9 第61节 安全策略与安全网络设计PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15
• 组织制定策略是为了让其成员及下级组织 了解如何行动,是各级管理者执行管理工 作的依据。如果发生了违反策略的情况, 将会产生严肃处理的结果。例如,如果某 公司在关于电子邮件的策略中规定:在公 司的电子邮件系统中,职员不拥有隐私权, 所有电子邮件的所有权归公司所有并受到 监视。如果规定了这样的策略,公司就有 权监视职员往来的电子邮件,对违反策略 规定的职员可以进行纪律处分。
第6.1节安全策略与安全网络设计
1
整体概述
概述一
点击此处输入
相关文本内容
概述二
点击此处输入
相关文本内容
概述三
点击此处输入
相关文本内容
2
Байду номын сангаас
前言
• 本章主要讨论一个组织或部门的网络安全 策略设计和安全网络的结构设计问题,然 后讨论网络边界防护的各种技术措施。网 络边界安全防护技术是用于解决内部网络 与外部网络交界(接口)处的安全技术, 各种用于网络边界安全防护设备或手段因 解决各种防护需要而被创造出来。
• 组织的信息安全策略设计 • 组织的安全网络结构
7
6.1.1组织的信息安全策略设计
• 一个组织的信息安全策略应该具有完善的 完整性和一致性,完整性可以保证策略覆 盖组织的所有安全需求,一致性则是为了 保证策略集中包含互相矛盾的内容。一个 组织系统的策略是划分为层次的,分别满 足不同层次的信息安全的要求。本节除了 说明策略的层次性和覆盖范围外,还将详 细地研究网络访问控制策略的设计方法。
• 针对上述策略例子,指导要提供关于如何配置网 络元素和根据标准要求加密信息的详细资料与操 作方法,供负责实施解决方案的工程师参考,但 工程师可以选择其他更合适的方案实施。
13
一个组织的安全策略是有层次性的
• 一个组织的所有人员和储存、传输与处理 信息的设备与系统构成了该组织的信息系 统,在这个信息系统的每一个层次上,包 括从管理层到硬件层的各个层次上,都需 要针对各层的具体问题做出安全性决策, 其中包括企事业级的安全决策,行政管理 方面的安全决策,硬件设备及其运行环境 的安全决策,操作系统与数据库系统的安 全决策等内容,安全策略是做出这些决策 的依据。
17
6.1.1.2 策略的设计方法
• 策略文档的组成 • 标准文档的组成 • 指导文档的组成 • 一个组织的安全策略涵盖的范围 • 策略制定的过程
18
• 策略应该是简单扼要的,其含义应该是明 晰的和无二义性的。
• 需要有经验丰富的安全专家和组织的负责 人与安全管理人员共同参与。
• 在创建策略、标准与指导时,必须在安全 性与管理业务的能力之间进行平衡,同时 还需要在安全性与所需的投资费用之间做 出适当的平衡。
5
主要内容
• 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
6
6.1 安全策略与安全网络设计
• 首先研究并制定符合自己组织信息安全要 求的安全策略,然后根据安全策略的要求 设计并构建组织内部的网络系统,最后再 对网络系统以及各种网络设备提供的安全 机制进行合理的配置,以达到充分利用之 目的。
19
• 保持平衡的原则是:依据策略、标准与指 导的要求,对资产实施的保护费用必须与 被保护对象的商业价值相匹配。
9
• 信息安全策略是关于一个组织保护其信息 系统安全性的最高层次的指导原则,是根 据组织领导集团的需求、设备情况、单位 章程和法律约束等要求制定的。
10
• 策略是较高级的文档,它一般不指定所用的技术, 而是指明方向与行为基准。策略不仅解释要怎么 做,而且解释这样做的原因。策略建立了组织管 理控制上的指导条例,并确定组织信息的所有使 用者都应遵从的制度。
• 例如,一条策略声明中写到:“所有通信 内容都应受到保护不被窃听”,策略中并 不说明如何达到该目的,或使用何种技术 达到该目的。而这些内容都是由标准定义 的。
11
• 标准源于策略,用于描述在配置方面需要 满足的要求以及需要采用的技术与遵照的 特定步骤。标准是用来实现策略的过程与 规程,并提供可供审计的详细信息及规范。
8
6.1.1.1 策略是什么?
• 人员、信息和文档资料、以及对这些信息 资料进行储存、处理与传输等作用的计算 机与网络硬件与软件系统都属于一个组织 的资产,每个组织都希望保护与充分利用 自己的资产,但这需要在一套行之有效的 信息安全保护规范与制度。在建立这套规 范与制度之前,首先应该制定一整套策略、 标准及指导,并把它们作为安全运作程序 与制度的依据。
3
• 例如,由于可能存在来自外部网络的入侵, 所以具有包过滤功能的路由器、防火墙、 入侵检测系统(IDS)以及入侵诱骗等设备 与技术都应运而生;为了保护信息传输的 安全性,虚拟专网(VPN)和各种安全传 输协议(如SSL、IPSec)也被创造出来。
4
主要内容
• 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
16
• 策略、标准及指导制定出来并正式核准执 行后,应该通过宣传培训让组织的所有员 工都能了解并遵照执行。策略能否得到最 终落实,取决于组织领导者的决心和管理 团队能否持久坚持。如果没有管理部门的 支持或管理工作松懈,安全策略就是形同 虚设。如果安全策略能得到每个人的理解 与执行,就可以使组织内部的安全态势处 于良好状态。
14
• 在同一组织内部的各层次安全策略之间必 须保持一致性,不能相互矛盾,并且是互 相依存的。例如,有关网络系统与计算机 设备的安全策略是受其组织最高层次策略 指导的,也取决于合适的软件与硬件系统 的支持。一般而言,低层次策略是由高层 次策略推出的,但策略是受实现机制约束 的,而实现机制又是受技术与经费限制的
• 对应上述策略例子,相应的标准可以这样 写:“所有基于网络的通信必须使用3DES (3倍数字加密标准)”进行加密。”
12
• 指导有时也称为手册,提供了实现信息安全控制 策略及标准的推荐方案。指导本身并不是策略要 求,但却是帮助组织的业务与技术领域与策略要 求保持一致的最佳实现方案。指导并不一定要求 遵从,但提供了一种与标准相匹配的方法,而标 准则要求必须与策略相一致。
• 组织制定策略是为了让其成员及下级组织 了解如何行动,是各级管理者执行管理工 作的依据。如果发生了违反策略的情况, 将会产生严肃处理的结果。例如,如果某 公司在关于电子邮件的策略中规定:在公 司的电子邮件系统中,职员不拥有隐私权, 所有电子邮件的所有权归公司所有并受到 监视。如果规定了这样的策略,公司就有 权监视职员往来的电子邮件,对违反策略 规定的职员可以进行纪律处分。
第6.1节安全策略与安全网络设计
1
整体概述
概述一
点击此处输入
相关文本内容
概述二
点击此处输入
相关文本内容
概述三
点击此处输入
相关文本内容
2
Байду номын сангаас
前言
• 本章主要讨论一个组织或部门的网络安全 策略设计和安全网络的结构设计问题,然 后讨论网络边界防护的各种技术措施。网 络边界安全防护技术是用于解决内部网络 与外部网络交界(接口)处的安全技术, 各种用于网络边界安全防护设备或手段因 解决各种防护需要而被创造出来。
• 组织的信息安全策略设计 • 组织的安全网络结构
7
6.1.1组织的信息安全策略设计
• 一个组织的信息安全策略应该具有完善的 完整性和一致性,完整性可以保证策略覆 盖组织的所有安全需求,一致性则是为了 保证策略集中包含互相矛盾的内容。一个 组织系统的策略是划分为层次的,分别满 足不同层次的信息安全的要求。本节除了 说明策略的层次性和覆盖范围外,还将详 细地研究网络访问控制策略的设计方法。
• 针对上述策略例子,指导要提供关于如何配置网 络元素和根据标准要求加密信息的详细资料与操 作方法,供负责实施解决方案的工程师参考,但 工程师可以选择其他更合适的方案实施。
13
一个组织的安全策略是有层次性的
• 一个组织的所有人员和储存、传输与处理 信息的设备与系统构成了该组织的信息系 统,在这个信息系统的每一个层次上,包 括从管理层到硬件层的各个层次上,都需 要针对各层的具体问题做出安全性决策, 其中包括企事业级的安全决策,行政管理 方面的安全决策,硬件设备及其运行环境 的安全决策,操作系统与数据库系统的安 全决策等内容,安全策略是做出这些决策 的依据。
17
6.1.1.2 策略的设计方法
• 策略文档的组成 • 标准文档的组成 • 指导文档的组成 • 一个组织的安全策略涵盖的范围 • 策略制定的过程
18
• 策略应该是简单扼要的,其含义应该是明 晰的和无二义性的。
• 需要有经验丰富的安全专家和组织的负责 人与安全管理人员共同参与。
• 在创建策略、标准与指导时,必须在安全 性与管理业务的能力之间进行平衡,同时 还需要在安全性与所需的投资费用之间做 出适当的平衡。
5
主要内容
• 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
6
6.1 安全策略与安全网络设计
• 首先研究并制定符合自己组织信息安全要 求的安全策略,然后根据安全策略的要求 设计并构建组织内部的网络系统,最后再 对网络系统以及各种网络设备提供的安全 机制进行合理的配置,以达到充分利用之 目的。
19
• 保持平衡的原则是:依据策略、标准与指 导的要求,对资产实施的保护费用必须与 被保护对象的商业价值相匹配。
9
• 信息安全策略是关于一个组织保护其信息 系统安全性的最高层次的指导原则,是根 据组织领导集团的需求、设备情况、单位 章程和法律约束等要求制定的。
10
• 策略是较高级的文档,它一般不指定所用的技术, 而是指明方向与行为基准。策略不仅解释要怎么 做,而且解释这样做的原因。策略建立了组织管 理控制上的指导条例,并确定组织信息的所有使 用者都应遵从的制度。
• 例如,一条策略声明中写到:“所有通信 内容都应受到保护不被窃听”,策略中并 不说明如何达到该目的,或使用何种技术 达到该目的。而这些内容都是由标准定义 的。
11
• 标准源于策略,用于描述在配置方面需要 满足的要求以及需要采用的技术与遵照的 特定步骤。标准是用来实现策略的过程与 规程,并提供可供审计的详细信息及规范。
8
6.1.1.1 策略是什么?
• 人员、信息和文档资料、以及对这些信息 资料进行储存、处理与传输等作用的计算 机与网络硬件与软件系统都属于一个组织 的资产,每个组织都希望保护与充分利用 自己的资产,但这需要在一套行之有效的 信息安全保护规范与制度。在建立这套规 范与制度之前,首先应该制定一整套策略、 标准及指导,并把它们作为安全运作程序 与制度的依据。
3
• 例如,由于可能存在来自外部网络的入侵, 所以具有包过滤功能的路由器、防火墙、 入侵检测系统(IDS)以及入侵诱骗等设备 与技术都应运而生;为了保护信息传输的 安全性,虚拟专网(VPN)和各种安全传 输协议(如SSL、IPSec)也被创造出来。
4
主要内容
• 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
16
• 策略、标准及指导制定出来并正式核准执 行后,应该通过宣传培训让组织的所有员 工都能了解并遵照执行。策略能否得到最 终落实,取决于组织领导者的决心和管理 团队能否持久坚持。如果没有管理部门的 支持或管理工作松懈,安全策略就是形同 虚设。如果安全策略能得到每个人的理解 与执行,就可以使组织内部的安全态势处 于良好状态。
14
• 在同一组织内部的各层次安全策略之间必 须保持一致性,不能相互矛盾,并且是互 相依存的。例如,有关网络系统与计算机 设备的安全策略是受其组织最高层次策略 指导的,也取决于合适的软件与硬件系统 的支持。一般而言,低层次策略是由高层 次策略推出的,但策略是受实现机制约束 的,而实现机制又是受技术与经费限制的
• 对应上述策略例子,相应的标准可以这样 写:“所有基于网络的通信必须使用3DES (3倍数字加密标准)”进行加密。”
12
• 指导有时也称为手册,提供了实现信息安全控制 策略及标准的推荐方案。指导本身并不是策略要 求,但却是帮助组织的业务与技术领域与策略要 求保持一致的最佳实现方案。指导并不一定要求 遵从,但提供了一种与标准相匹配的方法,而标 准则要求必须与策略相一致。