網絡安全設計

【摘要】全網系統基礎設施安全就是網絡平臺全部子系統的安全，通過對全網系統網絡平臺進行統一的管理，控制邊界安全，對網絡環境進行安全審計來完善網絡安全系統。

【關鍵詞】網絡安全邊界

一、基礎設施安全

全網系統基礎設施安全就是網絡平臺全部子系統的安全。為確保全網系統網絡平臺的長期穩定運行，建議部署網絡管理系統，對整全網系統網絡平臺進行統一的管理。同時需要對網絡設備進行安全配置。

1.1網絡管理中心

為了全網系統網絡在日常維護和處理事件時能做到全面、直觀、及時。能夠對網絡進行統一的管理，需要有一個統一的網絡安全管理平臺，能夠內嵌和調用相關產品的監管系統，通過遠程對不同設備進行實時監控和分析，監控這些設備的硬件狀態、網絡流量、異常、故障等狀態信息，并提取這些信息，按既定的策略進行分析，最終以直觀的方式展示出來，使管理者實時直觀的了解全網運行情況。同時還可以設定相關的報警功能，設定一定的策略，當出發策略被激活后自動以各種方式進行報警，并及時自動通知和提示管理者的問題所在及相應的決策支持信息。

一套完全集成的、能夠支持多平臺基礎結構、能夠容納第三方產品并且提供開放標準的管理工具是網絡監管所必須的。目前流行的網管平臺有兩種類型，即基于SNMP的網管平臺和基于CMIP的網管平臺，其中前者主要用于計算機網絡和系統的管理，后者用于電信網絡的管理。

1.2核心入侵檢測

由于全網上傳輸的信息數據量大，帶寬要求高，同時對各級核心IDS的性能和穩定要求也非常的高，所以對于IDS檢測引擎要求必須選型為千兆的高速引擎，并且部署方式為分布式，支持IDS管理中心的統一管理。通過采用千兆的核心IDS系統，可以在漏報率極低的情況下進行實時檢測，保證全網系統各級中心主干網的安全。各級核心IDS的部署是保證全網系統的基礎網絡安全的基本監控措施。

二、全網邊界安全

邊界安全措施是任何一個信息系統的基本安全措施，也是保障全網系統安全的第一步。全網系統的邊界安全措施主要包括三個方面：邊界的定義、邊界的隔離和訪問控制、邊界的入侵檢測。

2.1邊界定義

安全訪問控制的前提是必須合理的建立安全域，根據不同的安全需求建立不同的安全域。安全域的建立可以從物理上和邏輯上分別劃分安全域。在物理上將信息系統從地域上獨立出來，劃分不同物理區域。在邏輯上將信息系統或用戶分組，指定不同的訪問權限。

安全域邊界定義對目前及日后全網系統的安全運行都是非常重要的因素，同時也是建立全網系統等級保護安全保障體系的基礎措施。只有合理的劃分了安全域，才能有效的采取系統分域技術手段保證全網系統的安全。

2.2邊界隔離和訪問控制

安全域定義完成后，就是如何設計各安全域間的邊界控制問題。一般對于邊界的控制主要有兩種，物理隔離和邏輯隔離。針對全網的信息交換需求，安全域間通過防火墻實現邊界隔離。這是用在信任網絡和不信任網絡之間的一種訪問控制技術，主要有應用代理、包過濾兩種形式的防火墻設備。

利用防火墻的目的主要有兩個：一是控制全網系統各級網絡用戶之間的相互訪問，規劃網絡的信息流向，另一個目的是起到一定的隔離作用，一旦某一子網發生安全事故，避免波及其他子網。

2.3邊界入侵行為檢測

由于我國信息化起步較晚，在網絡安全概念里，許多人都認為網絡安全就是為網絡增配配防火墻，至今許多單位依然是這樣實施的。這種想法是不全面的，防火墻的部署，僅能在網絡邊界起到安全作用，防火墻是主要是為了防止網絡外部的入侵，等同于網絡的第一道關卡。只能阻止來自外部的部分通用型攻擊；不能對內部進行防范，而堡壘往往是從內部攻破的，而這去正好是防火墻的盲區。這就需要有專用設備彌補不足，在全網的關鍵位置部署入侵防御系統（IPS），對所有通過的數據進行監控和分析，為網絡安全提供既時有效的入侵防范，并采取有針對性的有效防護手段。

三、網絡環境安全審計

全網系統的安全審計功能，主要通過建立安全審計管理平臺實現，這包括：網絡運營維護、數據業務及全網數據中心等的相關審計。根據審計需要，部署于全網系統的各個重要控制點收集數據，提供審計數據的記錄，上報安全審計系統數據中心，通過安全審計系統數據中心實現審計數據的分析和評估。將滿足從審計自動響應、審計數據產生、審計分析、審計查閱、審計事件選擇、審計事件存儲、網絡環境審計等各方面的要求。