《网络安全技术与实践》第四篇-网络安全设计PPT课件

计算机网络课件制作人：谢希仁，1，网络安全技术与实践，2，课程介绍，课程定位，课程内容如何学习课程所需的辅助教材，3，第4条网络安全设计，项目1政府网络安全设计项目2企业网络安全设计项目3校园网络安全设计，4，基础知识，1。网络安全设计目标2，网络安全体系结构与层次3，P2DR网络动态安全模型4，网络安全设计原则。5、网络安全设计目标，主要体现在系统的保密性、完整性、真实性、可靠性、可用性和不可否认性等方面。1.可靠性。可靠性是指网络信息系统在特定条件下和特定时间内能够完成特定功能的特性。可靠性指标主要包括三个指标：抗毁性、生存性和有效性。2.可用性。可用性是指网络信息可由授权实体访问并按需使用的特性。6、网络安全设计目标，3。保密。机密性是指网络信息不向未经授权的用户、实体或进程披露的特性。4.正直。完整性是指网络信息在未经授权的情况下不可更改的特性。保证网络信息完整性的主要方法包括：协议、纠错编码方法、密码验证方法、数字签名和公证。7、网络安全设计目标，5。不可否认。不可否认也叫不可否认，即在网络信息交换过程中，参与者确信自己的真实身份。6.可控性。可控性是控制网络信息传输和内容的一个特征。8，网络安全体系结构和层次，1。网络安全架构。9，网络安全体系结构和层次，2。网络安全防护体系结构层次结构。10，P2DR网络动态安全模型，1。P2DR概念P2DR模型在整体安全策略的控制和指导下，在综合运用保护工具(如防火墙、操作系统身份认证、加密等手段)的同时，利用检测工具(如漏洞评估、入侵检测等系统)来了解和评估系统的安全状态，并将系统调整到“最安全”和“风险最低”的状态。嘿。嘿。11，P2DR网络动态安全模型，P2DR模型包括四个主要部分：策略，保护，检测，响应，12，P2DR网络动态安全模型，2。P2DR动态安全模型的内涵(1)策略是整个模型的核心保护(2)保护是网络安全检测的第一步(3)检测是手段，检测内容包括：异常监控和模式发现。(4)响应是系统的及时响应。包括：报告、记录、响应和恢复。13、网络安全设计原则，网络安全防范系统在总体设计过程中应遵循以下9个原则：1。木桶原理2。诚信原则3。安全评估和平衡原则4。标准化和一致性原则5。技术与管理原则的结合。14岁。网络安全设计原则。总体规划。逐步实施原则7。等级原则8。动态发展原则。易操作原则。15岁。【实施目标】了解电子政务网络安全的功能特点，了解电子政务网络面临的安全威胁，了解电子政务系统的网络架构和安全体系，熟悉电子政务网络安全设计的要点。16岁。项目一政府网络安全设计，技能目标：掌握电子政务系统的安全分析方法，掌握电子政务网络的安全设计技术。17，项目一电子政务网络安全设计，项目背景 x市现有的电子政务网络已不能满足其业务需求，主要表现在：电子政务系统接入缓慢，有时阻塞，影响办公效率；电子政务内网中的计算机没有任何安全监管措施，网络对用户访问没有特殊限制，网络安全事件时有发生。系统中文件传输为明文，容易导致机密信息泄露。为了应对上述网络安全威胁现在有必要针对电子政务网络的需求提出一个可行的安全设计方案。为了解决上述电子政务网络的安全问题，首先必须明确电子政务网络的安全目标。根据安全威胁的表现形式，分析网络安全威胁的成因，然后根据电子政务网络的安全等级要求，提出可行的电子政务信息安全解决方案，进行网络安全设计，构建新的安全体系。网络速度慢的问题可以通过部署负载平衡产品、流量控制设备和提高网络带宽来解决。对于缺乏监控和黑客攻击的内外网用户，可以部署防火墙、入侵检测系统、入侵防御系统以及安全隔离和信息交换系统。信息加密可以通过部署IPSEC-VPN设备来解决。19，项目1:电子政务网络的安全设计，知识1:电子政务网络的安全背景，知识2:电子政务系统的结构，知识3:电子政务网络的安全风险，知识4:电子政务网络的安全目标和标准，知识5:电子政务网络的安全级别，知识6:电子政务网络的安全体系建设，知识20:电子政务网络的安全背景，电子政务是利用网络通信和计算机等现代信息技术，将政府机构的内部和外部管理和服务功能无缝集成。在精简政府机构、优化工作流程、整合政府资源、重组政府部门后，大量频繁的行政管理和日常事务按照既定程序通过政府网站在互联网上实施，打破了时间、空间和部门划分的限制，为社会和自身全方位提供了统一规范、高效、优质、透明、符合国际惯例的管理和服务。知识1电子政务网络安全背景，电子政务包括三层含义。首先，电子政务必须依靠信息技术和数字网络技术，依靠信息基础设施和相关软件的发展。第二，电子政务建设是一项复杂的系统工程，是对传统政府管理的重组、整合和创新。它不仅是一种技术创新，也是一种包括管理创新和制度创新在内的社会综合创新。第三，电子政务的目的是利用信息技术更好地履行政府职能，塑造一个更高效、精简、开放和透明的政府，为公众、企业和社会提供更好的公共服务，最终建立政府、企业、公民和社会之间和谐互动的关系。知识1电子政务网络安全背景，电子政务网络安全特殊要求：1。内部和外部网络之间有大量的数据交换，对安全性要求很高。2.网络应该通过域来控制。3.传输过程中的信息需要加密和隐藏。4.系统需要访问标准可信时间源。23，知识2电子政务系统结构，电子政务系统基本结构如图，24，知识2电子政务系统结构，典型的电子政务网络拓扑结构如图，25，知识2电子政务系统结构，一个完整的电子政务安全体系结构应该涵盖系统的各个方面，包括：网络级安全，应用级安全，系统级安全和管理级安全。26，知识3电子政务网络安全风险，第一，电子政务安全风险1。电子政务网络固有缺陷2。缺乏对网络安全重要性的认识。信息安全管理机构缺乏权威。信息安全基础薄弱。缺乏独立发展能力。缺乏专业人员，27。知识3电子政务网络安全风险。二、电子政务网络安全威胁的来源1。利益驱动2。技术驱动3。心理驱动3。电子政务网络的安全风险，3。电子政务系统的安全威胁特征，29。安全目标和知识标准。首先，电子政务网络的安全目标电子政务信息的安全目标是：保护政府信息资源不受侵犯，确保信息面临最小化1.可用性目标2。诚信目标3。保密目标4。簿记目标5。赔偿目标。30，知识4安全目标和标准，2。电子政务信息安全标准。31，知识5电子政务网络安全等级。即电子政务信息安全一级。电子政务信息安全等级保护原则重点保护原则“谁主管谁负责，谁主管谁负责”原则分区域保护原则同步建设原则动态调整原则。32，33，知识5电子政务网络安全等级，1。电子政务信息安全等级2。电子政务级保护内容安全策略安全组织安全技术安全操作。34，知识5电子政务网络安全等级，1，电子政务信息安全等级2。电子政务级保护内容安全策略安全组织安全技术安全操作。35，知识5电子政务网络安全等级，1，电子政务信息安全等级3。电子政务级别保护元素电子政务系统目标电子政务信息安全级别安全保护要求安全风险安全保护措施安全保护措施成本。36，知识5，电子政务网络安全等级，2，电子政务等级保护实施方法，37，知识6电子政务安全体系建设，1，电子政务系统安全设计模型1。电子政务域。38，知识6电子政务安全体系建设，1，电子政务系统安全设计模型2。电子政务安全模型。39，知识6，电子政务安全体系建设，2，电子政务网络安全体系建设。40、知识6电子政务安全体系建设，2、电子政务网络安全体系建设1。必须解决的基础架构安全服务基础架构信任问题包括：可信身份可信数据网络可信域可信时间服务。41、知识电子政务安全体系建设6、2、电子政务网络安全体系建设2。安全管理保证体系。响应和恢复机制4。安全技术支持平台。42，任务1电子政务网络安全分析，1，电子政务网络背景1。下面的电子政务网络状态是x政府网络拓扑。电子政务网络可以满足一般政府办公的一般需求。它可以实现从中央政府到地方政府的信息交流。通过网络实现用户的统一管理，建立统一标准的政府公文电子信息资源库，实现公文信息的共享和互动使用。建立了覆盖各级政府机构的公共信息平台，以提供方便、快捷和透明的“一站式”政府服务。43，任务1电子政务网络安全分析，1。电子政务网络背景1。电子政务网络状态，44，任务1电子政务网络安全分析，1。电子政务网络背景1。电子政务网络状态，45，任务1电子政务网络安全分析，1。电子政务网络背景2。电子政务网络特征(1)电子政务外部网络。城市电子政务外网的拓扑结构如图所示。46，任务1电子政务网络安全分析，1，电子政务网络背景2。电子政务网络特征(2)电子政务内网。该市电子政务内网的拓扑结构如图所示。47，任务1电子政务网络安全分析，2电子政务网络安全分析1。外网安全问题分析(1)X市电子政务外网存在安全问题：管理漏洞或“后门”病毒，缺乏黑客对网络缺陷软件的攻击。48，任务1电子政务网络安全分析，二，电子政务网络安全分析1。外网安全问题分析(1)X市电子政务外网安全问题：管理缺乏黑客攻击软件漏洞或“后门”病毒等网络缺陷。49，任务1电子政务网络安全分析，任务2，电子政务网络安全分析。外网优化要求网络流量类型、数量不断增加，无序竞争往往导致关键业务无法顺利开展。对于需要大带宽但非常重要的应用程序，需要在限制和许可之间取得平衡。对于关键的网络应用，需要设置专用信道来保护它们免受干扰。电磁脉冲对网络资源的滥用任务1电子政务网络安全分析2电子政务网络安全分析3。内网安全问题分析政府内网的安全威胁主要包括：内部恶意人员通过抛出病毒、木马等行为窃取或破坏数据。电子政务系统工作人员在其权限范围内进行非法操作。有权力的经理会犯错误或操作不当。管理者缺乏安全感，给恶意的人机会。权力不明确，管理层粗心大意。内部人员被腐蚀后，他们窃听网络或窃取密文密钥。系统软硬件缺陷。非人为因素造成的硬件损坏。任务1电子政务网络安全分析2电子政务网络安全分析3。内部网安全问题分析物理隔离是指切断与互联网的物理连接。内部网络隔离需要达到以下效果：阻断内部和外部网络的物理传导，确保内部网络不会通过网络连接被外部网络入侵，防止内部网络信息通过网络连接泄漏到外部网络。隔离内部和外部网络的物理存储。对于断电后会丢失信息的组件，如内存和处理器等临时存储组件，应在网络转换期间清除它们，以防止剩余信息泄漏到外部网络。对于断电后未丢失的组件，如磁带机、硬盘和其他存储设备，内部和外部网络信息应分开存储，软盘和光盘等可移动介质的使用应受到严格限制。切断内部和外部网络的物理辐射，确保内部网络信息不会通过电磁辐射或耦合泄漏到外部网络。任务1电子政务网络安全分析2电子政务网络安全分析3。内部网安全问题分析物理隔离器应该具有以下功能和特点：使用特殊协议实现内部和外部网络安全隔离，关闭外部网关协议，使用我们自己设计的专有协议，外部网关只在数据链路层工作。在保证安全的情况下，采用交换通信技术实现数据交换。访问登录设置功能。管理员登录后，会打开用户帐户并设置密码来设置不同级别的访问控制内容。用户管理功能，添加和删除用户，以及查询和修改访问级别。控制访问内容，根据用户的访问级别，确定用户是否可以访问外部网络内容，记录用户的访问内容，如果用户超时后无法访问外部网络，则自动断开连接。记录用户访问日志功能。设置全局访问控制规则。用户访问历史维护管理功能。控制用户下载和访问文件的能力。任务1电子政务网络安全分析，任务2电子政务网络安全分析，任务4电子政务网络安全优化要求针对全市电子政务网络现状和网络安全风险分析，需要进行安全优化。政府专用网络服务应用程序缺乏透明度，信息技术管理员不知道网络的整体运行情况。防止单位网络和其他本地城市节点的本地用户对省级电子政务网络进行未经授权的访问和恶意攻击，防止本地网络病毒的危害和传播。虽然电子政务专网属于专网，但其网络中没有互联网上的应用流量，而专网中充满了来自各个政府行业的应用流量，因此有必要保证各单位之间数据传输的安全性。低层单元和高层单元之间的专用网络链路带宽不足，导致应用数据传输缓慢。不能有效保证关键网络服务和应用的运行。无法在有限的网络带宽资源上运行更多应用程序。54，任务2电子政务外网1的安全解决方案。电子政务外网安全解决方案根据电子政务外网的安全需求，设计了电子政务外网的安全结构，如图所示。部署说明：在电子政务外网的网络出口部署负载平衡产品。穿过通过在防火墙上设置访问控制规则，可以控制用户进出内网，有效防止黑客攻击，确保内网安全。在城市电子政务外网的边缘，部署流量控制设备实现带宽管理和网络行为管理等功能，以确保合理的流量分配和优化网络性能。在核心交换机上部署一个入侵检测系统，以监控网络中的流量，并在发现异常时发出警报