网络安全设计

【摘要】全网系统基础设施安全就是网络平台全部子系统的安全，通过对全网系统网络平台进行统一的管理，控制边界安全，对网络环境进行安全审计来完善网络安全系统。

【关键词】网络安全边界

一、基础设施安全

全网系统基础设施安全就是网络平台全部子系统的安全。为确保全网系统网络平台的长期稳定运行，建议部署网络管理系统，对整全网系统网络平台进行统一的管理。同时需要对网络设备进行安全配置。

1.1网络管理中心

为了全网系统网络在日常维护和处理事件时能做到全面、直观、及时。能够对网络进行统一的管理，需要有一个统一的网络安全管理平台，能够内嵌和调用相关产品的监管系统，通过远程对不同设备进行实时监控和分析，监控这些设备的硬件状态、网络流量、异常、故障等状态信息，并提取这些信息，按既定的策略进行分析，最终以直观的方式展示出来，使管理者实时直观的了解全网运行情况。同时还可以设定相关的报警功能，设定一定的策略，当出发策略被激活后自动以各种方式进行报警，并及时自动通知和提示管理者的问题所在及相应的决策支持信息。

一套完全集成的、能够支持多平台基础结构、能够容纳第三方产品并且提供开放标准的管理工具是网络监管所必须的。目前流行的网管平台有两种类型，即基于SNMP的网管平台和基于CMIP的网管平台，其中前者主要用于计算机网络和系统的管理，后者用于电信网络的管理。

1.2核心入侵检测

由于全网上传输的信息数据量大，带宽要求高，同时对各级核心IDS的性能和稳定要求也非常的高，所以对于IDS检测引擎要求必须选型为千兆的高速引擎，并且部署方式为分布式，支持IDS管理中心的统一管理。通过采用千兆的核心IDS系统，可以在漏报率极低的情况下进行实时检测，保证全网系统各级中心主干网的安全。各级核心IDS的部署是保证全网系统的基础网络安全的基本监控措施。

二、全网边界安全

边界安全措施是任何一个信息系统的基本安全措施，也是保障全网系统安全的第一步。全网系统的边界安全措施主要包括三个方面：边界的定义、边界的隔离和访问控制、边界的入侵检测。

2.1边界定义

安全访问控制的前提是必须合理的建立安全域，根据不同的安全需求建立不同的安全域。安全域的建立可以从物理上和逻辑上分别划分安全域。在物理上将信息系统从地域上独立出来，划分不同物理区域。在逻辑上将信息系统或用户分组，指定不同的访问权限。

安全域边界定义对目前及日后全网系统的安全运行都是非常重要的因素，同时也是建立全网系统等级保护安全保障体系的基础措施。只有合理的划分了安全域，才能有效的采取系统分域技术手段保证全网系统的安全。

2.2边界隔离和访问控制

安全域定义完成后，就是如何设计各安全域间的边界控制问题。一般对于边界的控制主要有两种，物理隔离和逻辑隔离。针对全网的信息交换需求，安全域间通过防火墙实现边界隔离。这是用在信任网络和不信任网络之间的一种访问控制技术，主要有应用、包过滤两种形式的防火墙设备。

利用防火墙的目的主要有两个：一是控制全网系统各级网络用户之间的相互访问，规划网络的信息流向，另一个目的是起到一定的隔离作用，一旦某一子网发生安全事故，避免波及其他子网。

2.3边界入侵行为检测

由于我国信息化起步较晚，在网络安全概念里，许多人都认为网络安全就是为网络增配配防火墙，至今许多单位依然是这样实施的。这种想法是不全面的，防火墙的部署，仅能在网络边界起到安全作用，防火墙是主要是为了防止网络外部的入侵，等同于网络的第一道关卡。只能阻止来自外部的部分通用型攻击；不能对内部进行防范，而堡垒往往是从内部攻破的，而这去正好是防火墙的盲区。这就需要有专用设备弥补不足，在全网的关键位置部署入侵防御系统（IPS），对所有通过的数据进行监控和分析，为网络安全提供既时有效的入侵防范，并采取有针对性的有效防护手段。

三、网络环境安全审计

全网系统的安全审计功能，主要通过建立安全审计管理平台实现，这包括：网络运营维护、数据业务及全网数据中心等的相关审计。根据审计需要，部署于全网系统的各个重要控制点收集数据，提供审计数据的记录，上报安全审计系统数据中心，通过安全审计系统数据中心实现审计数据的分析和评估。将满足从审计自动响应、审计数据产生、审计分析、审计查阅、审计事件选择、审计事件存储、网络环境审计等各方面的要求。