網(wǎng)絡(luò)安全技術(shù)與實踐網(wǎng)絡(luò)安全新技術(shù)及解決方案

*第12章網(wǎng)絡(luò)安全新技術(shù)及解決方案信息安全概論*第12章網(wǎng)絡(luò)安全新技術(shù)及解決方案信息安全概論目錄

12.2網(wǎng)絡(luò)安全解決方案概述2

12.3網(wǎng)絡(luò)安全需求分析及任務(wù)3

12.4網(wǎng)絡(luò)安全解決方案設(shè)計4

12.1網(wǎng)絡(luò)安全新技術(shù)概述1

*12.6電力網(wǎng)絡(luò)安全解決方案6*12.5金融網(wǎng)絡(luò)安全解決方案5

12.7本章小結(jié)7目錄12.2網(wǎng)絡(luò)安全解決方案概述2122教學(xué)目標(biāo)

教學(xué)目標(biāo)●了解網(wǎng)絡(luò)安全新技術(shù)的概念、特點和應(yīng)用●理解安全解決方案的概念、要點、要求和任務(wù)●理解安全解決方案設(shè)計原則和質(zhì)量標(biāo)準(zhǔn)●掌握安全解決方案的分析與設(shè)計、案例與編寫重點重點教學(xué)目標(biāo)教學(xué)目標(biāo)重點重點312.1網(wǎng)絡(luò)安全新技術(shù)概述

12.1.1可信計算概述

中國可信計算聯(lián)盟成立。以密碼技術(shù)為支持，以安全操作系統(tǒng)為核心的可信計算技術(shù)，已成為國家信息安全領(lǐng)域的發(fā)展要務(wù)。為確?？尚庞嬎慵夹g(shù)發(fā)展，由16個企業(yè)、安全機(jī)構(gòu)和大學(xué)發(fā)起的中國可信計算聯(lián)盟于2008年4月25日成立。目前，我國關(guān)鍵信息產(chǎn)品大部分采用國外產(chǎn)品，對于金融、政府、軍隊、通信等重要部門以及廣大用戶，可信計算產(chǎn)品的應(yīng)用將為解決安全難題打下堅實基礎(chǔ)，對構(gòu)建我國自主產(chǎn)權(quán)的可信計算平臺起到巨大推動作用。

中國工程院院士沈昌祥指出：作為國家信息安全基礎(chǔ)建設(shè)的重要組成部分，自主創(chuàng)新的可信計算平臺和相關(guān)產(chǎn)品實質(zhì)上也是國家主權(quán)的一部分。只有掌握關(guān)鍵技術(shù)，才能提升我國信息安全核心競爭力。打造我國可信計算技術(shù)產(chǎn)業(yè)鏈，形成和完善中國可信計算標(biāo)準(zhǔn)，并在國際標(biāo)準(zhǔn)中占有一席之地，需要走聯(lián)合發(fā)展的道路。案例12-112.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述4

12.1.1可信計算概述1．可信計算的相關(guān)概念

可信計算（TrustedComputing）是一種基于可信機(jī)制的計算方式，以提高系統(tǒng)整體的安全性。也稱為可信用計算，是一項由可信計算組推動和開發(fā)的技術(shù)。對于可信計算可從多方面理解。用戶身份認(rèn)證，是對使用者的信任；平臺軟硬件配置的正確性，體現(xiàn)了使用者對平臺運行環(huán)境的信任；應(yīng)用程序的完整性和合法性，體現(xiàn)了應(yīng)用程序運行的可信；平臺之間的可驗證性，指網(wǎng)絡(luò)環(huán)境下平臺之間的相互信任?？尚庞嬎慵夹g(shù)的核心是可信平臺模塊（TPM

）的安全芯片。TPM是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng)，以TPM為基礎(chǔ)，可信機(jī)制主要體現(xiàn)在三個方面：（1）可信的度量（2）度量的存儲（3）度量的報告12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述12.1網(wǎng)絡(luò)安全新技術(shù)概述5

12.1.1可信計算概述2.可信計算的產(chǎn)生與發(fā)展據(jù)中國信息安全專家《軟件行為學(xué)》所述,影響網(wǎng)絡(luò)安全的行為安全包括:行為的機(jī)密性、完整性、真實性等特征?？尚庞嬎阌尚袨榘踩a(chǎn)生，并非由可信計算組織率先提出?？尚鸥拍钤缭陂倨陀?目標(biāo)是提出一種可超越預(yù)設(shè)安全規(guī)則，執(zhí)行特殊行為的運行實體。操作系統(tǒng)中將這個實體運行的環(huán)境稱為可信計算基（TrustedComputingBase,TCB）。為了實現(xiàn)這個目標(biāo)，人們從20世紀(jì)70年代后一直不懈努力。從應(yīng)用程序?qū)用妗⒉僮飨到y(tǒng)層面、硬件層面提出的TCB較多。最實用的是以硬件平臺為基礎(chǔ)的可信計算平臺，包括安全協(xié)處理器、密碼加速器、個人令牌、軟件狗、可信平臺模塊、增強(qiáng)型CPU、安全設(shè)備和多功能設(shè)備。目標(biāo)是實現(xiàn)：數(shù)據(jù)的真實性、機(jī)密性、數(shù)據(jù)保護(hù)及代碼的真實性、代碼的機(jī)密性和代碼的保護(hù)。根據(jù)S.W.Smith的著作《可信計算平臺：設(shè)計與應(yīng)用》，這些平臺的實現(xiàn)目的包括兩個層面的意思：一是保護(hù)指定的數(shù)據(jù)存儲區(qū)，防止不法者實施特定類型的物理訪問。二是賦予所有在計算平臺上執(zhí)行的代碼，以證明其在一個未被篡改環(huán)境中運行的能力。12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述12.1網(wǎng)絡(luò)安全新技術(shù)概述6

12.1.1可信計算概述3.可信計算的典型應(yīng)用（1）數(shù)字版權(quán)管理（2）身份盜用保護(hù)（3）保護(hù)系統(tǒng)不受病毒和間諜軟件危害（4）保護(hù)生物識別身份驗證數(shù)據(jù)（5）核查遠(yuǎn)程網(wǎng)格計算的計算結(jié)果（6）防止在線模擬訓(xùn)練或作弊拓展閱讀：中國的管理和科研機(jī)構(gòu)對可信計算給予高度重視，對可信計算投入了大量的經(jīng)費支持。如中國國家密碼管理委員會組織了可信密碼模塊的標(biāo)準(zhǔn)制定，并在其官方網(wǎng)站上提供了部分標(biāo)準(zhǔn)。中國科技部的863、973計劃開展了可信計算技術(shù)的項目專題研究，自然基金委開展了“可信軟件”的重大專項研究計劃支持。12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述12.1網(wǎng)絡(luò)安全新技術(shù)概述7

12.1.2云安全技術(shù)

1．云安全的概念

云安全（CloudSecurity）融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，是云計算技術(shù)在信息安全領(lǐng)域的應(yīng)用。是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端，構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的安全體系。

2.云安全關(guān)鍵技術(shù)

可信云安全的關(guān)鍵技術(shù)主要包括：可信密碼學(xué)技術(shù)、可信模式識別技術(shù)、可信融合驗證技術(shù)、可信“零知識”挑戰(zhàn)應(yīng)答技術(shù)、可信云計算安全架構(gòu)技術(shù)等。12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.2云安全技術(shù)2.云安全關(guān)鍵技術(shù)128

云安全技術(shù)應(yīng)用案例。在最近幾年的新技術(shù)成果中，可信云電子證書發(fā)放過程，如圖12-1所示?？尚旁贫嘶拥亩私尤脒^程，如圖12-2所示。

圖12-1可信云電子證書應(yīng)用圖12-2可信云端互動的端接入過程案例12-212.1網(wǎng)絡(luò)安全新技術(shù)概述圖12-1可信云電子證書應(yīng)用9

3.云安全技術(shù)應(yīng)用案例趨勢科技在Web安全威脅方面，利用云安全技術(shù)取得很好的效果。云安全6大應(yīng)用：（1）Web信譽(yù)服務(wù)（2）電子郵件信譽(yù)服務(wù)（3）文件信譽(yù)服務(wù)（4）行為關(guān)聯(lián)分析技術(shù)（5）自動反饋機(jī)制（6）威脅信息匯總12.1網(wǎng)絡(luò)安全新技術(shù)概述3.云安全技術(shù)應(yīng)用案例12.1網(wǎng)絡(luò)安全新技術(shù)概述10

12.1.3網(wǎng)格安全技術(shù)1．網(wǎng)格安全技術(shù)的概念

網(wǎng)格是一種虛擬計算環(huán)境，利用計算機(jī)網(wǎng)絡(luò)將分布異地的計算、存儲、網(wǎng)絡(luò)、軟件、信息、知識等資源連成一個邏輯整體,如同一臺超級計算機(jī)為用戶提供一體化的信息應(yīng)用服務(wù),實現(xiàn)互聯(lián)網(wǎng)上所有資源的全面連通與共享,消除信息孤島和資源孤島.網(wǎng)格作為一種先進(jìn)的技術(shù)和基礎(chǔ)設(shè)施，已經(jīng)得到廣泛的應(yīng)用。同時，由于其動態(tài)性和多樣性的環(huán)境特點帶來新的安全挑戰(zhàn)，需要新的安全技術(shù)方案解決,并考慮兼容流行的各種安全模型、安全機(jī)制、協(xié)議、平臺和技術(shù),通過某種方法實現(xiàn)多種系統(tǒng)間互操作安全.網(wǎng)格安全技術(shù)是指保護(hù)網(wǎng)格安全的技術(shù)、方法、策略、機(jī)制、手段和措施。2.網(wǎng)格安全技術(shù)的特點（1）異構(gòu)資源管理（2）可擴(kuò)展性（3）結(jié)構(gòu)不可預(yù)測性（4）多級管理域12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.3網(wǎng)格安全技術(shù)12.1網(wǎng)絡(luò)安全新技術(shù)概述11

3.網(wǎng)格安全技術(shù)的需求（1）認(rèn)證需求（2）安全通信需求（3）靈活的安全策略4．網(wǎng)格安全關(guān)鍵技術(shù)（1）安全認(rèn)證技術(shù)（2）網(wǎng)格中的授權(quán)（3）網(wǎng)格訪問控制（4）網(wǎng)格安全標(biāo)準(zhǔn)討論思考：

（1）什么是可信計算？典型應(yīng)用有哪些？（2）什么是云安全技術(shù)？舉例說明其應(yīng)用？（3）什么是網(wǎng)格安全技術(shù)？其特點有哪些？12.1網(wǎng)絡(luò)安全新技術(shù)概述3.網(wǎng)格安全技術(shù)的需求討論思考：1212.2網(wǎng)絡(luò)安全解決方案概述

12.2.1網(wǎng)絡(luò)安全解決方案的概念

1．網(wǎng)絡(luò)安全解決方案的概念網(wǎng)絡(luò)安全方案是指網(wǎng)絡(luò)安全工程中，針對網(wǎng)絡(luò)安全存在的具體問題，在網(wǎng)絡(luò)系統(tǒng)的安全性分析、設(shè)計和具體實施過程中，所采用的各種安全技術(shù)、方法、策略、措施、安排、管理和文檔等.網(wǎng)絡(luò)安全方案具有整體性、動態(tài)性和相對性的特點。分為：網(wǎng)絡(luò)安全設(shè)計方案、網(wǎng)絡(luò)安全建設(shè)方案、網(wǎng)絡(luò)安全解決方案、網(wǎng)絡(luò)安全實施方案等。

網(wǎng)絡(luò)安全解決方案是指解決各種網(wǎng)絡(luò)系統(tǒng)安全問題的綜合技術(shù)、策略和方法的具體實際運用，也是綜合解決網(wǎng)絡(luò)安全問題的具體措施的體現(xiàn).高質(zhì)量的解決方案主要體現(xiàn)在網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全管理三方面，網(wǎng)絡(luò)安全技術(shù)是基礎(chǔ)、安全策略是核心、安全管理是保證。12.2網(wǎng)絡(luò)安全解決方案概述12.2.1網(wǎng)絡(luò)安全解決方13

2．撰寫網(wǎng)絡(luò)安全解決方案注意事項

（1)從發(fā)展變化角度制定方案

考慮到現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)安全狀況，以及將來的業(yè)務(wù)發(fā)展和系統(tǒng)的變化與更新的需求。（2)網(wǎng)絡(luò)安全的相對性以一種客觀真實的“實事求是”的態(tài)度來進(jìn)行安全分析設(shè)計和編制。在注重網(wǎng)絡(luò)安全的同時兼顧網(wǎng)絡(luò)的功能、性能等方面，不能顧此失彼。在網(wǎng)絡(luò)安全工程中，動態(tài)性和相對性非常重要，可以從系統(tǒng)、人員和管理三個方面來考慮。

12.2網(wǎng)絡(luò)安全解決方案概述2．撰寫網(wǎng)絡(luò)安全解決方案注意事項12.2網(wǎng)絡(luò)安全解1412.2網(wǎng)絡(luò)安全解決方案概述

12.2.2制定安全方案的過程及要點

制定一個完整的網(wǎng)絡(luò)安全解決方案項目，通常包括網(wǎng)絡(luò)系統(tǒng)安全需求分析與評估、方案設(shè)計、方案編制、方案論證與評價、具體實施、測試檢驗和效果反饋等基本過程。

1．安全風(fēng)險概要分析要點

對企事業(yè)單位現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險、威脅和隱患，先做出一個重點地安全評估和安全需求概要分析，并能夠突出用戶所在的行業(yè)，結(jié)合其業(yè)務(wù)的特點、網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)等要求進(jìn)行概要分析。同時，要有針對性，使用戶感到真實可靠、具體便于理解接受。12.2網(wǎng)絡(luò)安全解決方案概述12.2.2制定安全方案15

2.實際安全風(fēng)險分析要點從4個方面分析：網(wǎng)絡(luò)的風(fēng)險和威脅分析、系統(tǒng)的風(fēng)險和威脅分析、應(yīng)用的分析和威脅分析、對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用的風(fēng)險及威脅的具體詳盡的實際分析。安全風(fēng)險分析要點包括：

1)網(wǎng)絡(luò)風(fēng)險分析;2）系統(tǒng)風(fēng)險分析利用安全檢測工具和實用安全技術(shù)手段進(jìn)行的測評和估計，通過綜合評估掌握具體安全狀況和隱患，可有針對性地采取有效措施，也給用戶一種很實際的感覺，愿意接受解決方案。

4.制定網(wǎng)絡(luò)安全解決方案的原則

1)動態(tài)性原則;

2)嚴(yán)謹(jǐn)性原則3)唯一性原則;

4)整體性原則

5)專業(yè)性原則

3.網(wǎng)絡(luò)系統(tǒng)風(fēng)險評估

12.2網(wǎng)絡(luò)安全解決方案概述2.實際安全風(fēng)險分析要點利用安全檢測工具16

（1）身份認(rèn)證與訪問控制技術(shù)（2）防火墻技術(shù)（3）防病毒技術(shù)（4）傳輸加密技術(shù)（5）入侵檢測技術(shù)

（6）應(yīng)急備份與恢復(fù)技術(shù)

5．優(yōu)選網(wǎng)絡(luò)安全技術(shù)

（1）網(wǎng)絡(luò)拓?fù)浒踩?）系統(tǒng)安全（3）應(yīng)用安全（4）緊急響應(yīng)（5）災(zāi)難恢復(fù)（6）安全管理規(guī)范（7）服務(wù)體系和培訓(xùn)體系

6.安全管理與服務(wù)的技術(shù)支持

12.2網(wǎng)絡(luò)安全解決方案概述（1）身份認(rèn)證與訪問控制技術(shù)5．優(yōu)選網(wǎng)絡(luò)安全技術(shù)17

討論思考：（1）什么是網(wǎng)絡(luò)安全方案和網(wǎng)絡(luò)安全解決方案？（2）制定網(wǎng)絡(luò)安全解決方案的過程是什么？（3）具體制定網(wǎng)絡(luò)安全解決方案的要點有哪些？12.2網(wǎng)絡(luò)安全解決方案概述12.2網(wǎng)絡(luò)安全解決方案概述1812.3網(wǎng)絡(luò)安全需求分析及任務(wù)

12.3.1網(wǎng)絡(luò)安全需求分析概述網(wǎng)絡(luò)安全需求分析的具體要求：

1)安全性要求

2)可控性和可管理性要求

3)可用性及恢復(fù)性要求

4)可擴(kuò)展性要求

5)合法性要求

1．網(wǎng)絡(luò)安全需求分析要求

1）需求分析要點

在需求分析時，需要注重6個方面：

●網(wǎng)絡(luò)安全體系。

●可靠性。

●安全性。

●開放性。

●可擴(kuò)展性。●便于管理。

2.網(wǎng)絡(luò)安全需求分析內(nèi)容12.3網(wǎng)絡(luò)安全需求分析及任務(wù)12.3.1網(wǎng)絡(luò)安全需求19

2）需求分析案例

●初步概要分析包括：機(jī)構(gòu)概況、網(wǎng)絡(luò)系統(tǒng)概況、主要安全需求、網(wǎng)絡(luò)系統(tǒng)管理概況等。

某企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)包括企業(yè)總部和若干個基層單位，按地域位置可分為本地網(wǎng)和遠(yuǎn)程網(wǎng)，也可稱為A地區(qū)以內(nèi)和A地區(qū)以外兩部分。由于該網(wǎng)主要為機(jī)構(gòu)和單位之間數(shù)據(jù)交流服務(wù)，網(wǎng)上運行大量重要信息,因此要求入網(wǎng)站點物理上不與Internet網(wǎng)連接。從安全角度考慮，本地網(wǎng)用戶地理位置相對集中，又完全處于獨立使用和內(nèi)部管理的封閉環(huán)境下，物理上不與外界有聯(lián)系，具有一定的安全性。而遠(yuǎn)程網(wǎng)的連接由于是通過PSTN公共交換網(wǎng)實現(xiàn)，比本地網(wǎng)安全性要差。網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖如圖12-3所示。

案例12-312.3網(wǎng)絡(luò)安全需求分析及任務(wù)

2）需求分析案例某企業(yè)20

圖12-3網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖12.3網(wǎng)絡(luò)安全需求分析及任務(wù)

圖12-3網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖12.3網(wǎng)絡(luò)安全需求分析21

3）網(wǎng)絡(luò)安全需求分析

●物理層安全需求●網(wǎng)絡(luò)層安全需求 ●系統(tǒng)層安全需求 ●應(yīng)用層安全需求●管理層安全需求12.3網(wǎng)絡(luò)安全需求分析及任務(wù)

12.3網(wǎng)絡(luò)安全需求分析及任務(wù)22

12.3.2網(wǎng)絡(luò)安全解決方案主要任務(wù)

制定網(wǎng)絡(luò)安全解決方案的主要任務(wù)

（1）調(diào)研網(wǎng)絡(luò)系統(tǒng)（2）分析評估網(wǎng)絡(luò)系統(tǒng)（3）分析評估應(yīng)用系統(tǒng)（4）提出網(wǎng)絡(luò)系統(tǒng)安全策略和解決方案

12.3網(wǎng)絡(luò)安全需求分析及任務(wù)

討論思考：

（1）網(wǎng)絡(luò)安全解決方案的具體要求有哪些？（2）結(jié)合實例如何進(jìn)行安全解決方案的需求分析？（3）分析網(wǎng)絡(luò)安全解決方案的主要任務(wù)有哪些？12.3.2網(wǎng)絡(luò)安全解決方案主要任務(wù)12.3網(wǎng)絡(luò)安全2312.4網(wǎng)絡(luò)安全解決方案設(shè)計12.4.1網(wǎng)絡(luò)安全解決方案設(shè)計目標(biāo)及原則

1.網(wǎng)絡(luò)安全方案的設(shè)計目標(biāo)

設(shè)計網(wǎng)絡(luò)安全解決方案的目標(biāo)：

(1)機(jī)構(gòu)各部門、各單位局域網(wǎng)得到有效地安全保護(hù)；

(2)保障與Internet相連的安全保護(hù)；

(3)提供關(guān)鍵信息的加密傳輸與存儲安全；

(4)保證應(yīng)用業(yè)務(wù)系統(tǒng)的正常安全運行；

(5)提供安全網(wǎng)的監(jiān)控與審計措施；

(6)最終目標(biāo):機(jī)密性、完整性、可用性、可控性與可審查性.

設(shè)計重點3個方面：

(1)訪問控制。

(2)數(shù)據(jù)加密。

(3)安全審計。

12.4網(wǎng)絡(luò)安全解決方案設(shè)計12.4.1網(wǎng)絡(luò)安全解決方案設(shè)24

在具體方案的設(shè)計過程中，需要注意幾個方面：

(1)網(wǎng)絡(luò)系統(tǒng)的安全性和保密性有效增強(qiáng)；

(2)保持網(wǎng)絡(luò)原有功能、性能及可靠性等特點，對協(xié)議和傳輸安全保障好；

(3)安全技術(shù)方便操作與維護(hù)，便于自動化管理，而不/少增加附加操作；

(4)盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并便于系統(tǒng)及功能的擴(kuò)展；

(5)安全保密系統(tǒng)性能價格比高，可一次性投資長期使用；

(6)用國家有關(guān)管理部門認(rèn)可/認(rèn)證安全與密碼產(chǎn)品，并具有合法性；

(7)注重質(zhì)量，分步實施分段驗收。

2．網(wǎng)絡(luò)安全解決方案設(shè)計原則①安全性原則。②可靠性原則。③先進(jìn)性原則。④可推廣性原則。⑤可擴(kuò)展性原則。⑥可管理性原則。12.4網(wǎng)絡(luò)安全解決方案設(shè)計在具體方案的設(shè)計過程中，需要注意幾個方面：25

(1)確切唯一性。

(2)綜合把握和預(yù)見性。

(3)評估結(jié)果和建議應(yīng)準(zhǔn)確。

(4)針對性強(qiáng)且安全防范能力提高。

(5)切實體現(xiàn)對用戶的服務(wù)支持。

(6)以網(wǎng)絡(luò)安全工程的思想和方式組織實施。

(7)網(wǎng)絡(luò)安全是動態(tài)的、整體的、專業(yè)的工程。

(8)方案中采用的安全產(chǎn)品、技術(shù)和措施，都應(yīng)經(jīng)得起驗證、推敲、論證和實施，應(yīng)有理論依據(jù)、堅實基礎(chǔ)和標(biāo)準(zhǔn)準(zhǔn)則。

12.4.2評價方案的質(zhì)量標(biāo)準(zhǔn)

討論思考：（1）網(wǎng)絡(luò)安全解決方案的設(shè)計目標(biāo)和重點是什么？（2）網(wǎng)絡(luò)安全解決方案的設(shè)計原則有哪些？（3）評價網(wǎng)絡(luò)安全解決方案的質(zhì)量標(biāo)準(zhǔn)有哪些？12.4網(wǎng)絡(luò)安全解決方案設(shè)計(1)確切唯一性。12.4.2評價方案的質(zhì)量26*12.5金融網(wǎng)絡(luò)安全解決方案

上海XX信息技術(shù)有限公司通過招標(biāo),以63萬元人民幣取得網(wǎng)絡(luò)安全解決方案工程項目的建設(shè)權(quán).網(wǎng)絡(luò)系統(tǒng)安全解決方案包括8項主要內(nèi)容:信息化現(xiàn)狀分析、安全風(fēng)險分析、完整網(wǎng)絡(luò)安全實施方案的設(shè)計、實施方案計劃、技術(shù)支持和服務(wù)、項目安全產(chǎn)品、檢測驗收報告和安全技術(shù)培訓(xùn).

案例12-412.5.1金融網(wǎng)絡(luò)安全需求分析

1．金融行業(yè)信息化現(xiàn)狀分析金融行業(yè)信息化建設(shè)已達(dá)到了較高水平，業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)高度依賴，針對金融信息網(wǎng)絡(luò)的計算機(jī)犯罪案件呈逐年上升趨勢，特別是銀行全面進(jìn)入業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，以及銀行卡、網(wǎng)上銀行、電子商務(wù)、網(wǎng)上證券交易等新的產(chǎn)品和新業(yè)務(wù)系統(tǒng)迅速發(fā)展，對安全性提出更高要求。迫切需要建設(shè)主動的、深層的、立體的信息安全保障體系。*12.5金融網(wǎng)絡(luò)安全解決方案上海X27

圖12-4金融行業(yè)互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)

*12.5金融網(wǎng)絡(luò)安全解決方案圖12-4金融行業(yè)互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)*12.5金融282．金融網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險

金融網(wǎng)絡(luò)系統(tǒng)存在安全風(fēng)險的主要原因有3個：

(1)防范和化解風(fēng)險成了非常關(guān)注問題。

(2)網(wǎng)絡(luò)快速發(fā)展和廣泛應(yīng)用，系統(tǒng)安全漏洞增加。

(3)金融行業(yè)網(wǎng)絡(luò)系統(tǒng)正在向國際化方向發(fā)展。

網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險有3個方面：

(1)組織方面的風(fēng)險。

(2)技術(shù)方面的風(fēng)險。

(3)管理方面的風(fēng)險

上海XX信息技術(shù)公司于1993年成立并通過ISO9001認(rèn)證，注冊資本6800萬元人民幣。公司主要提供網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全解決方案，公司的安全理念是解決方案PPDRRM,PPDRRM將給用戶帶來穩(wěn)定安全的網(wǎng)絡(luò)環(huán)境，PPDRRM策略覆蓋了安全項目中的產(chǎn)品、技術(shù)、服務(wù)、管理和策略等內(nèi)容，是一個完善、嚴(yán)密、整體和動態(tài)的安全理念。

案例12-5*12.5金融網(wǎng)絡(luò)安全解決方案2．金融網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險金融網(wǎng)絡(luò)系統(tǒng)存在安全風(fēng)險的29

網(wǎng)絡(luò)安全解決方案PPDRRM

如圖12-3所示。

圖12-3網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案包括6個方面：(1)綜合的網(wǎng)絡(luò)安全策略（Policy）。

(2)全面的網(wǎng)絡(luò)安全保護(hù)（Protect）。

(3)連續(xù)的安全風(fēng)險檢測（Detect）。

(4)及時的安全事故響應(yīng)（Response）.

(5)快速的安全災(zāi)難恢復(fù)（Recovery）.

(6)優(yōu)質(zhì)的安全管理服務(wù)（Management）.

*12.5金融網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案PPDRRM如圖12-3所示。圖130

3.網(wǎng)絡(luò)安全風(fēng)險分析內(nèi)容

1)現(xiàn)有網(wǎng)絡(luò)物理結(jié)構(gòu)安全分析

2)網(wǎng)絡(luò)系統(tǒng)安全分析

3)網(wǎng)絡(luò)應(yīng)用的安全分析

4.承接公司實力及工程意義

1)承接公司技術(shù)實力

2)人員層次結(jié)構(gòu)

3)典型成功案例

4)產(chǎn)品許可證或服務(wù)認(rèn)證

5)實施網(wǎng)絡(luò)安全工程意義

*12.5金融網(wǎng)絡(luò)安全解決方案*12.5金融網(wǎng)絡(luò)安全解決方案31

12.5.2金融網(wǎng)絡(luò)安全解決方案設(shè)計

1.金融系統(tǒng)安全體系結(jié)構(gòu)

某銀行制定的信息系統(tǒng)安全性總原則是:制度防內(nèi),技術(shù)防外.“制度防內(nèi)”是指建立健全嚴(yán)密的安全管理規(guī)章制度、運行規(guī)程,形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系,杜絕內(nèi)部作案和操作失誤的可能性，并建立良好的故障處理反應(yīng)機(jī)制，保障銀行信息系統(tǒng)的安全正常運行.“技術(shù)防外”主要是指從技術(shù)手段上加強(qiáng)安全措施，防止外部黑客的入侵.在不影響銀行正常業(yè)務(wù)與應(yīng)用的基礎(chǔ)上建立銀行的安全防護(hù)體系,從而滿足銀行網(wǎng)絡(luò)系統(tǒng)環(huán)境要求.

1)網(wǎng)絡(luò)安全問題

2)系統(tǒng)安全問題

3)訪問安全問題

4)應(yīng)用安全問題

5)內(nèi)容安全問題

6)管理安全問題案例12-6*12.5金融網(wǎng)絡(luò)安全解決方案12.5.2金融網(wǎng)絡(luò)安全解決方案設(shè)計案例12-6*1232

2．技術(shù)實施策略及安全方案1)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)安全。

2)主機(jī)安全加固。

3）計算機(jī)病毒防范。

4）訪問控制。

5）傳輸加密措施。

6）身份認(rèn)證。。

7）入侵檢測防御技術(shù)。

8）風(fēng)險評估分析。

3.網(wǎng)絡(luò)安全管理技術(shù)

*12.5金融網(wǎng)絡(luò)安全解決方案2．技術(shù)實施策略及安全方案3.網(wǎng)絡(luò)安全管理技術(shù)334.緊急響應(yīng)與災(zāi)難恢復(fù)

5.網(wǎng)絡(luò)安全解決方案

1)實體安全解決方案

2)鏈路安全解決方案

3)網(wǎng)絡(luò)安全解決方案廣域網(wǎng)絡(luò)系統(tǒng)安全解決方案8個特點：

(1)用專用網(wǎng)絡(luò)提供服務(wù)。

(2)在保證系統(tǒng)內(nèi)網(wǎng)安全同時與Internet或其他網(wǎng)絡(luò)安全互連。

(3)利用防火墻技術(shù)。

(4)利用隔離與訪問控制,統(tǒng)一的地址和域名分配辦法.

(5)網(wǎng)絡(luò)系統(tǒng)內(nèi)部各局域網(wǎng)之間信息傳輸?shù)陌踩?/p>

(6)網(wǎng)絡(luò)用戶的接入安全問題。

(7)網(wǎng)絡(luò)監(jiān)控與入侵防范。

(8)網(wǎng)絡(luò)安全檢測，增強(qiáng)網(wǎng)絡(luò)安全性。*12.5金融網(wǎng)絡(luò)安全解決方案4.緊急響應(yīng)與災(zāi)難恢復(fù)1)實體安全解決方案*12.34主要是指用戶對數(shù)據(jù)訪問的身份鑒別、數(shù)據(jù)傳輸?shù)陌踩?、?shù)據(jù)存儲的安全，以及對網(wǎng)絡(luò)傳輸數(shù)據(jù)內(nèi)容的審計等幾方面。數(shù)據(jù)安全主要包括：數(shù)據(jù)傳輸安全（動態(tài)安全）、數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴（可審查性）、數(shù)據(jù)存儲安全（靜態(tài)安全）、數(shù)據(jù)庫安全、終端安全、數(shù)據(jù)的防泄密、數(shù)據(jù)內(nèi)容審計、用戶鑒別與授權(quán)、數(shù)據(jù)備份與恢復(fù)等。

4)數(shù)據(jù)安全解決方案*12.5金融網(wǎng)絡(luò)安全解決方案主要是指用戶對數(shù)據(jù)訪問的身份鑒別、數(shù)據(jù)傳輸?shù)陌踩?、?shù)據(jù)存35

1.網(wǎng)絡(luò)安全解決方案的實施

網(wǎng)絡(luò)安全解決方案的實施,包括項目管理和項目質(zhì)量保證.

1)安全項目管理

項目管理主要包括：

(1)項目流程。

(2)項目管理制度。

(3)項目進(jìn)度。

2)項目質(zhì)量保證

項目質(zhì)量保證包括：

(1)執(zhí)行人員的質(zhì)量職責(zé)。

(2)項目質(zhì)量的保證措施。

(3)項目驗收。12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

*12.5金融網(wǎng)絡(luò)安全解決方案1.網(wǎng)絡(luò)安全解決方案的實施12.5.3網(wǎng)絡(luò)安全方案的實施36

1)技術(shù)支持的內(nèi)容

(1)在安裝調(diào)試網(wǎng)絡(luò)安全項目中所涉及的安全產(chǎn)品和技術(shù)；

(2)采用的安全產(chǎn)品及技術(shù)的所有文擋；

(3)提供安全產(chǎn)品和技術(shù)的最新信息；

(4)服務(wù)期內(nèi)免費產(chǎn)品升級情況。

2)技術(shù)支持方式

(1)提供客戶現(xiàn)場24小時技術(shù)支持服務(wù)事項及承諾情況

(2)提供客戶技術(shù)支持中心熱線電話；

(3)提供客戶技術(shù)支待中心E-mail服務(wù)；

(4)提供客戶技術(shù)支持中心具體的Web服務(wù)。

2.主要技術(shù)支持*12.5金融網(wǎng)絡(luò)安全解決方案12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

1)技術(shù)支持的內(nèi)容2.主要技術(shù)支持*12.5金融37

網(wǎng)銀安全解決方案的實施案例。網(wǎng)絡(luò)安全解決方案的實施，是在網(wǎng)絡(luò)安全解決方案的基礎(chǔ)上提出的實施策略和計劃方案等，以某地區(qū)網(wǎng)銀安全解決方案的實施為例進(jìn)行概要簡介，鑒于篇幅所限從略具體需求分析、子系統(tǒng)網(wǎng)絡(luò)安全解決方案、各層次和其他網(wǎng)絡(luò)安全技術(shù)的部署等細(xì)節(jié)部分。

3.項目安全產(chǎn)品（1）網(wǎng)絡(luò)安全產(chǎn)品報價網(wǎng)絡(luò)安全項目涉及的所有安全產(chǎn)品和服務(wù)的各種具體翔實報價，最好列出各種報價清單。（2）網(wǎng)絡(luò)安全產(chǎn)品介紹網(wǎng)絡(luò)安全項目中涉及的所有安全產(chǎn)品介紹，主要是使用戶清楚所選擇的具體安全產(chǎn)品的種類、功能、性能和特點等，要求描述清楚準(zhǔn)確，但不必太詳細(xì)周全。4．網(wǎng)銀安全解決方案的實施*12.5金融網(wǎng)絡(luò)安全解決方案12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

案例12-7網(wǎng)銀38

（1）網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分*12.5金融網(wǎng)絡(luò)安全解決方案12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

圖12-6銀行網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖（2）詳細(xì)網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署圖12-7網(wǎng)上銀行安全解決方案部署圖（1）網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分*12.5金融網(wǎng)絡(luò)安全解決39

（3）網(wǎng)絡(luò)安全方案建設(shè)過程實施專業(yè)的網(wǎng)絡(luò)安全服務(wù)是建立一個能夠持續(xù)運行，同時可以動態(tài)更新的網(wǎng)絡(luò)安全方案的技術(shù)保障和關(guān)鍵環(huán)節(jié)，如圖12-8所示。*12.5金融網(wǎng)絡(luò)安全解決方案12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

圖12-8動態(tài)網(wǎng)絡(luò)安全方案建設(shè)過程*12.5.4項目檢測報告與技術(shù)培訓(xùn)（3）網(wǎng)絡(luò)安全方案建設(shè)過程*12.5金融網(wǎng)絡(luò)安全解決方案14012.6.1電力網(wǎng)絡(luò)安全現(xiàn)狀概述

1.網(wǎng)絡(luò)安全問題對電力系統(tǒng)的影響電力網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)安全解決方案。由于?。ㄖ陛犑校┘夒娏π袠I(yè)網(wǎng)絡(luò)信息系統(tǒng)相對比較特殊，涉及的各種類型的業(yè)務(wù)數(shù)據(jù)廣泛且很龐雜，而且，內(nèi)網(wǎng)與外網(wǎng)在體系結(jié)構(gòu)等方面差別很大，在此僅概述一些?。ㄖ陛犑校┘夒娏W(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)安全解決方案。

案例12-8

省（直轄市）級電力網(wǎng)絡(luò)系統(tǒng)一般是一個覆蓋全省的大型廣域網(wǎng)絡(luò)，其基本功能包括FTP、Telnet、Mail及WWW、News、BBS等客戶機(jī)/服務(wù)器方式的服務(wù)。省電力公司信息網(wǎng)絡(luò)系統(tǒng)是業(yè)務(wù)數(shù)據(jù)交換和處理的信息平臺，在網(wǎng)絡(luò)中包含有各種各樣的設(shè)備：服務(wù)器系統(tǒng)、路由器、交換機(jī)、工作站、終端等，并通過專線與Internet互聯(lián)網(wǎng)相聯(lián)。各地市電力公司/電廠的網(wǎng)絡(luò)基本采用TCP/IP以太網(wǎng)星型拓?fù)浣Y(jié)構(gòu)，而它們的外聯(lián)出口通常為上一級電力公司網(wǎng)絡(luò)。*12.6電力網(wǎng)絡(luò)安全解決方案２.?。ㄖ陛犑校┘夒娏ο到y(tǒng)網(wǎng)絡(luò)應(yīng)用和現(xiàn)狀12.6.1電力網(wǎng)絡(luò)安全現(xiàn)狀概述41

12.6.2電力網(wǎng)絡(luò)安全需求分析１．網(wǎng)絡(luò)系統(tǒng)邊界風(fēng)險分析２．系統(tǒng)層安全分析對于系統(tǒng)層的安全分析，主要包括：①主機(jī)系統(tǒng)風(fēng)險分析。?。ㄖ陛犑校┘夒娏W(wǎng)絡(luò)中存在大量不同操作系統(tǒng)的主機(jī)如Unix、WindowsServer2012。這些操作系統(tǒng)自身也存在許多安全漏洞。②系統(tǒng)傳輸?shù)陌踩L(fēng)險，包括系統(tǒng)傳輸協(xié)議、過程、媒介、管控等，以及數(shù)據(jù)傳輸風(fēng)險。③病毒入侵風(fēng)險分析。病毒的具有非常強(qiáng)的破壞力和傳播能力。越是網(wǎng)絡(luò)應(yīng)用水平高，共享資源訪問頻繁的環(huán)境中，計算機(jī)病毒的蔓延速度就會越快。

３．應(yīng)用層安全分析網(wǎng)絡(luò)系統(tǒng)的應(yīng)用層安全主要涉及業(yè)務(wù)安全風(fēng)險，是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括WEB、FTP、郵件系統(tǒng)、DNS等網(wǎng)絡(luò)基本服務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)等。各應(yīng)用包括對外部和內(nèi)部的信息共享以及各種跨局域網(wǎng)的應(yīng)用方式，其安全需求是在信息共享的同時，保證信息資源的合法訪問及通信隱秘性。４．管理層安全分析在網(wǎng)絡(luò)安全中安全策略和管理扮演著極其重要的角色，如果沒有制定非常有效的安全策略，沒有進(jìn)行嚴(yán)格的安全管理制度，來控制整個網(wǎng)絡(luò)的運行，那么這個網(wǎng)絡(luò)就很可能處在一種混亂的狀態(tài)。５．安全需求分析*12.6電力網(wǎng)絡(luò)安全解決方案12.6.2電力網(wǎng)絡(luò)安全需求分析*12.6電力網(wǎng)絡(luò)安全解42

*12.6電力網(wǎng)絡(luò)安全解決方案圖12-9電力網(wǎng)絡(luò)系統(tǒng)分區(qū)結(jié)構(gòu)及面臨的安全威脅*12.6電力網(wǎng)絡(luò)安全解決方案圖12-9電力網(wǎng)絡(luò)系統(tǒng)分區(qū)結(jié)43

12.6.3電力網(wǎng)絡(luò)安全方案設(shè)計

1.網(wǎng)絡(luò)系統(tǒng)安全策略要素網(wǎng)絡(luò)信息系統(tǒng)安全策略模型有三個要素：①網(wǎng)絡(luò)安全管理策略:②網(wǎng)絡(luò)安全組織策略③網(wǎng)絡(luò)安全技術(shù)策略

2.網(wǎng)絡(luò)系統(tǒng)總體安全策略針對網(wǎng)絡(luò)應(yīng)用及用戶對安全的不同需求，電力信息網(wǎng)的安全防護(hù)層次分為4級，如表12-2所示。表12-2電力信息網(wǎng)安全防護(hù)層次分析表*12.6電力網(wǎng)絡(luò)安全解決方案12.6.3電力網(wǎng)絡(luò)安全方案設(shè)計*12.6電力網(wǎng)絡(luò)安全解4412.6.4網(wǎng)絡(luò)安全解決方案的實施1.總體方案的技術(shù)支持2.網(wǎng)路的層次結(jié)構(gòu)3.電力信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)4.電力信息網(wǎng)絡(luò)中的安全機(jī)制*12.6電力網(wǎng)絡(luò)安全解決方案圖12-10

電力信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)討論思考：（1）電力網(wǎng)絡(luò)安全需求分析的主要內(nèi)容有哪些？（2）電力網(wǎng)絡(luò)安全解決方案設(shè)計主要內(nèi)容有哪些？（3）電力網(wǎng)絡(luò)安全解決方案主要包括哪些內(nèi)容？12.6.4網(wǎng)絡(luò)安全解決方案的實施*12.6電力網(wǎng)絡(luò)安全4512.5本章小結(jié)

網(wǎng)絡(luò)安全解決方案的制定，直接影響到整個網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的質(zhì)量，關(guān)系到機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)的安危，以及用戶的信息安全其意義重大。本章主要概述了在網(wǎng)絡(luò)安全工程的“網(wǎng)絡(luò)安全解決方案”在需求分析、方案設(shè)計、實施和測試檢驗等過程中,主要涉及的網(wǎng)絡(luò)安全解決方案的基本概念、方案的過程、內(nèi)容要點、安全目標(biāo)及標(biāo)準(zhǔn)、需求分析、主要任務(wù)等，并且通過結(jié)合實際的案例具體介紹了安全解決方案分析與設(shè)計、安全解決方案案例、實施方案與技術(shù)支持、檢測報告與培訓(xùn)等，同時討論了如何根據(jù)企事業(yè)機(jī)構(gòu)用戶的實際安全需求進(jìn)行調(diào)研分析和設(shè)計，并能夠?qū)懗鲆环萃暾木W(wǎng)絡(luò)安全的解決方案。最后，通過金融及電力網(wǎng)絡(luò)安全解決方案和電力網(wǎng)絡(luò)安全解決方案的實際應(yīng)用案例，以金融及電力網(wǎng)絡(luò)安全現(xiàn)狀概況、內(nèi)網(wǎng)安全需求分析和安全解決方案設(shè)計等具體建立過程,較詳盡地概述了安全解決方案的制定及編寫的主要內(nèi)容,要素和過程。

12.5本章小結(jié)網(wǎng)絡(luò)安全解決方案的制定，直接46誠摯謝意！誠摯謝意！47*第12章網(wǎng)絡(luò)安全新技術(shù)及解決方案信息安全概論*第12章網(wǎng)絡(luò)安全新技術(shù)及解決方案信息安全概論目錄

12.2網(wǎng)絡(luò)安全解決方案概述2

12.3網(wǎng)絡(luò)安全需求分析及任務(wù)3

12.4網(wǎng)絡(luò)安全解決方案設(shè)計4

12.1網(wǎng)絡(luò)安全新技術(shù)概述1

*12.6電力網(wǎng)絡(luò)安全解決方案6*12.5金融網(wǎng)絡(luò)安全解決方案5

12.7本章小結(jié)7目錄12.2網(wǎng)絡(luò)安全解決方案概述21249教學(xué)目標(biāo)

教學(xué)目標(biāo)●了解網(wǎng)絡(luò)安全新技術(shù)的概念、特點和應(yīng)用●理解安全解決方案的概念、要點、要求和任務(wù)●理解安全解決方案設(shè)計原則和質(zhì)量標(biāo)準(zhǔn)●掌握安全解決方案的分析與設(shè)計、案例與編寫重點重點教學(xué)目標(biāo)教學(xué)目標(biāo)重點重點5012.1網(wǎng)絡(luò)安全新技術(shù)概述

12.1.1可信計算概述

中國可信計算聯(lián)盟成立。以密碼技術(shù)為支持，以安全操作系統(tǒng)為核心的可信計算技術(shù)，已成為國家信息安全領(lǐng)域的發(fā)展要務(wù)。為確?？尚庞嬎慵夹g(shù)發(fā)展，由16個企業(yè)、安全機(jī)構(gòu)和大學(xué)發(fā)起的中國可信計算聯(lián)盟于2008年4月25日成立。目前，我國關(guān)鍵信息產(chǎn)品大部分采用國外產(chǎn)品，對于金融、政府、軍隊、通信等重要部門以及廣大用戶，可信計算產(chǎn)品的應(yīng)用將為解決安全難題打下堅實基礎(chǔ)，對構(gòu)建我國自主產(chǎn)權(quán)的可信計算平臺起到巨大推動作用。

中國工程院院士沈昌祥指出：作為國家信息安全基礎(chǔ)建設(shè)的重要組成部分，自主創(chuàng)新的可信計算平臺和相關(guān)產(chǎn)品實質(zhì)上也是國家主權(quán)的一部分。只有掌握關(guān)鍵技術(shù)，才能提升我國信息安全核心競爭力。打造我國可信計算技術(shù)產(chǎn)業(yè)鏈，形成和完善中國可信計算標(biāo)準(zhǔn)，并在國際標(biāo)準(zhǔn)中占有一席之地，需要走聯(lián)合發(fā)展的道路。案例12-112.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述51

12.1.1可信計算概述1．可信計算的相關(guān)概念

可信計算（TrustedComputing）是一種基于可信機(jī)制的計算方式，以提高系統(tǒng)整體的安全性。也稱為可信用計算，是一項由可信計算組推動和開發(fā)的技術(shù)。對于可信計算可從多方面理解。用戶身份認(rèn)證，是對使用者的信任；平臺軟硬件配置的正確性，體現(xiàn)了使用者對平臺運行環(huán)境的信任；應(yīng)用程序的完整性和合法性，體現(xiàn)了應(yīng)用程序運行的可信；平臺之間的可驗證性，指網(wǎng)絡(luò)環(huán)境下平臺之間的相互信任。可信計算技術(shù)的核心是可信平臺模塊（TPM

）的安全芯片。TPM是一個含有密碼運算部件和存儲部件的小型片上系統(tǒng)，以TPM為基礎(chǔ)，可信機(jī)制主要體現(xiàn)在三個方面：（1）可信的度量（2）度量的存儲（3）度量的報告12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述12.1網(wǎng)絡(luò)安全新技術(shù)概述52

12.1.1可信計算概述2.可信計算的產(chǎn)生與發(fā)展據(jù)中國信息安全專家《軟件行為學(xué)》所述,影響網(wǎng)絡(luò)安全的行為安全包括:行為的機(jī)密性、完整性、真實性等特征?？尚庞嬎阌尚袨榘踩a(chǎn)生，并非由可信計算組織率先提出?？尚鸥拍钤缭陂倨陀?目標(biāo)是提出一種可超越預(yù)設(shè)安全規(guī)則，執(zhí)行特殊行為的運行實體。操作系統(tǒng)中將這個實體運行的環(huán)境稱為可信計算基（TrustedComputingBase,TCB）。為了實現(xiàn)這個目標(biāo)，人們從20世紀(jì)70年代后一直不懈努力。從應(yīng)用程序?qū)用?、操作系統(tǒng)層面、硬件層面提出的TCB較多。最實用的是以硬件平臺為基礎(chǔ)的可信計算平臺，包括安全協(xié)處理器、密碼加速器、個人令牌、軟件狗、可信平臺模塊、增強(qiáng)型CPU、安全設(shè)備和多功能設(shè)備。目標(biāo)是實現(xiàn)：數(shù)據(jù)的真實性、機(jī)密性、數(shù)據(jù)保護(hù)及代碼的真實性、代碼的機(jī)密性和代碼的保護(hù)。根據(jù)S.W.Smith的著作《可信計算平臺：設(shè)計與應(yīng)用》，這些平臺的實現(xiàn)目的包括兩個層面的意思：一是保護(hù)指定的數(shù)據(jù)存儲區(qū)，防止不法者實施特定類型的物理訪問。二是賦予所有在計算平臺上執(zhí)行的代碼，以證明其在一個未被篡改環(huán)境中運行的能力。12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述12.1網(wǎng)絡(luò)安全新技術(shù)概述53

12.1.1可信計算概述3.可信計算的典型應(yīng)用（1）數(shù)字版權(quán)管理（2）身份盜用保護(hù)（3）保護(hù)系統(tǒng)不受病毒和間諜軟件危害（4）保護(hù)生物識別身份驗證數(shù)據(jù)（5）核查遠(yuǎn)程網(wǎng)格計算的計算結(jié)果（6）防止在線模擬訓(xùn)練或作弊拓展閱讀：中國的管理和科研機(jī)構(gòu)對可信計算給予高度重視，對可信計算投入了大量的經(jīng)費支持。如中國國家密碼管理委員會組織了可信密碼模塊的標(biāo)準(zhǔn)制定，并在其官方網(wǎng)站上提供了部分標(biāo)準(zhǔn)。中國科技部的863、973計劃開展了可信計算技術(shù)的項目專題研究，自然基金委開展了“可信軟件”的重大專項研究計劃支持。12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.1可信計算概述12.1網(wǎng)絡(luò)安全新技術(shù)概述54

12.1.2云安全技術(shù)

1．云安全的概念

云安全（CloudSecurity）融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，是云計算技術(shù)在信息安全領(lǐng)域的應(yīng)用。是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端，構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的安全體系。

2.云安全關(guān)鍵技術(shù)

可信云安全的關(guān)鍵技術(shù)主要包括：可信密碼學(xué)技術(shù)、可信模式識別技術(shù)、可信融合驗證技術(shù)、可信“零知識”挑戰(zhàn)應(yīng)答技術(shù)、可信云計算安全架構(gòu)技術(shù)等。12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.2云安全技術(shù)2.云安全關(guān)鍵技術(shù)1255

云安全技術(shù)應(yīng)用案例。在最近幾年的新技術(shù)成果中，可信云電子證書發(fā)放過程，如圖12-1所示?？尚旁贫嘶拥亩私尤脒^程，如圖12-2所示。

圖12-1可信云電子證書應(yīng)用圖12-2可信云端互動的端接入過程案例12-212.1網(wǎng)絡(luò)安全新技術(shù)概述圖12-1可信云電子證書應(yīng)用56

3.云安全技術(shù)應(yīng)用案例趨勢科技在Web安全威脅方面，利用云安全技術(shù)取得很好的效果。云安全6大應(yīng)用：（1）Web信譽(yù)服務(wù)（2）電子郵件信譽(yù)服務(wù)（3）文件信譽(yù)服務(wù)（4）行為關(guān)聯(lián)分析技術(shù)（5）自動反饋機(jī)制（6）威脅信息匯總12.1網(wǎng)絡(luò)安全新技術(shù)概述3.云安全技術(shù)應(yīng)用案例12.1網(wǎng)絡(luò)安全新技術(shù)概述57

12.1.3網(wǎng)格安全技術(shù)1．網(wǎng)格安全技術(shù)的概念

網(wǎng)格是一種虛擬計算環(huán)境，利用計算機(jī)網(wǎng)絡(luò)將分布異地的計算、存儲、網(wǎng)絡(luò)、軟件、信息、知識等資源連成一個邏輯整體,如同一臺超級計算機(jī)為用戶提供一體化的信息應(yīng)用服務(wù),實現(xiàn)互聯(lián)網(wǎng)上所有資源的全面連通與共享,消除信息孤島和資源孤島.網(wǎng)格作為一種先進(jìn)的技術(shù)和基礎(chǔ)設(shè)施，已經(jīng)得到廣泛的應(yīng)用。同時，由于其動態(tài)性和多樣性的環(huán)境特點帶來新的安全挑戰(zhàn)，需要新的安全技術(shù)方案解決,并考慮兼容流行的各種安全模型、安全機(jī)制、協(xié)議、平臺和技術(shù),通過某種方法實現(xiàn)多種系統(tǒng)間互操作安全.網(wǎng)格安全技術(shù)是指保護(hù)網(wǎng)格安全的技術(shù)、方法、策略、機(jī)制、手段和措施。2.網(wǎng)格安全技術(shù)的特點（1）異構(gòu)資源管理（2）可擴(kuò)展性（3）結(jié)構(gòu)不可預(yù)測性（4）多級管理域12.1網(wǎng)絡(luò)安全新技術(shù)概述12.1.3網(wǎng)格安全技術(shù)12.1網(wǎng)絡(luò)安全新技術(shù)概述58

3.網(wǎng)格安全技術(shù)的需求（1）認(rèn)證需求（2）安全通信需求（3）靈活的安全策略4．網(wǎng)格安全關(guān)鍵技術(shù)（1）安全認(rèn)證技術(shù)（2）網(wǎng)格中的授權(quán)（3）網(wǎng)格訪問控制（4）網(wǎng)格安全標(biāo)準(zhǔn)討論思考：

（1）什么是可信計算？典型應(yīng)用有哪些？（2）什么是云安全技術(shù)？舉例說明其應(yīng)用？（3）什么是網(wǎng)格安全技術(shù)？其特點有哪些？12.1網(wǎng)絡(luò)安全新技術(shù)概述3.網(wǎng)格安全技術(shù)的需求討論思考：5912.2網(wǎng)絡(luò)安全解決方案概述

12.2.1網(wǎng)絡(luò)安全解決方案的概念

1．網(wǎng)絡(luò)安全解決方案的概念網(wǎng)絡(luò)安全方案是指網(wǎng)絡(luò)安全工程中，針對網(wǎng)絡(luò)安全存在的具體問題，在網(wǎng)絡(luò)系統(tǒng)的安全性分析、設(shè)計和具體實施過程中，所采用的各種安全技術(shù)、方法、策略、措施、安排、管理和文檔等.網(wǎng)絡(luò)安全方案具有整體性、動態(tài)性和相對性的特點。分為：網(wǎng)絡(luò)安全設(shè)計方案、網(wǎng)絡(luò)安全建設(shè)方案、網(wǎng)絡(luò)安全解決方案、網(wǎng)絡(luò)安全實施方案等。

網(wǎng)絡(luò)安全解決方案是指解決各種網(wǎng)絡(luò)系統(tǒng)安全問題的綜合技術(shù)、策略和方法的具體實際運用，也是綜合解決網(wǎng)絡(luò)安全問題的具體措施的體現(xiàn).高質(zhì)量的解決方案主要體現(xiàn)在網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全管理三方面，網(wǎng)絡(luò)安全技術(shù)是基礎(chǔ)、安全策略是核心、安全管理是保證。12.2網(wǎng)絡(luò)安全解決方案概述12.2.1網(wǎng)絡(luò)安全解決方60

2．撰寫網(wǎng)絡(luò)安全解決方案注意事項

（1)從發(fā)展變化角度制定方案

考慮到現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)安全狀況，以及將來的業(yè)務(wù)發(fā)展和系統(tǒng)的變化與更新的需求。（2)網(wǎng)絡(luò)安全的相對性以一種客觀真實的“實事求是”的態(tài)度來進(jìn)行安全分析設(shè)計和編制。在注重網(wǎng)絡(luò)安全的同時兼顧網(wǎng)絡(luò)的功能、性能等方面，不能顧此失彼。在網(wǎng)絡(luò)安全工程中，動態(tài)性和相對性非常重要，可以從系統(tǒng)、人員和管理三個方面來考慮。

12.2網(wǎng)絡(luò)安全解決方案概述2．撰寫網(wǎng)絡(luò)安全解決方案注意事項12.2網(wǎng)絡(luò)安全解6112.2網(wǎng)絡(luò)安全解決方案概述

12.2.2制定安全方案的過程及要點

制定一個完整的網(wǎng)絡(luò)安全解決方案項目，通常包括網(wǎng)絡(luò)系統(tǒng)安全需求分析與評估、方案設(shè)計、方案編制、方案論證與評價、具體實施、測試檢驗和效果反饋等基本過程。

1．安全風(fēng)險概要分析要點

對企事業(yè)單位現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險、威脅和隱患，先做出一個重點地安全評估和安全需求概要分析，并能夠突出用戶所在的行業(yè)，結(jié)合其業(yè)務(wù)的特點、網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)等要求進(jìn)行概要分析。同時，要有針對性，使用戶感到真實可靠、具體便于理解接受。12.2網(wǎng)絡(luò)安全解決方案概述12.2.2制定安全方案62

2.實際安全風(fēng)險分析要點從4個方面分析：網(wǎng)絡(luò)的風(fēng)險和威脅分析、系統(tǒng)的風(fēng)險和威脅分析、應(yīng)用的分析和威脅分析、對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用的風(fēng)險及威脅的具體詳盡的實際分析。安全風(fēng)險分析要點包括：

1)網(wǎng)絡(luò)風(fēng)險分析;2）系統(tǒng)風(fēng)險分析利用安全檢測工具和實用安全技術(shù)手段進(jìn)行的測評和估計，通過綜合評估掌握具體安全狀況和隱患，可有針對性地采取有效措施，也給用戶一種很實際的感覺，愿意接受解決方案。

4.制定網(wǎng)絡(luò)安全解決方案的原則

1)動態(tài)性原則;

2)嚴(yán)謹(jǐn)性原則3)唯一性原則;

4)整體性原則

5)專業(yè)性原則

3.網(wǎng)絡(luò)系統(tǒng)風(fēng)險評估

12.2網(wǎng)絡(luò)安全解決方案概述2.實際安全風(fēng)險分析要點利用安全檢測工具63

（1）身份認(rèn)證與訪問控制技術(shù)（2）防火墻技術(shù)（3）防病毒技術(shù)（4）傳輸加密技術(shù)（5）入侵檢測技術(shù)

（6）應(yīng)急備份與恢復(fù)技術(shù)

5．優(yōu)選網(wǎng)絡(luò)安全技術(shù)

（1）網(wǎng)絡(luò)拓?fù)浒踩?）系統(tǒng)安全（3）應(yīng)用安全（4）緊急響應(yīng)（5）災(zāi)難恢復(fù)（6）安全管理規(guī)范（7）服務(wù)體系和培訓(xùn)體系

6.安全管理與服務(wù)的技術(shù)支持

12.2網(wǎng)絡(luò)安全解決方案概述（1）身份認(rèn)證與訪問控制技術(shù)5．優(yōu)選網(wǎng)絡(luò)安全技術(shù)64

討論思考：（1）什么是網(wǎng)絡(luò)安全方案和網(wǎng)絡(luò)安全解決方案？（2）制定網(wǎng)絡(luò)安全解決方案的過程是什么？（3）具體制定網(wǎng)絡(luò)安全解決方案的要點有哪些？12.2網(wǎng)絡(luò)安全解決方案概述12.2網(wǎng)絡(luò)安全解決方案概述6512.3網(wǎng)絡(luò)安全需求分析及任務(wù)

12.3.1網(wǎng)絡(luò)安全需求分析概述網(wǎng)絡(luò)安全需求分析的具體要求：

1)安全性要求

2)可控性和可管理性要求

3)可用性及恢復(fù)性要求

4)可擴(kuò)展性要求

5)合法性要求

1．網(wǎng)絡(luò)安全需求分析要求

1）需求分析要點

在需求分析時，需要注重6個方面：

●網(wǎng)絡(luò)安全體系。

●可靠性。

●安全性。

●開放性。

●可擴(kuò)展性?！癖阌诠芾怼?/p>

2.網(wǎng)絡(luò)安全需求分析內(nèi)容12.3網(wǎng)絡(luò)安全需求分析及任務(wù)12.3.1網(wǎng)絡(luò)安全需求66

2）需求分析案例

●初步概要分析包括：機(jī)構(gòu)概況、網(wǎng)絡(luò)系統(tǒng)概況、主要安全需求、網(wǎng)絡(luò)系統(tǒng)管理概況等。

某企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)包括企業(yè)總部和若干個基層單位，按地域位置可分為本地網(wǎng)和遠(yuǎn)程網(wǎng)，也可稱為A地區(qū)以內(nèi)和A地區(qū)以外兩部分。由于該網(wǎng)主要為機(jī)構(gòu)和單位之間數(shù)據(jù)交流服務(wù)，網(wǎng)上運行大量重要信息,因此要求入網(wǎng)站點物理上不與Internet網(wǎng)連接。從安全角度考慮，本地網(wǎng)用戶地理位置相對集中，又完全處于獨立使用和內(nèi)部管理的封閉環(huán)境下，物理上不與外界有聯(lián)系，具有一定的安全性。而遠(yuǎn)程網(wǎng)的連接由于是通過PSTN公共交換網(wǎng)實現(xiàn)，比本地網(wǎng)安全性要差。網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖如圖12-3所示。

案例12-312.3網(wǎng)絡(luò)安全需求分析及任務(wù)

2）需求分析案例某企業(yè)67

圖12-3網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖12.3網(wǎng)絡(luò)安全需求分析及任務(wù)

圖12-3網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖12.3網(wǎng)絡(luò)安全需求分析68

3）網(wǎng)絡(luò)安全需求分析

●物理層安全需求●網(wǎng)絡(luò)層安全需求 ●系統(tǒng)層安全需求 ●應(yīng)用層安全需求●管理層安全需求12.3網(wǎng)絡(luò)安全需求分析及任務(wù)

12.3網(wǎng)絡(luò)安全需求分析及任務(wù)69

12.3.2網(wǎng)絡(luò)安全解決方案主要任務(wù)

制定網(wǎng)絡(luò)安全解決方案的主要任務(wù)

（1）調(diào)研網(wǎng)絡(luò)系統(tǒng)（2）分析評估網(wǎng)絡(luò)系統(tǒng)（3）分析評估應(yīng)用系統(tǒng)（4）提出網(wǎng)絡(luò)系統(tǒng)安全策略和解決方案

12.3網(wǎng)絡(luò)安全需求分析及任務(wù)

討論思考：

（1）網(wǎng)絡(luò)安全解決方案的具體要求有哪些？（2）結(jié)合實例如何進(jìn)行安全解決方案的需求分析？（3）分析網(wǎng)絡(luò)安全解決方案的主要任務(wù)有哪些？12.3.2網(wǎng)絡(luò)安全解決方案主要任務(wù)12.3網(wǎng)絡(luò)安全7012.4網(wǎng)絡(luò)安全解決方案設(shè)計12.4.1網(wǎng)絡(luò)安全解決方案設(shè)計目標(biāo)及原則

1.網(wǎng)絡(luò)安全方案的設(shè)計目標(biāo)

設(shè)計網(wǎng)絡(luò)安全解決方案的目標(biāo)：

(1)機(jī)構(gòu)各部門、各單位局域網(wǎng)得到有效地安全保護(hù)；

(2)保障與Internet相連的安全保護(hù)；

(3)提供關(guān)鍵信息的加密傳輸與存儲安全；

(4)保證應(yīng)用業(yè)務(wù)系統(tǒng)的正常安全運行；

(5)提供安全網(wǎng)的監(jiān)控與審計措施；

(6)最終目標(biāo):機(jī)密性、完整性、可用性、可控性與可審查性.

設(shè)計重點3個方面：

(1)訪問控制。

(2)數(shù)據(jù)加密。

(3)安全審計。

12.4網(wǎng)絡(luò)安全解決方案設(shè)計12.4.1網(wǎng)絡(luò)安全解決方案設(shè)71

在具體方案的設(shè)計過程中，需要注意幾個方面：

(1)網(wǎng)絡(luò)系統(tǒng)的安全性和保密性有效增強(qiáng)；

(2)保持網(wǎng)絡(luò)原有功能、性能及可靠性等特點，對協(xié)議和傳輸安全保障好；

(3)安全技術(shù)方便操作與維護(hù)，便于自動化管理，而不/少增加附加操作；

(4)盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并便于系統(tǒng)及功能的擴(kuò)展；

(5)安全保密系統(tǒng)性能價格比高，可一次性投資長期使用；

(6)用國家有關(guān)管理部門認(rèn)可/認(rèn)證安全與密碼產(chǎn)品，并具有合法性；

(7)注重質(zhì)量，分步實施分段驗收。

2．網(wǎng)絡(luò)安全解決方案設(shè)計原則①安全性原則。②可靠性原則。③先進(jìn)性原則。④可推廣性原則。⑤可擴(kuò)展性原則。⑥可管理性原則。12.4網(wǎng)絡(luò)安全解決方案設(shè)計在具體方案的設(shè)計過程中，需要注意幾個方面：72

(1)確切唯一性。

(2)綜合把握和預(yù)見性。

(3)評估結(jié)果和建議應(yīng)準(zhǔn)確。

(4)針對性強(qiáng)且安全防范能力提高。

(5)切實體現(xiàn)對用戶的服務(wù)支持。

(6)以網(wǎng)絡(luò)安全工程的思想和方式組織實施。

(7)網(wǎng)絡(luò)安全是動態(tài)的、整體的、專業(yè)的工程。

(8)方案中采用的安全產(chǎn)品、技術(shù)和措施，都應(yīng)經(jīng)得起驗證、推敲、論證和實施，應(yīng)有理論依據(jù)、堅實基礎(chǔ)和標(biāo)準(zhǔn)準(zhǔn)則。

12.4.2評價方案的質(zhì)量標(biāo)準(zhǔn)

討論思考：（1）網(wǎng)絡(luò)安全解決方案的設(shè)計目標(biāo)和重點是什么？（2）網(wǎng)絡(luò)安全解決方案的設(shè)計原則有哪些？（3）評價網(wǎng)絡(luò)安全解決方案的質(zhì)量標(biāo)準(zhǔn)有哪些？12.4網(wǎng)絡(luò)安全解決方案設(shè)計(1)確切唯一性。12.4.2評價方案的質(zhì)量73*12.5金融網(wǎng)絡(luò)安全解決方案

上海XX信息技術(shù)有限公司通過招標(biāo),以63萬元人民幣取得網(wǎng)絡(luò)安全解決方案工程項目的建設(shè)權(quán).網(wǎng)絡(luò)系統(tǒng)安全解決方案包括8項主要內(nèi)容:信息化現(xiàn)狀分析、安全風(fēng)險分析、完整網(wǎng)絡(luò)安全實施方案的設(shè)計、實施方案計劃、技術(shù)支持和服務(wù)、項目安全產(chǎn)品、檢測驗收報告和安全技術(shù)培訓(xùn).

案例12-412.5.1金融網(wǎng)絡(luò)安全需求分析

1．金融行業(yè)信息化現(xiàn)狀分析金融行業(yè)信息化建設(shè)已達(dá)到了較高水平，業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)高度依賴，針對金融信息網(wǎng)絡(luò)的計算機(jī)犯罪案件呈逐年上升趨勢，特別是銀行全面進(jìn)入業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，以及銀行卡、網(wǎng)上銀行、電子商務(wù)、網(wǎng)上證券交易等新的產(chǎn)品和新業(yè)務(wù)系統(tǒng)迅速發(fā)展，對安全性提出更高要求。迫切需要建設(shè)主動的、深層的、立體的信息安全保障體系。*12.5金融網(wǎng)絡(luò)安全解決方案上海X74

圖12-4金融行業(yè)互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)

*12.5金融網(wǎng)絡(luò)安全解決方案圖12-4金融行業(yè)互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)*12.5金融752．金融網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險

金融網(wǎng)絡(luò)系統(tǒng)存在安全風(fēng)險的主要原因有3個：

(1)防范和化解風(fēng)險成了非常關(guān)注問題。

(2)網(wǎng)絡(luò)快速發(fā)展和廣泛應(yīng)用，系統(tǒng)安全漏洞增加。

(3)金融行業(yè)網(wǎng)絡(luò)系統(tǒng)正在向國際化方向發(fā)展。

網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險有3個方面：

(1)組織方面的風(fēng)險。

(2)技術(shù)方面的風(fēng)險。

(3)管理方面的風(fēng)險

上海XX信息技術(shù)公司于1993年成立并通過ISO9001認(rèn)證，注冊資本6800萬元人民幣。公司主要提供網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全解決方案，公司的安全理念是解決方案PPDRRM,PPDRRM將給用戶帶來穩(wěn)定安全的網(wǎng)絡(luò)環(huán)境，PPDRRM策略覆蓋了安全項目中的產(chǎn)品、技術(shù)、服務(wù)、管理和策略等內(nèi)容，是一個完善、嚴(yán)密、整體和動態(tài)的安全理念。

案例12-5*12.5金融網(wǎng)絡(luò)安全解決方案2．金融網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險金融網(wǎng)絡(luò)系統(tǒng)存在安全風(fēng)險的76

網(wǎng)絡(luò)安全解決方案PPDRRM

如圖12-3所示。

圖12-3網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案包括6個方面：(1)綜合的網(wǎng)絡(luò)安全策略（Policy）。

(2)全面的網(wǎng)絡(luò)安全保護(hù)（Protect）。

(3)連續(xù)的安全風(fēng)險檢測（Detect）。

(4)及時的安全事故響應(yīng)（Response）.

(5)快速的安全災(zāi)難恢復(fù)（Recovery）.

(6)優(yōu)質(zhì)的安全管理服務(wù)（Management）.

*12.5金融網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案PPDRRM如圖12-3所示。圖177

3.網(wǎng)絡(luò)安全風(fēng)險分析內(nèi)容

1)現(xiàn)有網(wǎng)絡(luò)物理結(jié)構(gòu)安全分析

2)網(wǎng)絡(luò)系統(tǒng)安全分析

3)網(wǎng)絡(luò)應(yīng)用的安全分析

4.承接公司實力及工程意義

1)承接公司技術(shù)實力

2)人員層次結(jié)構(gòu)

3)典型成功案例

4)產(chǎn)品許可證或服務(wù)認(rèn)證

5)實施網(wǎng)絡(luò)安全工程意義

*12.5金融網(wǎng)絡(luò)安全解決方案*12.5金融網(wǎng)絡(luò)安全解決方案78

12.5.2金融網(wǎng)絡(luò)安全解決方案設(shè)計

1.金融系統(tǒng)安全體系結(jié)構(gòu)

某銀行制定的信息系統(tǒng)安全性總原則是:制度防內(nèi),技術(shù)防外.“制度防內(nèi)”是指建立健全嚴(yán)密的安全管理規(guī)章制度、運行規(guī)程,形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系,杜絕內(nèi)部作案和操作失誤的可能性，并建立良好的故障處理反應(yīng)機(jī)制，保障銀行信息系統(tǒng)的安全正常運行.“技術(shù)防外”主要是指從技術(shù)手段上加強(qiáng)安全措施，防止外部黑客的入侵.在不影響銀行正常業(yè)務(wù)與應(yīng)用的基礎(chǔ)上建立銀行的安全防護(hù)體系,從而滿足銀行網(wǎng)絡(luò)系統(tǒng)環(huán)境要求.

1)網(wǎng)絡(luò)安全問題

2)系統(tǒng)安全問題

3)訪問安全問題

4)應(yīng)用安全問題

5)內(nèi)容安全問題

6)管理安全問題案例12-6*12.5金融網(wǎng)絡(luò)安全解決方案12.5.2金融網(wǎng)絡(luò)安全解決方案設(shè)計案例12-6*1279

2．技術(shù)實施策略及安全方案1)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)安全。

2)主機(jī)安全加固。

3）計算機(jī)病毒防范。

4）訪問控制。

5）傳輸加密措施。

6）身份認(rèn)證。。

7）入侵檢測防御技術(shù)。

8）風(fēng)險評估分析。

3.網(wǎng)絡(luò)安全管理技術(shù)

*12.5金融網(wǎng)絡(luò)安全解決方案2．技術(shù)實施策略及安全方案3.網(wǎng)絡(luò)安全管理技術(shù)804.緊急響應(yīng)與災(zāi)難恢復(fù)

5.網(wǎng)絡(luò)安全解決方案

1)實體安全解決方案

2)鏈路安全解決方案

3)網(wǎng)絡(luò)安全解決方案廣域網(wǎng)絡(luò)系統(tǒng)安全解決方案8個特點：

(1)用專用網(wǎng)絡(luò)提供服務(wù)。

(2)在保證系統(tǒng)內(nèi)網(wǎng)安全同時與Internet或其他網(wǎng)絡(luò)安全互連。

(3)利用防火墻技術(shù)。

(4)利用隔離與訪問控制,統(tǒng)一的地址和域名分配辦法.

(5)網(wǎng)絡(luò)系統(tǒng)內(nèi)部各局域網(wǎng)之間信息傳輸?shù)陌踩?/p>

(6)網(wǎng)絡(luò)用戶的接入安全問題。

(7)網(wǎng)絡(luò)監(jiān)控與入侵防范。

(8)網(wǎng)絡(luò)安全檢測，增強(qiáng)網(wǎng)絡(luò)安全性。*12.5金融網(wǎng)絡(luò)安全解決方案4.緊急響應(yīng)與災(zāi)難恢復(fù)1)實體安全解決方案*12.81主要是指用戶對數(shù)據(jù)訪問的身份鑒別、數(shù)據(jù)傳輸?shù)陌踩?shù)據(jù)存儲的安全，以及對網(wǎng)絡(luò)傳輸數(shù)據(jù)內(nèi)容的審計等幾方面。數(shù)據(jù)安全主要包括：數(shù)據(jù)傳輸安全（動態(tài)安全）、數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴（可審查性）、數(shù)據(jù)存儲安全（靜態(tài)安全）、數(shù)據(jù)庫安全、終端安全、數(shù)據(jù)的防泄密、數(shù)據(jù)內(nèi)容審計、用戶鑒別與授權(quán)、數(shù)據(jù)備份與恢復(fù)等。

4)數(shù)據(jù)安全解決方案*12.5金融網(wǎng)絡(luò)安全解決方案主要是指用戶對數(shù)據(jù)訪問的身份鑒別、數(shù)據(jù)傳輸?shù)陌踩?、?shù)據(jù)存82

1.網(wǎng)絡(luò)安全解決方案的實施

網(wǎng)絡(luò)安全解決方案的實施,包括項目管理和項目質(zhì)量保證.

1)安全項目管理

項目管理主要包括：

(1)項目流程。

(2)項目管理制度。

(3)項目進(jìn)度。

2)項目質(zhì)量保證

項目質(zhì)量保證包括：

(1)執(zhí)行人員的質(zhì)量職責(zé)。

(2)項目質(zhì)量的保證措施。

(3)項目驗收。12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

*12.5金融網(wǎng)絡(luò)安全解決方案1.網(wǎng)絡(luò)安全解決方案的實施12.5.3網(wǎng)絡(luò)安全方案的實施83

1)技術(shù)支持的內(nèi)容

(1)在安裝調(diào)試網(wǎng)絡(luò)安全項目中所涉及的安全產(chǎn)品和技術(shù)；

(2)采用的安全產(chǎn)品及技術(shù)的所有文擋；

(3)提供安全產(chǎn)品和技術(shù)的最新信息；

(4)服務(wù)期內(nèi)免費產(chǎn)品升級情況。

2)技術(shù)支持方式

(1)提供客戶現(xiàn)場24小時技術(shù)支持服務(wù)事項及承諾情況

(2)提供客戶技術(shù)支持中心熱線電話；

(3)提供客戶技術(shù)支待中心E-mail服務(wù)；

(4)提供客戶技術(shù)支持中心具體的Web服務(wù)。

2.主要技術(shù)支持*12.5金融網(wǎng)絡(luò)安全解決方案12.5.3網(wǎng)絡(luò)安全方案的實施與技術(shù)支持

1)技術(shù)支持的內(nèi)容2.主要技術(shù)支持*12.5金融84

網(wǎng)銀安全解決方案的實