青海省IP网优化工程网络安全解决方案

核心提示： 青海现有的IP网络系统建设中虽然对安全问题也做了一定的考虑，设计了防火墙系统，青海省IP网优化工程网络安全解决方案(2)，但是鉴于当前IT系统安全性的严重状况，这些考虑还是比较朴素和初步的，指主机系统文件、网络系统配置文件和业务系统软件;合法用户，指在整个系统中具有合法身份的用户的权限不能

青海现有的IP网络系统建设中虽然对安全问题也做了一定的考虑，设计了防火墙系统，但是鉴于当前IT系统安全性的严重状况，这些考虑还是比较朴素和初步的，并没有形成一套完整的防护体系;这主要是由于防火墙只是保护青海IP网络系统的第一道防线，它主要侧重在对通讯的源、目的地址和端口进行限制，在实际应用中，该系统业务要求许多地址都可以访问关键服务器上的应用，所以即使有了防火墙，黑客还是可以从许多地方访问关键服务器，数据包中很可能包含入侵攻击代码。

此外，黑客的入侵过程一般包括利用各种资源踩点、对最弱系统的攻击、攻击深入、获取关键资源以及撤退等几个步骤。因此，针对每一个黑客攻击的步骤，我们都需要制定相应的防范措施;而且其中具有技术部分的内容，更加重要的是管理方面的，也就是安全策略的制定和实行。

这些方面的安全需求总结起来，主要包括技术、业务、物理环境和管理体系等四个部分。技术部分的安全问题主要包括网络系统、主机系统、数据库系统;业务安全主要是针对应用层部分，而应用软件的设计管理是与其运营模式分不开的，同时也是建立在网络、主机和数据库系统基础之上的，因此业务部分的软件分发、用户管理、权限管理需要充分利用底层系统的安全技术和良好的安全管理机制。物理环境安全主要指的是机房环境安全;管理体系安全主要指一套完整的业务系统的安全解决方案必须配备相应的管理制度，因为完美的安全系统是建立在用户特定的管理运行模式中的，没有严格的管理规范和管理制度，再完美的设计和昂贵的设备都没有可信的安全度。

2、网络关键资源定位

由于系统本身的复杂性以及应用中安全的相对性，一个有效的安全解决方案应该首先满足对关键的资源实现重点保护的需要，而在此之前，就必须对关键资源进行定位。青海IP网络中需要提供安全保护的关键资源有:网络资源，包括网络系统的非法进入和传输数据的非法窃取和盗用;数据资源，指业务系统的数据结构、业务原始数据、主机与网络系统的配置维护数据需要保护;文件系统，指主机系统文件、网络系统配置文件和业务系统软件;合法用户，指在整个系统中具有合法身份的用户的权限不能被盗用，或者合法的权限被任意的放大或缩小甚至删除。