网络安全需求

网络安全需求网络安全需求 一 网络的基本安全需求 满足基本的安全要求 是该网络成功运行的必要条件 在此基础上提供强 有力的安全保障 是网络系统安全的重要原则 网络内部部署了众多的网络设 备 服务器 保护这些设备的正常运行 维护主要业务系统的安全 是网络的 基本安全需求 对于各种各样的网络攻击 如何在提供灵活且高效的网络通讯 及信息服务的同时 抵御和发现网络攻击 并且提供跟踪攻击的手段 网络基 本安全要求主要表现为 1 网络正常运行 在受到攻击的情况下 能够保证网络系统继续运行 2 网络管理 网络部署的资料不被窃取 3 具备先进的入侵检测及跟踪体系 4 提供灵活而高效的内外通讯服务 二 应用系统的安全需求 与普通网络应用不同的是 应用系统是网络功能的核心 对于应用系统应 该具有最高的网络安全措施 应用系统的安全体系应包含 1 访问控制 通过对特定网段 服务建立的访问控制体系 将绝大多数攻击 阻止在到达攻击目标之前 2 检查安全漏洞 通过对安全漏洞的周期检查 即使攻击可到达攻击目标 也可使绝大多数攻击无效 3 攻击监控 通过对特定网段 服务建立的攻击监控体系 可实时检测出绝 大多数攻击 并采取相应的行动 如断开网络连接 记录攻击过程 跟踪 攻击源等 4 加密通讯 主动的加密通讯 可使攻击者不能了解 修改敏感信息 5 认证 良好的认证体系可防止攻击者假冒合法用户 6 备份和恢复 良好的备份和恢复机制 可在攻击造成损失时 尽快地恢复 数据和系统服务 7 多层防御 攻击者在突破第一道防线后 延缓或阻断其到达攻击目标 8 隐藏内部信息 使攻击者不能了解系统内的基本情况 9 设立安全监控中心 为信息系统提供安全体系管理 监控 维护及紧急情 况服务 三 平台安全的需求 网络平台将支持多种应用系统 对于每种系统均在不同程度上要求充分考 虑平台安全 平台安全与平台性能和功能的关系 通常 系统安全与性能和功能是一对矛盾的关系 如果某个系统不向外界 提供任何服务 断开 外界是不可能构成安全威胁的 但是 若要提供更多的 服务 将网络建成了一个开放的网络环境 各种安全包括系统级的安全问题也 随之产生 构建平台安全系统 一方面由于要进行认证 加密 监听 分析 记录等 工作 由此影响网络效率 并且降低客户应用的灵活性 另一方面也增加了管 理费用 但是 来自网络的安全威胁是实际存在的 特别是在网络上运行关键 业务时 网络安全是首先要解决的问题 选择适当的技术和产品 制订灵活的 网络安全策略 在保证网络安全的情况下 提供灵活的网络服务通道 采用适 当的安全体系设计和管理计划 能够有效降低网络安全对网络性能的影响并降 低管理费用 平台安全的管理因素 平台安全可以采用多种技术来增强和执行 但是 很多安全威胁来源于管 理上的松懈及对安全威胁的认识 来自平台方面的安全威胁主要利用以下途径 系统实现存在的漏洞 系统安全体系的缺陷 使用人员的安全意识薄弱 管理制度的薄弱 良好的平台管理有助于增强系统的安全性 及时发现系统安全的漏洞 审查系统安全体系 加强对使用人员的安全知识教育 建立完善的系统管理制度 网络安全问题 从网络结构上来讲涉及到网络结构的各个层次 按照 OSI 七层模型 网络安全贯穿于整个七层模型 针对网络实际运行的 TCP IP 协议 网络安全贯穿于信息系统的 4 个层次 即物理层 链路层 网络层和应用层 包括应用系统和应用平台 网络层解决方案网络层解决方案 对网络层的安全控制机制 主要是保证网络数据传输的合法性 放置未经 授权的非法攻击等 对与网络层的安全解决方案的主要技术措施有 通过防火 墙或者物理隔离网闸隔离技术 VPN 技术及入侵检测技术等对网络设备进行有 效的隔离 对非法的会话连接进行阻断并提供报警及审计功能 使网络的风险 降到最低 根据不同的业务应用 采用不同的结构模式和安全策略 保证系统 不同等级的安全措施 网络层安全结构图 在企业的内部网络里 根据不同的业务安全要求等级 布设不同类型性能 的防火墙 进一步从网络层保障结构安全 内部的服务系统 业务应用服务器 等放置在军事区 安全区 对外的网站系统 业务发布平台等放置在非军事 区 提供内部和外部用户的访问接入 连接 Internet 处可以充分考虑采用冗余 结构布置防火墙 为了进一步与外网系统物理隔离 可以选择物理网闸设备连 接 Internet 网络的性能结构上面首要的保证整个网络层次的安全体系 充分考虑实现 如下内容 满足桥模式 VLAN ADSL 拨号等形式接入 可以满足多种网络环境的需 要 通过多重地址转换 MAT 功能 可以保护内部网络服务器的安全 又可 以分散外部服务到不同的 IP 地址 通过端口转换 为服务指定特定的端口 增 强了系统的安全性 可以作为 DHCP 服务器又可以充当 DHCP 客户机 以实现对动态 IP 的支持 功能 支持策略路由 即根据通讯源地址和目标地址来做出路由选择 可以将 内网流量分摊到多个网络出口 增加用户带宽 多台服务器之间的负载均衡 同时做到心跳线和 VRRP 两种方式的双机热 备份 全交叉冗余链路 两台防火墙同时工作进行流量均衡 同时进行端口备 份 从而提高整个系统的稳定性和容错性 支持 Tcp Ip 协议簇的各种协议 支持 802 1Q VLAN SNMP 网管协议 DHCP 协议 GRE IPSEC PPTP 提供透明模式 路由和 NAT 方式下对多种多媒体协议的支持 包括 H 323 MSN SIP MMS 等 应用层解决方案应用层解决方案 应用层就是针对客户的实际应用 要求做到提供强大的数据传输加密功能 提供详实的审计日志服务 提供安全的管理服务 资源对象的合理访问控制 建立基于双向的身份认证机制 为应用层提供安全的保障措施应充分考虑实现如下内容 Syn 代理技术防止 Dos D Dos 攻击 对常见病毒端口可以在数据链路层进行主动丢弃 访问模式匹配功能 可根据需要有效地防止木马软件以及 QQ BT 等软件 IDS 功能 安全级别 抗攻击功能 防范各种拒绝服务攻击 端口扫描 IP 欺骗等攻击手段 提供对可能的危险信息或容易挤占网络带宽的数据的过滤 如 URL 攻击 检测 URL 关键字 对 HTTP 协议中携带的 Java Applet JavaScript ActiveX 脚本 Servlet CGI PHP 图像 音频视频 Flash 等信息的过滤 提供对 PROXY 方式下的内容过滤和 HTTP FTP SMTP POP3 协议的深度内容过滤 IP 与 MAC 地址绑定的功能 对 VPN 通信的安全控制 带宽流量管理 可 以有效的对用户进行带宽流量控制 对单 IP 进行连接数限制 用户自定义最大 并发连接数 多出口的路由均衡 安全的管理功能 本地管理和远程管理两种方式 智能日志审计与状态监视 安全性扩展功能 与入侵检测器的无缝衔接 同时提供开放的 IDS 接口 统一用户认证功能 进行用户级鉴别和过滤控制 支持多种认证方式 包括防火墙自身实现的用户认证和扩展的 RADIUS LDAP 认证 多级过滤措施 可以根据网络地址 网络协议以及 TCP UDP 端口进行 过滤 平台解决方案平台解决方案 实现网络化 自动化信息交流及办公 维护整个网络的正常运行和信息安 全 及时高效地处理病毒是平台解决方案的一个重要环节 病毒在网络中存储 传播 感染的方式给整个系统的安全造成隐患 合理的构建网络防毒系统 设 置相对应的防病毒软件 通过全方位 多层次的防毒系统配置 使整体网络应 用平台免受病毒的入侵和危害 网络防病毒安全的保障措施应充分考虑实现反病毒安全解决方案 使内部 范围的防病毒管理易于维护和管理 可以在每个进入点抵御病毒和恶意小程序