網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實踐教程課件第12章-網(wǎng)絡(luò)安全新技術(shù)及解決方案

*第12章

網(wǎng)絡(luò)安全新技術(shù)及解決方案網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實踐教程目錄

*12.3知識拓展電子政務(wù)網(wǎng)絡(luò)安全解決方案312.4要點小結(jié)412.5實踐與練習(xí)125

12.2案例分析網(wǎng)絡(luò)安全解決方案應(yīng)用212.1知識要點1

目錄

教學(xué)目標(biāo)●

了解網(wǎng)絡(luò)安全新技術(shù)的概念、特點和應(yīng)用●理解網(wǎng)絡(luò)安全解決方案的概念、要點、要求和任務(wù)●理解網(wǎng)絡(luò)安全解決方案設(shè)計原則和質(zhì)量標(biāo)準(zhǔn)●掌握網(wǎng)絡(luò)安全解決方案的分析與設(shè)計、案例與編寫重點重點12.1知識要點

12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

可信計算技術(shù)以密碼技術(shù)為支持，以安全操作系統(tǒng)為核心，已成為國家信息安全領(lǐng)域的發(fā)展要務(wù)。我國關(guān)鍵信息產(chǎn)品大部分采用國外產(chǎn)品，對于金融、政府、軍隊、通信等重要部門。將出現(xiàn)網(wǎng)絡(luò)安全問題，構(gòu)建我國自主產(chǎn)權(quán)的可信計算平臺極為重要。沈昌祥院士指出：作為國家信息安全基礎(chǔ)建設(shè)的重要組成部分，自主創(chuàng)新的可信計算平臺和相關(guān)產(chǎn)品實質(zhì)上也是國家主權(quán)之一。只有掌握關(guān)鍵技術(shù)，才能提升我國信息安全核心競爭力。打造我國可信計算技術(shù)產(chǎn)業(yè)鏈，形成和完善中國可信計算標(biāo)準(zhǔn)，并在國際標(biāo)準(zhǔn)中占有一席之地，走聯(lián)合發(fā)展道路。

案例12-1

（1）可信計算的概念及體系結(jié)構(gòu)

可信計算（TrustedComputing）是一種基于可信機制的計算方式，以提高系統(tǒng)整體的安全性。也稱為可信用計算，是一項由可信計算組推動和開發(fā)的技術(shù)。對于可信計算可從多方面理解。用戶身份認證，有利對使用者的信任；平臺配置的正確性，有利使用者對平臺運行環(huán)境的信任；應(yīng)用程序的完整性和合法性，有利運行的可信；平臺之間的可驗證性，指網(wǎng)絡(luò)環(huán)境下平臺之間的相互信任?？尚庞嬎慵夹g(shù)的核心是可信平臺（TPM

）的安全芯片。含有密碼運算部件和存儲部件等，以TPM為基礎(chǔ)，可信機制主要體現(xiàn)在三個方面：（1）可信的度量（2）度量的存儲（3）度量的報告12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

（2）可信計算體系結(jié)構(gòu)

中國政府和科研機構(gòu)對可信計算給予高度重視，投入了大量的經(jīng)費支持?？尚琶庖叩挠嬎泱w系結(jié)構(gòu)如圖12-1所示。

1）可信免疫的計算模式。網(wǎng)絡(luò)信息安全問題是由設(shè)計缺陷而引起的，消極被動的封堵查殺防不勝防，為此，提出了可信計算模式。構(gòu)建的可信計算的架構(gòu)可以解決一系列相關(guān)問題，如圖12-2所示。圖12-1可信免疫的計算體系結(jié)構(gòu)

圖12-2可信計算雙體系架構(gòu)策略作業(yè)模式策略規(guī)則監(jiān)控12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

2）安全可信系統(tǒng)框架。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、虛擬動態(tài)異構(gòu)計算環(huán)境都需要可信度量、識別和控制，包括五個方面：體系結(jié)構(gòu)可信、操作行為可信、資源配置可信、數(shù)據(jù)存儲可信和策略管理可信。通過構(gòu)建可信安全管理中心支持下的積極主動三重防護框架，能夠達到網(wǎng)絡(luò)安全目標(biāo)要求的多種安全防護效果。12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

（3）可信計算的典型應(yīng)用1）數(shù)字版權(quán)管理2）身份盜用保護3）保護系統(tǒng)不受病毒和間諜軟件危害4）保護生物識別身份驗證數(shù)據(jù)

5）核查遠程網(wǎng)格計算的計算結(jié)果

網(wǎng)格計算是分布式計算的一種。是專門針對復(fù)雜科學(xué)計算的新型計算模式。是利用互聯(lián)網(wǎng)把不同地理位置的電腦組成一個“虛擬的超級計算機”，其中每臺計算機就是一個“節(jié)點”，而整個計算是由成千上萬個“節(jié)點”組成的“一張網(wǎng)格”。網(wǎng)格計算的優(yōu)勢：一個是數(shù)據(jù)處理能力超強；另一個是能充分利用網(wǎng)上的閑置處理能力。

6）防止在線攻擊模擬訓(xùn)練或作弊12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

12.1網(wǎng)絡(luò)安全新技術(shù)概述2.大數(shù)據(jù)安全保護1）數(shù)據(jù)發(fā)布匿名保護技術(shù)2）社交網(wǎng)絡(luò)匿名保護技術(shù)3）數(shù)據(jù)水印技術(shù)4）風(fēng)險自適應(yīng)的訪問控制

5）數(shù)據(jù)溯源技術(shù)大數(shù)據(jù)基本屬性4V+C：量大,多樣,快速,低價值密度,復(fù)雜.

3.云安全技術(shù)及應(yīng)用

（1）云安全的概念

云安全（CloudSecurity）融合了并行處理、網(wǎng)格計算、未知病毒及異常行為判斷等新興技術(shù)和概念，是云計算技術(shù)在信息安全領(lǐng)域的應(yīng)用。是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端，構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的安全體系。

（2）云安全關(guān)鍵技術(shù)

可信云安全的關(guān)鍵技術(shù)主要包括：可信密碼學(xué)技術(shù)、可信模式識別技術(shù)、可信融合驗證技術(shù)、可信“零知識”挑戰(zhàn)應(yīng)答技術(shù)、可信云計算安全架構(gòu)技術(shù)等。云計算(CloudComputing)是一種基于互聯(lián)網(wǎng)的計算方式，集成分布處理、并行計算、虛擬技術(shù)共享資源和信息12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

云安全技術(shù)應(yīng)用案例。在最近幾年的新技術(shù)成果中，可信云電子證書發(fā)放過程，如圖12-3所示。可信云端互動的端接入過程，如圖12-4所示。

圖12-3可信云電子證書應(yīng)用圖12-4可信云端互動的端接入過程案例12-2可信平臺12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

（3）云安全技術(shù)應(yīng)用案例趨勢科技在Web安全威脅方面，利用云安全技術(shù)取得很好的效果。云安全6大主要應(yīng)用：（1）Web信譽服務(wù)（2）電子郵件信譽服務(wù)（3）文件信譽服務(wù)（4）行為關(guān)聯(lián)分析技術(shù)（5）自動反饋機制（6）威脅信息匯總12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

4.網(wǎng)格安全及其關(guān)鍵技術(shù)

（1）網(wǎng)格安全技術(shù)的概念

網(wǎng)格(Grid)是一種虛擬計算環(huán)境，利用計算機網(wǎng)絡(luò)將分布異地的計算、存儲、網(wǎng)絡(luò)、軟件、信息、知識等資源連成一個邏輯整體,如一超級計算機為用戶提供一體化信息應(yīng)用服務(wù),實現(xiàn)互聯(lián)網(wǎng)上所有資源的全面連通與共享,消除信息孤島和資源孤島.網(wǎng)格作為一種先進的技術(shù)和基礎(chǔ)設(shè)施，已經(jīng)得到廣泛的應(yīng)用。同時，由于其動態(tài)性和多樣性的環(huán)境特點帶來新的安全挑戰(zhàn)，需要新的安全技術(shù)方案解決,并考慮兼容流行的各種安全模型、安全機制、協(xié)議、平臺和技術(shù),通過某種方法實現(xiàn)多種系統(tǒng)間互操作安全。網(wǎng)格安全技術(shù)是指保護網(wǎng)格安全的技術(shù)、方法、策略、機制、手段和措施。

（2）網(wǎng)格安全技術(shù)的特點（1）異構(gòu)資源管理（2）可擴展性（3）結(jié)構(gòu)不可預(yù)測性（4）多級管理域12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

（3）網(wǎng)格安全技術(shù)的需求1）認證需求2）安全通信需求3）靈活的安全策略

（4）網(wǎng)格安全關(guān)鍵技術(shù)1）安全認證技術(shù)2）網(wǎng)格中的授權(quán)3）網(wǎng)格訪問控制4）網(wǎng)格安全標(biāo)準(zhǔn)

討論思考：

（1）什么是可信計算？典型應(yīng)用有哪些？（2）什么是云安全技術(shù)？大數(shù)據(jù)安全？舉例（3）什么是網(wǎng)格安全技術(shù)？其特點有哪些？12.1.1網(wǎng)絡(luò)安全新技術(shù)概述

1.網(wǎng)絡(luò)安全解決方案概念和特點

（1）網(wǎng)絡(luò)安全解決方案概念

網(wǎng)絡(luò)安全方案是指針對網(wǎng)絡(luò)系統(tǒng)中存在的安全問題，通過系統(tǒng)的分析、設(shè)計和具體實施過程中，采用的各種安全技術(shù)、方法、策略、措施、安排和管理文檔等。12.1.2網(wǎng)絡(luò)安全解決方案概述

完整的一系列立體、整體、綜合網(wǎng)絡(luò)安全措施和方法案例12-3】在實際應(yīng)用中,網(wǎng)絡(luò)安全解決方案特別重要.某網(wǎng)上商品銷售有限公司，由于沒有很好構(gòu)建完整的企業(yè)網(wǎng)絡(luò)安全解決方案，致使公司的商品銷售和支付子系統(tǒng)、數(shù)據(jù)傳輸和存儲等方面不斷出現(xiàn)一些網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全人員一直處于應(yīng)付狀態(tài)“頭痛醫(yī)頭，腳痛醫(yī)腳”，自從構(gòu)建了整體網(wǎng)絡(luò)安全解決方案并進行有效實施后才得到徹底改善。案例12-3

網(wǎng)絡(luò)安全解決方案是指解決各種網(wǎng)絡(luò)系統(tǒng)安全問題的綜合技術(shù)、策略和管理方法的具體實際運用，也是綜合解決網(wǎng)絡(luò)安全問題的具體措施的體現(xiàn)。高質(zhì)量的網(wǎng)絡(luò)安全解決方案主要體現(xiàn)在網(wǎng)絡(luò)安全技術(shù)、策略和管理三方面，網(wǎng)絡(luò)安全技術(shù)是基礎(chǔ)、策略是核心、管理是保證。解決方案整體防御作用,如圖12-5。

12.1.2網(wǎng)絡(luò)安全解決方案概述

圖12-5網(wǎng)絡(luò)安全解決方案的整體防御作用系統(tǒng)級芯片數(shù)字光處理Web應(yīng)用防護系統(tǒng)

（2）網(wǎng)絡(luò)安全方案的特點和種類

網(wǎng)絡(luò)安全方案具有整體性、動態(tài)性和相對性的特點，應(yīng)當(dāng)綜合多種技術(shù)、策略和管理方法等要素，并以發(fā)展及拓展的動態(tài)性和安全需求的相對性整體分析、設(shè)計和實施。在制定整個網(wǎng)絡(luò)安全方案項目的可行性論證、計劃、立項、分析、設(shè)計和施行與檢測過程中，需要根據(jù)實際安全評估的全面和動態(tài)地把握項目的內(nèi)容、要求和變化，力求真正達到網(wǎng)絡(luò)安全工程的建設(shè)目標(biāo)。

方案多種類型：網(wǎng)絡(luò)安全設(shè)計方案、網(wǎng)絡(luò)安全建設(shè)方案、網(wǎng)絡(luò)安全解決方案、網(wǎng)絡(luò)安全實施方案等，也可以按照行業(yè)特點或單項需求等方式進行劃分。如網(wǎng)絡(luò)安全工程技術(shù)方案、網(wǎng)絡(luò)安全管理方案，金融行業(yè)數(shù)據(jù)應(yīng)急備份及恢復(fù)方案，大型企業(yè)局域網(wǎng)安全解決方案、校園網(wǎng)安全管理方案等。在此只重點側(cè)重網(wǎng)絡(luò)安全解決方案。12.1.2網(wǎng)絡(luò)安全解決方案概述

2.網(wǎng)絡(luò)安全方案制定原則

（1）網(wǎng)絡(luò)安全解決方案制定原則

制定網(wǎng)絡(luò)安全解決方案的原則，主要包括：1）可評價性原則。2）綜合性及整體性原則。3）動態(tài)性及拓展性原則。4）易操作性原則。5）分步實施原則。6）多重保護原則。7）嚴(yán)謹性及專業(yè)性原則。8）一致性及唯一性原則。12.1.2網(wǎng)絡(luò)安全解決方案概述

（2）制定網(wǎng)絡(luò)安全解決方案注意事項

制定網(wǎng)絡(luò)安全解決方案注意事項包括：

1）以發(fā)展變化角度制定方案。主要是指在網(wǎng)絡(luò)安全解決方案制定時，不僅要考慮到企事業(yè)單位現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)安全狀況，也要考慮到將來的業(yè)務(wù)發(fā)展和系統(tǒng)的變化與更新的需求，以一種發(fā)展變化和動態(tài)的視覺進行考慮，并在項目實施過程中既能考慮到目前的情況，也能很好地適應(yīng)將來網(wǎng)絡(luò)系統(tǒng)的升級，預(yù)留升級接口。

2）網(wǎng)絡(luò)安全的相對性。在制定網(wǎng)絡(luò)安全解決方案時，應(yīng)當(dāng)以一種客觀真實的“實事求是”的態(tài)度來進行安全分析、設(shè)計和編制。由于事物和時間等因素在不斷發(fā)生變化，網(wǎng)絡(luò)無絕對安全，不管是分析設(shè)計還是編制，都根本無法達到絕對安全。12.1.2網(wǎng)絡(luò)安全解決方案概述

3.網(wǎng)絡(luò)安全解決方案的制定

制定一個完整的網(wǎng)絡(luò)安全解決方案項目，通常包括網(wǎng)絡(luò)系統(tǒng)安全需求分析與評估、方案設(shè)計、方案編制、方案論證與評價、具體實施、測試檢驗和效果反饋等基本過程，制定網(wǎng)絡(luò)安全方案總體框架要點應(yīng)注重以下5個方面。1）網(wǎng)絡(luò)安全風(fēng)險概要分析2）網(wǎng)絡(luò)安全風(fēng)險具體分析要點3）網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險評估4）常用的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)5）安全管理與服務(wù)的技術(shù)支持

12.1.2網(wǎng)絡(luò)安全解決方案概述

討論思考：（1）什么是網(wǎng)絡(luò)安全方案和網(wǎng)絡(luò)安全解決方案？（2）制定網(wǎng)絡(luò)安全解決方案的具體過程是什么？（3）具體制定網(wǎng)絡(luò)安全解決方案的要點有哪些？

1.網(wǎng)絡(luò)安全需求分析內(nèi)容及要求

（1）網(wǎng)絡(luò)安全需求分析的內(nèi)容

1）網(wǎng)絡(luò)安全需求分析要點。在進行需求分析時，主要內(nèi)容注重6個方面：網(wǎng)絡(luò)安全體系、可靠性、系統(tǒng)及數(shù)據(jù)安全性、開放性、可擴展性、便于管理

2）需求分析案例。初步概要分析。對企事業(yè)單位的現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行初步的概要分析，以便對后續(xù)工作進行判斷、決策和交流。一般初步分析包括：機構(gòu)概況、網(wǎng)絡(luò)系統(tǒng)概況、主要安全需求、網(wǎng)絡(luò)系統(tǒng)管理概況等。12.1.3網(wǎng)絡(luò)安全的需求分析

【案例12-4】某企業(yè)集團的網(wǎng)絡(luò)安全分析。其系統(tǒng)包括企業(yè)總部和多個基層單位，按地域位置可分為本地網(wǎng)和遠程網(wǎng)，稱為A地區(qū)以內(nèi)和A地區(qū)以外兩部分。由于該網(wǎng)主要為機構(gòu)和基層單位之間數(shù)據(jù)交流服務(wù)，網(wǎng)上運行大量重要信息，因此，要求入網(wǎng)站點物理上不與Internet網(wǎng)連接。從安全角度考慮，本地網(wǎng)用戶地理位置相對集中，又完全處于獨立使用和內(nèi)部管理的封閉環(huán)境下，物理上不與外界有聯(lián)系，具有一定的安全性。而遠程網(wǎng)的連接由于是通過PSTN公共交換網(wǎng)實現(xiàn)，比本地網(wǎng)安全性要差。網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)圖如圖12-1所示。

3）網(wǎng)絡(luò)安全需求分析。是在初步概要分析基礎(chǔ)上全面深入分析，

主要包括5個方面：

物理層安全需求;

網(wǎng)絡(luò)層安全需求;

系統(tǒng)層安全需求

應(yīng)用層安全需求;

管理層安全需求;12.1.3網(wǎng)絡(luò)安全解決方案要求及任務(wù)圖12-1網(wǎng)絡(luò)安全解決方案模型

（2）網(wǎng)絡(luò)安全需求分析的要求

對網(wǎng)絡(luò)安全需求分析的具體要求，主要包括以下5項。

1）安全性要求；2）可控性和可管理性要求；3）可用性

及恢復(fù)性要求；4）可擴展要求；5）合法性要求

2.網(wǎng)絡(luò)安全解決方案的任務(wù)

網(wǎng)絡(luò)安全解決方案的主要任務(wù)有4個方面：(1)調(diào)研機構(gòu)計算機網(wǎng)絡(luò)系統(tǒng)(2)分析評估機構(gòu)的計算機網(wǎng)絡(luò)系統(tǒng)(3)分析評估機構(gòu)的計算機應(yīng)用系統(tǒng)(4)制定機構(gòu)網(wǎng)絡(luò)系統(tǒng)的安全策略和解決方案12.1.3網(wǎng)絡(luò)安全解決方案要求及任務(wù)

討論思考：（1）網(wǎng)絡(luò)安全解決方案的具體要求有哪些？（2）結(jié)合實例如何進行安全解決方案的需求分析？（3）網(wǎng)絡(luò)安全解決方案的主要任務(wù)具體有哪些？

1.網(wǎng)絡(luò)安全解決方案設(shè)計目標(biāo)及原則（1）網(wǎng)絡(luò)安全解決方案的設(shè)計目標(biāo)利用網(wǎng)絡(luò)安全技術(shù)和措施設(shè)計網(wǎng)絡(luò)安全解決方案的目標(biāo)，包括：1)機構(gòu)各部門、各單位局域網(wǎng)得到有效地安全保護；

2)保障與Internet相連的安全保護；3)提供關(guān)鍵信息的加密傳輸與存儲安全；

4)保證應(yīng)用業(yè)務(wù)系統(tǒng)的正常安全運行；5)提供安全網(wǎng)的監(jiān)控與審計措施；

6)最終目標(biāo)：機密性、完整性、可用性、可控性與可審查性。12.1.4網(wǎng)絡(luò)安全解決方案設(shè)計和標(biāo)準(zhǔn)

12.1.4網(wǎng)絡(luò)安全解決方案設(shè)計與標(biāo)準(zhǔn)

（2）網(wǎng)絡(luò)安全解決方案的設(shè)計要點

網(wǎng)絡(luò)安全解決方案，設(shè)計要點主要體現(xiàn)在3個方面：網(wǎng)絡(luò)安全技術(shù)-身份認證、訪問控制、加密……。網(wǎng)絡(luò)安全策略-安全部署、數(shù)字證書、備份……。網(wǎng)絡(luò)安全管理-安全審計、密鑰管理、數(shù)據(jù)管理

（3）網(wǎng)絡(luò)安全解決方案的設(shè)計原則1)網(wǎng)絡(luò)系統(tǒng)的安全性和保密性得到有效增強；2)保持網(wǎng)絡(luò)原有功能、性能及可靠性等，對網(wǎng)絡(luò)協(xié)議和傳輸具有很好安全保障；3)安全技術(shù)方便實際操作與維護，便于自動化管理，而不增加或少增加附加操作；4)盡量不影響原網(wǎng)絡(luò)拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；5)提供的安全保密系統(tǒng)具有較好性價比，可一次性投資長期使用；6)使用經(jīng)過國家有關(guān)管理部門的認可或認證安全與密碼產(chǎn)品，并具有合法性；7)注重質(zhì)量，分步實施分段驗收。

12.1.4網(wǎng)絡(luò)安全解決方案設(shè)計與標(biāo)準(zhǔn)

2.網(wǎng)絡(luò)安全解決方案的評價標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全解決安全方案的評價標(biāo)準(zhǔn),主要包括8個方面。1）采用的技術(shù)確切唯一性2）綜合把握和預(yù)見性3)評估結(jié)果和建議應(yīng)準(zhǔn)確4)針對性強且安全防范能力提高5)切實體現(xiàn)對機構(gòu)的服務(wù)支持6)以網(wǎng)絡(luò)安全工程的思想和方式組織實施。7)網(wǎng)絡(luò)安全是動態(tài)的、整體的、專業(yè)的工程。8)具體方案中所采用的安全產(chǎn)品、安全技術(shù)和具體安全措施，都應(yīng)當(dāng)經(jīng)得起驗證、推敲、論證和實施，應(yīng)當(dāng)有實際的理論依據(jù)、堅實基礎(chǔ)和標(biāo)準(zhǔn)準(zhǔn)則。

討論思考：（1）網(wǎng)絡(luò)安全解決方案設(shè)計的目標(biāo)和重點是什么？（2）網(wǎng)絡(luò)安全解決方案的設(shè)計原則有哪些？（3）評價網(wǎng)絡(luò)安全解決方案的質(zhì)量標(biāo)準(zhǔn)有哪些？

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

12.2.1金融網(wǎng)絡(luò)安全解決方案

1．金融系統(tǒng)信息化現(xiàn)狀分析金融行業(yè)信息化建設(shè)已達到了較高水平，業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)高度依賴，針對金融信息網(wǎng)絡(luò)的犯罪案件呈逐年上升趨勢，特別是銀行全面進入業(yè)務(wù)系統(tǒng)整合、數(shù)據(jù)大集中的新的發(fā)展階段，以及銀行卡、網(wǎng)上銀行、電子商務(wù)、網(wǎng)上證券交易等新的產(chǎn)品和新業(yè)務(wù)系統(tǒng)迅速發(fā)展，對安全性提出更高要求。迫切需要建設(shè)主動的、深層的、立體的信息安全保障體系。

上海XX信息技術(shù)公司通過網(wǎng)絡(luò)安全建設(shè)項目的招標(biāo)，以128萬元人民幣取得該項目的建設(shè)權(quán)。其中，網(wǎng)絡(luò)系統(tǒng)安全解決方案主要包括8項內(nèi)容：信息化現(xiàn)狀分析、安全風(fēng)險分析、完整網(wǎng)絡(luò)安全實施方案的設(shè)計、實施方案計劃、技術(shù)支持和服務(wù)、項目安全產(chǎn)品、檢測驗收報告和安全技術(shù)培訓(xùn)。

案例12-5

圖12-7金融行業(yè)互聯(lián)廣域網(wǎng)體系結(jié)構(gòu)

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

2．網(wǎng)絡(luò)系統(tǒng)安全面臨的風(fēng)險

金融網(wǎng)絡(luò)系統(tǒng)存在安全風(fēng)險的主要原因有3個：

(1)防范和化解風(fēng)險成了非常關(guān)注問題。

(2)網(wǎng)絡(luò)快速發(fā)展和廣泛應(yīng)用，系統(tǒng)安全漏洞增加。

(3)金融行業(yè)網(wǎng)絡(luò)系統(tǒng)正在向國際化方向發(fā)展。

網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險有3個方面：

(1)組織方面的風(fēng)險。

(2)技術(shù)方面的風(fēng)險。

(3)管理方面的風(fēng)險

上海XX信息技術(shù)公司于1993年成立并通過ISO9001認證，注冊資本6800萬元人民幣。公司主要提供網(wǎng)絡(luò)安全產(chǎn)品和網(wǎng)絡(luò)安全解決方案，公司的安全理念是解決方案PPDRRM,方案將給機構(gòu)帶來穩(wěn)定安全的網(wǎng)絡(luò)環(huán)境，PPDRRM策略覆蓋了安全項目中的產(chǎn)品、技術(shù)、服務(wù)、管理和策略等內(nèi)容，是一個完善、嚴(yán)密、整體和動態(tài)的安全理念。

案例12-612.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

網(wǎng)絡(luò)安全解決方案PPDRRM

如圖12-8所示。

圖12-8網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案包括6個方面：(1)綜合的網(wǎng)絡(luò)安全策略（Policy）

(2)全面的網(wǎng)絡(luò)安全保護（Protect）

(3)連續(xù)的安全風(fēng)險檢測（Detect）

(4)及時的安全事故響應(yīng)（Response）.

(5)快速的安全災(zāi)難恢復(fù)（Recovery）.

(6)優(yōu)質(zhì)的安全管理服務(wù)（Management）

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

3.網(wǎng)絡(luò)安全風(fēng)險分析的內(nèi)容

1)現(xiàn)有網(wǎng)絡(luò)物理結(jié)構(gòu)安全分析

2)網(wǎng)絡(luò)系統(tǒng)安全分析

3)網(wǎng)絡(luò)應(yīng)用的安全分析

4.網(wǎng)絡(luò)安全解決方案設(shè)計

1)公司技術(shù)實力

2)人員層次結(jié)構(gòu)

3)典型成功案例

4)產(chǎn)品許可證或服務(wù)認證

5)實施網(wǎng)絡(luò)安全工程意義

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

5.金融網(wǎng)絡(luò)安全體系結(jié)構(gòu)及方案

某銀行制定的信息系統(tǒng)安全性總原則是:制度防內(nèi),技術(shù)防外.“制度防內(nèi)”是指建立健全嚴(yán)密的安全管理規(guī)章制度、運行規(guī)程,形成內(nèi)部各層人員、各職能部門、各應(yīng)用系統(tǒng)的相互制約關(guān)系,杜絕內(nèi)部作案和操作失誤的可能性，并建立良好的故障處理反應(yīng)機制，保障銀行信息系統(tǒng)的安全正常運行.“技術(shù)防外”主要是指從技術(shù)手段上加強安全措施，防止外部黑客的入侵.在不影響銀行正常業(yè)務(wù)與應(yīng)用的基礎(chǔ)上建立銀行的安全防護體系,從而滿足銀行網(wǎng)絡(luò)系統(tǒng)要求。（1）金融網(wǎng)絡(luò)安全體系結(jié)構(gòu)

1）網(wǎng)絡(luò)安全問題2）系統(tǒng)安全問題3)訪問安全問題4)應(yīng)用安全問題5)內(nèi)容安全問題6)管理安全問題案例12-712.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

（2）網(wǎng)絡(luò)安全實施策略及方案

1)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)安全。

2)主機安全加固。

3）計算機病毒防范。

4）訪問控制。

5）傳輸加密措施。

6）身份認證。

7）入侵檢測防御技術(shù)。

8）風(fēng)險評估分析。

（3）網(wǎng)絡(luò)安全管理技術(shù)

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

1)實體安全解決方案

2)鏈路安全解決方案

3)網(wǎng)絡(luò)安全解決方案廣域網(wǎng)絡(luò)系統(tǒng)安全解決方案8個特點：

(1)用專用網(wǎng)絡(luò)提供服務(wù)。

(2)在保證系統(tǒng)內(nèi)網(wǎng)安全，同時與Internet或其他網(wǎng)絡(luò)安全互連。

(3)利用防火墻技術(shù)。

(4)利用隔離與訪問控制,統(tǒng)一的地址和域名分配辦法.

(5)網(wǎng)絡(luò)系統(tǒng)內(nèi)部各局域網(wǎng)之間信息傳輸?shù)陌踩?/p>

(6)網(wǎng)絡(luò)機構(gòu)的接入安全問題。

(7)網(wǎng)絡(luò)監(jiān)控與入侵防范。

(8)網(wǎng)絡(luò)安全檢測，增強網(wǎng)絡(luò)安全性。

（4）緊急響應(yīng)與災(zāi)難恢復(fù)（5）具體網(wǎng)絡(luò)安全解決方案12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用主要是指用戶對數(shù)據(jù)訪問的身份鑒別、數(shù)據(jù)傳輸與存儲的安全，以及對網(wǎng)絡(luò)傳輸數(shù)據(jù)內(nèi)容的審計等方面。數(shù)據(jù)安全主要包括：數(shù)據(jù)傳輸安全（動態(tài)安全）、數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴（可審查性）、數(shù)據(jù)存儲安全（靜態(tài)安全）、數(shù)據(jù)庫安全、終端安全、數(shù)據(jù)的防泄密、數(shù)據(jù)內(nèi)容審計、用戶鑒別與授權(quán)、數(shù)據(jù)備份與恢復(fù)等。

1)數(shù)據(jù)傳輸安全。2)數(shù)據(jù)存儲安全（6）數(shù)據(jù)安全解決方案12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

為了確保數(shù)據(jù)安全，在網(wǎng)絡(luò)系統(tǒng)安全的設(shè)計中應(yīng)注重8項內(nèi)容：①進行數(shù)據(jù)訪問控制的具體策略和措施；②對網(wǎng)絡(luò)用戶的身份鑒別與權(quán)限控制方法；③加強數(shù)據(jù)機密性保護措施，如數(shù)據(jù)加密、密文存儲與密鑰管理等；④實現(xiàn)數(shù)據(jù)完整性保護的具體策略和措施；⑤防止非法軟盤拷貝和硬盤啟動的實際舉措；⑥防范計算機病毒和惡意軟件的具體措施和辦法；⑦備份數(shù)據(jù)的安全保護的具體策略和措施；

⑧進行數(shù)據(jù)備份和恢復(fù)的相關(guān)工具等。

3)網(wǎng)絡(luò)安全審計。12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用12.2.2電力網(wǎng)絡(luò)安全解決方案

電力網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)安全解決方案。由于?。ㄖ陛犑校┘夒娏π袠I(yè)網(wǎng)絡(luò)信息系統(tǒng)相對較特殊，涉及各種類型的業(yè)務(wù)數(shù)據(jù)廣泛且很龐雜，而且，內(nèi)網(wǎng)與外網(wǎng)在體系結(jié)構(gòu)等方面差別很大，僅概述一些?。ㄖ陛犑校┘夒娏W(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)安全解決方案。

案例12-9網(wǎng)絡(luò)安全現(xiàn)狀及需求分析

1）網(wǎng)絡(luò)安全問題對電力系統(tǒng)的影響

２)?。ㄖ陛犑校┘夒娏ο到y(tǒng)網(wǎng)絡(luò)現(xiàn)狀3）網(wǎng)絡(luò)系統(tǒng)風(fēng)險分析

對于系統(tǒng)層的安全分析，主要包括：主機系統(tǒng)風(fēng)險分析、網(wǎng)絡(luò)系統(tǒng)傳輸?shù)陌踩L(fēng)險、病毒入侵風(fēng)險分析4）應(yīng)用層安全分析5）管理層安全分析

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

電力網(wǎng)絡(luò)系統(tǒng)的分區(qū)結(jié)構(gòu)及面臨的安全威脅，如圖12-11所示。

圖12-·11電力網(wǎng)絡(luò)系統(tǒng)分區(qū)結(jié)構(gòu)及面臨的安全威脅12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用2.電力網(wǎng)絡(luò)安全解決方案設(shè)計

（1）網(wǎng)絡(luò)系統(tǒng)安全策略要素網(wǎng)絡(luò)信息系統(tǒng)安全策略模型有三個要素：網(wǎng)絡(luò)安全管理策略、網(wǎng)絡(luò)安全組織策略和網(wǎng)絡(luò)安全技術(shù)策略。

（2）網(wǎng)絡(luò)系統(tǒng)總體安全策略

?。ㄖ陛犑校┘夒娏W(wǎng)絡(luò)安全系統(tǒng)體系，應(yīng)該按照三層結(jié)構(gòu)建立。第一層首先是要建立安全標(biāo)準(zhǔn)框架，包括安全組織和人員、安全技術(shù)規(guī)范、安全管理辦法、應(yīng)急響應(yīng)制度等。第二層是考慮省（直轄市）級電力IT基礎(chǔ)架構(gòu)的安全。包括網(wǎng)絡(luò)系統(tǒng)安全、物理鏈路安全等。第三層是?。ㄖ陛犑校┘夒娏φ麄€IT業(yè)務(wù)流程的安全。如，各機構(gòu)的辦公自動化OA應(yīng)用系統(tǒng)安全。3.網(wǎng)絡(luò)安全解決方案的實施（1）總體方案的技術(shù)支持（2）網(wǎng)路的層次結(jié)構(gòu)（3）電力信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)（4）電力信息網(wǎng)絡(luò)中的安全機制

12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用?。ㄖ陛犑校┘夒娏π畔⒕W(wǎng)絡(luò)安全體系結(jié)構(gòu)，如圖12-12。

圖12-12電力信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)

討論思考：1）電力網(wǎng)絡(luò)安全需求分析的主要內(nèi)容有哪些？2）電力網(wǎng)絡(luò)安全解決方案設(shè)計的主要內(nèi)容有哪些？3）電力網(wǎng)絡(luò)安全解決方案主要包括哪些內(nèi)容？12.2案例分析

網(wǎng)絡(luò)安全解決方案應(yīng)用

電子政務(wù)網(wǎng)絡(luò)安全解決方案要求主要有兩個方面。

（1）網(wǎng)絡(luò)安全項目管理

項目管理主要包括：

1)項目流程。

2)項目管理制度。

3)項目進度。（2）網(wǎng)絡(luò)安全項目質(zhì)量保證

項目質(zhì)量保證包括：

1)執(zhí)行人員的質(zhì)量職責(zé)。

2)項目質(zhì)量的保證措施。

3)項目驗收。12.3.1網(wǎng)絡(luò)安全解決方案要求

*12.3知識拓展

電子政務(wù)網(wǎng)絡(luò)安全解決方案

（1）技術(shù)支持的內(nèi)容

1)在安裝調(diào)試網(wǎng)絡(luò)安全項目中所涉及的安全產(chǎn)品和技術(shù)；

2)采用的安全產(chǎn)品及技術(shù)的所有文擋；

3)提供安全產(chǎn)品和技術(shù)的最新信息；

4)服務(wù)期內(nèi)免費產(chǎn)品升級情況。

（2）技術(shù)支持方式

1)提供客戶現(xiàn)場24小時技術(shù)支持服務(wù)事項及承諾情況

2)提供客戶技術(shù)支持中心熱線電話；

3)提供客戶技術(shù)支待中心E-mail服務(wù)；

4)提供客戶技術(shù)支持中心具體的Web服務(wù)。12.3.2解決方案的主要技術(shù)支持12.3知識拓展

電子政務(wù)網(wǎng)絡(luò)安全解決方案

13.3.3項目安全產(chǎn)品要求

1)網(wǎng)絡(luò)安全產(chǎn)品報價

2)網(wǎng)絡(luò)安全產(chǎn)品介紹

13.3.4電子政務(wù)安全解決方案的制定

電子政務(wù)安全建設(shè)項目實施方案。通常，網(wǎng)絡(luò)安全實施方案，是在網(wǎng)絡(luò)安全解決方案的基礎(chǔ)上提出的實施策略和計劃方案等，下面通過案例對方案的主要內(nèi)容和制定過程進行概要介紹。

案例12-8

(1)電子政務(wù)建設(shè)需求分析