网络安全方案设计概述

《网络安全方案设计概述》由会员分享，可在线阅读，更多相关《网络安全方案设计概述（47页珍藏版）》请在装配图网上搜索。

1、网络安全技术实用教程网络安全技术实用教程第第11章章 网络安全方案设计网络安全方案设计 主要内容主要内容11.1网络安全方案概述网络安全方案概述 111.2网络安全方案的框架网络安全方案的框架 211.3某企业网络安全解决案例某企业网络安全解决案例 32网络安全技术使用教程网络安全技术使用教程11.1.1 网络安全方案设计的目标网络安全方案设计的目标 在在设设计计网网络络安安全全方方案案时时，一一定定要要实实地地考考察察网网络络系系统统的的环环境境，对对当当前前可可能能遇遇到到的的安安全全风风险险和和威威胁胁做做一一个个合合理理的的量量化化和和评评估估，只只有有这这样样才才能能设设计计出出一一

2、份份可可观观的的解解决决方方案案。好好的的方方案案是是一一个个网网络络工工程程项项目目中很重要的部分，也是网络工程实施的基础和前提。中很重要的部分，也是网络工程实施的基础和前提。网网络络安安全全方方案案设设计计的的目目标标是是实实现现动动态态安安全全，不不会会因因为为随随着着时时间间的的推推移移和和环环境境的的变变化化而而使使得得系系统统变变得得不不安安全全，所所以以不不仅仅需需要要考考虑虑当当前前的的状状况况，还还要要考考虑虑到到未未来来的的需需求求，能能为为今今后后的的网网络络升升级级准准备备好好升升级的接口。级的接口。没没有有一一个个网网络络是是绝绝对对安安全全的的，即即只只有有相相对对

3、安安全全。而而且且现现在在相相对对安安全全的的方方案案可可能能因因为为时时间间和和空空间间的的不不断断变变化化而而出出现现安安全全问问题题，因因此此在在设设计计方方案案时时必必须须注注意意到到这这一一点点，并并在在方方案案中中也也应应该该告告诉诉用用户户，只只能能做做到到避避免免风风险险，消消除除风风险险的的根根源源，降降低低由由于于风风险险所所带带来来的的损损失失，而不能做到消灭风险。而不能做到消灭风险。3网络安全技术使用教程网络安全技术使用教程11.1.2网络安全方案设计的原则网络安全方案设计的原则 1.系统性原则系统性原则 网网络络安安全全系系统统的的建建设设需需要要有有系系统统性性和和

4、适适应应性性，而而且且不不能能因因为为网网络络技技术术的的发发展展、网网络络信信息息系系统统的的攻攻防防技技术术的的深深化化和和演演变变、系系统统升升级级和和配配置置的的变变化化而而导导致致在在系系统统的的整整个个生生命命周周期期内内的的安安全全保保障障能能力力和和抵抵御御风风险的能力降低。险的能力降低。2.技术先进性原则技术先进性原则技技术术先先进进性性是是网网络络安安全全系系统统设设计计必必须须考考虑虑的的原原则则之之一一，只只有有选选用用先先进进、成成熟熟的的安安全全技技术术和和设设备备，并并在在方方案案实实施施时时采采用用先先进进可可靠靠的的工工艺艺和技术，才能提高整个网络系统运行的可

5、靠性和稳定性。和技术，才能提高整个网络系统运行的可靠性和稳定性。4网络安全技术使用教程网络安全技术使用教程11.1.2网络安全方案设计的原则网络安全方案设计的原则3.管理可控性原则管理可控性原则网网络络系系统统的的所所有有安安全全设设备备（包包括括管管理理、维维护护和和配配置置）都都应应该该自自主主可可控控，网网络络系系统统安安全全设设备备的的采采购购也也必必须须有有严严格格的的手手续续和和相相应应机机构构的的认认证证或或许许可可标标记记，另另外外，安安全全设设备备的的供供应应商商也也须须具具备备相相应应的的资资质质并并具具有有可信度。可信度。4.适度安全性原则适度安全性原则网网络络系系统统安

6、安全全方方案案应应该该充充分分考考虑虑被被保保护护对对象象的的价价值值与与保保护护成成本本之之间间的的平平衡衡性性，在在允允许许的的风风险险范范围围内内应应该该尽尽量量减减少少安安全全服服务务的的规规模模和和复复杂杂性性，使使之之具具有有可可操操作作性性，避避免免超超出出用用户户所所能能理理解解的的范范围围，从从而而造造成成方案的执行困难，甚至无法执行。方案的执行困难，甚至无法执行。5网络安全技术使用教程网络安全技术使用教程11.1.2网络安全方案设计的原则网络安全方案设计的原则5.技术和管理相结合原则技术和管理相结合原则网网络络系系统统安安全全建建设设是是一一个个复复杂杂的的系系统统工工程程

7、，它它包包括括产产品品、过过程程和和人人的的因因素素，因因此此它它的的安安全全解解决决方方案案必必须须在在考考虑虑技技术术解解决决方方案案的的同同时时充充分分考考虑虑管管理理、法法律律和和法法规规方方面面的的制制约约和和调调控控作作用用。单单靠靠技技术术或或单单靠靠管管理都不可能真正解决安全问题，而必须坚持技术和管理相结合的原则。理都不可能真正解决安全问题，而必须坚持技术和管理相结合的原则。6.测评认证原则测评认证原则安安全全方方案案的的设设计计必必须须通通过过国国家家有有关关部部门门的的评评审审，采采用用的的安安全全产产品品和保密设备需经过国家主管部门的认可。和保密设备需经过国家主管部门的认

8、可。7.系统可伸缩性原则系统可伸缩性原则企企业业的的网网络络系系统统会会随随着着网网络络和和应应用用技技术术的的发发展展而而发发生生变变化化，同同时时信信息息安安全全技技术术也也在在发发展展，因因此此，网网络络安安全全系系统统的的建建设设必必须须考考虑虑系系统统的的可可升升级级性性和和可可伸伸缩缩性性。重重要要和和关关键键的的安安全全设设备备不不因因网网络络的的变变化化而而更更换换或废弃。或废弃。6网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案 1.防火墙防火墙防防火火墙墙是是指指设设置置在在不不同同网网络络（如如可可信信任任的的企企业业内内部部网网和和不不可可信

9、信的的公公共共网网）或或网网络络安安全全域域之之间间的的一一系系列列部部件件的的组组合合。它它是是不不同同网网络络或或网网络络安安全全域域之之间间信信息息的的唯唯一一出出入入口口，能能根根据据企企业业的的安安全全政政策策控控制制（允允许许、拒拒绝绝、监监测测）出出入入网网络络的的信信息息流流，且且本本身身具具有有较较强强的的抗抗攻攻击击能能力力。它它是提供信息安全服务，实现网络和信息安全的基础设施。是提供信息安全服务，实现网络和信息安全的基础设施。防防火火墙墙在在局局域域网网中中一一般般安安装装在在局局域域网网与与路路由由器器之之间间；在在托托管管服服务务器机房中一般安装在服务器与托管机房局域

10、网之间。器机房中一般安装在服务器与托管机房局域网之间。7网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案1)局域网防火墙的主要作用局域网防火墙的主要作用(1)实实现现单单向向访访问问，允允许许局局域域网网用用户户访访问问Internet资资源源，但但是是严严格格限限制制Internet用户对局域网资源的访问；用户对局域网资源的访问；(2)通通过过防防火火墙墙，将将整整个个局局域域网网划划分分Internet，DMZ区区，内内网网访访问问区区这这三三个逻辑上分开的区域，有利于对整个网络进行管理；个逻辑上分开的区域，有利于对整个网络进行管理；(3)局局域域网网所所有有工

11、工作作站站和和服服务务器器处处于于防防火火墙墙地地整整体体防防护护之之下下，只只要要通通过过防防火火墙墙设设置置的的修修改改，就就能能有有限限绝绝大大部部分分防防止止来来自自Internet上上的的攻攻击击，网网络管理员只需要关注络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞；区对外提供服务的相关应用的安全漏洞；(4)通通过过防防火火墙墙的的过过滤滤规规则则，实实现现端端口口级级控控制制，限限制制局局域域网网用用户户对对Internet的访问；的访问；(5)进行流量控制，确保重要业务对流量的要求；进行流量控制，确保重要业务对流量的要求；(6)通过过滤规则，以时间为控制要素，限制大流

12、量网络应用在上班时通过过滤规则，以时间为控制要素，限制大流量网络应用在上班时间的使用。间的使用。8网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案9网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案2.入侵检测与入侵防御入侵检测与入侵防御入入侵侵检检测测（IDSIDS）与与入入侵侵防防御御（IPSIPS）设设备备一一般般局局域域网网DMZDMZ区区以以及及托管服务器机房服务器区。托管服务器机房服务器区。1)1)入侵检测的作用入侵检测的作用(1)(1)作作为为旁旁路路设设备备，监监控控网网络络中中的的信信息息，统统计计并并记记录录网网络络中中

13、的的异异常常主主机以及异常连接；机以及异常连接；(2)(2)中断异常连接；中断异常连接；(3)(3)通通过过联联动动机机制制，向向防防火火墙墙发发送送指指令令，在在限限定定的的时时间间内内对对特特定定的的IPIP地址实施封堵。地址实施封堵。2)2)入侵防御的作用入侵防御的作用如果检测到攻击，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。阻止这个恶意的通信。10网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案3.网络防病毒软件控制中心以及客户端软件网络防病毒软件控制中心以及客户端软件网网络络防防病病毒

14、毒软软件件主主要要安安装装在在防防病病毒毒服服务务器器以以及及各各个个客客户户端端计计算算机机上。上。1)1)防病毒服务器的主要作用防病毒服务器的主要作用(1)(1)作作为为防防病病毒毒软软件件的的控控制制中中心心，及及时时通通过过InternetInternet更更新新病病毒毒库库，并并强制局域网中已开机的客户端计算机及时更新病毒库软件；强制局域网中已开机的客户端计算机及时更新病毒库软件；(2)(2)记录各个客户端计算机的病毒库升级情况；记录各个客户端计算机的病毒库升级情况；(3)(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。记录局域网中计算机病毒出现的时间、类型以及后续处理

15、措施。2)2)防病毒客户端软件的作用防病毒客户端软件的作用(1)(1)对对本本机机的的内内存存、文文件件的的读读写写进进行行监监控控，根根据据预预定定的的处处理理方方法法处处理理带毒文件；带毒文件；(2)(2)监控邮件收发软件，根据预定处理方法处理带毒邮件。监控邮件收发软件，根据预定处理方法处理带毒邮件。11网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案4.邮件防病毒服务器邮件防病毒服务器邮邮件件防防病病毒毒服服务务器器一一般般安安装装在在邮邮件件服服务务器器与与防防火火墙墙之之间间，邮邮件件防防病病毒毒软软件件对对来来之之Internet的的电电子子邮邮件件进进

16、行行检检测测，根根据据预预先先设设定定的的处处理理方方法法处处理理带带毒毒邮邮件件。邮邮件件防防病病毒毒软软件件的的监监控控范范围围包包括括所所有有来来自自Internet的电子邮件及其所带附件的电子邮件及其所带附件(对于压缩文件同样也进行检测对于压缩文件同样也进行检测)。12网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案5.反垃圾邮件系统反垃圾邮件系统 与与邮邮件件防防毒毒软软件件相相同同，如如果果软软硬硬件件条条件件允允许许，则则两两者者可可以以安安装装在在同一台服务器上。反垃圾邮件系统的作用是：同一台服务器上。反垃圾邮件系统的作用是：(1)拒绝转发来自拒绝转

17、发来自Internet的垃圾邮件；的垃圾邮件；(2)拒拒绝绝转转发发来来自自局局域域网网用用户户的的垃垃圾圾邮邮件件并并将将发发垃垃圾圾邮邮件件的的局局域域网用户的网用户的IP地址通过电子邮件等方式通报网管；地址通过电子邮件等方式通报网管；(3)记录发垃圾邮件的终端地址；记录发垃圾邮件的终端地址；(4)通过电子邮件等方式通知网管垃圾邮件的处理情况。通过电子邮件等方式通知网管垃圾邮件的处理情况。13网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案14网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案7.网络管理软件网络管理软件网管软件主要安装

18、在局域网中，它的作用是：网管软件主要安装在局域网中，它的作用是：(1)收集局域网中所有资源的硬件信息；收集局域网中所有资源的硬件信息；(2)收收集集局局域域网网中中所所有有终终端端和和服服务务器器的的操操作作系系统统、系系统统补补丁丁等等软软件件信信息；息；(3)收集交换机等网络设备的工作状况等信息；收集交换机等网络设备的工作状况等信息；(4)判判断断局局域域网网用用户户是是否否使使用用了了MODEM等等非非法法网网络络设设备备与与Internet连连接；接；(5)显示实时网络连接情况；显示实时网络连接情况；(6)如果交换机等核心网络设备出现异常，及时向网管中心报警；如果交换机等核心网络设备出

19、现异常，及时向网管中心报警；15网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案8.QoS流量管理流量管理专专门门的的QoS（Quality of Service）产产品品安安装装在在路路由由器器和和防防火火墙墙之之间，但有些防火墙可能本身就带有间，但有些防火墙可能本身就带有QoS流量管理模块。它的作用是：流量管理模块。它的作用是：(1)通过通过IP地址，为重要用户分配足够的带宽；地址，为重要用户分配足够的带宽；(2)通过端口，为重要的应用分配足够的带宽资源；通过端口，为重要的应用分配足够的带宽资源；(3)限制非业务流量的带宽；限制非业务流量的带宽；(4)在在资资源

20、源闲闲置置时时期期，允允许许其其他他人人员员使使用用资资源源，一一旦旦重重要要用用户户或或者者重重要要应应用用需需要要使使用用带带宽宽，则则确确保保它它们们能能够够至至少少使使用用分分配配给给他他们们的的带带宽资源。宽资源。16网络安全技术使用教程网络安全技术使用教程11.2.1技术解决方案技术解决方案17网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案 1.网络拓扑分析网络拓扑分析服务对象：整个网络。服务对象：整个网络。服务周期：半年一次。服务周期：半年一次。服务内容：服务内容：(1)根据网络的实际情况，绘制网络拓扑图；根据网络的实际情况，绘制网络

21、拓扑图；(2)分析网络中存在的安全缺陷并提出整改建议意见。分析网络中存在的安全缺陷并提出整改建议意见。服服务务作作用用：针针对对网网络络的的整整体体情情况况，进进行行总总体体、框框架架性性分分析析。一一方方面面，通通过过网网络络拓拓扑扑分分析析，能能够够形形成成网网络络整整体体拓拓扑扑图图，为为网网络络规规划划、网网络络日日常常管管理理等等管管理理行行为为提提供供必必要要的的技技术术资资料料；另另一一方方面面，通通过过整整体体的的安安全全性性分分析析，能能够够找找出出网网络络设设计计上上的的安安全全缺缺陷陷，找找到到各各种种网网络络设设备备在在协协同同工工作中可能产生的安全问题。作中可能产生的

22、安全问题。18网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案2.中心机房管理制度制订以及修改中心机房管理制度制订以及修改服务对象：中心机房。服务对象：中心机房。服务周期：半年一次。服务周期：半年一次。服服务务内内容容：协协助助用用户户制制订订并并修修改改机机房房管管理理制制度度。制制度度内内容容涉涉及及人人员员进进出出机机房房的的登登记记制制度度、设设备备进进出出机机房房的的登登记记制制度度、设设备备配配置置修修改改的的登登记记制制度等。度等。服服务务作作用用：严严格格控控制制中中心心机机房房的的人人员员进进出出、设设备备进进出出并并及及时时登登记

23、记设设备备的的配置更新情况，有助于网络核心设备的监控，确保网络的正常运行。配置更新情况，有助于网络核心设备的监控，确保网络的正常运行。19网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案3.操作系统补丁升级操作系统补丁升级服务对象：服务器、工作站、终端。服务对象：服务器、工作站、终端。服务周期：不定期。服务周期：不定期。服务内容：服务内容：(1)一旦出现重大安全补丁，及时更新所有相关系统；一旦出现重大安全补丁，及时更新所有相关系统；(2)出出现现大大型型补补丁丁(如如微微软软的的SP)，及及时时更更新新所所有有相相关关系系统统；服服务务作作用用：通通

24、过过及及时时、有有效效的的补补丁丁升升级级，能能够够有有效效防防止止局局域域网网主主机机和和服服务务器器相相互互之之间间的的攻攻击击，降降低低现现代代网网络络蠕蠕虫虫病病毒毒对对网网络络的的整整体体影影响响，增增加加网络带宽的有效利用率。网络带宽的有效利用率。20网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案4.服务器定期扫描、加固服务器定期扫描、加固服务对象：服务器。服务对象：服务器。服务周期：半年一次。服务周期：半年一次。服服务务内内容容：使使用用专专用用的的扫扫描描工工具具，在在用用户户网网络络管管理理人人员员的的配配合合，对对主主要要的服务

25、器进行扫描。的服务器进行扫描。服务作用：服务作用：(1)(1)找出对应服务器操作系统中存在的系统漏洞；找出对应服务器操作系统中存在的系统漏洞；(2)(2)找出服务器对应应用服务中存在的系统漏洞；找出服务器对应应用服务中存在的系统漏洞；(3)(3)找出安全强度较低的用户名和用户密码。找出安全强度较低的用户名和用户密码。21网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案5.防病毒软件病毒库定期升级防病毒软件病毒库定期升级服务对象：防病毒服务器、安装防病毒客户端的终端。服务对象：防病毒服务器、安装防病毒客户端的终端。服务周期：每周一次。服务周期：每周一次

26、。服务内容：服务内容：(1)防病毒服务器通过防病毒服务器通过Internet更新病毒库；更新病毒库；(2)防病毒服务器强制所有在线客户端更新病毒库。防病毒服务器强制所有在线客户端更新病毒库。服服务务作作用用：通通过过不不断断升升级级病病毒毒库库，确确保保防防病病毒毒软软件件能能够够及及时时检检测测到到新新的的病毒病进行查杀。病毒病进行查杀。22网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案6.防火墙日志备份、分析防火墙日志备份、分析服务对象：防火墙设备服务对象：防火墙设备.服务周期：一周一次服务周期：一周一次.服务内容：导出防火墙日志并进行分析。服

27、务内容：导出防火墙日志并进行分析。服服务务作作用用：通通过过流流量量简简图图找找出出流流量量异异常常的的时时间间段段，通通过过检检查查流流量量较较大大的的主机，找出局域网中的异常主机。主机，找出局域网中的异常主机。23网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案7.入侵检测、入侵防御等安全设备日志备份入侵检测、入侵防御等安全设备日志备份服务对象：入侵检测、入侵防御等安全设备。服务对象：入侵检测、入侵防御等安全设备。服务周期：一周一次。服务周期：一周一次。服务内容：备份安全设备日志。服务内容：备份安全设备日志。服务作用：防止日志过大导致检索、分析的

28、难度，另一方面也有利于事服务作用：防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。后的检查。24网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案25网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案9.白客渗透白客渗透服务对象：对服务对象：对Internet提供服务的服务器。提供服务的服务器。服务周期：半年一次。服务周期：半年一次。服服务务内内容容：服服务务商商在在用用户户指指定定的的时时间间段段内内，通通过过Internet，使使用用各各种种工工具具在不破坏应用的前提下攻击服务器，最终提供检测

29、报告。在不破坏应用的前提下攻击服务器，最终提供检测报告。服服务务作作用用：先先于于黑黑客客进进行行探探测测性性攻攻击击以以检检测测系系统统漏漏洞洞。根根据据最最终终检检测测报报告进一步增强系统的安全性。告进一步增强系统的安全性。26网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案10.网络硬件设备冗余系统网络硬件设备冗余系统服务对象：骨干交换机、路由器等网络骨干设备。服务对象：骨干交换机、路由器等网络骨干设备。服务周期：实时。服务周期：实时。服服务务内内容容：根根据据用用户户的的网网络络情情况况，提提供供骨骨干干交交换换机机、路路由由器器等等核核心心

30、网网络络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。服务作用：一旦核心设备出现故障，使用备件替换以减少网络故障时间。服务作用：一旦核心设备出现故障，使用备件替换以减少网络故障时间。27网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案11.数据备份系统数据备份系统服务对象：所有重要服务数据。服务对象：所有重要服务数据。服务周期：根据网络情况制定完全备份和增量备份的时间服务周期：根据网络情况制定完全备份和增量备份的时间服务内容：定期备份电子信息。服务内容：定期备份电子信息。服务作

31、用：防止核心服务器崩溃导致网络应用瘫痪。服务作用：防止核心服务器崩溃导致网络应用瘫痪。28网络安全技术使用教程网络安全技术使用教程11.2.2网络安全服务解决方案网络安全服务解决方案12.定期总体安全分析报告定期总体安全分析报告服务对象：整个网络。服务对象：整个网络。服务周期：半年一次。服务周期：半年一次。服服务务内内容容：综综合合网网络络拓拓扑扑报报告告、各各种种安安全全设设备备日日志志、服服务务器器日日志志等等信信息息，对对网网络络进进行行总总体体安安全全综综合合性性分分析析，分分析析内内容容包包括括网网络络安安全全现现状状、网网络络安全隐患分析，并提出改进建议意见。安全隐患分析，并提出改

32、进建议意见。服服务务作作用用：提提供供综综合合性性、全全面面的的安安全全报报告告，针针对对全全网网络络进进行行安安全全性性讨讨论论，为全面提高网络的安全性提供技术资料。为全面提高网络的安全性提供技术资料。以以上上是是网网络络安安全全服服务务解解决决方方案案，其其中中，网网络络安安全全产产品品一一般般是是共共性性的的，通通过过安安全全服服务务，能能够够配配置置出出适适合合本本网网络络的的安安全全设设备备，使使得得安安全全产产品品在在特特定定的的网网络络中中发发挥挥最最大大的的效效能能，使使得得各各种种设设备备协协同同工工作作，增增强强网网络的安全性和可用性。络的安全性和可用性。29网络安全技术使

33、用教程网络安全技术使用教程11.2.3技术支持解决方案技术支持解决方案 30网络安全技术使用教程网络安全技术使用教程11.2.3技术支持解决方案技术支持解决方案2.灾难恢复灾难恢复支持范围：设备遇到物理损害网络、网络应用异常。支持范围：设备遇到物理损害网络、网络应用异常。作作用用：通通过过备备品品备备件件，快快速速恢恢复复网网络络硬硬件件环环境境；通通过过备备份份文文件件的的复复原原，尽快恢复网络的电子资源；由此可在最短的时间内恢复整个网络应用。尽快恢复网络的电子资源；由此可在最短的时间内恢复整个网络应用。31网络安全技术使用教程网络安全技术使用教程11.2.3技术支持解决方案技术支持解决方案

34、3.查找攻击源查找攻击源支持范围：支持范围：网络管理员发现网络遭到攻击，并需要确定攻击来源。网络管理员发现网络遭到攻击，并需要确定攻击来源。作用：作用：通过日志文件等信息，确定攻击的来源，为进一步采取措施提通过日志文件等信息，确定攻击的来源，为进一步采取措施提供依据。供依据。32网络安全技术使用教程网络安全技术使用教程11.2.3技术支持解决方案技术支持解决方案4.实时检索日志文件实时检索日志文件支支持持范范围围：遭遭到到实实时时的的攻攻击击(如如DOS，SYN FLOODING等等)，需需要要及及时时了解攻击源以及攻击强度。了解攻击源以及攻击强度。作作用用：通通过过实实时时检检索索日日志志文

35、文件件，可可以以当当时时存存在在的的针针对对本本网网络络的的攻攻击击并并查查找找出出攻攻击击源源。如如果果攻攻击击强强度度超超出出网网络络能能够够承承受受的的范范围围，可可采采取取进进一一步步措施进行防范。措施进行防范。33网络安全技术使用教程网络安全技术使用教程11.2.3技术支持解决方案技术支持解决方案5.即时查杀病毒即时查杀病毒支持范围：由不可确定的因素导致网络中出现计算机病毒。支持范围：由不可确定的因素导致网络中出现计算机病毒。作作用用：即即使使网网络络中中出出现现病病毒毒，通通过过及及时时有有效效的的技技术术支支持持，在在最最短短的的时时间间内查处感染病毒的主机并即时查杀病毒，恢复网

36、络应用。内查处感染病毒的主机并即时查杀病毒，恢复网络应用。34网络安全技术使用教程网络安全技术使用教程11.2.3技术支持解决方案技术支持解决方案6.即时网络监控即时网络监控支持范围：支持范围：网络出现异常，但应用基本正常。网络出现异常，但应用基本正常。作作用用：通通过过网网络络监监控控，尽尽可可能能发发现现网网络络中中存存在在的的前前期期网网络络故故障障，在在故故障障扩大化以前及时进行防治。扩大化以前及时进行防治。35网络安全技术使用教程网络安全技术使用教程11.3.1某电力公司项目背景某电力公司项目背景 某电力公司电网已发展成为以火电为主，水力发电为辅，某电力公司电网已发展成为以火电为主，

37、水力发电为辅，500500kvkv输电线路为骨干，输电线路为骨干，220220kvkv线路为网架、分层分区结构完整的电网。与线路为网架、分层分区结构完整的电网。与生产网络的发展相匹配，该公司已经组建了调度网络和生产网络的发展相匹配，该公司已经组建了调度网络和OAOA网络，并正网络，并正在发展和银行之间的互联，开展业务往来；而且随着信息化的深入发在发展和银行之间的互联，开展业务往来；而且随着信息化的深入发展，各个公司也有接入展，各个公司也有接入InternetInternet网的需求，这就对电力内部的各种信网的需求，这就对电力内部的各种信息构成威胁。为防范对电网和电厂计算机监控系统及调度数据网络

38、的息构成威胁。为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系，国电已依据全国人大常委会关于维护网络安全和信息安全的决系，国电已依据全国人大常委会关于维护网络安全和信息安全的决议和中华人民共和国计算机信息系统安全保护条例及国家关于议和中华人民共和国计算机信息系统安全保护条例及国家关于计算机信息与网络系统安全防护的有关规定，制定了电网和电厂计计算机信息与

39、网络系统安全防护的有关规定，制定了电网和电厂计算机监控系统及调度网络安全防护规定。算机监控系统及调度网络安全防护规定。36网络安全技术使用教程网络安全技术使用教程11.3.2网络威胁及需求分析网络威胁及需求分析 1.网络威胁网络威胁该该公公司司的的网网络络安安全全采采取取的的主主要要措措施施有有：利利用用操操作作系系统统、数数据据库库、电电子子邮邮件件、应应用用系系统统本本身身的的安安全全性性，对对用用户户进进行行权权限限控控制制。在在连连接接广广域域网网接接口口处处，通通过过Cisco 2600路路由由器器的的IP包包过过滤滤及及访访问问控控制制列列表表（ACL）功功能能，做做了了一一定定的

40、的安安全全控控制制。但但实实际际上上，仅仅依依靠靠以以上上几几项项安安全全措措施施，不不能能达达到到公公司司网网络络安安全全的的要要求求。所所以以的的目目前前主主要要网网络络安安全全威威胁如下：胁如下：(1)内内部部网网络络和和外外部部网网络络之之间间的的连连接接为为直直接接连连接接，外外部部用用户户不不但但可可以以访访问问对对外外服服务务的的服服务务器器，同同时时也也容容易易地地访访问问内内部部的的网网络络服服务务器器，这这样样，由由于内部和外部没有隔离措施，内部系统较容易遭到攻击。于内部和外部没有隔离措施，内部系统较容易遭到攻击。(2)来自内部网的病毒的破坏；来自内部网的病毒的破坏；(3)

41、内内部部用用户户的的恶恶意意攻攻击击、误误操操作作，但但由由于于目目前前发发生生的的概概率率较较小小，本本部部分分暂不作考虑。暂不作考虑。(4)如果调度网与办公网相联，调度网的安全将受到来自办公网的威胁。如果调度网与办公网相联，调度网的安全将受到来自办公网的威胁。(5)来自外部网络的攻击来自外部网络的攻击37网络安全技术使用教程网络安全技术使用教程11.3.2网络威胁及需求分析网络威胁及需求分析2.需求分析需求分析该公司的网络安全需求如下：该公司的网络安全需求如下：(1)(1)防止县级用户与地市级之间内部用户进行非授权访问和恶意攻击；防止县级用户与地市级之间内部用户进行非授权访问和恶意攻击；(

42、2)(2)防止不同部门之间用户非授权访问和恶意攻击防止不同部门之间用户非授权访问和恶意攻击;；(3)(3)防止外联单位对县级网络的非授权访问和恶意攻击；防止外联单位对县级网络的非授权访问和恶意攻击；(4)(4)调度网与办公网的安全隔离；调度网与办公网的安全隔离；(4)(4)防止本地邮件病毒、文件病毒及网络病毒的危害和传播；防止本地邮件病毒、文件病毒及网络病毒的危害和传播；(5)(5)防止来自防止来自InternetInternet病毒对县级网络中重要服务器的攻击与破坏；病毒对县级网络中重要服务器的攻击与破坏；(6)(6)加加强强对对内内部部用用户户的的身身份份鉴鉴别别、权权限限控控制制、角角色

43、色管管理理和和访访问问控控制制管管理理，防防止止对对应应用用系系统统的的数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏；数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏；(7)(7)加强对移动办公用户和拨号用户的身份鉴别、权限控制和访问控制管理；加强对移动办公用户和拨号用户的身份鉴别、权限控制和访问控制管理；(8)(8)防止在各级网络进行数据传输过程中，传输的信息可能被窃取、篡改或破坏；防止在各级网络进行数据传输过程中，传输的信息可能被窃取、篡改或破坏；(9)(9)防止电磁辐射和电磁传导泄漏；防止电磁辐射和电磁传导泄漏；(10)(10)在重要的网络和系统中充分考虑灾备和容

44、错措施，防止因系统故障导致系统服务中断；在重要的网络和系统中充分考虑灾备和容错措施，防止因系统故障导致系统服务中断；(11)(11)实现对网站文件属性和文件内容的实时监控，可以自动、安全恢复网站文件系统；实现对网站文件属性和文件内容的实时监控，可以自动、安全恢复网站文件系统；(12)(12)建建立立完完整整的的网网络络安安全全系系统统管管理理体体系系，实实现现对对全全网网的的设设备备的的统统一一管管理理，安安全全策策略略的的统统一一制定，安全事件的统一管理等等。制定，安全事件的统一管理等等。38网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计1.第一级方案第

45、一级方案1)设计目标设计目标(1)将将地地市市局局的的网网络络系系统统与与县县级级网网络络系系统统隔隔离离开开来来，拒拒绝绝非非法法访访问问，保保护护网络边界的安全；网络边界的安全；(2)保护各县级网络系统，抵御来自于广域网的攻击，保护网络资源安全；保护各县级网络系统，抵御来自于广域网的攻击，保护网络资源安全；(3)将县级网络与其所属乡镇供电所安全隔离，保护网络边界的安全；将县级网络与其所属乡镇供电所安全隔离，保护网络边界的安全；(4)各各县县级级网网络络与与银银行行代代收收付付系系统统隔隔离离开开，防防止止来来自自外外联联业业务务方方面面的的攻攻击击，确保内部资源的安全；确保内部资源的安全；

46、(5)隐藏内部网络的拓扑结构；隐藏内部网络的拓扑结构；(6)抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击；抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击；(7)强化对网络的控制，确保关键业务的网络带宽强化对网络的控制，确保关键业务的网络带宽39网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计XXX电电力力公公司司网网中中络络拓拓扑扑结结构构（如如图图10-1所所示示）是是县县级级网网络络安安全全项项目目实实施施的的第第一一步步，在在县县级级网网络络中中设设置置放放火火墙墙，在在保保证证地地市市公公司司、乡乡镇镇供供电电所所及及银

47、银行行等等外外联联单单位位正正常常接接入入内内部部网网络络的的同同时时，对对各各个个接接入入单单位位设设置置合合理理的的安安全全策策略略，防防止止来来自自接接入入单单位位的的非非法法访访问问甚甚至至恶恶意意攻攻击击，保保护护内内部部网网络络资资源源。具具体体安安全全策策略略视视不不同同接接入入单单位位的的不不同同权权限限而而定定。本方案中使用的放火墙提供各种安全策略，例如防止拒绝服务攻击：本方案中使用的放火墙提供各种安全策略，例如防止拒绝服务攻击：MPSec FW通通过过限限制制流流量量的的方方法法保保护护安安全全子子网网不不受受常常见见的的DOS攻攻击击。MPSec FW也也允允许许配配置置

48、是是否否过过滤滤带带源源路路由由选选项项的的IP包包。同同时时，按按照照RFC1858的的要要求求对对IP分分片片进进行行处处理理，如如果果IP分分片片的的第第一一个个分分片片或或者者重重组组后后的的数数据据包包头头中中不不包包含含进进行行过过滤滤判判断断地地所所需需包包头头信信息息（如如TCP报报文文不不包包括括端端口口），防防火火墙墙丢丢弃弃该该包包，以以防防止止分分片片攻攻击击。MPSec FW能能正正确确识识别别TCPflood、UDPflood、ICMPflood攻攻击击并并进进行行防防御御，并并且且提提供详细的日志功能，配合管理员找出非法攻击者。供详细的日志功能，配合管理员找出非法

49、攻击者。40网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计第一级方案网络拓扑结构第一级方案网络拓扑结构 41网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计2.第二级方案第二级方案1)1)设计目标设计目标本级方案实施的目的是在电力信息网和本级方案实施的目的是在电力信息网和Internet之间建立边界，之间建立边界，拒绝来自拒绝来自Internet的攻击，本方案设计拓扑图如图所示。的攻击，本方案设计拓扑图如图所示。2)2)方案内容方案内容在在第第一一级级方方案案实实施施的的基基础础之之上上，县县级级网网络络将将考考虑虑接接

50、入入InternetInternet，利利用用丰丰富富的的网网络络资资源源，获获取取所所需需的的信信息息。同同时时，将将有有大大量量的的垃垃圾圾信信息息通通过过InternetInternet传传送送到到电电力力县县级级网网络络，对对电电力力信信息息网网的的安安全全构构成成威威胁胁；在在接接入入InternetInternet后后，还还可可能能遭遭到到来来自自网网络络方方面面的的恶恶意意攻攻击击，这这种种攻攻击击一一旦旦成成功功，将将对对电电力力信信息息网网造造成成严严重重危危害害。本本方方案案通通过过在在放放火火墙墙上上配配置置合合理理的的安安全全策策略略，允允许许电电力力信信息息网网访访问

51、问InternetInternet，拒拒绝绝来来自自InternetInternet的攻击。的攻击。42网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计第二级方案拓扑图第二级方案拓扑图 43网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计3.第三级方案第三级方案1)1)设计目标设计目标本级方案实施的目的是保护电力调度网，防止来自同级本级方案实施的目的是保护电力调度网，防止来自同级OA网和网和其它网络的攻击；允许其它网络的攻击；允许OA网中被授权的主机访问调度网。网中被授权的主机访问调度网。2)2)方案内容方案内容调度网是电

52、力系统的核心网络，对安全策略要求很高。调度网是电力系统的核心网络，对安全策略要求很高。InternetInternet网、银行等外联单位、乡镇供电所甚至地市公司都不允许访问调度网，网、银行等外联单位、乡镇供电所甚至地市公司都不允许访问调度网，在同级的在同级的OAOA网中也只允许少数被授权的主机访问调度网。网中也只允许少数被授权的主机访问调度网。44网络安全技术使用教程网络安全技术使用教程11.3.3网络安全方案设计网络安全方案设计第三级方案拓扑图第三级方案拓扑图45网络安全技术使用教程网络安全技术使用教程网络安全技术实用教程网络安全技术实用教程网络安全技术实用教程网络安全技术实用教程演讲完毕，谢谢观看！