进行网络安全需求分析是哪个阶段

1. 信息安全经历了哪三个发展阶段

通信保密阶段、信息安全阶段、信息保障阶段这三个阶段。

1. 第一阶段：1995年以前，以通信保密和依照TCSEC的计算机安全标准开展计算机的安全工作，其主要的服务对象是政府保密机构和军事机构。

2. 第二阶段：在原有基础上，1995年开始，以北京天融信网络安全技术有限公司、北京启明星辰信息技术有限公司、北京江南科友科技有限公司、北京中科网威信息技术有限公司、北京清华德实科技股份有限公司、上海复旦光华信息科技股份有限公司等一批从事信息化安全企业的诞生为标志的创业发展阶段，主要从事计算机与互联网的网络安全。

3. 从1999年起，将信息安全的工作重点逐步转移到银行与电信信息化安全建设上。

4. 2000年我国第一个行业性质的《银行计算机系统安全技术规范》出台，为我国信息化安全建设奠定了基础和树立了示范。

5. 这个时期主要提供的是隔离、防护、检测、监控、过滤等中心的局域网安全服务技术与产品，其主要面对病毒、黑客和非法入侵等威胁。到2001年，一时间全国成立1300多家从事信息化安全的企业。

6. 第三阶段：以2002年成立中国信息产业商会信息安全产业分会为标志的有序发展阶段。这个阶段不仅从事互联网的信息与网络安全，而且开始对国家基础设施信息化安全开展工作，产生了许多自有知识产权的信息与网络安全产品。

2. 网络空间安全的发展历程经历了几个阶段

通信保密阶段、信息安全阶段、信息保障阶段这三个阶段.。

信息安全，亦可称网络安全或者信息网络安全。不同的说法只不过是认知角度不同而已，并无实质性区别。

首先，信息安全是信息化进程的必然产物，没有信息化就没有信息安全问题。信息化发展涉及的领域愈广泛、愈深入，信息安全问题就愈多样、愈复杂。信息网络安全问题是一个关系到国家与社会的基础性、全局性、现实性和战略性的重大问题。

其次，信息安全的主要威胁来自于应用环节。如非法操作、黑客入侵、病毒攻击、网络窃密、网络战等，都体现在应用环节和过程之中。应用规则的严宽、监控力的强弱以及应急响应速度的快慢，决定了信息网络空间的风险防范和安全保障能力、程度与水平的高低。

信息时代的安全与工业时代的安全明显不同。国家信息安全问题，仅靠提高自主研发、实行进口替代，以及用“道高一尺，魔高一丈”的方式来解决是不够的。

国家信息安全离不开全球信息安全这个大环境，无一国家可独善其身，自搞一套、自我封闭更是行不通的，迫切需要通过各国间合作，制定有约束力的国际规则来进行保障。

对于一个拥有14亿人口、世界上最多网民、正在迈入信息化社会的国家来说，提高对国家信息安全极端重要性的认识，加快推进国家信息网络安全保障建设，是头等大事之一，十分紧迫。

3. 网络需求分析的具体内容包括哪些

从分析的内容来看，主要应该包括网络需求分析、网络规划与结构分析和网络扩展性分析三个内容。

1、网络需求分析

包括环境分析、业务需求分析、管理需求分析、安全需求分析。

(1)环境分析是指对企业的信息环境基本情况的了解和掌握，例如办公自动化情况、计算机和网络设备的数量配置和分布、技术人员掌握专业知识和工程经验的状况，以及地理环境(如建筑物)等等。通过环境分析，可以对建网环境有个初步的认识，便于后续工作的开展。

(2)业务需求分析的目标是明确企业的业务类型、应用系统软件种类以及它仍对网络功能指标(如带宽，服务质量Qos)的要求。

业务需求是企业建网中首要的环节，是进行网络规划与设计的基本依据。那种为了网络而建网络，缺乏企业业务需求分析的网络规划是盲目的，会为网络建设埋下各种隐患。

通过业务需求分析，可为以下方面提供决策依据：

需实现或改进的企业网络功能有哪些。

需要技术的企业应用有哪些。

需要电子邮件服务吗？

需要Web务器吗？

需要上网吗？

需要什么样的数据共享模式。

需要多大的带宽范围。

需要网络升级吗？

网络的管理需求是企业建网不可或缺的方面，网络是否按照设计目标提供稳定的服务主要依靠有效的网搭春络管理。“向管理要效益”也是网络工程的真理。

(3)网络管理需求是建设网络不可或缺的方面，网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理。网络管理包括两个方面：

人为制定的管理规定和策略，用于规范人员操作网络的行为。

网络管理员利用网络设备和网管软件提供的功能对网络进行的操作。通常所说的网管主要是指第二点，它在网络规模较小、结构简单时，可以很好地完成网管职能。

好点随着现代企业网络规模的日益扩大，逐渐显示出它的重要性，尤其是网络策略的制定对网管的有效实施管理和知祥耐保证网络高效运行是至关重要的。

网络管理的需求分析要回答以下类似的问题：

是否需要对网络进行远程管理。

谁来负责网络管理。

需要哪些管理功能。

选择哪个供应商的网管软件，是否有详细的评估。

选择哪个供应商的网络设备，其可管理性如何。

怎样跟踪分析处理网管信息。

如何更新网管策略。

(4)随着网络规模的扩大和开放程度的提高，网络安全问题越来越突出。先前那些没有考虑网络安全性的企业网络不仅遭受重大经济损失，还使企业形象受到了破坏。

安全性设计是网络设计中极其重要的方面之。安全性设计的任务是分析威胁和开发需求，众多技术设计都要求这点，获取安全性目标意味着要做出权衡。安全性实现可能增加使用和运行网络的成本，严格的安全性策略还会影响用户的生产率，甚至会因为保护资源和数据而导致损失。而安全性过差会导致用户想出绕过安全性策赂的方法。如果所有通信都必须全部通过加密设备，那么安全性还会影响网络设计的冗余。

客户基本的安全性要求是保护资源以防止其无法使用、被盗用、被修改或被破坏。资源包括网络主机、服务器、用户系统、互连网络设备、系统和应用数据、以及公司形象等。

其他更特殊的需求包括以下个或多个目标：

允许外部用户访问公共Web或FTP服务器上的数据，但不允许访问内部数据。

授权并认证分支部门用户、移动用户和远程用户。

检测入侵者并隔离他们所做的破坏。

认证从内部或外部路由器接收的路由选择列表更新。

保护通过侧传送到远程站点的数据。

从物理上保护主机和网络互连设备(例如将设备锁在屋内)。

利用用户账号核对目录及文件的访问权限，从逻辑上保护主机和互连网络设备。

防止应用程序和数据感染软件病毒。

就安全性威胁及如何避免安全性问题培训网络用户和网络管理员。

通过版权或其他合法的方法保护产品及知识产权。

2、网络规划与结构分析

包括确定网络规划、拓扑结构分析、与外部网络互联方案。

(1)确定网络的规划即明确网络建设的范围，这是通盘考虑问题的前提。

网络规模般分为以下几种：

工作组或小型办公室局域网。

部门局域网。

骨干网络。

企业级网络。宴昌

明确网络规模的大好处是便于制定适合的方案，选购合适的设备，提高网络的性能价格比。

确定网络规模涉及以下方面的内容：

哪些部门需要进入网络。

哪些资源需要上网。

有多少网络用户。

采用什么档次的设备。

网络及网络终端的数量。

(2)网络拓扑结构受企业的地理环境制约，尤其是局域网段的拓扑结构，它几乎与建筑物的结构致。所以，网络拓扑结构的规划要充分考虑企业的地理环境，以利于后期工作的实施。

拓扑结构分析要明确以下指标：

网络的按入点数量。

网络的接入点的分布。

网络连接的转接点分布位置。

网络设备间的位置。

网络中各种连接的距离参数。

其他结构化布线系统中的基本指标。

(3)建网的目的就是要拉近人们的交流信息的距离，网络的范围可以说是越大越好。电子商务、家庭办公、远程教育等互联网应用的迅速发展，使得网络互联成为企业建网的个必不可少的方面。与外部网络的互联涉及是否需要上网以及采用什么技术上网等。

3、网络扩展性分析

通过科学合理的规划能够取得用低的成本建立佳的网络，达到高的性能，提供优的服务等完美效果。

可扩展性有两层含义，其是指新的部门能够简单接入现有网络；其二是指新的应用能够无缝地集成到现有的网络中来。可见，在规划网络时，不但要分析网络当前的技术指标，而且还要估计网络未来的增长，以满足新的需求，保证网络的稳定性，保护企业的投资。

扩展性分析要明确以下指标：

(1)企业需求的新增长点有哪些。

(2)网络结点和布线的预留比率是多少。

(3)哪些设备便于网络扩展。

(4)带宽的增长估计。

(5)主机设备的性能。

(6)操作系统平台的性能。

4. 信息安全风险评估的基本过程包括哪些阶段

网络安全风险评估的过程主要分为：风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认和风险分析过程六个阶段。
1、风险评估准备
该阶段的主要任务是制定评估工作计划，包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要，组件评估团队，明确各方责任。
2、资产识别过程
资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类。根据资产的表现形式，可将资产分为数据、软件、硬件、服务和人员等类型。
根据资产在保密性、完整性和可用性上的不同要求，对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。
3、威胁识别过程
在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估，列出为威胁清单，描述威胁属性，并对威胁出现的频率赋值。
4、脆弱性识别过程
脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后，要对具体资产的脆弱性严重程度进行赋值，数值越大，脆弱性严重程度越高。
5、已有安全措施确认
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
6、风险分析过程
完成上述步骤之后，将采用适当的方法与工具进行安全风险分析和计算。可以根据自身情况选择相应的风险计算方法计算出风险值，如矩阵法或相乘法等。如果风险值在可接受的范围内，则改风险为可接受的风险;如果风险值在可接受的范围之外，需要采取安全措施降低控制风险。

5. 网络安全包括哪些内容

• 第一阶段：计算环境安全。

针对操作系统、中间件基础操作以及安全配置进行教学，配置真实业务系统，需掌握Windows操作系统安全、Linux操作系统安全、中间件安全、数据库安全、PowerShell编程、LinuxShell编程、密码学应用等技术，并能够对操作系统以及业务系统进行安全配置以及安全事件分析。

• 第二阶段：网络通信安全。

针对网络通信安全进行教学，涵盖网络基础、交换协议、路由协议、协议流量分析等内容，并配备电信级网络环境为该部门教学提供基础支撑。

本阶段需要掌握网络设计以及规划，并对参与网络的网络设备进行网络互联配置，从业务需求出发对网络结构进行安全设计以及网络设备安全配置。

讲师会结合当前最新安全趋势以及龙头安全企业或行业安全风险对安全市场进行分析及预测，让学员能够在学习阶段提前与安全市场进行接轨。

• 第三阶段：Web安全。

本阶段需掌握Web安全漏洞的测试和验证，以及网络安全攻击思路及手段，熟练利用所学知识以对其进行防御，掌握网络安全服务流程。

• 第四阶段 ：渗透测试。

本阶段需要掌握渗透测试和内网安全。

渗透测试，这阶段主要学习实战中红队人员常用的攻击方法和套路，包括信息搜集，系统提权，内网转发等知识，msf，cs的工具使用。课程目标让学员知己知彼，从攻击者角度来审视自身防御漏洞，帮助企业在红蓝对抗，抵御真实apt攻击中取得不错的结果。

• 第五阶段：安全运营。

根据业务需求掌握目前常见网络安全设备以及服务器的安全配置以及优化，利用所有安全防护手段中得到的线索进行安全事件关联分析以及源头分析，并掌握网络威胁情报理论与实践，掌握威胁模型建立，为主动防御提供思路及支撑。

本阶段主要学习安全加固、等级保护、应急响应、风险评估等技术知识。

• 第六阶段：综合实战

本阶段自选项目，针对热点行业（党政、运营商、医疗、教育、能源、交通等）业务系统、数据中心以及核心节点进行安全运营实战；按等保2.0基本要求对提供公共服务的信息系统进行安全检测、风险评估、安全加固以及安全事件应急响应。

6. 网络设计与实施一般包括哪个阶段,每个阶段需要开什么会

分一下几个阶段：
1、用户需求分析；
2、逻辑网络设计；
3、物理网络设计；
4、执行与实施；
5、系统测试与验收；
6、网络安全、管理与系统维护。
阶段会议可以分为以下几个主题：计划、分析与设计、实施、 运行与维护 。

7. 网络需求分析该怎么做，有哪几步

网络规划与需求分析
需求分析从字面上的意思来理解就是找出"需"和"求"的关系,从当前业务中找出最需要重视的方面,从已经运行的网络中找出最需要改进的地方,满足客户提出的各种合理要求,依据客户要求修改已经成形的方案.
本章重点
2.1需求分析的类型
2.2如何获得需求
2.3可行性论证
2.4工程招标与投标
2.2.1应用背景分析
应用背景需求分析概括了当前网络应用的技术背景,介绍了行业应用的方向和技术趋势,说明本企业网络信息化的必然性.
应用背景需求分析要回答一些为什么要实施网络集成的问题.
(1) 国外同行业的信息化程度以及取得哪些成效
(2) 国内同行业的信息化趋势如何
(3) 本企业信息化的目的是什么
(4) 本企业拟采用的信息化步骤如何
需求分析的类型
P33
2.2.1应用背景分析
应用背景需求分析要回答一些为什么要实施网络集成的问题.
(1) 国外同行业的信息化程度以及取得哪些成效
(2) 国内同行业的信息化趋势如何
(3) 本企业信息化的目的是什么
(4) 本企业拟采用的信息化步骤如何
需求分析的类型
P33
2.2.2业务需求
业务需求分析的目标是明确企业的业务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量QoS)的要求.
业务需求是企业建网中首要的环节,是进行网络规划与设计的基本依据.
需求分析的类型
P33
2.2.2业务需求
通过业务需求分析要为以下方面提供决策依据:
(1) 需实现或改进的企业网络功能有那些
(2) 需要集成的企业应用有哪些
(3) 需要电子邮件服务吗
(4) 需要Web服务吗
(5) 需要上网吗 带宽是多少
(6) 需要视频服务吗
(7) 需要什么样的数据共享模式
(8) 需要多大的带宽范围
(9) 计划投入的资金规模是多少
需求分析的类型
P33
2.2.3管理需求
网络的管理是企业建网不可或缺的方面,网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理.高效的管理策略能提高网络的运营效率,建网之初就应该重视这些策略.
需求分析的类型
P34
2.2.3管理需求
网络管理的需求分析要回答以下类似的问题:
是否需要对网络进行远程管理,远程管理可以帮助网络管理员利用远程控制软件管理网络设备,使网管工作更方便,更高效.
谁来负责网络管理;
需要哪些管理功能,如需不需要计费,是否要为网络建立域,选择什么样的域模式等;
需求分析的类型
P34
2.2.3管理需求
选择哪个供应商的网管软件,是否有详细的评估;
选择哪个供应商的网络设备,其可管理性如何;
需不需要跟踪和分析处理网络运行信息;
将网管控制台配置在何处
是否采用了易于管理的设备和布线方式
需求分析的类型
P34
2.2.4安全性需求
企业安全性需求分析要明确以下几点:
企业的敏感性数据的安全级别及其分布情况;
网络用户的安全级别及其权限;
可能存在的安全漏洞,这些漏洞对本系统的影响程度如何;
网络设备的安全功能要求;
需求分析的类型
P34
2.2.4安全性需求
网络系统软件的安全评估;
应用系统安全要求;
采用什么样的杀毒软件;
采用什么样的防火墙技术方案;
安全软件系统的评估;
网络遵循的安全规范和达到的安全级别.
需求分析的类型
P34
2.2.5通信量需求
通信量需求是从网络应用出发,对当前技术条件下可以提供的网络带宽做出评估.
需求分析的类型
P35
应用类型
基本带宽需求
备注
PC连接
14.4kb/s~56kb/s
远程连接,FTP,HTTP,E-mail
文件服务
100kb/s以上
局域网内文件共享,C/S应用,
B/S应用,在线游戏等绝大部分纯文本应用
压缩视频
256kb/s以上
Mp3,rm等流媒体传输
非压缩视频
2Mb/s以上
Vod视频点播,视频会议等
表2-1 列举常见应用对通信量的需求
2.2.5通信量需求
未来有没有对高带宽服务的要求;
需不需要宽带接入方式,本地能够提供的宽带接入方式有哪些;
哪些用户经常对网络访问有特殊的要求 如行政人员经常要访问OA服务器,销售人员经常要访问ERP数据库等.
哪些用户需要经常访问Internet 如客户服务人员经常要收发E_mail.
哪些服务器有较大的连接数
哪些网络设备能提供合适的带宽且性价比较高.
需要使用什么样的传输介质.
服务器和网络应用能够支持负载均衡吗
需求分析的类型
P35
2.2.6网络扩展性需求分析
网络的扩展性有两层含义,其一是指新的部门能够简单地接入现有网络;其二是指新的应用能够无缝地在现有网络上运行.
扩展性分析要明确以下指标:
(1) 企业需求的新增长点有哪些;
(2) 已有的网络设备和计算机资源有哪些
(3) 哪些设备需要淘汰,哪些设备还可以保留
(4) 网络节点和布线的预留比率是多少
(5) 哪些设备便于网络扩展
(6) 主机设备的升级性能
(7) 操作系统平台的升级性能
需求分析的类型
P35
2.2.7网络环境需求
网络环境需求是对企业的地理环境和人文布局进行实地勘察以确定网络规模,地理分划,以便在拓扑结构设计和结构化综合布线设计中做出决策.
网络环境需求分析需要明确下列指标:
(1) 园区内的建筑群位置;
(2) 建筑物内的弱电井位置,配电房位置等;
(3) 各部分办公区的分布情况;
(4) 各工作区内的信息点数目和布线规模;
需求分析的类型
P36
2.3.1获得需求信息的方法
1. 实地考察
实地考察是工程设计人员获得第一手资料采用的最直接的方法,也是必需的步骤;
如何获得需求
P36
2.3.1获得需求信息的方法
2. 用户访谈
用户访谈要求工程设计人员与招标单位的负责人通过面谈,电话交谈,电子邮件等通讯方式以一问一答的形式获得需求信
如何获得需求
P36
2.3.1获得需求信息的方法
3.问卷调查
问卷调查通常对数量较多的最终用户提出,询问其对将要建设的网络应用的要求.
如何获得需求
P36
问卷调查的方式可以分为无记名问卷调查和记名问卷调查
2.3.1获得需求信息的方法
4.向同行咨询
将你获得的需求分析中不涉及到商业机密的部分发布到专门讨论网络相关技术的论坛或新闻组中,请同行给你参考你制定的设计说明书,这时候,你会发现热心于你的方案的人们通常会给出许多中肯的建议
如何获得需求
P36
2.3.2归纳整理需求信息
通过各种途径获取的需求信息通常是零散的,无序的,而且并非所有需求信息都是必要的或当前可以实现的,只有对当前系统总体设计有帮助的需求信息才应该保留下来,其他的仅作为参考或以后升级使用.
1.将需求信息用规范的语言表述出来
2.对需求信息列表
如何获得需求
P38
2.3.2归纳整理需求信息
需求信息也可以用图表来表示.图表带有一定的分析功能,常用的有柱图,直方图,折线图和饼图.
如何获得需求
P39
2.4 可行性论证
需求分析所取得的资料经过整理后得到需求分析文档,但这种需求分析文档还需要经过论证后才能最终确定下来.参与论证活动的人员除了需求分析工作的负责人外,还要邀请其他部门的负责人,以及招标方的领导和专家.
可行性论证求
P40
2.4.1 可行性论证的目的
可行性论证是就工程的背景,意义,目的,目标,工程的功能,范围,需求,可选择的技术方案,设计要点,建设进度,工程组织,监理,经费等方面作出可行性验证,指出工程建设中选择软硬件的依据,降低项目建设的总体风险.
提供正确选择软硬件系统的依据
验证可行性,减少项目建设的总体风险
产生应用系统原型,积累必要的经验
加强客户,系统集成商,设备供应商之间的合作关系
降低后期实施的难度,提高客户服务水平和满意度
可行性论证求
P40
2.4.1 可行性论证的目的
在编写可行性论证报告时,主要对下列项目逐条说明:
1.系统建设的目的
2.技术可行性
3.应用可行性
4.人员,资金可行性
5.设备可行性
6.安全可行性
可行性论证求
P40
2.5 工程招标与投标
为了保证网络工程的建设质量,网络建设方应该以公开招标的方式确定承建商.参与投标的承建商拿出各自的标书参与投标,其中标书的主要内容就来自于需求分析报告和可行性论证报告.
工程招投标是一个规范的网络工程必需的环节.
工程招标与投标
P41
2.5.1工程招标流程简介
1.招标方聘请监理部门工作人员,根据需求分析阶段提交的网络系统集成方案,编制网络工程标底;
2. 做好招标工作的前期准备,编制招标文件;
3. 发布招标通告或邀请函,负责对有关网络工程问题进行咨询;
4. 接受投标单位递送的标书;
5. 对投标单位资格,企业资质等进行审查.审查内容包括:企业注册资金,网络系统集成工程案例,技术人员配置,各种网络代理资格属实情况,各种网络资质证书的属实情况.
工程招标与投标
P41
2.5.1工程招标流程简介
6. 邀请计算机专家,网络专家组成评标委员会;
7. 开标,公开招标各方资料,准备评标;
8. 评标,邀请具有评标资质的专家参与评标,对参评方各项条件公平打分,选择得分最高的系统集成商;
9. 中标,公告中标方,并与中标方签订正式工程合同.
工程招标与投标
P41
2.5.2工程招标
计算机网络工程招标的目的,是为了以公开,公平,公正的原则和方式,从众多系统集成商中,选择一个有合格资质,并能为用户提供最佳性能价格比的集成商.
编制招标文件
招标
工程招标与投标
P41
2.5.3工程投标
投标人在索取,购买标书后,应该仔细阅读标书的投标要求及投标须知.在同意并遵循招标文件的各项规定和要求的前提下,提出自己的投标文件.
编制投标文件
投标
1,递交投标文件
2,评标
3,中标
4,签订合同
工程招标与投标
P41
标书内容
(1)参评方案一览表
(2)参评方案价格表
(3)系统集成方案
(4)设备配置及参数一览表
(5)公司有关计算机设备及备件报价一览表
(6)从业人员及其技术资格一览表
(7)公司情况一览表,
(8)公司经营业绩一览表
(9)中标后服务计划
(10)资格证明文件,及参评方案方认为需要加以说明的其他内容
(11)文档资料清单
(12)参评方案保证金