网络安全解决方案ppt课件.ppt

网络安全与管理 1 第10章网络安全解决方案 知识目标了解家庭网络 校园网络 企业网络面临的风险了解家庭网络 校园网络 企业网络的安全需求及安全目标技能目标掌握家庭网络 校园网络 企业网络的安全实现策略及产品选型原则 2 10 1家庭网络安全解决方案 3 10 1 1网络系统分析 通过对家庭网络的组成 内部联网技术和组网结构的分析 为家庭网络安全风险的定位和安全策略的实施提供依据 4 1 家庭网络的组成 家庭网络主要由以下两大部分组成 1 家庭网关 2 各种信息终端设备和智能家电设备 5 2 家庭网络内部联网技术分析 目前 家庭网络的组网技术主要有线局域网技术和无线局域网技术两种 1 有线局域网技术2 无线局域网技术 6 3 家庭网络组网结构 目前最常见的家庭网络类型是无线网和以太网 在这两种类型中 路由器执行大部分工作 负责控制相互连接的设备之间的通信 通过将路由器连接到拨号 数字用户线路 digitalsubscriberline DSL 或电缆调制解调器 还可以让多台计算机共享一个互联网连接 许多新型路由器将无线技术和以太网技术结合在一起 并且包含硬件防火墙 7 家庭有线联网方式 8 家庭无线联网方式 9 10 1 2网络安全风险分析 家庭网络用户面临的安全威胁主要包括 1 窃取在线游戏账号 2 身份窃取问题引发 鱼叉式网络钓鱼 的增长 3 恶意软件 木马程序 蠕虫 计算机病毒无处不在 10 10 1 3网络安全需求及安全目标 根据家庭网络存在的安全风险可知 家庭网络主要涉及一些终端设备和用户个人信息 家庭网络的安全需求主要是如何保护家庭网络内部终端设备和内部信息安全 为实现家庭网络的安全需求 家庭网络安全目标主要包含网络安全 业务系统安全等 11 1 网络安全 1 家庭网络隔离及访问控制 2 审计与监控 3 网络反病毒 12 2 业务系统安全 业务系统是指用户计算机上的操作系统 各种应用等 业务系统会有各种各样系统方面的漏洞 而这些漏洞往往会造成信息的泄露 为了维护家庭网络业务的安全 应做到以下几点 1 及时给操作系统进行升级 维护 打系统补丁 2 用户访问业务需进行认证 可以使用密码 智能卡和证书等认证的手段 3 系统要进行病毒的防范 4 记录日志 13 10 1 4网络安全实现策略及产品选型原则 与局域网用户 如企业局域网用户 校园网络用户等 相比 家庭网络没有一些专门的防护设备和专业的管理人员 因此家庭网络用户在预防黑客的对抗中 往往处于不利的地位 家庭网络用户应从以下方面保护网络免受入侵和信息泄露 14 1 操作系统的安全管理 1 操作系统漏洞的发现与处理2 操作系统登录账户和密码的管理 15 1 操作系统漏洞的发现与处理 操作系统的安全问题多方面的 有些是系统本身在开发阶段考虑不够周全造成的 这些问题大部分可以通过自动更新安装操作系统提供商提供的补丁进行修复 还有一些是用户使用或者设置不当造成的 关于操作系统漏洞的发现和处理 可以用操作系统自带的自动更新来加以解决 家庭网络用户也可以通过专门的漏洞扫描工具进行扫描 并按照相应的提示进行补丁的下载等相应的处理 16 2 操作系统登录账户和密码的管理 从家庭用户的角度上来看 为防止不明程序的安装和使用 加强计算机的安全性 在平时使用受限的账户进行计算机的登录和相关的操作 只有在需要安装新的程序 或者进行相关设置和更改计算机配置等要求权限更高时才使用计算机管理员的账户 对用户登录密码的设置应尽可能的复杂 防止被别有用心的人窃取 具体方法如下 不要选择常用字符作为密码 如生日 姓名的拼音等 用字母 数字和符号混合组成密码 同时字母混合使用大小写 使密码尽可能地长 最好使用9位以上的密码 17 2 病毒防范 目前大部分家庭用户对计算机的应用还不是很熟练 对计算机病毒的了解更是不多 所以选择一款知名的杀毒软件是十分必要的 国际上知名的杀毒软件有卡巴斯基 诺顿等 国内的有瑞星 江民 360等 选择了相关厂商的杀毒软件安装以后 还并不能高枕无优 一定要注意杀毒软件病毒库的更新 18 3 网络入侵 防火墙是连接用户和外部网络的第一道安全大门 没有这道门 各种入侵就会像洪水般涌入 不可抵挡 家庭网络用户应该安装防火墙 对防火墙设置相应的访问规则 符合规则的用户和数据包可以通过 不符合的被阻止 并对网络的运行状态进行监督 并保存日志 为网络安全分析提供依据 从而有效地防止网络入侵 针对家庭用户的特点 选择一款包过滤型的软件防火墙是比较合适的 19 4 网络数据安全 家庭网络数据主要包括用户的各类文档资源和用户账户信息等 家庭网络用户如果对自己的文件进行了共享 最好对每个共享资源指派相应的权限 文件的共享是决定整个网络安全最重要的安全因素之一 黑客可以通过共享文件实现恶意入侵 并进行恶意的攻击和破坏 所以从安全角度考虑 家庭网络用户必须减少和不设置共享文件和文件夹 另外 在家庭网络对Internet的访问中 难免要用到各种各样的账户和密码来访问各种网站和使用各种服务等 为了确保这些账户 密码安全 应对不同的账户使用不同的密码 定期对密码进行更改 这样就能够有效地防止账号 密码被别人窃取 另外 对一些重要的资料要进行备份 对于敏感数据应该加密来保护 20 10 2校园网络安全解决方案 21 10 2 1网络系统分析 校园网络也由两部分组成 即校园内部网络系统和出口连接系统 校园网内部网络系统是非常庞大的 涉及的用户计算机有几百台到几万台之多 涉及的部门有几个到几十个之多 涉及的应用业务也是各式各样 由于以太网技术非常成熟而且应用市场非常广泛 所以校园网内部联网技术主要采用的是以太网技术 22 校园网网络结构 23 10 2 2网络安全风险分析 校园网面临的威胁大体可分为对数据信息的危害和对设备的危害 主要包括 1 物理安全风险2 系统安全风险3 管理安全风险4 应用安全风险1 网络资源共享应用风险2 电子邮件系统应用风险3 用户使用的安全风险4 数据信息安全风险 24 10 2 3网络安全需求及安全目标 校园网的网络安全需求是全方位的 校园网络安全设计方案要满足以下网络安全目标 1 确保校园网内部网络和外网互连的安全 能防范来自外部的各种形式的攻击 提供公共信息服务的服务器能可靠运行 确保校园网服务器 学校各种网站 系统不受攻击 2 确保校园网内部网络互连通信安全 数据在交换过程中保持完整 真实 可用 不被非法泄露 3 对安全相关的所有事件 各个安全子系统都能进行完整的记录 并用于特定的安全审计 4 建立安全保障体系后 能确保整个网络系统的稳定 安全运行 及时 准确 可靠地收集 处理 存储 传输学校的教育教学信息 完成与因特网的通信和资源共享 25 10 2 4网络安全实现策略及产品选型原则 基于校园网的安全需求和安全目标 校园网的安全方案包括物理安全 网络安全 业务应用安全和安全管理4个层次 26 1 物理安全 物理安全是保护计算机网络设备 设施以及其他媒体免遭地震 水灾 火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程 保证校园网各种设备的物理安全是实现系统安全控制的前提 物理安全包括通信线路的安全 物理设备的安全 机房环境的安全 27 2 网络安全 校园网的网络安全重点解决网络层和传输层的通信安全 可以通过划分子网和虚拟局域网 virtuallocalareanetwork VLAN 的方式对局域网内不同子网的访问进行控制 包括三部分内容 局域网之间的隔离与访问控制 公共网络上的数据传输安全和网络入侵检测系统 1 局域网之间的隔离与访问控制2 网络传输安全3 网络入侵检测系统4 有害信息过滤 28 3 业务应用安全 业务应用安全是确保校园网内各业务应用系统 如教务处业务 财务处业务 人事处业务 组织部业务等 的安全 确保各业务系统网络健康 可靠地运行 业务应用安全包括 业务系统内操作系统安全配置 数据备份与灾难恢复 病毒防护 监控与审计系统 29 4 安全管理 校园网应制定合适的安全管理制度和安全策略 可以参考以下几点来制定 1 管理体制2 安全管理原则3 安全服务 30 10 2 5网络安全方案设计原则 校园网络安全方案设计应遵循以下几条原则 1 完整性原则2 一致性原则3 适度安全原则4 经济合理性原则5 保障系统运行性能原则6 系统可扩展性原则7 全面规划 逐步实施原则 31 10 3企业网络安全解决方案 32 10 3 1网络系统分析 企业使用网络应用的范围非常广泛 有收发E mail 上网浏览网页 即时聊天这些基本的应用 还有VLAN技术 企业Web站点 OA系统 企业即时通讯系统 网络共享 远程访问 远程控制 远程管理 网络访问控制 NAT技术等的常见应用 也有ERP B2B CRM之类的企业电子商务或者信息化管理的大型应用 33 1 企业网的应用需求 目前 企业用户分支机构的网络应用需求主要有以下几点 1 在实现了简单的互联网接入和与企业总部之间基本的数据传输后 企业的分支机构希望通过公共互联网 能够实现与总部之间快速的 安全的多种数据的互连 2 企业的分支机构希望采用各种先进的网络应用来提高工作效率 降低运营成本 3 企业的分支机构希望使用的网络设备和网络解决方案都非常易于安装和使用 34 2 企业网的网络拓扑结构 企业由于规模大小 行业差异 工作方式及管理方式的不同 采用的网络拓扑结构也不同 主要的网络结构有以下几种 35 1 集中型 36 2 分散型 分散型采取多分支机构办公及移动办公方式 各分支机构均有网络部署 数量不多 各机构都通过某一种方式接入Internet 37 3 综合型 综合型是集中型与分散型的综合 常见的综合型企业网络结构如下图所示 38 10 3 2网络安全风险分析 通过对企业网络结构的安全风险 网络设备的安全隐患 应用的安全风险以及管理的安全隐患进行分析 为企业网络的安全部署提供有力的保障 39 1 网络结构的安全风险分析 1 外部网络的安全威胁2 内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70 是来自内部网络的侵犯 来自机构内部局域网的威胁包括 1 资产管理失控导致信息数据泄露 2 滥用外接设备会增加商业机密外泄机率 3 补丁管理混乱为蠕虫与黑客入侵保留了通道 4 网络流量异常 40 2 网络设备的安全隐患 网络设备中包含路由器 交换机 防火墙等 它们的设置比较复杂 可能由于疏忽或不正确理解而使这些设备可用但安全性不佳 41 3 应用的安全风险分析 1 文件服务器的安全风险2 数据库服务器的安全风险3 病毒侵害的安全风险4 数据信息的安全风险 42 4 管理的安全分析 内部管理人员或员工图方便省事 不设置用户口令 或者设置的口令过短和过于简单 导致很容易破解 责任不清 使用相同的用户名 口令 导致权限管理混乱 信息泄密 把内部网络结构 管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄露风险 管理是网络中安全得到保证的重要组成部分 是防止来自内部网络入侵必须的部分 责权不明 管理上混乱 安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险 即除了从技术下功夫外 还得依靠安全管理来实现 43 10 3 3网络安全需求及安全目标 企业网络安全不仅包括企业内部网络系统的安全 还要考虑到分支机构和移动办公用户如何安全可靠地访问企业内部资源 44 1 企业网络安全需求 企业对网络安全的需求主要包含如下内容 1 综合性2 集成性3 易用性4 可用性 45 2 企业网络安全目标 建立一套完整可行的网络安全与网络管理策略 将内部网络 公开服务器网络和外网进行有效隔离 避免与外部网络的直接通信 建立网站各主机和服务器的安全保护措施 保证它们的系统安全 对网上服务请求内容进行控制 使非法访问在到达主机前被拒绝 加强合法用户的访问认证 同时将用户的访问权限控制在最低限度 全面监视对公开服务器的访问 及时发现和拒绝不安全的操作和黑客攻击行为 加强对各种访问的审计工作 详细记录对网络 公开服务器的访问行为 形成完整的系统日志 备份与灾难恢复 强化系统备份 实现系统快速恢复 加强网络安全管理 提高系统全体人员的网络安全意识和防范技术 46 10 3 4网络安全实现策略及产品选型原则 制定一套确实可行的网络安全实现策略和满足企业需求的安全产品选型原则 才会使企业网络的安全管理更具有方向性 47 1 企业网络安全实施策略 在对企业局域网网络系统安全方案设计 规划时 应遵循以下原则 1 综合性 整体性原则 2 需求