网络安全管理概述(ppt 59页).ppt

网络安全管理基本属性
完整性
可用性
机密性 可控性
抗抵赖性 (可审查性）
网络安全管理基本属性wenku.baidu.com
可用性：
得到授权的实体在需要时可访问数据，即攻击者不能占用所有的 资源而阻碍授权者的工作
可控性：
可以控制授权范围内的信息流向及行为方式
机密性：
确保信息不暴露给未授权的实体或进程
完整性： 只有得到允许的人才能修改数据，并且能够判别出数据是否已被
安全模型(P2DR2)
安全模型(P2DR2)
安全模型(P2DR2)
安全模型(P2DR2)
网络安全管理基本方法
应急响应管理方法
系统化管理方法
风险评估与控制方法
管理方法
生命周期的管理方法
动态管理方法
层次化和协作式管理方法
网络安全管理基本流程
明确网络系统业务需求
确定网络安全策略
明确网络安全管理范围
防火墙
防火墙部署基本步骤 第一步，根据组织或公司的安全策略要求，将网络划分成
若干安全区域。 第二步，在安全区域之间设置针对网络通信的访问控制点。 第三步，针对不同访问控制点的通信业务需求，制定相应
的边界安全策略。 第四步，依据控制点的边界安全策略，采用合适的防火墙
技术和防范结构。 第五步，在防火墙上，配置实现对应的边界安全策略。 第六步，测试验证边界安全策略是否正常执行。 第七步，运行和维护防火墙。
身 份 认 证 技 术
访 问 控 制 技 术
密 码 技 术
备 份 与 恢 复 技 术
安全管理技术
网络安全管理要素
企业网络安全主要构成因素
人 制度
安全防护体系
技术
人
制度
技术
人：网络安全管理的根本因素
人是安防体系中的最薄弱环节
对安全防护工作重视的领导是安防工作顺利 推进的主要动力；
有强烈安全防护意识的员工是企业安防体系 得以切实落实的基础；
网络安全管理目标
在安全法律、法规、政策的支持与指导下，通过采用合适的安 全技术与安全管理措施，完成以下任务：
使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网
络系统的可用性。
使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走”，同时结
合内容审计机制，实现对网络资源及信息的可控性。
漏洞评估就是巡锣——检测城堡是否坚固以及是否存在 潜在隐患。
防病毒产品就是城堡中的将士——想方设法把发现的敌 人消灭。
网络安全管理要素
安全模型（P2DR2)
建立安全模型(P2DR2)
R
Reaction 安全响应
P
Policy 安全策略
安全模型 PPDRR
D
Detection 入侵检测
R
Recovery 安全恢复
第三步，针对监测对象或保护网段的安全需求，制 定相应的检测策略
第四步，依据检测策略，选用合适的IDS结构类型 第五步，在IDS上，配置入侵检测规则 第六步，测试验证IDS的安全策略是否正常执行 第七步，运行和维护IDS
HIDS典型部署案例
HIDS分布式应用 HIDS单机应用
工业
因特网
信息对抗的威胁在增加电力 交通
医疗
金融
网络对国民经济的影响在加强
信息安全
数字签名
信息抵赖
加密技术
信息窃取
信息篡改
完整性技术
认证技术
信息冒充
文化安全
.
因特网
.
主动发现有害信息源并给予封堵
信息来源 不确定
用户 打击目标 机动性强
监测网上有害信息的传播并给予截获
物理安全
温度
湿度
电磁
环境
集群
HIDS 探测器
HIDS管理中心
HIDS 探测器
NIDS典型部署案例
检测内部网入侵行为
外部威胁监测与识别
互联网内容管理
防止内部员工滥用网络资源 防止来自互联网的病毒的攻击
协助管理 员有效地 调整网络 性能
防止内部员工泄露工作机密
防止垃圾邮件、垃圾信息在网络中扩散
备份
容灾
网络存在的威胁
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
信息丢失、 篡改、销毁
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密
网络安全威胁的类型
冒名顶替
废物搜寻 间谍行为
拨号进入
窃听 偷窃
身份识别错误
算法考虑不周 随意口令 口令破解
线缆连接
物理威胁
身份鉴别
网络安全威胁 系统漏洞
编程
口令圈套
制度：网络安全管理的基础
安防制度的生命周期
制度的生命周期包括制度的制定、推行和监督实施。
第一阶段：规章制度的制 定。本阶段以风险评估工 作的结论为依据制定出消 除、 减轻和转移风险所需 要的安防 控制措施。
第二阶段：企业发
布执行的规章制度，
制度的制定
以及配套的奖惩措 施。
第三阶段：规章制度的监 督实施。制度的监督实施 应常抓不懈、反复进行， 保证制度能够跟上企业的 发展和变化
防护Protection-- 充分利用防火墙系统，实现数据包策略路由、路由 策略和数据包过滤技术，应用访问控制规则达到安全、高效地访问； 应用NAT及映射技术实现IP地址的安全保护和隔离；
检测Detection--利用防火墙系统具有的入侵检测技术及系统扫描工 具，配合其他专项监测软件，建立访问控制子系统ACS，实现网络系 统的入侵监测及日志记录审核，以利及时发现透过ACS的入侵行为；
使用加密机制，确保信息不暴漏给未授权的实体或进程，即“看不懂”，
从而实现信息的保密性。
使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人
“改不了”，从而确保信息的完整性
使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，
并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。
网闸
网闸通过利用一种GAP技术(源于英文的“Air Gap”) ，使两个或 者两个以上的网络在不连通的情况下，实现它们之间安全数据交换 和共享。其技术原理是一个具有控制功能的开关读写存储安全设备， 通过开关的设置来连接或切断两个独立主机系统的数据交换
网络安全管理实例
WINDOWS安全管理 防火墙与IDS部署实例 企业网络防毒防护 互联网内容管理 数据备份与容灾技术
企业、政府纵向网络中防火墙的部署
分支机构
互联网
总部
分支机构
内部网络安全防护中防火墙的部署
互联网/外网 内部网
高可靠性网络中防火墙部署
互联网/外网
网络入侵管理
IDS部署基本步骤
第一步，根据组织或公司的安全策略要求，确定 IDS要监测对象或保护网段
第二步，在监测对象或保护网段，安装IDS探测器， 采集网络入侵检测所需要的信息
响应Response--在安全策略指导下，通过动态调整访问控制系统的 控制规则，发现并及时截断可疑链接、杜绝可疑后门和漏洞，启动相 关报警信息；
恢复Restore--在多种备份机制的基础上，启用应急响应恢复机制实 现系统的瞬时还原；进行现场恢复及攻击行为的再现，供研究和取证； 实现异构存储、异构环境的高速、可靠备份。
否
系统安全目标是否满足?
是
UNIX/LINUX系 统 安 全 运 行
认证技术
口令认证
接入认证
智能卡/USB 认证
PKI/数字证书
Title
基于生物特征认证
单点登陆
互联网内容管理
防止内部员工滥用网络资源 防止来自互联网的病毒的攻击
协助管理 员有效地 调整网络 性能
防止内部员工泄露工作机密
防止垃圾邮件、垃圾信息在网络中扩散
实施网络安全风险评估
网络安全风险管理系统维护
网络安全风险控制管理
制定网络安全管理相关制度
网络安全风险管理系统运行
网络安全管理应急响应流程
第一步，安全事件报警
第二步，安全事件确认
第六步，应急工作总结
Title
第三步，启动应急预案
第五步，撰写安全事件报告
第四步，安全事件处理
漏洞扫描
系统安全增强方法
篡改
抗抵赖性(可审查性)
对出现的网络安全问题提供调查的依据和手段
网络安全管理目标
进不来 拿不走
看不懂
改不了 跑不了
网络安全管理目标
网络安全管理目标就是通过适当的安全防范措施， 确保网络系统中的资源五个基本安全属性(机密性、 完整性、可用性、抗抵赖性、可控性)得到保证实 现，以满足网上业务开展的安全要求。
网络安全管理内容
安全管理
环
媒
设
反
备 审访 安
用 传储 内
境 安
体 安
备 安
病
份 计问 全 恢 监控 检
户 输存 容 鉴 安安 审
全
全
全
毒
复 控制 测
权 全全 计
物理安全
重点
网络安全
信息安全
安全体系
网络安全体系结构
访问控制
安全检测
用户鉴权
传输安全
出存 入取 控控 制制
安入 全侵 扫检 描测
主 体 特 征
杜绝企业内部员工攻击网络系统是加强安全 防护的一项重要工作。
人：网络安全管理的根本因素
加强安全教育、提高网络安全意识
启蒙——为安全培训工作打基础，端正对企业的态度， 让他们充分认识到安防工作的重要意义及在不重视安防 工作的危险后果。
培训——传授安全技巧，使其更好的完成自己的工作。 教育——目标是培养IT安防专业人才，重点在于拓展应
口 令 机 制
智 能 卡
数 字 证 书
传 输 数 据
数 据 完 整
防 抵 赖
加鉴
密别
控制表技术
攻击技术
口令技术
加密技术 安全协议
网络安全的关键技术
安全集成技术
防 病 毒 技 术
防 火 墙 技 术
V P N 技 术
入 侵 检 测 技 术
安 全 评 估 技 术
审 计 分 析 技 术
主 机 安 全 技 术
UNIX/Linux系统安全增强基本流程
确 认 UNIX/LINUX系 统 安 全 目 标
安 装 最 小 化 UNIX/LINUX系 统
UNIX/LINUX系 统 安 全 策 略 配 置
UNIX/LINUX系 统 安 全 修 正
安 装 UNIX/LINUX第 三 方 安 全 软 件 工 具 UNIX/LINUX系 统 安 全 检 查
病毒
代码炸弹
不安全服务 配置
初始化 乘虚而入
特洛伊木马
更新或下载
网络安全管理概念
网络安全管理是网络管理重要组成部分之一 网络安全管理是指通过一定安全技术措施和管理
手段，确保网络资源的保密性、可用性、完整性、 可控制性、抗抵赖性，不致因网络设备、网络通 信协议、网络服务、网络管理受到人为和自然因 素的危害，而导致网络中断、信息泄露或破坏。
网络安全管理
网络安全管理
网络安全管理概述 网络安全管理策略 网络安全管理实例
WINDOWS安全管理 防火墙与IDS部署实例 企业网络防毒防护 互联网内容管理 数据备份与容灾技术
安全涉及的因素
物理安全
信息安全
网络安全
网络安全
研究攻防技术以阻之通讯
研究安全漏洞以防之
控制 广播
安全漏洞打补丁
停止服务和卸载软件
修改配置或权限
系统安全
升级或更换程序
去除特洛伊等恶意程序
安装专用的安全工具软件
Windows系统安全增强基本流程
确认系统安全增强的安全目标和系统的业务用途 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 慎用NetBIOS 账户安全配置 文件系统安全配置 配置TCP/IP筛选和ICF 用光盘或软盘启动 安装第三方防护软件 使用屏幕保护口令 设置应用软件安全
技术：网络安全管理的基本保证
完善的整体防卫架构
防病毒 访问控制
入侵检测 漏洞评估
防火墙
技术：网络安全管理的基本保证
如果将计算机网络比作城堡：
防火墙就是城堡的护城桥（河）——只允许己方的队伍 通过。
入侵监测系统就是城堡中的了望哨——监视有无敌方或 其他误入城堡的人出现。
VPN就是城褒外到城堡内的一个安全地道——有时城堡 周围遍布敌军而内外需要联络。
P
Protect 安全保护
安全模型（P2DR2)
建立安全模型(P2DR2)
统一管理、协调 PPDRR之间的行动
$dollars
$dollars
Policy 安全策略
Recovery安全恢复 $dollars
Protect 安全保护
Detection 入侵检测
Reaction 安全响应
策略Policy --定义系统的监控周期、确立系统恢复机制、制定网络访 问控制策略和明确系统的总体安全规划和原则；
付处理复杂多变的攻击活动的能力和远见。
制度：网络安全管理的基础
美国萨班斯法案 国家的信息安全和网络管理法规政策 中华人民共和国计算机信息系统安全保护条例 计算机信息网络国际联网安全保护管理办法 中华人民共和国电子签名法 计算机信息系统安全保护等级划分准则 互联网信息服务管理办法 企业内部管理制度 计算机上机管理制度 用户账户管理制度 internet访问管理制度 信息保护管理制度 防火墙管理制度 应用服务器使用制度