單元九

網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第1頁。任務(wù)一

了解網(wǎng)絡(luò)安全解決方案基本框架

任務(wù)描述小李是校園網(wǎng)的管理員，負(fù)責(zé)校園網(wǎng)的運(yùn)行維護(hù)。面對肆虐的病毒他建議購買網(wǎng)絡(luò)殺毒軟件，遇到黑客攻擊他建議安裝防火墻，即便如此仍然沒有解決內(nèi)網(wǎng)攻擊、信息泄露等等安全問題。如何建立一個合理、可行、安全、可靠的網(wǎng)絡(luò)安全保障體系，積極應(yīng)對網(wǎng)絡(luò)中的各種安全威脅，是小李急需解決的問題。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第2頁。任務(wù)分析安全保障體系建設(shè)是全面保護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)，制定合理、可行的建設(shè)方案則是重要的前提，而小李面臨的難題恰恰在最基礎(chǔ)的環(huán)節(jié)上，所以他的首要任務(wù)是弄清網(wǎng)絡(luò)安全解決方案包含哪些內(nèi)容、如何描述、方案的結(jié)構(gòu)形式如何等等，而這些問題都可以從實(shí)際案例中尋找到答案。因此，本學(xué)習(xí)任務(wù)可考慮分解成以下活動：網(wǎng)絡(luò)安全解決方案案例研討；了解網(wǎng)絡(luò)安全解決方案組成框架。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第3頁?；顒右?/p>

網(wǎng)絡(luò)安全解決方案案例研討

1.網(wǎng)絡(luò)安全解決方案案例展示案例1：某基層單位信息網(wǎng)絡(luò)系統(tǒng)安全解決方案（部分內(nèi)容有刪減）思考：該網(wǎng)絡(luò)安全解決方案分了幾個層次？案例2：某部委網(wǎng)絡(luò)安全保障建設(shè)方案（部分內(nèi)容有刪減）思考：兩個案例方案有什么差別？網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第4頁。2.網(wǎng)絡(luò)安全解決方案案例收集學(xué)生自主分組并充分利用網(wǎng)絡(luò)資源進(jìn)行網(wǎng)絡(luò)安全解決方案案例收集，小組活動結(jié)束后應(yīng)形成以下成果：（1）收集到若干個網(wǎng)絡(luò)安全解決方案的真實(shí)案例。（2）一份簡單的案例分析報(bào)告。（3）簡短的小組活動總結(jié)。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第5頁。3.網(wǎng)絡(luò)安全解決方案案例討論討論可以圍繞以下問題展開：（1）網(wǎng)絡(luò)安全解決方案包含哪些內(nèi)容？（2）如何提出網(wǎng)絡(luò)安全需求？（3）制定網(wǎng)絡(luò)安全解決方案的原則有哪些？（4）為什么網(wǎng)絡(luò)安全解決方案中包含管理內(nèi)容？網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第6頁?；顒佣?/p>

了解網(wǎng)絡(luò)安全解決方案組成框架

1.網(wǎng)絡(luò)安全解決方案完整內(nèi)容僅從技術(shù)層面考慮，一個完整的網(wǎng)絡(luò)安全解決方案至少應(yīng)包括以下內(nèi)容。（1）網(wǎng)絡(luò)安全需求（2）網(wǎng)絡(luò)安全建設(shè)目標(biāo)（3）網(wǎng)絡(luò)安全建設(shè)原則（4）網(wǎng)絡(luò)安全策略（5）安全設(shè)備選型（6）設(shè)備安裝與配置（7）設(shè)備運(yùn)行測試網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第7頁。2.網(wǎng)絡(luò)安全解決方案組成內(nèi)容的討論討論可以圍繞以下問題展開：（1）網(wǎng)絡(luò)安全解決方案的重點(diǎn)內(nèi)容是什么？（2）為什么沒有列出管理方面的內(nèi)容？（3）網(wǎng)絡(luò)安全解決方案文檔中的各項(xiàng)如何表示更好？（4）網(wǎng)絡(luò)安全解決方案文檔中的各項(xiàng)間存在何種關(guān)系？網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第8頁。任務(wù)小結(jié)

通過對實(shí)際網(wǎng)絡(luò)安全解決方案案例的學(xué)習(xí)、討論，可以對網(wǎng)絡(luò)安全解決方案的內(nèi)容、形式、表述方法有初步認(rèn)識。網(wǎng)絡(luò)安全解決方案是網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全問題統(tǒng)籌解決的最佳策略，也是網(wǎng)絡(luò)安全技術(shù)的綜合應(yīng)用。一個完備的安全解決方案應(yīng)包括技術(shù)和管理兩個層面，技術(shù)是保障安全的基礎(chǔ)，管理是保證安全技術(shù)發(fā)揮作用的前提，兩者不能偏廢。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第9頁。任務(wù)二

制定網(wǎng)絡(luò)安全解決方案

任務(wù)描述在了解了網(wǎng)絡(luò)安全整體解決方案所包含的基本內(nèi)容后，小李決定嘗試著制定校園網(wǎng)安全保障建設(shè)方案，全面解決一直困擾自己的校園網(wǎng)安全問題。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第10頁。任務(wù)分析要制定一套切實(shí)可行的網(wǎng)絡(luò)安全解決方案，必須了解網(wǎng)絡(luò)的用途、結(jié)構(gòu)和存在的安全問題，然后才可能有針對性的提出解決策略。因此，本任務(wù)可以分解成以下活動：設(shè)計(jì)網(wǎng)絡(luò)安全策略；制定網(wǎng)絡(luò)安全解決方案。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第11頁?；顒右?/p>

設(shè)計(jì)網(wǎng)絡(luò)安全策略

1.什么是安全策略安全策略是一種處理安全問題的管理策略的描述。策略能對某個安全主題進(jìn)行描繪，說明其必要性和重要性，解釋清楚什么該做什么不該做。一般來說，策略包括兩個部分：總體策略和具體策略。總體策略用于闡明網(wǎng)絡(luò)安全政策的總體思想，而具體策略用于說明什么活動是允許的，什么活動是被禁止的。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第12頁。2.網(wǎng)絡(luò)安全策略的組成（1）物理安全策略（2）訪問控制策略①入網(wǎng)訪問控制

②網(wǎng)絡(luò)的權(quán)限控③目錄級安全控制④屬性安全控制⑤網(wǎng)絡(luò)服務(wù)器安全控制⑥網(wǎng)絡(luò)監(jiān)測和鎖定控制⑦網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制⑧網(wǎng)絡(luò)防火墻（3）信息加密策略（4）網(wǎng)絡(luò)安全管理策略

網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第13頁。3.網(wǎng)絡(luò)安全策略設(shè)計(jì)依據(jù)在制定網(wǎng)絡(luò)安全策略時應(yīng)當(dāng)充分考慮如下因素：對于內(nèi)部用戶和外部用戶分別提供哪些服務(wù)程序；初始投資額和后續(xù)投資額（新的硬件、軟件及工作人員）；方便程度和服務(wù)效率；復(fù)雜程度和安全等級平衡；網(wǎng)絡(luò)性能。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第14頁。4.安全策略的設(shè)計(jì)與開發(fā)

通過4個步驟可以完成一個企業(yè)范圍內(nèi)的安全策略，它們分別是：基本系統(tǒng)結(jié)構(gòu)信息的收集、現(xiàn)有策略/流程的檢查、對保護(hù)要求進(jìn)行評估、文檔設(shè)計(jì)。（1）基本系統(tǒng)結(jié)構(gòu)信息的收集（2）現(xiàn)有策略/流程的檢查（3）保護(hù)需求評估（4）文檔設(shè)計(jì)網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第15頁。5.策略描述的分類策略描述可以組合為不同的安全類型。（1）企業(yè)安全策略（2）信息安全策略是指所有主要信息財(cái)產(chǎn)應(yīng)該有一個所有人，所有人把信息分為敏感級別或其他級別。級別的劃分依靠合法的職責(zé)、費(fèi)用、合作策略和企業(yè)需要，所有人有責(zé)任保護(hù)這些信息并且有權(quán)決定什么人能夠使用這些數(shù)據(jù)信息。企業(yè)安全策略是通過相關(guān)規(guī)則對企業(yè)數(shù)據(jù)和實(shí)施過程進(jìn)行保護(hù)，規(guī)則符合所涉及的安全威脅、風(fēng)險(xiǎn)和信息價(jià)值。一個企業(yè)通常由不同的部門或商業(yè)單元組成，每個部門或單元應(yīng)該負(fù)責(zé)規(guī)劃好自己的安全策略。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第16頁。6.網(wǎng)絡(luò)安全策略的討論討論可以圍繞以下問題展開：（1）網(wǎng)絡(luò)安全策略包含哪些內(nèi)容？（2）制定網(wǎng)絡(luò)安全策略的基本依據(jù)是什么？（3）如何保證網(wǎng)絡(luò)安全策略滿足應(yīng)用需求？（4）制定網(wǎng)絡(luò)安全策略的目的是什么？網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第17頁?；顒佣?/p>

制定網(wǎng)絡(luò)安全解決方案

1.網(wǎng)絡(luò)安全需求及風(fēng)險(xiǎn)分析（1）網(wǎng)絡(luò)安全需求調(diào)查

了解網(wǎng)絡(luò)安全需求最簡單、最直接的方法是制作網(wǎng)絡(luò)安全需求調(diào)查表，讓網(wǎng)絡(luò)應(yīng)用者填寫，然后根據(jù)表格信息提取用戶需求。（2）風(fēng)險(xiǎn)分析從調(diào)查表中提取經(jīng)用戶確認(rèn)的信息，并以準(zhǔn)確的語言分層描述網(wǎng)絡(luò)安全的基本需求。針對用戶的安全需求和實(shí)際應(yīng)用狀況分別進(jìn)行風(fēng)險(xiǎn)分析，區(qū)分安全防護(hù)的主次順序，為實(shí)施安全防護(hù)做好基礎(chǔ)準(zhǔn)備。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第18頁。2.網(wǎng)絡(luò)安全控制方案網(wǎng)絡(luò)安全控制可以分階段實(shí)施，常見的過程控制方案如下：網(wǎng)絡(luò)安全=事前檢查+事中防護(hù)、監(jiān)測、控制+事后取證事前階段：以安全實(shí)施進(jìn)程分隔，該階段指系統(tǒng)正常運(yùn)行到發(fā)生安全事故前的階段。事中階段。以安全實(shí)施進(jìn)程分隔，該階段指系統(tǒng)安全事故正在發(fā)生中的階段。事后階段。以安全實(shí)施進(jìn)程分隔，該階段指系統(tǒng)安全事故得到有效控制之后的階段。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第19頁。3.網(wǎng)絡(luò)安全解決方案設(shè)計(jì)準(zhǔn)則（1）網(wǎng)絡(luò)信息安全的木桶原則（2）網(wǎng)絡(luò)信息安全的整體性原則（3）安全性評價(jià)與平衡原則（4）標(biāo)準(zhǔn)化與一致性原則（5）技術(shù)與管理相結(jié)合原則（6）統(tǒng)籌規(guī)劃，分步實(shí)施原則（7）等級性原則（8）動態(tài)發(fā)展原則（9）易操作性原則網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第20頁。4.制定網(wǎng)絡(luò)安全解決方案的討論討論可以圍繞以下問題展開：（1）如何獲取網(wǎng)絡(luò)安全需求？（2）是否在網(wǎng)絡(luò)安全解決方案中都包含事前、事中、事后控制策略？（3）分步實(shí)施與動態(tài)發(fā)展對安全解決方案的要求是否一樣？（4）如何把握安全與應(yīng)用的平衡？網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第21頁。任務(wù)小結(jié)

制定網(wǎng)絡(luò)安全解決方案需要了解網(wǎng)絡(luò)中存在的各種安全問題，更需要熟悉各種安全技術(shù)和安全設(shè)備的功能和作用。網(wǎng)絡(luò)安全問題可以通過調(diào)查、分析、測試等方法獲取，若問題太多、太大，則需要分解并區(qū)分輕重緩急逐步解決。安全策略是解決具體安全問題的方法和措施，也是制定網(wǎng)絡(luò)安全解決方案的關(guān)鍵環(huán)節(jié)，網(wǎng)絡(luò)安全策略設(shè)計(jì)的全面、恰當(dāng)，可以提高防護(hù)對象的安全性，也可以提高具體工作時的可操作性。制定網(wǎng)絡(luò)安全解決方案時，應(yīng)盡量遵循木桶理論、整體性、平衡等原則，最大限度提升安全解決方案的防護(hù)能力。網(wǎng)絡(luò)安全解決方案全文共23頁，當(dāng)前為第22頁。單元小結(jié)

網(wǎng)絡(luò)安全保障體系建設(shè)包含兩個階段的工作，第一階段就是制定符合信息網(wǎng)絡(luò)系統(tǒng)安全需要的網(wǎng)絡(luò)安全解決方案，第二階段才是根據(jù)安全解決方案的規(guī)劃和要求進(jìn)行安全建設(shè)。本單元重點(diǎn)講解了第一階段網(wǎng)絡(luò)安全解決方案設(shè)計(jì)的工作要點(diǎn)，