网络安全决方案

第十章第十章 网络安全解决方案网络安全解决方案第第10章章 网络安全解决方案网络安全解决方案 内容提要：内容提要：网络安全体系结构网络安全体系结构网络安全解决方案网络安全解决方案 网络安全解决方案设计网络安全解决方案设计单机用户网络安全解决方案单机用户网络安全解决方案 内部网络安全管理制度内部网络安全管理制度 小结小结第十章第十章 网络安全解决方案网络安全解决方案10.1 网络安全体系结构网络安全体系结构 1.网络信息安全的基本问题网络信息安全的基本问题 网络信息安全的基本问题是众所周知的诸网络信息安全的基本问题是众所周知的诸要素：要素：可用性、保密性、完整性、可控性与可可用性、保密性、完整性、可控性与可审查性审查性等。等。最终要解决是使用者对基础设施的信心和最终要解决是使用者对基础设施的信心和责任感的问题。责任感的问题。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 网络时代的信息安全有非常独特的特征，网络时代的信息安全有非常独特的特征，研究信息安全的困难在于：研究信息安全的困难在于：边界模糊边界模糊评估困难评估困难安全技术滞后安全技术滞后管理滞后管理滞后返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2.网络与信息安全体系网络与信息安全体系 要实施一个完整的网络与信息安全体系，要实施一个完整的网络与信息安全体系，至少应包括三类措施，并且三者缺一不可。至少应包括三类措施，并且三者缺一不可。一是社会的法律政策、规章制度措施一是社会的法律政策、规章制度措施二是技术措施二是技术措施三是审计和管理措施三是审计和管理措施返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 数据安全、平台安全、服务安全要求用完数据安全、平台安全、服务安全要求用完整的信息保障体系，并不断发展传统的信息安整的信息保障体系，并不断发展传统的信息安全概念。全概念。保护、检测、响应、恢复涵盖了对现代网保护、检测、响应、恢复涵盖了对现代网络信息系统保护的各个方面，构成了一个完整络信息系统保护的各个方面，构成了一个完整的体系，使网络信息安全建筑在更坚实的基础的体系，使网络信息安全建筑在更坚实的基础之上。之上。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（1）保护（）保护（Protect）：）：保护包括传统安全概念的继承，用加解密保护包括传统安全概念的继承，用加解密技术、访问控制技术、数字签名技术，从信息技术、访问控制技术、数字签名技术，从信息动态舆、数据静态存储和经授权方可使用，以动态舆、数据静态存储和经授权方可使用，以及可验证的信息交换过程等到方面对数据及其及可验证的信息交换过程等到方面对数据及其网上操作加以保护。网上操作加以保护。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）检测（）检测（Detect）：）：检测的含义是，对信息传输的内容的可控检测的含义是，对信息传输的内容的可控性的检测，对信息平台访问过程的甄别检测，性的检测，对信息平台访问过程的甄别检测，对违规与恶意攻击的检测，对系统与网络弱点对违规与恶意攻击的检测，对系统与网络弱点与漏洞的检测等等。与漏洞的检测等等。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（3）响应（）响应（React）：）：在复杂的信息环境中，保证在任何时候信在复杂的信息环境中，保证在任何时候信息平台能高效正常运行，要求安全体系提供有息平台能高效正常运行，要求安全体系提供有力的响应机制。力的响应机制。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（4）恢复（）恢复（Restore）：）：狭义的恢复指灾难恢复，在系统受到攻击狭义的恢复指灾难恢复，在系统受到攻击的时候，评估系统受到的危害与损失，按紧急的时候，评估系统受到的危害与损失，按紧急响应预案进行数据与系统恢复，启动备份系统响应预案进行数据与系统恢复，启动备份系统恢复工作等。广义的恢复还包括灾难生存等现恢复工作等。广义的恢复还包括灾难生存等现代新兴学科的研究。代新兴学科的研究。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 保护、检测、响应、恢复四个概念之间存保护、检测、响应、恢复四个概念之间存在着一定的因果和依存关系，形成一个整体。在着一定的因果和依存关系，形成一个整体。如果全面的保护仍然不能确保安全（这在现阶如果全面的保护仍然不能确保安全（这在现阶段是必然的），就需要检测来为响应创造条件；段是必然的），就需要检测来为响应创造条件；有效与充分地响应安全事件，将大大减少对保有效与充分地响应安全事件，将大大减少对保护和恢复的依赖；恢复能力是在其他措施均失护和恢复的依赖；恢复能力是在其他措施均失准备的情形下的最后保障机制。准备的情形下的最后保障机制。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案3.网络安全设计的基本原则网络安全设计的基本原则 要使信息系统免受攻击，关键要建立起安要使信息系统免受攻击，关键要建立起安全防御体系，从信息的保密性，拓展到信息的全防御体系，从信息的保密性，拓展到信息的完整性、信息的可用性、信息的可控性、信息完整性、信息的可用性、信息的可控性、信息的不可否认性等。的不可否认性等。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 在进行计算机网络安全设计、规划时，应在进行计算机网络安全设计、规划时，应遵循以下原则：遵循以下原则：需求、风险、代价平衡分析的原则需求、风险、代价平衡分析的原则 综合性、整体性原则综合性、整体性原则一致性原则一致性原则易操作性原则易操作性原则适应性、灵活性原则适应性、灵活性原则多重保护原则多重保护原则返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 任何安全保护措施都不是绝对安全的，都任何安全保护措施都不是绝对安全的，都可能被攻破。为此需要构建全方位的安全体系。可能被攻破。为此需要构建全方位的安全体系。全方位的安全体系的主要内容包括：全方位的安全体系的主要内容包括：访问控制访问控制检查安全漏洞检查安全漏洞攻击监控攻击监控加密通讯加密通讯认证认证备份和恢复备份和恢复返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.2 网络安全解决方案网络安全解决方案 1.网络安全解决方案的基本概念网络安全解决方案的基本概念 网络安全解决方案可以看作是一张有关网网络安全解决方案可以看作是一张有关网络系统安全工程的图纸，图纸设计的好坏直接络系统安全工程的图纸，图纸设计的好坏直接关系到工程质量的优劣。关系到工程质量的优劣。总体来说，网络安全解决方案涉及安全操总体来说，网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名侵检测技术、安全扫描技术、认证和数字签名技术、技术、VPN技术等多方面的安全技术。技术等多方面的安全技术。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 一份好的网络安全解决方案，不仅仅要考一份好的网络安全解决方案，不仅仅要考虑到虑到技术技术，还要考虑到，还要考虑到策略策略和和管理管理。u技术是关键技术是关键u策略是核心策略是核心u管理是保证管理是保证 在整个网络安全解决方案中，始终要体现在整个网络安全解决方案中，始终要体现出这三个方面的关系。出这三个方面的关系。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 一套完整的网络安全解决方案应有针对性一套完整的网络安全解决方案应有针对性地解决可能面临的安全问题，主要包括：地解决可能面临的安全问题，主要包括：u关于物理安全的考虑关于物理安全的考虑 u关于数据安全的考虑关于数据安全的考虑u数据备份的考虑数据备份的考虑u防病毒的考虑防病毒的考虑u关于操作系统关于操作系统/数据库数据库/应用系统的安全考虑应用系统的安全考虑u网络系统安全结构的考虑网络系统安全结构的考虑u通信系统安全的考虑通信系统安全的考虑u关于口令安全的考虑关于口令安全的考虑u关于软件研发安全的考虑关于软件研发安全的考虑u关于人员安全因素的考虑关于人员安全因素的考虑 返回本章首页返回本章首页u网络相关设施的设置和改造网络相关设施的设置和改造 u安全设备的选型安全设备的选型u安全策略与安全管理保障机制的设计安全策略与安全管理保障机制的设计u网络安全行政与法律保障体系的建立网络安全行政与法律保障体系的建立u长期安全顾问服务长期安全顾问服务u服务的价格服务的价格u事件处理机制事件处理机制u安全监控网络和安全监控中心的建立安全监控网络和安全监控中心的建立u安全培训等安全培训等第十章第十章 网络安全解决方案网络安全解决方案2.网络安全解决方案的层次划分网络安全解决方案的层次划分u第一部分是社会法律、法规与手段第一部分是社会法律、法规与手段u第二部分为增强的用户认证第二部分为增强的用户认证u第三部分是授权第三部分是授权u第四部分是加密第四部分是加密u第五部分为审计和监控和数据备份第五部分为审计和监控和数据备份 这五部分相辅相成、缺一不可，其中底层这五部分相辅相成、缺一不可，其中底层是上层保障的基础。是上层保障的基础。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案3.网络安全解决方案的框架网络安全解决方案的框架 完整的网络安全解决方案应该包括以下完整的网络安全解决方案应该包括以下7个主要方面：个主要方面：u网络安全需求分析网络安全需求分析u网络安全风险分析网络安全风险分析u网络安全威胁分析网络安全威胁分析u网络系统的安全原则网络系统的安全原则u网络安全产品网络安全产品u风险评估风险评估u安全服务安全服务返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.3 网络安全解决方案设计网络安全解决方案设计 1.目标系统状况目标系统状况 返回本章首页返回本章首页 本节以某本节以某企业网络为例，企业网络为例，来介绍网络安来介绍网络安全解决方案设全解决方案设计的一般过程，计的一般过程，目标网络拓扑目标网络拓扑结构如右图所结构如右图所示。示。第十章第十章 网络安全解决方案网络安全解决方案2.安全需求分析安全需求分析 网络系统的总体安全需求是建立在对网络网络系统的总体安全需求是建立在对网络安全层次分析基础上的。对于基于安全层次分析基础上的。对于基于TCP/IP协协议的网络系统来说，安全层次是与议的网络系统来说，安全层次是与TCP/IP协协议层次相对应的。议层次相对应的。针对该企业网络的实际情况，可以将安全针对该企业网络的实际情况，可以将安全需求层次归纳为需求层次归纳为网络层安全网络层安全和和应用层安全应用层安全两个两个技术层次，同时将在各层都涉及的技术层次，同时将在各层都涉及的安全管理安全管理部部分单独作为一部分进行分析。分单独作为一部分进行分析。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案网络层需求分析网络层需求分析 网络层安全需求是保护网络不受攻击，确保网络层安全需求是保护网络不受攻击，确保网络服务的可用性。网络服务的可用性。保证同保证同Internet互联的边界安全互联的边界安全能够防范来自能够防范来自Internet的对提供服务的非法利用。的对提供服务的非法利用。防范来自防范来自Internet的网络入侵和攻击行为的发生。的网络入侵和攻击行为的发生。对于内部网络提供高于网络边界更高的安全保护。对于内部网络提供高于网络边界更高的安全保护。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案应用层需求分析应用层需求分析 应用层的安全需求是针对用户和网络应用资应用层的安全需求是针对用户和网络应用资源的，主要包括：源的，主要包括：合法用户可以以指定的方式访问指定的信息；合法用户可以以指定的方式访问指定的信息；合法用户不能以任何方式访问不允许其访问的合法用户不能以任何方式访问不允许其访问的信息；信息；非法用户不能访问任何信息；非法用户不能访问任何信息；用户对任何信息的访问都有记录。用户对任何信息的访问都有记录。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案应用层要解决的安全问题包括：应用层要解决的安全问题包括：非法用户利用应用系统的后门或漏洞，强行进非法用户利用应用系统的后门或漏洞，强行进入系统入系统用户身份假冒用户身份假冒非授权访问非授权访问数据窃取数据窃取数据篡改数据篡改数据重放攻击数据重放攻击抵赖抵赖返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案企业网络应用系统的安全体系应包含：企业网络应用系统的安全体系应包含：访问控制访问控制检查安全漏洞检查安全漏洞攻击监控攻击监控加密通讯加密通讯认证认证备份和恢复备份和恢复多层防御多层防御隐藏内部信息隐藏内部信息设立安全监控中心设立安全监控中心返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案安全管理需求分析安全管理需求分析 能否制定一个统一的安全策略，在全网范能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于企业网来说是围内实现统一的安全管理，对于企业网来说是至关重要的。至关重要的。安全管理主要包括三个方面：安全管理主要包括三个方面：内部安全管理内部安全管理网络安全管理网络安全管理应用安全管理应用安全管理 返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案3.网络安全解决方案网络安全解决方案 返回本章首页返回本章首页 根据根据上述网络安上述网络安全解决方案全解决方案的层次分析，的层次分析，可以设计出可以设计出如图所示的如图所示的网络安全解网络安全解决方案。决方案。第十章第十章 网络安全解决方案网络安全解决方案 在网关位置配置多接口防火墙，将整个网在网关位置配置多接口防火墙，将整个网络划分为外部网络、内部网络、络划分为外部网络、内部网络、DMZ区等多个区等多个安全区域，将工作主机放置于内部网络区域，安全区域，将工作主机放置于内部网络区域，将将Web服务器、数据库服务器等服务器放置在服务器、数据库服务器等服务器放置在DMZ区域，其他区域对服务器区的访问必须经区域，其他区域对服务器区的访问必须经过防火墙模块的检查。过防火墙模块的检查。在中心交换机上配置基于网络的在中心交换机上配置基于网络的IDS系统，系统，监控整个网络内的网络流量。监控整个网络内的网络流量。在在DMZ区内的重要服务器上安装基于主机区内的重要服务器上安装基于主机的的IDS系统，对所有对上述服务器的访问进行系统，对所有对上述服务器的访问进行监控，并对相应的操作进行记录和审计。监控，并对相应的操作进行记录和审计。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案 将电子商务网站和进行企业普通将电子商务网站和进行企业普通Web发布发布的服务器进行独立配置，对电子商务网站的访的服务器进行独立配置，对电子商务网站的访问将需要身份认证和加密传输，保证电子商务问将需要身份认证和加密传输，保证电子商务的安全性。的安全性。在在DMZ区的电子商务网站配置基于主机的区的电子商务网站配置基于主机的入侵检测系统，防止来自入侵检测系统，防止来自Internet 对对Http服服务的攻击行为。务的攻击行为。在企业总部安装统一身份认证服务器，对在企业总部安装统一身份认证服务器，对所有需要的认证进行统一管理，并根据客户的所有需要的认证进行统一管理，并根据客户的安全级别设置所需要的认证方式（如静态口令，安全级别设置所需要的认证方式（如静态口令，动态口令，数字证书等）。动态口令，数字证书等）。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案设备说明设备说明 u防火墙设备防火墙设备 在本方案中选用的防火墙设备是在本方案中选用的防火墙设备是CheckPoint FireWall-1防火墙。防火墙。FireWall-1功能特点有：功能特点有：对应用程序的广泛支持对应用程序的广泛支持集中管理下的分布式客户机集中管理下的分布式客户机/服务器结构服务器结构远程网络访问的安全保障（远程网络访问的安全保障（FireWall-1 SecuRemote）：）：返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案u防病毒设备防病毒设备 在本方案中防病毒设备选用的是趋势科技在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案，包括中央管理的整体防病毒产品和解决方案，包括中央管理控制、服务器防病毒和客户机防病毒三部分。控制、服务器防病毒和客户机防病毒三部分。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案u入侵监测设备入侵监测设备 在本方案中入侵监测设备采用的是在本方案中入侵监测设备采用的是NFR入入侵监测设备，包括侵监测设备，包括NFR NID和和NFR HID。NFR把基于网络的入侵检测技术把基于网络的入侵检测技术NID和基和基于主机的入侵检测技术于主机的入侵检测技术HID完美地结合起来，完美地结合起来，构成了一个完整的，一致的实时入侵监控体系。构成了一个完整的，一致的实时入侵监控体系。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案uSAP身份认证设备身份认证设备 本方案采用的身份认证设备是本方案采用的身份认证设备是Secure Computing的的SafeWord。SafeWord具备分具备分散式运作及无限制的可扩充特性。散式运作及无限制的可扩充特性。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.4 单机用户网络安全解决方案单机用户网络安全解决方案 1.单机用户面临的安全威胁单机用户面临的安全威胁 单机上网用户面临的安全问题主要包括：计单机上网用户面临的安全问题主要包括：计算机硬件设备的安全、计算机病毒、网络蠕虫、算机硬件设备的安全、计算机病毒、网络蠕虫、恶意攻击、木马程序、网站恶意代码、操作系统恶意攻击、木马程序、网站恶意代码、操作系统和应用软件漏洞等。和应用软件漏洞等。电子邮件（电子邮件（Email）在给人们带来方便的同时）在给人们带来方便的同时也会带来一些安全问题，主要包括：也会带来一些安全问题，主要包括：u电子邮件容易被截获电子邮件容易被截获u电子邮件客户端软件设计存在缺陷电子邮件客户端软件设计存在缺陷返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2.单机用户网络安全解决方案单机用户网络安全解决方案 由于当前个人用户使用由于当前个人用户使用Windows类操作类操作系统的占大多数，因此本书所讨论的单机用户系统的占大多数，因此本书所讨论的单机用户网络安全解决方案主要针对网络安全解决方案主要针对Windows系列操系列操作系统。作系统。以上对单机用户所面临安全威胁的分析，以上对单机用户所面临安全威胁的分析，单机用户网络安全解决方案需要解决防病毒与单机用户网络安全解决方案需要解决防病毒与木马、防网络攻击、防网站恶意代码，以及电木马、防网络攻击、防网站恶意代码，以及电子邮件安全等方面的问题。子邮件安全等方面的问题。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防病毒与木马防病毒与木马 防病毒与木马主要依赖于防病毒软件，目防病毒与木马主要依赖于防病毒软件，目前比较流行的有代表性的防病毒软件有：前比较流行的有代表性的防病毒软件有：Norton Anti-Virus、Kaspersky Anti-Virus、江民的江民的KV系列、金山毒霸和瑞星等。系列、金山毒霸和瑞星等。防病毒软件通常也具有一定防木马的能力，防病毒软件通常也具有一定防木马的能力，专业的防木马软件有：木马克星、专业的防木马软件有：木马克星、Anti-Trojan、Trojan Remover等。等。安装防病毒软件绝对不是一劳永逸的，一安装防病毒软件绝对不是一劳永逸的，一定要养成定期更新病毒代码库的良好习惯。定要养成定期更新病毒代码库的良好习惯。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防网络攻击防网络攻击 防网络攻击的有效手段是安装个人防火墙。防网络攻击的有效手段是安装个人防火墙。应用防火墙软件最主要的是要设置好防火墙的应用防火墙软件最主要的是要设置好防火墙的规则，只有这样才能正常发挥抵御网络攻击的规则，只有这样才能正常发挥抵御网络攻击的能力。典型的个人防火墙软件主要有：能力。典型的个人防火墙软件主要有：Norton Internet Security、ZoneAlarm Pro、Black Ice、天网防火墙（个人版）等。、天网防火墙（个人版）等。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案防网站恶意代码防网站恶意代码 对于单机上网用户来说，网站恶意代码是对于单机上网用户来说，网站恶意代码是威胁用户安全的主要因素。威胁用户安全的主要因素。为了防网站恶意代码的危害，不让其执行为了防网站恶意代码的危害，不让其执行是其中的关键。可以在是其中的关键。可以在IE浏览器的安全设置中浏览器的安全设置中禁止禁止VBScript和和JavaScript的执行。此外，的执行。此外，如今的防病毒软件大多数也具有检测并杀除网如今的防病毒软件大多数也具有检测并杀除网站恶意代码的能力。站恶意代码的能力。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案电子邮件安全电子邮件安全 从技术上看，没有任何办法可以阻止攻击从技术上看，没有任何办法可以阻止攻击者截获需要在网络上传输的数据包。者截获需要在网络上传输的数据包。保护电子邮件安全的唯一方法就是让攻击保护电子邮件安全的唯一方法就是让攻击者截获了数据包但无法阅读它，即对电子邮件者截获了数据包但无法阅读它，即对电子邮件的内容进行某种形式的加密处理。目前已经出的内容进行某种形式的加密处理。目前已经出现了不少解决电子邮件安全问题的加密系统解现了不少解决电子邮件安全问题的加密系统解决方案，其中最具代表性的是决方案，其中最具代表性的是PGP加密系统。加密系统。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.5 内部网络安全管理制度内部网络安全管理制度 面对网络安全的脆弱性，除在网络设计上面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。下外，还必须花大力气加强网络的安全管理。下面提出有关信息系统安全管理的若干原则和实面提出有关信息系统安全管理的若干原则和实施措施以供参考。施措施以供参考。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案1.安全管理原则安全管理原则 计算机信息系统的安全管理主要基于三个计算机信息系统的安全管理主要基于三个原则。原则。多人负责原则多人负责原则任期有限原则任期有限原则职责分离原则职责分离原则返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案2安全管理的实现安全管理的实现 信息系统的安全管理部门应根据管理原则和该信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：采用相应规范，其具体工作是：确定该系统的安全等级。确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。根据确定的安全等级，确定安全管理的范围。制订相应的机房出入管理制度。制订相应的机房出入管理制度。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案制订严格的操作规程。制订严格的操作规程。制订完备的系统维护制度。制订完备的系统维护制度。制订应急措施。制订应急措施。建立人员雇用和解聘制度建立人员雇用和解聘制度,对工作调动和离职人对工作调动和离职人员要及时调整相应的授权。员要及时调整相应的授权。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案3网络安全管理制度网络安全管理制度（1）网络安全管理的基本原则）网络安全管理的基本原则分离与制约原则分离与制约原则内部人员与外部人员分离内部人员与外部人员分离用户与开发人员分离用户与开发人员分离用户机与开发机分离用户机与开发机分离权限分级管理权限分级管理有限授权原则有限授权原则预防为主原则预防为主原则可审计原则可审计原则返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案（2）安全管理制度的主要内容包括：）安全管理制度的主要内容包括：机构与人员安全管理机构与人员安全管理系统运行环境安全管理系统运行环境安全管理硬设施安全管理硬设施安全管理软设施安全管理软设施安全管理网络安全管理网络安全管理数据安全管理数据安全管理技术文档安全管理技术文档安全管理应用系统运营安全管理应用系统运营安全管理操作安全管理操作安全管理应用系统开发安全管理应用系统开发安全管理返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案10.5 小结小结 网络安全是一项复杂的系统工程，涉及技网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从总体上进行把握。网络解决方案的制定需要从总体上进行把握。网络安全解决方案的内涵是综合运用各种计算机网安全解决方案的内涵是综合运用各种计算机网络信息系统安全技术，将安全操作系统技术、络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、安全扫描技术、认证和数字签名技术、VPN技技术等综合起来，形成一个完整的、协调一致的术等综合起来，形成一个完整的、协调一致的网络安全防护体系。网络安全防护体系。返回本章首页返回本章首页第十章第十章 网络安全解决方案网络安全解决方案返回本章首页返回本章首页本章到此结束，谢谢！本章到此结束，谢谢！