政府網路安全方案的設計

❶ 網路安全方案設計的原則有哪些試簡要說明。 什麼樣的系統是安全操作系統其有哪些特徵

隨著計算機及網路技術與應用的不斷發展，伴隨而來的計算機系統安全問題越來越引起人們的關注。計算機系統一旦遭受破壞，將給使用單位造成重大經濟損失，並嚴重影響正常工作的順利開展。加強計算機系統安全工作，是信息化建設工作的重要工作內容之一。

一、計算機系統面臨的安全問題

目前，廣域網應用已遍全省各級地稅系統。廣域網覆蓋地域廣、用戶多、資源共享程度高，所面臨的威脅和攻擊是錯綜復雜的，歸結起來主要有物理安全問題、操作系統的安全問題、應用程序安全問題、網路協議的安全問題。

（一）物理安全問題網路安全首先要保障網路上信息的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的信息安全保護。目前常見的不安全因素（安全威脅或安全風險）包括三大類：

1.自然災害（如雷電、地震、火災、水災等），物理損壞（如硬碟損壞、設備使用壽命到期、外力破損等），設備故障（如停電斷電、電磁干擾等），意外事故。

2.電磁泄漏（如偵聽微機操作過程）。

3.操作失誤（如刪除文件，格式化硬碟，線路拆除等），意外疏漏（如系統掉電、死機等系統崩潰）

4.計算機系統機房環境的安全。

（二）操作系統及應用服務的安全問題現在地稅系統主流的操作系統為Windows操作系統，該系統存在很多安全隱患。操作系統不安全，也是計算機不安全的重要原因。

（三）黑客的攻擊人們幾乎每天都可能聽到眾多的黑客事件：一位年僅15歲的黑客通過計算機網路闖入美國五角大樓；黑客將美國司法部主頁上的美國司法部的字樣改成了美國不公正部；黑客們聯手襲擊世界上最大的幾個熱門網站如yahoo、amazon、美國在線，使得他們的伺服器不能提供正常的服務；黑客襲擊中國的人權網站，將人權網站的主頁改成反政府的言論；貴州多媒體通信網169網遭到黑客入侵；黑客攻擊上海信息港的伺服器，竊取數百個用戶的賬號。這些黑客事件一再提醒人們，必須高度重視計算機網路安全問題。黑客攻擊的主要方法有：口令攻擊、網路監聽、緩沖區溢出、電子郵件攻擊和其它攻擊方法。

（四）面臨名目繁多的計算機病毒威脅計算機病毒將導致計算機系統癱瘓，程序和數據嚴重破壞，使網路的效率和作用大大降低，使許多功能無法使用或不敢使用。雖然，至今尚未出現災難性的後果，但層出不窮的各種各樣的計算機病毒活躍在各個角落，令人堪憂。去年的「沖擊波」病毒、今年的「震盪波」病毒，給我們的正常工作已經造成過嚴重威脅。

二、計算機系統的安全防範工作

計算機系統的安全防範工作是一個極為復雜的系統工程，是人防和技防相結合的綜合性工程。首先是各級領導的重視，加強工作責任心和防範意識，自覺執行各項安全制度。在此基礎上，再採用一些先進的技術和產品，構造全方位的防禦機制，使系統在理想的狀態下運行。

（一）加強安全制度的建立和落實

制度建設是安全前提。通過推行標准化管理，克服傳統管理中憑借個人的主觀意志驅動管理模式。標准化管理最大的好處是它推行的法治而不是人治，不會因為人員的去留而改變，先進的管理方法和經驗可以得到很好的繼承。各單位要根據本單位的實際情況和所採用的技術條件，參照有關的法規、條例和其他單位的版本，制定出切實可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和資料庫安全管理制度、計算機網路安全管理制度、軟體安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。並制定以下規范：

1.制定計算機系統硬體采購規范。系統使用的關鍵設備伺服器、路由器、交換機、防火牆、ups、關鍵工作站，都應統一選型和采購，對新產品、新型號必須經過嚴格測試才能上線，保證各項技術方案的有效貫徹。

2.制定操作系統安裝規范。包括硬碟分區、網段名，伺服器名命名規則、操作

❷ 計算機網路系統設計方案時應遵循哪些原則

析、評估和檢測（包括模擬攻擊），是設計網路安全系統的必要前提條件。
2．網路安全系統的整體性原則
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞事件的情況下，必須盡可能快地恢復網路信息中心的服務，減少損失。所以網路安全系統應該包括3種機制：安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施，避免非法攻擊的進行；安全監測機制是監測系統的運行情況，及時發現和制止對系統進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少攻擊的破壞程度。
3．網路安全系統的有效性與實用性原則
網路安全應以不能影響系統的正常運行和合法用戶的操作活動為前提。網路中的信息 安全和信息利用是一對矛盾
西京亮 11:13:46
：一方面，為健全和彌補系統缺陷的漏洞，會採取多種技術手段和管理措施；另一方面，勢必給系統的運行和用戶的使用造成負擔和麻煩，「越安全就意味著使用越不方便」。尤其在網路環境下，實時性要求很高的業務不能容忍安全連接和安全處理造成的時延和數據擴張。如何在確保安全性的基礎上，把安全處理的運算量減小或分攤，減少用戶的記憶、存儲工作和安全伺服器的存儲量、計算量，這應該是一個需要解決的矛盾。
4．網路安全系統的「等級性」原則
良好的網路安全系統必然是分為不同級別的，包括對信息保密程度分級（絕密、機密、秘密、普密）；對用戶操作許可權分級（面向個人及面向群組），對網路安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網路層、鏈路層等），從而針對不同級別的安全對象，提供全面的、可選的安全演算法和
西京亮 11:13:46
安全體制，以滿足網路中不同層次的各種實際需求。
5．設計為本原則
強調安全與保密系統的設計應與網路設計相結合。即在網路進行總體設計時考慮安全系統的設計，二者合二為一。由於安全與保密問題是一個相當復雜的問題，因此必須搞好設計，才能保證安全性。
6．自主和可控性原則
網路安全與保密問題關系著一個國家的主權和安全，所以網路安全產品不能依賴國外進口產品。
7．安全有價原則
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網路系統所要求的安全側重點各不相同。例如國家政府首腦機關、國防部門計算機網路系統安全側重於存取控制強度。金融部門側重於身份認證、審計、網路容錯等功能。交通、民航側重於網路容錯等

❸ 網路安全方案設計流程主要有哪些步驟

首先強調網路安全的重要性 立足自己的產品 如果是防病毒當然就是強調病毒木馬的危害 如果是安全網關 則著重於攻擊或黑客帶來的隱患
其次是分析對方的拓撲圖 這是最關鍵的 除了清楚的讓客戶認識到自己網路中的隱患外 還能告訴對方需要在什麼地方做改動
之後就是介紹自己的產品 或者公司資質等等
最後可以舉出一些成功案例還有售後服務之類
當然 不能忘記報價

❹ 網路安全設計方案包括什麼內容

回答你的問題可以寫一本書了。

首先要有安全需求分析，然後根據各個資產估值，然後評估各種風險發生的概率，最後根據組織的安全需求提供技術實施方法，最後表述實施安全方案以後的效果和未來願景。

一個方案大概就這幾大塊了，給中國移動提交的安全方案也就是類似這種格式。

❺ 設計網路安全方案時需要注意哪些地方

一份網路安全方案需要從以下8個方面來把握。
（1）體現唯一性，由於安全的復雜性和特殊性，唯一性是評估安全方案最重要的一個標准。實際中，每一個特定網路都是唯一的，需要根據實際情況來處理。
（2）對安全技術和安全風險有一個綜合把握和理解，包括可能出現的所有情況。
（3）對用戶的網路系統可能遇到的安全風險和安全威脅，結合現有的安全技術和安全風險，要有一個合適、中肯的評估，不能誇大，也不能縮小。
（4）對症下葯，用相應的安全產品、安全技術和管理手段，降低用戶的網路系統當前可能遇到的風險和威脅，消除風險和威脅的根源，增強整個網路系統抵抗風險和威脅的能力，增強系統本身的免疫力。
（5）方案中要體現出對用戶的服務支持。
（6）在設計方案的時候，要明白網路系統安全是一個動態的、整體的、專業的工程，不能一步到位解決用戶所有的問題。
（7）方案出來後，要不斷的和用戶進行溝通，能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
（8）方案中所涉及的產品和技術，都要經得起驗證、推敲和實施，要有理論根據，也要有實際基礎。

❻ 設計一個網路安全方案 完全沒有思路，不懂為什麼會出這樣的題目，對linux，防火牆，和伺服器都不熟

防火牆應用方案
時間：2007-4-21 15:53:27 點擊：191
核心提示：防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的信息流，且本身具有較強的抗攻擊能力。由於防火牆處於網路系統中的敏感位置，自身還要面對各種安全威脅，因...
防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的信息流，且本身具有較強的抗攻擊能力。

由於防火牆處於網路系統中的敏感位置，自身還要面對各種安全威脅，因此，通過防火牆構建一套安全、穩定和可靠的網路訪問控制機制，其重要性不言而喻。

建立安全、穩定和可靠的防火牆訪問控制系統必須考慮以下內容：

· 防火牆自身安全、可靠

· 內部系統運行穩定

· 內部處理性能高效

· 功能靈活、滿足不同用戶需求

· 防火牆配置方便

· 支持多種管理方式

· 防攻擊能力強

· 多種用戶鑒別方法

· 具有可擴展性、可升級性

方案設計

典型的防火牆訪問控制方案拓撲如圖。該方案能夠提供內部網路用戶通過防火牆作地址轉換訪問外部網，公開的WEB伺服器和郵件伺服器通過防火牆的埠映射對外提供網頁瀏覽和郵件收發功能。網路的所有合法有效地址都設置在防火牆上，進出的數據包通過防火牆的規則校驗以及攻擊檢驗後提交給實際訪問主機，內部網路配置對外部網路透明。

通常，防火牆提供三個連接埠，分別連接邊界路由器、內部主幹交換機和對外伺服器交換機上，通過串聯提供網 絡之間互相訪問的唯一通道。對外服務區通過在防火牆上限定開放特定的埠，只對允許的網路訪問方式進行授權並建立連接，並通過日誌系統對訪問進行監控，杜絕系統的非法訪問和安全漏洞。內部網對外部不提供網路服務，通過在防火牆上限定單向內部到外部的訪問模式，確保內部網路訪問的安全性、可靠性。

防火牆的所採用的網路安全技術
防 火牆作為網路安全體系的基礎和核心控制設備，它貫穿於受控網路通信主幹線，對通過受控干線的任何通信行為進行安全處理，如控制、審計、報警、反應等，同時 也承擔著繁重的通信任務。為了提供一個安全、穩定和可靠的防火牆防護體系，採用了多種的安全技術和措施：

· 專有系統平台以及系統冗餘

在安全的操作系統基礎上開發的自主版權產品保證了系統自身的安全性，硬體採用專用硬體平台對電源等關鍵部件提供硬體冗餘，保證系統硬體的穩定運行，通過雙機熱備保證防火牆在電信、證券等關鍵性業務領域保證不間斷工作。

· 高效的數據包轉發性能

防火牆通過採用優化的專有操作系統內核，摒棄了與安全訪問控制無關的系統進程，通過專有硬體平台使系統的處理能力達到最大。採用狀態檢測技術使防火牆的安全與性能達到最優化，在國家信息安全測評認證中心測試中，百條規則載入時系統性能下降不超過4%。

· 系統配置靈活、適應用戶不同網路需求

防火牆在網路中可以配置為網橋模式、路由模式、網橋和路由混合模式、代理模式，多種網路模式的靈活搭配使安裝防火牆對用戶原有系統的影響降到最低。可根據雙向IP地址對IP數據包進行轉換，並可以對外部地址提供針對主機的地址映射和針對服務的埠映射，滿足用戶的網路需求。

· 強大的訪問控制功能

可以根據IP地址、地址轉化、應用代理、登錄用戶、用戶組、時間等多種手段對訪問進行控制，通過應用代理可以對常用高層應用（HTTP、SMTP、FTP、POP3、NNTP）做具體命令級的詳細訪問控制。

· 支持流量和帶寬管理

防火牆對用戶的訪問連接除了傳統的允許、拒絕、日誌記錄處理方式外，還可以控制用戶的網路流量大小以及用戶的訪問帶寬，保障網路資源的合理使用。

· 配置簡單、方便

採用面向對象的管理方式，極大地提高了防火牆配置的簡易性，通過配置文件的上傳、下載，使系統出現故障後能快速修復。基於OPT機制的一次性口令認證系統以及遠程管理加密機制保障了遠程管理的安全可靠。

· 多種訪問身份鑒別方式

通過IP與MAC地址綁定，防止內部計算機IP地址盜用。遠程用戶通過一次性口令認證確認用戶身份，提供基於廣域網的用戶訪問控制。

· 針對多種攻擊行為的防禦能力

防火牆支持針對********、DOS攻擊、源路由攻擊、IP碎片包攻擊、JAVA腳本等多種攻擊手段的識別和防禦，並可以和專業的入侵檢測系統聯動聯防，保證系統在遭受攻擊時正常工作。實時監控和報警功能使管理員在入侵出現時可以最快的對入侵作出反應和應對措施，WEB頁面自動保護功能通過對WEB伺服器的定時監控和修復，降低由於網站頁面被修改對政府、企業造成的不良影響。

· 模塊化設計、可升級性、可擴展性好

模塊化設計使系統升級和載入新的系統模塊（計費、VPN等）更加方便，防火牆採用多介面設計，最大可擴展12個介面模塊。

評述
防火牆作為系統的網關設備，是安全防護的第一道屏障，也是內部網路和外部網路數據交換的通道。採用防火牆對訪問請求進行控制，能夠擋住大多數的網路攻擊行為。通過將公共服務區和內部網分開，即使公共伺服器破壞，也能夠很好的保護內部網路，採用防火牆是實現網路安全防護最有效的手段。

❼ 為保證政府政務網安全,採取了哪些防範措施

電子政務網建設原則

為達到電子政務網路的目標要求，華為公司建議在電子政務建設過程中堅持以下建網原則：從政府的需求出發，建設高安全、高可靠、可管理的電子政務體系!

統一的網路規劃

建議電於政務的建設按照國家信息化領導小組的統一部署，制定總體的網路規劃，分層推進，分步實施，避免重復建設。

完善的安全體系

網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准－ISO17799，安全管理是信息安全的關鍵，人員管理是安全管理的核心，安全策略是安全管理的依據，安全工具是安全管理的保證。

嚴格的設備選型

在電子政務網建設的過程中，網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外，同時為了杜絕網路後門的出現，在滿足功能、性能要求的前提下，建議優先選用具備自主知識產權的國內民族廠商產品，從設備選型上保證電子政務網路的安全性。

集成的信息管理

信息管理的核心理念是統一管理，分散控制。制定IT的年度規劃，提供IT的運作支持和問題管理，管理用戶服務水平，管理用戶滿意度，配置管理，可用性管理，支持IT設施的管理，安全性管理，管理IT的庫存和資產，性能和容量管理，備份和恢復管理。提高系統的利用價值，降低管理成本。

電子政務網體系架構

《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構：電子政務網路由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息，所以為保證黨政核心機密的安全性，內網必須與外網物理隔離。政務外網是政府的業務專網，主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務，外網與互聯網之間邏輯隔離。而從網路規模來說，政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設；從網路層次來說，內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。

圖1：電子政務網路的體系架構

根據電子政務設計思想及應用需求，鑒於政府各部門的特殊安全性要求，嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》，在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則，在邏輯層次及業務上，網路的構建實施如下分配：

圖2：電子政務內、外網邏輯層次

互聯支撐層是電子政務網路的基礎，由網路中心統一規劃、構建及管理，支撐層利用寬頻IP技術，保證網路的互聯互通性，提供具有一定QOS的帶寬保證，並提供各部門、系統網路間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統，它與互聯支撐層相對獨立，由網路中心與各部門單位共同規劃，分布構建。

業務應用層就是在安全互聯的基礎上實施政務網的各種應用，由網路中心與各系統單位統一規劃，分別實施。

華為公司電子政務解決方案的核心理念

全面的網路安全

建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面，華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證；在設備層面，華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。

針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構，在該架構中，除了可以從熟悉的網路層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備全面考慮與實施安全防護的模型與能力。

圖3：華為公司i3 安全 三維度端到端集成安全體系架構

（1）華為公司i3安全三維度端到端集成安全體系架構

i－intelligence(智能)，integrated(集成)，indiviality(個性化)；
3－時間、空間及網路層次三個維度的端到端( End to End)；
安全－所有IP信息網路的安全架構。

（2）網路層次(網路層、用戶層、業務層)端到端安全理念

網路的各層次均存在安全威脅的可能，華為的集成安全架構充分體現了網路安全防範的分層思想，根據不同網路層次的特點進行有針對性的防範。

網路層：保障網路路由、網路設備等基礎網路的安全；
用戶接入層：確保合法的用戶接入，訪問合法的網路范圍，並保障用戶信息的隔離等用戶接入網路的安全；
業務層：保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷，採取了大量的增強措施，如用戶接入認證、地址防盜用、訪問控制等能力。

（3）時間(事前、事後)端到端安全理念

以前政府行業更關注網路的事前防範能力，往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多，對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後，要求網路所能提供的支持也是不同的，其花費的代價與技術實現難度有非常大的差別：

事前防範：主要通過數據隔離、加密、過濾、管理等技術，加強整個網路的健壯性；
事後跟蹤：華為公司的「i3安全」架構提供在網路級做日誌記錄的能力，通過對用戶上網埠、時間、訪問地的記錄，全面提供用戶上網的追溯能力，從而為後期的分析提供第一手的資料。
（4）空間(外網、內網)端到端安全理念

外網：通過VPN、加密等保證信息安全，通過網路防火牆、病毒防火牆等防範網路攻擊，側重的是防範；
內網：通過對用戶的識別，保證合法的用戶訪問合法的網路范圍，並做好訪問記錄，側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網，兩張網按照17號文件要求嚴格的物理隔離分別進行建設，保證政府網路的安全。

華為公司三緯度集成安全架構提供端到端集成安全服務：

圖4：華為公司i3安全三維度端到端集成安全體系架構

隨著政府網路網上應用的進一步增多，隨著網路進一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程，只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢，疏而不漏」。

完善的端到端的可靠性

網路可靠性主要是指當設備或網路出現故障時，網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容：

（1）設備可靠性

華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構，不存在單點故障；採用無源背板，支持真正熱插拔、熱備份，同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計，能充分滿足電子政務網路對設備高可靠性的要求。

（2）組網設計的可靠性

在控制投資的前提下，在電子政務網路的部分省地骨幹節點，可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護，接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護，從組網角度避免單點故障。

另外，可採用備份中心技術，為路由器上的任意介面提供備份介面；路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面；可對介面上的某條邏輯鏈路提供備份。

通過靈活的備份機制及完善的技術，可以充分利用備份資源，確保網路互聯互通的可靠性。

簡單高效的維護和管理

政府網路信息點數量眾多，而且較為稠密，所以網路設備數量眾多，特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時，利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能，降低網路管理人員的工作量，提高效率。

豐富的業務承載能力

政府信息化的一個重要特點是以業務牽引網路需求，應用不斷更新，對網路設備的需求不斷提高，在這樣的一個動態網路中，網路設備本身的業務承載能力就顯得非常重要。因此，華為公司提出了第5代基於網路處理器技術，可以保證在後續新增業務對網路平台有特殊要求時，實現快速定製、快速支持，保證對網路設備投資的連續性。

利用MPLS VPN表現出強大的擴展性和前所未見的高性能，電子政務網可任由業務的增長和變化，網路可以平滑地擴充和升級，可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家，華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。

❽ 網路方案設計過程主要分哪幾個步驟

步驟如下：

1，需求調研

2，需求分析

3，概要設計

4，詳細設計

設計方案內容包括：網路拓撲、IP地址規劃、網路設備選型等等。

(8)政府網路安全方案的設計擴展閱讀：

網路工程設計原則

網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。

1，實用、好用與夠用性原則

計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2，開放性原則

網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。

3，可靠性原則

無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。

4， 安全性原則

網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。

5， 先進性原則

網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。

6，易用性原則

網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。

7，可擴展性原則

網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。

❾ 網路安全體系結構的設計目標是什麼

一、 需求與安全
信息——信息是資源，信息是財富。信息化的程度已經成為衡量一個國家，一個單位綜合技術水平，綜合能力的主要標志。從全球范圍來看，發展信息技術和發展信息產業也是當今競爭的一個制高點。
計算機信息技術的焦點集中在網路技術，開放系統，小型化，多媒體這四大技術上。
安全——internet的發展將會對社會、經濟、文化和科技帶來巨大推動和沖擊。但同時，internet在全世界迅速發展也引起了一系列問題。由於internet強調它的開放性和共享性，其採用的tcp/ip、snmp等技術的安全性很弱，本身並不為用戶提供高度的安全保護，internet自身是一個開放系統，因此是一個不設防的網路空間。隨著internet網上用戶的日益增加，網上的犯罪行為也越來越引起人們的重視。
對信息安全的威脅主要包括：
內部泄密
內部工作人員將內部保密信息通過e－mail發送出去或用ftp的方式送出去。
「黑客」入侵
「黑客」入侵是指黑客通過非法連接、非授權訪問、非法得到服務、病毒等方式直接攻入內部網，對其進行侵擾。這可直接破壞重要系統、文件、數據，造成系統崩潰、癱瘓，重要文件與數據被竊取或丟失等嚴重後果。
電子諜報
外部人員通過業務流分析、竊取，獲得內部重要情報。這種攻擊方式主要是通過一些日常社會交往獲取有用信息，從而利用這些有用信息進行攻擊。如通過竊聽別人的談話，通過看被攻擊對象的公報等獲取一些完整或不完整的有用信息，再進行攻擊。
途中侵擾
外部人員在外部線路上進行信息篡改、銷毀、欺騙、假冒。
差錯、誤操作與疏漏及自然災害等。
信息戰——信息系統面臨的威脅大部分來源於上述原因。對於某些組織，其威脅可能有所變化。全球范圍 內的競爭興起，將我們帶入了信息戰時代。
現代文明越來越依賴於信息系統，但也更易遭受信息戰。信息戰是對以下方面數據的蓄意攻擊：
�機密性和佔有性
�完整性和真實性
�可用性與佔用性
信息戰將危及個體、團體；政府部門和機構；國家和國家聯盟組織。信息戰是延伸進和經過cyberspace進行的戰爭新形式。
如果有必要的話，也要考慮到信息戰對網路安全的威脅。一些外國政府和有組織的恐怖分子、間諜可能利用「信息戰」技術來破壞指揮和控制系統、公用交換網和其它國防部依靠的系統和網路以達到破壞軍事行動的目的。造成災難性損失的可能性極大。從防禦角度出發，不僅要考慮把安全策略制定好，而且也要考慮到信息基礎設施應有必要的保護和恢復機制。
經費——是否投資和投資力度
信息系統是指社會賴以對信息進行管理、控制及應用的計算機與網路。其信息受損或丟失的後果將影響到社會各個方面。
在管理中常常視安全為一種保障措施，它是必要的，但又令人討厭。保障措施被認為是一種開支而非一種投資。相反地，基於這樣一個前提，即系統安全可以防止災難。因此它應是一種投資，而不僅僅是為恢復所付出的代價。

二、 風險評估
建網定位的原則：國家利益，企業利益，個人利益。
信息安全的級別：
1.最高級為安全不用
2.秘密級：絕密，機密，秘密
3.內部
4.公開
建網的安全策略，應以建網定位的原則和信息安全級別選擇的基礎上制定。
網路安全策略是網路安全計劃的說明，是設計和構造網路的安全性，以防禦來自內部和外部入侵者的行動 計劃及阻止網上泄密的行動計劃。
保險是對費用和風險的一種均衡。首先，要清楚了解你的系統對你的價值有多大，信息值須從兩方面考慮：它有多關鍵，它有多敏感。其次，你還須測定或者經常的猜測面臨威脅的概率，才有可能合理地制定安全策略和進程。
風險分析法可分為兩類：定量風險分析和定性風險分析。定量風險分析是建立在事件的測量和統計的基礎上，形成概率模型。定量風險分析最難的部分是評估概率。我們不知道事件何時發生，我們不知道這些攻擊的代價有多大或存在多少攻擊；我們不知道外部人員造成的人為威脅的比重為多少。最近，利用適當的概率分布，應用monte carlo(蒙特卡羅)模擬技術進行模塊風險分析。但實用性不強，較多的使用定性風險。
風險分析關心的是信息受到威脅、信息對外的暴露程度、信息的重要性及敏感度等因素，根據這些因素進行綜合評價。
一般可將風險分析列成一個矩陣：
將以上權重組合，即：
得分 = ( 威脅 × 透明 ) ＋ ( 重要性 × 敏感度 )
= ( 3 × 3 ) ＋ ( 5 × 3) = 24
根據風險分析矩陣可得出風險等級為中風險。
網路安全策略開發必須從詳盡分析敏感性和關鍵性上開始。風險分析，在信息戰時代，人為因素也使風險分析變得更難了。

三、體系結構
應用系統工程的觀點、方法來分析網路的安全，根據制定的安全策略，確定合理的網路安全體系結構。
網路劃分：
1、公用網
2、專用網：
（1）保密網
（2）內部網
建網的原則：
從原則上考慮：例如選取國家利益。
從安全級別上：1，最高級為安全不用，無論如何都是不可取的。2，3，4 全部要考慮。
因此按保密網、內部網和公用網或按專用網和公用網來建設，採用在物理上絕對分開，各自獨立的體系結構。

四、公用網
舉例說明（僅供參考），建網初期的原則：
1、任何內部及涉密信息不準上網。
2、以外用為主，獲取最新相關的科技資料，跟蹤前沿科技。
3、只開發e－mail，ftp，www功能，而telnet，bbs不開發，telnet特殊需要的經批准給予臨時支持。說明一下，建網時，www功能還沒有正常使用。
4、撥號上網嚴格控制，除領導，院士，專家外，一般不批准。原因是，撥號上網的隨意性和方便性使得網路安全較難控制。
5、網路用戶嚴格經領導、保密辦及網路部三個部門審批上網。
6、單位上網機器與辦公機器截然分開，定期檢查。
7、簽定上網保證書，確定是否非政治，非保密，非黃毒信息的上網，是否侵犯知識產權，是否嚴格守法。
8、對上網信息的內容進行審查、審批手續。
為了使更多的科技人員及其他需要的人員上網，採用逐步分階段實施，在安全設施配齊後，再全面開放。

五、公用網路安全設施的考慮
1. 信息稽查：從國家利益考慮，對信息內容進行審查、審批手續。
信息截獲，稽查後，再傳輸是最好的辦法。由於機器速度慢，決定了不可能實時地進行信息交流，因而難於實時稽查。
信息復制再分析是可行的辦法。把信件及文件復制下來，再按涉密等關鍵片語檢索進行檢查，防止無意識泄密時有據可查。起到威懾作用和取證作用。
2. 防火牆：常規的安全設施。
3. 網路安全漏洞檢查：各種設備、操作系統、應用軟體都存在安全漏洞，起到堵和防的兩種作用。
4. 信息代理：
（1）主要從保密上考慮。如果一站點的某一重要信息，被某一單位多人次的訪問，按概率分析，是有必然的聯系，因此是否暴露自己所從事的事業。
（2）可以提高信息的交換速度。
（3）可以解決ip地址不足的問題。
5. 入侵網路的安全檢查設施，應該有。但是，由於事件和手法的多樣性、隨機性，難度很大，目前還不具備，只能使用常規辦法，加上人員的分析。

六、 專用網路及單機安全設施的考慮，重點是保密網
1，專用屏蔽機房；
2，低信息輻射泄露網路；
3，低信息輻射泄露單機。

七、安全設備的選擇原則
不能讓外國人給我們守大門
1、按先進國家的經驗，考慮不安全因素，網路介面設備選用本國的，不使用外國貨。
2、網路安全設施使用國產品。
3、自行開發。
網路的拓撲結構：重要的是確定信息安全邊界
1、一般結構：外部區、公共服務區、內部區。
2、考慮國家利益的結構：外部區、公共服務區、內部區及稽查系統和代理伺服器定位。
3、重點考慮撥號上網的安全問題：遠程訪問伺服器，放置在什麼位置上，能滿足安全的需求。

八、 技術和管理同時並舉
為了從技術上保證網路的安全性，除對自身面臨的威脅進行風險評估外，還應決定所需要的安全服務種類，並選擇相應的安全機制，集成先進的安全技術。
歸納起來，考慮網路安全策略時，大致有以下步驟：
� 明確安全問題：明確目前和近期、遠期的網路應用和需求；
� 進行風險分析，形成風險評估報告，決定投資力度；
� 制定網路安全策略；
� 主管安全部門審核；
� 制定網路安全方案，選擇適當的網路安全設備，確定網路安全體系結構；
� 按實際使用情況，檢查和完善網路安全方案。

❿ 網路安全方案框架編寫時需要注意什麼

總體上說，一份安全解決方案的框架涉及6大方面：
1、概要安全風險分析；
2、實際安全風險分析；
3、網路系統的安全原則；
4、安全產品；
5、風險評估；
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性，由於安全的復雜性和特殊性，唯一性是評估安全方案最重要的一個標准。實際中，每一個特定網路都是唯一的，需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解，包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅，結合現有的安全技術和安全風險，要有一個合適、中肯的評估，不能誇大，也不能縮小。
4、對症下葯，用相應的安全產品、安全技術和管理手段，降低用戶的網路系統當前可能遇到的風險和威脅，消除風險和威脅的根源，增強整個網路系統抵抗風險和威脅的能力，增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候，要明白網路系統安全是一個動態的、整體的、專業的工程，不能一步到位解決用戶所有的問題。
7、方案出來後，要不斷的和用戶進行溝通，能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術，都要經得起驗證、推敲和實施，要有理論根據，也要有實際基礎。