【正文】 ....................................... 6 系統(tǒng)單元維 ................................................................................................ 6 安全技術(shù)體系的理解及實(shí)踐 ............................................................................ 6 安全體系的理解 ........................................................................................ 6 構(gòu)建安全系統(tǒng)的基本目標(biāo) ........................................................................ 7 網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)實(shí)施 ........................................................................ 7 2 應(yīng)用需求分析 .......................................................................................................... 9 網(wǎng)絡(luò)基礎(chǔ)層安全需求分析 ................................................................................ 9 Inter 連接安全保護(hù) .................................................................................. 9 廣域網(wǎng)連接的安全保護(hù) ............................................................................ 9 虛擬連接廣域網(wǎng)的安全保護(hù) .................................................................. 11 其他安全保護(hù)輔助措施 .......................................................................... 11 系統(tǒng)安全需求分析 .......................................................................................... 12 應(yīng)用安全管理需求分 析 .................................................................................. 12 主機(jī)系統(tǒng) .................................................................................................. 12 網(wǎng)絡(luò)設(shè)備安全管理 .................................................................................. 12 移動(dòng)用戶的訪問控制訪問 ...................................................................... 13 VPN 上的認(rèn)證 ............................................................................................. 13 應(yīng)用層安全保護(hù) ...................................................................................... 13 應(yīng)用對安全系統(tǒng)的要求分析 .......................................................................... 14 網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明 .......................................................... 14 面向應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計(jì)要求 .................................................. 15 3 安全系統(tǒng)實(shí)現(xiàn)目標(biāo) ................................................................................................ 16 網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo) ...................................................................... 16 Inter 及 Extra 進(jìn)出口控制 ................................................................ 16 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 3 VPN 應(yīng)用 ..................................................................................................... 16 防火墻系統(tǒng)的功能實(shí)現(xiàn)要求總結(jié) .......................................................... 17 應(yīng)用輔助安全系統(tǒng)的建設(shè)目標(biāo) ...................................................................... 17 4 網(wǎng)絡(luò)安全系統(tǒng)的實(shí)施建議 ................................................................................... 19 系統(tǒng)設(shè)計(jì)的基本原則 ...................................................................................... 19 安全系統(tǒng)實(shí)施步驟建議 .................................................................................. 19 防火墻系統(tǒng)實(shí)施建議 ...................................................................................... 20 Inter 進(jìn)出口控制 .................................................................................... 20 廣域網(wǎng)進(jìn)出口控制 .................................................................................. 22 虛擬連接廣域網(wǎng)出入口控制 .................................................................. 24 VPN 系統(tǒng)設(shè)計(jì) ................................................................................................. 25 廣域網(wǎng)鏈路加密 ...................................................................................... 25 虛擬連接組網(wǎng)建議 .................................................................................. 26 虛擬連接通信加密 .................................................................................. 28 防火墻系統(tǒng)集中管理 ...................................................................................... 28 防火墻選型設(shè)計(jì)說明 ...................................................................................... 28 評價(jià)防火墻產(chǎn)品的基本要素 .................................................................. 29 評價(jià)防火墻的一般方法 .......................................................................... 29 幾種流行防火墻產(chǎn)品的比較 .................................................................. 30 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 4 1 概述 建設(shè)功能強(qiáng)大和安全可靠的網(wǎng)絡(luò)化信息管理系 統(tǒng)是企業(yè)實(shí)現(xiàn)現(xiàn)代化管理的必要手段。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡(luò)系統(tǒng)是本建 議書的目的。 企業(yè)建立網(wǎng)絡(luò)安全系統(tǒng)的必要性 毫無疑問，不需要任何形式的“說教”，在信 息和網(wǎng)絡(luò)被廣泛應(yīng)用的今天，任何一個(gè)網(wǎng)絡(luò)管理或使用者都非常清楚，所有被使用 的計(jì)算機(jī)網(wǎng)絡(luò)都必然存在被有意或無意的攻擊和破壞之風(fēng)險(xiǎn)。對 于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明 和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò) 系統(tǒng)，更加具有現(xiàn)實(shí)和長遠(yuǎn)的商業(yè)價(jià)值。 安全建議書的設(shè)計(jì)原則 網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。 在設(shè)計(jì)企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則： 體系化設(shè)計(jì)原則 通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。本建議書將考慮到各種安全措施的使用。安全需要付出代價(jià)（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 5 代價(jià)的安全建議書都是不切實(shí)際的。 可行性、可靠性、安全性 作為一個(gè)工程項(xiàng)目，可行性是設(shè)計(jì)企業(yè)安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺的暢通；可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運(yùn)行的保證；而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。 為了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)安全系統(tǒng)涉及的各種安全問題，網(wǎng)絡(luò)安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導(dǎo)安全系統(tǒng)總體設(shè)計(jì)的三維安全體系（見圖 11），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。具體如下： 身份認(rèn)證，用于確認(rèn)所聲明的身份的有效性； 協(xié)議 層次安 全 管 理安 全管 理認(rèn)證訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密抗抵賴審計(jì)可用性安全 服務(wù)通 信 平 臺網(wǎng) 絡(luò) 平 臺系 統(tǒng) 平 臺應(yīng) 用 平 臺物 理 環(huán) 境安理管全層用應(yīng)傳層層層層鏈絡(luò)網(wǎng)輸理物路系統(tǒng) 單元企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 6 訪問控制，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源； 數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時(shí)加密，防止數(shù)據(jù)竊取、竊聽； 數(shù)據(jù)完整，防止數(shù)據(jù)篡改； 不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認(rèn)曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認(rèn)； 審計(jì)管理，設(shè)置審計(jì)記錄措施，分析審計(jì)記錄； 可用性、可靠性，在系統(tǒng)降級或受到破壞時(shí)能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。與 TCP/IP 層次對應(yīng)，可以把會話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。 通信平臺，信息網(wǎng)絡(luò)的通信平臺； 網(wǎng)絡(luò)平臺，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)； 系統(tǒng)平臺，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺； 應(yīng)用平臺，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運(yùn)行平臺； 物理環(huán)境，信息網(wǎng)絡(luò)運(yùn)行的物理環(huán)境及人員管理。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個(gè)協(xié)議層次提供的各種 安全服務(wù)。對于上圖的理解，不妨簡單說明如下： 安全服務(wù)維是網(wǎng)絡(luò)安全系統(tǒng)所提供可實(shí)現(xiàn)的全部