网络安全方案设计

1、第十章 网络安全方案设计 内容提要 n本章从网络安全工程的角度探讨一份网 络安全方案的编写 n介绍网络安全方案设计的注意点以及网 络安全方案的编写框架 n最后利用一个案例说明网络安全的需求 以及针对需求的设计方案以及完整的实 施方案。 网络安全方案概念 n网络安全方案可以认为是一张施工的图 纸，图纸的好坏，直接影响到工程的质 量。 n总的来说，网络安全方案涉及的内容比 较多，比较广，比较专业和实际。 网络安全方案设计的注意点 n对于一名从事网络安全的人来说，网络必须有 一个整体、动态的安全概念。总的来说，就是 要在整个项目中，有一种总体把握的能力，不 能只关注自己熟悉的某一领域，而对其他领域

2、毫不关心，甚至不理解，这样写不出一份好的 安全方案。 n因为写出来的方案，就是要针对用户所遇到的 问题，运用产品和技术解决问题。设计人员只 有对安全技术了解的很深，对产品线了解的很 深，写出来的方案才能接近用户的要求。 评价网络安全方案的质量 n一份网络安全方案需要从以下8个方面来把握。 n1、体现唯一性，由于安全的复杂性和特殊性，唯一性是评估安全方案最重要的一 个标准。实际中，每一个特定网络都是唯一的，需要根据实际情况来处理。 n2、对安全技术和安全风险有一个综合把握和理解，包括现在和将来可能出现的所 有情况。 n3、对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安 全风

3、险，要有一个合适、中肯的评估，不能夸大，也不能缩小。 n4、对症下药，用相应的安全产品、安全技术和管理手段，降低用户的网络系统当 前可能遇到的风险和威胁，消除风险和威胁的根源，增强整个网络系统抵抗风险 和威胁的能力，增强系统本身的免疫力。 n5、方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术， 都将会体现在服务中，服务来保证质量、服务来提高质量。 n6、在设计方案的时候，要明白网络系统安全是一个动态的、整体的、专业的工程， 不能一步到位解决用户所有的问题。 n7、方案出来后，要不断的和用户进行沟通，能够及时的得到他们对网络系统在安 全方面的要求、期望和所遇到的问题。 n8、

4、方案中所涉及的产品和技术，都要经得起验证、推敲和实施，要有理论根据， 也要有实际基础。 网络安全方案的框架 n总体上说，一份安全解决方案的框架涉及6大 方面，可以根据用户的实际需求取舍其中的某 些方面。 n1、概要安全风险分析 n2、实际安全风险分析 n3、网络系统的安全原则 n4、安全产品 n5、风险评估 n6、安全服务 网络安全案例需求 n网络安全的唯一性和动态性决定了不同 的网络需要有不能的解决方案。通过一 个实际的案例，可以提高安全方案设计 能力。 n项目名称是：卓越信息集团公司（公司 名为虚构）网络信息系统的安全管理。 项目要求 n集团在网络安全方面提出5方面的要求： n1、安全性

5、n全面有效的保护企业网络系统的安全，保护计算机硬件、软件、数据、 网络不因偶然的或恶意破坏的原因遭到更改、泄漏和丢失，确保数据的 完整性。 n2、可控性和可管理性 n可自动和手动分析网络安全状况，适时检测并及时发现记录潜在的安全 威胁，制定安全策略，及时报警、阻断不良攻击行为，具有很强的可控 性和可管理性。 n3、系统的可用性 n在某部分系统出现问题的时候，不影响企业信息系统的正常运行，具有 很强的可用性和及时恢复性。 n4、可持续发展 n满足卓越信息集团公司业务需求和企业可持续发展的要求，具有很强的 可扩展性和柔韧性。 n5、合法性 n所采用的安全设备和技术具有我国安全产品管理部门的合法认证

6、。 工作任务 n该项目的工作任务在于四个方面： n1、研究卓越信息集团公司计算机网络系统（包括各级机构、基层生产单位和移动 用户的广域网）的运行情况（包括网络结构、性能、信息点数量、采取的安全措 施等），对网络面临的威胁以及可能承担的风险进行定性与定量的分析和评估。 n2、研究卓越信息集团公司的计算机操作系统（包括服务器操作系统、客户端操作 系统等）的运行情况（包括操作系统的版本、提供的用户权限分配策略等），在 操作系统最新发展趋势的基础上，对操作系统本身的缺陷以及可能承担的风险进 行定性和定量的分析和评估。 n3、研究卓越信息集团公司的计算机应用系统（包括信息管理信息系统、办公自动 化系统、

7、电网实时管理系统、地理信息系统和Internet/Intranet信息发布系统等） 的运行情况（包括应用体系结构、开发工具、数据库软件和用户权限分配策略 等），在满足各级管理人员、业务操作人员的业务需求的基础上，对应用系统存 在的问题、面临的威胁以及可能承担的风险进行定性与定量的分析和评估。 n4、根据以上的定性和定量的评估，结合用户需求和国内外网路安全最新发真趋势， 有针对地制定卓越信息集团公司计算机网络系统的安全策略和解决方案，确保该 集团计算机网络信息系统安全可靠的运行。 解决方案设计 n零点网络安全公司（公司名为虚构）通过招标， 以50万的工程造价得到了该项目的实施权。在 解决方案设计

8、中需要包含九方面的内容：公司 背景简介、卓越信息集团的安全风险分析、完 整网络安全实施方案的设计、实施方案计划、 技术支持和服务承诺、产品报价、产品介绍、 第三方检测报告和安全技术培训。 n一份网络安全设计方案应该包括九个方面：公 司背景简介、安全风险分析、解决方案、实施 方案、技术支持和服务承诺、产品报价、产品 介绍、第三方检测报告和安全技术培训。 公司背景简介 n介绍零点网络安全公司的背景需要包括：公司 简介、公司人员结构、曾经成功的案例、产品 或者服务的许可证或认证。 n1、零点网络安全公司简介 n2、公司的人员结构 n3、成功的案例 n4、产品的许可证或服务的认证 n5、卓越信息集团实

9、施网络安全意义 安全风险分析 n对网络物理结构、网络系统和应用进行风险分析。 n1、现有网络物理结构安全分析 n详细分析卓越信息集团公司与各分公司得网络结构， 包括内部网、外部网和远程网。 n2、网络系统安全分析 n详细分析卓越信息集团公司与各分公司网络得实际连 接、Internet的访问情况、桌面系统的使用情况和主机 系统的使用情况，找出可能存在得安全风险 n3、网络应用的安全分析 n详细分析卓越信息集团公司与各分公司的所有服务系 统以及应用系统，找出可能存在的安全风险。 解决方案 n解决方案包括五个方面： n1、建立卓越信息集团公司系统信息安全体 系结构框架 n2、技术实施策略 n3、安全

10、管理工具 n4、紧急响应 n5、灾难恢复 实施方案 n实施方案包括：项目管理以及项目质量 保证。 n1、项目管理 n2、项目质量保证 技术支持和服务承诺 n包括技术支持的内容和技术支持的方式。 n1、技术支持的内容 n包括安全项目中所包括的产品和技术的服务，提供的 技术和服务包括：（1）安装调试项目中所涉及的全部 产品和技术。（2）安全产品以及技术文档。（3）提 供安全产品和技术的最新信息。（4）服务器内免费产 品升级。 n2、技术支持方式 n安全项目完成以后提供的技术支持服务，内容包括： (1)客户现场24小时支持服务。（2）客户支持中心热 线电话。（3）客户支持中心Email服务。（4）客

11、户支 持中心Web服务。 产品报价 n项目所涉及到全部产品和服务的报价。 产品介绍 n卓越信息集团公司安全项目中所有涉及 到的产品介绍，主要是使用户清楚所选 择的产品使什么，不用很详细，但要描 述清除。 第三方检测报告 n由一个第三方的中立机构，对实施好的 网络安全构架进行安全扫描与安全检测， 并提供相关的检测报告。 安全技术培训 n1、管理人员的安全培训 n2、安全技术基础培训 n3、安全攻防技术培训 n4、Windows 9X/NT/2000/2003的系统安 全管理培训 n5、Unix系统的安全管理培训 n6、安全产品的培训 本章总结 n本章需要理解网络安全方案的基本概念， 在编写网络安全方案的时候需要注意