安全管理体系(八)

8、系统信息安全的解决方案

　　 基于应用系统的特性和客观条件的限制，网络应用系统的安全解决方案应统一规划并有所重点。

　　 计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。 以该思想为出发点，可以提出以下网络信息安全解决方案。

8.1 链路安全解决方案

8.1.1 用户需求
1) 链路加密
2) 防信息泄漏
3) 对用户透明
4) 设备自身安全管理

8.1.2 解决方案
1) 异步线路密码机（适用于电话网）
2) 同步线路密码机（适用于DDN专线、X.25专线、卫星线路）

8.2 网络基本安全防护体系

8.2.1 用户需求

全部或部分满足以下各项：
1) 解决内外网络边界安全，防止外部攻击，保护内部网络
2) 解决内部网安全问题，隔离内部不同网段，建立VLAN
3) 根据IP地址、协议类型、端口进行过滤
4) 内外网络采用两套IP地址，需要网络地址转换NAT功能
5) 支持安全服务器网络SSN
6) 通过IP地址与MAC地址对应防止IP欺骗
7) 基于IP地址计费
8) 基于IP地址的流量统计与限制
9) 基于IP地址的黑白名单。
10) 防火墙运行在安全操作系统之上
11) 防火墙为独立硬件
12) 防火墙无IP地址 即：包过滤防火墙＋NAT＋计费 8.2.2 解决方案 网络卫士防火墙NG FW-2000。

8.3 网络标准安全防护体系

8.3.1 用户需求

在基本防护体系配置的基础之上，全部或部分满足以下各项：
1) 提供应用代理服务，隔离内外网络
2) 用户身份鉴别
3) 权限控制
4) 基于用户计费
5) 基于用户的流量统计与控制
6) 基于WEB的安全管理
7) 支持VPN及其管理
8) 支持透明接入
9) 具有自身保护能力，防范对防火墙的常见攻击 即：包过滤＋NAT＋计费＋代理＋VPN

8.3.2 解决方案
1) 网络卫士防火墙NG FW-3000
2) 网络加密机（IP协议加密机）

8.4 网络标准强化防护体系

8.4.1 用户需求 在标准防护体系配置的基础之上，全部或部分满足以下各项
1) 网络安全性检测（包括服务器、防火墙、主机及其它TCP/IP相关设备）
2) 操作系统安全性检测
3) 网络监控与入侵检测 即：包过滤＋NAT＋计费＋代理＋VPN＋网络安全检测＋监控

8.4.2 解决方案
1) 网络卫士防火墙NG FW3000
2) 网络安全分析系统
3) 网络监控器

 <<< 上一页