资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,构建安全网络培训教材,14.1,风险分析与安全策略,一、网络安全计划制定步骤:,确认保护什么,考虑防止什么,考虑这种威胁发生的可能性,实施最经济有效的保护措施,不断重复以上过程,不断完善计划,(地震、水灾、火灾、盗窃),网络平台威胁 (服务器、路由器),系统安全威胁 (,WINDOWS,、,UNIX,),应用安全威胁 (,QQ,、,EMAIL,、电子商务),管理安全威胁 (口令、泄露、下载),黑客攻击,恶意代码,不满员工,3,、网络信息安全模型,加密,授权,认证,审计,政策、法律、法规,4,、网络的一般安全需求,公开服务器的保护,防止黑客从外部攻击,入侵检测、监控,信息审计、记录,病毒防护,数据安全保护(加密、备份),网络安全管理,5,、设计和实现安全策略,安全策略的作用:,定义网络运作、管理的原则,是网络系统、应用软件、员工、访客应遵守的协议,安全策略依据:,安全需求、目标(对用户提供的服务),初始投资、后续投资,使用方便、服务效率,复杂度和安全性的平衡,网络性能,安全策略的建立,做什么?怎么做?,7 X 24,小时防止网络入侵,7 X 24,小时使用,IDS,防止网络入侵,针对不同岗位职责划分层次:,系统管理员、数据库管理员、安全管理员、普通用户,安全解决方案的构成要素,完整的安全解决方案必须包含以下要素,:,物理保护,-,你在哪里,?,用户身份验证,-,你是谁,?,访问控制,-,哪些资源允许你使用,?,加密,-,哪些信息应当隐藏,?,管理,-,网络上发生了什么事情,?,新的安全问题,基本策略,管理检查,策略研究,寻求反馈,检查过程,草拟策略,提议策略初稿,法律检查,最终策略方案,批准、发布,用户培训,安全策略的制定流程,确定关键人员,6,、编写安全计划书,总则 (总体思路、任务),网络系统状况分析 (结构、连接状态),网络系统安全风险分析,(物理、平台、系统、应用、管理安全性),安全需求分析与安全策略的制定 (需求、目标),方案总体设计 (使用的安全机制、服务),体系结构设计,安全系统的配置及实现,7,、安全体系的设计原则,(,1,)需求、风险、代价平衡的原则,(,2,)综合性、整体性原则,(,3,)一致性原则,(,4,)易操作性原则,(,5,)适应性、灵活性,(,6,)多重保护原则,(,7,)分步实施原则,(,8,)可评价原则,14.2,网络安全体系,一、物理安全,环境安全:机房设计规范、场地要求,设备安全:防盗、防毁、电磁辐射,传输介质安全:防盗、防毁、截获,二、网络安全,网络系统安全:(拓扑、路由),1,、访问控制及内外网的隔离,2,、内网不同安全区域的隔离与访问控制,3,、网络安全检测,4,、审计与监控,5,、防病毒,6,、数据备份,7,、系统容错、网络冗余(负载平衡、镜像),三、系统、信息、应用安全,操作系统安全(配置、漏洞、检测),应用程序安全(认证、授权、审计、加密),数据安全(存储、传输、访问、备份),四、安全管理,安全管理原则:,责任人原则 任期有限 职责分离,管理实现:,根据工作的重要程度,确定系统安全等级,根据安全等级,确定安全管理范围,制定机房出入管理制度、操作规程,制定完备的系统维护制度、应急测试,14.3,网络安全性测试、评估,一、安全测试,使用扫描工具检测系统漏洞,监视端口、网络流量、网络性能,蜜罐系统,发现问题,修改、投入运行,如此反复,二、网络安全评估,三个主要目标:,存取的控制,系统和数据的完整性,系统恢复和数据备份,14.4,网络安全解决方案举例,一、某银行的安全体系,防火墙,CA,认证加密系统,安全漏洞扫描和实时入侵检测,严格的系统备份和管理制度,二、某企业网的安全体系,安全网络体系结构设计,外部访问子网(外部拨号子网),公共资源子网,内部用户子网(按照部门划分,2,级子网),网管、服务子网(,WEB,服务认证、加密),敏感资源子网,因特网,公共资源子网,敏感资源子网,管理及安全服务子网,内部用户子网,外部资源子网,路由器,IDS,防火墙,防火墙,IDS,IDS,某企业的安全网络体系结构,中国国际电子商务网,图,1-1,典型校园网络拓扑图,中国国际电子商务网标准体系,网络安全组件,防火墙系统,入侵检测系统,管理和监视系统(基本系统监控、安全设备监控、日志文件管理),安全认证系统,其他安全应用程序,本章到此结束,谢谢,
展开阅读全文