网络安全规划有那些

网络安全的实质就是安全立法、安全管理和安全技术的综合实施。这三个层次体现了安全策略的限制、监视和保障职能。根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,在网络安全方案整体规划中应遵循下列十大原则。

网络安全方案设计原则 网络安全设计原则有哪些网络安全方案设计原则 网络安全设计原则有哪些


网络安全方案设计原则 网络安全设计原则有哪些


网络安全方案设计原则 网络安全设计原则有哪些


(1)整体性原则。

(2)均衡性原则。

(3)有效性与实用性原则。

(4)等级性原则。

(5)易作性原则。

(6)技术与管理相结合原则。

(7)统筹规划,分步实施原则。

(8)动态化原则。

(9)可评价性原则。

(10)多重保护原则。

总之,在进行计算机网络工程系统安全规划与设计时,重点是网络安全策略的制定,保证系统的安全性和可用性,同时要考虑系统的扩展和升级能力,并兼顾系统的可管理性等。

网络方案设计过程主要分哪几个步骤

首先强调网络安全的重要性 立足自己的产品 如果是防当然就是强调木危害 如果是安全 则着重于攻击或黑客带来的隐患

其次是分析对方的拓扑图 这是关键的 除了清楚的让客户认识到自己网络中的隐患外 还能告诉对方需要在什么地方做改动

之后就是介绍自己的产品 或者公司资质等等

后可以举出一些成功案例还有售后服务之类

当然 不能忘记报价

如何保证系统的安全性

校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。 一、网络信息安全系统设计原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的问题,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于作、维护,并便于自动化管理,而不增加或少增加附加作; (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为实施安全管理。 --级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的;内部网传输数据的备份与稽查。 --第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 --第:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 需求、风险、代价平衡的原则对任一网络,安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。 可用性原则安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。 分步实施原则:分级管理分步实施由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。 二、网络信息安全系统设计步骤 网络安全需求分析 确立合理的目标基线和安全策略 明确准备付出的代价 制定可行的技术方案 工程实施方案(产品的选购与定制) 制定配套的法规、条例和管理办法 本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。 三、网络安全需求 确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题: 局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现 在连接Internet时,如何在网络层实现安全性 应用系统如何保证安全性l如何防止黑客对网络、主机、等的入侵 如何实现广域网信息传输的性 加密系统如何布置,包括建立证书管理中心、应用系统集成加密等 如何实现远程访问的安全性 如何评价网络系统的整体安全性 基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击、加密通信、认证、隐藏网络内部信息(如NAT)等。

网络安全方案框架编写时需要注意什么?

可以从层次性、完整性、均衡性、扩展性、实际性等方面进行考虑。比如层次性,从物理层到应用层的安全性考虑;完整性是防止设计中的遗漏,网络安全遵循木桶原理(安全性级别取决于整个环节中安全性的那一部分);均衡性是考虑到安全性提高可能带来的负载增大,导致瓶颈出现的问题,比如防火墙的负载均衡,同时避免头重脚轻的设计;扩展性是考虑未来的发展,为系统整体升级预留接口、扩展余地等;实际性是结合需求和费用切实按照需求来进行,尽量避免不必要的部分设计和投入。

实际在编写时还需要考虑的方面很多,如技术的比选,稳定性和先进性的权衡,一般方案至少有2套备选,除了预防人为的破坏,还应包含对自然灾害和设备物理故障的预防。

以上是个人的一点看法,抛砖引玉,希望能给楼主一点参考。

设计网络安全方案时需要注意哪些地方?

一份网络安全方案需要从以下8个方面来把握。

(1)体现性,由于安全的复杂性和特殊性,性是评估安全方案重要的一个标准。实际中,每一个特定网络都是的,需要根据实际情况来处理。

(2)对安全技术和安全风险有一个综合把握和理解,包括可能出现的所有情况。

(3)对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适、中肯的评估,不能夸大,也不能缩小。

(4)对症下,用相应的安全产品、安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力。

(5)方案中要体现出对用户的服务支持。

(6)在设计方案的时候,要明白网络系统安全是一个动态的、整体的、专业的工程,不能一步到位解决用户所有的问题。

(7)方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。

(8)方案中所涉及的产品和技术,都要经得起验证、推敲和实施,要有理论根据,也要有实际基础。

简述网络安全策略的概念及制定安全策略的原则

网络的安全策略1.引言

随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

2.计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:

(1)人为的无意失误:如作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

(2)人为的恶意攻击:这是计算机网络所面临的威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。

(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的目标,曾经出现过的黑客攻入网络内部的,这些的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。

3.计算机网络的安全策略

3.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.2 访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全重要的核心策略之一。下面我们分述各种访问控制策略。 3.2.1 入网访问控制

入网访问控制为网络访问提供了层访问控制。它控制哪些用户能够登录到并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的道防线。用户注册时首先输入用户名和口令,将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。

网络应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中基本的安全形式。用户帐号应只有系统才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统应该可以控制口令的以下几个方面的限制:小口令长度、强制修改口令的时间间隔、口令的性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。

3.2.2 网络的权限控制

网络的权限控制是针对网络非法作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统);(2)一般用户,系统根据他们的实际需要为他们分配作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3.2.3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统应当为用户指定适当的访问权限,这些访问权限控制着用户对的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对资源的访问 ,从而加强了网络和的安全性。

3.2.4 属性安全控制

当用文件、目录和网络设备时,网络系统应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、、执行修改、显示等。

3.2.5 网络安全控制

网络允许在控制台上执行一系列作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等作。网络的安全控制包括可以设置口令锁定控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定登录时间限制、非法访问者检测和关闭的时间间隔。

3.2.6 网络监测和锁定控制

网络应对网络实施,应记录用户对网络资源的访问,对非法的网络访问,应以图形或文字或声音等形式报警,以引起网络的注意。如果不法之徒试图进入网络,网络应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。

3.2.7 网络端口和的安全控制

网络中的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别的身份。自动回呼设备用于防止冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和端再进行相互验证。

3.2.8 防火墙控制

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;

(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。

(2)防火墙:防火墙又称应用层级防火墙,它由和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给。起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的软件是WinGate和Proxy 。

(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。

4.信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和加密三种。链路加密的目的是保护网络之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;加密的目的是对源到目的之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形 的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响的是DES密码。

常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。

在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Sha、零知识证明的算法、椭园曲线、EIGamal算法等等。有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。 密码技术是网络安全有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线和入网,而且也是对付恶意软件的有效方法之一。

5. 网络安全管理策略

在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。

网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

6. 结束语

随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。