网络安全设计需遵循原则及产品技术标准.docVIP

网络安全设计需遵循原则及产品技术标准【摘要】本项目主要是围绕用户网络的各个薄弱环节进行信息系统安全的建设。详细阐明了网络及信息系统安全设计要遵循的原则，同时给出了网络产品购置的产品技术指标。 【关键词】网络；安全；方案 【中图分类号】G412.65 【文章标识码】B 【文章编号】1326-3587（2012）11-0091-02 一、前言 近来，随着信息化的发展和普及，危害网络安全的事情时常发生。例如，越权访问、病毒泛滥、网上随意发布信息，甚至发表不良言论。这些问题需要我们引起足够的重视，规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。 信息系统安全建设项目，应该严格按照网络和信息安全工程学的理论来实施；严格按照信息安全工程的规律办事，做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”，因此，将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设，从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手，按照科学规律与方法论，从理论到实践、从文档到工程实施等方面，着手进行研究、开发与实施。 信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全： 1、对整个信息系统进行全面的风险分析与评估，充分了解安全现状； 2、根据评估分析报告，结合国家及行业标准，进行安全需求分析； 3、根据需求分析结果，制定统一的安全系统建设策略及解决方案； 4、根据解决方案选择相应的产品、技术及服务商，实施安全建设工程； 5、在安全建设工程实施后期，还要进行严格的稽核与检查。 二、安全系统设计要点 有些用户对网络安全的认识存在一些误区：认为网络运行正常，业务可以正常使用，就认为网络是安全的，是可以一直使用的；网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件，认为只要安装了这些设备，网络就安全了；他们没有认识到网络安全是动态的、变化的，不可能仅靠单一安全产品就能实现。所以，我们必须从网络安全可能存在的危机入手，分析并提出整体的网络安全解决方案。 1、建设目标。 通过辽宁地区网络及应用安全项目的建设目标来看，构建一个安全、高效的网络及应用安全防护体系，充分保障业务系统稳定可靠地运行势在必行。 2、设计思想。 一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准，集多年的研发成果及无数项目实施经验提炼出来的，同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识，最终部署安全产品和实施安全服务以保证客户系统的安全。 为什么要实施安全体系？ 内因，也就是根本原因，是因为其信息有价值，网络健康高效的运行需求迫切。客户的信息资产值越来越大，信息越来越电子化、网络化，越来越容易泄漏、篡改和丢失，为了保护信息资产不减值，网络行为正常、稳定，必须要适当的保护，因此要有安全投入。 其次才是我们耳熟能详的外因，如遭受攻击。当前在网络信息领域中，入侵的门槛已经越来越低（攻击条件：简单化；攻击方式：工具化；攻击形式：多样化；攻击后果：严重化；攻击范围：内部化；攻击动机：目的化；攻击人群：低龄化和低层次化），因此当入侵者采用技术方式攻击，客户必须采用安全技术防范。随着我国安全技术的逐步深入研究，已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。 时间和空间是事物的两个根本特性，即一经一纬构成了一个立体的整体概念，安全系统的设计也可以这么理解。 从时间角度部署安全系统，如图一，基于时间的防御模型。 该模型的核心思想是从时间方面考虑，以入侵者成功入侵一个系统的完整步骤为主线，安全方案的设计处处与入侵者争夺时间，赶在入侵者前面对所保护的系统进行安全处理。在入侵前，对入侵的每一个时间阶段，即下一个入侵环节进行预防处理。也就是说，与入侵者赛跑，始终领先一步。 从空间角度部署安全系统，如图二，基于空间的防御模型。 一个具体的网络系统可以根据保护对象的重要程度（信息资产值的大小）及防护范围，把整个保护对象从网络空间角度划分成若干层次，不同层次采用具有不同特点的安全技术，其突出的特点是对保护对象“层层设防、重点保护”。 一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。 边界防护是指在一个系统的边界设立一定的安全防护措施，具体到系统中边界一般是两个不同逻辑或物理的网络之间，常见的边界防护产品有防火墙等。 区域防护相较于边界是一个更小的范围，指在一个重要区域设立的安全防护措施，常见的