房地产企业信息安全系统

目录第一部分:信息安全技术简介1.1概述1.2常用安全技术第二部分:房地产企业信息安全系统的统计2.1系统整体设计思想2.2各子系统的主要功能第三部分:各子系统的详细设计3.1区域边界子系统设计3.2网络通信安全子系统设计3.3安全审计子系统设计3.4安全管理子系统设计3.5外网与内网数据交换数据3.6数据安全子系统的设计第四部分:分析方案特点淮北师范大学2011届（网络工程）——课程设计课题：XX房地产网络安全系统摘要：自从20世纪90年代以来，信息化浪潮席卷全球。我国政府面对既要完成好工业化又要加快信息化的双重任务，审时度势，提出了以信息化带动工业化战略。信息化广泛应用于企业在市场预测、产品设计制造、经营管理和服务等各环节。房地产行业属于资金密集型企业，房地产业建设的信息化是房地产企业利用现代信息技术，通过对信息资源的深入开发和广泛利用，不断提高房地产企业决策、开发、经营、物业管理的效率和水平、进而提高房地产企业的经济效益和市场竞争力的过程。本文以构建某房地产集团的企业信息安全系统为例，并以信息安全的两个基点——网络安全和数据安全为研究对象。在该项目中，针对某房地产集团企业信息安全的需求，制定出适合项目房地产企业信息安全整体解决方案。其中该方案包含有六个子系统：区域边界子系统、网络通信安全子系统、安全审计子系统、安全管理子系统、计算机节点子系统、数据安全子系统。在项目中，重点分析研究了与信息安全相关的各种技术（防火墙技术、VPN技术、VLAN技术等）。在项目的设计阶段通过对分析用户需求，制定设计目标，设计出相应系统的解决方案。到部署实施阶段，通过研究方案的部署策略，对方案的实施步骤进行设计，对方案的实现进行详尽的描述，并对项目实施后给企业网络带来的好处进行了简要的说明。在该项目方案中，采用访问控制技术、入侵防护技术和状态检测技术在企业网络边界实现多层次的防护；通过采用应用虚拟化结合AD域的技术实现企业的终端安全和数据安全，实现对终端用户的统一管理；采用IPSecVPN和SSLVPN技术来保护远程用户访问本地服务器过程中的数据安全性；采用数据备份和异地异地灾备技术来提高数据的高可用性、高可靠性以及在本地数据出现故障时，其可以通过灾备技术实现备份数据中心接替本地数据中心工作。第一部分：信息安全技术简介1.1概述虽然在网络中信息安全问题很多，但是随着信息安全技术的发展，特别是防火墙技术、入侵检测技术、访问控制技术、数据加密技术、VPN等技术的发展，现在已经可以把网络信息安全问题造成的损失降低到最小程度。1.2常用安全技术1.2.1防火墙技术防火墙是所有安全工具中最重要的一个组成部分，它在内部信任网络和其他任何的非信任的网络上提供了不同的规则进行判断和验证，确定是否允许该类型的信息流通过。其作用是防止不希望的、未授权的通信进出被保护的网络，迫使企业强化自己的网络安全政策。防火墙是通过提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量进行检查以限制从外部发动的攻击，同时具有强大的日志记录功能便于事后的分析。很多时候，企业设立防火墙以建立DMZ（非军事区），一个在受保护的网段和另一个未受保护的网络之间的网段。它提供了一个在危险的因特网和企业努力保护的内部网的信息之间的缓冲区域。通常DMZ由两个防火墙组成，DMZ中通常包含于WEB服务器、邮件服务器和DNS服务器，它们处于受攻击的一线，最需要进行保护。许多DMZ还有IDSsensor（入侵检测系统传感器）监听有恶意的、可疑的行为。防火墙实现访问控制的尺度依赖于它的体系结构及其所能实现的技术。防火墙根据防范的方式和侧重点的不同可分为多种类型，总体归纳为包过滤、应用代理和状态检测三大类。（1）包过滤防火墙包过滤技术是第一代防火墙使用的技术，它工作在OSI参考模型的网络层，它处理网络上基于Packet-by-Packet流量。采用包过滤技术的设备能够允许或阻止IP地址及端口，典型的实施方法是通过标准的路由器。包过滤将会检查以下一些信息：源IP地址目标IP地址源端口目标端口数据包类型优点是不用改动客户机和主机上的应用程序，因为其工作在网络层，与应用层无关。该防火墙技术的缺点是出了包头信息外不检查包内；据以过滤判别的只有网络层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，而且随着规则数目的增加，性能会受到很大的影响。1.应用代理防火墙应用代理防火墙作用在应用层，分别单独与客户端和服务器建立连接，彻底将内网和外网的直接通信隔断。由于所有通信都必须经过应用层代理软件转发，在任何时候访问者都不能与服务器建立直接的TCP连接，防火墙对应用数据进行过滤保证应用层的协议会话过程符合安全策略要求，因此安全性相对较好。防火墙在应用层能够提供强大的数据包内容过滤的功能，主要包括：阻塞URL地址、关键字过滤、防止特洛伊木马的传输、防止邮件缓存溢出、阻止Java、ActiveX和JavaScript等不安全内容的传输。2.状态检测防火墙状态检测技术，也成为状态分组过滤，是一个过滤和代理服务器的组合，是继“包过滤”技术和“应用代理”技术后发展起来的防火墙技术。这项技术更安全并且提供了更多的功能性，因为链接不但应用一个ACL，也记录进一个状态表。一个连接建立后，所有的绘画数据都要与状态表相比较。如果绘画数据与状态表中这个链接的信息不匹配，这个连接就会被丢弃。（2）虚拟专用网技术VPN(VirtualPrivateNetwork)是利用公共网络来构建虚拟专用或私用网络，渐层虚拟专用网或虚拟专网，可以被认为是一种公共网络中隔离出来的网络。它提供一种公共网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接一样，VPN也由客户机、传输介质和服务器三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道建立的公共网络或专用网络基础上的。目前VPN主要采用隧道技术和安全技术来保证传输安全。建立隧道有两种主要的方式：客户启动或客户透明。目前VPN隧道协议有点对点PPTP协议、L2TP协议、IPSec协议、SSL协议和SOCKSv5协议等。VPN中的安全技术通常由加密、身份鉴别和密钥交换与管理技术组成。常见的VPN是基于IPSec协议VPN和基于SSL协议的VPN,即IPSecVPN和SSLVPN。（3）PPTP协议端对端隧道协议(PPTP)是WindowsNT4.0中首先提供支持的隧道协议。PPTP是对端对端协议（PPP）的一种扩展，它采用了PPP所提供的身份验证、压缩与加密机制。PPTP能够随TCP/IP协议一起自动进行安装。PPTP与Microsoft端对端加密（MPPE）技术提供了用以对保密数据进行封装与加密的首要VPN服务。一个PPP帧将通过通用路由封装（GenericRoutingEncapsulation,GRE）报头和IP报头进行封装。IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。MPPE将通过由MS-CHAP、MS-CHAPv2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密。为对PPP帧所包含的有效数据进行加密，虚拟专用网络客户端必须使用MS-CHAP、MS-CHAPv2或EAP-TLS身份验证协议。PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装。（4）L2TP协议第二层隧道协议（L2TP）是一种Internet工程任务组（IETF）标准隧道协议。与PPTP不同，Windows2000所支持的L2TP协议并非利用MPPE对PPP帧进行加密。L2TP依靠Internet协议安全性（IPSec）技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec。VPN客户端与VPN服务器都必须支持L2TP和IPSec。L2TP将随同路由与远程访问服务一起自动进行安装。L2TP/IPSec提供了针对保密数据进行封装与加密的首要VPN服务。在IPSec数据包基础上所进行的L2TP封装由两个层次组成；L2TP封装：PPP帧（IP或IPX数据包）将通过L2TP报头和UDP报头进行封装。IPSec封装：上述封装后所得到的L2TP报文将通过IPSec封锁安全性有效载荷（ESP）报头、用以提供消息完整性与身份验证的IPSec身份验证报尾以及IP包头再次进行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。IPSec加密机制将通过由IPSec身份验证过程所生成的加密密钥对L2TP报文进行加密。1.2.3访问控制技术网络访问控制技术是网络安全防范和保护的主要核心策略，它的主要任务是保护网络资源不被非法使用和访问。访问控制是策略和机制的集合，它允许对限定资源的授权访问。它也保护资源，防止那些无权访问资源的用户的恶意访问或偶然访问。然而，它无法阻止被授权组织的故意破坏。访问控制包括三个要素：即主体、客体和控制策略。主要的访问控制技术有三种：（1）自主访问控制技术（DAC）自主访问控制技术是目前计算机系统中实现最多的访问控制机制，它是在确认主体身份以及它们所属组的基础上对访问进行限定的一种方法。它是多用户环境下最常用的一种访问控制技术，在目前流行的UNIX类主体操作系统中被普遍采用。其基本思想是：允许某个主题显示地指定其他主体对该主题所拥有的信息资源是否可以访问以及可执行的访问类型。（2）强制访问控制技术（MAC）强制访问控制（MAC）最早出现在Multics系统中。MAC的基本思想是：每个主题都有既定的安全属性，主体对客体是否能执行特定的操作取决于两者安全属性关系。MAC访问控制模块性和DAC访问控制模型属于传统的访问控制模型，在实现上，MAC和DAC通常为每个用户赋予对客体的访问权限规则集，考虑到管理的方便，在这一过程中还经常具有相同只能的用户为组，然后为每个组分配许可权。（3）基于角色的访问控制技术（RBAC）基于角色的访问控制（RBAC）是实现面向企业的安全策略的一种有效的访问控制方式，具有灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得到普遍应用。目前，在路由器、防火墙等网络设备上使用的ACL（访问控制列表）属于自主访问控制技术。访问控制列表是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。1.2.4入侵检测和保护技术1.2.4.1入侵检测技术入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全能力，提高了信息安全技术基础结构的完整性。1.2.4.2入侵防护技术随着网络入侵事件的不断增加和黑客攻击技术水平的不断提高，对安全技术提出了新的挑战。防火墙技术和IDS自身具有的缺陷阻止了它们进一步的发展。如防火墙不能阻止内部网络的攻击。对于网络中的各种病毒也没有很好的防护措施；IDS只能检测入侵而不能适时地阻止攻击，而且IDS具有较高的漏报和误报率。IPS提供主动、实时的防护及阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。1.2.5虚拟局域网技术VLAN又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样。VLAN中网络用户通过LAN交换机通信，一个VLAN中的成员看不到另一个VLAN中的成员。同一个VLAN中的所有成员共同拥有一个VLANID，组成一个虚拟局域网络。同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包。不同的VLAN成员之间不可直接通信，需要通过路由器、三层交换机等路由设备支持才能通信，而同一VLAN中的成员通过交换机可以直接通信，不需要路由支持。VLAN提供的主要功能有：提高管理效率、控制广播数据、增强网络的安全性、实现虚拟工作组。1.2.6数据加密技术数据