网络安全需求分析

一、网络需求调研网络需求调研的目的是从用户方网络建设的需求发出，通过对用户方现场实地调查，了解用户方的要求、现场的地理环境、网络应用及工程预计投资等情况，使网络工程设计方获得对整个工程的总体认识，为系统总体规划设计打下基础。1．网络用户调查网络用户方调查是与需要建网的企事业单位的信息化主管、网络信息化应用的主要部门的用户进行交流。一般情况下可以把用户方的需求归纳为以下几个方面。（1）网络延迟与可预测响应时（2）可靠性/可用性。即系统（包含路由器、交换机等设备）不停机运行。（3）伸缩性。网络系统能否适应用户不断增长的需求。（4）高安全性。保护用户信息和物理信息的完整性与机密性。概括起来，系统分析员对网络用户方调查可通过填写调查表来完成。2．网络应用调查企事业耽误网络建设就是为变革传统的管理模式，实现管理的人自得信息化。不同行业有不同的应用要求，切不可“张冠李戴”。应用调查就是要弄清用户方建设网络的真正目的。一般的网络应用，从企事业的OA系统、人事档案、工资管理到企事业的MIS系统、企业资源规划等。实际上，每一个网络工程都应该按照用户方的需求，进行“量衣体裁”式的打造。3．网络工程综合布线调查网络工程综合布线调查主要是了解用户方建筑楼群的地理环境与几何中心、建筑楼内的布线环境与几何中心，由此来确定网络的物理拓扑结构、综合布线系统材料预算。主要包括以下几项内容：（1）用户方信息点的数量及其位置；（2）建筑楼内局域网布线规划；4.用户方前期培训网络需求分析离不开用户方的参与。一般企业、政府、学校都有负责信息化建设的部门或信息技术专门人员：如果没有，网络工程设计方就要用较短的时间对用户方指定的工程洽谈人员进行与网络工程相关的网络基础知识的培训。有了用户方信息技术人员的参与，双方才能建立交流的基础。网络工程设计方要为企事业用户方提供网络应用一揽子解决方案，就应该了解企事业各方面网络应用的需求。网络工程设计方不是行业领域专家，不可能真正理解每个企事业的某些特殊需求，有些应用设计与现有管理模式不匹配是难免的企事业各部门业务人员习惯性的思维方式以及权力和利益的再分配等问题，都有可能对提出的系统需求产生影响。在大多数企事业中，信息化建设中遇到的更多的不是技术问题，而是在业务流程合理化调整方面带来的困扰。从这里我们可以看出，将新的网络环境与传统业务更好地结合是企事业IT(信息技术)部门的职责，应该利用企业IT人员自身的有利条件，1使他们在精通计算机、网络技术的同时成为业务管理的能手。如果不能以合理的方式让用户方的IT人员参与系统集成项目，那么即使企业信息系统得以实施，其应用效果也不会理想。二、网络的基本安全需求满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是网络的基本安全需求。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段。网络基本安全要求主要表现为：1、网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。2、网络管理/网络部署的资料不被窃取。3、具备先进的入侵检测及跟踪体系。4、提供灵活而高效的内外通讯服务。三、功能应用需求应用名称类型说明Email电子邮件校园网内邮件收发服务Office办公组件办公室工作杀毒软件杀毒维护计算机安全数据库信息存储，检索FTP文件传输网上冲浪四、应用系统的安全需求与普通网络应用不同的是，应用系统是网络功能的核心。对于应用系统应该具有最高的网络安全措施。应用系统的安全体系应包含：1、访问控制，通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前；2、检查安全漏洞，通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效；3、攻击监控，通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；4、加密通讯，主动的加密通讯，可使攻击者不能了解、修改敏感信息；5、认证，良好的认证体系可防止攻击者假冒合法用户；6、备份和恢复，良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务；7、多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；8、隐藏内部信息，使攻击者不能了解系统内的基本情况；9、设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急情况服务五、平台安全的需求网络平台将支持多种应用系统，对于每种系统均在不同程度上要求充分考虑平台安全。1、平台安全与平台性能和功能的关系2通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开)，外界是不可能构成安全威胁的。但是，若要提供更多的服务，将网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建平台安全系统，一方面由于要进行认证、加密、监听、分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。2、平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。来自平台方面的安全威胁主要利用以下途径：①系统实现存在的漏洞；②系统安全体系的缺陷；③使用人员的安全意识薄弱；④管理制度的薄弱；⑤良好的平台管理有助于增强系统的安全性：⑥及时发现系统安全的漏洞；⑦审查系统安全体系；⑧加强对使用人员的安全知识教育；⑨建立完善的系统管理制度。网络安全问题，从网络结构上来讲涉及到网络结构的各个层次，按照OSI七层模型，网络安全贯穿于整个七层模型，针对网络实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次，即物理层、链路层、网络层和应用层（包括应用系统和应用平台）。六、网络层解决方案对网络层的安全控制机制，主要是保证网络数据传输的合法性，放置未经授权的非法攻击等。对与网络层的安全解决方案的主要技术措施有：通过防火墙或者物理隔离网闸隔离技术、VPN技术及入侵检测技术等对网络设备进行有效的隔离、对非法的会话连接进行阻断并提供报警及审计功能。使网络的风险降到最低。根据不同的业务应用，采用不同的结构模式和安全策略，保证系统不同等级的安全措施。网络层安全结构图：3在企业的内部网络里，根据不同的业务安全要求等级，布设不同类型性能的防火墙，进一步从网络层保障结构安全，内部的服务系统、业务应用服务器等放置在军事区（安全区）。对外的网站系统、业务发布平台等放置在非军事区，提供内部和外部用户的访问接入。连接Internet处可以充分考虑采用冗余结构布置防火墙。为了进一步与外网系统物理隔离，可以选择物理网闸设备连接Internet。网络的性能结构上面首要的保证整个网络层次的安全体系，充分考虑实现如下内容：1、满足桥模式、VLAN、ADSL拨号等形式接入，可以满足多种网络环境的需要。2、通过多重地址转换（MAT）功能，可以保护内部网络服务器的安全，又可以分散外部服务到不同的IP地址。通过端口转换，为服务指定特定的端口，增强了系统的安全性。3、可以作为DHCP服务器又可以充当DHCP客户机，以实现对动态IP的支持功能。4、支持策略路由，即根据通讯源地址和目标地址来做出路由选择，可以将内网流量分摊到多个网络出口，增加用户带宽。5、多台服务器之间的负载均衡；同时做到心跳线和VRRP两种方式的双机热备份。全交叉冗余链路，两台防火墙同时工作进行流量均衡，同时进行端口备份，从而提高整个系统的稳定性和容错性。6、支持Tcp/Ip协议簇的各种协议。支持802.1QVLAN、SNMP网管协议、DHCP协议，GRE、IPSEC、PPTP……。7、提供透明模式、路由和NAT方式下对多种多媒体协议的支持，包括H.323、MSN/SIP、MMS等。七、应用层解决方案应用层就是针对客户的实际应用，要求做到提供强大的数据传输加密功能，提供详实的审计日志服务，提供安全的管理服务。资源对象的合理4访问控制，建立基于双向的身份认证机制。为应用层提供安全的保障措施应充分考虑实现如下内容：1、Syn代理技术防止Dos、D-Dos攻击。2、对常见病毒端口可以在数据链路层进行主动丢弃。3、访问模式匹配功能，可根据需要有效地防止木马软件以及QQ，BT等软件。4、IDS功能，安全级别，抗攻击功能。防范各种拒绝服务攻击、端口扫描、IP欺骗等攻击手段。5、提供对可能的危险信息或容易挤占网络带宽的数据的过滤，如URL攻击检测、URL关键字、对HTTP协议中携带的JavaApplet、JavaScript、ActiveX脚本、Servlet、CGI、PHP、图像、音频视频、Flash等信息的过滤，提供对PROXY方式下的内容过滤和HTTP、FTP、SMTP、POP3协议的深度内容过滤。6、IP与MAC地址绑定的功能；对VPN通信的安全控制；带宽流量管理，可以有效的对用户进行带宽流量控制；对单IP进行连接数限制，用户自定义最大并发连接数；多出口的路由均衡。7、安全的管理功能：本地管理和远程管理两种方式。8、智能日志审计与状态监视。9、安全性扩展功能：与入侵检测器的无缝衔接，同时提供开放的IDS接口。10、统一用户认证功能：进行用户级鉴别和过滤控制；支持多种认证方式，包括防火墙自身实现的用户认证和扩展的RADIUS、LDAP认证。11、多级过滤措施：可以根据网络地址、网络协议以及TCP、UDP端口进行过滤。八、平台解决方案实现网络化、自动化信息交流及办公，维护整个网络的正常运行和信息安全，及时高效地处理病毒是平台解决方案的一个重要环节。病毒在网络中存储、传播、感染的方式给整个系统的安全造成隐患，合理的构建网络防毒系统，设置相对应的防病毒软件，通过全方位、多层次的防毒系统配置，使整体网络应用平台免受病毒的入侵和危害。网络防病毒安全的保障措施应充分考虑实现反病毒安全解决方案，使内部范围的防病毒管理易于维护和管理。可以在每个进入点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。采用功能强大的管理工具，自动进行文件更新，使管理和服务作业合理化，并可用来控制中心管理内部范围内的反病毒安全机制。形成的目标：从桌面到整个企业系统，优化系统性能、解决及预防问题、处理管理事务和执行正常的管理工作、保护内部免受攻击和危害、降低成本并提高用户工作效率。九、网络安全体系结构模型1、安全体系结构框架2、物理安全构架53、网络安全构架4、信息安全构架十、结束语随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。文中在所提出的网络安全系统设计框架的基础上，细化了网络安全的设计过程，给出了安全体系结构模型和策略管理执行模型的设计与实现，把安全体系结构、安全策略管理的实现和网络安全的实现机制有机地结合在一起从而实现了从高级安全策略向网络安全实现机制的平滑过渡。五、指导教师评语成绩日期批阅人