網絡安全現(xiàn)狀與策略及網絡通信安全課件

1、網絡安全現(xiàn)狀與策略及網絡通信安全第1頁，共24頁。教學目的：（1）理解網絡安全現(xiàn)狀與策略（2）理解網絡安全體系（3）熟悉網絡機房與環(huán)境安全要求網絡安全現(xiàn)狀與策略及網絡通信安全第2頁，共24頁。教學重點：（1）理解網絡安全現(xiàn)狀與策略（2）理解網絡安全體系（3）熟悉網絡機房與環(huán)境安全要求網絡安全現(xiàn)狀與策略及網絡通信安全第3頁，共24頁。威嚴的法律嚴格的管理先進的技術復習：信息安全策略安全策略 是指在一個特定的環(huán)境里，為提供一定級別的安全保護所必須遵守的規(guī)則。安全策略模型包括了建立安全環(huán)境的3個重要組成部分，即信息安全的三個層次：（1）威嚴的法律（安全立法）（2）先進的技術（安全技術）（3）嚴格的管

2、理（安全管理）網絡安全策略網絡安全現(xiàn)狀與策略及網絡通信安全第4頁，共24頁。復習：網絡信息安全的內容 網絡信息安全的內容物理安全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認證訪問控制加密安全管理邏輯安全操作系統(tǒng)安全3聯(lián)網安全4訪問控制服務通信安全服務網絡安全現(xiàn)狀與策略及網絡通信安全第5頁，共24頁。復習： 網絡安全面臨的威脅網絡安全威脅物理威脅系統(tǒng)漏洞身份鑒別威脅線纜連接威脅有害程序偷竊 廢物搜尋 間諜行為 身份識別錯誤 不安全服務配置 初始化 乘虛而入 算法考慮不周隨意口令口令破解 口令圈套 撥號進入冒名頂替竊聽病毒特洛伊木馬代碼炸彈 更新或下載 網絡安全現(xiàn)狀與策略及網絡通信安全第6頁，共2

3、4頁。復習：針對網絡信息安全的攻擊 在正常情況下，有一個信息流從一個信源(例如一個文件或主存儲器的一個區(qū)域)流到一個目的地（例如另一個文件或一個用戶）時，它的信息流動是這樣的：當產生攻擊時，有以下4種情況:上述4種情況又可以按照攻擊的主動性來分為兩類：主動攻擊和被動攻擊。網絡安全現(xiàn)狀與策略及網絡通信安全第7頁，共24頁。 據統(tǒng)計，目前全球平均每15秒就會發(fā)生一起Internet主機被入侵的事件，美國75%85%的網站抵擋不住黑客攻擊，約有75%的企業(yè)網上信息失竊，其中25%的企業(yè)損失在25萬美元以上。而通過網絡傳播的病毒無論在其傳播速度、傳播范圍和破壞性方面都比單機病毒更令人擔憂。網絡安全現(xiàn)狀

4、 1網絡與信息安全發(fā)展趨勢 2一、網 絡 安 全 現(xiàn) 狀一一 目前全球已發(fā)現(xiàn)病毒5萬余種，并仍以每天10余種的速度增長。有資料顯示，病毒所造成的損失占網絡經濟損失的76%。1. 安全需求多樣化2. 技術發(fā)展兩極分化3. 安全管理體系化網絡安全現(xiàn)狀與策略及網絡通信安全第8頁，共24頁。 在實際應用中，到底應該采取什么樣的安全措施，提供什么樣的安全服務呢？這需要根據網絡信息系統(tǒng)的情況，定義好安全需求，制定相應的安全策略，然后由安全策略來決定采用何種方式和手段來保證網絡系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當的滿足需求的策略方案，然后再考慮技術上如何實施。安全策略定義1物理安全策略2訪問控制策

5、略3信息加密策略4二 、計算機網絡的安全策略二二網絡安全管理策略5網絡安全現(xiàn)狀與策略及網絡通信安全第9頁，共24頁。1 安全策略定義 安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)網絡安全，不但要靠先進的技術，而且也得靠嚴格的管理、法律約束和安全教育，主要包括如下內容。（1）先進的網絡安全技術是網絡安全的根本保證。（2）嚴格的安全管理是確保安全策略落實的基礎。（3）嚴格的法律、法規(guī)是網絡安全保障的堅強后盾。網絡安全現(xiàn)狀與策略及網絡通信安全第10頁，共24頁。2 物理安全策略 物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信線路免受自然災

6、害、人為破壞和搭線攻擊；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略的主要問題：抑制和防止電磁泄漏。網絡安全現(xiàn)狀與策略及網絡通信安全第11頁，共24頁。3 訪問控制策略 訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。1. 入網訪問控制2. 網絡的權限控制3. 網絡服務器安全控制4. 網絡監(jiān)測和鎖定控制5. 網絡端口和節(jié)點

7、的安全控制6. 防火墻控制網絡安全現(xiàn)狀與策略及網絡通信安全第12頁，共24頁。4 信息加密策略信息加密的目的：保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密的3種方法：鏈路加密、端點加密和節(jié)點加密等。鏈路加密：保護網絡節(jié)點之間的鏈路信息安全；端-端加密：對源端用戶到目的端用戶的數據提供保護；節(jié)點加密：對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。網絡安全現(xiàn)狀與策略及網絡通信安全第13頁，共24頁。5 網絡安全管理策略網絡的安全管理策略包括：確定安全管理等級和安全管理范圍；制定有關網絡操作使用規(guī)程和人員出入機房管理制度；制定網絡系統(tǒng)的維護制度和應急措施等。網絡安全現(xiàn)狀與策略及網絡

8、通信安全第14頁，共24頁。1.4 網絡安全體系1 網絡安全體系概念它是一項復雜的系統(tǒng)工程是安全策略、多種技術、管理方法和人員安全素質的綜合；是關于網絡安全防范系統(tǒng)的最高層概念抽象，它由各種網絡安全防范單元組成，各組成單元按照一定的規(guī)則關系，能夠有機集成起來，共同實現(xiàn)網絡安全目標。2 網絡安全體系作用網絡安全現(xiàn)狀與策略及網絡通信安全第15頁，共24頁。3 網絡安全體系組成組織體系：網絡安全工作部門的集合，負責安全技術和資源管理和使用。技術體系：綜合集成方式形成技術集合。管理體系：管理目標、手段、主體、依據和資源。網絡安全現(xiàn)狀與策略及網絡通信安全第16頁，共24頁。1）PDRR模型PDRR模型是

9、目前得到較多認可的一個安全保障模型。在這個模型中，網絡的安全保障系統(tǒng)被分成四個部分：防護（Protection）、檢測（Detection）、響應（Response）和恢復（Recovery）。從工作機制上看，這四個部分是一個順次發(fā)生的過程：首先采取各種措施對需要保護的對象進行安全防護，然后利用相應的檢測手段對安全保護對象進行安全跟蹤和檢測以隨時了解其安全狀態(tài)。如果發(fā)現(xiàn)現(xiàn)安全保護對象的安全狀態(tài)發(fā)生改變，特別是由安全變?yōu)椴话踩?，則馬上采取應急措施對其進行處理，直至恢復安全保護對象的安全狀態(tài)。按照這個模型，信息網絡的安全建設是這樣的一個有機的過程：在信息網絡安全政策的指導下，通過風險評估，明確需要

10、防護的信息資源、網絡基礎設施和資產等，明確要防護的內容及其主次等，然后利用入侵檢測系統(tǒng)來發(fā)現(xiàn)外界的攻擊和入侵，對已經發(fā)生的入侵，進行應急響應和恢復。4 網絡安全體系模型網絡安全現(xiàn)狀與策略及網絡通信安全第17頁，共24頁。2）ISS模型美國互聯(lián)網安全系統(tǒng)公司ISS（Internet Security Systems）的自適應網絡安全模型PPDR，它由四個主要部分組成：安全策略（Policy)、保護（Protection)、檢測（Detection)和響應（Response)。 基于思想是：以安全策略為核心，通過一致性檢查、流量統(tǒng)計、異常分析、模式匹配以及基于應用、目標、主機、網絡的入侵檢查等方法

11、進行安全漏洞檢測。檢測使系統(tǒng)從靜態(tài)防護轉化為動態(tài)防護，為系統(tǒng)快速響應提供了依據。當發(fā)現(xiàn)系統(tǒng)有異常時，根據系統(tǒng)安全策略快速作出反應，從而達到保護系統(tǒng)安全的目的。網絡安全現(xiàn)狀與策略及網絡通信安全第18頁，共24頁。PDRR模型是一個比較具有普遍意義的安全模型，因此利用它也可以解決數據的完整性保護問題。 PDRR模型PPDR模型網絡安全現(xiàn)狀與策略及網絡通信安全第19頁，共24頁。企業(yè)安全防護體系的構成人 制度技術安全防護體系企業(yè)安全防護體系的主要構成因素人制度技術網絡安全現(xiàn)狀與策略及網絡通信安全第20頁，共24頁。完善的整體防衛(wèi)技術架構防火墻訪問控制防病毒入侵檢測 虛擬專用網 漏洞評估網絡安全現(xiàn)狀與

12、策略及網絡通信安全第21頁，共24頁。 實體安全概述1電子信息機房環(huán)境安全2三、物理實體安全三三網絡安全現(xiàn)狀與策略及網絡通信安全第22頁，共24頁。1 實體安全概述實體安全（Physical Security）又叫物理安全，是保護計算機設備、設施（含網絡）免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。 總結起來，實體安全的內容包括以下4點：（1）設備安全：包括防止電磁信息的泄露、線路截獲，以及抗電磁干擾。（2）環(huán)境安全：應具備消防報警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報警，以保護系統(tǒng)免受水、火、有害氣體、地震、靜電的危害。（3）存儲媒體安全：包括存儲媒體自身和數據的安全。