网络安全需求分析.docx

1、网络安全需求分析网络安全需求分析1需求分析 1.网络现状1.学校网络拓扑图2.功能应用需求应用名称类型说明Email电子邮件校园网内邮件收发服务Office办公组件办公室工作杀毒软件杀毒维护计算机安全数据库信息储存，检索。FTP文件传输WWW网上冲浪3.现有的安全措施由于没有配置专业安全产品，目前网络的安全措施主要有：操作系统和应用软件自身的身份认证功能，实现访问限制。可见，以上措施已难以满足现代网络安全需求。 2.网络安全目标与内容1.网络安全目标保密性信息系统防止信息泄露完整性信息XX不能改变的特性有用性信息资源容许授权用户按需访问的特性可靠性数据不被破坏正常供用户使用的可能性2.网络安全

2、内容 1、物理安全 0环境安全：场地、机房的温度、湿度、照明、供电系统、防盗系统、防静电、防辐射: r$ 7 c+ f. a F设备安全：防盗、防毁、防辐射7 Y0 A) & q/ Q: O6 - s媒体安全：信息消除技术、介质的消毁技术 f8 v. o5 Z( u3 w7 V容灾：计算机系统分布在不同的地理位置，当灾难发生时，不会使整个系统失效。. 2、运行安全风险分析、审计跟踪、备份与恢复、应急响应、集群 3、信息安全 .操作系统安全、数据库安全、设备安全、病毒防护、访问控制、加密、认证、抗抵赖、防火墙技术、入侵检测技术 4、文化安全) S5 |, a a6 W/ a0 R7 ?: V(

3、z文化安全是指利用网络传播非法、不良的信息（如：淫秽暴力信息泛滥、敌对的意识形态信息）对民族文化的冲击， 防范措施有设置因特网关，监测、控管. 近些年来，由于政治、经济利益的驱动，5 S5 y/ r$ c+ c利用网络传播不良、淫秽信息越来越多，这严重影响我国的精神文明建设，要通过立法、监测来保护6 E/ O: P7 r! 0 u+ E. T7 g网络文化的文明。 3.网络安全需求3.1风险分析物理安全风险分析网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。网络平台的安全风险分析（1）公开服务

4、器面临的威胁 这个企业局域网内公开服务器区（等服务器）作为公司的信息发布平台，一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；（2）整个网络结构和路由状况 安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。系统的安全风险分析 网络操作系统、网络硬件平台的可靠性:没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。应用的安全风险分析 应用的安全性涉及到信息、数据的安全性：信息的安全性涉及到：机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的

5、可用性等。管理的安全风险分析 管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。二网络防护基本安全要求网络正常运行网络管理/网络部署的资料不被窃取具备先进的入侵检测与跟踪体系具备先进的非法外联监控体系提供灵活而高效的内外通讯服务具备先进的安全管理体系网络安全技术公开服务器的安全保护 防止黑客从外部攻击 入侵检测与监控 信息审计与记录 病毒防护 数据安全保护 数据备份与恢复 网络的安全管理2安全设计1.设计原则1.1整体安全原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、

6、工作流程、维护保障制度等）以及专业措施（存取控制、密码、容错、防病毒等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。1.2积极防御原则随着黑客技术的提高，对网络安全也提出更高的要求，所以应尽量选用智能化、高度自动化、响应速度快的网络安全产品，配备技术力量雄厚、响应及时的本地化服务队伍，才能做好各种预防检测工作，达到防患于未然。1.3多重保护原则任何安全措施

7、都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。1.4一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。1.5易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

8、1.6可扩展性原则由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此充分考虑系统的可扩展性，根据资金情况分步实施，既可满足网络系统及信息安全的基本需求，亦可节省费用开支。2.网络安全设计2.1 物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。2.2链路层，通过“桥”这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网。2.3网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之

9、直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。2.4操作系统层，要使用专业的网络操作系统windows server和linux操作系统。2.5应用层，实施原则要做到反病毒，反垃圾邮件，反恶意软件。3.网络安全策略3.1防火墙设计3.1.1防火墙作用 在外网中将珠江学院教务网与各建筑物网络以及上连互联网隔开，避免信息外泄。通过控制对关键服务器的授权访问控制，拦截非法访问对外网的服务请求加以过滤，只允许正常通讯的数据包到达相应主机，对于各攻击包和探测包一律加以拦截。对内部用户访问外网而引入的安全风险加以防范，加强内部用户的出网管理和审计

10、。控制和监测用户源服务器的访问，对于非授权访问和可疑存取及时报警。实现与入侵检测系统联动，拦截来自网络内外攻击及异常数据。3.1.2 防火墙智能防御体系（1）思科ASA5520-K8防火墙智能防御概述思科ASA5520-K8防火墙突破了传统的被动防御观念，从底层做起，自行研制开发出了一套全新的智能防御核心，它不仅能拦截目前的4000多种黑客攻击，对各种攻击和“变种攻击”也能自动制定防御策略进行有效防御，彻底解决了一般防火墙对新型攻击无法防御的问题。同时思科ASA5520-K8还具备有反端口扫描功能和高达168位的加密技术。（2）蓝盾防火墙智能防御核心蓝盾防火墙防火墙系统有一个独特的智能防御核心

11、，能自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接，保护内网所有服务器和主机的安全。对于变种DDOS攻击，蓝盾能启用智能防御模块，有效识别、防御。3.2入侵检测系统设计为了防范来自系统内部网络和外部网络击，作为防火墙的补充，建议系统内部网各重要网段配备入侵检测引擎，如在资源服务区和防火墙的内网端口和外网口，通过对网络行为的监视，来识别网络的入侵的行为，并进行预警和响应。3.2.1入侵检测系统作用在网络系统中安装蓝盾入侵检测系统，可以实现以下作用：实时监视网络上正在进行通信的数据流，分析网络通讯会话轨迹，反映出内、外网的联接状态。通过内置已知网络攻击模式数据库，

12、能够根据网络数据流和网络通讯的情况，查询网络事件，进行相应的响应。能根据所发生的网络安全事件，启用配置好的报警方式，比如Email、声音报警等；提供网络数据流量统计功能，能够记录网络通信的所有数据包，对统计结果提供数表与图形两种显示结果，为事后分析提供依据。默认预设了很多的网络安全事件，保障客户基本的安全需要；提供全面的内容恢复，支持多种常用协议。支持分布式结构，安装于大型网络的各个物理子网中，一台控制中心可管理多个引擎，达到分布安装，全网监控，集中管理。支持用户自定义检测规则，并可导入新的攻击模式库。三系统配置清单名 称型 号单价（元）数量总价（元）一、防火墙和入侵检测解决方案思科防火墙ASA5520-K837,6512台75,302蓝盾防火墙BDFW-GOV300065,0002台130，000蓝盾入侵检测BDNIDS-G400075,0001套75,000小计280，302（元）二、企业级瑞星防病毒解决方案（包含邮件防毒、杀毒产品）瑞星防病毒软件1系统中心n服务器端n个客户端1套750合 计281,052