Lecture4信息安全测评与风险评估教学课件

s信息平安测评与风险评估

信息平安实验室教学团队重庆大学软件学院工程艺术天作之合本次课程要点网络安全控制点网络安全测评点网络安全测评实验网络平安的控制点网络平安保障的两个对象：1〕效劳平安：确保网络设备的平安运行，提供有效的网络效劳2〕数据平安：确保在网上传输数据的保密性、完整性和可用性等；3〕网络环境是抵御内外攻击的第一道防线，一共安排了7个控制点结构平安访问控制〔网络访问控制、拨号访问控制〕网络平安审计边界完整性检查网络入侵防范恶意代码防范网络设备防护“纵深防御〞保密性完整性可用性

剩余信息

结构与网段

身份鉴别

资源控制

安全

审计

恶意代码

入侵防范

强制控制

自主控制

网络访控

拨号访控

安全审计

边界完整性

入侵防范

恶意代码

网设防护结构平安为什么要考虑结构平安？在对网络平安实现全方位保护之前，首先应关注整个网络的资源分布、架构是否合理。只有结构平安了，才能在其上实现各种技术功能，到达网络平安保护的目的通常，一个机构是由多个业务部门组成，各部门的地位、重要性不同，部门所要处理的信息重要性也不同，因此，需要对整个网络进行子网划分。什么是结构平安？结构平安三级结构平安包含哪些内容？要求网络资源方面能够为网络的正常运行提供根本的保障〔1级〕要求网络资源能够满足业务顶峰的需要，同时应以网段形式分隔不同部门的系统〔2级〕案例演示：网络子网段的划分与一、二级相比，增加了“处理优先级〞考虑：要求“〞主要网络设备“、“网络各个局部的带宽〞，不仅要求满足根本的业务需要，更应满足业务顶峰时的网络正常运行，以保证重要主机能够正常运行〔3级〕案例演示：网段划分与平安策略网络访问控制网络访问控制的意义何在？

对于网络而言，最重要的一道平安防线就是边界，边界上会聚了所有流经网络的数据流，必须对其进行有效的监视和控制。何谓边界？所谓边界即是采用不同平安策略的两个网络连接处，比方用户网络和互联网之间的连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。有连接，必有数据间的流动，因此在边界处，重要的就是对流经的数据〔或者称进出网络〕进行严格的访问控制。按照一定的规那么允许或拒绝数据的流入、流出。用什么方法控制边界？拨号访问控制什么是拨号访问控制？

如果说，网络访问控制是从数据的角度对网络中流动的数据进行控制，那么，拨号访问控制那么是从用户的角度对远程访问网络的用户进行控制。对用户的访问控制，同样应按照一定的控制规那么来允许或拒绝用户的访问怎样进行拨号访问控制？三级访问控制三级访问控制包含哪些内容？

主要在网络边界处对经过的数据进行包头信息的过滤，以控制数据的进出网络，对用户进行根本的访问控制〔1级〕对数据的过滤增强为根据会话信息进行过滤，对用户访问粒度进一步细化，由用户组到单个用户，同时限制拨号访问的用户数量〔2级〕将过滤的力度扩展到应用层，即根据应用的不同而过滤，对设备接入网络进行了一定的限制〔3级〕动手练习：本机查看QOS策略案例演示：对应用层协议进行控制动手练习：IP地址与MAC地址绑定网络平安审计你怎么理解网络平安审计？如果将平安审计仅仅理解为“日志记录〞功能，那么目前大多数的操作系统、网络设备都有不同程度的日志功能。但是实际上仅这些日志根本不能保障系统的平安，也无法满足事后的追踪取证。平安审计并非日志功能的简单改进，也并非等同于入侵检测网络平安审计重点包括的方面：对网络流量监测以及对异常流量的识别和报警、网络设备运行情况的监测等。通过对以上方面的记录分析，形成报表，并在一定情况下发出报警、阻断等动作。其次，对平安审计记录的管理也是其中的一方面。由于各个网络产品产生的平安事件记录格式也不统一，难以进行综合分析，因此，集中审计已成为网络平安审计开展的必然趋势。三级网络平安审计三级网络平安审计包含哪些内容？要求对网络设备运行、网络流量等根本情况进行记录〔2级〕要求对形成的记录能够分析、形成报表。同时对审计记录提出了保护要求〔3级〕根据上述要求，评价本机有无平安审计功能边界完整性检查什么是边界完整性检查？

为何要进行边界完整性检查？虽然网络采取了防火墙、IDS等有效的技术手段对边界进行了防护，但如果内网用户在边界处通过其他手段接入内网〔如无线网卡、双网卡、modem拨号上网〕，这些边界防御那么形同虚设。因此，必须在全网中对网络的连接状态进行监控，准确定位并能及时报警和阻断三级边界完整性检查包含哪些内容？能够检测到内部的非法联出情况〔2级〕能检测到非授权设备私自外联，而且能够准确定位并阻断〔3级〕网络入侵防范有了访问控制为什么还需要网络入侵防范？

网络访问控制在网络平安中起到大门警卫的作用，对进出的数据进行规那么匹配，是网络平安的第一道闸门。但其也有局限性，它只能对进出网络的数据进行分析，对网络内部发生的事件那么无能为力。基于网络的入侵检测，被认为是防火墙之后的第二道平安闸门，它主要是监视所在网段内的各种数据包，对每一个数据包或可疑数据包进行分析，如果数据包与内置的规那么吻合，入侵检测系统就会记录事件的各种信息，并发出警报三级网络入侵防范包含哪些内容？

能够检测常见攻击的发生〔2级〕不仅能够检测，并能发出报警〔3级〕恶意代码防范网络恶意代码防范的手段是什么？

目前，对恶意代码的防范已是全方位、立体防护的概念。根据对恶意代码引入的源头进行分析，可以得出，随着互联网的不断开展，从网络上引入到本地的恶意代码占绝大多数。因此，在网络边界处对恶意代码进行防范是整个防范工作的重点。部署了相应的网络防病毒产品后，并不代表“万事大吉〞了，根据统计，平均每个月有300种〔？〕新的病毒被发现，如果产品恶意代码库跟不上这一速度，其实际检测效率可能会大大降低，因此，必须及时地、自动更新产品中的恶意代码定义。这种更新必须非常频繁，且对用户透明三级恶意代码防范包含哪些内容？

要求能够在网络边界处防范恶意代码，并保持代码库的及时更新〔3级〕网络设备防护为何需要进行网络设备防护？

防护什么？对网络平安的防护，除了对网络结构、网络边界部署相应的平安措施外，另外一个重要的方面就是对实现这些控制要求的网络设备的保护。通过登录网络设备对各种参数进行配置、修改等，都直接影响网络平安功能的发挥。因此，网络设备的防护主要是对用户登录前后的行为进行控制。三级网络设备防护包含哪些内容？

对网络设备要求根本的登录鉴别措施〔1级〕对登录要求进一步增强，提出了鉴别标识唯一、鉴别信息复杂等要求〔2级〕提出了两种以上鉴别技术的组合来实现身份鉴别，同时提出了特权用户权限别离〔3级〕网络平安测评要点

CIA

机密性完