網絡安全管理 網絡安全管理 網絡安全管理概述網絡安全管理策略網絡安全管理實例WINDOWS安全管理防火墻與IDS部署實例企業網絡防毒防護互聯網內容管理數據備份與容災技術 安全涉及的因素 網絡安全 信息安全 物理安全 網絡安全 因特網 網絡對國民經濟的影響在加強 安全漏洞危害在增大 信息對抗的威脅在增加 研究安全漏洞以防之 因特網 電力 交通 通訊 控制 廣播 工業 金融 醫療 研究攻防技術以阻之 信息安全 信息竊取 信息傳遞 信息冒充 信息篡改 信息抵賴 加密技術 完整性技術 認證技術 數字簽名 文化安全 信息傳送自由 有害信息泛濫 主動發現有害信息源并給予封堵 監測網上有害信息的傳播并給予截獲 隱患 措施 物理安全 網絡存在的威脅 網絡 內部 外部泄密 拒絕服務攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計算機病毒 信息丟失 篡改 銷毀 后門 隱蔽通道 蠕蟲 冒名頂替 廢物搜尋 身份識別錯誤 不安全服務 配置 初始化 乘虛而入 代碼炸彈 病毒 更新或下載 特洛伊木馬 間諜行為 撥號進入 算法考慮不周 隨意口令 口令破解 口令圈套 竊聽 偷竊 網絡安全威脅 線纜連接 身份鑒別 編程 系統漏洞 物理威脅 網絡安全威脅的類型 網絡安全管理概念 網絡安全管理是網絡管理重要組成部分之一網絡安全管理是指通過一定安全技術措施和管理手段 確保網絡資源的保密性 可用性 完整性 可控制性 抗抵賴性 不致因網絡設備 網絡通信協議 網絡服務 網絡管理受到人為和自然因素的危害 而導致網絡中斷 信息泄露或破壞 網絡安全管理基本屬性 網絡安全管理基本屬性 可用性 得到授權的實體在需要時可訪問數據 即攻擊者不能占用所有的資源而阻礙授權者的工作可控性 可以控制授權范圍內的信息流向及行為方式機密性 確保信息不暴露給未授權的實體或進程完整性 只有得到允許的人才能修改數據 并且能夠判別出數據是否已被篡改抗抵賴性 可審查性 對出現的網絡安全問題提供調查的依據和手段 網絡安全管理目標 網絡安全管理目標 網絡安全管理目標就是通過適當的安全防范措施 確保網絡系統中的資源五個基本安全屬性 機密性 完整性 可用性 抗抵賴性 可控性 得到保證實現 以滿足網上業務開展的安全要求 網絡安全管理目標 使用訪問控制機制 阻止非授權用戶進入網絡 即 進不來 從而保證網絡系統的可用性 使用授權機制 實現對用戶的權限控制 即不該拿走的 拿不走 同時結合內容審計機制 實現對網絡資源及信息的可控性 使用加密機制 確保信息不暴漏給未授權的實體或進程 即 看不懂 從而實現信息的保密性 使用數據完整性鑒別機制 保證只有得到允許的人才能修改數據 而其它人 改不了 從而確保信息的完整性 使用審計 監控 防抵賴等安全機制 使得攻擊者 破壞者 抵賴者 走不脫 并進一步對網絡出現的安全問題提供調查依據和手段 實現信息安全的可審查性 在安全法律 法規 政策的支持與指導下 通過采用合適的安全技術與安全管理措施 完成以下任務 網絡安全管理內容 網絡安全體系結構 安全管理技術 網絡安全的關鍵技術 安全集成技術 網絡安全管理要素 企業網絡安全主要構成因素 人 制度 技術 人 網絡安全管理的根本因素 人是安防體系中的最薄弱環節 對安全防護工作重視的領導是安防工作順利推進的主要動力 有強烈安全防護意識的員工是企業安防體系得以切實落實的基礎 杜絕企業內部員工攻擊網絡系統是加強安全防護的一項重要工作 人 網絡安全管理的根本因素 加強安全教育 提高網絡安全意識 啟蒙 為安全培訓工作打基礎 端正對企業的態度 讓他們充分認識到安防工作的重要意義及在不重視安防工作的危險后果 培訓 傳授安全技巧 使其更好的完成自己的工作 教育 目標是培養IT安防專業人才 重點在于拓展應付處理復雜多變的攻擊活動的能力和遠見 制度 網絡安全管理的基礎 美國薩班斯法案國家的信息安全和網絡管理法規政策中華人民共和國計算機信息系統安全保護條例計算機信息網絡國際聯網安全保護管理辦法中華人民共和國電子簽名法計算機信息系統安全保護等級劃分準則互聯網信息服務管理辦法企業內部管理制度計算機上機管理制度用戶賬戶管理制度internet訪問管理制度信息保護管理制度防火墻管理制度應用服務器使用制度 制度 網絡安全管理的基礎 安防制度的生命周期 制度的生命周期包括制度的制定 推行和監督實施 第一階段 規章制度的制定 本階段以風險評估工作的結論為依據制定出消除 減輕和轉移風險所需要的安防控制措施 第二階段 企業發布執行的規章制度 以及配套的獎懲措施 第三階段 規章制度的監督實施 制度的監督實施應常抓不懈 反復進行 保證制度能夠跟上企業的發展和變化 制度的監督實施 制度的制定 制度的推行 技術 網絡安全管理的基本保證 完善的整體防衛架構 防火墻 訪問控制 防病毒 入侵檢測 虛擬專用網 漏洞評估 如果將計算機網絡比作城堡 技術 網絡安全管理的基本保證 防火墻就是城堡的護城橋 河 只允許己方的隊伍通過 入侵監測系統就是城堡中的了望哨 監視有無敵方或其他誤入城堡的人出現 VPN就是城褒外到城堡內的一個安全地道 有時城堡周圍遍布敵軍而內外需要聯絡 漏洞評估就是巡鑼 檢測城堡是否堅固以及是否存在潛在隱患 防病毒產品就是城堡中的將士 想方設法把發現的敵人消滅 網絡安全管理要素 安全模型 P2DR2 建立安全模型 P2DR2 Detection入侵檢測 Protect安全保護 Reaction安全響應 Recovery安全恢復 Policy安全策略 統一管理 協調PPDRR之間的行動 安全模型 P2DR2 建立安全模型 P2DR2 安全模型 P2DR2 策略Policy 定義系統的監控周期 確立系統恢復機制 制定網絡訪問控制策略和明確系統的總體安全規劃和原則 防護Protection 充分利用防火墻系統 實現數據包策略路由 路由策略和數據包過濾技術 應用訪問控制規則達到安全 高效地訪問 應用NAT及映射技術實現IP地址的安全保護和隔離 檢測Detection 利用防火墻系統具有的入侵檢測技術及系統掃描工具 配合其他專項監測軟件 建立訪問控制子系統ACS 實現網絡系統的入侵監測及日志記錄審核 以利及時發現透過ACS的入侵行為 響應Response 在安全策略指導下 通過動態調整訪問控制系統的控制規則 發現并及時截斷可疑鏈接 杜絕可疑后門和漏洞 啟動相關報警信息 恢復Restore 在多種備份機制的基礎上 啟用應急響應恢復機制實現系統的瞬時還原 進行現場恢復及攻擊行為的再現 供研究和取證 實現異構存儲 異構環境的高速 可靠備份 安全模型 P2DR2 安全模型 P2DR2 安全模型 P2DR2 安全模型 P2DR2 網絡安全管理基本方法 管理方法 系統化管理方法 應急響應管理方法 生命周期的管理方法 層次化和協作式管理方法 風險評估與控制方法 動態管理方法 網絡安全管理基本流程 網絡安全管理應急響應流程 Title 第二步 安全事件確認 第一步 安全事件報警 第三步 啟動應急預案 第四步 安全事件處理 第六步 應急工作總結 第五步 撰寫安全事件報告 漏洞掃描 系統安全增強方法 系統安全 停止服務和卸載軟件 安全漏洞打補丁 升級或更換程序 安裝專用的安全工具軟件 修改配置或權限 去除特洛伊等惡意程序 Windows系統安全增強基本流程 確認系統安全增強的安全目標和系統的業務用途安裝最小化的操作系統安裝最新系統補丁配置安裝的系統服務配置安全策略慎用NetBIOS賬戶安全配置文件系統安全配置配置TCP IP篩選和ICF用光盤或軟盤啟動安裝第三方防護軟件使用屏幕保護口令設置應用軟件安全 UNIX Linux系統安全增強基本流程 認證技術 Title 接入認證 口令認證 基于生物特征認證 單點登陸 智能卡 USB認證 PKI 數字證書 互聯網內容管理 協助管理員有效地調整網絡性能 網閘 網閘通過利用一種GAP技術 源于英文的 AirGap 使兩個或者兩個以上的網絡在不連通的情況下 實現它們之間安全數據交換和共享 其技術原理是一個具有控制功能的開關讀寫存儲安全設備 通過開關的設置來連接或切斷兩個獨立主機系統的數據交換 網絡安全管理實例 WINDOWS安全管理防火墻與IDS部署實例企業網絡防毒防護互聯網內容管理數據備份與容災技術 防火墻 防火墻部署基本步驟第一步 根據組織或公司的安全策略要求 將網絡劃分成若干安全區域 第二步 在安全區域之間設置針對網絡通信的訪問控制點 第三步 針對不同訪問控制點的通信業務需求 制定相應的邊界安全策略 第四步 依據控制點的邊界安全策略 采用合適的防火墻技術和防范結構 第五步 在防火墻上 配置實現對應的邊界安全策略 第六步 測試驗證邊界安全策略是否正常執行 第七步 運行和維護防火墻 企業 政府縱向網絡中防火墻的部署 內部網絡安全防護中防火墻的部署 高可靠性網絡中防火墻部署 網絡入侵管理 IDS部署基本步驟第一步 根據組織或公司的安全策略要求 確定IDS要監測對象或保護網段第二步 在監測對象或保護網段 安裝IDS探測器 采集網絡入侵檢測所需要的信息第三步 針對監測對象或保護網段的安全需求 制定相應的檢測策略第四步 依據檢測策略 選用合適的IDS結構類型第五步 在IDS上 配置入侵檢測規則第六步 測試驗證IDS的安全策略是否正常執行第七步 運行和維護IDS HIDS典型部署案例 HIDS分布式應用HIDS單機應用 NIDS典型部署案例 檢測內部網入侵行為 外部威脅監測與識別 互聯網內容管理 協助管理員有效地調整網絡性能 互聯網內容管理需求分析 典型的因互聯網使用不當導致的安全問題如下 互聯網的不合理使用 導致學生學習效率下降互聯網上充斥著惡意軟件 給網絡帶來安全風險互聯網資源的非法使用 可能會給學校或組織帶來法律風險互聯網資源的不公平使用 會對現有的網絡帶寬造成嚴重影響 互聯網內容管理基本流程 針對組織中不同的網絡訪問者 制訂互聯網訪問控制策略 例如 網絡流量大小規則 Web站點訪問規則 網絡應用服務類型控制 網頁瀏覽內容限制規則 郵件內容訪問限制 選擇合適的安全設備來實施互聯網訪問控制策略部署互聯網訪問控制設備 配置實現互聯網訪問控制策略監控互聯網訪問控制設備運行狀態 更新安全策略 互聯網內容管理策略 網站訪問控制策