第12章网络安全解决方案

上海教育高地建设项目高等院校规划教材（第2版）第12章网络安全解决方案上海市精品课程教材上海优秀教材奖主编目录12.2网络安全解决方案目标及标准212.3网络安全解决方案的要求及任务312.4网络安全解决方案的分析与设计412.1网络安全解决方案概述112.5本章小结5目录教学目标●了解网络安全方案概念和内容●理解安全方案目标及设计原则和质量标准●理解安全方案的需求分析和主要任务●掌握安全方案分析与设计、安全解决方案案例●掌握实施方案与技术支持、检测报告与方案编写重点重点12.1.1网络安全方案概念1.网络安全方案的概念网络安全方案是网络安全工程实施中，对解决网络安全整体问题，在网络系统的分析、设计和具体实施过程中，采用的各种安全技术、方法、策略、措施、安排和管理文档等。网络安全方案具有整体性、动态性和相对性的特征，在整个网络安全方案项目的可行性论证、计划、立项、分析、设计和施行的过程中，只有整体和动态地把握项目的内容、要求和变化，才能真正达到网络安全工程的建设目标。高质量的网络安全解决方案主要体现在安全技术、安全策略和安全管理三方面。安全技术是基础、安全策略是核心、安全管理是保证。12.1网络安全解决方案概述2.安全方案准备及编写(1)网络安全方案的动态性动态安全是指在安全方案设计时，不仅要考虑到企事业网络安全的现状，也要考虑到将来的业务应用和系统的变化、更新与升级的需要，是与其他项目的最大区别。(2)网络安全的相对性在方案中应该告诉用户，只能做到避免风险，消除风险的根源，降低由于风险所带来的隐患和损失，而不能做到完全消灭风险。12.1网络安全解决方案概述12.1.2网络安全方案的内容安全解决方案的框架(内容)主要可以概括为6个方面，在实际应用中可以根据企事业用户的实际需求进行适当优化选取和调整。1.安全风险概要分析2.实际安全风险分析通常可以从4个方面进行实际安全风险的分析：(1)网络风险分析(2)系统风险分析(3)应用安全分析(4)对系统和应用的安全分析12.1网络安全解决方案概述12.1.2网络安全方案的内容3.网络系统的安全原则网络系统的安全原则主要体现在5个方面：动态性、唯一性、整体性、专业性和严密性。4.主要安全技术常用的安全产品和安全技术有5种：防火墙、防病毒、身份认证、传输加密和入侵检测。5.风险评估6.安全管理与服务(1)网络拓扑安全(2)系统安全加固(3)应用安全(4)灾难恢复(5)紧急响应(6)安全管理规范(7)服务体系和培训体系12.1网络安全解决方案概述讨论思考：（1）什么是网络安全方案和网络安全解决方案？（2）网络安全解决方案的内容主要有哪些？12.2.1安全方案目标及设计原则1.网络安全方案的目标应用网络安全技术设计网络安全解决方案目标：(1)各部门、各单位局域网的安全保护(2)与Internet相连的安全保护(3)关键信息的加密传输与存储(4)应用业务系统的安全(5)安全网的监控与审计(6)最终目标：机密性、完整性、可用性、可控性与可审查性具体地主要包括以下3个方面：访问控制、数据加密、安全审计。12.2网络安全解决方案目标及标准2.网络安全方案设计原则(1)努力提高系统的安全性和保密性；(2)保持网络原有的性能特点，对网络的协议和传输具有很好的透明性；(3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；(4)尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；(5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；(6)安全与密码产品具有合法性，及经过国家有关管理部门的认可或认证；(7)分步实施。对于网络安全综合解决方案，需要采取几个阶段进行分步实施、分段验收、确保总体质量。12.2网络安全解决方案目标及标准12.2.2评价方案的质量标准(1)确切唯一性是评估安全解决方案最重要的标准之一，对每一项具体指标的要求都应当是确切唯一的不能模棱两可，以便根据实际情况需要来进行具体实现。(2)综合把握和理解现实中的安全技术和安全风险，并具有一定的预见性。(3)对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安全隐患，应当给出一个具体、合适、实际准确的评估结果和建议。(4)针对企事业用户系统安全问题，利用先进的安全产品、安全技术和管理手段，降低用户的网络系统可能遇到的风险和威胁，消除风险和隐患，增强防范安全风险和威胁的能力。12.2网络安全解决方案目标及标准12.2.2评价方案的质量标准(5)切实体现对用户的服务支持。(6)在整个设计方案过程中，应当清楚网络系统安全是一个动态的、整体的、专业的工程，需要分步实施不能一步到位彻底解决用户所有的安全问题。(7)以网络安全工程的思想和方式组织实施。(8)具体方案中所采用的安全产品、安全技术和具体安全措施，都应当经得起验证、推敲和论证实施，应当有实际的理论依据和基础。12.2网络安全解决方案目标及标准讨论思考：（1）网络安全解决方案的目标及设计原则有哪些？（2）网络安全解决方案评价的质量标准是什么？12.3.1网络安全解决方案的要求1.网络安全解决方案的要求对网络安全解决方案的要求也是安全需求分析的要点，主要包括以下5项。(1)安全性要求(2)可控性和可管理性要求(3)可用性及恢复性要求(4)可扩展性要求(5)合法性要求12.3网络安全解决方案要求及任务2.网络安全需求分析网络安全需求分析要点(1)需求分析要点需求分析必须注重6个方面：1)安全体系;2)可靠性;3)安全性4)开放性;5)可伸缩性;6)易管理(2)需求分析案例1)初步分析2)安全需求分析●物理层安全需求●网络层安全需求●系统层安全需求●应用层安全需求●管理层安全需求12.3网络安全解决方案要求及任务某企业机构信息网络包括总部和若干个基层单位，按地域位置分为A地区以内和A地区以外两部分，也可分称为本地网和远程网。由于该网主要为单位间信息通讯服务，网上运行大量敏感信息，因此入网站点物理上不与Internet网连接。从安全角度考虑，本地网用户地理位置相对集中，又完全处于独立使用和内部管理的封闭环境下，物理上不与外界有联系，具有一定的安全性。而远程网的连接由于是通过PSTN公共交换网实现，比起本地网安全性要差。网络安全解决方案模型如图12-1所示案例12-1图12-1网络安全解决方案模型12.3.2网络安全解决方案的任务网络安全解决方案的主要任务有4个方面：(1)调研用户计算机网络系统(2)分析评估用户的计算机网络系统(3)分析评估用户的计算机应用系统(4)制定用户计算机网络系统的安全策略和解决方案12.3网络安全解决方案要求及任务讨论思考：（1）网络安全解决方案的具体要求有哪些？（2）结合实例如何进行安全解决方案的需求分析？（3）网络安全解决方案的主要任务具体有哪些？12.4.1网络安全解决方案分析与设计1.安全风险分析内容网络安全风险分析主要包括对网络物理结构、网络系统和实际应用进行的各种安全风险和隐患的具体分析。(1)现有网络物理结构安全分析(2)网络系统安全分析(3)网络应用的安全分析12.4网络安全解决方案的分析与设计上海XX信息技术公司通过网络安全建设项目的招标，以65万元人民币取得该项目的建设权。其中，网络系统安全解决方案主要包括8项内容：信息化现状分析、安全风险分析、完整网络安全实施方案的设计、实施方案计划、技术支持和服务、项目安全产品、检测验收报告和安全技术培训。案例12-212.4制定网络安全解决方案实例上海XX信息技术有限公司通过招标,以63万元人民币取得网络安全解决方案工程项目的建设权.网络系统安全解决方案包括8项主要内容:信息化现状分析、安全风险分析、完整网络安全实施方案的设计、实施方案计划、技术支持和服务、项目安全产品、检测验收报告和安全技术培训.案例12-212.4.1制定安全解决解决方案概要1．金融系统信息化现状分析金融行业信息化建设已达到了较高水平，业务系统对网络高度依赖，针对金融信息网络的计算机犯罪案件呈逐年上升趋势，特别是银行全面进入业务系统整合、数据大集中的新的发展阶段，以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新业务系统迅速发展，对安全性提出更高要求。迫切需要建设主动的、深层的、立体的信息安全保障体系。金融行业典型12.4制定网络安全解决方案实例图12-2金融行业互联广域网体系结构12.4制定网络安全解决方案实例2．网络系统面临的风险金融网络系统存在安全风险的主要原因有3个：(1)防范和化解风险成了非常关注问题。(2)网络快速发展和广泛应用，系统安全漏洞增加。(3)金融行业网络系统正在向国际化方向发展。网络系统面临的风险有3个方面：(1)组织方面的风险。(2)技术方面的风险。(3)管理方面的风险上海XX信息技术公司于1993年成立并通过ISO9001认证，注册资本6800万元人民币。公司主要提供网络安全产品和网络安全解决方案，公司的安全理念是解决方案PPDRRM,PPDRRM将给用户带来稳定安全的网络环境，PPDRRM策略覆盖了安全项目中的产品、技术、服务、管理和策略等内容，是一个完善、严密、整体和动态的安全理念。案例12-312.4制定网络安全解决方案实例网络安全解决方案PPDRRM如图12-3所示。图12-3网络安全解决方案网络安全解决方案包括6个方面：(1)综合的网络安全策略（Policy）。(2)全面的网络安全保护（Protect）。(3)连续的安全风险检测（Detect）。(4)及时的安全事故响应（Response）.(5)快速的安全灾难恢复（Recovery）.(6)优质的安全管理服务（Management）.12.4制定网络安全解决方案实例3.安全风险分析内容1)现有网络物理结构安全分析2)网络系统安全分析3)网络应用的安全分析4.安全解决方案设计1)公司技术实力2)人员层次结构3)典型成功案例4)产品许可证或服务认证5)实施网络安全工程意义12.4制定网络安全解决方案实例12.4.2网络安全解决方案案例1.金融系统安全体系结构某银行制定的信息系统安全性总原则是:制度防内,技术防外.“制度防内”是指建立健全严密的安全管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案和操作失误的可能性，并建立良好的故障处理反应机制，保障银行信息系统的安全正常运行.“技术防外”主要是指从技术手段上加强安全措施，防止外部黑客的入侵.在不影响银行正常业务与应用的基础上建立银行的安全防护体系,从而满足银行网络系统环境要求.1)网络安全问题2)系统安全问题3)访问安全问题4)应用安全问题5)内容安全问题6)管理安全问题案例12-412.4制定网络安全解决方案实例2．技术实施策略及安全方案1)网络系统结构安全。2)主机安全加固。3）计算机病毒防范。4）访问控制。5）传输加密措施。6）身份认证。。7）入侵检测防御技术。8）风险评估分析。3.网络安全管理技术12.4制定网络安全解决方案实例4.紧急响应与灾难恢复5.网络安全解决方案1)实体安全解决方案2)链路安全解决方案3)网络安全解决方案广域网络系统安全解决方案8个特点：(1)用专用网络提供服务。(2)在保证系统内网安全同时与Internet或其他网络安全互连。(3)利用防火墙技术。(4)利用隔离与访问控制,统一的地址和域名分配办法.(5)网络系统内部各局域网之间信息传输的安全。(6)网络用户的接入安全问题。(7)网络监控与入侵防范。(8)网络安全检测，增强网络安全性。12.4制定网络安全解决方案实例主要是指用户对数据访问的身份鉴别、数据传输的安全、数据存储的安全，以及对网络传输数据内容的审计等几方面。数据安全主要包括：数据传输安全（动态安全）、数据加密、数据完整性鉴别、防抵赖（可审查性）、数据存储安全（静态安全）、数据库安全、终端安全、数据的防泄密、数据内容审计、用户鉴别与授权、数据备份与恢复等。4)数据安全解决方案12.4制定网络安全解决方案实例1.网络安全实施方案网络安全工程的实施方案,包括项目管理