一． 实验目的

熟悉和掌握信息安全工程基础概念，学习和掌握系统安全工程能力成熟度模型，学习信息安全工程实施的各阶段内容，结合组织需求，制订组织信息安全工程规划。

二． 实验内容

1 学习电监会发布的电力二次系统安全防护总体方案及各级调度中心、变电站、发电厂及配电二次系统安全防护方案，熟悉掌握信息安全工程方案的组织结构和内容。

2. 自选合适的组织对象，对组织对象信息安全工程实践ISSE的方法、步骤，内容，制订出步的工程规划，生成规划书。

三． 实验前的准备

● 学习掌握ISSE关于信息安全工程规划设计的过程、步骤、方法

● 熟悉信息安全工程规划的内容。

四． 实验要求及实验软硬件环境

【实验环境】

● Windows操作系统主机一台。

● 能够连接互联网。

【实验组织方式】

● 个人独立完成

五． 实验步骤和内容

根据ISSE信息安全过程的五个阶段，规划某单位的信息安全过程建设计划和内容

一、前言

随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。

中国电子信息产业发展研究院曾经做过预测，针对中国中小企业调查他们对信息安全需求，企业对于信息安全的认知也跨出了一大步，有相当一部分的企业担心信息安全问题，而网络问题则是他们关心的第一位，调查还显示只有五分之一的企业没有信息泄密的事实，却也足以让人心惊胆战。企业的正常运作离不开信息资源的支持，包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等，这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶，是企业发展的方向和动力，关乎着企业的生存与发展，企业的重要信息一旦被泄露会使企业顿失市场竞争优势，甚至会遭受灭顶之灾。

　　因此，企业要保持健康可持续性发展，信息安全是基本的保证之一。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生，信息安全问题逐渐被提上议事日程，企业管理者也逐渐走出以往的误区，信息安全建设成了企业首要任务，一些中小企业也纷纷加入到这个日益庞大的队伍中来。所以，在不久的将来，信息安全将更多的被企业所关注，会有更多的企业加入到安全行列中来的，这也是企业生存和发展的关键步骤之一。

二、工程概况

2.1、工程详述

公司有50台左右PC；公司共有多个部门，不同部门的相互访问要有限制；公司有自己的OA 系统；公司中的台机能上互联网；核心技术采用VPN；公司网内部覆盖4栋建筑物，分别是公司办公大楼和生产经营场所，少量的信息点，供未来可能的需求使用，目前并不使用。办公大楼每层楼布有 个信息点，共 个信息点。每栋建筑有，每层楼有一个机柜。每栋建筑和办公楼之间通过1条4芯的室外单模光纤连接。要求将全部信息点接入网络，但目前不用的信息点关闭。

2.2、项目工期

2012年8月1日-------2012年10月1日

三、需求分析

3.1 网络要求

满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；用户使用简单、维护容易，为用户提供良好的售后服务。

主干网负责各个子网和应用服务的连接，为信息交换提供有效的高速通道。系统主干采用千兆以太网1000M交换，下属子网采用百兆以太网，网络协议采用TCP/IP协议，整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。下属单位接入交换机可采用相对低一档的产品；本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括视频会议在内的信息共享等方面的实时性要求。；UPS电源的配备，配置要保证机房中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；网络带宽的分配：应根据所属单位网络的信息流量情况合理分配网段，以充分利用网络带宽，提高网络的运行效率。网络需要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享，为全面集中管理和数据仓库的建设奠定坚实的基础

3.2 系统要求

配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用;广泛的设备支持：所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性：系统的运行应具有高稳定性，保障7*24的高性能无故障运行。可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本；安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性，全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和集团的结构变更。

3.3 用户要求

要求计算机应用系统能处理大信息量的传输和计算；要求易于用户管理、界面简单、逻辑清晰；满足用户使用网络系统的运行质量，提高网络运行速度；要求采用千兆以太网作为主干的网络技术，提供标准化的高速度主干网连接，并在未来可以升级到IP，可以在同一个网络中支持多种服务质量，以支持目前和未来的应用和服务为标准。允许网络集成，使用三层交换来代替路由，能实现与广域网的集成功能；网络中使用的设备、技术和协议完全符合国际通用的标准，兼容现有的网络环境，提供良好的互联性；要求网络提供足够的带宽，丰富的接口形式，满足用户对应用带宽的基本要求，并保留一定的余量供扩展使用，最大可能地降低网络传输延迟；要求网络有很高的可靠性、稳定性及冗余，网络能够提供良好的安全性策略，能避免内部操作失误造成的损害和来自外部的恶意攻击。

3.4 设备要求

根据公司的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足公司现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。

四、网络系统设计规划

4.1 网络设计指导原则

网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证

4.2、网络设计总体目标

先进性：系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S，水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求；主干系统传输速率达到1000Mb/s,同时具有较高的带宽，满足现在和未来的图像、影像传输的需求。

灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接；布线系统适应各种计算机网络结构，如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。

实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本；布线系统具有操作简单、使用方便、易于扩展的特点。

4.3 网络技术方案设计

总体网络采用基于树型的双星型结构，使之具有链路冗余特性；整体网络规划为核心及服务器群区域，内部骨干区域（汇聚链路），接入层上联区域，客户端接入区域；核心交换机位于集团总部机房，并为双核心，使用双主干网络设计，保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行，也不用手工切换和维护，保证网络的可靠性。采用全交换硬件体系结构，可实现全线速的IP交换；网络主干采用先进的千兆位以太交换技术，可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性，使用了FEC/GEC 技术实现网络带宽的扩展，适应网络不断扩展的要求。

根据需求概括，我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换；DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品，其背板带宽高达3.2Tbps，包转发速率最大为952Mpps，具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构，关键模块均采用1:1冗余备份。可提供10GE、GE、FE等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8503（3个插槽）作为D-Link行业产品线核心交换机之一，可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、校园网核心等场所，为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。

ES-8503万兆核心路由交换机具有一下的优点：

先进的系统架构：采用了分布式、模块化设计理念，并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。

高端口密度和线速路由及交换：具有丰富的接口类型，提供10GE、GE、FE等接口。可以真正实现高端口密度和线速路由及交换。

大容量、高性能：支持高达952Mpps的路由包转发能力，并支持512K条第三层路由信息、512K第二层的MAC地址以及4096组VLAN、8K条安全和访问控制策略，保证了数据线速转发的要求。

增强的业务功能：具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能，是定位于网络核心层、实现整体网络增值的优选设备。同时，提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证（QoS）机制，可为用户开展增值业务提供强大的支持。

强大的安全功能：支持ACL安全过滤机制，可提供基于用户、地址、应用以及端口级的安全控制功能，并支持IPSec、MPLS VPN特性。同时，支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传，VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外，系统还具备完善的抗病毒机制，可以为网络运营提供全面的安全保证。

支持IPv6：全面实现了各种IPv6协议技术，包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时，实现了IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。

全面支持二、三层MPLS VPN：二层MPLS VPN支持Martini协议（VPWS）和VPLS、三层MPLS VPN采用RFC2547bis，具有良好的兼容性，可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。

电信级可靠性：系统的主控单元、电源等等关键模块均可以进行1:1方式的备份，无中断保护系统（Hitless Protection System - HPS）为DES-8500的高可靠性提供了最重要的保证，在配置冗余控制模块的情况下，它能满足最苛刻的可靠性要求。同时，DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。

统一的网管功能：

接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连，传输速率达1Gbps，采用全双工通信可达2Gbps。其物理连接采用超5类双绞线相互连接，以提供物理层、链路层及IP层的冗余连接能力。

4.4 网络安全系统设计

内网安全设计：访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。

外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与Intranet之间的防火墙功能；通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。

4.5 网络管理维护设计

根据公司和服务器应用模式及全网范围资源集中管理的原则，在公司建立中心管理机房，统一网络中的交换设备的管理配置，虚网设计和配置，各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护；进行故障隔离、分析、统计、报警、设置；网管软件采用图形化界面，支持广泛的网管平台。

五、网络布线系统设计

5.1 布线系统总体结构设计

总体4撞建筑，从总部机房用4芯单模光纤与其他3撞建筑的设备间|BD|相连，每个设备间设用五类双绞线与每层的机柜联通，并用五类双绞线从电信间与工作站相连接，公司厂区网采用 M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使集团实现与外界的信息交换和网络通信。公司统一由总部机房的一个出口访问Internet，公司能够控制网络的安全

5.2 工作区子系统设计

工作区子系统由各个单元区域构成，是计算机、电话和信息插座的连接部分，包括连接跳线和信息插座。信息插座的模块采用类RJ-45模块；线缆采用超五类双绞线；水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点，跳线可采用原装跳线与自制跳线相结合的方式，中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线，其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准，以使系统具有更好的兼容性

5.3 管理子系统设计

管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配；由各种规格的跳线实现布线系统与各种网络、通讯设备的连接，并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所，可安装配线架和计算机网络通信设备。对于信息点不是很多，使用功能近似的楼层，为便于治理，仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。

5.4 建筑群子系统设计

建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上，采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用4芯单模。

教

师

评

语

教师签名：

年 月 日