網(wǎng)絡(luò)安全解決方案概述

網(wǎng)絡(luò)安全解決方案概述網(wǎng)絡(luò)安全解決方案概述計算機(jī)網(wǎng)絡(luò)是一個分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。所以，一個完整的網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層次，并且與安全管理相結(jié)合，才能做到有的放矢，防患于未然。網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計原則目前，對于新建網(wǎng)絡(luò)或者已投入運行的網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò)的安全保密問題，設(shè)計時應(yīng)遵循如下思想：（1）大幅度地提高系統(tǒng)的安全性和保密性；（2）保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；（3）易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；（4）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；（5）安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；（6）安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。依照上述思想，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計原則滿足因特網(wǎng)的分級管理需求網(wǎng)絡(luò)安全解決方案概述全文共1頁，當(dāng)前為第1頁。根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點，對Internet/Intranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。網(wǎng)絡(luò)安全解決方案概述全文共1頁，當(dāng)前為第1頁。第一級：中心級網(wǎng)絡(luò)，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計。第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護(hù)。需求、風(fēng)險、代價平衡的原則對一個網(wǎng)絡(luò)進(jìn)行實際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。網(wǎng)絡(luò)安全解決方案概述全文共2頁，當(dāng)前為第2頁。可用性原則網(wǎng)絡(luò)安全解決方案概述全文共2頁，當(dāng)前為第2頁。安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。分步實施原則：分級管理分步實施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計步驟網(wǎng)絡(luò)安全需求分析確立合理的目標(biāo)基線和安全策略明確準(zhǔn)備付出的代價制定可行的技術(shù)方案工程實施方案（產(chǎn)品的選購與定制）制定配套的法規(guī)、條例和管理辦法三、網(wǎng)絡(luò)安全需求確切了解網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求的基礎(chǔ)。一般來講，網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題：網(wǎng)絡(luò)安全解決方案概述全文共3頁，當(dāng)前為第3頁。局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實現(xiàn)網(wǎng)絡(luò)安全解決方案概述全文共3頁，當(dāng)前為第3頁。在連接Internet時，如何在網(wǎng)絡(luò)層實現(xiàn)安全性應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄约用芟到y(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等如何實現(xiàn)遠(yuǎn)程訪問的安全性如何評價網(wǎng)絡(luò)系統(tǒng)的整體安全性四、網(wǎng)絡(luò)安全層次及安全措施網(wǎng)絡(luò)的安全層次分為:鏈路安全、網(wǎng)絡(luò)安全、信息安全。網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見下表：PRIVATE信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別防抵賴安全管理信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)（CA）網(wǎng)絡(luò)安全訪問控制（防火墻)網(wǎng)絡(luò)安全檢測入侵檢測（監(jiān)控)IPSEC（IP安全）審計分析鏈路安全鏈路加密鏈路安全網(wǎng)絡(luò)安全解決方案概述全文共4頁，當(dāng)前為第4頁。鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。網(wǎng)絡(luò)安全解決方案概述全文共4頁，當(dāng)前為第4頁。網(wǎng)絡(luò)安全網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以我們考慮信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點，實現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。入侵檢測系統(tǒng)是實時網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險存在的地方，通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。信息安全我們把信息安全定義為應(yīng)用層與數(shù)據(jù)安全。在這一層次上，主要是應(yīng)用密碼技術(shù)解決用戶身份鑒別、用戶權(quán)限控制、數(shù)據(jù)的機(jī)密性、完整性等網(wǎng)絡(luò)上信息的安全問題。由于網(wǎng)絡(luò)的開放性和資源的共享，使得網(wǎng)絡(luò)上的信息（無論是動態(tài)的還是靜態(tài)的）的使用和修改都是自由的，如非法修改、越權(quán)使用、改變信息的流向等。網(wǎng)絡(luò)安全解決方案概述全文共5頁，當(dāng)前為第5頁。五、網(wǎng)絡(luò)信息安全解決方案選型指導(dǎo)網(wǎng)絡(luò)安全解決方案概述全文共5頁，當(dāng)前為第5頁。網(wǎng)絡(luò)安全解決方案基本防護(hù)體系用戶需求：全部或部分滿足以下各項? 解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)? 解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN? 根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾? 內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能? 支持安全服務(wù)器網(wǎng)絡(luò)SSN? 通過IP地址與MAC地址對應(yīng)防止IP欺騙? 基于IP地址計費? 基于IP地址的流量統(tǒng)計與限制? 基于IP地址的黑白名單。? 防火墻運行在安全操作系統(tǒng)之上? 防火墻為獨立硬件? 防火墻無IP地址標(biāo)準(zhǔn)防護(hù)體系用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項? 提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)? 用戶身份鑒別? 權(quán)限控制網(wǎng)絡(luò)安全解決方案概述全文共6頁，當(dāng)前為第6頁。? 基于用戶計費網(wǎng)絡(luò)安全解決方案概述全文共6頁，當(dāng)前為第6頁。? 基于用戶的流量統(tǒng)計與控制? 基于WEB的安全管理? 支持VPN及其管理? 支持透明接入? 具有自身保護(hù)能力，防范對防火墻的常見攻擊強(qiáng)化防護(hù)體系用戶需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項? 網(wǎng)絡(luò)安全性檢測（包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備）? 操作系統(tǒng)安全性檢測? 網(wǎng)絡(luò)監(jiān)控與入侵檢測六、電子政務(wù)網(wǎng)安全解決方案電子政務(wù)是提高政府行政效能的信息化手段，其系統(tǒng)涉及范圍大、結(jié)構(gòu)復(fù)雜，既要在政府內(nèi)部整合信息資源，又要面向廣泛的公眾服務(wù)，同時面臨眾多內(nèi)外復(fù)雜的安全威脅，這對電子政務(wù)信息安全保障提出了更高的要求。一般而言，政務(wù)網(wǎng)一般分為內(nèi)網(wǎng)、外網(wǎng)、公眾網(wǎng)三個部分，政務(wù)內(nèi)網(wǎng)一般運行涉密業(yè)務(wù)，政務(wù)外網(wǎng)運行非涉密業(yè)務(wù)，公眾網(wǎng)為廣大用戶提供電子政務(wù)的公共服務(wù)。網(wǎng)絡(luò)安全解決方案概述全文共7頁，當(dāng)前為第7頁。安全保障體系的建立需要技術(shù)手段與管理手段相結(jié)合，依靠多種安全技術(shù)和安全服務(wù)，充分考慮防護(hù)、檢測、響應(yīng)、審計、管理、服務(wù)等多個安全子環(huán)節(jié)，確保信息系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性、可用性。網(wǎng)絡(luò)安全解決方案概述全文共7頁，當(dāng)前為第7頁。因此，在構(gòu)建政務(wù)安全網(wǎng)時，要針對發(fā)生威脅發(fā)作前、發(fā)作中和發(fā)作后三個不同的時期，要采取相應(yīng)對的控制手段，有效地使用正確的處理方法，保障信息系統(tǒng)的安全性。具體要做到：1、安全防護(hù)體系：縱深防御，等級化保護(hù)；2、安全檢測與響應(yīng)體系：實時監(jiān)測、積極響應(yīng)；3、安全審計體系：事后檢查、主動追蹤；3、安全備份系統(tǒng)：業(yè)務(wù)連續(xù)性計劃的最后保證；4、安全管理系統(tǒng)：集中管理、統(tǒng)一保障。網(wǎng)絡(luò)安全解決方案概述全文共8頁，當(dāng)前為第8頁。在政務(wù)網(wǎng)安全解決方案中，除了全面結(jié)合政務(wù)網(wǎng)結(jié)構(gòu)特點外，還充分考慮到安全保障體系實施完畢后，需要有一個專門的安全運維中心SOC（SecurityOperationCenter）的應(yīng)用需求，安全解決方案將政務(wù)網(wǎng)的安全區(qū)域劃分為外網(wǎng)工作及服務(wù)器、內(nèi)網(wǎng)工作及服務(wù)器、外網(wǎng)安全管控中心（SOC）、內(nèi)網(wǎng)安全管控中心（SOC）和公共服務(wù)器等五個區(qū)域，并針對不同的區(qū)域，采用不同的安全策略。網(wǎng)絡(luò)安全解決方案概述全文共8頁，當(dāng)前為第8頁。圖一、電子政務(wù)網(wǎng)安全解決方案網(wǎng)絡(luò)安全解決方案概述全文共9頁，當(dāng)前為第9頁。以上方案中，網(wǎng)絡(luò)內(nèi)部部署了SJW11網(wǎng)絡(luò)密碼機(jī)保證通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密性、完整性、源發(fā)性；通過在不同安全區(qū)域邊界出部署天融信NGFW4000系列防火墻，保證邊界訪問安全；通過在內(nèi)外網(wǎng)之間部署網(wǎng)閘設(shè)備，保證了內(nèi)外網(wǎng)的物理隔離；通過在內(nèi)外網(wǎng)核心交換機(jī)部署天融信入侵檢測系統(tǒng)，能夠?qū)崟r監(jiān)測到網(wǎng)絡(luò)內(nèi)的攻擊行為；通過設(shè)立專門的安全管控中心，部署天融信審計產(chǎn)品(TA)，安全管理系統(tǒng)（TSM）,漏洞掃描產(chǎn)品、數(shù)據(jù)備份產(chǎn)品，對全網(wǎng)安全進(jìn)行監(jiān)控、管理。網(wǎng)絡(luò)安全解決方案概述全文共9頁，當(dāng)前為第9頁。通過以上對政務(wù)網(wǎng)安全解決方案來看，政務(wù)網(wǎng)的安全