全的生命周期描述为下面各个阶段图立体示意图策略标准指南制订阶段制订系统的安全目标评估分析阶段实现需求分析风险分析安全功能分析和评估准则设计等，明确表述现时状态和目标之间的差距方案设计阶段形成信息安全解决方案，为达到目标给出有效的方法和步骤工程实施阶段根据方案设计的框架，建设调试并将整个系统投入使用。管理和支持阶段在管理阶段包括两种情况正常状态下的维护和管理，以及异常状态下的应急响应和异常处理。安全教育是贯穿整个安全生命周期的工作，需要对企业的决策层技术管理层分析设计人员工作执行人员等所有相关人员进行教育。模型将成为实现通信公司网络安全系统工程的实施过程指南。的风险管理体系信息安全工作归根结底就是个信息安全风险管理工作。风险管理主要由下面些步骤组成第阶段风险评估管理资产分类和评估漏洞和脆弱性识别威胁识别影响评估业务风险风险量化和评级第二阶段风险控制管理评估现有安全控制评价新的控制方法制订策略和流程实施和降低风险风险承受和转嫁给保险公司通过上述风险管理过程，将通信省网管中心可能面临的所有安全风险全部进行评估和控制，并采取有效措施予以防范。对于经过控制后还具有的残余风险，通过最后的承受和转嫁给予解决。这样通信省网管中心的信息安全风险都有了解决办法和对策。在中对可能遇到的信息安全风险，从管理的角度分为了大类个风险点。公司可以在此标准的基础之上，以服务形式为通信公司省网管中心进行全面的风险评估和风险管理，协助构建的信息安全风险管理体系。注的信息安全风险管理体系，并不是能够保证的安全，而是指的风险都实施了有效的管理。安全设计理念安全问题并不是个简单的技术问题，而是个多方面多角度的复杂的策略管理和技术的融合问题。个单项的技术并不能够解决所有的安全问题，而反过来，如果过分依赖于技术来解决安全问题，由于配置管理疏忽口令丢失等问题，将更容易导致整个安全系统的失效。所以，我们在为通信省网管中心设计安全体系的时候，必须有套合理有效的安全理念的选择和设计。安全模型为整个安全系统的建设，提供了工程实施的具体阶段的定义和周期划分，同时也为安全工程的建设提供了指导，当然也为通信网络安全工程的建设提供了依据而风险管理模型依据的理论来源是先进流行的安全管理标准，它为风险评估策略定制管理控制选择业务可持续发展等，安全管理体系的建立提供了理论依据和指导，依据它，可以为企业构建个良好的安全管理体系，提供个良好的途径和理论基础。而在这点上，建议根据生命周期模型来实施整个通信省网管中心网络安全工程建设，根据风险管理理念来构建整个通信省网管中心的安全管理体系，将能够保证通信省网管中心实现的真正的安全目标，为通信省网管中心用户提供合理恰当的可持续的安全体系。设计原则针对通信省网管中心及宽带城域网节点网络特点，本方案将严格遵循如下原则进行规划和设计。体系化原则分析通信省网管中心及宽带城域网节点的层次关系，遵循先进的安全理念，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。标准性原则方案设计以及具体产品的选择实施依据国内或国际的相关标准进行，这些规范包括系统性综合性设计原则从全系统出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。可控性原则采取的技术手段需要达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性最小影响原则基础安全建设方案将本着对现有业务系统影响最小化考虑，尽量不影响现有业务的正常使用动态和静态原则基础安全建设方案将从动态和静态两个方面考虑，充分考虑安全的动态性等特点。投资保护原则在方案设计过程中，将充分利用通信省网管中心及宽带城域网节点已经存在的设备，保护已有投资。通信网络安全架构模型通信省网管中心及宽带城域网节点的网络安全系统将参照如下安全架构进行设计和建设安全策略安全管理安全评估整体安全技术因素整体安全技术因素网络基础结构网络安全物理安全操作系统平台的安全性应用平台的安全性内容安全图整体安全架构示意图物理安全将不在本方案中加以讨论。安全漏洞扫描系统无论是做好个安全项目的建设，还是在网络系统的正常运作过程中，清晰的了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。公司可为通信提供详细全面的安全漏洞扫描解决方案网络安全评估可以扫描网络范围内的所有支持协议的设备，扫描的对象包括工作站服务器各种工作站服务器防火墙路由器交换机等等，通过模拟黑客攻击手法，扫描目标对象存在的安全漏洞，与黑客攻击不同的是不做任何破坏活动。目前扫描的漏洞类型高达多种，是业界支持漏洞类型最多的网络扫描器产品。在进行扫与该交换机连接的防火墙端口所对应的交换机端口设置为，实现基于方式的网络入侵检测，所有由外网流入该网管网段的网络流量和内容都得到有效的实时检测。另外增加台高档，用于安装的入侵检测系统中央控管平台包含事件收集器和管理控制台，安全企业数据库等，实现对台的集中管理，升级，策略定制，分析与报告等功能。入侵检测系统部署图省网管中心安全系统产品部署示意图后台维护工作站漫游认证哈尔滨节点统计查询服务器黑龙江省网管中心局域网结构图图网络入侵检测部署示意图方案总结本方案在充分考虑到通信省网管中心和个重要节点的安全需求及实际网络结构，采用目前国际，国内领先的相关安全技术，在保证安全体系总体性价比的前提下，重点考虑了在本方案中所有子系统相互之间的联系，力争建立个具有有机联系的整体安全体系。本安全方案建议在充分理解用户需求的前提下，综合考虑了多方面的因素，符合如下的设计要求先进性所选产品都是业界最先进的产品线，同时也提供业界最先进和前沿的管理理念，使得客户始终能够和世界领先的技术和管理理念同步。充分的兼容对现有用户网络的改造，只是添加安全设备，基本上不需要对业务系统和网络结构做大的变动服务的持续性在进行安全建设和安全评估实时入侵检测的时候，不影响现有系统的正常运行，保证了正常业务的持续开展良好的扩展性在用户网络发生改变的时候，安全系统的改变最小，只是简单通过添加授权，和添加监控点，就可以完成整个安全系统的改造自身的安全性网络传感器的透明接入加密通讯备份控制台等安全考虑，有效的保证了安全系统自身的安全安全产品对网络和主机的带宽占用很小，不会影响到正常的网络通讯和主机系统的资源使用管理方便方案提供的建议，对于安全管理员的负担是很小的，实时的入侵检测协助管理员，阻止入侵者对系统的侵犯企图主机代理提供的实时关键文件的恢复功能，可以为管理员提供充足的事件处理善后工作综合考虑了系统的安全，引入了先进的安全理念，为用户网络防止入侵行为提供了可靠的保障充分考虑了作为个整体的信息安全体系中不同子系统之间的配合关系，形成个紧密合作的整体。可以看出，本方案不仅考虑到了针对通信省网管中心及个重要节点安全现状而提出的安全技术建议，而且针对安全技术提出了在省网管中心上各重要业务系统中采用的各种无论在性能上，服务上在业界都非常优秀的产品，而且在这些产品中都存在着相互之间的合作关系，这种合作关系便形成了通信省网管中心网络及个重要节点的深度防御体系。因为，依据本方案所建立的安全系统，并非简单安全产品的堆砌，而是个基于策略，以管理为核心的安全系统。安全方案产品配置览本方案中所涉及的安全产品汇总如下项目产品名称数量说明漏洞扫描系统网络扫描器操作系统扫描器对漫游认证，统计查询，计费等重要服务器的操作系统进行漏洞扫描。数据库扫描器针对计费数据库服务器进行漏洞扫描网络入侵检测系统百兆部署百兆网络入侵检测系统，实时保护省中心的两个关键网段认证与网管免受黑客攻击。千兆部署千兆网络入侵检测系统，实时保护中心的关键网段免受黑客攻击新增安全管理系统服务器漏洞扫描控制台安装，安装入侵检测系统中央控管平台安装安装和密级秘密文档编号项目代号通信网络网管安全系统整体方案建议书年月目录通信省网管中心安全需求分析通信省网管中心及重要节点网络现状通信省网管中心及重要节点现有安全措施通信公司威胁来源分析通信省网管中心及重要节点网络安全需求分析通信安全方案设计设计理念及方法覆盖整个生命周期的完整体系的风险管理体系安全设计理念设计原则通信网络安全架构模型安全漏洞扫描系统网络安全评估部署建议主机系统安全评估部署建议数据库安全评估部署建议漏洞扫描系统部署示意图入侵检测系统百兆网络入侵检测系统的部署建议入侵检测系统部署图方案总结安全方案产品配置览通信省网管中心安全需求分析本需求分析建立在通信省网管中心络安全设备配置与投资规模所提供的通信安全需求资料和公司前期调研的基础上，旨在给出构建后文所述安全体系的充分理由。通信省网管中心及重要节点网络现状随着通信数据业务的发展，用户数量迅速增长，为了适应市场的竞争提高整个通信运营和管理效率，通信在今年计划实施网络安全项目以保证省网管中心重要网段和服务器以及各个宽带城域网结点系统的安全。网络现状如下图所示后台维护工作站漫游认证哈尔滨节点统计查询服务器黑龙江省网管中心局域网结构图图通信省网管中心网络拓扑示意图图通信牡丹江等节点网络拓扑示意图通信省网管中心及重要节点现有安全措施通信公司网络中现有网络扫描器个，对分布在网络中的重要服务器网络设备等实施网络层面的漏洞扫描。另外，网络中现有台防火墙，台为城域网工程备件中的，台为国家骨干网工程中台闲置的。但均未具体部署。采用双机热备措施保护计费和认证等重要服务器。通信公司威胁来源分析通信省网管中心及各个宽带城域网节点现阶段面临的主要风险如下网络与系统漏洞存