网络安全系统规划方案H3C.docVIP

（————） 网络安全系统规划方案 杭州华三通信技术有限公司 2007年4月 目 录 一、 安全系统整体规划 3 1.1. 方案设计原则 3 1.2. 安全体系模型 4 1.3. 方案设计思路 5 二、 网络及安全现状分析 7 2.1. 网络结构分析 7 2.2. 安全层次的分析模型 8 2.3. 安全需求分析 9 2.3.1. 网络层 9 2.3.2. 系统层 10 2.3.3. 管理层 10 2.3.4. 用户层 11 2.4. 安全需求总结 11 三、 （————）网络安全整体解决方案 13 3.1. （————）网络安全总体方案 13 3.1.1. 基础设施安全部署 15 3.1.2. 防火墙系统防护方案 20 3.1.3. 建立内部入侵防御机制 23 3.1.4. 建立入侵防御机制 25 3.1.5. 建立端点准入控制系统 27 3.1.6. 完善的病毒防范机制 28 3.1.7. 防DOS设备安全防护方案 30 3.1.8. 网络漏洞扫描机制 30 3.1.9. 建立科学的安全管理机制 33 四、 安全方案总结 36 安全系统整体规划 方案设计原则 在规划（————）信息系统安全时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案 体系化设计原则 通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。 全局性、均衡性原则 安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。 可行性、可靠性原则 在采用全面的网络安全措施之后，应该不会对（————）的网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。 可动态演进的原则 方案应该针对（————）制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。 安全体系模型 安全方案必须架构在科学的安全体系和安全模型之上，因为安全模型是安全方案设计和分析的基础。只有在先进的网络安全理论模型的基础上，才能够有效地实现我们在上面分析的网络安全系统规划的基本原则，从而保证整个网络安全解决方案的先进性。 为了系统、科学地分析网络安全方案涉及的各种安全问题，在大量理论分析和调查研究的基础上，H3C公司提出了i3SAFE网络安全模型，以此模型为基础，可以进行整个网络安全体系的有效的分析与合理规划。下面我们对此网络安全模型进行具体的阐述和说明： i3SAFE安全理论模型示意图 i3SAFE安全理论模型是一个三维立体结构，基于此三维结构安全理论模型，形成一个智能的（intelligence），集成的（integrated），定制的（individuality）的网络安全解决方案，真正达到SAFE的目的，下面是每个层次的详细分析描述： 第一维为应用层次维： 这个维度实现对整个信息体系进行描述，通过这个维度，以层次化对整个信息体系进行划分，层次的划分依据信息体系的建设结构，把整个信息体系划分为网络层：提供信息流通的平台；用户层：信息应用的终端；业务层：信息应用的提供层。通过这种抽象的层次的划分，可以以不同的层次对象为目标，分析这些层次对不同的安全服务要素的需求情况，进行层次化的、有针对性的系统安全需求分析。 第二维为网络空间维： 这个维度从实际的信息系统结构的组成的角度，对信息系统进行模块化的划分。基本的模块可以划分为桌面、服务器、外网、内网等几个模块，这些模块的划分可以根据需要进行组合或者细化，进行模块划分的主要目的是为前面相对抽象的安全需求分析提供具体可实施的对象，保证整个安全措施有效可实施性。 第三维为业务流程维： 这个维度主要描述一个完善的网络安全体系建设的流程，这个流程主要的参考P2DR模型，以我们前面进行的需求分析为基础，制定统一的安全策略，同时通过预防（Harden）、保护(Protect)、检测(Detect)、响应(Respond)以及改进(Improve)，形成一个闭环的网络安全措施流程。 纵深维为安全管理维： 贯穿于上述三个维度，以及各个维度内部各个层次的是安全管理，我们认为，全面的安全管理是信息网络安全的一个基本保证，只有通过切实的安全管理，才能够保证各种安全技术能够真正起到其应有的作用，常言说：“三分技术，七分