中断故障单位的业务处理和与集团的数据传输，直接对生产系统的正常运行构成威胁。此外，各基层公司内部连接下属各基层生产单位的网络也有安全问题。全港生产指挥、货商管理、物资管理等系统覆盖各公司调度、货商、货场、仓库、机械作业队等许多单位。这些系统投入运行以后，要求整个网络的各个环节保持畅通，并且在出现故障时能迅速恢复。集团中心机房只有一台防火墙用于隔离内部网与外部网，内部网络的安全性较差，需增加一台防火墙。大连港计算机网络规模较大，网络环境复杂。由于没有网络监测仪进行全港网络监测，当发生网络故障时，不能及时进行故障检测，发现故障点并判断出故障原因。5.2.2具体实施根据前面的方案设计要求，为大窑湾网络配备热备份交换机和路由器，并配备一台备份防火墙。另配备一台交换机，放在集团中心，作为其它基层公司(香炉礁、大连湾、大港、甘井子、黑嘴子、寺儿沟、新港、铁路、轮驳、物资、客运等)共用的冷备份交换机。为集团中心机房增加一台防火墙。购置一套网络测试仪用于全港网络的日常监测。43具体购置安装的设备型号、数量等如下表5.1所示。设设备备型号号数量量说明明交交换机机C1Seo355000222大窑湾热备一台，其他公司共同冷备一台。路路由器器Ciseo364000111大窑湾热备一台台防防火墙墙CISeo51555222大窑湾备份一台，集团中心机房增加一台。网网络测试仪仪FlukeoPtiviewww111网络监测测附附附件:Kit一Mooo111光纤测试试表5.1主干网络设备冗余备份购置设备网络拓扑简图见图5.1。图5.1主干网络设备冗余备份拓扑图5.2.3实施效果及后续工作大窑湾热备份交换机、路由器安装调试完毕后，能够在主交换机故障时，自动接替主交换机、路由器工作，网络系统不停机，保证生产运行。同时网络维护人员可查找故障，维修故障设备。网络的安全性可靠性大大提高。采用冷备份交换机的单位，在出现故障时，查找故障原因，找到故障设备，并对备份设备进行相应的参数配置，适应各单位计算机网络的不同需要，经测试后再投入运行。在购置了网络测试仪后，用于日常全港网络监测。发生网络故障时，也可进行检测，及时发现故障设备，为网络稳定运行提供保障。除了购置安装上述网络冗余设备外，由于各公司内连接下属基层单位所使用的光纤收发器、电话专线设备、HUB等，大多型号相近，重复量很大，还应当在集团中心保留少量备用设备，以便有故障时及时恢复。5.3网络防病毒系统的实施由于大连港办公用计算机操作系统基本上都是Wnidows系统，而针对此操作系统的病毒程序又是最多，层出不穷。在没有实施网络防病毒系统之前，系统维护人员整天东奔西跑，到处忙着查杀病毒，恢复系统。但由于使用的是单机版防病毒软件，往往事倍功半，效果非常不好。有时刚刚才把某台计算机恢复好，过了没多久就又染上了病毒。因此，构建一个从主机到服务器的完善有效的网络防病毒体系是非常必要和迫切的。根据大连港网络防病毒设计方案，在对现有网络版防病毒软件进行多方咨询、试用后，最终决定购置“趋势网络防病毒软件”。经过一系列的安装、调试及相关人员培训后，开始正式使用该软件。经过一段时间的使用，感到总体效果还是不错的。在集团中心机房设置一台24小时不间断运行的服务器作为主系统服务器，由其定期从网上自动下载最新趋势病毒库。其他各单位也都设置这样一个服务器作为本站点服务器，由其定期从主服务器上手动下载最新趋势病毒库。而各客户端机器就随之自动更新，将病毒在本地清除或隔离，而不致于扩散到其他主机或服务器。同时加强管理，制定了一系列相关规章制度，从而基本实现了网络防病毒体系。但由于趋势软件占用内存比较大，因此，有些配置较低的CP机在安装该软件后明显感觉运行速度降低。5.4接入Intemet安全措施的实施随着办公自动化系统的应用，鱼待解决港内网络连接互联网的问题，以及相应产生的网络安全问题。5.4.1网络结构根据大连港实际情况，决定采用防火墙技术解决内外网隔离问题。网络结构采用以下方案:.将现有的两台防火墙设备CiscoPIX51E5升级，并实现双机热备功能，其中一台防火墙故障时另一台立刻接管，保证工n七ernet出口畅通。.防火墙上各增加一块以太网接口卡，目前使用三个接口，分别为:外网接口、内网接口、和DMZ(中间区)接口。外网接口连接1nternet，内网接口连接港务局内网，DMZ接口连接部分nIetnret服务器，如WWW、EMALI等。.防火墙在控制整体安全策略的同时，还负责内部用户上网的伪装与认证。.新购置三台Cisc02950交换机:用于连接内网区，外网区，和DMZ区。.在内网与PIX515E之间配置一台计费网关，负责内网用户的上网控制与计费。.PIX515E防火墙上各增加一块VPN加速卡与3DES(加密算法)使用许可后，即可作为VPN网关。外部移动人员可以通过工nternet接入VNP网关，继而接入大连港内网，可以正常使用内网办公及应用系统、收发邮件等等。两台VPN网关采用热备方式工作，即其中一台出现故障后，另一台可以随时接管。.在集团中心配置Cisc。工DS入侵检测系统，用来监测网络异常。CiseoP工X515E是CiseoPIXFirewall系列产品中性能中等的工作组级防火墙产品，是全套Cisc。端到端安全性解决方案的主要组成部分，同时也是防火墙市场上重要的产品系列。集成了硬件和软件的PIXFierwall提供了很高的安全性功能，同时它又不影响网络的性能。PIXFierwall产品系列有多种硬件平台，容量许可级别，以及扩展能力，可以根据用户的不同需求进行定制扩展。网络拓扑图见图5.2。图5.2大连港接入互联网安全网络拓扑图5.4.2VpN(虚拟专网)系统设计VPN技术是专指利用公众数据网络资源为企业构成虚拟专用网的一种业务。VPN实际上就是一种服务，在公用网络上为用户建立一条虚拟的专用通信隧道，用户感觉好象直接和他们的企业网络相连，但实际上是通过工nternet服务商来实现连接的。VNP可以为企业和服务提供商带来以下益处:.降低企业成本。当用VPN进行远程访问时，只需付市内电话费，节约了昂贵的长途电话费;.可以大大节约链路租用费、设备购置费以及网络维护费，减少企业的运营成本:能将工nternet、企业内部网络(工ntranet)、企业外部网络(Extrane)t及远程接入功能(RmeoteACCes)s整合于同一条对外线路中，不需要像以前那样，同时管理工nternet专线，长途数据专线等多种不同线路。由于大连港内有很多业务系统，有些系统需要外界远程访问。比如办公系统，以往在领导出差时，需要拨号到大连港中心处理公务，这样不仅浪费了大量的长途电话费，而且带宽极低。现在，通过VNP设计方案，可以在接入当地互联网的前提下，通过VNP接入到大连港中心内网，进行公务处理，节省了大量的电话费，并且能够获得较大的带宽。VPN采用硬件3DES加密技术，对VNP通道中的数据进行加密，为用户提供安全的通讯环境。5.4.3Internet出口扩容大连港网络中有一千多台CP机。考虑到具体应用的情况，实际能上网的计算机数量不多，只有部分领导和管理部门可以使用互联网。因此，如有10MbpS的网络出口可以满足正常的服务器接入及工nternet访问需求。目前，可暂时将原有IMbpS线路带宽提升至ZMbpS，根据实际情况，若今后用户量增加，不能满足需要时，再进行线路升级。在实际使用时，可以通过QSo配置，来限制上网等优先级较低的应用对带宽的占用，如提高服务器的优先级。并且，通过对周期性流量的时间规划，避免大流量的应用在同一时间并发占用带宽。5.4.4入侵检测系统(!05)购置并安装入侵检测系统:Cisc。工DS一4215。DIS是一种网络安全“设备”，它能够通过实时分析流量，检测出网络上的非法活动，如黑客攻击，从而保证用户快速地对安全漏洞进行响应。当非法活动被检测到以后，传感器向管理控制台发出带有活动详细内容的告警信息，然后控制其它系统，如路由器，断开非法对话。DIS安装在网络的重要位置，用于网络监视，实时分析网络流量，通过基于广泛和内置特征库检查异常和误用行为，特征库可以灵活地更改和添加。在系统检查到未授权的行为时，DIS可以自动地中止连接，永久关闭攻击主机的通信，记录事件并报警给导向器策略管理器。网络中其它的合法连接不受事件的影响，保持正常工作。5.4.5上网控制系统购置并安装城市热点计费网关203B3MG一100，作为上网控制系统。该设备具有如下特点:.通用型强:系统支持对IOOMO宽带、IOMO宽带、邮件、拨号、代理的计费。48用户可以根据自己的需求选择计费模块，提供完善的计费方案。.结构合理:计费数据的采集、处理、分别使用独立的模块，很好地增强了系统地安全性、稳定性、可扩展性和易维护性。.技术先进:采用先进的网络转发及流量采集技术，采用BS/D/的管理体系。.适应性强:由于采用透明网关技术，所以采用该系统可以不改变网络拓扑结构而实现计费功能;数据库设计采用了开放式结构，可以适用于不同的应用环境;系统管理采用B/SD/结构，无需专用的客户端软件。.界面友好:系统给用户及管理员都提供了WEB方式的界面，界面设计简洁易用。用户无需安装客户端，只要有浏览器，用户可以方便地通过浏览器查询使用的时间、流量、费用等相关情况。以上这些接入工nterne七安全措施的实施，在顺利解决港内网络连接互联网的问题的同时，也很好地相应解决了由其可能引发的网络安全问题。5.5小结本章是在前面提出的具体安全设计方案基础上，按照“总体设计，分步实施”的原则，一切从实际出发，根据需求的轻重缓急及资金安排，分别实施了机房防雷系统、主干网络设备冗余备份、网络防病毒软件及接入互联网相关安全措施等。以上项目的有序实施，为大连港网络安全提供了有力保障。当然，以上实施的项目仅仅是大连港网络安全全面设计方案中的一部分，还有许多方面有待于进一步研究解决。要根据实际需要，合理安排，动态实施，以实现网络安全预期目标。第6章结束语本课题通过对大连港网络结构、网络应用的全面了解，按照安全风险、需求分析的结果，根据安全目标及安全设计原则，为大连港网络安全进行了较为全面地规划，构建了一个适合于大连港网络的安全体系。分别从物理安全方案设计、网络结构安全方案设计、网络系统安全方案设计、防黑客方案设计、网络防病毒方案设计、建立网管中心、安全管理方案设计等七个方面进行了大连港网络安全具体方案设计。以这些设计方案为基础，分别具体实施了机房防雷系统、主干网络设备冗余备份、网络防病毒软件及接入互联网相关安全措施等，为大连港网络安全提供了有力保障。按照本设计方案构建起来的系统在以下方面实现设计的安全目标:()l使用防火墙，实现对Intemet和港外网络的隔离和访问控制。(2)网络防病毒系统的使用，构建全网的防病毒体系。(3)为网络添加入侵检测系统、漏洞扫描系统、网管测试系统与安全审计系统，达到对整个网络监控的作用。(4)建立完善的备份机制，以防止突发事件的发生。(5)按照国家有关技术标准进行机房环境和场地条件进行建设，加强物理安全防护。(6)建立完善的安全管理机构及管理制度，强化安全管理。从而基本实现大连港网络安全的预期目标。当然，必须看到，这个安全框架的重点在于系统网络进行安全基础设施建设，使整个网络建设能在安全方面达到一定的基线。它并没有也不可能一次性地解决网络中的所有安全问题，因为网络安全是一个动态发展的过程。更多更强的安全技术和系统，如应用业务安全系统等，将随着应用业务系统的设计开发和成熟过程中得以逐步实现。同时，目前已经实施的项目也仅仅是大连港网络安全全面设计方案中的一部分，还有许多方面有待于进一步研究并具体解决。要根据实际需要，合理安排，动态实施，以实现网络安全预期目标。攻读学位期间公开发表的论文1裘志华大连港信息化建设大连信息化ISBN7一81084一164一5P128P1362002年11月2裘志华CIMS在港口管理中的应用2002全国企业管理控制一体化技术研讨会论文集ISBN7一80612一945一6/TP.16P363一P3652002年7月致谢本课题是作者根据近年来的工作实际情况而提出的。从论文选题到修改完成的整个过程，始终得到了导师夏志忠教授的大力帮助。同时，得益于夏志忠教授的言传身教，我也学到了很多课题以外的东西，受益菲浅，在此谨向夏志忠教授表达我个人深深的敬意和感激。同时感谢我的企业副导师顾兆禄副总经理，在日常工作及本课题研究过程中给予的指导和帮助。感谢我所在单位大连港通信工程有限公司，在公司信息系统各部门，特别是维护部的大力支持和配合下，课题工作得以顺利完成。衷心感谢我的家人们，为我能集中精力于工作、学习和课题研究所给予的关心、鼓励和帮助。点点滴滴，无以为表，铭记在心。参考文献lAndrew5.Tanenbaum，计算机网络1998.清华大学出版社2ErieMainwald等，网络安全实用教程2003.清华大学出版社3谢希仁，计算机网络2003.清华大学出版社4高永强等，网络安全技术与应用大典2003.人民邮电出版社5杨义先等，网络安全理论与技术2003.人民邮电出版社6ChrisBrentonCameronHunt，AComprehehensiveGuidetoNetworkSeeurity2001.电子工业出版社【7McClure著，杨继张译黑客大爆光:网络安全机密与解决方案2001.清华大学出版社【8启明星辰，网络信息安全技术基础2002.电子工业出版社9姚顾波等，黑客终结:网络安全完全解决方案2003.电子工业出版社10杨辉等，防火墙:网络安全解决方案2001.国防工业出版社【川陈兵等，网络安全体系结构研究2002.计算机工程与应用(7)【12聂元铭等，网络信息安全技术2001.科学出版社【13叶忠杰等，计算机网络安全技术2003.科学出版社14葛秀慧等，计算机网络安全管理2003，清华大学出版社巧高志国等，反黑客教程2000.中国对外翻译出版公司【16龚俭等，计算机网络安全导论2000.东南大学出版社【17李海泉，计算机网络安全与加密技术2001.科学出版社18凌雨欣，网络安全技术与反黑客2002.冶金工业出版社【19GB17859一1999，计算机信息系统安全保护等级划分准则20)GB50057一94，建筑物防雷设计规范21GB50174一93，电子计算机机房设计规范22工EC1024，外部防雷于内部防雷装置23IEC1312，雷电电磁脉冲的防护附录:大连港“四大系统”:以集装箱、矿石、原油中转为支撑的海上中转系统;贯通港区的高速公路集疏运网络系统;以矿石、粮食、集装箱、汽车为重点的专业化铁路集疏运网络系统;服务于国际港航和区域性物流业务的数字物流口岸系统。大连港“六大中心”:国际油品及液体化工品分拨中心、集装箱转运中心、粮食转运中心、专业汽车及客滚旅游中心、杂货及煤炭转运中心、散矿分拨中心。大连港“三大基地”:东北亚地区的保税国际物流和临港产业基地、综合物流和临港加工基地、大型构件国际物流和大宗杂货国内物流基地以及国际旅游、国内集装箱及客运滚装基地。