《第5章 网络安全.ppt》由会员分享,可在线阅读,更多相关《第5章 网络安全.ppt(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络工程斯桃枝等编著人民邮电出版社第 5 章 网络安全 1/22/20231网络工程斯桃枝等编著人民邮电出版社第 5 章 网络安全随着计算机网络技术的不断发展,全球信息化已成为人类社会发展的大趋势。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。1/22/20232网络工程斯桃枝等编著人民邮电出版社5.1 网络安全设计过程解决网络安全问题的一般设计步骤如下:确定网络资源;分析安全需求;评估网络风险;制定安全策略;决定所需安全服务种类;选择相应安全机制;安全系统集
2、成;测试安全性,定期审查;培训用户、管理者和技术人员。1/22/20233网络工程斯桃枝等编著人民邮电出版社网络风险评估 进行风险评估需要系统地考虑以下问题:企业对外开放的程度及对黑客的吸引力有多大;安全故障可能造成的业务损失,包含由于信息和其他资产的保密性、完整性或可用性损失可能造成的后果;企业网络互连网服务是否是必须的,这些服务的风险有多大;当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施。安全状态评估通常采用5种方式来了解安全漏洞:对现有安全策略和制度进行分析;1/22/20234网络工程斯桃枝等编著人民邮电出版社参照一些通用的安全基线来考查系统安全状态;利用安全扫描工具来
3、发现一些技术性的常见漏洞;允许一些有经验的人在监管之下对特定的机密信息和区域做模拟入侵系统,以确定特定区域和信息的安全等级;对该系统的安全管理人员和使用者进行访谈,以确定安全管理制度的执行情况和漏洞。一般的风险评估可采用以下方法:遵循有关规定 量化分析方法 定性分析方法 1/22/20235网络工程斯桃枝等编著人民邮电出版社风险评估工具 的种类:基于国家或政府颁布的信息安全管理标准或指南而建立风险评估工具,如CRAMM,RA等;基于专家系统的风险评估工具,如COBRA,RISK,BDSS等;基于定性或定量算法的风险分析工具,如CONTROL-IT,Definitive Scenario,JAN
4、BER都是定性的风险评估工具,而RISK,The Buddy System,RiskCALC,CORA(Cost-of-Risk Analysis)是半定量(定性与定量方法相结合)的风险评估工具。1/22/20236网络工程斯桃枝等编著人民邮电出版社网络安全开发与过程 根据风险评估结果制定相应的安全策略 安全策略的制定步骤 对策略的评估 开发安全策略的过程实现 安全服务种类 安全服务的一般分类 安全服务在工程中的分类 安全系统集成 明确面临的各种可能攻击和风险;明确安全策略;建立安全模型;选择并实现安全服务;将安全服务配置到具体协议里。1/22/20237网络工程斯桃枝等编著人民邮电出版社5.
5、2 网络安全机制设计物理安全 主要包括如下3个方面:环境安全 设备安全 媒体安全 正常的防范措施主要有以下方面:对主机房及重要信息存储、收发部门进行屏蔽处理。本地网、局域网传输线路传导辐射的抑制。对终端设备辐射的防范。1/22/20238网络工程斯桃枝等编著人民邮电出版社网络安全 计算机系统安全 防止未授权存取 防止泄密 防止用户拒绝系统的管理 防止丢失系统的完整性和正确性 防火墙 基本型防火墙 1/22/20239网络工程斯桃枝等编著人民邮电出版社复合型防火墙 分布式防火墙设置防火墙的要素如下:网络策略 服务访问策略 防火墙设计策略 增强的认证 1/22/202310网络工程斯桃枝等编著人民
6、邮电出版社入侵检测 监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户行动。选购入侵检测系统的考虑因素:入侵检测系统的价格 部署入侵检测系统的环境 入侵检测系统的实际性能 产品的可伸缩性 产品的入侵响应方式 是否通过了国家权威机构的测评 1/22/202311网络工程斯桃枝等编著人民邮电出版社网络反病毒 预防病毒技术 检测病毒技术 杀毒技术病毒防治软件安装位置 布署一种防病毒的实际操作一般包括的步骤:制定计划:了解在所管理的网络上存放的是什么类型的数据和信息。调查:选择一种能满足使
7、用要求并且具备尽量多的各种功能的防病毒软件。测试:在小范围内安装和测试所选择的防病毒软件,确保其工作正常并且与现有的网络系统和应用软件相兼容。1/22/202312网络工程斯桃枝等编著人民邮电出版社维护:管理和更新系统确保其能发挥预计的功能,并且可以利用现有的设备和人员进行管理;下载病毒特征码数据库更新文件,在测试范围内进行升级,彻底理解这种防病毒系统的重要特性。系统安装:在测试得到满意结果后,就可以将此种防病毒软件安装在整个网络范围内。常用防病毒软件 网络数据安全 某数据中心选用分布式备份方案 1/22/202313网络工程斯桃枝等编著人民邮电出版社信息安全 数据传输安全系统 数据传输加密技
8、术 数据完整性鉴别技术 防抵赖技术 数据存储安全技术 数据库安全 终端安全 信息内容审计系统 1/22/202314网络工程斯桃枝等编著人民邮电出版社5.3 XX信息敏感部门接入公网网络安全设计举例 项目介绍 项目背景 总体需求 建设一个信息敏感部门对公网的接入网,实现信息网络互连;能够与接入公网的其他企业或单位进行连接,提供、享用各种信息服务;能够有序地共享网络上的各种软、硬件资源,各种信息能够在网上快速、稳定地传输,并提供有效的网络管理手段;整个系统采用开放式、标准化的结构,以利于功能扩充和技术升级;1/22/202315网络工程斯桃枝等编著人民邮电出版社接入网络统一划分为涉密和非涉密两部
9、分,并具有完善的网络安全机制;能够与原有的计算机局域网络和应用系统有效地连接,调用原有各种计算机系统的信息。安全保密方案设计的目标和原则设计目标 设计原则 充分利用现有资源进行合理整理的原则采用先进技术不断创新的原则 先进性和可行性相结合的原则 系统建设与安全建设同步进行确保系统安全的原则 1/22/202316网络工程斯桃枝等编著人民邮电出版社安全设计过程 确定网络资源 硬件资源 软件资源 存储介质 系统涉密用户群体分类 分析安全需求 网络可用性 业务系统的可用性 数据机密性 访问的可控性 网络操作的可管理性安全状态评估 物理安全威胁 操作系统安全威胁 应用系统安全威胁 1/22/20231
10、7网络工程斯桃枝等编著人民邮电出版社数据库安全威胁 管理层安全威胁 安全策略 使用不同等级的安全产品进行集成,在不同的网络环境使用与之相应的等级的安全产品,可以有效地减少系统投资。在产品选型时,需要厂家可以提供客户化产品支持服务产品。采用可提供本地化服务的厂家的产品。采用可以提供分级、分布、集中管理控制并可进行互动的产品。在选择产品时需要保证符合相应的国际、国内标准,尤其是国内相关的安全标准。产品在使用上应具有友好的用户界面,并且可以进行相应的客户化工作,使用户在管理、使用和维护上尽量简单、直观。建立层次化的防护体系和管理体系。1/22/202318网络工程斯桃枝等编著人民邮电出版社确定安全机
11、制和服务 数据保密性安全服务功能 访问控制安全服务功能 身份认证安全服务功能 数据完整性安全服务功能 防否认安全服务功能 安全系统采取的措施 运行环境安全 网络分段 防火墙系统 入侵检测系统 网络防病毒系统 用户身份鉴别与访问控制 备份与恢复 办公系统自动化应用系统安全机制 1/22/202319网络工程斯桃枝等编著人民邮电出版社网络中心安全措施 日常安全运行计划 管理安全 相关文档 1/22/202320网络工程斯桃枝等编著人民邮电出版社本 章 小 结解决网络安全问题的一般设计步骤;网络风险评估介绍;网络安全开发方案与过程;网络安全机制设计物理安全的概念;网络安全机制设计网络安全的概念;网络安全机制设计信息安全的概念;网络安全机制设计数据存储安全的概念。1/22/202321