1、第十章 網絡安全方案設計 內容提要n本章從網絡安全工程的角度探討一份網絡安全方案的編寫n介紹網絡安全方案設計的注意點以及網絡安全方案的編寫框架n最后利用一個案例說明網絡安全的需求以及針對需求的設計方案以及完整的實施方案。網絡安全方案概念 n網絡安全方案可以認為是一張施工的圖紙，圖紙的好壞，直接影響到工程的質量。n總的來說，網絡安全方案涉及的內容比較多，比較廣，比較專業和實際。網絡安全方案設計的注意點 n對于一名從事網絡安全的人來說，網絡必須有一個整體、動態的安全概念。總的來說，就是要在整個項目中，有一種總體把握的能力，不能只關注自己熟悉的某一領域，而對其他領域毫不關心，甚至不理解，這樣寫不出一

2、份好的安全方案。n因為寫出來的方案，就是要針對用戶所遇到的問題，運用產品和技術解決問題。設計人員只有對安全技術了解的很深，對產品線了解的很深，寫出來的方案才能接近用戶的要求。評價網絡安全方案的質量 n一份網絡安全方案需要從以下8個方面來把握。n1、體現唯一性，由于安全的復雜性和特殊性，唯一性是評估安全方案最重要的一個標準。實際中，每一個特定網絡都是唯一的，需要根據實際情況來處理。n2、對安全技術和安全風險有一個綜合把握和理解，包括現在和將來可能出現的所有情況。n3、對用戶的網絡系統可能遇到的安全風險和安全威脅，結合現有的安全技術和安全風險，要有一個合適、中肯的評估，不能夸大，也不能縮小。n4、

3、對癥下藥，用相應的安全產品、安全技術和管理手段，降低用戶的網絡系統當前可能遇到的風險和威脅，消除風險和威脅的根源，增強整個網絡系統抵抗風險和威脅的能力，增強系統本身的免疫力。n5、方案中要體現出對用戶的服務支持。這是很重要的一部分。因為產品和技術，都將會體現在服務中，服務來保證質量、服務來提高質量。n6、在設計方案的時候，要明白網絡系統安全是一個動態的、整體的、專業的工程，不能一步到位解決用戶所有的問題。n7、方案出來后，要不斷的和用戶進行溝通，能夠及時的得到他們對網絡系統在安全方面的要求、期望和所遇到的問題。n8、方案中所涉及的產品和技術，都要經得起驗證、推敲和實施，要有理論根據，也要有實際

4、基礎。網絡安全方案的框架 n總體上說，一份安全解決方案的框架涉及6大方面，可以根據用戶的實際需求取舍其中的某些方面。n1、概要安全風險分析n2、實際安全風險分析n3、網絡系統的安全原則n4、安全產品n5、風險評估n6、安全服務網絡安全案例需求 n網絡安全的唯一性和動態性決定了不同的網絡需要有不能的解決方案。通過一個實際的案例，可以提高安全方案設計能力。n項目名稱是：卓越信息集團公司（公司名為虛構）網絡信息系統的安全管理。項目要求 n集團在網絡安全方面提出5方面的要求：n1、安全性n全面有效的保護企業網絡系統的安全，保護計算機硬件、軟件、數據、網絡不因偶然的或惡意破壞的原因遭到更改、泄漏和丟失，

5、確保數據的完整性。n2、可控性和可管理性n可自動和手動分析網絡安全狀況，適時檢測并及時發現記錄潛在的安全威脅，制定安全策略，及時報警、阻斷不良攻擊行為，具有很強的可控性和可管理性。n3、系統的可用性n在某部分系統出現問題的時候，不影響企業信息系統的正常運行，具有很強的可用性和及時恢復性。n4、可持續發展n滿足卓越信息集團公司業務需求和企業可持續發展的要求，具有很強的可擴展性和柔韌性。n5、合法性n所采用的安全設備和技術具有我國安全產品管理部門的合法認證。工作任務 n該項目的工作任務在于四個方面：n1、研究卓越信息集團公司計算機網絡系統（包括各級機構、基層生產單位和移動用戶的廣域網）的運行情況（

6、包括網絡結構、性能、信息點數量、采取的安全措施等），對網絡面臨的威脅以及可能承擔的風險進行定性與定量的分析和評估。n2、研究卓越信息集團公司的計算機操作系統（包括服務器操作系統、客戶端操作系統等）的運行情況（包括操作系統的版本、提供的用戶權限分配策略等），在操作系統最新發展趨勢的基礎上，對操作系統本身的缺陷以及可能承擔的風險進行定性和定量的分析和評估。n3、研究卓越信息集團公司的計算機應用系統（包括信息管理信息系統、辦公自動化系統、電網實時管理系統、地理信息系統和Internet/Intranet信息發布系統等）的運行情況（包括應用體系結構、開發工具、數據庫軟件和用戶權限分配策略等），在滿足各

7、級管理人員、業務操作人員的業務需求的基礎上，對應用系統存在的問題、面臨的威脅以及可能承擔的風險進行定性與定量的分析和評估。n4、根據以上的定性和定量的評估，結合用戶需求和國內外網路安全最新發真趨勢，有針對地制定卓越信息集團公司計算機網絡系統的安全策略和解決方案，確保該集團計算機網絡信息系統安全可靠的運行。 解決方案設計 n零點網絡安全公司（公司名為虛構）通過招標，以50萬的工程造價得到了該項目的實施權。在解決方案設計中需要包含九方面的內容：公司背景簡介、卓越信息集團的安全風險分析、完整網絡安全實施方案的設計、實施方案計劃、技術支持和服務承諾、產品報價、產品介紹、第三方檢測報告和安全技術培訓。n

8、一份網絡安全設計方案應該包括九個方面：公司背景簡介、安全風險分析、解決方案、實施方案、技術支持和服務承諾、產品報價、產品介紹、第三方檢測報告和安全技術培訓。公司背景簡介 n介紹零點網絡安全公司的背景需要包括：公司簡介、公司人員結構、曾經成功的案例、產品或者服務的許可證或認證。n1、零點網絡安全公司簡介n2、公司的人員結構n3、成功的案例n4、產品的許可證或服務的認證n5、卓越信息集團實施網絡安全意義安全風險分析n對網絡物理結構、網絡系統和應用進行風險分析。n1、現有網絡物理結構安全分析n詳細分析卓越信息集團公司與各分公司得網絡結構，包括內部網、外部網和遠程網。n2、網絡系統安全分析n詳細分析卓

9、越信息集團公司與各分公司網絡得實際連接、Internet的訪問情況、桌面系統的使用情況和主機系統的使用情況，找出可能存在得安全風險n3、網絡應用的安全分析n詳細分析卓越信息集團公司與各分公司的所有服務系統以及應用系統，找出可能存在的安全風險。解決方案n解決方案包括五個方面：n1、建立卓越信息集團公司系統信息安全體系結構框架n2、技術實施策略n3、安全管理工具n4、緊急響應n5、災難恢復實施方案 n實施方案包括：項目管理以及項目質量保證。n1、項目管理n2、項目質量保證技術支持和服務承諾 n包括技術支持的內容和技術支持的方式。n1、技術支持的內容n包括安全項目中所包括的產品和技術的服務，提供的技

10、術和服務包括：（1）安裝調試項目中所涉及的全部產品和技術。（2）安全產品以及技術文檔。（3）提供安全產品和技術的最新信息。（4）服務器內免費產品升級。n2、技術支持方式n安全項目完成以后提供的技術支持服務，內容包括：(1)客戶現場24小時支持服務。（2）客戶支持中心熱線電話。（3）客戶支持中心Email服務。（4）客戶支持中心Web服務。產品報價n項目所涉及到全部產品和服務的報價。產品介紹n卓越信息集團公司安全項目中所有涉及到的產品介紹，主要是使用戶清楚所選擇的產品使什么，不用很詳細，但要描述清除。 第三方檢測報告 n由一個第三方的中立機構，對實施好的網絡安全構架進行安全掃描與安全檢測，并提供相關的檢測報告。安全技術培訓 n1、管理人員的安全培訓n2、安全技術基礎培訓n3、安全攻防技術培訓n4、Windows 9X/NT/2000/2003的系統安全管理培訓n5、Unix系統的安全管理培訓n6、安全產品的培訓本章總結n本章需要理解網絡安全方案的基本概念，在編寫網絡安全方案的時