網(wǎng)絡安全解決方案概述

1、網(wǎng)絡安全解決方案概述計算機網(wǎng)絡是一個分層次的拓撲結(jié)構，因此網(wǎng)絡的安全防護也需 采用分層次的拓撲防護措施。所以，一個完整的網(wǎng)絡信息安全解決方 案應該覆蓋網(wǎng)絡的各個層次，并且與安全管理相結(jié)合，才能做到有的 放矢，防患于未然。一、網(wǎng)絡信息安全系統(tǒng)設計原則目前，對于新建網(wǎng)絡或者已投入運行的網(wǎng)絡，必須盡快解決網(wǎng)絡 的安全保密問題，設計時應遵循如下思想：(1)大幅度地提高系統(tǒng)的安全性和保密性；(2)保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的 透明性；(3)易于操作、維護，并便于自動化管理，而不增加或少增加附加 操作；(4)盡量不影響原網(wǎng)絡拓撲結(jié)構，便于系統(tǒng)及系統(tǒng)功能的擴展；(5)安全保密系統(tǒng)具

2、有較好的性能價格比，一次性投資，可以長期 使用；(6)安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理 單位的檢查與監(jiān)督。依照上述思想，網(wǎng)絡信息安全系統(tǒng)應遵循如下設計原則滿足因特網(wǎng)的分級管理需求 根據(jù)Internet網(wǎng)絡規(guī)模大、用戶眾多的特點，對 Internet/Intranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管第一級：中心級網(wǎng)絡，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制； 內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部 門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計。第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主

3、機的訪問控制；數(shù)據(jù) 庫及終端信息資源的安全保護。需求、風險、代價平衡的原則對一個網(wǎng)絡進行實際額研究（包括任務、性能、結(jié)構、可靠性、 可維護性等），并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定 量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。綜合性、整體性原則應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全 措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、 維護保障制度等）以及專業(yè)措施（識別技術、存取控制、密碼、低輻 射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往 是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡，包括個人、設備、 軟件、數(shù)據(jù)等。這些環(huán)

4、節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng) 綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算 機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理 的網(wǎng)絡安全體系結(jié)構?？捎眯栽瓌t安全措施需要人為去完成，如果措施過于復雜，對人的要求過高， 本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采 用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度 的密碼算法。分步實施原則：分級管理分步實施由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應 用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題 是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此

5、分 步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求， 亦可節(jié)省費用開 支。二、網(wǎng)絡信息安全系統(tǒng)設計步驟網(wǎng)絡安全需求分析確立合理的目標基線和安全策略明確準備付出的代價制定可行的技術方案工程實施方案（產(chǎn)品的選購與定制）制定配套的法規(guī)、條例和管理辦法三、網(wǎng)絡安全需求確切了解網(wǎng)絡信息系統(tǒng)需要解決哪些安全問題是建立合理安全需 求的基礎。一般來講，網(wǎng)絡信息系統(tǒng)需要解決如下安全問題：.局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及 VLAN的實現(xiàn).在連接Internet時，如何在網(wǎng)絡層實現(xiàn)安全性3,應用系統(tǒng)如何保證安全性l如何防止黑客對網(wǎng)絡、主機、服務器等的入侵.如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?,加密系統(tǒng)

6、如何布置，包括建立證書管理中心、應用系統(tǒng)集成加密等.如何實現(xiàn)遠程訪問的安全性.如何評價網(wǎng)絡系統(tǒng)的整體安全性四、網(wǎng)絡安全層次及安全措施網(wǎng)絡的安全層次分為：鏈路安全、網(wǎng)絡安全、信息安全網(wǎng)絡的安全層次及在相應層次上采取的安全措施見下表：信息安全信息傳輸安全 （動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別防抵賴安 全 管 理信息存儲安全 （靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權（CA）網(wǎng)絡安全訪問控制（防火墻）網(wǎng)絡安全檢測入侵檢測（監(jiān)控）IPSEC （IP 安全）審計分析鏈路安全鏈路加密1、鏈路安全鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通

7、過通信線路送到另一節(jié)點后 立即解密。加密后的數(shù)據(jù)不能進行路由交換。網(wǎng)絡安全網(wǎng)絡的安全問題主要是由網(wǎng)絡的開放性、無邊界性、自由性造 成的，所以我們考慮信息網(wǎng)絡的安全首先應該考慮把被保護的網(wǎng)絡由 開放的、無邊界的網(wǎng)絡環(huán)境中獨立出來，成為可管理、可控制的安全 的內(nèi)部網(wǎng)絡。也只有做到這一點，實現(xiàn)信息網(wǎng)絡的安全才有可能，而 最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)（信任 網(wǎng)絡）與外部不可信任網(wǎng)絡（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安 全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。入侵檢測系統(tǒng)是實時網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。它位于有 敏感數(shù)據(jù)需要保護的網(wǎng)絡上或網(wǎng)絡上任何有風險存在的地

8、方，通過實時截獲網(wǎng)絡數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡 違規(guī)模式和未授權的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權的 網(wǎng)絡訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應， 包括實 時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略 等。信息安全我們把信息安全定義為應用層與數(shù)據(jù)安全。在這一層次上，主 要是應用密碼技術解決用戶身份鑒別、用戶權限控制、數(shù)據(jù)的機密性、 完整性等網(wǎng)絡上信息的安全問題。由于網(wǎng)絡的開放性和資源的共享， 使得網(wǎng)絡上的信息（無論是動態(tài)的還是靜態(tài)的）的使用和修改都是自 由的，如非法修改、越權使用、改變信息的流向等。五、網(wǎng)絡信息安全解決方案選型指導網(wǎng)絡安

9、全解決方案基本防護體系用戶需求：全部或部分滿足以下各項?解決內(nèi)外網(wǎng)絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡?解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立 VLAN?根據(jù)IP地址、協(xié)議類型、端口進行過濾?內(nèi)外網(wǎng)絡采用兩套IP地址，需要網(wǎng)絡地址轉(zhuǎn)換 NAT功能?支持安全服務器網(wǎng)絡SSN? 通過IP地址與MAC地址對應防止IP欺騙?基于IP地址計費?基于IP地址的流量統(tǒng)計與限制?基于IP地址的黑白名單。?防火墻運行在安全操作系統(tǒng)之上?防火墻為獨立硬件?防火墻無IP地址標準防護體系用戶需求：在基本防護體系配置的基礎之上， 全部或部分滿足以下各 項?提供應用代理服務，隔離內(nèi)外網(wǎng)絡?用戶身份鑒別?權限控制?基

10、于用戶計費?基于用戶的流量統(tǒng)計與控制 ? 基于 WEB的安全管理?支持VPN及其管理?支持透明接入?具有自身保護能力，防范對防火墻的常見攻擊強化防護體系用戶需求：在標準防護體系配置的基礎之上， 全部或部分滿足以下各 項?網(wǎng)絡安全性檢測（包括服務器、防火墻、主機及其它 TCP/IP相關 設備）?操作系統(tǒng)安全性檢測?網(wǎng)絡監(jiān)控與入侵檢測六、電子政務網(wǎng)安全解決方案電子政務是提高政府行政效能的信息化手段，具系統(tǒng)涉及范圍大、結(jié)構復雜，既要在政府內(nèi)部整合信息資源，又要面向廣泛的公眾 服務，同時面臨眾多內(nèi)外復雜的安全威脅， 這對電子政務信息安全保 障提出了更高的要求。一般而言，政務網(wǎng)一般分為內(nèi)網(wǎng)、外網(wǎng)、公眾網(wǎng)

11、三個部分，政務 內(nèi)網(wǎng)一般運行涉密業(yè)務，政務外網(wǎng)運行非涉密業(yè)務，公眾網(wǎng)為廣大用 戶提供電子政務的公共服務。安全保障體系的建立需要技術手段與管理手段相結(jié)合，依靠多 種安全技術和安全服務，充分考慮防護、檢測、響應、審計、管理、服務等多個安全子環(huán)節(jié)，確保信息系統(tǒng)和數(shù)據(jù)的機密性、完整性、可 用性。因此，在構建政務安全網(wǎng)時，要針對發(fā)生威脅發(fā)作前、發(fā)作中 和發(fā)作后三個不同的時期，要采取相應對的控制手段，有效地使用正 確的處理方法，保障信息系統(tǒng)的安全性。具體要做到：1、安全防護體系：縱深防御，等級化保護；2、安全檢測與響應體系：實時監(jiān)測、 積極響應；3、安全審計體系：事后檢查、主動追蹤；3、安全備份系 統(tǒng)：業(yè)

12、務連續(xù)性計劃的最后保證；4、安全管理系統(tǒng)：集中管理、統(tǒng) 一保障。在政務網(wǎng)安全解決方案中，除了全面結(jié)合政務網(wǎng)結(jié)構特點外， 還充分考慮到安全保障體系實施完畢后，需要有一個專門的安全運維 中心SOC （Security Operation Centej）的應用需求，安全解決方案將 政務網(wǎng)的安全區(qū)域劃分為外網(wǎng)工作及服務器、內(nèi)網(wǎng)工作及服務器、外 網(wǎng)安全管控中心（SOC）、內(nèi)網(wǎng)安全管控中心（SOC）和公共服務器等五個區(qū)域，并針對不同的區(qū)域，采用不同的安全策略。internet一SJW11密碼機.過濾網(wǎng)關系統(tǒng).公眾網(wǎng)服務器描系統(tǒng) 控中心 理系統(tǒng)計系統(tǒng) 系統(tǒng)內(nèi)網(wǎng)安全管控中心描系統(tǒng) 控中心理系統(tǒng)計系統(tǒng) 系統(tǒng)外網(wǎng)安全管控中心internet一SJW11密碼機.過濾網(wǎng)關系統(tǒng).公眾網(wǎng)服務器描系統(tǒng) 控中心 理系統(tǒng)計系統(tǒng) 系統(tǒng)內(nèi)網(wǎng)安全管控中心描系統(tǒng) 控中心理系統(tǒng)計系統(tǒng) 系統(tǒng)外網(wǎng)安全管控中心圖一、電子政務網(wǎng)安全解決方案以上方案中，網(wǎng)絡內(nèi)部部署了 SJW11網(wǎng)絡密碼機保證通過網(wǎng)絡傳輸數(shù)據(jù)的機密性、完整性、源發(fā)性；通過在不同安全區(qū)域邊界出部 署天融信NGFW4000系列防火墻，保證邊界訪問安全；通過在內(nèi)外 網(wǎng)之間部署網(wǎng)閘設備，保證了內(nèi)外網(wǎng)的物理隔離；通過在內(nèi)外網(wǎng)核心 交換機部署天融信入侵檢測系統(tǒng)，能夠?qū)崟r監(jiān)測到網(wǎng)絡內(nèi)的攻擊行 為；通過設立專門的安全管控中心，部署天融信審計