安全建设方案.docx

安全建设方案.docx安全建设方案安全建设方案(一):网络安全设计方案目录1、 网络安全问题 32、 设计的安全性 3可用性 3机密性 3完整性 3可控性 3可审查性 3访问控制 3数据加密 3安全审计 33、 安全设计方案 5设备选型 5网络安全 7访问控制 9入侵检测 104、 总结 111、网络安全问题随着互联网的飞速发展,,其屮也会涉及到是否构成犯罪行为的问题。在其最简单的形式屮,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此吋,它关心的対象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主耍指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来2、设计的安全性通过对网络系统的风险分析及需耍解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。B|J,可用性:授权实体有权访问数据机密性:信息不暴需给未授权实体或进程完整性:保证数据不被未授权修改可控性:控制授权范围内的信息流向及操作方式【安全建设方案】可审查性:对出现的安全问题提供依据与手段访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需耍使用防火墙将不同的lan或网段进行隔离,并实现相互的访问控制。数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包插两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范圉的拓展考虑,企业网主要的安全威胁和安全漏洞包括•以下几方面:内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。(2) 搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如sniffer等网络协议分析工具,,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3) 假冒这种威胁既可能来自企业网内部用户,内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。(4) 完整性破坏这种威胁主要指信息在传输过程屮或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于xxx企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。(5) ±的,±黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。(6) 管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学****对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使