大型网络是—种分层次的拓扑结构,因此网络的安全防护也需采用分层次的防范保护措施。一个完整的信息网络安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑到技术难度及经费等因素,设计时应遵循如下原则。
●大幅度地提高系统的安全性和保密性。
●保护网络原有的性能特点,即对网络的协议和传输具有很好的透明性。
●易于操作维护,便于自动化管理,而不增加或减少附加操作。
●尽量不影响原网络拓扑结构,便于系统及系统功能的扩展。
●安全保密系统具有较好的性能价格比,一次性投入,可以长期使用。
●安全与密码技术具有合法性,便于安全管理单位和密码管理单位的检查和监督。
一般而言,信息网络安全设计应遵循以下原则。
1)网络的分级管理需求。根据Internet网络的特点,对网络信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全方案。(www.daowen.com)
第—级:中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控和内部网传输数据的备份与稽查。
第二级:部门级,主要实现内部网与外部网用户的访问控制、统计部门间的访问控制和部门网内部的安全审计。
第三级:终端/个人用户级,实现部门内部主机的访问控制、数据库及终端信息资源的安全保护。
2)需求、风险、代价平衡的原则。对任一网络,绝对的安全难以达到,也不一定是必要的。对网络面临的威胁及可能承担的风险进行定性与定量的分析,然后制订规则和措施,确定本系统的安全策略。
3)综合性整体性原则。一个计算机网络,包括个人、设备、软件和数据等,这些环节在计算机网络中的地位和影响作用,只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。因此,应该应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、容错、防病毒和采用高安全产品等)。
4)可用性原则。安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性,如密钥管理就有类似的问题。措施的采用不能影响系统的运行,如不采用或少用极大降低运行速度的密码算法。
5)分步实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络的脆弱性也在不断增加。因此不可能一劳永逸地解决网络的安全问题。只能采取分级管理、分步实施的原则。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。