第1章 信息安全解决方案设计在第 2 章里,我们分别从网络、应用、终端及管理四个方面对公司的信息系统安全建设进行了风险及需求的分析。同时根据第 3 章的安全方案设计原则,我们将公司网络安全建设分为以下几个方面进行了详细的方案设计:边界安全解决方案;内网安全解决方案;应用安全解决方案;安全管理解决方案;安全服务解决方案.下面我们分别针对这 5 个安全解决方案进行详细的描述.1.1 边界安全解决方案在第 2 章的网络安全风险及需求分析中,我们主要从外部网络连接及内部网络运行之间进行了风险的分析。边界安全解决方案就是针对与外部网络连接处的安全方面。网络是用户业务和数据通信的纽带、桥梁,网络的主要功能就是为用户业务和数据通信提供可靠的、满足传输服务质量的传输通道。就公司网络系统来讲,网络边界安全负责保护和检测进出网络流量;另一方面,对网络中一些重要的子系统,其边界安全考虑的是进出系统网络流量的保护和控制.针对公司网络系统,来自外部互联网的非安全行为和因素包括:未经授权的网络访问身份(网络地址)欺骗黑客攻击病毒感染针对以上的风险分析及需求的总结,我们建议在网络边界处设置防火墙系统、安全网关及远程访问系统等来完善公司的边界网络安全保护。1.1.1 防火墙系统为在公司网络与外界网络连接处保障安全,我们建议配置防火墙系统。将防火墙放置在网络联结处,这样可以通过以下方式保护网络:为防火墙配置适当的网络访问规则,可以防止来自外部网络对内网的未经授权访问;防止源地址欺骗,使得外部黑客不可能将自身伪装成系统内部人员,而对网络发起攻击;通过对网络流量的流量模式进行整型和服务质量保证措施,保证网络应用的可用性和可靠性;可以根据时间定义防火墙的安全规则,满足网络在不同时间有不同安全需求的现实需要;提供用户认证机制,使网络访问规则和用户直接联系起来,安全更为有效和针对性;对网络攻击进行检测,与防火墙内置的 IDS 功能共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的安全性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络安全策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统安全性能的诊断功能。其内置的入侵检测系统,可以自动...
