網(wǎng)絡(luò)安全方案設(shè)計(jì)概述

第11章網(wǎng)絡(luò)安全方案設(shè)計(jì)主要內(nèi)容11.1網(wǎng)絡(luò)安全方案概述

111.2網(wǎng)絡(luò)安全方案的框架

211.3某企業(yè)網(wǎng)絡(luò)安全解決案例

3211.1.1網(wǎng)絡(luò)安全方案設(shè)計(jì)的目標(biāo)

在設(shè)計(jì)網(wǎng)絡(luò)安全方案時(shí)，一定要實(shí)地考察網(wǎng)絡(luò)系統(tǒng)的環(huán)境，對(duì)當(dāng)前可能遇到的安全風(fēng)險(xiǎn)和威脅做一個(gè)合理的量化和評(píng)估，只有這樣才能設(shè)計(jì)出一份可觀的解決方案。好的方案是一個(gè)網(wǎng)絡(luò)工程項(xiàng)目中很重要的部分，也是網(wǎng)絡(luò)工程實(shí)施的基礎(chǔ)和前提。 網(wǎng)絡(luò)安全方案設(shè)計(jì)的目標(biāo)是實(shí)現(xiàn)動(dòng)態(tài)安全，不會(huì)因?yàn)殡S著時(shí)間的推移和環(huán)境的變化而使得系統(tǒng)變得不安全，所以不僅需要考慮當(dāng)前的狀況，還要考慮到未來(lái)的需求，能為今后的網(wǎng)絡(luò)升級(jí)準(zhǔn)備好升級(jí)的接口。 沒(méi)有一個(gè)網(wǎng)絡(luò)是絕對(duì)安全的，即只有相對(duì)安全。而且現(xiàn)在相對(duì)安全的方案可能因?yàn)闀r(shí)間和空間的不斷變化而出現(xiàn)安全問(wèn)題，因此在設(shè)計(jì)方案時(shí)必須注意到這一點(diǎn)，并在方案中也應(yīng)該告訴用戶，只能做到避免風(fēng)險(xiǎn)，消除風(fēng)險(xiǎn)的根源，降低由于風(fēng)險(xiǎn)所帶來(lái)的損失，而不能做到消滅風(fēng)險(xiǎn)。311.1.2網(wǎng)絡(luò)安全方案設(shè)計(jì)的原則

1.系統(tǒng)性原則

網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)需要有系統(tǒng)性和適應(yīng)性，而且不能因?yàn)榫W(wǎng)絡(luò)技術(shù)的發(fā)展、網(wǎng)絡(luò)信息系統(tǒng)的攻防技術(shù)的深化和演變、系統(tǒng)升級(jí)和配置的變化而導(dǎo)致在系統(tǒng)的整個(gè)生命周期內(nèi)的安全保障能力和抵御風(fēng)險(xiǎn)的能力降低。2.技術(shù)先進(jìn)性原則

技術(shù)先進(jìn)性是網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)必須考慮的原則之一，只有選用先進(jìn)、成熟的安全技術(shù)和設(shè)備，并在方案實(shí)施時(shí)采用先進(jìn)可靠的工藝和技術(shù)，才能提高整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性。411.1.2網(wǎng)絡(luò)安全方案設(shè)計(jì)的原則3.管理可控性原則

網(wǎng)絡(luò)系統(tǒng)的所有安全設(shè)備（包括管理、維護(hù)和配置）都應(yīng)該自主可控，網(wǎng)絡(luò)系統(tǒng)安全設(shè)備的采購(gòu)也必須有嚴(yán)格的手續(xù)和相應(yīng)機(jī)構(gòu)的認(rèn)證或許可標(biāo)記，另外，安全設(shè)備的供應(yīng)商也須具備相應(yīng)的資質(zhì)并具有可信度。4.適度安全性原則

網(wǎng)絡(luò)系統(tǒng)安全方案應(yīng)該充分考慮被保護(hù)對(duì)象的價(jià)值與保護(hù)成本之間的平衡性，在允許的風(fēng)險(xiǎn)范圍內(nèi)應(yīng)該盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，從而造成方案的執(zhí)行困難，甚至無(wú)法執(zhí)行。511.1.2網(wǎng)絡(luò)安全方案設(shè)計(jì)的原則5.技術(shù)和管理相結(jié)合原則

網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過(guò)程和人的因素，因此它的安全解決方案必須在考慮技術(shù)解決方案的同時(shí)充分考慮管理、法律和法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問(wèn)題，而必須堅(jiān)持技術(shù)和管理相結(jié)合的原則。6.測(cè)評(píng)認(rèn)證原則

安全方案的設(shè)計(jì)必須通過(guò)國(guó)家有關(guān)部門(mén)的評(píng)審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過(guò)國(guó)家主管部門(mén)的認(rèn)可。7.系統(tǒng)可伸縮性原則

企業(yè)的網(wǎng)絡(luò)系統(tǒng)會(huì)隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化，同時(shí)信息安全技術(shù)也在發(fā)展，因此，網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)的可升級(jí)性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)的變化而更換或廢棄。611.2.1技術(shù)解決方案

1.防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 防火墻在局域網(wǎng)中一般安裝在局域網(wǎng)與路由器之間；在托管服務(wù)器機(jī)房中一般安裝在服務(wù)器與托管機(jī)房局域網(wǎng)之間。711.2.1技術(shù)解決方案1)局域網(wǎng)防火墻的主要作用(1)實(shí)現(xiàn)單向訪問(wèn)，允許局域網(wǎng)用戶訪問(wèn)Internet資源，但是嚴(yán)格限制Internet用戶對(duì)局域網(wǎng)資源的訪問(wèn)；(2)通過(guò)防火墻，將整個(gè)局域網(wǎng)劃分Internet，DMZ區(qū)，內(nèi)網(wǎng)訪問(wèn)區(qū)這三個(gè)邏輯上分開(kāi)的區(qū)域，有利于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理；(3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護(hù)之下，只要通過(guò)防火墻設(shè)置的修改，就能有限絕大部分防止來(lái)自Internet上的攻擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對(duì)外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞；(4)通過(guò)防火墻的過(guò)濾規(guī)則，實(shí)現(xiàn)端口級(jí)控制，限制局域網(wǎng)用戶對(duì)Internet的訪問(wèn)；(5)進(jìn)行流量控制，確保重要業(yè)務(wù)對(duì)流量的要求；(6)通過(guò)過(guò)濾規(guī)則，以時(shí)間為控制要素，限制大流量網(wǎng)絡(luò)應(yīng)用在上班時(shí)間的使用。811.2.1技術(shù)解決方案911.2.1技術(shù)解決方案2.入侵檢測(cè)與入侵防御

入侵檢測(cè)（IDS）與入侵防御（IPS）設(shè)備一般局域網(wǎng)DMZ區(qū)以及托管服務(wù)器機(jī)房服務(wù)器區(qū)。1)入侵檢測(cè)的作用 (1)作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，統(tǒng)計(jì)并記錄網(wǎng)絡(luò)中的異常主機(jī)以及異常連接； (2)中斷異常連接； (3)通過(guò)聯(lián)動(dòng)機(jī)制，向防火墻發(fā)送指令，在限定的時(shí)間內(nèi)對(duì)特定的IP地址實(shí)施封堵。2)入侵防御的作用 如果檢測(cè)到攻擊，IPS會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。

1011.2.1技術(shù)解決方方案3.網(wǎng)絡(luò)防病毒毒軟件控制制中心以及及客戶端軟軟件網(wǎng)絡(luò)防病毒毒軟件主要要安裝在防防病毒服務(wù)務(wù)器以及各各個(gè)客戶端端計(jì)算機(jī)上上。1)防病毒服務(wù)務(wù)器的主要要作用(1)作為防病毒毒軟件的控控制中心，，及時(shí)通過(guò)過(guò)Internet更新病毒庫(kù)庫(kù)，并強(qiáng)制制局域網(wǎng)中中已開(kāi)機(jī)的的客戶端計(jì)計(jì)算機(jī)及時(shí)時(shí)更新病毒毒庫(kù)軟件；；(2)記錄各個(gè)客客戶端計(jì)算算機(jī)的病毒毒庫(kù)升級(jí)情情況；(3)記錄局域網(wǎng)網(wǎng)中計(jì)算機(jī)機(jī)病毒出現(xiàn)現(xiàn)的時(shí)間、、類型以及及后續(xù)處理理措施。2)防病毒客戶戶端軟件的的作用(1)對(duì)本機(jī)的內(nèi)內(nèi)存、文件件的讀寫(xiě)進(jìn)進(jìn)行監(jiān)控，，根據(jù)預(yù)定定的處理方方法處理帶帶毒文件；；(2)監(jiān)控郵件收收發(fā)軟件，，根據(jù)預(yù)定定處理方法法處理帶毒毒郵件。1111.2.1技術(shù)解決方方案4.郵件防防病毒服務(wù)務(wù)器郵件防病毒毒服務(wù)器一一般安裝在在郵件服務(wù)務(wù)器與防火火墻之間，，郵件防病病毒軟件對(duì)對(duì)來(lái)之Internet的電子郵件件進(jìn)行檢測(cè)測(cè)，根據(jù)預(yù)預(yù)先設(shè)定的的處理方法法處理帶毒毒郵件。郵郵件防病毒毒軟件的監(jiān)監(jiān)控范圍包包括所有來(lái)來(lái)自Internet的電子郵件件及其所帶帶附件(對(duì)對(duì)于壓縮文文件同樣也也進(jìn)行檢測(cè)測(cè))。1211.2.1技術(shù)解決方方案5.反垃圾圾郵件系統(tǒng)統(tǒng)與郵件防毒毒軟件相同同，如果軟軟硬件條件件允許，則則兩者可以以安裝在同同一臺(tái)服務(wù)務(wù)器上。反反垃圾郵件件系統(tǒng)的作作用是：(1)拒拒絕轉(zhuǎn)發(fā)來(lái)來(lái)自Internet的垃圾郵件件；(2)拒拒絕轉(zhuǎn)發(fā)來(lái)來(lái)自局域網(wǎng)網(wǎng)用戶的垃垃圾郵件并并將發(fā)垃圾圾郵件的局局域網(wǎng)用戶戶的IP地址通過(guò)電電子郵件等等方式通報(bào)報(bào)網(wǎng)管；(3)記記錄發(fā)垃圾圾郵件的終終端地址；；(4)通通過(guò)電子郵郵件等方式式通知網(wǎng)管管垃圾郵件件的處理情情況。1311.2.1技術(shù)解決方方案1411.2.1技術(shù)解決方方案7.網(wǎng)絡(luò)管管理軟件網(wǎng)管軟件主主要安裝在在局域網(wǎng)中中，它的作作用是：(1)收收集局域網(wǎng)網(wǎng)中所有資資源的硬件件信息；(2)收收集局域網(wǎng)網(wǎng)中所有終終端和服務(wù)務(wù)器的操作作系統(tǒng)、系系統(tǒng)補(bǔ)丁等等軟件信息息；(3)收收集交換機(jī)機(jī)等網(wǎng)絡(luò)設(shè)設(shè)備的工作作狀況等信信息；(4)判判斷局域網(wǎng)網(wǎng)用戶是否否使用了MODEM等非法網(wǎng)絡(luò)絡(luò)設(shè)備與Internet連接；(5)顯顯示實(shí)時(shí)網(wǎng)網(wǎng)絡(luò)連接情情況；(6)如如果交換機(jī)機(jī)等核心網(wǎng)網(wǎng)絡(luò)設(shè)備出出現(xiàn)異常，，及時(shí)向網(wǎng)網(wǎng)管中心報(bào)報(bào)警；1511.2.1技術(shù)解決方方案8.QoS流量管理專門(mén)的QoS（QualityofService）產(chǎn)品安裝在在路由器和和防火墻之之間，但有有些防火墻墻可能本身身就帶有QoS流量管理模模塊。它的的作用是：：(1)通通過(guò)IP地址，為重重要用戶分分配足夠的的帶寬；(2)通通過(guò)端口，，為重要的的應(yīng)用分配配足夠的帶帶寬資源；；(3)限限制非業(yè)務(wù)務(wù)流量的帶帶寬；(4)在在資源閑置置時(shí)期，允允許其他人人員使用資資源，一旦旦重要用戶戶或者重要要應(yīng)用需要要使用帶寬寬，則確保保它們能夠夠至少使用用分配給他他們的帶寬寬資源。1611.2.1技術(shù)解決方方案1711.2.2網(wǎng)絡(luò)安全服服務(wù)解決方方案1.網(wǎng)絡(luò)拓拓?fù)浞治龇?wù)對(duì)象：：整個(gè)網(wǎng)絡(luò)絡(luò)。服務(wù)周期：：半年一次次。服務(wù)內(nèi)容：：(1)根據(jù)據(jù)網(wǎng)絡(luò)的實(shí)實(shí)際情況，，繪制網(wǎng)絡(luò)絡(luò)拓?fù)鋱D；；(2)分析析網(wǎng)絡(luò)中存存在的安全全缺陷并提提出整改建建議意見(jiàn)。。服務(wù)作用：：針對(duì)網(wǎng)絡(luò)絡(luò)的整體情情況，進(jìn)行行總體、框框架性分析析。一方面面，通過(guò)網(wǎng)網(wǎng)絡(luò)拓?fù)浞址治?，能夠夠形成網(wǎng)絡(luò)絡(luò)整體拓?fù)鋼鋱D，為網(wǎng)網(wǎng)絡(luò)規(guī)劃、、網(wǎng)絡(luò)日常常管理等管管理行為提提供必要的的技術(shù)資料料；另一方方面，通過(guò)過(guò)整體的安安全性分析析，能夠找找出網(wǎng)絡(luò)設(shè)設(shè)計(jì)上的安安全缺陷，，找到各種種網(wǎng)絡(luò)設(shè)備備在協(xié)同工工作中可能能產(chǎn)生的安安全問(wèn)題。。1811.2.2網(wǎng)絡(luò)安全服服務(wù)解決方方案2.中心機(jī)機(jī)房管理制制度制訂以以及修改服務(wù)對(duì)象：：中心機(jī)房房。服務(wù)周期：：半年一次次。服務(wù)內(nèi)容：：協(xié)助用戶戶制訂并修修改機(jī)房管管理制度。。制度內(nèi)容容涉及人員員進(jìn)出機(jī)房房的登記制制度、設(shè)備備進(jìn)出機(jī)房房的登記制制度、設(shè)備備配置修改改的登記制制度等。服務(wù)作用：：嚴(yán)格控制制中心機(jī)房房的人員進(jìn)進(jìn)出、設(shè)備備進(jìn)出并及及時(shí)登記設(shè)設(shè)備的配置置更新情況況，有助于于網(wǎng)絡(luò)核心心設(shè)備的監(jiān)監(jiān)控，確保保網(wǎng)絡(luò)的正正常運(yùn)行。。1911.2.2網(wǎng)絡(luò)安全服服務(wù)解決方方案3.操作系系統(tǒng)補(bǔ)丁升升級(jí)服務(wù)對(duì)象：：服務(wù)器、、工作站、、終端。服務(wù)周期：：不定期。。服務(wù)內(nèi)容：：(1)一一旦出現(xiàn)重重大安全補(bǔ)補(bǔ)丁，及時(shí)時(shí)更新所有有相關(guān)系統(tǒng)統(tǒng)；(2)出現(xiàn)現(xiàn)大型補(bǔ)丁丁(如微軟軟的SP)，及時(shí)更新所所有相關(guān)系系統(tǒng)；服務(wù)務(wù)作用：通通過(guò)及時(shí)、、有效的補(bǔ)補(bǔ)丁升級(jí)，，能夠有效效防止局域域網(wǎng)主機(jī)和和服務(wù)器相相互之間的的攻擊，降降低現(xiàn)代網(wǎng)網(wǎng)絡(luò)蠕蟲(chóng)病病毒對(duì)網(wǎng)絡(luò)絡(luò)的整體影影響，增加加網(wǎng)絡(luò)帶寬寬的有效利利用率。2011.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案4.服務(wù)器定期掃掃描、加固服務(wù)對(duì)象：服服務(wù)器。服務(wù)周期：半半年一次。服務(wù)內(nèi)容：使使用專用的掃掃描工具，在在用戶網(wǎng)絡(luò)管管理人員的配配合，對(duì)主要要的服務(wù)器進(jìn)進(jìn)行掃描。服務(wù)作用：(1)找出對(duì)應(yīng)服務(wù)務(wù)器操作系統(tǒng)統(tǒng)中存在的系系統(tǒng)漏洞；(2)找出服務(wù)器對(duì)對(duì)應(yīng)應(yīng)用服務(wù)務(wù)中存在的系系統(tǒng)漏洞；(3)找出安全強(qiáng)度度較低的用戶戶名和用戶密密碼。2111.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案5.防病毒軟軟件病毒庫(kù)定定期升級(jí)服務(wù)對(duì)象：防防病毒服務(wù)器器、安裝防病病毒客戶端的的終端。服務(wù)周期：每每周一次。服務(wù)內(nèi)容：(1)防病病毒服務(wù)器通通過(guò)Internet更新病毒庫(kù)；；(2)防病毒毒服務(wù)器強(qiáng)制制所有在線客客戶端更新病病毒庫(kù)。服務(wù)作用：通通過(guò)不斷升級(jí)級(jí)病毒庫(kù)，確確保防病毒軟軟件能夠及時(shí)時(shí)檢測(cè)到新的的病毒病進(jìn)行行查殺。2211.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案6.防火墻日志備備份、分析服務(wù)對(duì)象：防防火墻設(shè)備.服務(wù)周期：一一周一次.服務(wù)內(nèi)容：導(dǎo)導(dǎo)出防火墻日日志并進(jìn)行分分析。服務(wù)作用：通通過(guò)流量簡(jiǎn)圖圖找出流量異異常的時(shí)間段段，通過(guò)檢查查流量較大的的主機(jī)，找出出局域網(wǎng)中的的異常主機(jī)。。2311.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案7.入侵檢測(cè)測(cè)、入侵防御御等安全設(shè)備備日志備份服務(wù)對(duì)象：入入侵檢測(cè)、入入侵防御等安安全設(shè)備。服務(wù)周期：一一周一次。服務(wù)內(nèi)容：備備份安全設(shè)備備日志。服務(wù)作用：防防止日志過(guò)大大導(dǎo)致檢索、、分析的難度度，另一方面面也有利于事事后的檢查。。2411.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案2511.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案9.白客滲透服務(wù)對(duì)象：對(duì)對(duì)Internet提供服務(wù)的服服務(wù)器。服務(wù)周期：半半年一次。服務(wù)內(nèi)容：服服務(wù)商在用戶戶指定的時(shí)間間段內(nèi)，通過(guò)過(guò)Internet，使用各種工具具在不破壞應(yīng)應(yīng)用的前提下下攻擊服務(wù)器器，最終提供供檢測(cè)報(bào)告。。服務(wù)作用：先先于黑客進(jìn)行行探測(cè)性攻擊擊以檢測(cè)系統(tǒng)統(tǒng)漏洞。根據(jù)據(jù)最終檢測(cè)報(bào)報(bào)告進(jìn)一步增增強(qiáng)系統(tǒng)的安安全性。2611.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案10.網(wǎng)絡(luò)硬硬件設(shè)備冗余余系統(tǒng)服務(wù)對(duì)象：骨骨干交換機(jī)、、路由器等網(wǎng)網(wǎng)絡(luò)骨干設(shè)備備。服務(wù)周期：實(shí)實(shí)時(shí)。服務(wù)內(nèi)容：根根據(jù)用戶的網(wǎng)網(wǎng)絡(luò)情況，提提供骨干交換換機(jī)、路由器器等核心網(wǎng)絡(luò)絡(luò)設(shè)備的備份份。備份設(shè)備備可以在段時(shí)時(shí)間內(nèi)替代網(wǎng)網(wǎng)絡(luò)中實(shí)際使使用的設(shè)備。。服務(wù)作用：一一旦核心設(shè)備備出現(xiàn)故障，，使用備件替替換以減少網(wǎng)網(wǎng)絡(luò)故障時(shí)間間。2711.2.2網(wǎng)絡(luò)安全服務(wù)務(wù)解決方案11.數(shù)據(jù)備備份系統(tǒng)服務(wù)對(duì)對(duì)象：：所有有重要要服務(wù)務(wù)數(shù)據(jù)據(jù)。服務(wù)周周期：：根據(jù)據(jù)網(wǎng)絡(luò)絡(luò)情況況制定定完全全備份份和增增量備備份的的時(shí)間間服務(wù)內(nèi)內(nèi)容：：定期期備份份電子子信息息。服務(wù)作作用：：防止止核心心服務(wù)務(wù)器崩崩潰導(dǎo)導(dǎo)致網(wǎng)網(wǎng)絡(luò)應(yīng)應(yīng)用癱癱瘓。。2811.2.2網(wǎng)絡(luò)安安全服服務(wù)解解決方方案12.定期期總體體安全全分析析報(bào)告告服務(wù)對(duì)對(duì)象：：整個(gè)個(gè)網(wǎng)絡(luò)絡(luò)。服務(wù)周周期：：半年年一次次。服務(wù)內(nèi)內(nèi)容：：綜合合網(wǎng)絡(luò)絡(luò)拓?fù)鋼鋱?bào)告告、各各種安安全設(shè)設(shè)備日日志、、服務(wù)務(wù)器日日志等等信息息，對(duì)對(duì)網(wǎng)絡(luò)絡(luò)進(jìn)行行總體體安全全綜合合性分分析，，分析析內(nèi)容容包括括網(wǎng)絡(luò)絡(luò)安全全現(xiàn)狀狀、網(wǎng)網(wǎng)絡(luò)安安全隱隱患分分析，，并提提出改改進(jìn)建建議意意見(jiàn)。。服務(wù)作作用：：提供供綜合合性、、全面面的安安全報(bào)報(bào)告，，針對(duì)對(duì)全網(wǎng)網(wǎng)絡(luò)進(jìn)進(jìn)行安安全性性討論論，為為全面面提高高網(wǎng)絡(luò)絡(luò)的安安全性性提供供技術(shù)術(shù)資料料。以上是是網(wǎng)絡(luò)絡(luò)安全全服務(wù)務(wù)解決決方案案，其其中，，網(wǎng)絡(luò)絡(luò)安全全產(chǎn)品品一般般是共共性的的，通通過(guò)安安全服服務(wù)，，能夠夠配置置出適適合本本網(wǎng)絡(luò)絡(luò)的安安全設(shè)設(shè)備，，使得得安全全產(chǎn)品品在特特定的的網(wǎng)絡(luò)絡(luò)中發(fā)發(fā)揮最最大的的效能能，使使得各各種設(shè)設(shè)備協(xié)協(xié)同工工作，，增強(qiáng)強(qiáng)網(wǎng)絡(luò)絡(luò)的安安全性性和可可用性性。2911.2.3技術(shù)支支持解解決方方案3011.2.3技術(shù)支支持解解決方方案2.災(zāi)難恢恢復(fù)支持范范圍：：設(shè)備備遇到到物理理?yè)p害害網(wǎng)絡(luò)絡(luò)、網(wǎng)網(wǎng)絡(luò)應(yīng)應(yīng)用異異常。。作用：：通過(guò)過(guò)備品品備件件，快快速恢恢復(fù)網(wǎng)網(wǎng)絡(luò)硬硬件環(huán)環(huán)境；；通過(guò)過(guò)備份份文件件的復(fù)復(fù)原，，盡快快恢復(fù)復(fù)網(wǎng)絡(luò)絡(luò)的電電子資資源；；由此此可在在最短短的時(shí)時(shí)間內(nèi)內(nèi)恢復(fù)復(fù)整個(gè)個(gè)網(wǎng)絡(luò)絡(luò)應(yīng)用用。3111.2.3技術(shù)支支持解解決方方案3.查找攻攻擊源源支持范范圍：：網(wǎng)絡(luò)管管理員員發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)絡(luò)遭到到攻擊擊，并并需要要確定定攻擊擊來(lái)源源。作用：：通過(guò)日日志文文件等等信息息，確確定攻攻擊的的來(lái)源源，為為進(jìn)一一步采采取措措施提提供依依據(jù)。。3211.2.3技術(shù)支支持解解決方方案4.實(shí)實(shí)時(shí)檢檢索日日志文文件支持范范圍：：遭遭到實(shí)實(shí)時(shí)的的攻擊擊(如如DOS，SYNFLOODING等)，，需要要及時(shí)時(shí)了解解攻擊擊源以以及攻攻擊強(qiáng)強(qiáng)度。。作用：：通過(guò)過(guò)實(shí)時(shí)時(shí)檢索索日志志文件件，可可以當(dāng)當(dāng)時(shí)存存在的的針對(duì)對(duì)本網(wǎng)網(wǎng)絡(luò)的的攻擊擊并查查找出出攻擊擊源。。如果果攻擊擊強(qiáng)度度超出出網(wǎng)絡(luò)絡(luò)能夠夠承受受的范范圍，，可采采取進(jìn)進(jìn)一步步措施施進(jìn)行行防范范。3311.2.3技術(shù)支支持解解決方方案5.即時(shí)查查殺病病毒支持范范圍：：由不不可確確定的的因素素導(dǎo)致致網(wǎng)絡(luò)絡(luò)中出出現(xiàn)計(jì)計(jì)算機(jī)機(jī)病毒毒。作用：：即使使網(wǎng)絡(luò)絡(luò)中出出現(xiàn)病病毒，，通過(guò)過(guò)及時(shí)時(shí)有效效的技技術(shù)支支持，，在最最短的的時(shí)間間內(nèi)查查處感感染病病毒的的主機(jī)機(jī)并即即時(shí)查查殺病病毒，，恢復(fù)復(fù)網(wǎng)絡(luò)絡(luò)應(yīng)用用。3411.2.3技術(shù)支支持解解決方方案6.即時(shí)網(wǎng)網(wǎng)絡(luò)監(jiān)監(jiān)控支持范范圍：：網(wǎng)絡(luò)出出現(xiàn)異異常，，但應(yīng)應(yīng)用基基本正正常。。作用：：通過(guò)過(guò)網(wǎng)絡(luò)絡(luò)監(jiān)控控，盡盡可能能發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)絡(luò)中存存在的的前期期網(wǎng)絡(luò)絡(luò)故障障，在在故障障擴(kuò)大大化以以前及及時(shí)進(jìn)進(jìn)行防防治。。3511.3.1某電力力公司司項(xiàng)目目背景景某電力力公司司電網(wǎng)網(wǎng)已發(fā)發(fā)展成成為以以火電電為主主，水水力發(fā)發(fā)電為為輔，，500kv輸電線線路為為骨干干，220kv線路為為網(wǎng)架架、分分層分分區(qū)結(jié)結(jié)構(gòu)完完整的的電網(wǎng)網(wǎng)。與與生產(chǎn)產(chǎn)網(wǎng)絡(luò)絡(luò)的發(fā)發(fā)展相相匹配配，該該公司司已經(jīng)經(jīng)組建建了調(diào)調(diào)度網(wǎng)網(wǎng)絡(luò)和和OA網(wǎng)絡(luò)，，并正正在發(fā)發(fā)展和和銀行行之間間的互互聯(lián)，，開(kāi)展展業(yè)務(wù)務(wù)往來(lái)來(lái)；而而且隨隨著信信息化化的深深入發(fā)發(fā)展，，各個(gè)個(gè)公司司也有有接入入Internet網(wǎng)的需需求，，這就就對(duì)電電力內(nèi)內(nèi)部的的各種種信息息構(gòu)成成威脅脅。為為防范范對(duì)電電網(wǎng)和和電廠廠計(jì)算算機(jī)監(jiān)監(jiān)控系系統(tǒng)及及調(diào)度度數(shù)據(jù)據(jù)網(wǎng)絡(luò)絡(luò)的攻攻擊侵侵害及及由此此引起起的電電力系系統(tǒng)事事故，，保障障電力力系統(tǒng)統(tǒng)的安安全穩(wěn)穩(wěn)定運(yùn)運(yùn)行，，建立立和完完善電電網(wǎng)和和電廠廠計(jì)算算機(jī)監(jiān)監(jiān)控系系統(tǒng)及及調(diào)度度數(shù)據(jù)據(jù)網(wǎng)絡(luò)絡(luò)的安安全防防護(hù)體體系，，國(guó)電電已依依據(jù)全全國(guó)人人大常常委會(huì)會(huì)《關(guān)關(guān)于維維護(hù)網(wǎng)網(wǎng)絡(luò)安安全和和信息息安全全的決決議》》和《《中華華人民民共和和國(guó)計(jì)計(jì)算機(jī)機(jī)信息息系統(tǒng)統(tǒng)安全全保護(hù)護(hù)條例例》及及國(guó)家家關(guān)于于計(jì)算算機(jī)信信息與與網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)安全全防護(hù)護(hù)的有有關(guān)規(guī)規(guī)定，，制定定了《《電網(wǎng)網(wǎng)和電電廠計(jì)計(jì)算機(jī)機(jī)監(jiān)控控系統(tǒng)統(tǒng)及調(diào)調(diào)度網(wǎng)網(wǎng)絡(luò)安安全防防護(hù)規(guī)規(guī)定》》。3611.3.2網(wǎng)絡(luò)威威脅及及需求求分析析1.網(wǎng)網(wǎng)絡(luò)威威脅該公司司的網(wǎng)網(wǎng)絡(luò)安安全采采取的的主要要措施施有：：利用用操作作系統(tǒng)統(tǒng)、數(shù)數(shù)據(jù)庫(kù)庫(kù)、電電子郵郵件、、應(yīng)用用系統(tǒng)統(tǒng)本身身的安安全性性，對(duì)對(duì)用戶戶進(jìn)行行權(quán)限限控制制。在在連接接廣域域網(wǎng)接接口處處，通通過(guò)Cisco2600路由由器器的的IP包過(guò)過(guò)濾濾及及訪訪問(wèn)問(wèn)控控制制列列表表（（ACL））功能能，，做做了了一一定定的的安安全全控控制制。。但但實(shí)實(shí)際際上上，，僅僅依依靠靠以以上上幾幾項(xiàng)項(xiàng)安安全全措措施施，，不不能能達(dá)達(dá)到到公公司司網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的要要求求。。所所以以的的目目前前主主要要網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全威威脅脅如如下下：：(1)內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)和和外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)之之間間的的連連接接為為直直接接連連接接，，外外部部用用戶戶不不但但可可以以訪訪問(wèn)問(wèn)對(duì)對(duì)外外服服務(wù)務(wù)的的服服務(wù)務(wù)器器，，同同時(shí)時(shí)也也容容易易地地訪訪問(wèn)問(wèn)內(nèi)內(nèi)部部的的網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)器器，，這這樣樣，，由由于于內(nèi)內(nèi)部部和和外外部部沒(méi)沒(méi)有有隔隔離離措措施施，，內(nèi)內(nèi)部部系系統(tǒng)統(tǒng)較較容容易易遭遭到到攻攻擊擊。。(2)來(lái)來(lái)自自內(nèi)內(nèi)部部網(wǎng)網(wǎng)的的病病毒毒的的破破壞壞；；(3)內(nèi)內(nèi)部部用用戶戶的的惡惡意意攻攻擊擊、、誤誤操操作作，，但但由由于于目目前前發(fā)發(fā)生生的的概概率率較較小小，，本本部部分分暫暫不不作作考考慮慮。。(4)如如果果調(diào)調(diào)度度網(wǎng)網(wǎng)與與辦辦公公網(wǎng)網(wǎng)相相聯(lián)聯(lián)，，調(diào)調(diào)度度網(wǎng)網(wǎng)的的安安全全將將受受到到來(lái)來(lái)自自辦辦公公網(wǎng)網(wǎng)的的威威脅脅。。(5)來(lái)來(lái)自自外外部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的攻攻擊擊3711.3.2網(wǎng)絡(luò)絡(luò)威威脅脅及及需需求求分分析析2.需求求分分析析該公公司司的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全需需求求如如下下：：(1)防止止縣縣級(jí)級(jí)用用戶戶與與地地市市級(jí)級(jí)之之間間內(nèi)內(nèi)部部用用戶戶進(jìn)進(jìn)行行非非授授權(quán)權(quán)訪訪問(wèn)問(wèn)和和惡惡意意攻攻擊擊；；(2)防止不同同部門(mén)之之間用戶戶非授權(quán)權(quán)訪問(wèn)和和惡意攻攻擊;；(3)防止外聯(lián)聯(lián)單位對(duì)對(duì)縣級(jí)網(wǎng)網(wǎng)絡(luò)的非非授權(quán)訪訪問(wèn)和惡惡意攻擊擊；(4)調(diào)度網(wǎng)與與辦公網(wǎng)網(wǎng)的安全全隔離；；(4)防止本地地郵件病病毒、文文件病毒毒及網(wǎng)絡(luò)絡(luò)病毒的的危害和和傳播；；(5)防止來(lái)自自Internet病毒對(duì)縣縣級(jí)網(wǎng)絡(luò)絡(luò)中重要要服務(wù)器器的攻擊擊與破壞壞；(6)加強(qiáng)對(duì)內(nèi)內(nèi)部用戶戶的身份份鑒別、、權(quán)限控控制、角角色管理理和訪問(wèn)問(wèn)控制管管理，防防止對(duì)應(yīng)應(yīng)用系統(tǒng)統(tǒng)的數(shù)據(jù)據(jù)庫(kù)服務(wù)務(wù)器、郵郵件服務(wù)務(wù)器及文文檔服務(wù)務(wù)器的非非法存取取、刪改改和破壞壞；(7)加強(qiáng)對(duì)移移動(dòng)辦公公用戶和和撥號(hào)用用戶的身身份鑒別別、權(quán)限限控制和和訪問(wèn)控控制管理理；(8)防止在各各級(jí)網(wǎng)絡(luò)絡(luò)進(jìn)行數(shù)數(shù)據(jù)傳輸輸過(guò)程中中，傳輸輸?shù)男畔⑾⒖赡鼙槐桓`取、、篡改或或破壞；；(9)防止電磁磁輻射和和電磁傳傳導(dǎo)泄漏漏；(10)在重要的的網(wǎng)絡(luò)和和系統(tǒng)中中充分考考慮災(zāi)備備和容錯(cuò)錯(cuò)措施，，防止因因系統(tǒng)故故障導(dǎo)致致系統(tǒng)服服務(wù)中斷斷；(11)實(shí)現(xiàn)對(duì)網(wǎng)網(wǎng)站文件件屬性和和文件內(nèi)內(nèi)容的實(shí)實(shí)時(shí)監(jiān)控控，可以以自動(dòng)、、安全恢恢復(fù)網(wǎng)站站文件系系統(tǒng)；(12)建立完整整的網(wǎng)絡(luò)絡(luò)安全系系統(tǒng)管理理體系，，實(shí)現(xiàn)對(duì)對(duì)全網(wǎng)的的設(shè)備的的統(tǒng)一管管理，安安全策略略的統(tǒng)一一制定，，安全事事件的統(tǒng)統(tǒng)一管理理等等。。3811.3.3網(wǎng)絡(luò)安安全方方案設(shè)設(shè)計(jì)1.第第一級(jí)級(jí)方案案1)設(shè)設(shè)計(jì)目目標(biāo)(1)將地地市局局的網(wǎng)網(wǎng)絡(luò)系系統(tǒng)與與縣級(jí)級(jí)網(wǎng)絡(luò)絡(luò)系統(tǒng)統(tǒng)隔離離開(kāi)來(lái)來(lái)，拒拒絕非非法訪訪問(wèn)，，保護(hù)護(hù)網(wǎng)絡(luò)絡(luò)邊界界的安安全；；(2)保護(hù)護(hù)各縣縣級(jí)網(wǎng)網(wǎng)絡(luò)系系統(tǒng)，，抵御御來(lái)自自于廣廣域網(wǎng)網(wǎng)的攻攻擊，，保護(hù)護(hù)網(wǎng)絡(luò)絡(luò)資源源安全全；(3)將縣縣級(jí)網(wǎng)網(wǎng)絡(luò)與與其所所屬鄉(xiāng)鄉(xiāng)鎮(zhèn)供供電所所安全全隔離離，保保護(hù)網(wǎng)網(wǎng)絡(luò)邊邊界的的安全全；(4)各縣縣級(jí)網(wǎng)網(wǎng)絡(luò)與與銀行行代收收付系系統(tǒng)隔隔離開(kāi)開(kāi)，防防止來(lái)來(lái)自外外聯(lián)業(yè)業(yè)務(wù)方方面的的攻擊擊，確確保內(nèi)內(nèi)部資資源的的安全全；(5)隱藏藏內(nèi)部部網(wǎng)絡(luò)絡(luò)的拓拓?fù)浣Y(jié)結(jié)構(gòu)；；(6)抵擋擋木馬馬攻擊擊、蠕蠕蟲(chóng)攻攻擊、、后門(mén)門(mén)攻擊擊、利利用漏漏洞攻攻擊和和拒絕絕服務(wù)務(wù)攻擊擊；(7)強(qiáng)化化對(duì)網(wǎng)網(wǎng)絡(luò)的的控制制，確確保關(guān)關(guān)鍵業(yè)業(yè)務(wù)的的網(wǎng)絡(luò)絡(luò)帶寬寬3911.3.3網(wǎng)絡(luò)安安全方方案設(shè)設(shè)計(jì)XXX電力公公司網(wǎng)網(wǎng)中絡(luò)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)構(gòu)（如如圖10-1所所示））是縣縣級(jí)網(wǎng)網(wǎng)絡(luò)安安全項(xiàng)項(xiàng)目實(shí)實(shí)施的的第一一步，，在縣縣級(jí)網(wǎng)網(wǎng)絡(luò)中中設(shè)置置放火火墻，，在保保證地地市公公司、、鄉(xiāng)鎮(zhèn)鎮(zhèn)供電電所及及銀行行等外外聯(lián)單單位正正常接接入內(nèi)內(nèi)部網(wǎng)網(wǎng)絡(luò)的的同時(shí)時(shí)，對(duì)對(duì)各個(gè)個(gè)接入入單位位設(shè)置置合理理的安安全策策略，，防止止來(lái)自自接入入單位位的非非法訪訪問(wèn)甚甚至惡惡意攻攻擊，，保護(hù)護(hù)內(nèi)部部網(wǎng)絡(luò)絡(luò)資源源。具具體安安全策策略視視不同同接入入單位位的不不同權(quán)權(quán)限而而定。。本方方案中中使用用的放放火墻墻提供供各種種安全全策略略，例例如防防止拒拒絕服服務(wù)攻攻擊：：MPSecFW通過(guò)限限制流流量的的方法法保護(hù)護(hù)安全全子網(wǎng)網(wǎng)不受受常見(jiàn)見(jiàn)的DOS攻擊。。MPSecFW也允許許配置置是否否過(guò)濾濾帶源源路由由選項(xiàng)項(xiàng)的IP包。同同時(shí)，，按照照RFC1858的要求求對(duì)IP分片進(jìn)進(jìn)行處處理，，如果果IP分片的的第一一個(gè)分分片或或者重重組后后的數(shù)數(shù)據(jù)包包頭中中不包包含進(jìn)進(jìn)行過(guò)過(guò)濾判判斷地地所需需包頭頭信息息（如如TCP報(bào)