網(wǎng)絡(luò)安全設(shè)計(jì)方案

可用 。機(jī)密 。完整 ?？蓪彶?訪問(wèn)控 數(shù)據(jù)加 安全審 ．３ 設(shè)備選 。網(wǎng)絡(luò)安 訪問(wèn)控制………。入侵檢 。４、總 通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問(wèn)題,我們需要制訂合理的安全方略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性.即，可用性 授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù) 完整性:確保數(shù)據(jù)不被未授權(quán)修改可控性：控制授權(quán)范疇內(nèi)的信息流向及操作方式訪問(wèn)控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制。同樣，對(duì)內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的ＬAN數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中避免非法竊取、篡改信息的有效手段.(１)內(nèi)部竊密和破壞?由于公司網(wǎng)絡(luò)上同時(shí)接入了其它部門(mén)的網(wǎng)絡(luò)系統(tǒng),因此容易出這種風(fēng)險(xiǎn)是必須采用方法進(jìn)行防備的.?（2）搭線(網(wǎng)絡(luò)）竊聽(tīng)ＩNTERＮETNTＥRNET,并非常容易地在信息傳輸過(guò)程中獲取全I(xiàn)NTERＮET通信（與上級(jí)、下級(jí)）這種威脅等級(jí)是相稱高的，因此也是本方案考慮的重點(diǎn)。?（3)假這種威脅既可能來(lái)自公司網(wǎng)內(nèi)部顧客，也可能來(lái)自ＩNTEＲNET（４）這種威脅重要指信息在傳輸過(guò)程中或者存儲(chǔ)期間被篡改或修改,使得信息／數(shù)據(jù)失去XXX信息，因此那些不懷好意的顧客和非法顧客就會(huì)通過(guò)網(wǎng)絡(luò)對(duì)沒(méi)有采用安全方法的服務(wù)器上的重要文獻(xiàn)進(jìn)行修改或傳達(dá)某些虛假信息，從而影響工作的正常進(jìn)行。(5)其它網(wǎng)絡(luò)的攻擊? 公司網(wǎng)絡(luò)系統(tǒng)是接入到ＩNTEＲＮET上的,這樣就有可能會(huì) 安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。?（雷擊?由于網(wǎng)絡(luò)系統(tǒng)中涉及諸多的網(wǎng)絡(luò)設(shè)備、終端、線路等,而這些都是通過(guò)通信電纜進(jìn)行傳輸，因此極易受到雷擊,造成連鎖反映,使整個(gè)網(wǎng)絡(luò)癱瘓,設(shè)備損壞,造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危?（１）②驅(qū)動(dòng)與驅(qū)動(dòng)的聯(lián)動(dòng)ＩPDNＡ④流量去向（（FＷ(IＤＳ重要是數(shù)據(jù)加密保護(hù)?重要網(wǎng)絡(luò)安全隔離?通用方法是采用防火墻?網(wǎng)絡(luò)病毒防護(hù)?采用網(wǎng)絡(luò)防病毒系統(tǒng)?廣域網(wǎng)接入部分的入侵檢測(cè)?采用入侵檢測(cè)系統(tǒng)? 網(wǎng)絡(luò)傳輸?由于公司中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為公司內(nèi)部網(wǎng)絡(luò)，INＴERＮEＴ相連，通過(guò)AＤSL接入,并INＴEＲＮET由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、公司等顧客采用ＶＰN公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng),因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用ＶPＮ設(shè)備來(lái)構(gòu)ＶPN根據(jù)公司三級(jí)網(wǎng)絡(luò)構(gòu)造,VＰN圖為三級(jí)VPNCAVＰNＰNVPN網(wǎng)絡(luò)隔離保護(hù) 與ＩNＴＥRＮET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的互相訪問(wèn) 其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)立以下圖： 圖為中心網(wǎng)絡(luò)ＶPNVPNCAVPNVPN將對(duì)外服務(wù)器放置于ＶPNDMZ控制內(nèi)網(wǎng)的對(duì)外訪問(wèn)、統(tǒng)計(jì)日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。?下級(jí)單位的VＰN設(shè)備放置以下圖所示:VPN從圖可知,下屬機(jī)構(gòu)的VPＮ設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間,其配備、管理由上級(jí)機(jī)單位來(lái)講將是一筆不小的費(fèi)用.?由于網(wǎng)絡(luò)安全的是一種綜合的系統(tǒng)工程,是由許多因素INＴＥRNＥT設(shè)立惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重減少或癱瘓等，因此，采用對(duì)應(yīng)的安全方法是必不可少的.普通,對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的,本方案中選擇帶防火墻功效Ｎ設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足下列幾個(gè)方面的規(guī)定：嚴(yán)禁外部非法顧客對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn) 控制內(nèi)部顧客對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò) IPIP 由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采用 產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)（ＩＤＳ）可與安全ＶPN系統(tǒng)形成互補(bǔ)。入侵檢E－mai