1、网络安全管理网络安全管理网络安全管理v网络安全管理概述v网络安全管理策略v网络安全管理实例WINDOWS安全管理安全管理防火墙与防火墙与IDS部署实例部署实例企业网络防毒防护企业网络防毒防护互联网内容管理互联网内容管理数据备份与容灾技术数据备份与容灾技术安全涉及的因素网络安全因特网因特网网络对国民经济的影响在加强网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力电力交通交通通讯通讯控制控制广播广播工业工业金融金融医疗医疗研究攻防技术以阻之研究攻防技术以阻之信息安全信息窃取信息窃取信息传递信息传递信息冒充信息冒
2、充信息篡改信息篡改信息抵赖信息抵赖加密技术加密技术完整性技术完整性技术认证技术认证技术数字签名数字签名文化安全信息传送自由信息传送自由信息来源信息来源不确定不确定.打击目标打击目标机动性强机动性强.主动发现有害信息源并给予封堵监测网上有害信息的传播并给予截获隐患隐患措施措施物理安全容灾容灾集群集群备份备份环境环境温度温度电磁电磁湿度湿度网络存在的威胁网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒信息丢失、信息丢失、篡改、销毁篡改、销毁后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫冒名顶替冒名顶替废物搜寻废物搜寻身份识别
3、错误身份识别错误不安全服务不安全服务配置配置初始化初始化乘虚而入乘虚而入代码炸弹代码炸弹病毒病毒更新或下载更新或下载特洛伊木马特洛伊木马间谍行为间谍行为拨号进入拨号进入算法考虑不周算法考虑不周随意口令随意口令口令破解口令破解口令圈套口令圈套窃听窃听偷窃偷窃网络安全威胁网络安全威胁线缆连接线缆连接身份鉴别身份鉴别编程编程系统漏洞系统漏洞物理威胁物理威胁网络安全威胁的类型网络安全威胁的类型网络安全管理概念网络安全管理概念v网络安全管理是网络管理重要组成部分之一v网络安全管理是指通过一定安全技术措施和管理手段,确保网络资源的保密性、可用性、完整性、可控制性、抗抵赖性,不致因网络设备、网络通信协议、网
4、络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。机密性机密性完整性完整性可用性可用性可控性可控性抗抵赖性抗抵赖性(可审查性)可审查性)网络安全管理网络安全管理基本属性网络安全管理网络安全管理基本属性可用性:可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作可控性:可控性:可以控制授权范围内的信息流向及行为方式机密性:机密性:确保信息不暴露给未授权的实体或进程 完整性:完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改抗抵赖性抗抵赖性(可审查性可审查性)对出现的网络安全问题提供调查的依据和手段网络安全管理目标进进不不
5、来来 拿拿不不走走 看看不不懂懂 改改不不了了 跑跑不不了了 网络安全管理目标 v网络安全管理目标就是通过适当的安全防范措施,确保网络系统中的资源五个基本安全属性(机密性、完整性、可用性、抗抵赖性、可控性)得到保证实现,以满足网上业务开展的安全要求。网络安全管理目标 使用访问控制机制,阻止非授权用户进入网络,即使用访问控制机制,阻止非授权用户进入网络,即“进不来进不来”,从而保证网,从而保证网络系统的可用性。络系统的可用性。使用授权机制,实现对用户的权限控制,即不该拿走的使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走拿不走”,同时结,同时结合内容审计机制,实现对网络资源及信息的可控性
6、。合内容审计机制,实现对网络资源及信息的可控性。使用加密机制,确保信息不暴漏给未授权的实体或进程,即使用加密机制,确保信息不暴漏给未授权的实体或进程,即“看不懂看不懂”,从,从而实现信息的保密性。而实现信息的保密性。使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了改不了”,从而确保信息的完整性,从而确保信息的完整性 使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现
7、信息安全的可审查性并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。在安全法律、法规、政策的支持与指导下,通过采用合适的安在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成以下任务:全技术与安全管理措施,完成以下任务:重点安全管理安安全全体体系系物理安全网络安全信息安全环境安全媒体安全设备安全反病毒审计监控安全检测访问控制备份恢复传输安全储存安全用户鉴权内容审计网络安全管理内容网络安全管理内容访问控制传输安全用户鉴权安全检测出入控制存取控制安全扫描入侵检测口令机制智能卡主体特征传输数据加密数据完整鉴别防抵赖数字证书控制表技术攻击技术口令技术加
8、密技术安全协议网络安全体系结构网络安全的关键技术网络安全的关键技术网络安全管理要素人人 制度制度技术技术安全防护体系安全防护体系q 人人q 制度制度q 技术技术 人:网络安全管理的根本因素人:网络安全管理的根本因素q 对安全防护工作重视的领导是安防工作顺利推对安全防护工作重视的领导是安防工作顺利推进的主要动力;进的主要动力;q 有强烈安全防护意识的员工是企业安防体系得有强烈安全防护意识的员工是企业安防体系得以切实落实的基础;以切实落实的基础;q 杜绝企业内部员工攻击网络系统是加强安全防杜绝企业内部员工攻击网络系统是加强安全防护的一项重要工作。护的一项重要工作。人:网络安全管理的根本因素人:网络
9、安全管理的根本因素q 启蒙启蒙为安全培训工作打基础,端正对企业的态度,为安全培训工作打基础,端正对企业的态度,让他们充分认识到安防工作的重要意义及在不重视安防让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。工作的危险后果。q 培训培训传授安全技巧,使其更好的完成自己的工作。传授安全技巧,使其更好的完成自己的工作。q 教育教育目标是培养目标是培养IT安防专业人才,重点在于拓展应安防专业人才,重点在于拓展应付处理复杂多变的攻击活动的能力和远见。付处理复杂多变的攻击活动的能力和远见。制度:网络安全管理的基础制度:网络安全管理的基础 美国萨班斯法案美国萨班斯法案 国家的信息安全和网络管
10、理法规政策国家的信息安全和网络管理法规政策l 中华人民共和国计算机信息系统安全保护条例l 计算机信息网络国际联网安全保护管理办法 l 中华人民共和国电子签名法l 计算机信息系统安全保护等级划分准则 l 互联网信息服务管理办法 企业内部管理制度企业内部管理制度v 计算机上机管理制度计算机上机管理制度v 用户账户管理制度用户账户管理制度v internet访问管理制度访问管理制度v 信息保护管理制度信息保护管理制度v 防火墙管理制度防火墙管理制度v 应用服务器使用制度应用服务器使用制度制度:网络安全管理的基础制度:网络安全管理的基础制度的生命周期包括制度的制定、推行和监督实施。制度的生命周期包括制
11、度的制定、推行和监督实施。第一阶段:规章制度的制第一阶段:规章制度的制定。本阶段以风险评估工定。本阶段以风险评估工作的结论为依据制定出消作的结论为依据制定出消除、除、减轻和转移风险所需减轻和转移风险所需要的安防要的安防 控制措施。控制措施。第二阶段:企业发第二阶段:企业发布执行的规章制度,布执行的规章制度,以及配套的奖惩措以及配套的奖惩措施。施。第三阶段:规章制度的监第三阶段:规章制度的监督实施。制度的监督实施督实施。制度的监督实施应常抓不懈、反复进行,应常抓不懈、反复进行,保证制度能够跟上企业的保证制度能够跟上企业的发展和变化发展和变化制度的监督实施制度的监督实施制度的制定制度的制定制度的推
12、行制度的推行技术:网络安全管理的基本保证技术:网络安全管理的基本保证防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测漏洞评估漏洞评估如果将计算机网络比作城堡:如果将计算机网络比作城堡:技术:网络安全管理的基本保证q 防火墙就是城堡的护城桥(河)防火墙就是城堡的护城桥(河)只允许己方的队伍只允许己方的队伍通过。通过。q 入侵监测系统就是城堡中的了望哨入侵监测系统就是城堡中的了望哨监视有无敌方或监视有无敌方或其他误入城堡的人出现。其他误入城堡的人出现。q VPN就是城褒外到城堡内的一个安全地道就是城褒外到城堡内的一个安全地道有时城堡有时城堡周围遍布敌军而内外需要联络。周围遍布敌军而内外需要
13、联络。q 漏洞评估就是巡锣漏洞评估就是巡锣检测城堡是否坚固以及是否存在检测城堡是否坚固以及是否存在潜在隐患。潜在隐患。q 防病毒产品就是城堡中的将士防病毒产品就是城堡中的将士想方设法把发现的敌想方设法把发现的敌人消灭。人消灭。网络安全管理要素P2DR2P Policy 安全策略安全策略DDetection入侵检测入侵检测RReaction安全响应安全响应RRecovery安全恢复安全恢复PProtect 安全保护安全保护$dollars$dollars$dollarsDetection 入侵检测入侵检测Protect 安全保护安全保护Reaction 安全响应安全响应Recovery安全恢复安
14、全恢复Policy 安全策略安全策略统一管理、协调统一管理、协调PPDRR之间的行动之间的行动 P2DR2安安全全模模型型(P2DR2P2DR2P2DR2P2DR2P2DR2P2DR2P2DR2P2DR2网络安全管理基本方法网络安全管理基本方法管理方法管理方法系统化管理方法应急响应管理方法生命周期的管理方法层次化和协作式管理方法风险评估与控制方法动态管理方法网络安全管理基本流程网络安全管理基本流程v 网络安全风险管理系统维护确定网络安全策略明确网络安全管理范围实施网络安全风险评估网络安全风险控制管理制定网络安全管理相关制度明确网络系统业务需求网络安全风险管理系统运行网络安全管理应急响应流程网络
15、安全管理应急响应流程Title第二步,安全事件确认第一步,安全事件报警第三步,启动应急预案第四步,安全事件处理第六步,应急工作总结第五步,撰写安全事件报告漏洞扫描系统安全增强方法系统安全系统安全停止服务和卸载软件安全漏洞打补丁升级或更换程序安装专用的安全工具软件修改配置或权限去除特洛伊等恶意程序WindowsWindows系统安全增强基本流程系统安全增强基本流程v确认系统安全增强的安全目标和系统的业务用途v安装最小化的操作系统v安装最新系统补丁v配置安装的系统服务v配置安全策略v慎用NetBIOSv账户安全配置v文件系统安全配置v配置TCP/IP筛选和ICFv用光盘或软盘启动v安装第三方防护软
16、件v使用屏幕保护口令v设置应用软件安全UNIX/LinuxUNIX/Linux系统安全增强基本流程系统安全增强基本流程确 认 UNIX/LINUX系 统 安 全 目 标系 统 安 全 目 标 是 否 满 足?安 装 最 小 化 UNIX/LINUX系 统UNIX/LINUX系 统 安 全 策 略 配 置安 装 UNIX/LINUX第 三 方 安 全 软 件 工 具UNIX/LINUX系 统 安 全 检 查UNIX/LINUX系 统 安 全 修 正UNIX/LINUX系 统 安 全 运 行否是认证技术认证技术Title接入认证接入认证口令认证口令认证基于生物特征认证基于生物特征认证单点登陆单点登
17、陆智能卡智能卡/USB认证认证PKI/数字证书数字证书防止内部员工滥用网络资源防止来自互联网的病毒的攻击防止垃圾邮件、垃圾信息在网络中扩散防止内部员工泄露工作机密互联网内容管理互联网内容管理协助管理协助管理员有效地员有效地调整网络调整网络性能性能网闸网闸v网闸通过利用一种GAP技术(源于英文的“Air Gap”),使两个或者两个以上的网络在不连通的情况下,实现它们之间安全数据交换和共享。其技术原理是一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换网络安全管理实例网络安全管理实例v WINDOWS安全管理安全管理v 防火墙与防火墙与IDS部署实例部署实
18、例v 企业网络防毒防护企业网络防毒防护v 互联网内容管理互联网内容管理v 数据备份与容灾技术数据备份与容灾技术 防火墙防火墙防火墙部署基本步骤防火墙部署基本步骤v第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域。v第二步,在安全区域之间设置针对网络通信的访问控制点。v第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略。v第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构。v第五步,在防火墙上,配置实现对应的边界安全策略。v第六步,测试验证边界安全策略是否正常执行。v第七步,运行和维护防火墙。企业、政府纵向网络中防火墙的部署 总部互联网分支机构分支机构内
19、部网络安全防护中防火墙的部署内部网络安全防护中防火墙的部署互联网/外网内部网高可靠性网络中防火墙部署高可靠性网络中防火墙部署互联网/外网网络入侵管理网络入侵管理IDSIDS部署基本步骤部署基本步骤v 第一步,根据组织或公司的安全策略要求,确定IDS要监测对象或保护网段v 第二步,在监测对象或保护网段,安装IDS探测器,采集网络入侵检测所需要的信息v 第三步,针对监测对象或保护网段的安全需求,制定相应的检测策略v 第四步,依据检测策略,选用合适的IDS结构类型v 第五步,在IDS上,配置入侵检测规则v 第六步,测试验证IDS的安全策略是否正常执行v 第七步,运行和维护IDSHIDSHIDS典型部
20、署案例典型部署案例vHIDS分布式应用vHIDS单机应用HIDS管理中心HIDS 探测器HIDS 探测器NIDSNIDS典型部署案例典型部署案例v检测内部网入侵行为v外部威胁监测与识别防止内部员工滥用网络资源防止来自互联网的病毒的攻击防止垃圾邮件、垃圾信息在网络中扩散防止内部员工泄露工作机密互联网内容管理互联网内容管理协助管理协助管理员有效地员有效地调整网络调整网络性能性能互联网内容管理需求分析互联网内容管理需求分析v典型的因互联网使用不当导致的安全问题如下:v互联网的不合理使用,导致学生学习效率下降v互联网上充斥着恶意软件,给网络带来安全风险v互联网资源的非法使用,可能会给学校或组织带来法律
21、风险v互联网资源的不公平使用,会对现有的网络带宽造成严重影响互联网内容管理基本流程互联网内容管理基本流程v 针对组织中不同的网络访问者,制订互联网访问控制策略。例如,网络流量大小规则、Web站点访问规则、网络应用服务类型控制、网页浏览内容限制规则、邮件内容访问限制。v 选择合适的安全设备来实施互联网访问控制策略v 部署互联网访问控制设备,配置实现互联网访问控制策略v 监控互联网访问控制设备运行状态,更新安全策略互联网内容管理策略互联网内容管理策略v网站访问控制策略网站访问控制策略 如:禁止访问色情站点、上班时间不能访问开心农场等v网络应用管理策略网络应用管理策略 如:工作日禁止玩游戏、禁用P2P软件v带宽流量分配策略带宽流量分配策略 如:为P2P应用划分专用带宽通道、不同部门设置不同带宽,优先保证业务需要v外发信息监控策略外发信息监控策略 如:对BBS论坛、e-mail的外发信息设置关键字过滤v互联网活动审计策略:互联网活动审计策略:统计监控web访问内容,带宽占用情况互联网内容管理案例互联网内容管理案例防病毒部署典型案例防病毒部署典型案例 1.1.基于单机病毒防护基于单机病毒防护 2.2.基于网络病毒防护基于网络病毒防护防病毒部署典型案例防病毒部署典型案例v 3.基于网络分级病毒防护基于网络分级病毒防护
