1、网络安全管理网络安全管理网络安全管理v网络安全管理概述网络安全管理概述v网络安全管理策略网络安全管理策略v网络安全管理实例网络安全管理实例WINDOWSWINDOWS安全管理安全管理防火墙与防火墙与IDSIDS部署实例部署实例企业网络防毒防护企业网络防毒防护互联网内容管理互联网内容管理数据备份与容灾技术数据备份与容灾技术安全涉及的因素网络安全因特网因特网网络对国民经济的影响在加强网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力电力交通交通通讯通讯控制控制广播广播工业工业金融金融医疗医疗研究攻防技术以阻之研究
2、攻防技术以阻之信息安全信息窃取信息窃取信息传递信息传递信息冒充信息冒充信息篡改信息篡改信息抵赖信息抵赖加密技术加密技术完整性技术完整性技术认证技术认证技术数字签名数字签名文化安全信息传送自由信息传送自由信息来源信息来源不确定不确定.打击目标打击目标机动性强机动性强.主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获隐患隐患措施措施物理安全容灾容灾集群集群备份备份环境环境温度温度电磁电磁湿度湿度网络存在的威胁网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐
3、蔽通道后门、隐蔽通道进进 不不 来来 拿拿 不不 走走 看看 不不 懂懂 改改 不不 了了 跑跑 不不 了了 蠕虫蠕虫冒名顶替冒名顶替废物搜寻废物搜寻身份识别错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁网络安全威胁的类型网络安全威胁的类型网络安全管理概念网络安全管理概念v网络安全管理是网络管
4、理重要组成部分之一v网络安全管理是指通过一定安全技术措施和管理手段,确保网络资源的保密性、可用性、完整性、可控制性、抗抵赖性,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。保密性保密性完整性完整性可靠可靠/用性用性可控性可控性不可抵赖性不可抵赖性(可审查性)可审查性)网络安全管理网络安全管理基本属性网络安全管理网络安全管理基本属性可靠性:可靠性: 网络信息系统能够在规定条件下和规定时间内完成规定的功能的特性。网络信息系统能够在规定条件下和规定时间内完成规定的功能的特性。 抗毁性、生存性、有效性抗毁性、生存性、有效性可用性:可用性: 得
5、到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作阻碍授权者的工作可控性:可控性: 可以控制授权范围内的信息流向及行为方式可以控制授权范围内的信息流向及行为方式保密性:保密性: 确保信息不暴露给未授权的实体或进程确保信息不暴露给未授权的实体或进程 完整性:完整性: 只有得到允许的人才能修改数据,并且能够判别出只有得到允许的人才能修改数据,并且能够判别出数据数据是否已被篡改是否已被篡改不可抵赖性不可抵赖性( (可审查性可审查性) ) 对出现的网络安全问题提供调查的依据和手段对出现的网络安全问题提供调查的依据和
6、手段网络安全管理目标重点安全管理安安全全体体系系物理安全网络安全信息安全环境安全媒体安全设备安全反病毒审计监控安全检测访问控制备份恢复传输安全储存安全用户鉴权内容审计网络安全管理目标 v网络安全管理目标就是通过适当的安全防范措施,网络安全管理目标就是通过适当的安全防范措施,确保网络系统中的资源五个基本安全属性确保网络系统中的资源五个基本安全属性( (机密性、机密性、完整性、可用性、抗抵赖性、可控性完整性、可用性、抗抵赖性、可控性) )得到保证实得到保证实现,以满足网上业务开展的安全要求。现,以满足网上业务开展的安全要求。网络安全管理目标 使用访问控制机制,阻止非授权用户进入网络,即使用访问控制
7、机制,阻止非授权用户进入网络,即“进不来进不来”,从而,从而保证网络系统的可用性。保证网络系统的可用性。 使用授权机制,实现对用户的权限控制,即不该拿走的使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。同时结合内容审计机制,实现对网络资源及信息的可控性。 使用加密机制,确保信息不暴漏给未授权的实体或进程,即使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不看不懂懂”,从而实现信息的保密性。,从而实现信息的保密性。 使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而使用数据完整性鉴别机制,保证只有得到允许的人
8、才能修改数据,而其它人其它人“改不了改不了”,从而确保信息的完整性,从而确保信息的完整性 使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。 在安全法律、法规、政策的支持与指导下,通过采用合适的安在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成以下任务:全技术与安全管理措施,完成以下任务:访问控制传输安全用户鉴权安全检测出入控制存取控制
9、安全扫描入侵检测口令机制智能卡主体特征传输数据加密数据完整鉴别防抵赖数字证书控制表技术攻击技术口令技术加密技术安全协议网络安全管理内容网络安全管理内容网络安全体系结构网络安全的关键技术网络安全的关键技术网络安全管理要素人人 制度制度技术技术安全防护体系安全防护体系q 人人q 制度制度q 技术技术 人:网络安全管理的根本因素人:网络安全管理的根本因素q 对安全防护工作重视的领导是安防工作顺利推对安全防护工作重视的领导是安防工作顺利推进的主要动力;进的主要动力;q 有强烈安全防护意识的员工是企业安防体系得有强烈安全防护意识的员工是企业安防体系得以切实落实的基础;以切实落实的基础;q 杜绝企业内部员
10、工攻击网络系统是加强安全防杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。护的一项重要工作。人:网络安全管理的根本因素人:网络安全管理的根本因素q 启蒙启蒙为安全培训工作打基础,端正对企业的态度,为安全培训工作打基础,端正对企业的态度,让他们充分认识到安防工作的重要意义及在不重视安防让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。工作的危险后果。q 培训培训传授安全技巧,使其更好的完成自己的工作。传授安全技巧,使其更好的完成自己的工作。q 教育教育目标是培养目标是培养IT安防专业人才,重点在于拓展应安防专业人才,重点在于拓展应付处理复杂多变的攻击活动的能力和远见。付处
11、理复杂多变的攻击活动的能力和远见。制度:网络安全管理的基础制度:网络安全管理的基础 美国萨班斯法案美国萨班斯法案 国家的信息安全和网络管理法规政策国家的信息安全和网络管理法规政策l 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例l 计算机信息网络国际联网安全保护管理办法计算机信息网络国际联网安全保护管理办法 l 中华人民共和国电子签名法中华人民共和国电子签名法l 计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 l 互联网信息服务管理办法互联网信息服务管理办法 企业内部管理制度企业内部管理制度v 计算机上机管理制度计算机上机管理制度v 用户
12、账户管理制度用户账户管理制度v internet访问管理制度访问管理制度v 信息保护管理制度信息保护管理制度v 防火墙管理制度防火墙管理制度v 应用服务器使用制度应用服务器使用制度制度:网络安全管理的基础制度:网络安全管理的基础制度的生命周期包括制度的制定、推行和监督实施。制度的生命周期包括制度的制定、推行和监督实施。第一阶段:规章制度的制第一阶段:规章制度的制定。本阶段以风险评估工定。本阶段以风险评估工作的结论为依据制定出消作的结论为依据制定出消除、除、 减轻和转移风险所需减轻和转移风险所需要的安防要的安防 控制措施。控制措施。第二阶段:企业发第二阶段:企业发布执行的规章制度,布执行的规章制
13、度,以及配套的奖惩措以及配套的奖惩措施。施。第三阶段:规章制度的监第三阶段:规章制度的监督实施。制度的监督实施督实施。制度的监督实施应常抓不懈、反复进行,应常抓不懈、反复进行,保证制度能够跟上企业的保证制度能够跟上企业的发展和变化发展和变化制度的监督实施制度的监督实施制度的制定制度的制定制度的推行制度的推行技术:网络安全管理的基本保证技术:网络安全管理的基本保证防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测漏洞评估漏洞评估如果将计算机网络比作城堡:如果将计算机网络比作城堡:技术:网络安全管理的基本保证q 防火墙就是城堡的护城桥(河)防火墙就是城堡的护城桥(河)只允许己方的只允许己方的
14、队伍通过。队伍通过。 q 入侵监测系统就是城堡中的了望哨入侵监测系统就是城堡中的了望哨监视有无敌监视有无敌方或其他误入城堡的人出现。方或其他误入城堡的人出现。q VPN就是城褒外到城堡内的一个安全地道就是城褒外到城堡内的一个安全地道有时有时城堡周围遍布敌军而内外需要联络。城堡周围遍布敌军而内外需要联络。q 漏洞评估就是巡锣漏洞评估就是巡锣检测城堡是否坚固以及是否检测城堡是否坚固以及是否存在潜在隐患。存在潜在隐患。q 防病毒产品就是城堡中的将士防病毒产品就是城堡中的将士想方设法把发现想方设法把发现的敌人消灭。的敌人消灭。网络安全管理要素P2DR2P Policy 安全策略安全策略DDetecti
15、on入侵检测入侵检测RReaction安全响应安全响应RRecovery安全恢复安全恢复PProtect 安全保护安全保护确 认 UNIX/LINUX系 统 安 全 目 标系 统 安 全 目 标 是 否 满 足 ?安 装 最 小 化 UNIX/LINUX系 统UNIX/LINUX系 统 安 全 策 略 配 置安 装 UNIX/LINUX第 三 方 安 全 软 件 工 具UNIX/LINUX系 统 安 全 检 查UNIX/LINUX系 统 安 全 修 正UNIX/LINUX系 统 安 全 运 行否是$dollars$dollars$dollarsDetection 入侵检测入侵检测Protect
16、 安全保护安全保护Reaction 安全响应安全响应Recovery安全恢复安全恢复Policy 安全策略安全策略统一管理、协调统一管理、协调PPDRR之间的行动之间的行动 P2DR2P2DR2P2DR2P2DR2风险控制需求风险控制需求风险控制措施风险控制措施策略(策略(Policy)设备管理制度设备管理制度 建立健全各种安全相关建立健全各种安全相关的规章制定和操作规范,的规章制定和操作规范,使得保护、检测和响应环使得保护、检测和响应环节有章可循、切实有效。节有章可循、切实有效。机房出入守则机房出入守则系统安全管理守则系统安全管理守则系统安全配置明细系统安全配置明细网络安全管理守则网络安全管
17、理守则网络安全配置明细网络安全配置明细应用安全管理守则应用安全管理守则应用安全配置明细应用安全配置明细应急响应计划应急响应计划安全事件处理准则安全事件处理准则检测检测Detection监视、监测和报警监视、监测和报警 在适当的位置安置监视器和报警器,在各系在适当的位置安置监视器和报警器,在各系统单元中配备监测系统和报警系统,以实时统单元中配备监测系统和报警系统,以实时发现安全事件并及时报警。发现安全事件并及时报警。数据校验数据校验通过数据校验技术,发现数据篡改。通过数据校验技术,发现数据篡改。主机入侵检测主机入侵检测部署主机入侵检测系统,发现主机入侵行为。部署主机入侵检测系统,发现主机入侵行为
18、。主机状态监测主机状态监测 部署主机状态监测系统,随时掌握主机运部署主机状态监测系统,随时掌握主机运行状态。行状态。网络入侵检测网络入侵检测部署网络入侵检测系统,发现网络入侵行为。部署网络入侵检测系统,发现网络入侵行为。网络状态监测网络状态监测 部署网络状态监测系统,随时掌握网络运部署网络状态监测系统,随时掌握网络运行状态。行状态。安全审计安全审计在各系统单元中配备安全审计,以发现深层安全在各系统单元中配备安全审计,以发现深层安全漏洞和安全事件。漏洞和安全事件。安全监督、安全检查安全监督、安全检查实行持续有效的安全监督,预演应急响应计划。实行持续有效的安全监督,预演应急响应计划。P2DR2P2
19、DR2P2DR2P2DR2保护保护Protection机房机房 严格按照严格按照GB 50174-1993电子计算机机房设计规范电子计算机机房设计规范、GB 9361-1988计算站场地安全要求计算站场地安全要求、GB 2887-1982计算机计算机站场地技术要求站场地技术要求和和GB/T 2887-2000计算机场地通用规范计算机场地通用规范等国家标准建设和维护计算机机房。等国家标准建设和维护计算机机房。门控门控安装门控系统安装门控系统保安保安建设保安制度和保安队伍。建设保安制度和保安队伍。电磁屏蔽电磁屏蔽在必要的地方设置抗电磁干扰和防电磁泄漏的设施。在必要的地方设置抗电磁干扰和防电磁泄漏的
20、设施。病毒防杀病毒防杀全面部署防病毒系统。全面部署防病毒系统。漏洞补丁漏洞补丁及时下载和安装最新的漏洞补丁模块。及时下载和安装最新的漏洞补丁模块。安全配置安全配置严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。严格遵守各系统单元的安全配置明细,避免配置中的安全漏洞。身份认证身份认证 根据不同的安全强度,分别采用身份标识根据不同的安全强度,分别采用身份标识/口令、数字钥匙、口令、数字钥匙、数字证书、生物识别、双因子等级别的身份认证系统,对设备、数字证书、生物识别、双因子等级别的身份认证系统,对设备、用户、服务等主客体进行身份认证。用户、服务等主客体进行身份认证。访问控制访问控制 根据不同
21、的安全强度,分别采用自主型、强制型等级别的访问根据不同的安全强度,分别采用自主型、强制型等级别的访问控制系统,对设备、用户等主体访问客体的权限进行控制。控制系统,对设备、用户等主体访问客体的权限进行控制。数据加密数据加密 根据不同的安全强度,分别采用商密、普密、机密等级别的数据加根据不同的安全强度,分别采用商密、普密、机密等级别的数据加密系统,对传输数据和存储数据进行加密。密系统,对传输数据和存储数据进行加密。边界控制边界控制在网络边界布置防火墙,阻止来自外界非法访问。在网络边界布置防火墙,阻止来自外界非法访问。数字水印数字水印 对于需要版权保护的图片、声音、文字等形式的信息,采用数对于需要版
22、权保护的图片、声音、文字等形式的信息,采用数字水印技术加以保护。字水印技术加以保护。数字签名数字签名在需要防止事后否认时,可采用数字签名技术。在需要防止事后否认时,可采用数字签名技术。内容净化内容净化部署内容过滤系统。部署内容过滤系统。安全机构、安全岗位、安全责任安全机构、安全岗位、安全责任建立健全安全机构,合理设置安全岗位,明确划分安全责任。建立健全安全机构,合理设置安全岗位,明确划分安全责任。响应响应Response恢复恢复Recovery故障修复、事故排故障修复、事故排除除 确保随时能够获取故障修复和事故确保随时能够获取故障修复和事故排除的技术人员和软硬件工具。排除的技术人员和软硬件工具
23、。设施备份与恢复设施备份与恢复对于关键设施,配备设施备份与恢复系统。对于关键设施,配备设施备份与恢复系统。系统备份与恢复系统备份与恢复对于关键系统,配备系统备份与恢复系统。对于关键系统,配备系统备份与恢复系统。数据备份与恢复数据备份与恢复对于关键数据,配备数据备份与恢复系统。对于关键数据,配备数据备份与恢复系统。信道备份与恢复信道备份与恢复对于关键信道,配备设信道份与恢复系统。对于关键信道,配备设信道份与恢复系统。应用备份与恢复应用备份与恢复对于关键应用,配备应用备份与恢复系统。对于关键应用,配备应用备份与恢复系统。应急响应应急响应 按照应急响应计划处理应急事件。按照应急响应计划处理应急事件。
24、安全事件处理安全事件处理 按照安全事件处理找出原因、追究按照安全事件处理找出原因、追究责任、总结经验、提出改进。责任、总结经验、提出改进。P2DR2P2DR2网络安全管理基本方法网络安全管理基本方法管理方法管理方法系统化管理方法系统化管理方法应急响应管理方法应急响应管理方法生命周期的管理方法生命周期的管理方法层次化和协作式管理方法层次化和协作式管理方法风险评估与控制方法风险评估与控制方法动态管理方法动态管理方法网络安全管理基本流程网络安全管理基本流程v 网络安全风险管理系统维护网络安全风险管理系统维护确定网络安全策略确定网络安全策略明确网络安全管理范围明确网络安全管理范围实施网络安全风险评估实
25、施网络安全风险评估网络安全风险控制管理网络安全风险控制管理制定网络安全管理相关制度制定网络安全管理相关制度明确网络系统业务需求明确网络系统业务需求网络安全风险管理系统运行网络安全风险管理系统运行网络安全管理应急响应流程网络安全管理应急响应流程Title第二步,安全事件确认第二步,安全事件确认第一步,安全事件报警第一步,安全事件报警第三步,启动应急预案第三步,启动应急预案第四步,安全事件处理第四步,安全事件处理第六步,应急工作总结第六步,应急工作总结第五步,撰写安全事件报告第五步,撰写安全事件报告漏洞扫描系统安全增强方法系统安全系统安全停止服务和卸载软件停止服务和卸载软件安全漏洞打补丁安全漏洞打
26、补丁升级或更换程序升级或更换程序安装专用的安全工具软件安装专用的安全工具软件修改配置或权限修改配置或权限去除特洛伊等恶意程序去除特洛伊等恶意程序WindowsWindows系统安全增强基本流程系统安全增强基本流程v确认系统安全增强的安全目标和系统的业务用途确认系统安全增强的安全目标和系统的业务用途v安装最小化的操作系统安装最小化的操作系统v安装最新系统补丁安装最新系统补丁v配置安装的系统服务配置安装的系统服务v配置安全策略配置安全策略v慎用慎用NetBIOS(NetBIOS(协议协议) )v账户安全配置账户安全配置v文件系统安全配置文件系统安全配置v配置配置TCP/IPTCP/IP筛选和筛选和
27、ICF(ICF(协议协议) )v用光盘或软盘启动用光盘或软盘启动v安装第三方防护软件安装第三方防护软件v使用屏幕保护口令使用屏幕保护口令v设置应用软件安全设置应用软件安全UNIX/LinuxUNIX/Linux系统安全增强基本流程系统安全增强基本流程认证技术认证技术Title接入认证接入认证口令认证口令认证基于生物特征认证基于生物特征认证单点登陆单点登陆智能卡智能卡/USB认证认证PKI/数字证书数字证书防止内部员工滥用网络资源防止来自互联网的病毒的攻击防止垃圾邮件、垃圾信息在网络中扩散防止内部员工泄露工作机密互联网内容管理互联网内容管理协助管理协助管理员有效地员有效地调整网络调整网络性能性能
28、网闸网闸v网闸通过利用一种网闸通过利用一种GAPGAP技术技术( (源于英文的源于英文的“Air GapAir Gap”) ) ,使两个或者两个以上的网络在不连通的情况下,实现它使两个或者两个以上的网络在不连通的情况下,实现它们之间安全数据交换和共享。其技术原理是一个具有控们之间安全数据交换和共享。其技术原理是一个具有控制功能的开关读写存储安全设备,通过开关的设置来连制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换接或切断两个独立主机系统的数据交换网络安全管理实例网络安全管理实例v WINDOWS安全管理安全管理v 防火墙与防火墙与IDS部署实例部署实例v 企
29、业网络防毒防护企业网络防毒防护v 互联网内容管理互联网内容管理v 数据备份与容灾技术数据备份与容灾技术 防火墙防火墙防火墙部署基本步骤防火墙部署基本步骤v第一步,根据组织或公司的安全策略要求,将网络划分成第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域。若干安全区域。v第二步,在安全区域之间设置针对网络通信的访问控制点。第二步,在安全区域之间设置针对网络通信的访问控制点。v第三步,针对不同访问控制点的通信业务需求,制定相应第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略。的边界安全策略。v第四步,依据控制点的边界安全策略,采用合适的防火墙第四步,依据控制点的边界安
30、全策略,采用合适的防火墙技术和防范结构。技术和防范结构。v第五步,在防火墙上,配置实现对应的边界安全策略。第五步,在防火墙上,配置实现对应的边界安全策略。v第六步,测试验证边界安全策略是否正常执行。第六步,测试验证边界安全策略是否正常执行。v第七步,运行和维护防火墙。第七步,运行和维护防火墙。企业、政府纵向网络中防火墙的部署 总部互联网分支机构分支机构内部网络安全防护中防火墙的部署内部网络安全防护中防火墙的部署互联网/外网内部网高可靠性网络中防火墙部署高可靠性网络中防火墙部署互联网/外网网络入侵管理网络入侵管理IDS(IDS(入侵检测系统入侵检测系统) )部署基本步骤部署基本步骤v 第一步,根
31、据组织或公司的安全策略要求,确定第一步,根据组织或公司的安全策略要求,确定IDSIDS要监测对象或保护网段要监测对象或保护网段v 第二步,在监测对象或保护网段,安装第二步,在监测对象或保护网段,安装IDSIDS探测器,探测器,采集网络入侵检测所需要的信息采集网络入侵检测所需要的信息v 第三步,针对监测对象或保护网段的安全需求,制第三步,针对监测对象或保护网段的安全需求,制定相应的检测策略定相应的检测策略v 第四步,依据检测策略,选用合适的第四步,依据检测策略,选用合适的IDSIDS结构类型结构类型v 第五步,在第五步,在IDSIDS上,配置入侵检测规则上,配置入侵检测规则v 第六步,测试验证第
32、六步,测试验证IDSIDS的安全策略是否正常执行的安全策略是否正常执行v 第七步,运行和维护第七步,运行和维护IDSIDSHIDS(HIDS(主机入侵检测系统主机入侵检测系统) )典型部署案例典型部署案例vHIDSHIDS分布式应用分布式应用vHIDSHIDS单机应用单机应用HIDS管理中心HIDS 探测器HIDS 探测器NIDS(NIDS(网络入侵检测系统网络入侵检测系统) )典型部署案例典型部署案例v检测内部网入侵行为v外部威胁监测与识别防止内部员工滥用网络资源防止内部员工滥用网络资源防止来自互联网的病毒的攻击防止来自互联网的病毒的攻击防止垃圾邮件、垃圾信息扩散防止垃圾邮件、垃圾信息扩散防
33、止内部员工泄露工作机密防止内部员工泄露工作机密互联网内容管理互联网内容管理协助管理协助管理员有效地员有效地调整网络调整网络性能性能互联网内容管理需求分析互联网内容管理需求分析v典型的因互联网使用不当导致的安全问题如下:典型的因互联网使用不当导致的安全问题如下:v互联网的不合理使用,导致学生学习效率下降互联网的不合理使用,导致学生学习效率下降v互联网上充斥着恶意软件,给网络带来安全风险互联网上充斥着恶意软件,给网络带来安全风险v互联网资源的非法使用,可能会给学校或组织带互联网资源的非法使用,可能会给学校或组织带来法律风险来法律风险v互联网资源的不公平使用,会对现有的网络带宽互联网资源的不公平使用
34、,会对现有的网络带宽造成严重影响造成严重影响互联网内容管理基本流程互联网内容管理基本流程v 针对组织中不同的网络访问者,制订互联网访问控针对组织中不同的网络访问者,制订互联网访问控制策略。例如,网络流量大小规则、制策略。例如,网络流量大小规则、WebWeb站点访问站点访问规则、网络应用服务类型控制、网页浏览内容限制规则、网络应用服务类型控制、网页浏览内容限制规则、邮件内容访问限制。规则、邮件内容访问限制。v 选择合适的安全设备来实施互联网访问控制策略选择合适的安全设备来实施互联网访问控制策略v 部署互联网访问控制设备,配置实现互联网访问控部署互联网访问控制设备,配置实现互联网访问控制策略制策略
35、v 监控互联网访问控制设备运行状态监控互联网访问控制设备运行状态, ,更新安全策略更新安全策略互联网内容管理策略互联网内容管理策略v网站访问控制策略网站访问控制策略 如:禁止访问色情站点、上班时间不能访问开心农场等v网络应用管理策略网络应用管理策略 如:工作日禁止玩游戏、禁用P2P软件v带宽流量分配策略带宽流量分配策略 如:为P2P应用划分专用带宽通道、不同部门设置不同带宽,优先保证业务需要v外发信息监控策略外发信息监控策略 如:对BBS论坛、e-mail的外发信息设置关键字过滤v互联网活动审计策略:互联网活动审计策略: 统计监控web访问内容,带宽占用情况互联网内容管理案例互联网内容管理案例防病毒部署典型案例防病毒部署典型案例 1.基于单机病毒防护基于单机病毒防护 2.基于网络病毒防护基于网络病毒防护
