第16章 第四节 网络安全和管理平台方案的评审.pptVIP

《信息系统监理师》 全国计算机技术与软件专业技术资格（水平）考试 — 讲师:薛大龙博士 第16章 信息网络系统建设设计阶段的监理 16.4 网络安全和管理平台方案的评审 中共党员、北京理工大学博士、多所大学客座教授 多次参与全国计算机技术与软件专业技术资格(水平)考 试的命题与阅卷 全国计算机技术与软件专业技术资格(水平)考试辅导用书 编委会主任 主编的《信息系统监理师教程（第2版）》已作为全国计算机技术与软件专业技术资格（水平）考试用书 主编的《信息系统监理工程师手册》已作为监理行业的工作指导手册 参编的信息系统工程监理规范(GB/T 19668改版)已作为国家标准 讲 师 简 介 16.4 网络安全和管理平台方案的评审 16.4.1 防火墙系统 16.4.2 入侵检测和漏洞扫描系统 16.4.3 其他网络安全系统 16.4.4 网络管理系统 本章课程主要内容 与网络工程类似，网络安全系统承建方的质量管理体现了承建方本身的管理水平及工程说话的能力，它将直接影响信息系统安全工程的实施和完成后的质量。 网络安全工程的承建方必须取得国家相关主管部门颁发的相关资质。车前对于若干领域（如涉及国家秘密领域）信息系统的建设实施有非常严格的资质管理制度承建方内部应建立完整的质量保证体系，对公司内部及所实施的工程项目进行质量管理。 此外，在网络安全系统监理过程，监理方应在以下几个方面加以重视，这是信息安全工程不同于其他工程监理的重要内容。 （1）风险分析的在效性、准确性。风险分析是确定安全需求的基础，风险分析的有效性、准确性是确保系统安全的基础，监理需要从风险分析的方法、流程、结论等方面，把握分析结论的科学性、准确性，从而保证其“可信度”。 （2）确保符合国家法令、法规的要求。信息安全是一个政策性非常强的领域，符合国家法令、法规是对信息系统安全的基本要求。 （3）保证有关评审是在相关职能部门的主持下完成的。由于信息安全的特殊性，国家有关法令规定了其评审单位必须是有关职能部门，监理应协助用户保证这一点，督促承建方进行方案的评审。 （4）从技术、市场、工程组织实施、售后服务等各个环节对网络系统的安全性进行整体和分项评估，避免出现任何技术和管理漏洞。 16.4.1 防火墙系统 1．防火墙的功能和性能监理评审要素 主要包括以下内容： 支持透明和路由两种工作模式。 集成VPN网关功能。 支持广泛的网络通信协议和应用协议，IPSEC、H.323等，能够满足网络视频VOD和IP电话等多媒体数据流的传输要求。支持多种协议及控制，满足应用需要及应用控制严格性要求，TCP/IP、IPX、ICMP/ARP/RARP、OSPF、NETBEUI、SNMP、802.1Q、VOIP、DNS等相关协议及控制。 支持多种入侵监测类型，包括扫描探测、DoS、Web攻击、特洛伊木马等。 支持SSH远程安全登录。 支持对HTTP、FTP、SMTP等服务类型的访问控制。 支持表态动态和双向的NAT。 支持域名解析，支持链路自动切换。 支持对日志的统计分析功能，同时日志是否可以存储在本地和网络数据库上。 对防火墙本身或受保护网段的非法攻击系统提供多种告警方式以及多种级别的告警。 提供策略备份和恢复功能。管理员可以灵活地定制和应用不同的策略可以方便地进行策略的备份和还原，并可用于灾难恢复。 具备检测DoS攻击的能力，例如可以检测SYN Flood、Tear Drop、Ping of Death、IP Spoofing等而下之攻击，默认数据包拒绝，过滤源路由IP，动态过滤访问等。 支持对接口和策略的带宽和流量管理。 支持SCM/ADS客户隧道配置参数自动集中管理。 支持负载均衡。 支持双机热备。 支持Web自动页面恢复。 实现与入侵监测系统的联动。 2. 性能指标 （1）单台设备并发VPN隧道数； （2）系统平均无故障时间； （3）网络接口； （4）加密速度； （5）密钥长度； （6）设备连续无故障运行时间； （7）在不产生网络瓶颈、千兆和百兆网络环境下防火墙的吞吐量； （8）防火墙的并发连接数。 16.4.2 入侵监测和漏洞扫描系统 1. 入侵监测系统的功能和性能要素 主要包括： （1）在检测到入侵事件时,自动执行切断服务、记录入侵过程、邮件报警等动作。 （2）支持攻击特征信息的集中式发布和攻击取证信息的分布上载。 （3）提供多种方式对监视引擎和检测特征的定期更新服务。 （4）内置网络使用状况监控工具和网络监听工具。 2. 漏洞扫描系统的功能和性能要素 主要包括： （1）定期或不定期地使用安全性分析软