設(shè)計(jì)網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全策略主要包括訪問控制策略、流量檢測(cè)策略、安全審計(jì)策略、遠(yuǎn)程接人策略和冗余策略五個(gè)方面，根據(jù)信息系統(tǒng)業(yè)務(wù)特點(diǎn)和安全目標(biāo)，正確使用和配置這些安全策略是網(wǎng)絡(luò)安全規(guī)劃的關(guān)鍵工作。

1)訪問控制策略

不同安全級(jí)別的網(wǎng)絡(luò)相連，產(chǎn)生了網(wǎng)絡(luò)邊界。防止來(lái)自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全訪問控制措施。

網(wǎng)絡(luò)邊界安全訪問策略為：允許高安全級(jí)別的安全域訪問低級(jí)別的安全域，限制低級(jí)別的安全域訪問高級(jí)別的安全域，在不同安全域內(nèi)部分區(qū)進(jìn)行安全防護(hù)。規(guī)劃部署網(wǎng)絡(luò)安全訪問控制設(shè)備，要求設(shè)計(jì)設(shè)備的具體部署位置和控制措施，維護(hù)安全區(qū)域內(nèi)部的安全管理策略。常見措施包括設(shè)計(jì)VLAN、劃分網(wǎng)段、部署防火墻、IP地址與MAC地址綁定等。

其中，虛擬局域網(wǎng)( Virtual Local Area Network，VLAN)是一種劃分互相隔離子網(wǎng)的技術(shù)。通過VLAN隔離技術(shù)，可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備邏輯地分成若干個(gè)虛擬工作組，組和組之間的網(wǎng)絡(luò)設(shè)備在第二層網(wǎng)絡(luò)上相互隔離，形成不同的安全區(qū)域，同時(shí)將廣播流量限制在不同的廣播域。防火墻是進(jìn)行網(wǎng)絡(luò)區(qū)域邏輯隔離的一種常用系統(tǒng)，它可在不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域之間建立起一個(gè)安全網(wǎng)關(guān)，對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，從而保護(hù)網(wǎng)絡(luò)免受非法用戶的侵入。

根據(jù)用戶安全要求，在網(wǎng)絡(luò)安全域的邊界部署不同的安全設(shè)備，配置不同的安全策略， 可以構(gòu)成不同級(jí)別的邊界防護(hù)機(jī)制，下面給出一些常見的配置模式供參考。

◇簡(jiǎn)單安全防護(hù)。采用簡(jiǎn)單的邊界防護(hù)機(jī)制，如基本的登錄、連接和訪問控制機(jī)制，

實(shí)現(xiàn)信息系統(tǒng)邊界安全防護(hù)，可以通過在路由器或者交換機(jī)上劃分網(wǎng)段、設(shè)置VLAN來(lái)實(shí)現(xiàn)。

◇較嚴(yán)格安全防護(hù)。采用較嚴(yán)格的安全防護(hù)機(jī)制，如較嚴(yán)格的登錄、連接和訪問控制機(jī)制，可在網(wǎng)段劃分、虛擬局域網(wǎng)劃分的基礎(chǔ)上，通過部署防火墻、網(wǎng)關(guān)等來(lái)實(shí)現(xiàn)。

◇嚴(yán)格安全防護(hù)。采用嚴(yán)格的安全防護(hù)機(jī)制，如嚴(yán)格的登錄、連接和訪問控制機(jī)制，

可通過部署安全性較高的防火墻、入侵防御、信息過濾和網(wǎng)閘等設(shè)備，并結(jié)合縱深網(wǎng)絡(luò)區(qū)域設(shè)置策略、嚴(yán)格訪問控制許可策略來(lái)進(jìn)行保護(hù)。

◇特別安全防護(hù)。采用當(dāng)前最先進(jìn)的邊界防護(hù)技術(shù)，必要時(shí)可以采用物理隔離安全機(jī)制，滿足高安全要求的邊界安全防護(hù)。