网络安全系统规划方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对(————)的网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
这个维度主要描述一个完善的网络安全体系建设的流程,这个流程主要的参考P2DR模型,以我们前面进行的需求分析为基础,制定统一的安全策略,同时通过预防(Harden)、保护(Protect)、检测(Detect)、响应(Respond)以及改进(Improve),形成一个闭环的网络安全措施流程。
纵深维为安全管理维:
二、
二.1.
网络为典型的二级结构,其中核心区是一台7505R,服务器群和Internet对外访问链路都接在此核心设备上,向下分为二级交换结构。用来连接内部各个网段。
二.2.
以前面介绍的三维安全理论模型为基础,参照我们进行的信息网络系统的层次划分,我们认为整个网络安全系统可以划分为以下几个层次,分别为:
可动态演进的原则
方案应该针对(————)制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
一.2.
安全方案必须架构在科学的安全体系和安全模型之上,因为安全模型是安全方案设计和分析的基础。只有在先进的网络安全理论模型的基础上,才能够有效地实现我们在上面分析的网络安全系统规划的基本原则,从而保证整个网络安全解决方案的先进性。
第一维为应用层次维:
这个维度实现对整个信息体系进行描述,通过这个维度,以层次化对整个信息体系进行划分,层次的划分依据信息体系的建设结构,把整个信息体系划分为网络层:提供信息流通的平台;用户层:信息应用的终端;业务层:信息应用的提供层。通过这种抽象的层次的划分,可以以不同的层次对象为目标,分析这些层次对不同的安全服务要素的需求情况,进行层次化的、有针对性的系统安全需求分析。
网络安全系统规划方案
一、
一.1.
在规划(————)信息系统安全时,我们将遵循以下原则,以这些原则为基ቤተ መጻሕፍቲ ባይዱ,提供完善的体系化的整体网络安全解决方案
体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
为了系统、科学地分析网络安全方案涉及的各种安全问题,在大量理论分析和调查研究的基础上,H3C公司提出了i3SAFE网络安全模型,以此模型为基础,可以进行整个网络安全体系的有效的分析与合理规划。下面我们对此网络安全模型进行具体的阐述和说明:
i3SAFE安全理论模型示意图
i3SAFE安全理论模型是一个三维立体结构,基于此三维结构安全理论模型,形成一个智能的(intelligence),集成的(integrated),定制的(individuality)的网络安全解决方案,真正达到SAFE的目的,下面是每个层次的详细分析描述:
贯穿于上述三个维度,以及各个维度内部各个层次的是安全管理,我们认为,全面的安全管理是信息网络安全的一个基本保证,只有通过切实的安全管理,才能够保证各种安全技术能够真正起到其应有的作用,常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术只是配合安全管理的有效的辅助措施。
一.3.
通过上述三维安全理论模型,我们可以比较清晰的分析出在一个信息网络系统中,不同系统层次有各自的特点,对安全服务要素的不同的需求的强度,依据这些安全服务要素需求的重点不同,基于这些层次对应的实际结构模块,有针对性地采用一些安全技术和安全产品来实现这些安全服务要素,这些措施形成本层次的安全防护面,不同的层次相互组合衔接,形成一个立体的网络安全防御体系。
在下面的(————)信息系统安全方案设计中,我们将首先通过信息网络的层次划分,把其安全系统划分成若干个安全层次,并针对每一个安全层次,分析其业务安全需求,提出安全解决方案,最后形成一个全面的安全解决方案。同时在方案的设计过程中,遵循我们安全理论模型中的业务流程体系,对所采取的安全措施进行实施阶段的划分,形成一个动态的、可调整的具有强大实施能力的整体安全解决方案。
另外,我们认为,网络安全是一个动态的全面的有机整体,传统的网络安全产品单独罗列在网络之上的单点防御部署方法,事实已经证明不能够及时有效的解决网络的威胁,网络安全已经进入人民战争阶段,必须有效整合网络中的每一个节点设备资源,通过加固、联动、嵌入等多种技术手段使安全因素DNA渗透到网络的每一个设备中,为用户提供一个可实现可管理的安全网络。借助多年的网络产品研发经验,H3C已经能够为用户提供多种安全网络构成产品技术,如具有安全特征的网络基础设备、能够与核心路由器、交换机联动的安全设备,安全设备间联动、核心交换机/路由器上的嵌入式安全模块,智能集中策略管理中心等等,用户可以根据网络业务需求选择应用。
1.网络层:核心的安全需求为保证网络数据传输的可靠性和安全性,防范因为物理介质、信号辐射等造成的安全风险,保证整体网络结构的安全,保证网络设备配置的安全、同时提供网络层有效的访问控制能力、提供对网络攻击的实时检测能力等。
2.系统层:核心的安全需求为能够提供机密的、可用的网络应用服务,包括业务数据存储和传输的安全,业务访问的身份认证及资源访问权限分配,业务访问的有效的记录和审计,以及特殊应用模式的安全风险:比如垃圾Mail、Web攻击等。
第二维为网络空间维:
这个维度从实际的信息系统结构的组成的角度,对信息系统进行模块化的划分。基本的模块可以划分为桌面、服务器、外网、内网等几个模块,这些模块的划分可以根据需要进行组合或者细化,进行模块划分的主要目的是为前面相对抽象的安全需求分析提供具体可实施的对象,保证整个安全措施有效可实施性。
第三维为业务流程维:
相关文档
最新文档