网络安全需求

《网络安全需求》由会员分享，可在线阅读，更多相关《网络安全需求（4页珍藏版）》请在装配图网上搜索。

1、网络平安需求一.网络的根本平安需求满足根本的平安要求，是该网络成功运行的必要条件，在此根底上提供强有 力的平安保障，是网络系统平安的重要原那么。网络内部部署了众多的网络设备、 效劳器，保护这些设备的正常运行，维护主要业务系统的平安，是网络的根本安 全需求。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服 务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段。网络根本平安要求 主要表现为：1. 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行2. 网络管理/网络部署的资料不被窃取。3. 具备先进的入侵检测及跟踪体系。4. 提供灵活而高效的内外通讯效劳。.应用系统的平安需求

2、与普通网络应用不同的是，应用系统是网络功能的核心。对于应用系统应该 具有最高的网络平安措施。应用系统的平安体系应包含：1. 访问控制，通过对特定网段、效劳建立的访问控制体系，将绝大多数攻击阻 止在到达攻击目标之前；2. 检查平安漏洞，通过对平安漏洞的周期检查，即使攻击可到达攻击目标，也 可使绝大多数攻击无效；3. 攻击监控，通过对特定网段、效劳建立的攻击监控体系，可实时检测出绝大 多数攻击，并米取相应的行动如断开网络连接、记录攻击过程、跟踪攻击 源等；4. 加密通讯，主动的加密通讯，可使攻击者不能了解、修改敏感信息；5. 认证，良好的认证体系可防止攻击者假冒合法用户；6. 备份和恢复，良好的备

3、份和恢复机制，可在攻击造成损失时，尽快地恢复数 据和系统效劳；7. 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；8. 隐藏内部信息，使攻击者不能了解系统内的根本情况；9. 设立平安监控中心，为信息系统提供平安体系管理、监控，维护及紧急情况 效劳三.平台平安的需求网络平台将支持多种应用系统，对于每种系统均在不同程度上要求充分考虑 平台平安。平台平安与平台性能和功能的关系通常，系统平安与性能和功能是一对矛盾的关系。如果某个系统不向外界提 供任何效劳断开，外界是不可能构成平安威胁的。但是，假设要提供更多的服务，将网络建成了一个开放的网络环境，各种平安包括系统级的平安问题也随之 产生

4、。构建平台平安系统，一方面由于要进行认证、加密、监听、分析、记录等工 作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费 用。但是，来自网络的平安威胁是实际存在的，特别是在网络上运行关键业务时， 网络平安是首先要解决的问题。选择适当的技术和产品，制订灵活的网络平安策 略，在保证网络平安的情况下，提供灵活的网络效劳通道。采用适当的平安体系 设计和管理方案，能够有效降低网络平安对网络性能的影响并降低管理费用。平台平安的管理因素平台平安可以采用多种技术来增强和执行。但是，很多平安威胁来源于管理 上的松懈及对平安威胁的认识。来自平台方面的平安威胁主要利用以下途径：系统实现存在的漏洞

5、；系统平安体系的缺陷；使用人员的平安意识薄弱；管理制度的薄弱；良好的平台管理有助于增强系统的平安性：及时发现系统平安的漏洞；审查系统平安体系；加强对使用人员的平安知识教育；建立完善的系统管理制度。网络平安问题，从网络结构上来讲涉及到网络结构的各个层次，按照 OSI 七层模型，网络平安贯穿于整个七层模型，针对网络实际运行的 TCP/IP协议, 网络平安贯穿于信息系统的4个层次，即物理层、链路层、网络层和应用层包 括应用系统和应用平台。网络层解决方案对网络层的平安控制机制，主要是保证网络数据传输的合法性， 放置未经授 权的非法攻击等。对与网络层的平安解决方案的主要技术措施有：通过防火墙或 者物理隔

6、离网闸隔离技术、VPNK术及入侵检测技术等对网络设备进行有效的隔 离、对非法的会话连接进行阻断并提供报警及审计功能。 使网络的风险降到最低。 根据不同的业务应用，采用不同的结构模式和平安策略，保证系统不同等级的安 全措施。网络层平安结构图：意门或工作疆重要部口或工作蛆在企业的内部网络里，根据不同的业务平安要求等级，布设不同类型性能的 防火墙，进一步从网络层保障结构平安，内部的效劳系统、业务应用效劳器等放 置在军事区平安区。对外的网站系统、业务发布平台等放置在非军事区，提 供内部和外部用户的访问接入。连接Internet处可以充分考虑采用冗余结构布 置防火墙。为了进一步与外网系统物理隔离，可以选

7、择物理网闸设备连接 Internet 。网络的性能结构上面首要的保证整个网络层次的平安体系，充分考虑实现如 下内容：满足桥模式、VLAN ADS成号等形式接入，可以满足多种网络环境的需 要。通过多重地址转换MAT功能，可以保护内部网络效劳器的平安，乂可 以分散外部效劳到不同的IP地址。通过端口转换，为效劳指定特定的端口，增 强了系统的平安性。可以作为DHC效劳器乂可以充当DHC咨户机，以实现对动态IP的支持 功能。支持策略路由，即根据通讯源地址和目标地址来做出路由选择，可以将内网流量分摊到多个网络出口，增加用户带宽。多台效劳器之间的负载均衡；同时做到心跳线和 VRRFM种方式的双机热 备份。全

8、交义冗余链路，两台防火墙同时工作进行流量均衡，同时进行端口备份， 从而提高整个系统的稳定性和容错性。支持Tcp/Ip协议簇的各种协议。支持802.1Q VLAN SNM啊管协议、DHCP 协议，GRE IPSEC PPTP.。提供透明模式、路由和NAW式下对多种多媒体协议的支持，包括H.323、 MSN/SIP MMS?。应用层解决方案应用层就是针对客户的实际应用，要求做到提供强大的数据传输加密功能， 提供详实的审计日志效劳，提供平安的管理效劳。资源对象的合理访问控制，建 立基于双向的身份认证机制。为应用层提供平安的保障措施应充分考虑实现如下内容： Syn代理技术防止 Dos、D-Dos攻击。

9、对常见病蠹端口可以在数据链路层进行主动丢弃。访问模式匹配功能，可根据需要有效地防止木马软件以及 QQBT等软件。 IDS功能，平安级别，抗攻击功能。防范各种拒绝效劳攻击、端口扫描、 IP欺骗等攻击手段。提供对可能的危险信息或容易挤占网络带宽的数据的过滤，如URL攻击检测、URL键字、对 HTT呦议中携带的 Java Applet JavaScript、ActiveX 脚 本、Servlet、CGI、PHP图像、音频视频、Flash等信息的过滤，提供对 PROXY 方式下的内容过滤和HTTP FTP SMTP POP3&议的深度内容过滤。 IP与MAO址绑定的功能；对 VPN!信的平安控制；带宽

10、流量管理，可 以有效的对用户进行带宽流量控制；对单IP进行连接数限制，用户自定义最大 并发连接数；多出口的路由均衡。平安的管理功能：本地管理和远程管理两种方式。智能日志审计与状态监视。平安性扩展功能：与入侵检测器的无缝衔接，同时提供开放的IDS接口。统一用户认证功能：进行用户级鉴别和过滤控制；支持多种认证方式，包 括防火墙自身实现的用户认证和扩展的 RADIUS LDAPU证。多级过滤措施：可以根据网络地址、网络协议以及TCP UDP端口进行过滤。平台解决方案实现网络化、自动化信息交流及办公，维护整个网络的正常运行和信息平安， 及时高效地处理病蠹是平台解决方案的一个重要环节。 病蠹在网络中存储

11、、传播、 感染的方式给整个系统的平安造成隐患， 合理的构建网络防蠹系统，设置相对应 的防病蠹软件，通过全方位、多层次的防蠹系统配置，使整体网络应用平台免受 病蠹的入侵和危害。网络防病蠹平安的保障措施应充分考虑实现反病蠹平安解决方案，使内部范围的防病蠹管理易于维护和管理。可以在每个进入点抵御病蠹和恶意小程序的入 侵，保护网络中的PC机、效劳器和Internet网关。采用功能强大的管理工具， 自动进行文件更新，使管理和效劳作业合理化，并可用来控制中心管理内部范围 内的反病蠹平安机制。形成的目标：从桌面到整个企业系统，优化系统性能、解 决及预防问题、处理管理事务和执行正常的管理工作、保护内部免受攻击和危害、 降低本钱并提高用户工作效率。