網(wǎng)絡(luò)安全解決方案概述

1、網(wǎng)絡(luò)安全解決方案概述計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需 采用分層次的拓?fù)浞雷o(hù)措施。所以，一個(gè)完整的網(wǎng)絡(luò)信息安全解決方 案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合，才能做到有的 放矢，防患于未然。一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)原則目前，對(duì)于新建網(wǎng)絡(luò)或者已投入運(yùn)行的網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò) 的安全保密問(wèn)題，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：(1)大幅度地提高系統(tǒng)的安全性和保密性；(2)保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的 透明性；(3)易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加 操作；(4)盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；(5)安全保密系統(tǒng)具

2、有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期 使用；(6)安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理 單位的檢查與監(jiān)督。依照上述思想，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則滿足因特網(wǎng)的分級(jí)管理需求 根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶(hù)眾多的特點(diǎn)，對(duì) Internet/Intranet信息安全實(shí)施分級(jí)管理的解決方案，將對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管第一級(jí)：中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶(hù)的訪問(wèn)控制； 內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級(jí)：部門(mén)級(jí)，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶(hù)的訪問(wèn)控制；同級(jí)部 門(mén)間的訪問(wèn)控制；部門(mén)網(wǎng)內(nèi)部的安全審計(jì)。第三級(jí)：終端/個(gè)人用戶(hù)級(jí)，實(shí)現(xiàn)部門(mén)網(wǎng)內(nèi)部主

3、機(jī)的訪問(wèn)控制；數(shù)據(jù) 庫(kù)及終端信息資源的安全保護(hù)。需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、 可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定 量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全 措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、 維護(hù)保障制度等）以及專(zhuān)業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻 射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往 是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、 軟件、數(shù)據(jù)等。這些環(huán)

4、節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng) 綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算 機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理 的網(wǎng)絡(luò)安全體系結(jié)構(gòu)?？捎眯栽瓌t安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高， 本身就降低了安全性，如密鑰管理就有類(lèi)似的問(wèn)題。其次，措施的采 用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度 的密碼算法。分步實(shí)施原則：分級(jí)管理分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng) 用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題 是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此

5、分 步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求， 亦可節(jié)省費(fèi)用開(kāi) 支。二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)步驟網(wǎng)絡(luò)安全需求分析確立合理的目標(biāo)基線和安全策略明確準(zhǔn)備付出的代價(jià)制定可行的技術(shù)方案工程實(shí)施方案（產(chǎn)品的選購(gòu)與定制）制定配套的法規(guī)、條例和管理辦法三、網(wǎng)絡(luò)安全需求確切了解網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問(wèn)題是建立合理安全需 求的基礎(chǔ)。一般來(lái)講，網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問(wèn)題：.局域網(wǎng)LAN內(nèi)部的安全問(wèn)題，包括網(wǎng)段的劃分以及 VLAN的實(shí)現(xiàn).在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性3,應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對(duì)網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵.如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?,加密系統(tǒng)

6、如何布置，包括建立證書(shū)管理中心、應(yīng)用系統(tǒng)集成加密等.如何實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的安全性.如何評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性四、網(wǎng)絡(luò)安全層次及安全措施網(wǎng)絡(luò)的安全層次分為：鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見(jiàn)下表：信息安全信息傳輸安全 （動(dòng)態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別防抵賴(lài)安 全 管 理信息存儲(chǔ)安全 （靜態(tài)安全）數(shù)據(jù)庫(kù)安全終端安全信息的防泄密信息內(nèi)容審計(jì)用戶(hù)鑒別授權(quán)（CA）網(wǎng)絡(luò)安全訪問(wèn)控制（防火墻）網(wǎng)絡(luò)安全檢測(cè)入侵檢測(cè)（監(jiān)控）IPSEC （IP 安全）審計(jì)分析鏈路安全鏈路加密1、鏈路安全鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對(duì)所有用戶(hù)數(shù)據(jù)一起加密，用戶(hù)數(shù)據(jù)通

7、過(guò)通信線路送到另一節(jié)點(diǎn)后 立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。網(wǎng)絡(luò)安全網(wǎng)絡(luò)的安全問(wèn)題主要是由網(wǎng)絡(luò)的開(kāi)放性、無(wú)邊界性、自由性造 成的，所以我們考慮信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由 開(kāi)放的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，成為可管理、可控制的安全 的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而 最基本的分隔手段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任 網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安 全域的隔離與訪問(wèn)控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。入侵檢測(cè)系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它位于有 敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地

8、方，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò) 違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的 網(wǎng)絡(luò)訪問(wèn)時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)， 包括實(shí) 時(shí)報(bào)警、事件登錄，自動(dòng)阻斷通信連接或執(zhí)行用戶(hù)自定義的安全策略 等。信息安全我們把信息安全定義為應(yīng)用層與數(shù)據(jù)安全。在這一層次上，主 要是應(yīng)用密碼技術(shù)解決用戶(hù)身份鑒別、用戶(hù)權(quán)限控制、數(shù)據(jù)的機(jī)密性、 完整性等網(wǎng)絡(luò)上信息的安全問(wèn)題。由于網(wǎng)絡(luò)的開(kāi)放性和資源的共享， 使得網(wǎng)絡(luò)上的信息（無(wú)論是動(dòng)態(tài)的還是靜態(tài)的）的使用和修改都是自 由的，如非法修改、越權(quán)使用、改變信息的流向等。五、網(wǎng)絡(luò)信息安全解決方案選型指導(dǎo)網(wǎng)絡(luò)安

9、全解決方案基本防護(hù)體系用戶(hù)需求：全部或部分滿足以下各項(xiàng)?解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)?解決內(nèi)部網(wǎng)安全問(wèn)題，隔離內(nèi)部不同網(wǎng)段，建立 VLAN?根據(jù)IP地址、協(xié)議類(lèi)型、端口進(jìn)行過(guò)濾?內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT功能?支持安全服務(wù)器網(wǎng)絡(luò)SSN? 通過(guò)IP地址與MAC地址對(duì)應(yīng)防止IP欺騙?基于IP地址計(jì)費(fèi)?基于IP地址的流量統(tǒng)計(jì)與限制?基于IP地址的黑白名單。?防火墻運(yùn)行在安全操作系統(tǒng)之上?防火墻為獨(dú)立硬件?防火墻無(wú)IP地址標(biāo)準(zhǔn)防護(hù)體系用戶(hù)需求：在基本防護(hù)體系配置的基礎(chǔ)之上， 全部或部分滿足以下各 項(xiàng)?提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)?用戶(hù)身份鑒別?權(quán)限控制?基

10、于用戶(hù)計(jì)費(fèi)?基于用戶(hù)的流量統(tǒng)計(jì)與控制 ? 基于 WEB的安全管理?支持VPN及其管理?支持透明接入?具有自身保護(hù)能力，防范對(duì)防火墻的常見(jiàn)攻擊強(qiáng)化防護(hù)體系用戶(hù)需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上， 全部或部分滿足以下各 項(xiàng)?網(wǎng)絡(luò)安全性檢測(cè)（包括服務(wù)器、防火墻、主機(jī)及其它 TCP/IP相關(guān) 設(shè)備）?操作系統(tǒng)安全性檢測(cè)?網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)六、電子政務(wù)網(wǎng)安全解決方案電子政務(wù)是提高政府行政效能的信息化手段，具系統(tǒng)涉及范圍大、結(jié)構(gòu)復(fù)雜，既要在政府內(nèi)部整合信息資源，又要面向廣泛的公眾 服務(wù)，同時(shí)面臨眾多內(nèi)外復(fù)雜的安全威脅， 這對(duì)電子政務(wù)信息安全保 障提出了更高的要求。一般而言，政務(wù)網(wǎng)一般分為內(nèi)網(wǎng)、外網(wǎng)、公眾網(wǎng)

11、三個(gè)部分，政務(wù) 內(nèi)網(wǎng)一般運(yùn)行涉密業(yè)務(wù)，政務(wù)外網(wǎng)運(yùn)行非涉密業(yè)務(wù)，公眾網(wǎng)為廣大用 戶(hù)提供電子政務(wù)的公共服務(wù)。安全保障體系的建立需要技術(shù)手段與管理手段相結(jié)合，依靠多 種安全技術(shù)和安全服務(wù)，充分考慮防護(hù)、檢測(cè)、響應(yīng)、審計(jì)、管理、服務(wù)等多個(gè)安全子環(huán)節(jié)，確保信息系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性、可 用性。因此，在構(gòu)建政務(wù)安全網(wǎng)時(shí)，要針對(duì)發(fā)生威脅發(fā)作前、發(fā)作中 和發(fā)作后三個(gè)不同的時(shí)期，要采取相應(yīng)對(duì)的控制手段，有效地使用正 確的處理方法，保障信息系統(tǒng)的安全性。具體要做到：1、安全防護(hù)體系：縱深防御，等級(jí)化保護(hù)；2、安全檢測(cè)與響應(yīng)體系：實(shí)時(shí)監(jiān)測(cè)、 積極響應(yīng)；3、安全審計(jì)體系：事后檢查、主動(dòng)追蹤；3、安全備份系 統(tǒng)：業(yè)

12、務(wù)連續(xù)性計(jì)劃的最后保證；4、安全管理系統(tǒng)：集中管理、統(tǒng) 一保障。在政務(wù)網(wǎng)安全解決方案中，除了全面結(jié)合政務(wù)網(wǎng)結(jié)構(gòu)特點(diǎn)外， 還充分考慮到安全保障體系實(shí)施完畢后，需要有一個(gè)專(zhuān)門(mén)的安全運(yùn)維 中心SOC （Security Operation Centej）的應(yīng)用需求，安全解決方案將 政務(wù)網(wǎng)的安全區(qū)域劃分為外網(wǎng)工作及服務(wù)器、內(nèi)網(wǎng)工作及服務(wù)器、外 網(wǎng)安全管控中心（SOC）、內(nèi)網(wǎng)安全管控中心（SOC）和公共服務(wù)器等五個(gè)區(qū)域，并針對(duì)不同的區(qū)域，采用不同的安全策略。internet一SJW11密碼機(jī).過(guò)濾網(wǎng)關(guān)系統(tǒng).公眾網(wǎng)服務(wù)器描系統(tǒng) 控中心 理系統(tǒng)計(jì)系統(tǒng) 系統(tǒng)內(nèi)網(wǎng)安全管控中心描系統(tǒng) 控中心理系統(tǒng)計(jì)系統(tǒng) 系統(tǒng)外網(wǎng)安全管控中心internet一SJW11密碼機(jī).過(guò)濾網(wǎng)關(guān)系統(tǒng).公眾網(wǎng)服務(wù)器描系統(tǒng) 控中心 理系統(tǒng)計(jì)系統(tǒng) 系統(tǒng)內(nèi)網(wǎng)安全管控中心描系統(tǒng) 控中心理系統(tǒng)計(jì)系統(tǒng) 系統(tǒng)外網(wǎng)安全管控中心圖一、電子政務(wù)網(wǎng)安全解決方案以上方案中，網(wǎng)絡(luò)內(nèi)部部署了 SJW11網(wǎng)絡(luò)密碼機(jī)保證通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密性、完整性、源發(fā)性；通過(guò)在不同安全區(qū)域邊界出部 署天融信NGFW4000系列防火墻，保證邊界訪問(wèn)安全；通過(guò)在內(nèi)外 網(wǎng)之間部署網(wǎng)閘設(shè)備，保證了內(nèi)外網(wǎng)的物理隔離；通過(guò)在內(nèi)外網(wǎng)核心 交換機(jī)部署天融信入侵檢測(cè)系統(tǒng)，能夠?qū)崟r(shí)監(jiān)測(cè)到網(wǎng)絡(luò)內(nèi)的攻擊行 為；通過(guò)設(shè)立專(zhuān)門(mén)的安全管控中心，部署天融信審計(jì)