一，网络安全体系结构

• 网络安全体系结构是对网络信息安全基本问题的应对措施的集合，通常由保护，检测，响应和恢复等手段构成。

1，网络信息安全的基本问题

• 研究信息安全的困难在于：
  • 边界模糊
    • 数据安全与平台安全相交叉；存储安全与传输安全相制约；网络安全，应用安全与系统安全共存；集中的安全模式与分权制约安全模式相互竞争等。
  • 评估困难
    • 安全结构非常复杂，网络层，系统层，应用层的安全设备，安全协议和安全程序构成一个有机的整体，加上安全机制与人的互动性，网络的动态运行带来的易变性，使得评价网络安全性成为极其困难的事。
  • 安全技术滞后
    • 安全技术是一种在对抗中发展的技术。不断出现的应用安全问题是安全技术发展的促进剂。在这个意义上，安全技术总是滞后的。
  • 管理滞后
    • 传统的安全管理是制度管理，法规管理，其在今天高度分散，高度复杂的网络化信息操作环境中变得力不从心。需要构建一种技术管理与制度法规管理相平衡的新的管理模式。
• 保护，检测，响应，恢复覆盖了对现代网络信息系统保护的各个方面，构成一个完整的体系，使网络信息安全建筑在更坚实的基础之上。
  • 保护（Protect）：
    • 保护包括传统安全概念的继承，用加解密技术，访问控制技术，数字签名技术，从信息动态流动，数据静态存储和经授权方可使用，以及可验证的信息交换过程等多方面对数据及其网上操作加以保护。
  • 检测（Detect）：
    • 检测是对信息传输的内容的可控性的检测，对信息平台访问过程的检测，对违规与恶意攻击的检测，对系统与网络弱点与漏洞的检测等。
  • 响应（React）：
    • 要求安全体系提供有力的响应机制。包括在遇到攻击和紧急事件时能及时采取措施。
  • 恢复（Restore）：
    • 狭义的恢复指灾难恢复，在系统受到攻击的时候，评估系统受到的危害和损失，按紧急响应预案进行数据与系统恢复，启动备份系统恢复工作等。
    • 广义的恢复还包括灾难生存等现代新兴学科的研究。保证信息系统在恶劣的条件下，甚至在遭到恶意攻击的条件下，仍能有效地发挥效能。

2，网络安全设计的基本原则

• 惊醒计算机网络安全设计，规划时，应遵守以下原则：

1，需求，风险，代价平衡分析的原则

• 对一个具体网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制订规范和措施，确定本系统的安全策略，保护成本及被保护信息的价值必须平衡。

2，综合性，整体性原则

• 一个较好的安全措施往往是多种方法综合的应用结果。
• 只有从系统综合的整体角度区看待和分析，才可能获得有效可行的措施。

3，一致性原则

• 指网络安全问题应与整个网络的工作周期同时存在，制定的安全体系结构必须与网络的安全需求相一致。

4，易操作性原则

• 安全措施要由人来完成，如果措施过于复杂，则对人的要求过高，反而降低了安全性。

5，适应性，灵活性原则

• 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应，容易修改。

6，多重保护原则

• 任何安全保护措施都不是绝对安全的，都可能被攻破，但是建立一个多重保护系统，各层之间相互补充，当一层保护被攻破时，其他保护层任可以保护信息安全。
• 全方位的安全体系主要包括：
  • 访问控制
    • 通过对特定网段，服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。
  • 检查安全漏洞
    • 通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。
  • 攻击监控
    • 通过对特定网段，服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动。
  • 加密通信
    • 主动的加密通信，可使攻击者不能了解，修改敏感信息。
  • 认证
    • 良好的认证体系可防止攻击者假冒合法用户。
  • 备份和恢复
    • 良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

二，网络安全解决方案

1，网络安全解决方案的基本概念

• 网络安全解决方案涉及安全操作系统技术，防火墙技术，病毒防护技术，入侵检测技术，安全扫描技术，认证和数字签名技术和VPN技术等多方面的安全技术。
• 好的网络安全解决方案，不仅仅要考虑到技术，还要考虑到策略和管理。在三者的关系中，技术是关键，策略是核心，管理是保证。
• 动态性是网络安全的一个非常重要的概念，网络安全的动态性就是随着环境的变化和时间的推移，安全性会发生变化，因此在进行网络安全解决方案设计时，不仅要考虑当前的情况，也要考虑未来可能出现的新情况。
• 完整的网络安全解决方案，应该根据目标网络系统的具体特征和应用特点，有针对性的解决可能面临的安全问题。需要考虑的问题主要包括：
  • 关于物理安全的考虑。
  • 关于数据安全的考虑。
  • 数据备份的考虑。
  • 防病毒的考虑。
  • 关系操作系统/数据库/应用程序的安全考虑。
  • 网络系统安全结构的考虑。
  • 通信系统安全的考虑。
  • 关于口令安全的考虑。
  • 关于软件研发安全的考虑。
  • 关于人员安全因素的考虑。
  • 网络相关设施的设置和改造。
  • 安全设备的选型。
  • 安全策略与安全管理保障机制的涉及。
  • 网络安全行政与法律保障体系的建立。
  • 长期安全顾问服务。
  • 服务的价格。
  • 事件处理机制。
  • 安全监控网络和安全监控中心的建立。
  • 安全培训等。

2，网络安全解决方案的层次划分

• 网络信息安全包括了建立安全环境的几个重要组成部分：

  • 第一部分：安全的基石是社会法律，法规和手段。

  • 第二部分：增强的用户认证，用户认证在网络管理和信息的安全中属于技术措施的第一道大门，最后的防线为审计和数据备份。可以根据以下三种因素提供用户认证。

    1. 用户持有的证件，如出入证。
    2. 用户知道的信息，如密码。
    3. 用户特有的特征，如指纹。
    • 根据人认证中采用因素的多少，可以分为单因素认证，双因素认证1和多因素认证等方法

  • 第三部分：授权，为特许用户提供合适的访问权限，并监视用户的活动，使其不越权使用。

  • 第四部分：加密，加密主要满足以下几个需求。

    1. 认证：识别用户身份，提供访问许可。
    2. 一致性：保证数据不被非法篡改。
    3. 隐藏性：保护数据不被非法用户查看。
    4. 不可抵赖：使信息接收者无法否认曾经收到的信息。

  • 第五部分：审计和监控，确切地说，还应包括数据备份，这是系统安全的最后一道防线。系统一旦出现问题，这部分可以提供问题的再现，责任追查，重要数据复原等保障。

• 这五个部分使相辅相成的，缺一不可。其中底层使上层保障的基础，如果缺少下面个层次的安全保障，上一层的安全措施则无从说起。

3，网络安全解决方案的框架

• 一份完整的网络安全解决方案应该包括以下7个方面，在实际应用中可以根据需要进行适当取舍。

1，网络安全需求分析

• 进行安全需求分析时需要确立以下几种意识
  • 风险意识：百分之百的安全是不可能的；明确“干什么”和“怕什么”，做到什么样的“度”。
  • 权衡意识：系统开销，经济承受力等综合权衡；准确定义业务要求。
  • 相对意识：理想的技术不适用，当前技术有缺点；准确定义安全保密要求；合理设置防火墙的等级。
  • 集成意识：集成是我国信息安全设备和技术发展的捷径。

2，网络安全风险分析

• 网络的安全风险分析
• 系统的安全风险分析
• 应用的安全风险分析
• 整体安全风险分析

3，网络安全威胁分析

• 安全威胁主要来自以下方面：
  • 操作系统的安全性。
  • 防火墙的安全性。
  • 来自内部网用户的安全威胁。
  • 缺乏有效的手段监视，评估网络系统的安全性。
  • 采用TCP/IP协议，本身缺乏安全性。
  • 未能对来自Internet的电子邮件，网页等携带病毒进行有效控制。
  • 应用服务的安全。

4，网络系统的安全原则

• 动态性
  • 网路，系统和应用会不断有新的安全威胁和风险出现，制定的网络安全原则必须保持动态性。
• 唯一性
  • 安全的动态性决定了安全解决方案的唯一性，针对每个网络系统的解决方案都应是独一无二的。
• 专业性
  • 对于网络，系统和应用等方面的安全风险和解决方案，要从专业的角度来分析和把握，而不能是一种大概的描述。
• 严密性
  • 整个解决方案要具有很强的严密性和逻辑性。
• 整体性
  • 对于网络系统所面临的安全风险和威胁，要从整体上把握，进行全面地保护和评估。

5，网络安全产品

• 主要包括：防火墙，反病毒系统，身份认证系统，入侵检测系统，VPN设备等。

6，风险评估

• 风险评估是工具和技术的结合，其目的是对网络系统面临的安全风险进行详细的分析和评估。

7，安全服务

• 安全服务是通过技术支持向目标对象提供持久服务。随着安全风险和安全威胁的快速发展与变化，安全服务的作用变得越来越重要。

三，网络安全解决方案设计

1，安全需求分析

• 依据网络安全分层理论，根据ISO七层网络协议，在不同层次上，相应的安全需求和安全目标的实现手段各不相同，主要是针对在不同层次上安全技术实现而定。
• 对于基于TCP/IP协议的系统来说，安全层次是与TCP/IP协议层次相对应的，针对该企业网络的实际情况，可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次，同时将在各层都涉及的安全管理部分单独作为一部分进行分析。
  

1，网络层需求分析

• 网络层安全需求是保护网络不受攻击，确保网络服务的可用性。
  • 需要保证该企业网络与Internet安全互联，能够实现网络的安全隔离。
  • 保证必要的信息交互的可信任性。
  • 保证企业内部网络不能够被Internet访问。
  • 该企业网络公共资源能够对合法用户提供安全访问能力。
  • 对网络安全事件的审计。
  • 对于网络安全状态的量化评估。
  • 对网络安全状态的实时监控。
• 能够防范来自Internet的对提供服务的非法利用，包括：
  • 利用HTTP应用，通过Java Applet，ActiveX及JavaScript形式。
  • 利用FTP应用，通过文件传输形式。
  • 利用SMTP应用，通过对邮件分析及利用附件所造成的信息泄露和有害信息对该企业网络的侵害。
• 能够防范来自Internet的网络入侵和攻击行为的发生，并能够做到：
  • 对网络入侵和攻击的实时鉴别。
  • 对网络入侵和攻击的预警。
  • 对网络入侵和攻击的阻断与记录。

2，应用层需求分析

• 应用层安全主要与单位的管理机制和业务系统的应用模式相关。管理机制决定了应用模式，应用模式决定了安全需求。
• 应用层的安全需求是针对用户和网络应用资源的，主要包括：
  • 合法用户可以以指定的方式访问指定的信息。
  • 合法用户不能以任何方式访问不允许其访问的信息。
  • 非法用户不能访问任何信息。
  • 用户对任何信息的访问都有记录。
• 要解决的安全问题主要包括：
  • 非法用户利用应用系统的后门或漏洞，强行进入系统。
  • 用户身份假冒：非法用户利用合法用户的用户名，破译用户密码，假冒合法用户身份，访问系统资源。
  • 非授权访问：非法用户或者合法用户访问在其权限之外的系统资源。
  • 数据窃取：攻击者利用网络窃听工具窃取经由网络传输的数据包。
  • 数据篡改：攻击者篡改网络上传输的数据包。
  • 数据重放攻击：攻击者抓获网络上传输的数据包，再发送到目的地。
  • 抵赖：信息发送方或接收方抵赖曾经发送过或接收到了信息。
• 企业网络应用系统的安全体系应包含：
  • 访问控制：通过对特定网段，服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。
  • 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可达到攻击目标，也可使绝大多数攻击无效。
  • 攻击监控：通过对特定网段，服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动。
  • 加密通信：主动地加密通信，可使攻击者不能了解和修改敏感信息。
  • 认证：良好的认证体系可防止攻击者假冒合法用户。
  • 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。
  • 多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。
  • 隐藏内部信息：使攻击者不能了解系统内的基本情况。
  • 设立安全监控中心：为信息系统提供安全体系管理，监控及紧急情况处理服务。

3，安全管理需求分析

• 安全管理主要包括三个方面;
  • 内部安全管理：内部安全管理主要采取行政手段和技术手段相结合的方法。
  • 网络安全管理：网络层的安全管理可以通过网管，防火墙，安全检测等一些网络层的管理工具来实现。
  • 应用安全管理：包括建立统一的用户库，统一维护资源目录和统一授权等。