第14章构建安全网络.ppt

第14章构建安全网络 学习目标 掌握网络的风险分析方法知道如何制定安全策略知道网络安全体系设计原则掌握如何设计安全解决方案 14 1风险分析与安全策略 一 网络安全计划制定步骤 确认保护什么考虑防止什么考虑这种威胁发生的可能性实施最经济有效的保护措施不断重复以上过程 不断完善计划 二 系统风险分析 1 确定资产 硬件 计算机 路由器 存储设备 软件 操作系统 应用程序 数据 日志 数据库 人员 用户 管理员 文件 程序 文档 物资 纸张 表格 2 确定威胁 物理威胁 地震 水灾 火灾 盗窃 网络平台威胁 服务器 路由器 系统安全威胁 WINDOWS UNIX 应用安全威胁 QQ EMAIL 电子商务 管理安全威胁 口令 泄露 下载 黑客攻击恶意代码不满员工 3 网络信息安全模型 加密 授权 认证 审计 政策 法律 法规 4 网络的一般安全需求 公开服务器的保护防止黑客从外部攻击入侵检测 监控信息审计 记录病毒防护数据安全保护 加密 备份 网络安全管理 5 设计和实现安全策略 安全策略的作用 定义网络运作 管理的原则 是网络系统 应用软件 员工 访客应遵守的协议安全策略依据 安全需求 目标 对用户提供的服务 初始投资 后续投资使用方便 服务效率复杂度和安全性的平衡网络性能 安全策略的建立 做什么 怎么做 7X24小时防止网络入侵7X24小时使用IDS防止网络入侵针对不同岗位职责划分层次 系统管理员 数据库管理员 安全管理员 普通用户 安全解决方案的构成要素 完整的安全解决方案必须包含以下要素 物理保护 你在哪里 用户身份验证 你是谁 访问控制 哪些资源允许你使用 加密 哪些信息应当隐藏 管理 网络上发生了什么事情 新的安全问题 基本策略 管理检查 策略研究 寻求反馈 检查过程 草拟策略 提议策略初稿 法律检查 最终策略方案 批准 发布 用户培训 安全策略的制定流程 确定关键人员 6 编写安全计划书 总则 总体思路 任务 网络系统状况分析 结构 连接状态 网络系统安全风险分析 物理 平台 系统 应用 管理安全性 安全需求分析与安全策略的制定 需求 目标 方案总体设计 使用的安全机制 服务 体系结构设计安全系统的配置及实现 7 安全体系的设计原则 1 需求 风险 代价平衡的原则 2 综合性 整体性原则 3 一致性原则 4 易操作性原则 5 适应性 灵活性 6 多重保护原则 7 分步实施原则 8 可评价原则 14 2网络安全体系 一 物理安全环境安全 机房设计规范 场地要求设备安全 防盗 防毁 电磁辐射传输介质安全 防盗 防毁 截获 二 网络安全 网络系统安全 拓扑 路由 1 访问控制及内外网的隔离2 内网不同安全区域的隔离与访问控制3 网络安全检测4 审计与监控5 防病毒6 数据备份7 系统容错 网络冗余 负载平衡 镜像 三 系统 信息 应用安全 操作系统安全 配置 漏洞 检测 应用程序安全 认证 授权 审计 加密 数据安全 存储 传输 访问 备份 四 安全管理 安全管理原则 责任人原则任期有限职责分离管理实现 根据工作的重要程度 确定系统安全等级根据安全等级 确定安全管理范围制定机房出入管理制度 操作规程制定完备的系统维护制度 应急测试 14 3网络安全性测试 评估 一 安全测试使用扫描工具检测系统漏洞监视端口 网络流量 网络性能蜜罐系统发现问题 修改 投入运行 如此反复 二 网络安全评估 三个主要目标 存取的控制系统和数据的完整性系统恢复和数据备份 14 4网络安全解决方案举例 一 某银行的安全体系防火墙CA认证加密系统安全漏洞扫描和实时入侵检测严格的系统备份和管理制度 二 某企业网的安全体系 安全网络体系结构设计外部访问子网 外部拨号子网 公共资源子网内部用户子网 按照部门划分2级子网 网管 服务子网 WEB服务认证 加密 敏感资源子网 因特网 公共资源子网 敏感资源子网 管理及安全服务子网 内部用户子网 外部资源子网 路由器 IDS 防火墙 防火墙 IDS IDS 某企业的安全网络体系结构 中国国际电子商务网 图1 1典型校园网