計算機軟考網絡規劃師論文一篇——論網絡系統的安全設計

網絡的安全性及其實施辦法是網絡規劃中的關鍵任務之一，為了保障網絡的安全性和資訊的安全性，各種網絡安全技術和安全産品得到了廣泛應用。

請圍繞“網絡系統的安全設計”為論題，依次對以下三個方面進行論述。

1. 簡述你參與的網絡系統的安全設計與實施情況，以及你在項目中所擔任的主要工作。

2. 詳細論述你采用的保障網絡安全和資訊安全的技術和方法，并說明系統關于等級保護要求的具體實施，項目中所采用的軟體、硬體産品安全以及管理措施的綜合解決方案。

3. 分析和評估你所采用的網絡安全措施的效果及其特色，以及相關的改進措施。

摘要：

本文讨論了網絡系統的安全設計。2020年6月，我作為XX公司的資訊技術部負責人，全程參與了公司網絡系統安全改造項目的規劃設計、工程招标、項目實施和測試驗收，該項目投資500萬元，項目工期12個月。我們主要從實體安全、網絡安全、主機安全、應用安全和管理安全5個方面進行了安全更新改造。具體的更新與改造措施包括核心機房的搬遷及環境改善，網絡裝置更新及備援配置，網絡裝置使用者安全認證及安全加強，主機密碼複雜性設定及漏洞修複，嚴格使用者權限管控，安全管理部門建設，規範制度的建設及人員的配備和教育訓練等。項目完成後，公司網絡的穩定性和安全性得到極大的提升。但是受資金限制，項目中還存在一些不足，如主機分布分散，管理難度大，IPS存在單點故障，沒有定期聘請外部機構進行滲透測試等。

正文：

2020年6月至2021年5月，我作為某公司資訊技術部負責人，參與了公司網絡系統安全改造項目的規劃設計、工程招标、項目實施和驗收測試，以及後期運維工作。該項目投資500萬元，項目工期12個月。

我公司的主要業務是清潔能源供暖裝置的研發制作。經某省外事辦和某省住建廳批複，将依托我公司建設一個集清潔能源裝備的研發設計和生産制造為一體的清潔能源特色小鎮。小鎮占地面積8.5萬平方公裡，涵蓋研發、制造、工藝和采購等上下遊産業。随着政策的不斷深入和使用者規模的不斷擴大，原有網絡設計中的缺陷逐漸顯現出來，原網絡的網速越來越慢，各種安全問題層出不窮。根據上級部門要求和公司實際需求，我們聯合第三方測評機構組成測評小組，對我公司的網絡安全現狀進行了安全定級與測評工作。其中，公司内部使用的ERP、MES、CRM等系統被定級為二級系統，供熱管理系統和供熱運作監控系統被定級為三級系統。針對等保測評公司給出的測評結果，我們從實體安全、網絡安全、主機安全、應用安全和管理安全等5個方面進行了安全更新與改造，具體措施如下：

1.實體安全加強與改造

網絡改造前，由于機關早期對資訊化的不重視和辦公空間的緊張，資訊機房被安排在地下一層。機房内潮濕、滲水、空氣不流通、鼠患嚴重，存在極大的安全隐患。本次整改，我們嚴格依據等保、《電子資訊機房設計規範》等政策和規範的要求，在建立的辦公樓二樓建設了機房。

機房安裝了防盜門窗和防雨護窗，設定了電子門禁和監控系統，機房内配備了氣體自動滅火系統，布設了煙感、水浸等探測裝置。制冷方面，我們采用了精密空調下送風、上回風的方式，并且加磚了新風系統，保證機房内空氣的清潔。電力供應方面，機房采用了雙回路供電，同時配備了UPS不間斷電源。

2.網絡安全整改、實施使用者認證、優化位址配置設定

網絡改造前，網絡中的大部分裝置都是不可管理的傻瓜式裝置，僅有的幾台可通過Web界面進行簡單管理的裝置也是預設的使用者名和空密碼，密碼沒有修改過。原有網絡被簡單地劃分了幾段，IP位址自動擷取方式，但可配置設定的IP位址幾乎已經消耗殆盡。單點裝置到處都有，沒有備援，且終端裝置接入網絡沒有任何限制。

對此，我們對網絡的拓撲結構進行了重新規劃，按照階層化的原則劃分為核心層、彙聚層和接入層三部分。核心層我們采用2台華為的CE12800系列交換機，利用華為特有的CSS技術将2台實體交換機虛拟成1台邏輯交換機，實作了核心層裝置的高可用性。彙聚層按每2台華為S7700交換機為1組，用VRRP技術将2台裝置虛拟成1台邏輯裝置。接入層則采用華為S5730全千兆交換機，萬兆上聯，實作終端使用者的高速接入。彙聚到核心，接入到彙聚的鍊路全部采用鍊路聚合技術實作鍊路的負載均衡及高可用性。為了加強網絡裝置安全管理，我們修改了裝置預設的管理者使用者，搭建了AAA伺服器實作對裝置管理的認證和授權控制。

基于Portal和RADIUS技術，我們實作了針對無線和有線使用者的安全接入。對于内部員工的有線和無線的接入方式為使用者名加密認證；訪客通路無線網絡則采用手機驗證碼的方式接入，這種方式均可以實作追朔和審計。我們還對全網IP位址進行了重新規劃，以10.X.0.0/16位址段進行總的IP位址配置設定，結合掩碼進行細化的IP位址段劃分。在網絡的邊界，部署華為USG6600防火牆，通過精細化的政策實作内外網的控制。在網絡内部部署IPS裝置，并實作與邊界防火牆的關聯。

3.主機密碼加強、病毒清除及漏洞修複

網絡改造前，公司計算機裝置既有組裝機也有聯想、DELL等品牌機：作業系統也是各種類型，XP、Win7、Win10等作業系統都有。計算機存在大量的空密碼、弱密碼等現象，甚至是明文密碼粘貼在顯示器上的情況也随處可見：沒有強制要求計算機系統安裝防毒軟體。計算機系統的各類漏洞長期不進行修複。針對這些問題，我們首先統計區分了各種品牌和年代的主機，實施合理利用，分批淘汰的政策。我們對每台未淘汰的主機都設定了密碼複雜性政策，加裝了360企業版的防毒軟體和漏洞修複工具，定期統一更新病毒庫和系統更新檔。

4.應用系統密碼加強及權限管控

網絡改造前，公司運作的應用系統存在各類安全隐患。我們之前應用系統的購置比較随意，缺乏管理，許多較早的應用系統也早已找不到供應商。在應用系統管理與維護中也存在空密碼、弱密碼和到處張貼明文密碼的現象。

針對這些問題，我們對公司現有的應用進行了較為徹底的梳理。針對使用者的認證問題，我們引入了甯盾的雙因素認證機制。在使用使用者名和密碼認證的基礎上增加了手機動态密碼驗證，兩種認證同時成功才能登入系統。對于可以找到服務商的應用系統，我們簽訂了應用系統更新更新服務，對于年代久遠且使用較少的系統，我們配置較為嚴格的通路控制政策，盡可能地規避可能存在地風險。同時，我們對應用系統内各使用者地權限進行了梳理，基于“權限最小化”的原則，對于系統内置的超級管理者角色，借助第三方工具對其權限進行了弱化。為了避免資訊洩露，我們采用網絡版的資料加密軟體，審批并解密所有外發或帶出公司的資料。

5.加強安全管理

俗話說，網絡安全“三分靠技術，七分靠管理”。再好的安全技術和安全産品，如果沒有實施有效的管理，都将是擺設。為此，通過與公司高層讨論，我們成立了專門的網絡安全上司小組，并由公司一把手挂帥。為提高全員網絡安全意識，我們進行了全員的網絡安全意識教育訓練，并協同危管部門編制了網絡安全管理制度和相關的考核措施。針對網絡安全運維人員，我們組織了不定期的技能提升教育訓練和競賽活動。

經過各方不懈地努力，項目成功完成并通過驗收。項目完成後，公司網絡速度和穩定性得到明顯提升，各種網絡安全問題明顯減少，得到了公司上司、同僚們和上級部門的一緻好評。項目之是以能夠取得成功，一方面得益于甲乙雙方密切的配合、充分的調研和規範的項目管理；另一方面得益于我們充分認識到網絡中可能存在的安全問題并采取了必要的防範措施。項目雖然取得了成功，但是由于資金限制，項目還存在一些不足，如主機安全管理方面，現在的主機仍然比較分散，管理難度較大，後期計劃采用虛拟桌面的方式進行管理；沒有引入外部的機構進行定期地安全測試等。我會在後期地工作中不斷學習，提升自己的網絡安全規劃設計能力。