信息安全整体架构设计.pdfVIP

1.

信息安全整体架构设计

2.信息安全目标

信息安全涉及到信息的保密性(ConfidentiaHty)、完整性(ntegrity)、可用性

(Availability)o

＞基于以上的需求分析，我们认为网络系统可以实现以下安全目标：

＞保护网络系统的可用性

＞保护网络系统服务的连续性

＞防范网络资源的非法访问及非授权访问

＞防范入侵者的恶意攻击与破坏

＞保护信息通过网上传输过程中的机密性、完整性

＞防范病毒的侵害

＞实现网络的安全管理

3.信息安全保障体系

3.1信息安全保障体系基本框架

通过人、管理和技术手段三大要素，构成动态的信息与网络安全保障体系框

架WPDRR模型，实现系统的安全保障。WPDRR是指：预警(Warning)、保护

(Protection)检测(Detection)、反应(Reaction)、恢复(Recovery),五个环

节具有时间关系和动态闭环反馈关系。

安全保障是综合的、相互关联的，不仅仅是技术问题，而是人、管理和技术三大要素的结合。

支持系统安全的技术也不是单一的技术，它包括多个方面的内容。在整体的安全策略的控制

和指导下，综合运用防护工具（如：防火墙、VPN加密等手段），利用检测工具（如：安全

评估、入侵检测等系统）了解和评估系统的安全状态，通过适当的反应将系统调整到“最高

安全”和“最低风险”的状态，并通过备份容错手段来保证系统在受到破坏后的迅速恢复，通

过监控系统来实现对非法网络使用的追查。

信息安全体系基本框架示意图

预警：利用远程安全评估系统提供的模拟攻击技术来检查系统存在的、可能

被利用的脆弱环节，收集和测试网络与信息的安全风险所在，并以直观的方式

进行报告，提供解决方案的建议，在经过分析后，了解网络的风险变化趋势和

严重风险点，从而有效降低网络的总体风险，保十关键业务和数据。

保护：保护通常是通过采用成熟的信息安技术及方法来实现网络与信息

的安，主要有防火墙、授权、加密、认证等。

3.2检测：通过检测和监控网络以及系统，来发现新的威胁和弱点，强

制执行安策略。在这个过程中采用入侵检测、恶意代码过滤等等

这样一些技术，形成动态检测的制度，建立报告协调机制，提高检

测的实时性。

3.3反应:在检测到安漏洞和安事件之后必须及时做出正确的响应,

从而把系统调整到安状态。为此需要相应的报警、跟踪、处理系

统，其中处理包括封堵、隔离、报告等子系统。

3.4恢复：灾难恢复系统是当网络、数据、服务受到黑

客攻击并遭到破坏或影响后，通过必要的技术手

段（如容错、冗余、备份、替换、修复等），在尽

可能短的时间内使系统恢复正常。

3.5安体系结构技术模型

对安的需求是任何单一安技术都无法解决的，应当选择适合的安体系结构模型，信息

和网络安保障体系由安服务、协议层次和系统单元三个层面组成，且每个层面都包含安

管理的内容。

协议层次

安管理