计算机网络课程设计构建企业级网络方案

《计算机网络课程设计构建企业级网络方案》由会员分享，可在线阅读，更多相关《计算机网络课程设计构建企业级网络方案（18页珍藏版）》请在装配图网上搜索。

1、计算机网络课程设计设计说明书题目：构建企业级网络方案学生姓名王竹学号0820014014班级电子商务081班成绩指导教师杨帆管理系2010 年 6 月 30日 计算机网络 课程设计评阅书题目构建企业级网络方案学生姓名王竹学号0820014014指导教师评语及成绩指导教师签名： 年 月 日教研室意见总成绩： 室主任签名： 年 月 日课程设计任务书20092010学年第二学期专业： 电子商务081班 学号： 0820014014 姓名： 王竹 课程设计名称： 计算机网络课程设计 设计题目： 构建企业级网络方案 完成期限：自 2010 年 6 月 23 日至 2010 年 6 月 30 日共 1 周

2、设计依据、要求及主要内容（可另加附页）：通过本课程设计，使学生可以了解计算机网络工程设计的一般任务，明确计算机网络设计与建设的基本原则，熟悉计算机网络需求分析的目标、任务和方法，掌握计算机网络设计的通用方法，并能学会撰写规范的计算机网络方案书。培养学生综合利用所学的理论知识分析解决实际问题的能力、利用和查阅资料的能力、独立工作的能力以及计算机应用能力。选择一家中小规模的企事业单位（也可以是某学校的校园网），该单位在近期具有组网或升级网络的需求。然后通过实地调查、现场访谈、书面调查等形式了解企业的组织结构、网络建设的背景，明确网络需求和网络性能的评价标准。具体地，包括网络建设的目的与原则、投资规

3、模、现有网络的问题与不足等；网络系统中所包含的信息点的数量分布及信息流量、应用程序的类型、是否需要提供广域网的接入和网络安全上的考虑因素等。根据需求分析，要求以层次化的网络设计方法，选择合适的网络技术，设计一个性能价格比相对优化的网络解决方案，该网络要提供尽可能高的先进性、可靠性、有效性、可扩展性和可管理性。指导教师（签字）： 教研室主任（签字）： 批准日期： 年 月 日目 录第一章 企业内网现状描述4第二章 企业内网安全需求分析4第三章 企业内网安全方案设计原则53.1安全体系结构53.2安全方案设计原则63.2.1需求、风险、代价平衡的原则63.2.2 综合性、整体性原则63.2.3一致性

4、原则63.2.4 易操作性原则63.2.5 适应性、灵活性及多重保护原则6第四章 内网安全技术实现方案74.1物理安全74.2网络安全84.2.1 网络结构安全84.2.2访问控制94.2.3入侵检测124.2.4病毒防护124.2.5数据备份与恢复124.3安全管理134.3.1.安全管理原则134.3.2.安全管理的实现14 第五章 安全设备配置155.1企业内网网络安全拓扑图155.2企业内网网络安全设备配置列表16总结16参考文献1717第一章 企业内网现状描述企业内网由于网络建设时间比较早，网络设备比较老，很多现在先进的网络技术支持的不是很好，导致了结构的划分上不是很清晰，但大致可以

5、分为六个组成部分，即；核心骨干区、内网用户区、数据库服务器区、应用服务器区、WEB服务器区和软件服务器区。核心骨干区由两台IBM8265三层交换机组成，其中一台通过千兆光纤下联到各种楼层交换机，形成了内网用户区；另外一台通过155M光纤下联到2810交换机，2810交换机通过100M以太接口与各类软件服务器相联形成了软件服务器区；2810交换机通过一条100M以太线路连接到Catalyst3550交换机，Catalyst3550通过100M以太接口与各类WEB服务器相联形成了WEB服务器区；IBM8265通过一条100M以太线路连接到Catalyst3548交换机，Catalyst3548通过

6、100M以太接口连接各类数据库服务器，形成了数据库服务器区；另外IBM8265通过100M以太接口直接连接各类应用服务器，形成了应用服务器区。所有的内部数据都在核心层进行快速的交换/路由，以保证整个企业内网高效、快捷、安全的运转。第二章 企业内网安全需求分析企业内网为企业内网系统业务的开展带来了极大的方便但随着网络应用的扩大和网络设备的老化，网络安全风险也变得更加严重和复杂，原来运转正常的网络现在经常发生网络故障，严重影响了内部业务的开展原来由单个计算机安全事故引起的损害可能传播到其它系统和主机，引起大范围的瘫痪和损失；另外，加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些

7、风险可谓日益加重这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关在目前的网络中已经部署了一些安全产品，例如防病毒软件、防火墙系统等原来清华德实公司的四台防火墙设备，在访问控制方面已经有了基本的防护功能，但设备的部署不是很合理，没有充分发挥防火墙的访问控制功能，只有小部分服务器得到了防火墙的保护，大部分服务器没有任何防护措施，完全暴露在公开网络中，其安全度可想而知我们根据业务的需求重新划分了新的网络安全域，在核心交换机和数据库安全域之间没有任何的安全防护，而这些数据又是网络中的核心，一旦数据发生问题这个的业务都会受到影响，所以保护这些数据的安全是重中之重因此为了保证企业内部网络系

8、统的安全、稳定、高效的运转，有必要对其网络安全进行专门设计第三章 企业内网安全方案设计原则3.1安全体系结构网络安全的总体设计思想是围绕MPDR2模型的，要实现企业网络系统的安全，就要从保护、检测、响应、恢复及管理五个方面对纵向网信息系统建立一套全方位的信息保障体系。P(Protection)：防护 D(Detection)：扫描、检测 R(Response)：回应R(Recovery)：恢复/备份 M(Management)：管理保护；安全保护技术包括访问控制技术、身份认证技术、加密技术、数字签名技术、系统备份等信息系统的保护是安全策略的核心内容检测；检测的含义是对信息传输内容的可控性的检测

9、，包括对信息平台访问过程的检测，对违规与恶意攻击的检测，对系统与网络弱点与漏洞的检测等等检测使信息安全环境从单纯的被动防护演进到积极防御，从概念化安全对策演变到在对整体安全状态认知基础上的有针对性的对策，并为进行及时有效的安全响应以及更加精确的安全评估奠定了基础回应；响应是保证在任何时候信息平台能高效正常运行，要求安全体系提供有力的响应机制包括在遇到攻击和紧急事件时及时采取措施，例如关闭受到攻击的服务器；反击进行攻击的网站；按系统的安全状况加强和调整安全措施等等恢复；狭义的恢复指灾难恢复，在系统受到攻击的时候，评估系统受到的危害与损失，按紧急响应预案进行数据与系统恢复，启动备份系统恢复工作等广

10、义的恢复还包括灾难生存等现代新兴学科的研究保证信息系统在恶劣的条件下，甚至在遭到恶意攻击的条件下，仍能有效地发挥效能管理；管理是实现整个网络系统安全的重要保证，有了安全网络环境，但缺乏有效的安全管理，安全就很难得以维持，只有建立严格安全管理制并强制执行，才能适应网络安全的动态性和整体性网络安全是一个整体目标如果全面的保护仍然不能确保安全，就需要检测来为响应创造条件；有效与充分地响应安全事件将大大减少对保护和恢复的依赖；恢复能力是在其它措施均失效的情形下的最后保障机制因此，要在网络上构筑有效的安全保障体系，必须投入必要的资源，全面加强五个方面的技术与管理，实现整体网络的安全目标3.2安全方案设计

11、原则在对企业内网进行网络系统安全方案的设计和规划时，我们遵循以下原则：3.2.1需求、风险、代价平衡的原则对任何一个网络，绝对安全难以达到，也不一定是必要的对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定相应的规范和措施，确定系统的安全策略3.2.2 综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施安全措施主要包括；行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)一个较好的安全措施往往是

12、多种方法适当综合的应用结果3.2.3一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有详实的内容及措施实际上，在网络建设的开始就考虑网络安全对策，比在网络建设完成后再考虑安全措施，不但容易，而且花费也少很多3.2.4 易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行3.2.5 适应性、灵活性及多重保护原则安全措施必须能随着网络性能及安全需求的变化而变化，要容

13、易适应、容易修改和升级。任何安全措施都不是绝对安全的，都可能被攻破但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全网络安全是整体的、动态的网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段安全设备不是指单一的某种安全设备，而是指几种安全设备的综合网络安全的动态性是指，网络安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了(如更换了某个机器)，原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了(如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了)，原

14、来的系统就会变的不安全所以，网络安全不是一劳永逸的事情对于企业内网的网络建设，我们的方案采取以上的原则，先对整个网络进行整体的安全规划，然后，根据实际状况建立一个从防护检测响应的基础的安全防护体系，保证整个网络安全的最根本需要第四章 内网安全技术实现方案通过对企业内网网络应用的全面了解，根据企业内网网络的实际情况，按照安全风险、需求分析的结果以及网络的安全目标，我们从物理安全、网络安全、管理安全等几个方面对现有的网络进行分析。4.1物理安全保证计算机信息系统各种设备的物理安全是保障整个企业内网网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人

15、为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173-93电子计算机机房设计规范、国标GB2887-89计算站场地技术条件、GB9361-88计算站场地安全要求）设备安全；主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；通过严格管理及提高员工的整体安全意识来实现媒体安全；包括媒体数据的安全及媒体本身的安全显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散计算机系统通过电磁辐射使信息被截获而失密的案例已经很

16、多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害为了防止系统中的信息在空间上的扩散，通常是在物理上探取一定的防护措施，来减少或干扰扩散出去的空间信号政府、军队、金融机构在建设信息中心时都将成为首要设置的条件正常的防范措施主要在三个方面； 1、对主机房及重要信息存储、收发部门进行屏蔽处理， 即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门

17、的关起等2、对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输3、对终端设备辐射的防范，终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽降低了部份屏蔽效能，但可大大改善工作环境，使人感到在普通机房内一样工作本方案暂不考虑这方面的

18、安全4.2网络安全网络安全主要涉及网络结构的安全和网络系统的安全网络结构安全涉及网络结构的合理性和可扩展性，网络系统的安全涉及到很多内容，根据用户的实际情况本方案中只涉及了访问控制、入侵检测、病毒防护、数据的备份等，由于用户网络中已经有了病毒防护和数据的备份防护措施，所以下面的描述只涉及到了访问控制和入侵检测技术4.2.1 网络结构安全在网络结构的安全方面，主要考虑优化网络结构、路由的优化和可扩展性网络结构的建立要考虑地域环境、现有线路状况、设备配置与应用情况、通信量的估算、网络维护管理、网络应用与业务定位等因素成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计

19、，充分利用现有资源，具有运营维护管理的简便性，完善的安全保障体系网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展网络结构的优化，在网络拓扑上主要考虑冗余链路、冗余路由，动态路由协议的安全认证，专用网管链路等；在企业网络的建设中我们方案在核心采用2台高端3层交换机，采用HSRP技术互为备份，实现备份与负载功能；采用VLAN技术，将网络根据业务关系划分为若干个强度不同安全域，减少网络广播数据包，减少数据冲突，提高带宽利用率，保障网络安全、稳定运转；在接入层交换机到核心层交换机之间采用双链路(STP技术)，保障接入层到核心层的实时畅通；采用QOS技术来保障关键应用有可靠的带宽路

20、由的优化，主要涉及到以下几个方面；防止单点失败；隔离路由波动；消除循环路由；较小的时延；使用路由认证，保证动态路由的安全；在企业网络的建设中我们方案采用浮动静态路由、动态路由、策略路由的方式实现路由的冗余备份可扩展性，网络发展极为迅速，用户需求也在不断提高，当为扩展业务范围而增加设备时，能够方便、有效地接入，不至于因网络结构的局限性，而重新调整网络设备，由此而带来不安全因素；在在企业网络的安全建设中我们方案采用成熟的网络技术来构建这个网络基础设施，例如采用802.3技术，也就是目前普遍使用的以太网技术根据网络目前的实际情况，现有的网络结构仍然保持不变，在下一次网络改造中主要遵循这个原则就可以了

21、4.2.2访问控制企业网络系统的访问控制可以通过配备访问控制设备来实现对于内部网络，根据用户实际的业务数据流向和我们对网络安全的理解与经验，我们重新划分了不同强度的网络安全域要实现不同安全域之间的访问控制，在实现高效的访问控制的同时，又要保证内网中关键的业务数据可以正常通过防火墙设备通过配置安全的访问控制策略可以过滤进、出防火墙的数据包；管理进、出网络的访问行为；封堵某些禁止的访问；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警根据需要我们重新划分了七个网络安全域，在不同的安全域之间分别放置了防火墙设备，设备的部署情况描述如下：1、根据内网业务数据的实际情况，我们在核心交换机和CATA

22、LYST3500之间部署一台天融信公司的NGFW4000-E防火墙产品，以保障所有对安全域一中的数据库进行调用时长连接的正常转发，不会因为防火墙的原因造成数据调用的失败，从而影响正常的业务应用2、由于网络视频、视频会议、网络电话等应用对防火墙的要求很高，不断要求防火墙能够对H.323、MMS、RTSP、NETMeeting、SIP等协议有很好的支持，并且对防火墙的转发率、对数据的延迟、丢包率以及对突发数据的处理能力都有严格的要求，因此在单独部署了一台清华德实公司的防火墙产品，以满足业务对防火墙的这种高要求的需要3、在安全域二和核心交换机之间部署一台清华德实公司的防火墙，这样不仅能够保护原有的设

23、备投资，也能够满足基本的访问控制的要求4、在安全域三中部署了很多常见应用服务器，包括WEB服务器、邮件服务器、DNS服务器等，这些服务器对网络的稳定性、转发速率和安全性有非常高的要求，一旦这些服务器出现问题整个办公系统将会瘫痪，严重影响办公效率，因此在安全域三和核心交换机之间部署一台天融信公司的NGFW4000防火墙，并且在邮件服务器的前端部署冠群金辰公司的KSG防病毒过滤网关，以满足基本的访问控制的要求和系统对网络的稳定性、转发速率和安全性的高要求 5、安全域四是内部终端用户区，分部在各个楼层，并且链路是光纤接口，如果部署防火墙系统，一是设备数量很多，二是光纤设备非常昂贵，这样部署防火墙设备

24、的造价很高，大量的投入也并不能提高网络的安全状况，但我们可以在连接终端用户的三层交换机端口上进行简单的访问控制，满足基本的访问控制要求能否实现这个功能要看三层交换机的功能。6、在安全域五和核心交换机之间部署一台清华德实公司的防火墙，这样不仅能够保护原有的设备投资，也能够满足基本的访问控制的要求7、在安全域六和核心交换机之间部署一台清华德实公司的防火墙，这样不仅能够保护原有的设备投资，也能够满足基本的访问控制的要求天融信防火墙NGFW4000在保证高可用性和高可靠性的同时还在以下几个方面起着重要的作用：1. 通过防火墙的规则设置隔离了数据库安全域与其它安全域，实现了保护关键业务的应用、控制对服务

25、器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。到数据库安全域的全部通信都受到防火墙的监控，通过防护墙的策略可以设置成相应的保护级别，以保证系统的安全2. 过滤网络中不必要传输的无用数据防火墙是一种网关型的设备，各个区域之间的通信，可以通过防火墙的添加规则策略保障，如果在防火墙上添加一些有关重要应用的策略，就可以过滤掉部分无用的信息，只要网络中传输必要的应用数据，比如封闭目前常见的蠕虫病毒使用的端口3. 防火墙具有流量控制的特性，可以依据应用来限制流量，来调整链路的带宽利用，如：在网络中，有数据库调用应用、域登陆应用等等，可以在防火墙中直接加载控制策略，使数据库调用应用、域登

26、陆应用按照预定的带宽进行数据交换实现流量控制，调整链路带宽利用的功能4. 在天融信防火墙上还可以防止恶意的内部员工通过网络对数据库安全域的服务器TCP/UDP端口进行非法扫描，消除系统安全的隐患可防止恶意的内部员工通过网络对数据库安全域的服务器进行源路由攻击、IP碎片包攻击、DNS / RIP / ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击天融信防火墙提供入侵检测的功能，当发现重要服务器被攻击时，防火墙将自动报警并根据策略进行响应5. 对于防火墙自身来说，日志的导出、日志服务器的安装，可使得通过防火墙的数据访问加以统计，为优化网络提供必要的数据，日志服务器可以完成，每个不同的源访问的流量

27、统计，可以了解到每个源的流量是否在正常范围内，等等这样的数据对于网络安全是十分重要的6. 防火墙提供应用级透明代理，可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP)做了更详细控制，如HTTP命令(GET，POST，HEAD)及URL，FTP命令(GEI，PUT)及文件控制，也就是说，在的网络中当通过防火墙对数据库安全域进行访问时，可在应用层上做更详细的访问控制7. 通过在数据库安全域添加入侵检测系统，保证入侵检测系统与防火墙产生联动当网络中发生攻击时，向防火墙发送策略，将攻击行为进行过滤，使攻击行为的数据无法到达目的主机，实际上是斩断了攻击的路径如此往复，可以提供大量时间来追测

28、攻击源，采取相应措施全面的联动延长了安全管理的触角，增加了安全管理的手段，加大了安全管理的强度4.2.3入侵检测 防火墙的主要功能是对进出防火墙的数据进行访问控制，防火墙无法阻止由于防火墙配置有误或者绕过防火墙而进入网络的非法数据数据一旦通过防火墙进入网络后，如果操作系统或者应用系统本身存在漏洞，由于防火墙系统是一个静态、被动的设备，这时候就无能为力了，入侵检测系统作为防火墙的一个有益补充，完全可以胜任此工作入侵检测是根据已有的、最新的攻击手段的信息代码对进出各个安区域的所有操作进行主动的实时监控、审查，并按制定的策略实行响应(阻断、报警、发送E-mail)，同时进行日志记录，并且入侵检测系统

29、的动态防御还能实现入侵检测系统和防火墙及其它特定网络安全系统之间的互动(如路由器)，动态的保护网络不受恶意的入侵及来自于内部的攻击根据企业内网的实际网络环境以及应用情况，我们方案目前只在数据库安全域部署一套入侵检测系统，以后可以根据业务的重要程度在需要的安全域添加入侵检测系统，以实现对数据进行主动的实时监控、审查，以发现违规行为，并对违规行为进行处理(报警、阻断、与防火墙进行联动等)管理员也可以定期的生产各种报表，根据报表及时的调整安全策略，完善网络中存在的安全问题。4.2.4病毒防护目前企业内网已经部署了一套完整的防病毒解决系统，包括客户端防病毒、服务器防病毒、群件系统防病毒、网关防病毒系统

30、以及统一的升级、管理、监控，但面对日益猖狂的病毒，特别是蠕虫型的病毒，单靠一套完整的防病毒系统已经难以解决问题一套优秀的防病毒解决方案不但要有一套完整的技术解决方案，还要有一个勤奋努力的网络管理员和严格的管理制度4.2.5数据备份与恢复备份系统为一个目的而存在：存档备份；当需要时，尽可能快地全盘恢复运行计算机系统所需的数据和系统信息根据系统安全需求可选择的备份机制有：场地内高速、高容量自动的数据存储、备份与恢复，场地外的数据存储、备份与恢复；对系统设备的备份备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前

31、提之一一般的数据备份操作有三种一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，是最有效的备份方法；三是差量备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带在进行备份的过程中，常使用备份软件，它一般应具有以下功能备份数据的完整性，并具有对备份介质的管理能力；支持多种备份方式，可以定时自动备份，还可设置备份自动启动和停止日期；支持多种文件格式的备份；支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描)，以保证备份的正确性；提供联机数据备份功能；支持RAID容错技术和图像备份功

32、能在企业网络系统中，已经根据自己实际的业务需求建立了比较完善的备份及恢复系统。4.3 安全管理面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理规范的建立，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视安全管理可以通过相应的规章制度来实现制订完善的管理制度，包括：机房安全管理制度，安全设施系统操作制度，网络、系统安全操作规程，数据备份制度，普通用户操作规范等4.3.1.安全管理原则网络信息系统的安全管理主要基于三个原则1、多人负责原则每一

33、项与安全有关的活动，都必须有两人或多人在场这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障以下各项是与安全有关的活动：（1）访问控制使用证件的发放与回收；（2）信息处理系统使用的媒介发放与回收；（3）处理保密信息；（4）硬件和软件的维护；（5）系统软件的设计、实现和修改；（6）重要程序和数据的删除和销毁等；2、任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行3、职责

34、分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准出于对安全的考虑，下面每组内的两项信息处理工作应当分开（1） 计算机操作与计算机编程；（2） 机密资料的接收和传送；（3） 安全管理和系统管理；（4） 应用程序和系统程序的编制；（5） 访问证件的管理与其它工作；（6） 计算机操作与信息处理系统使用媒介的保管等4.3.2.安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范具体工作是；1、根据工作的重要程度，确定该系统的安全等级 根据确定的安全等级，确定安全管理的范围2、制订相应的机房

35、出入管理制度对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理3、制订严格的操作规程操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围4、制订完备的系统维护制度对系统进行维护时，应采取数据保护措施，如数据备份等维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录5、制订应急措施要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权第五章 安

36、全设备配置上面列出了我们对企业内网系统网络安全措施的总体原则，下面结合具体网络结构情况，就安全设备的配置和相应的安全策略做一描述5.1企业内网网络安全拓扑图网络连接见下图：图5.1 企业内网网络安全设备配置图5.2企业内网网络安全设备配置列表企业内网网络安全设备配置见下表：表5.1 企业内网网络安全配置表序号产品名称产品型号数量生产商备注1入侵检测系统NGIDS-E1台启明星辰已有2防火墙系统NGFW4000-E1台天融信公司新增NGFW40001台天融信公司已有防火墙4台清华德实已有3病毒防护系统网络版防病毒软件1套已有防病毒网关1台冠群金辰已有总结我们已经踏入了飞速发展的信息工程时代，时代

37、要求我们要加强自身的各项专业能力，以应付我们即将踏入的社会所给予我们的考验和锻炼。通过完成本次的课程设计，自身能力有所长进，很多学习的理论知识终于有所实现，解决问题思路也变得更加清晰了，面对问题也更加有逻辑性了。在设计过程中，也遇到了很多的困难，要想将课程设计做得更加完善，还得真下上一番功夫。所锻炼的不只是我们学到的知识和技能，更重要的是锻炼了我们的实际动手操作能力和应付各种困难的应变能力。此外，在本次的课程设计中，对网络中相关知识理论方面的理解也更进一步的加深了，让我懂得规划一个企业网络需要具备丰富的网络知识和经验，使我初步了解了构建一个企业网络的设计流程与步骤，与此同时，在准备此次的课程设计的过程中，也更好的拓展了自已的知识面，掌握了很多更好的学习方法，相信这便是此次课程设计中最大的收获。参考文献1谢希仁.计算机网络教程.北京：人民邮电出版社，2006.2Peterson L.L.and Davie B.S.Computer Networks A System Approch Morgan Kaufmann.北京：机械工业出版社，2000. 3雷振甲.网络工程师教程.北京：清华大学出版社， 2004.