網絡安全方案設計的幾點思考

【摘要】份好的網絡安全方案不僅要求技術好,而是要求技術面要廣、要綜合,本文就在網絡安全方案設計中要注意的問題和網絡安全方案質量評價的基本點作一個初步的探討。

【關鍵詞】網絡安全方案;風險;威脅;質量

1、前言

網絡安全安全方案涉及的內容比較多、比較廣、比較專業和實際。網絡安全方案就像一張施工的圖紙,圖紙的好壞直接影響工程的質量高低。下面討論一下網絡安全設計的注意點和質量。

2、 網絡安全方案設計的注意點

對于網絡安全人員來說,網絡有一個整體性、動態的安全。也就是在整個項目有一種總體的把握能力,不能只關注自己熟悉的某個領域,而要對其他的領域不關心,不理解,那么就寫不出一份好的安全方案。寫出來的方案要針對用戶所遇到的問題,運用技術和產品來解決問題。設計人員就只有對安全技術了解得很深,對產品了解得很深,設計出的方案才能接近用戶的要求。

好的安全方案應該考慮技術、策略和管理,技術是關鍵,策略是核心,管理是保證。在方案中始終要休現出這三個方面的關系。在網絡安全設計時,一定要了解用戶實際網絡系統環境,對可能遇到的安全風險和威脅進行量化和評估,這樣寫出的解決方案才客觀。設計網絡安全方案時,動態安全很重要,隨著環境的變化和時間的推移,系統的安全性也會發生變化,所有在設計時不僅要考慮現在的情況,還要考慮將來的情況,用一種動態的方式來考慮,做到項目實施既考慮到現在的情況,也能很好的適應以后網絡系統的升級,留一個較好的升級接口。

網絡沒有絕對安全,只有相對安全,在網絡安全方案設計時,必須清楚這點,客觀的來寫方案,不夸大也不縮小,寫得實實在在,讓人信服接受。由于時間和空間不斷發生作用,安全是沒有不變的,不管在設計還是在實施的時候,無論是想得多完善,做得多嚴密,都不能達到絕對的安全。所以安全方案中應該告訴用戶只能做到避免風險,清除風險的根源,降低風險所帶來的損失,而不能做到消除風險。

3、 評價網絡安全方案的質量

我們怎樣才能寫出高質量、高水平的的網絡安全方案呢?我們只有抓住重點,理解安全理念和安全過程,那么就基本可以做到了。一份好的安全方案我們需要從下面幾個方面來把握。

對安全技術和安全風險有一個綜合的把握和理解,包括現在的和將來可能出現的情況。

體現唯一性,由于安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標準。實際中,每一個特定網絡都是唯一的,需要根據實際情況處理。

對用戶的網絡系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一合適、中肯的評估。

對癥下藥,用相應的安全產品、安全技術和管理手段,降低用戶的網絡系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網絡系統抵抗風險和威脅的能力,增強系統本身的免疫力。

在設計方案時,要明白網絡系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。

方案出來后,要不斷與用戶進行溝通,能夠及時得到他們對網絡系統在安全方面的要求、期望和所遇到的問題。

方案中要體現出對用戶的服務支持,這是很重要的一部分。產品和技術,都將會體現在服務中,服務用來保證質量、提高質量。

方案中所涉及到和產品和技術,都要經得起驗證、推敲、實施,要有理論根據,要有實際基礎。

4、安全風險分析

主要實際安全風險一般從網絡的風險和威脅分析、系統風險和威脅分析、應用的風險和威脅分析、對網絡、系統和應用的風險及威脅的具體實際的詳細的分析。

網絡的風險和威脅分析:詳細分析用戶當前的的網絡結構,找出帶來安全問題的關鍵,并形成圖形化,指出風險和威脅所帶來的危害,對那些如果不消除風險和威脅,會起引什么樣的后果,要有一個中肯、詳細的分析和解決辦法。系統的風險和威脅分析:對用戶所有的系統都要進行一次詳細地評估,分析存在哪些風險和威脅,并根據與業務的關系,指出其中的厲害關系。要運用當前流行系統所面臨的安全風險和威脅,結合用戶的實際系統,給出一個中肯、客觀和實際的分析。應用的分析和威脅分析:應用的安全是企業的關鍵,也是安全方案中最終說服要保護的對象。同時由于應用的復雜性和關聯性,分析時要比較綜合。對網絡、系統和應用的風險及威脅的具體實際的詳細分析:幫助用戶找出其網絡系統中要保護的對象,幫助用戶分析網絡系統,幫助他們發現其網絡系統中存在的問題,以及采用哪些產品和技術來解決。

5、安全產品

常用的安全產品有:防火墻、防病毒、身份認證、傳輸加密和入侵檢測。結合用戶的網絡、系統和應用的實際情況,對安全產品和安全技術作比較和分析,分析要客觀、結果要中肯,幫助用戶選擇最能解決他們所遇到問題的產品,不要求新、求好和求大。

防火墻:對包過濾技術、代理技術和狀態檢測技術的防火墻,都做一個概括和比較,結合用戶網絡系統的特點,幫助用戶選擇一種安全產品,對于選擇的產品,一定要從中立的角度來說明。

防病毒:針對用戶的系統和應用的特點,對桌面防病毒、服務器防病毒和網關防病毒做一個概括和比較,詳細指出用戶必須如何做,否則就會帶來什么樣的安全威脅,一定要中肯、合適,不要夸大和縮小。

身份認證:從用戶的系統和用戶的認證的情況進行詳細的分析,指出網絡和應用本身的認證方法會出現哪些風險,結合相關的產品和技術,通過部署這些產品和采用相關的安全技術,能夠幫助用戶解決哪些用系統和應用的傳統認證方式所帶來的風險和威脅。

傳輸加密:要用加密技術來分析,指出明文傳輸的巨大危害,通過結合相關的加密產品和技術,能夠指出用戶的現有情況存在哪些危害和風險。

入侵檢測:對入侵檢測技術要有一個詳細的解釋,指出在用戶的網絡和系統部署了相關的產品之后,對現有的安全情況會產生一個怎樣的影響要有一個詳細的分析。結合相關的產品和技術,指出對用戶的系統和網絡會帶來哪些好處,指出為什么必須要這樣做,不這樣做會怎么樣,會帶來什么樣的后果。

結束語

一份好的網絡安全方案要求的是技術面要廣、要綜合,不僅只是技術好。總之,經過不斷的學習和經驗積

累,一定能寫出一份實用、中肯的網絡安全方案。

作者簡介:

孫飛艷(1979.12--),女,漢,湖南長沙人,講師,研究方向:計算機研究和教學