网络安全方案设计
《网络安全方案设计》由会员分享,可在线阅读,更多相关《网络安全方案设计(10页珍藏版)》请在文档大全上搜索。
1、第四部分网络安全综合解决方案第十章网络安全方案设计本章要点:本章从网络安全工程的角度探讨一份网络安全方案的编写,介绍网络安全方案设计的注意点以及网络安全方案的编写框架。最后利用一个案例说明网络安全的需求以及针对需求的设计方案以及完整的实施方案。10.1网络安全方案概念网络安全方案可以认为是一张施工的图纸,图纸的好坏,直接影响到工程的质量。总的来说,网络安全方案涉及的内容比较多,比较广,比较专业和实际。10.1.1网络安全方案设计的注意点对于一名从事网络安全的人来说,网络必须有一个整体、动态的安全概念。总的来说,就是要在整个项目中,有一种总体把握的能力,不能只关注自己熟悉的某一领域,而对其他领域
2、毫不关心,甚至不理解,这样写不出一份好的安全方案。因为写出来的方案,就是要针对用户所遇到的问题,运用产品和技术解决问题。设计人员只有对安全技术了解的很深,对产品线了解的很深,写出来的方案才能接近用户的要求。一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。技术是关键,策略是核心,管理是保证。在方案中,始终要体现出这三方面的关系。在设计网络安全方案的时候,一定要了解用户实际网络系统环境,对当前可能遇到的安全风险和威胁做一个量化和评估,这样才能写出一份客观的解决方案。好的方案是一个安全项目中很重要的部分,是项目实施的基础和依据。在设计方案的时候,动态安全是一个很重要的概念,也是网
3、络安全方案和其他项目方案的最大区别。所谓的动态安全,就是随着环境的变化和时间的推移,这个系统就会变得不安全。所以,在设计方案的时候,不仅要考虑到现在的情况,也要考虑到以后的情况,用一种动态的方式来考虑,做到项目的实施,既能考虑到现在的情况,也能很好的适应以后网络系统的升级,留一个比较好的升级接口。网络没有绝对的安全,只有相对的安全。在设计网络安全方案的时候,必须清楚这一点,以一种客观的态度来写,不夸大也不缩小,写得实实在在,让人信服接收。由于时间和空间不断发生作用,安全是没有百分之百,没有绝对的,不管在设计还是在实施的时候,想的多完善,做的多严密,都不能达到绝对安全。所以在方案中应该告诉用户,
4、只能做到避免风险,消除风险的根源,降低由于风险所带来的,而不能做到消灭风险。在网络安全中,动态性和相对性非常重要,可以从三个方面来理解:系统、人和管理。系统是基础、人是核心,管理是保证。从项目实施上来讲,这三个方面是项目质量的保证。操作系统是一个很复杂、很庞大的体系,在设计和实施的时候,考虑安全的因素可能比较少,总会存在这样或那样的人为错误,这些错误的直接后果就是带来安全方面的风险。而且总有那么一种人,以挖掘系统的安全漏洞,以入侵系统为荣。从这个方面来讲,系统在明处,他们在暗处,防不胜防。在一个项目中,人总是核心。一个人的技术水平、思想行为和心里素质等都会影响到项目的质量。比如项目的密码要复杂
5、,要大小写、数字和特殊字符等的组合,但在实际使用中一个系统管理员的管理帐号的密码是自己的生日,这样的系统放在网上,一般不能坚持的太久。管理是关键,系统的安全配置,动态跟踪,人的有效管理,都要依据管理来约束和保证。10.1.2评价网络安全方案的质量在实际的工作中,怎样才能写出高质量、高水平的安全方案?只要抓住重点,理解安全理念和安全过程,就基本可以做到。一份网络安全方案需要从以下8个方面来把握。1、体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准。实际中,每一个特定网络都是唯一的,需要根据实际情况来处理。2、对安全技术和安全风险有一个综合把握和理解,包括现在和将来可能出
6、现的所有情况。3、对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适、中肯的评估,不能夸大,也不能缩小。4、对症下药,用相应的安全产品、安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力。5、方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术,都将会体现在服务中,服务来保证质量、服务来提高质量。6、在设计方案的时候,要明白网络系统安全是一个动态的、整体的、专业的工程,不能一步到位解决用户所有的问题。7、方案出来后,要不断的和用户进行沟通,能够及时的
7、得到他们对网络系统在安全方面的要求、期望和所遇到的问题。8、方案中所涉及的产品和技术,都要经得起验证、推敲和实施,要有理论根据,也要有实际基础。将上面得八点融会贯通,经过不断的学习和经验积累,一定能写出一份很实用、很实用、很中肯的安全项目方案。具有很好的技术,不一定能写出一份很好的解决方案,要求的是技术面要广要综合。10.2网络安全方案的框架总体上说,一份安全解决方案的框架涉及6大方面,可以根据用户的实际需求取舍其中的某些方面。1、概要安全风险分析对当前的安全风险和安全威胁作一个概括和分析,最好能够突出用户所在的行业,并结合其业务的特点、网络环境和应用系统等。同时,要有针对性,如政府行业、电力
8、行业、金融行业等,要体现很强的行业特点,使人信服和接收。2、实际安全风险分析实际安全风险分析一般从四个方面进行分析:网络的风险和威胁分析、系统的风险和威胁分析、应用的分析和威胁分析和对网络、系统和应用的风险和威胁的具体和实际的详细分析。(1)网络的风险和威胁分析:详细的分析用户当前的网络结构,找出带来安全问题的关键,并把之图形化,指出风险和威胁所带来的危害,如果不消除这些风险和威胁,会引起什么样的后果,都要有一个中肯、详细的分析和解决方法。(2)系统的风险和威胁分析:对用户所有的系统都要进行一次详细的评估,分析存在那些风险和威胁,并根据与业务的关系,指出其中的厉害关系。要运用当前流行系统所面临
9、的安全风险和威胁,结合用户的实际系统,给出一个中肯、客观和实际的分析。(3)应用的分析和威胁分析:应用的安全是企业的关键,也是安全方案中最终说服要保护的对象。同时由于应用的复杂性和关联性,分析的时候,就要比较综合。(4)对网络、系统和应用的风险和威胁的具体和实际的详细分析,帮助用户找出其网络系统中要保护的对象,帮助用户找出网络系统中要保护的对象,帮助用户分析网络系统,帮助他们发现其网络系统中存在的问题,以及采用那些产品和技术来解决。3、网络系统的安全原则安全原则体现在五个方面:动态性、唯一性、整体性、专业性和严密性。(1)动态性:不要把安全的静态化,动态性是安全的一个重要的原则。网络、系统和应
10、用会不断出现新的风险和威胁,决定了安全动态性的重要性。(2)唯一性:安全的动态性决定了安全的唯一性,针对每个网络系统安全的解决,都应该是独一无二的。(3)整体性:对于网络系统所遇到的风险和威胁,要从整体来分析和把握,不能那里有问题就补那里,要做到全面的保护和评估。(4)专业性:对于用户的网络、系统和应用,要从专业的角度来分析和把握,不能是一种大概的做法。(5)严密性:整个解决方案,要有一种很强的严密性,不要给人一种虚假的感觉,在设计方案的时候,需要从多方面对方案进行论证。4、安全产品常用的安全产品包括五个方面:防火墙、防病毒、身份认证、传输加密和入侵检测。结合用户的网络、系统和应用的实际情况,
11、对安全产品和安全技术做个比较和分析,分析要客观、结果要中肯,帮助用户选择最能解决他们所遇到问题的产品,不要求新、求好和求大。(1)防火墙:对包过滤技术、代理技术和状态检测技术的防火墙,都做一个概括和比较,结合用户网络系统的特点,帮助用户选择一种安全产品,对于选择的产品,一定要从中立的角度来说明。(2)防病毒:针对用户的系统和应用的特点,对桌面防病毒、服务器防病毒和网关防病毒做一个概括和比较,详细指出用户必须如何做,否则就会带来什么样的安全威胁,一定要中肯、合适,不要夸大和缩小。(3)身份认证:从用户的系统和用户的认证的情况进行详细的分析,指出网络和应用本身的认证方法会出现那些风险,结合相关的产
