公司信息网络平台安全防护系统的设计.doc

《公司信息网络平台安全防护系统的设计.doc》由会员分享，可在线阅读，更多相关《公司信息网络平台安全防护系统的设计.doc（47页珍藏版）》请在沃文网上搜索。

1、 毕业设计（论文）摘 要随着计算机网络的发展，三层交换技术已经普及，网络系统已经步入成熟期。计算机网络的广泛应用已经对经济、文化、教育、科技的发展产生了重要影响，许多重要的信息、资源都与网络相关。但是日益严重的网络安全问题也开始凸显出来。计算机信息系统规模的不断扩大和信息安全技术的不断发展，为了加强计算机信息系统安全体系的设计、开发、使用、评估和管理，需要对计算机信息系统安全体系进行系统化的认识和规范化的建设，因此必须建立统一的计算机信息系统安全体系模型和实施标准，规范计算机信息系统的安全体系建设，构筑计算机信息系统安全防范体系。针对计算机信息系统安全体系模型和实施标准的不足，本文紧密围绕分层

2、、分级、动态防御以及协同通信平台等关键技术开展研究工作，所做的工作主要集中在：（1）在深入研究了当前各种流行的安全体系模型基础上，提出了用于指导计算机信息系统安全体系建设的动态纵深防御安全体系模型；（2）在对各种安全体系标准进行研究与分析的基础上，引入了安全域和安全防护层次的概念，提出了信息类别、威胁级别和安全保障级别的定义，阐述了进行计算机信息系统安全分析的方法和要求；（3）在安全体系模型和安全分析的基础上，提出了安全管理及安全技术的分级要求，从而便于进行计算机信息系统的安全设计以及产品的选型。关键词：交换技术；网络管理；网络安全；安全防护AbstractAlong with the Com

3、Puter network fastd evelops，three-layers-switchtechnology has already popularized.And network system has marehed into the matureperiod.The widespread applieation of computer network has already had material effect to the development of economy，culture，education and teehnology.Many important resouree

4、s and information are interrelated to network.But the serious network secunty problem also starts to highlight day by day.The scale of computer information system (CIS) expanding and the security technologydeveloping, a systematic and normalized computer information system security architecture (CIS

5、SA) is needed to strengthen the design, development, implementation, evaluation and management of CISSA. In order to nonmalize the build of CISSA, and construct the securitydefense architecture in our country, a uniform CISSA model and the implementary standard mustbe built.Aim at the disadvantages

6、of the popular CISSA models and implementary standards, wefocus our work and research on the key technology of the layered, graded and dynamic defenseand the cooperative communication platform. The following contents are discussed in this thesis.（1）Basedonthe study of popular security architecture m

7、odels, a Defense- in- D- ynamic &Depth CISSA model is presented to guide the build of CISSA.（2）Based on the study and analysis of many security architecture standards, the SecurityRegion and the Defense Layer are introduced, the Information Category, the Threatening Level and the Security Protection

8、 Level (SPL) are put forward, the methods and requires of the Security Analysis are discussed in this paper.（3）Based on the security architecture model and the security analysis, the graded requires of the security management and the security technology is presented, so the security design of the CI

9、SSA and the choice of security produces can be done conveniently.Keywords ：Exchange technology；Network management；Network security；Safety and protectionII目录1 绪论11.1 研究目的11.2 研究的前景12 网络体系结构32.1 计算机网络32.2 计算机网络的类别42.2.1 不同作用范围的网络42.2.2 不同使用者的网络42.3 计算机网络体系结构52.3.1 协议与划分层次53 系统需求分析63.1系统设计的标准63.2 需要解决的

10、问题63.3网络安全需求73.4 网络管理需求73.5 网络版杀毒软件需求83.6网络存储需求93.7 应急恢复机制94 系统安全分析114.1 信息类别114.1.1 威胁级别114.1.2 安全保障级别124.2 安全分析层次及关系124.2.1系统描述124.2.2 安全域边界分析134.2.3 安全保障级别和安全目的134.2.4安全功能要求、产品选型和安全制度134.3 安全分析报告框架144.3.1 系统描述144.3.2 威胁与策略的陈述要求154.3.3 威胁与策略的分析要求154.3.4 威胁级别和安全保障级别154.3.5 安全目的164.3.6 安全功能与安全产品的选用1

11、64.3.7 安全制度165 系统总体方案设计175.1 系统设计思路175.2 系统设计原则175.3 安全防护系统的设计195.3.1 防火墙205.3.2 入侵检测系统225.3.3 安全网络235.3.4 子网划分245.3.5 邮件防病毒网关245.3.6 服务器病毒防护255.4 网络管理255.5高速网络存储265.5.1 SAN网络互联结构275.5.2 SAN的智能管理275.5.3 存储系统275.6 备份和恢复机制276 系统方案的实施296.1 网络平台规划296.1.1 资源规划306.1.2 IP地址规划316.2 网络分层设计336.2.1 核心交换层网络设计34

12、6.2.2 汇聚交换层网络设计346.2.3 接入层交换网络设计346.2.4 外网服务器的设计346.2.5 网络出口设计356.2.6 VLAN方案设计356.3 安全防护系统366.3.1 防火墙366.3.2 防火墙的配置376.3.3 入侵检测系统376.3.4 反垃圾邮件网关386.3.5 内网网络管理396.3.6 服务器分组管理40总 结41致 谢42参考文献43IV1 绪论作为企业的一个窗口和环境，网络平台的架设和局域网管理已成为企业运行的一个重要需求，它可以给企业带来很多客户和供应商，大大提高企业经营与管理的效率。相对于网络建设基本进入成熟期的大型企业，数量众多的中小企业对

13、网络的需求显得更为迫切。企业规模不同，网络结构也有很大不同，但是作为网络平台的一部分，网络安全又在这里起着很重要的作用。1.1 研究目的作为一个中小型企业，网络的应用是必不可少的。网络是一个信息共享的场所，因此在网络中信息的安全是十分突出的。如果在信息交换的过程中被黑客或者病毒感染，那后果是不堪设想的。据统计，在所发生的事件中，有32的事件系内部黑客所为。另外，据美国国家电脑安全协会（NCSA）的调查表明，近期在各企业的病毒感染案例中，有近一半来自网络中的电子邮件。因此，信息交换本身并不是威胁，但是威胁却存在与这种过程之中，我们要加强防范意识才可以有效的避免。以上的感染属于被动感染，即不是主动

14、要求却被迫感染了。此外还有黑客的主动攻击，这种攻击很难防范。黑客的攻击手法主要包括：猎取访问线路，偷取密码口令，强行控制对方电脑，电脑格式化，加载病毒木马等等。其主要的手法都是采用系统的漏洞进行攻击，因此系统工程师也在不断努力完善系统，来避免广大用户因为系统漏洞而被攻击或泄露重要文件。不过所谓道高一尺魔高一丈，随着系统和工具软件的丰富和完善，黑客的攻击手段也在不断更新。因此黑客的防范是迫在眉睫的。由于大多数企业担心公布这些信息会对自身形象造成负面影响，所以我们相信仍旧有大量的信息安全事件没有为大众所知晓。而另一方面，因为很多企业没有精力处理频繁发生的攻击事件，甚至大部分由于恶意攻击造成的损失都

15、没有被正确估算。我们从一个侧面可以了解到目前恶意攻击已经演变到何等剧烈的程度，那就是现在企业对于骇客攻击所持的态度。1.2 研究的前景全球经济萧条是2009年各种攻击活动利用最为猖獗的诱因之一，经济危机的影响深远使得计算机行业也未能独善其身，各种针对经济危机受害者的网络诈骗和鼓吹能解决这些问题的解决方案也大行其道。其中一些趋势是最新出现的，还有一些趋势是已经存在的。企业的网络管理越来越困难，我们的员工在上班的时候经常进行一些与工作无关的网络行为，利用公司的电脑和网络进行即时语音聊天的人越来越多，QQ、MSN已经成了老少必备的大众化软件，现在公司的员工上班打开电脑的第一件事就是挂上自己的聊天软件

16、，还有的员工干脆在上班的时候利用BT软件或者其它的一些下载工具下载电影，这不仅影响了公司网络的速度，更加影响了公司网络的安全。一些受黑客入侵的网站在被访问的时候也将木马或者病毒植入了浏览者的电脑。这样，公司的网络时时刻刻都处在崩溃的边缘。公司的商业机密更成了黑客们拿来挣钱的好东西。毫无疑问在线社交网络由于其各种便捷性和受众的广泛性而持续升温。同时不争的事实是社交网络为钓鱼者也提供了更多的诱饵。这些风险来自社交网络的所有途径。游戏，链接和通知对钓鱼者来说都是用来诱骗人们进入危险区域的唾手可得的工具。随着社会大众逐渐习惯享用社交网络带来的各种便利，也不可避免的成为各种安全问题的受害者。尽管安全风险

17、领域变化很大，但继续基本构成依然保持原样，更有趣的是一些过去的趋势又卷土重来。正如之前所描述的，许多网络犯罪分子都开始向小规模的用户群体传播大量不同的安全风险，但是用过时的技术向大量人群发送少数病毒的例子也屡见不鲜。任何一种方式的动机与目前的恶意互联网行为一样，是出于经济利益。他们的目标通常是窃取私人数据，散布流氓杀毒软件或者传播垃圾邮件。当然也有一些没有特殊目的就是为了发泄的攻击行为，但是无论动机如何，各种攻击方式都在催生将传统侦测方式与基于信誉的安全模式等补充侦测途径相结合的多层防御需求。2 网络体系结构2.1 计算机网络我们知道，21世纪的一些重要特征就是数字化、网络化和信息化，它是一个

18、以网络为核心的信息时代。要实现信息化就必须依靠完善的网络，因为我那个罗可以非常迅速地传播信息。因此网络现在已经成为信息社会的命脉和发展只是经济的重要基础。网络对社会生活的很多方面以及对社会经济的发展已经产生了不可以估量的影响。自从上个世纪90年代以后，以因特网为代表的计算机网络得到了飞速的发展，已从最初的教育科研网络逐步发展成为商业网络，并已成为仅次于全球电视网的世界第二大网络。不少人认为现在已经是因特网的时代，这是因为因特网正在改变着我们工作和生活的各个方面，它已经给很多国家（尤其是因特网的发源地美国）带来了巨大的好处，并加速了全球信息革命的进程。可以毫不夸张地说，因特网是人类自印刷术发明以

19、来在通信方面最大的变革。现在人们的生活、工作、学习和交往都离不开因特网1。计算机向用户提供的最重要的功能有两个，即：（1）连通性 （2）共享所谓连通性，就是计算机网络使上网用户之间都可以交换信息，好像这些用户的见算计都可以彼此直接联通一样。用户之间的距离也视乎因此而变得更近了。所谓共享就是指资源共享。资源共享的含义是多方面的。可以是信息共享、软件共享，也可以是硬件共享。例如，计算机网络上有许多主机存储了大量有价值的电子文档，可供上网的用户自由读取或下载（无偿或有偿）。由于网络的存在，这些资源好像就在用户身边一样。又如，在实验室中的是有连接在局域网上的计算机可以共享一台比较昂贵的彩色激光打印机。

20、现在人们的生活、工作、学习和交往都已离不开计算机网络。设想某一天我们的计算机网络突然除了公章不能工作了，那时会出现什么结果呢？这时，我们将无法购买机票或火车票，因为售票员无法知道还有多少票可以供出售;我们也无法到银行存钱或取钱，无法缴纳水电费和煤气费等；股市交易都将停顿；在图书馆我们也无法检索所需要的图书和资料，网络出了故障后。我们既不能上网查询有关的资料也无法使用电子邮件和朋友及时交流信息。总之，这时的社会将会是一片混乱。2.2 计算机网络的类别计算机网络有很多种类别，但是根据不同的分类可以做出不同的划分，下面就是几种划分。2.2.1 不同作用范围的网络（1）广域网WAN：广域网的作用范围通

21、常为几十到几千公里，因而有时也称为远程网。广域网是因特网的核心部分，其任务是通过长距离运送主机所发送的数据。连接广域网个结点交换机的链路一般都是高速链路，具有较大的通信容量。（2）城域网MAN：城域网的作用范围一般是一个城市，可跨越几个街区甚至整个城市，其作用距离约为5-50km。城域网可以为一个或几个单位所拥有，但也可以是一种公共设施，用来将多个局域网进行互联。目前很多城域网采用的是以太网技术，因此有时也常并入局域网的范围进行讨论。（3）局域网LAN：局域网一般用卫星家算计或工作站通过高速通信线路相连，但地理上则局限在较小的范围。在局域网发展的初期，一个学校或工厂往往只拥有一个局域网，但现在

22、局域网已非常广泛地使用，一个学校或企业大都拥有许多个互联的局域网。（4）个人区域网PAN：个人区域网就是在个人工作地方把属于个人使用的电子设备用无线技术连接起来的网络，因此也常称为无线个人区域网WPAN，其范围大约在10m左右。（5）存储域网络SAN：存储域网络的支撑技术是Fibre Channel技术，这是ANSI为网络和通道IO接口建立的一个标准集成。支持HIPPI，IPI等多种高级协议，它的最大特性是将网络和设备的通讯协议与传输物理介质隔离开这样多种协议可在同一个物理连接上同时传送，高性能存储体和宽带网络使用单I/O接口使得系统的成本和复杂程度大大降低。如通过Switch扩充至交换仲裁复

23、用结构则可将用户扩至很多。2.2.2 不同使用者的网络（1）公用网（public network）：这是指电信公司（国有或私有）出资建造的大型网络。“公用”的意思就是所有愿意按电信公司的规定交纳费用的人都可以使用这种网络。因此公用网也可称为公众网。（2）专用网（private network）：这是某个部门为本单位的特殊业务工作的需要而建造的网络。这种网络不向本单位以外的人提供服务。例如，军队、铁路、电力等系统均有本系统的专用网。2.3 计算机网络体系结构计算机网络由多个互连的结点组成,结点之间要不断地交换数据和控制信息,要做到有条不紊地交换数据，每个结点就必须遵守一整套合理而严谨的结构化管理

24、体系。计算机网络就是按照高度结构化设计方法采用功能分层原理来实现的,即计算机网络体系结构的内容。2.3.1 协议与划分层次在计算机网络中要做到有条不紊地交换数据，就必须遵守一些事先约定好的规则。这些规则明确规定了所交换的数据的格式以及有关的同步问题。这里所说的同步不是狭义的而是广义的，即在一定条件下应当发生什么时间，因而同步含有时序的意思。这些为进行网络中的数据交换而简历的规则、标准或约定称为网络协议。网络协议也可简称为协议。更进一步讲，网络协议主要由以下三个要素组成：（1）语法，即数据与控制信息的结构或格式；（2）语义，即需要发出何种控制信息，完成何种；（3）同步，即事件实现顺序的详细说明。

25、由此可见，网络协议是计算机网络的不可缺少的组成部分。实际上，只要我们想让连接在网络上的另一台计算机做点什么事情(例如，从网络上的某个主机下载文件)，我们都需要有协议。但是我们经常在自己的PC上惊醒文件存盘操作时，就不需要任何网络协议，除非这个用来存储文件的磁盘是网络上的某个文件服务器的磁盘。协议通常有两种不同的形式。一种是使用便于人来阅读和理解的文字描述。另一种是使用让计算机能够理解的程序代码2。3 系统需求分析近年来，国内外计算机及网络的硬件技术和产品得到突飞猛进的发展，性能和参数大幅度提高。国内外计算机及网络的系统软件和应用软件的技术和产品也出现突飞猛进的发展，先进性、稳定性和安全性大幅度

26、提高，功能越来越强大。10M交换机已基本退出市场，交换到桌面成为市场的技术发展趋势，10G交换能力的网络设备已经上市。交换机已发展到千兆，已具有三层、四层交换功能。原有的网络系统中的交换机早已超负荷运行，很多节点上红等长亮。3.1系统设计的标准（1）具有先进性与前瞻性。整个系统要采用现代的概念、技术方法和产品,适用于未来的扩展及升级,要代表当今国际水平,具有发展潜力并能长期主导同类产品发展潮流。 （2）具有成熟性和实用性。整个系统采用的概念技术、产品和器材都是非常成熟,产品和器材具有系统建成运行的成功范例。系统完全能够在现在和将来适应技术的发展,能够真正满足使用要求。（3）具有良好的灵活性和扩

27、展性。系统应该采用模块化结构,能够满足灵活通用的要求和随时扩展的要求。（4）具有标准化与开放性。系统要符合国际和国内相关标准,不仅能兼容语音、数据、图像的传输,同是能够对不同厂家的系统、设备有良好的支持3。3.2 需要解决的问题首先我们考虑到公司的初始规模与可升级性，归结了以下几点需要解决的问题：（1）设备承载能力首先我们应该从系统主要的应用服务器方面解决最关键也是核心部分的问题，目前组网主流用的应用服务器是PH450，所以这次我考虑用的服务器也是PH450。（2）应用服务标准目前网络操作系统己经发展到WIN 7。但是我选用的操作系统还是Win2003server,主要是该操作系统是微软目前最

28、稳定、性能最好的操作系统，尤其是WWW服务方面更出色。（3）安全性、管理制度内网必须独立建设服务器，保证局域网的正常工作。用户需要的很多通用工具软件、升级补丁、视频节目等，可以通过内网进行下载，这样做的话既不占用了有限而宝贵的带宽，又给减少了病毒攻击造成可乘之机，充分利用局域网的资源为用户服务。尽管内外网之间有防火墙隔离，阻止外网对内网的访问，但内网中仍然需要安置入侵监测系统，必要的安全设施，让内网也处于危险之中5。3.3网络安全需求网络问题主要是如下三个方面：外部黑客攻击、病毒入侵、内外网络接口。内网安全网络安全建设是一个系统性的工程，在整个项目中网络安全体系建设中，采用统一规划、统一标准、

29、互相配套的原则进行，避免重复建设，要考虑整体和局部的要求不同，并坚持将近期目标和长远目标相结合。网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。病毒、蠕虫和毫无必要的大量电子邮件利用互联网通信资源来传播，引发网络环境中的传输中断。病毒和网络攻击对网络安全的破坏可能是毁灭性的。严重的网络安全问题可能会造成川经网整个网络瘫痪。另外开放式接入还可以无限制地访问大量恶意、有攻击性的及有争议的内容，以及与工作无关的材料。在混合攻击肆虐的时代，单一防火墙加入侵检测系统的安全防护能力已经远远不能满足需求了。因此我们要求网络安全的解决方案具备多种安全功能，基于底层协议层防御、低误报

30、率检测、高可靠高性能平台和统一组件化管理的技术。因此，在进行网络系统安全方案设计和规划时，遵循如下规则，这也是我们整个系统的设计的原则所在：（1）需求、风险、代价三者平衡（2）一致性原则（3）整理和局部分别考虑（4）操作不能过于复杂（5）适应性、灵活性选择（6）多重保护原则（7）邮件防病毒策略3.4 网络管理需求网络管理的定义是指规划、监督、控制网络资源的使用和网络的的各种活动，以使网络的性能达到最优化。目的在与提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、平谷和扩展的手段，从而合理的组织和利用网络系统资源，提供安全、可靠、有效和友好的服务。网管系统在监测到病毒攻击之后，应

31、该能很快定位发出攻击的位置，同时自动将受病毒感染的终端从网络上隔离开，并对网上传输的攻击数据流量进行限制，从而保证企业正常应用的开展并降低病毒对全网的感染范围。网络管理的功能可以归纳为五种，在选择合适的网络管理软件，主要采用这五大功能做参考：（1）配置管理:配置管理的自动获取，在网络设备中自动配置信息中，根据获取手段大致可以分成三类，第一类网络管理协议标准的MIB中定义的配置信息;第二类不在网络管理协议标准中有定义，但对设备运行比较重要的配置信息;第三类就是用于管理的一些辅助信息;自动备份及相关技术;配置一致性检查;用户操作一记录功能。（2）性能管理、过滤、归并网络事件，有效地发现、定位网络故

32、障，给出排错建议与排错工具，形成整套的故障发现、告警与处理机制。（3）故障管理、采集、分析网络对象的性能数据、监测网络对象的性能，对网络线路质量进行分析。（4）安全管理结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制，以保障网络管理系统本身的安全。安全管理分三个部分，首先是网络管理本身的安全，其是被管理网络对象的安全。3.5 网络版杀毒软件需求在网络环境下防范病毒，绝不是简单的等同于多台主机单机杀毒。面对日益复杂多变的企业网络应用环境，要想真正获得预期的整体病毒防范效果，就需要针对所管理的网络环境和反病毒需求进行分析和定位。杀毒产品的制造商是否能提供足够强有力的专家意见，以及针对特

33、定网络拓扑结构的整体性解决方案，就是一个十分重要的衡量标准。另外，企业级杀毒软件的易用性也是很重要的一点;另一方面，对于网络管理人员来说，针对所有网络上的、物理上并不在一个地点的所有终端可进行有效的管理和协调，在很大程度上决定了杀毒软件究竟能发挥多大作用。杀毒不是一件可以一墩而就的事情，因此不间断的技术支持和服务在某种程度上，甚至比杀毒软件产品本身还要重要。这种重要性在于这种服务本身和杀毒过程一样，也必须是长期性和更要求可靠性的。我们可以从以下五个方面来选择合适的网络杀毒软件：（1）要符合本地化的需求（2）要易用并可定制（3）技术、服务要可靠（4）技术要有延展性（5）升级要流畅3.6网络存储需

34、求对于日益增长的数据传输需求，传统的高速SCSI硬盘也渐渐力不从心了。为了适应更高的数据传输和网络的高效性，需要在系统升级改造中引入一套网络存储系统，以满足现在的应用和未来基础数据库的数据交换功能。在选择网络存储产品时，应该遵循以下原则：（1）可以实现大容量存储设备数据共享；（2）可以实现高速计算机与高速存储设备的高速互联；（3）可以实现灵活的存储设备配置要求；（4）可以实现数据快速备份；（5）数据的可靠性和安全性保证。3.7 应急恢复机制数据信息做为一种虚拟财产，其重要性早已超过了硬件系统本身。各种自然灾害和突发事件都有可能导致信息系统的瘫痪，造成灾难性后果。通过特定的备份和恢复机制，在各种

35、灾难损害发生后，能够迅速通过备份和恢复机制，最快、最大限度地保障提供正常应用服务的信息系统。备份和恢复机制里面包含备份数据和恢复数据两部分。而数据备份又可分为数据备份和应用备份。数据备份需要保证用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统，应用备份却能提供不间断的应用服务，让客户的服务请求能够继续运行，保证信息系统提供的服务完整、可靠、一致。数据备份是备份和恢复机制的基础，也是恢复机制能够正常工作的保障。恢复机制必须建立在可靠的数据备份的基础之上，通过应用系统、网络系统等各种资源之间的良好协调来实现。因此，在选择备份和恢复机制时，需要充分考虑到以下几个方面：（1）存储备份系统

36、支持数据集中式管理，相关业务系统或全部的应用系统存储系统合并为统一的存储系统；（2）支持多种系统平台的接入，即实现跨平台操作；（3）异构环境数据共享，即不同的平台和数据库系统实现相关数据的共享，同时支持主流第三方厂家存储设备的接入；（4）提供包括存储介质、接口设备及连接链路的冗余支持；（5）具有高度灵活的可扩展伸缩性；（6）存储备份系统向网络客户端和应用服务器提供数据存储服务时，不能对应用系统的运行效率和网络的速度产生明显的影响；（7）可实现系统和数据备份和灾难恢复机制。4 系统安全分析需要设计一个网络平台安全防护系统，首先必须进行安全分析，为不同安全需求的用户，根据用户的信息类别、可能遭受的

37、威胁级别和网络的拓扑结构确定不同的安全域、各安全域的安全保障级别以及安全目标，然后才能根据用户选定的安全保障级别(SPL)以及安全目标确定所需的安全机制及技术的要求，并按安全防护层次配置不同的安全部件，形成动态纵深防御安全体系。安全分析是保证计算机网络安全防御系统正确实施的基础。安全分析的目的是在计算机网络平台与安全系统之间建立一个桥梁，其结果是提供一组技术、策略和制度使得计算机信息系统在一个可接受的风险范围内运行。在计算机网络平台与安全系统之间存在表达上的鸿沟，并且由于不同网络平台在规模、应用、人员结构方面存在很大差异，从而增加了安全分析的难度。本章依据第二章的总体设计的思想，通过有层次的细

38、化分析对象来降低分析的复杂性，并通过系统描述消除了不同系统间的应用区别对安全分析的影响。为满足不同的用户安全需求，本文提出了信息类别、可能遭受的威胁级别以及与此相对应的安全保障级别的概念，从而有利于针对不同的安全需求进行安全体系的分析、设计和评估。4.1 信息类别为了使安全策略、信息技术的使用更具针对性，根据数据在丢失、破坏及泄露时的不同影响，将信息分成三类：（1）保密信息：那些非常敏感的、仅限于内部受限使用的信息，信息的泄漏会造成严重的后果。（2）专有信息：那些仅局限于内部使用的信息，信息的泄漏会造成不良的影响。（3）公用信息：可对外发布的信息，信息的泄漏不会或较少造成负面影响。4.1.1

39、威胁级别根据对手可以得到的资源、熟练程度及可以承担的风险程度，可将威胁的种类分为两类：（1）高强度威胁有组织的、占有中等或丰富资源的、熟练的且可以承担一定风险的对手的威胁。（2）低强度威胁无组织的、占有少许资源的、无意识的或被动的且可以承担少许风险的对手的威胁。4.1.2 安全保障级别安全保障级别是在特定的威胁环境中、对给定的信息价值所采用的安全机制及技术的强度和保险程度的级别。安全保障级别是本文进行安全分析和安全设计的依据。通过它可以帮助安全系统开发人员确定不同的安全功能、不同的安全策略、不同的评估标准以及不同的安全产品需求和配置，从而为不同安全要求的用户提供可接受的解决方案。根据信息类别和

40、威胁级别的定义，可以确定所需的安全保障级别。4.2 安全分析层次及关系通过有层次的细化分析对象来降低安全分析的复杂性，具体的安全分析方法包括以下几个层次：（1）系统描述；（2）安全域边界分析；（3）安全域内部资产运行环境分析；（4）安全域内部资产的安全目的和安全保障级别的确定；（5）安全功能要求开发和安全产品的选用以及安全制度的制定。上述每一步的分析都是在上一步的基础上做出的。每个层次的细化都是更高层次的完全实例化，即所有上层抽象定义的安全功能、特性和行为都必须在下层分析中明确体现。在安全分析中，从最抽象的层次到在其运行环境中的最终信息技术实现或安全产品的选用，每个层次的分析都必须包含一个合理

41、的、令人信服的论据，以表明它和上层分析的一致性。下面从系统描述、安全目的和安全保障级别的确定、安全功能要求开发和安全产品的选用以及安全制度的制定这四个层次分别进行讨论6。4.2.1系统描述计算机信息系统描述是一种高层安全分析，其目的和结果是通过识别系统资产，将计算机信息系统划分成更小的安全域，并将系统的所有元素分配到不同的安全域，以便对系统做进一步的安全分析。分析步骤包括：（1）将计算机信息系统分为系统外部和系统内部两部分，其中系统外部主要分析系统依赖的网络基础设施环境；（2）依据信息类别和安全域的定义，将系统内部进一步分为不同的安全域；（3）将每个安全域划分为:安全域边界、服务器的计算环境和

42、工作站的工作环境。当安全域确定后，计算机信息系统内部的资产和人员也相应地分配在某个安全域中，此时对系统的安全分析转化为对安全域的分析。安全域划分是根据信息的安全级别和服务的重要性来划分的，安全域体现了对系统资产的保护形式和/或保护程度的不同。安全域划分与计算机信息系统的特征和用途要保持一致，它没有改变系统的任何部分，只是将系统资产在逻辑上进行了划分，其保留了系统的全部元素和特征。安全域之间可能存在嵌套关系，这种嵌套关系通常也是一种依赖关系和信任关系从而决定了不同安全域的分析顺序为：（1）分析系统外的安全域；（2）分析系统内的安全域(如果安全域间存在嵌套关系，先分析外层安全域)。4.2.2 安全

43、域边界分析安全域边界分析是根据安全域内部服务器、工作站和其他设备的运行要求，在系统描述(关于该安全域的描述)的基础上，分析安全域安全运行的规则以及环境中固有的或外来的安全威胁，它包括安全域边界环境分析和安全域边界的安全目的描述。4.2.3 安全保障级别和安全目的（1）安全域内部资产的安全保障级别根据威胁级别的定义可以确定安全域中威胁的级别，再根据威胁级别与该安全域的信息类别以及安全保障级别的定义可以确定安全域的保障级别，该保障级别将对安全机制的强度和安全产品的选用产生重要影响。（2）安全域内部资产的安全目的安全环境的分析结果可用来描述对抗威胁和确定安全策略的安全目的，安全目的应与己说明的资产运

44、行目标或用途以及有关的物理环境知识相一致；安全目的分为信息技术目的和非信息技术目的，其中信息技术目的应能覆盖环境分析中的全部威胁，信息技术目的与非信息技术目的应能攫盖安全域分析中的全部安全策略；信息技术目的为进一步确定安全功能提供了充分的信息，非信息技术目的将成为企业/单位制定各项制度的依据。4.2.4安全功能要求、产品选型和安全制度安全功能要求的开发和安全产品的选择除了与信息技术安全目的有关，还与威胁的级别有关。（1）安全功能要求的开发安全功能要求是将安全目的细化为一系列可运行资产的安全要求，一旦这些要求得到满足，就可以保证信息系统的运行达到安全目的。（2）安全产品选型用户对安全产品的选择应

45、满足两个条件：第一，所选的安全产品应能达到信息技术安全目的；第二，安全产品应达到某种信任程度。如果选用了安全产品，例如防火墙、入侵检测系统等，则意味着系统中引入了新的资产，对这些产品的保护也需要进行分析。（3）制定安全制度所有的非信息技术安全目的必须通过非技术的或规范化的方式来实现，即需要一系列的安全制度来支持系统达到非信息技术安全目的。例如，雇员的培训计划、事故响应程序、用户权限与责任的规定等。4.3 安全分析报告框架安全分析报告框架规定了表达分析的各部分的陈述要求。使用者在分析具体的计算机信息系统时应符合框架的要求。它包括系统描述、威胁与策略的陈述要求、威胁与策略的分析要求、威胁级别和安全

46、保障级别、安全目的、安全功能与安全产品的选用以及安全制度七个方面。4.3.1 系统描述系统描述的目的是确定系统中的信息和服务的用途、用户对信息的操作以及信息流对不同用户的可见性等，即确定系统内的资产、资产的用途和资产的使用规则，从而为安全分析提供分析的对象与范围。系统所有者应通过对计算机信息系统的描述体现出关键的信息和服务，并根据信息类别的定义来区分不同的信息。最后系统所有者应根据不同信息的类别将系统划分成若干个安全域，并将系统的资产分配到安全域中。（1）系统综述系统综述的目的是概括计算机信息系统的业务流程，它主要描述系统的用户类型以及对每种用户提供的服务和应用，并着重指出核心应用/服务。（2

47、）安全域划分根据信息类别将计算机信息系统划分成不同的安全域，通常有三个域：公用信息域、专有信息域和保密信息域。在安全域的划分中应明确可以访问该安全域的人员分布。（3）对外部环境的依赖计算机信息网络平台对外部环境尤其是网络环境有一定的依赖，例如网络性能和可用性等。分析者应清楚地表达资产所有者期望什么样的外部环境(例如网络环境等)，这种环境能够确保计算机信息系统的安全运行，并陈述这种环境如何达到7。4.3.2 威胁与策略的陈述要求一个完整的威胁应通过已确定的威胁主体、假定的攻击方法、作为攻击基础的任何脆弱性和被攻击的资产名称来描述。威胁主体应通过诸如专门技术、可用资源和动机等来描述。攻击应通过诸如攻击方法、可利用的脆弱性和时机等来描述。策略用于表达系统所有者的抽象原则，一个策略必须包括策略的适用对象(或范围)和相应的原则两部分。其中，适用对象包括安全域、数据信息和服务、软硬件、人员以及运行五个方面。4.3.3 威胁与策略的分析要求威胁与策略的分析应覆盖所有的环境因素，对威胁和策略的分析包括以下四个方面：（1）信息技术环境，指系统内部环境，例如操作系统、硬件平台和其他应用程序等。应分析信息技术环境