新編《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》第四篇網(wǎng)絡(luò)安全設(shè)計(jì)課件

1、新編網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第四篇網(wǎng)絡(luò)安全設(shè)計(jì)新編網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第四篇網(wǎng)絡(luò)安全設(shè)計(jì)課程介紹課程的定位課程內(nèi)容如何學(xué)習(xí)本門課程教學(xué)要求輔助教學(xué)材料課程介紹課程的定位第四篇 網(wǎng)絡(luò)安全設(shè)計(jì) 項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)第四篇 網(wǎng)絡(luò)安全設(shè)計(jì) 項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)基礎(chǔ)知識(shí)一、網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)二、網(wǎng)絡(luò)安全體系框架結(jié)構(gòu)與層次三、P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型四、網(wǎng)絡(luò)安全設(shè)計(jì)原則基礎(chǔ)知識(shí)一、網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo) 網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)主要體現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可靠性、可用性以及不可抵賴性等多個(gè)方面。 1.可靠性?？煽啃允侵妇W(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定

2、的時(shí)間內(nèi)完成規(guī)定功能的特性?？煽啃詼y(cè)度主要有抗毀性、生存性和有效性三項(xiàng)指標(biāo)。2.可用性 ?？捎眯允侵妇W(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。 網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo) 網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)主要網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)3.保密性 。保密性是指網(wǎng)絡(luò)信息不被泄露給 非授權(quán)的用戶、實(shí)體或過(guò)程的特性。4.完整性。完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不 能進(jìn)行改變的特性。 保障網(wǎng)絡(luò)信息完整性的主要方法有： 協(xié)議、糾錯(cuò)編碼方法、密碼校驗(yàn)和方法、 數(shù)字簽名、公證。 網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)3.保密性 。保密性是指網(wǎng)絡(luò)信息不被泄露給網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)5.不可抵賴性。不可抵賴性也稱作不可否認(rèn)性，是指在網(wǎng)絡(luò)信息交互過(guò)程中，確信參與者的真實(shí)同一性。

3、6.可控性?？煽匦允菍?duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。 網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)5.不可抵賴性。不可抵賴性也稱作不可否認(rèn)性網(wǎng)絡(luò)安全體系框架結(jié)構(gòu)與層次 1.網(wǎng)絡(luò)安全體系框架結(jié)構(gòu) 網(wǎng)絡(luò)安全體系框架結(jié)構(gòu)與層次 1.網(wǎng)絡(luò)安全體系框架結(jié)構(gòu) 網(wǎng)絡(luò)安全體系框架結(jié)構(gòu)與層次 2.網(wǎng)絡(luò)安全防范 體系層次 網(wǎng)絡(luò)安全體系框架結(jié)構(gòu)與層次 2.網(wǎng)絡(luò)安全防范P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型 1. P2DR動(dòng)態(tài)安全模型的概念 P2DR模型是在整體安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段)的同時(shí)，利用檢測(cè)工具(如漏洞評(píng)估、入侵檢測(cè)等系統(tǒng))了解和評(píng)估系統(tǒng)的安全狀態(tài)，將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)

4、最低”的狀態(tài)。 P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型 1. P2DR動(dòng)態(tài)安全模型的概念P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型 P2DR模型包含4個(gè)主要部分 安全策略 (Policy)防護(hù) (Protection)檢測(cè) (Detection)響應(yīng) (Response)P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型 P2DR模型包含4個(gè)主要部分 P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型 2. P2DR動(dòng)態(tài)安全模型的內(nèi)涵 （1）策略是整個(gè)模型的核心防護(hù) （2）防護(hù)是網(wǎng)絡(luò)安全的第一步檢測(cè) （3）檢測(cè)是一種手段，檢測(cè)內(nèi)容包括：異常監(jiān)視 、模式發(fā)現(xiàn) 。 （4）響應(yīng)是系統(tǒng)及時(shí)地反應(yīng)。包括：報(bào)告 、記錄 、反應(yīng) 和恢復(fù) P2DR網(wǎng)絡(luò)動(dòng)態(tài)安全模型 2. P2DR動(dòng)態(tài)安全模型

5、的內(nèi)網(wǎng)絡(luò)安全設(shè)計(jì)原則 網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過(guò)程中應(yīng)遵循以下9項(xiàng)原則： 1.木桶原則 2.整體性原則 3.安全性評(píng)價(jià)與平衡原則 4.標(biāo)準(zhǔn)化與一致性原則5.技術(shù)與管理相結(jié)合原則 網(wǎng)絡(luò)安全設(shè)計(jì)原則 網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過(guò)程網(wǎng)絡(luò)安全設(shè)計(jì)原則6.統(tǒng)籌規(guī)劃，分步實(shí)施原則 7.等級(jí)性原則 8.動(dòng)態(tài)發(fā)展原則 9.易操作性原則 網(wǎng)絡(luò)安全設(shè)計(jì)原則6.統(tǒng)籌規(guī)劃，分步實(shí)施原則 項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【實(shí)施目標(biāo)】 知識(shí)目標(biāo)：了解電子政務(wù)網(wǎng)絡(luò)安全的功能特點(diǎn)了解電子政務(wù)網(wǎng)面臨的安全威脅了解電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)與安全體系熟悉電子政務(wù)網(wǎng)絡(luò)安全設(shè)計(jì)要點(diǎn)項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【實(shí)施目標(biāo)】項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)技能目標(biāo)

6、：掌握電子政務(wù)系統(tǒng)的安全分析方法掌握電子政務(wù)網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)技能目標(biāo)：項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【項(xiàng)目背景】 X市現(xiàn)有的電子政務(wù)網(wǎng)絡(luò)已無(wú)法滿足其業(yè)務(wù)需求，主要表現(xiàn)在：訪問(wèn)政務(wù)系統(tǒng)的速度緩慢，有時(shí)會(huì)出現(xiàn)阻塞，影響辦公的效率；電子政務(wù)內(nèi)網(wǎng)的電腦沒(méi)有任何安全監(jiān)管措施，網(wǎng)絡(luò)對(duì)用戶的訪問(wèn)沒(méi)有特別的限制，已發(fā)生多起網(wǎng)絡(luò)安全事件；系統(tǒng)中文件傳輸采用明文方式，容易導(dǎo)致涉密信息外泄。針對(duì)上述網(wǎng)絡(luò)安全威脅，該市有關(guān)部門決定對(duì)電子政務(wù)網(wǎng)進(jìn)行安全加固，要求在保障系統(tǒng)信息順暢的前提下，加強(qiáng)對(duì)政府內(nèi)外網(wǎng)用戶的訪問(wèn)控制，提高電子政務(wù)平臺(tái)安全性?，F(xiàn)在需要針對(duì)該電子政務(wù)網(wǎng)絡(luò)需求提出一個(gè)可行的安全設(shè)計(jì)方案。項(xiàng)目

7、一 政務(wù)網(wǎng)安全設(shè)計(jì)【項(xiàng)目背景】項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【需求分析】 要解決上述電子政務(wù)網(wǎng)絡(luò)的安全問(wèn)題，首先要明確該電子政務(wù)網(wǎng)的安全目標(biāo)。根據(jù)安全威脅表現(xiàn)形式，分析網(wǎng)絡(luò)安全威脅產(chǎn)生的原因，然后依據(jù)該電子政務(wù)網(wǎng)的安全等級(jí)要求，提出可行的電子政務(wù)信息安全解決方案，進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)，構(gòu)建新的安全體系。針對(duì)網(wǎng)速緩慢的問(wèn)題，可通過(guò)部署負(fù)載均衡產(chǎn)品、流量控制設(shè)備與提高網(wǎng)絡(luò)帶寬解決；對(duì)于內(nèi)外網(wǎng)用戶訪問(wèn)缺乏監(jiān)控、黑客攻擊，可采用部署防火墻、IDS、IPS和安全隔離與信息交換系統(tǒng)實(shí)現(xiàn)；對(duì)于信息加密，可采用部署IPSEC-VPN設(shè)備解決。項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【需求分析】項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【預(yù)備知識(shí)】 知識(shí)1 電

8、子政務(wù)網(wǎng)安全背景 知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu) 知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn) 知識(shí)4 電子政務(wù)網(wǎng)安全目標(biāo)與標(biāo)準(zhǔn) 知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí) 知識(shí)6 電子政務(wù)網(wǎng)安全體系構(gòu)建項(xiàng)目一 政務(wù)網(wǎng)安全設(shè)計(jì)【預(yù)備知識(shí)】知識(shí)1 電子政務(wù)網(wǎng)安全背景 電子政務(wù)是政府機(jī)構(gòu)利用網(wǎng)絡(luò)通訊與計(jì)算機(jī)等現(xiàn)代信息技術(shù)將其內(nèi)部和外部的管理和服務(wù)職能進(jìn)行無(wú)縫隙集成，在政府機(jī)構(gòu)精簡(jiǎn)、工作流程優(yōu)化、政府資源整合、政府部門重組后，通過(guò)政府網(wǎng)站將大量頻繁的行政管理和日常事務(wù)按照設(shè)定的程序在網(wǎng)上實(shí)施，從而打破時(shí)間、空間及部門分割的制約，全方位的為社會(huì)及自身提供一體化的規(guī)范、高效、優(yōu)質(zhì)、透明、符合國(guó)際慣例的管理和服務(wù)。 知識(shí)1 電子政務(wù)網(wǎng)安全背景

9、 電子政務(wù)是政府知識(shí)1 電子政務(wù)網(wǎng)安全背景 電子政務(wù)包括三層含義。一是電子政務(wù)必須借助信息技術(shù)和數(shù)字網(wǎng)絡(luò)技術(shù)，依賴于信息基礎(chǔ)設(shè)施和相關(guān)軟件的發(fā)展。二是電子政務(wù)的建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，是對(duì)傳統(tǒng)政府管理的重組、整合和創(chuàng)新，不僅是技術(shù)創(chuàng)新，而是包括管理創(chuàng)新、制度創(chuàng)新在內(nèi)的社會(huì)的全面創(chuàng)新。三是電子政務(wù)的目的是要利用信息技術(shù)更好地履行政府職能，塑造一個(gè)更有效率、更精簡(jiǎn)、更公開(kāi)、更透明的政府，為公眾、企業(yè)和社會(huì)提供更好的公共服務(wù)，最終構(gòu)建政府、企業(yè)、公民和社會(huì)和諧互動(dòng)的關(guān)系。知識(shí)1 電子政務(wù)網(wǎng)安全背景 電子政務(wù)包括三知識(shí)1 電子政務(wù)網(wǎng)安全背景 電子政務(wù)網(wǎng)安全特殊要求：1.內(nèi)外網(wǎng)間存在大量的安全性要求很

10、高的數(shù)據(jù)交換。 2.網(wǎng)絡(luò)要通過(guò)域進(jìn)行控制。 3.傳遞過(guò)程中的信息需要加密和隱藏。4.系統(tǒng)需要有標(biāo)準(zhǔn)可信時(shí)間源的獲取。 知識(shí)1 電子政務(wù)網(wǎng)安全背景 電子政務(wù)網(wǎng)安全特殊要求知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu)電子政務(wù)系統(tǒng)基本結(jié)構(gòu)如圖所示 知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu)電子政務(wù)系知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu)典型電子政務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示 知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu)典型電子知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu) 完整的電子政務(wù)安全體系結(jié)構(gòu)應(yīng)覆蓋系統(tǒng)的各個(gè)層面，包括：網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和管理級(jí)安全四大部分。 知識(shí)2 電子政務(wù)系統(tǒng)結(jié)構(gòu)知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn)一、電子政務(wù)的安全風(fēng)險(xiǎn)1.電子政務(wù)網(wǎng)固有的缺陷 2.缺乏對(duì)網(wǎng)絡(luò)安

11、全重要性的認(rèn)識(shí)3.信息安全管理機(jī)構(gòu)缺乏權(quán)威 4.信息安全的基礎(chǔ)薄弱 5.缺乏自主開(kāi)發(fā)能力 6.缺少專業(yè)人才 知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn)一、電子政務(wù)的安全風(fēng)險(xiǎn)知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn)二、電子政務(wù)網(wǎng)安全威脅根源 1.利益驅(qū)動(dòng) 2.技術(shù)驅(qū)動(dòng) 3.心理驅(qū)動(dòng) 知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn)二、電子政務(wù)網(wǎng)安全威脅根源 知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn)三、電子政務(wù)系統(tǒng)安全威脅特點(diǎn) 威脅特點(diǎn) 知識(shí)3 電子政務(wù)網(wǎng)的安全風(fēng)險(xiǎn)三、電子政務(wù)系統(tǒng)安全威脅特點(diǎn) 知識(shí)4 安全目標(biāo)與標(biāo)準(zhǔn)一、電子政務(wù)網(wǎng)絡(luò)安全目標(biāo) 電子政務(wù)信息安全目標(biāo)是：保護(hù)政務(wù)信息資源不受侵犯，保證信息面臨最小的風(fēng)險(xiǎn)和獲取最大的價(jià)值，保證政府的形象和權(quán)戚，使

12、信息服務(wù)體現(xiàn)最佳效果。1.可用性目標(biāo) 2.完整性目標(biāo) 3.保密性目標(biāo) 4.可記賬性目標(biāo) 5.保障性目標(biāo) 知識(shí)4 安全目標(biāo)與標(biāo)準(zhǔn)一、電子政務(wù)網(wǎng)絡(luò)安全目標(biāo) 知識(shí)4 安全目標(biāo)與標(biāo)準(zhǔn)二、電子政務(wù)信息安全標(biāo)準(zhǔn)知識(shí)4 安全目標(biāo)與標(biāo)準(zhǔn)二、電子政務(wù)信息安全標(biāo)準(zhǔn)知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)1.電子政務(wù)信息安全等級(jí)保護(hù)原則重點(diǎn)保護(hù)原則“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則分區(qū)域保護(hù)原則同步建設(shè)原則動(dòng)態(tài)調(diào)整原則知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)新編網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第四篇網(wǎng)絡(luò)安全設(shè)計(jì)知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)2.電子政務(wù)等級(jí)保護(hù)內(nèi)容 安全策略 安全組織 安全

13、技術(shù) 安全運(yùn)行知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)2.電子政務(wù)等級(jí)保護(hù)內(nèi)容 安全策略 安全組織 安全技術(shù) 安全運(yùn)行知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)3.電子政務(wù)等級(jí)保護(hù)要素電子政務(wù)系統(tǒng)目標(biāo)電子政務(wù)信息安全等級(jí)安全保護(hù)要求安全風(fēng)險(xiǎn)安全保護(hù)措施安全保護(hù)措施的成本知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)一、電子政務(wù)信息安全等級(jí)知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)二、電子政務(wù)等級(jí)保護(hù)實(shí)現(xiàn)方法知識(shí)5 電子政務(wù)網(wǎng)安全等級(jí)二、電子政務(wù)等級(jí)保護(hù)實(shí)現(xiàn)方法知識(shí)6 電子政務(wù)安全體系構(gòu)建一、電子政務(wù)系統(tǒng)安全設(shè)計(jì)模

14、型1. 電子政務(wù)域知識(shí)6 電子政務(wù)安全體系構(gòu)建一、電子政務(wù)系統(tǒng)安全設(shè)計(jì)模型知識(shí)6 電子政務(wù)安全體系構(gòu)建一、電子政務(wù)系統(tǒng)安全設(shè)計(jì)模型2.電子政務(wù)安全模型 知識(shí)6 電子政務(wù)安全體系構(gòu)建一、電子政務(wù)系統(tǒng)安全設(shè)計(jì)模型知識(shí)6 電子政務(wù)安全體系構(gòu)建二、電子政務(wù)網(wǎng)安全體系構(gòu)建知識(shí)6 電子政務(wù)安全體系構(gòu)建二、電子政務(wù)網(wǎng)安全體系構(gòu)建知識(shí)6 電子政務(wù)安全體系構(gòu)建二、電子政務(wù)網(wǎng)安全體系構(gòu)建1.基礎(chǔ)安全服務(wù)設(shè)施 基礎(chǔ)安全服務(wù)設(shè)施必須解決的信任問(wèn)題包括：可信的身份可信的數(shù)據(jù)網(wǎng)絡(luò)信任域可信的時(shí)間服務(wù) 知識(shí)6 電子政務(wù)安全體系構(gòu)建二、電子政務(wù)網(wǎng)安全體系構(gòu)建知識(shí)6 電子政務(wù)安全體系構(gòu)建二、電子政務(wù)網(wǎng)安全體系構(gòu)建2.安全管理保

15、障體系 3.響應(yīng)與恢復(fù)機(jī)制 4.安全技術(shù)支撐平臺(tái)知識(shí)6 電子政務(wù)安全體系構(gòu)建二、電子政務(wù)網(wǎng)安全體系構(gòu)建任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景1.電子政務(wù)網(wǎng)現(xiàn)狀 下圖是X政府網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。該電子政務(wù)網(wǎng)能夠滿足政府一般辦公的一般需要；可以實(shí)現(xiàn)中央到地方、政府部門之間的信息交互。實(shí)現(xiàn)了全網(wǎng)的用戶統(tǒng)一管理，建立了統(tǒng)一標(biāo)準(zhǔn)的政府公文電子信息資源庫(kù)，可實(shí)現(xiàn)公文信息的共享和交互使用；建立了覆蓋政府各級(jí)機(jī)關(guān)的公共信息平臺(tái)，可以提供方便、快捷、透明的“一站式”政務(wù)服務(wù)。任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景1.電子政務(wù)網(wǎng)現(xiàn)狀 任務(wù)1 電子政務(wù)網(wǎng)安全性

16、分析一、電子政務(wù)網(wǎng)背景任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景1.電子政務(wù)網(wǎng)現(xiàn)狀 任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景2.電子政務(wù)網(wǎng)特點(diǎn) (1)電子政務(wù)外網(wǎng)。該市電子政務(wù)外網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖所示 任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景2.電子政務(wù)網(wǎng)特點(diǎn) (2)電子政務(wù)內(nèi)網(wǎng) 。該市電子政務(wù)內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖所示 任務(wù)1 電子政務(wù)網(wǎng)安全性分析一、電子政務(wù)網(wǎng)背景任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 1.外網(wǎng)安全問(wèn)題分析(1) X市電子政務(wù)外網(wǎng)存在安全問(wèn)題：管理欠缺黑客攻擊網(wǎng)絡(luò)

17、的缺陷軟件的漏洞或“后門”病毒 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 1.外網(wǎng)安全問(wèn)題分析(1) X市電子政務(wù)外網(wǎng)存在安全問(wèn)題：管理欠缺黑客攻擊網(wǎng)絡(luò)的缺陷軟件的漏洞或“后門”病毒 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 2.外網(wǎng)優(yōu)化需求 網(wǎng)絡(luò)流量種類、數(shù)量不斷增多，無(wú)序化的競(jìng)爭(zhēng)常常導(dǎo)致關(guān)鍵業(yè)務(wù)無(wú)法順利進(jìn)行。對(duì)帶寬需求較大而又非常重要的應(yīng)用，需要在限制和允許之間做出平衡，對(duì)關(guān)鍵型的網(wǎng)絡(luò)應(yīng)用，需要設(shè)置專用通道保障其不受干擾。政府內(nèi)部員工濫用網(wǎng)絡(luò)資源，需要進(jìn)行流量

18、有效控制。網(wǎng)絡(luò)中大量的各種木馬、病毒，對(duì)政府外網(wǎng)安全帶來(lái)挑戰(zhàn)。盡管制定了內(nèi)部網(wǎng)絡(luò)管理?xiàng)l例，卻還是無(wú)法對(duì)員工的上網(wǎng)行為進(jìn)行有效管理。任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 3.內(nèi)網(wǎng)安全問(wèn)題分析政務(wù)內(nèi)網(wǎng)存在的安全威脅主要有： 心懷惡意的內(nèi)部工作人員通過(guò)投放病毒、木馬等行為對(duì)數(shù)據(jù)進(jìn)行竊取或破壞。電子政務(wù)系統(tǒng)工作人員在職權(quán)范圍內(nèi)進(jìn)行違規(guī)操作。擁有權(quán)限的管理人員操作失誤或操作不當(dāng)。管理人員安全意思薄弱，給予心懷惡意者可乘之機(jī)。職權(quán)不明，管理疏漏。內(nèi)部工作人員被腐蝕后進(jìn)行網(wǎng)絡(luò)竊聽(tīng)或者盜取密文密鑰。系統(tǒng)軟硬件的缺陷。非人為因素引起的硬件損傷

19、。任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 3.內(nèi)網(wǎng)安全問(wèn)題分析物理隔離就是指和互聯(lián)網(wǎng)切斷物理連接。內(nèi)網(wǎng)隔離需要達(dá)到如下的效果：阻斷內(nèi)外網(wǎng)的物理傳導(dǎo)，確保不能通過(guò)網(wǎng)絡(luò)連接從外網(wǎng)侵入內(nèi)網(wǎng)，同時(shí)防止內(nèi)網(wǎng)信息通過(guò)網(wǎng)絡(luò)連接泄漏到外網(wǎng)。隔離內(nèi)外網(wǎng)的物理存儲(chǔ)，對(duì)于斷電后會(huì)遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時(shí)作清除處理，防止殘留信息竄到外網(wǎng)；對(duì)于斷電后非遺失性部件，如磁帶機(jī)、硬盤等存儲(chǔ)設(shè)備，內(nèi)外網(wǎng)的信息要分開(kāi)存儲(chǔ)，同時(shí)應(yīng)嚴(yán)格限制使用軟盤、光盤等可移動(dòng)介質(zhì)。隔斷內(nèi)外網(wǎng)的物理輻射，確保內(nèi)網(wǎng)信息不會(huì)通過(guò)電磁輻射或耦合方式泄漏到外

20、網(wǎng)。任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 3.內(nèi)網(wǎng)安全問(wèn)題分析 物理隔離器應(yīng)具備以下功能和特性： 采用特殊協(xié)議方式，實(shí)現(xiàn)內(nèi)外網(wǎng)安全隔離，關(guān)掉外網(wǎng)關(guān)協(xié)議，采用自行設(shè)計(jì)的專有協(xié)議，外網(wǎng)關(guān)只在數(shù)據(jù)鏈路層工作。采用開(kāi)關(guān)通訊技術(shù)，在保證安全情況下實(shí)現(xiàn)數(shù)據(jù)交換。訪問(wèn)登錄設(shè)置功能，管理員登錄后，開(kāi)通用戶賬號(hào)和設(shè)置口令，設(shè)置不同級(jí)別的訪問(wèn)控制內(nèi)容。用戶管理功能，增加和刪除用戶，以及查詢、修改訪問(wèn)級(jí)別等功能。控制訪問(wèn)內(nèi)容，按照用戶的訪問(wèn)級(jí)別，決定用戶能否訪問(wèn)外網(wǎng)內(nèi)容，記錄用戶的訪問(wèn)內(nèi)容，超時(shí)未訪問(wèn)外網(wǎng)，自動(dòng)斷開(kāi)連接。記錄用戶訪問(wèn)日志功能。設(shè)置

21、全局訪問(wèn)控制規(guī)則。用戶訪問(wèn)歷史記錄維護(hù)管理功能?？刂朴脩粝螺d文件和訪問(wèn)文件功能。任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 4.內(nèi)網(wǎng)安全安全優(yōu)化需求 對(duì)該市電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)現(xiàn)狀和網(wǎng)絡(luò)安全隱患分析，需要進(jìn)行安全優(yōu)化。政府專網(wǎng)業(yè)務(wù)應(yīng)用缺乏透明度、IT管理員不了解網(wǎng)絡(luò)的總體運(yùn)行狀況。防止單位網(wǎng)本地用戶和其它各地市節(jié)點(diǎn)對(duì)省電子政務(wù)網(wǎng)進(jìn)行非授權(quán)訪問(wèn)和惡意攻擊，防止本地網(wǎng)絡(luò)病毒的危害和傳播。雖然電子政務(wù)專網(wǎng)屬于專網(wǎng)，其網(wǎng)絡(luò)中并沒(méi)有互聯(lián)網(wǎng)上的應(yīng)用流量，但是專網(wǎng)上充斥著各個(gè)政府行業(yè)的應(yīng)用流量，所以還是有必要對(duì)各單位間數(shù)據(jù)傳輸?shù)陌踩赃M(jìn)行保障。下級(jí)

22、單位到上級(jí)單位之間專網(wǎng)鏈路帶寬不足，導(dǎo)致應(yīng)用數(shù)據(jù)傳輸緩慢。網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)及應(yīng)用的運(yùn)營(yíng)得不到有效保障。無(wú)法在有限的網(wǎng)絡(luò)帶寬資源上運(yùn)行更多的應(yīng)用。任務(wù)1 電子政務(wù)網(wǎng)安全性分析二、電子政務(wù)網(wǎng)安全性分析 任務(wù)2 政務(wù)網(wǎng)安全解決方案1、電子政務(wù)外網(wǎng)安全解決方案 根據(jù)政務(wù)外網(wǎng)的安全需求，設(shè)計(jì)電子政務(wù)外網(wǎng)安全結(jié)構(gòu)如圖所示。部署說(shuō)明：電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的網(wǎng)絡(luò)出口部署一臺(tái)負(fù)載均衡產(chǎn)品。通過(guò)在負(fù)載均衡設(shè)備對(duì)多個(gè)ISP連接的可用性和性能進(jìn)行實(shí)時(shí)監(jiān)測(cè)，提高網(wǎng)絡(luò)連接的容錯(cuò)能力，將流量導(dǎo)向最優(yōu)的鏈接和ISP以提高服務(wù)質(zhì)量和訪問(wèn)速度，通過(guò)多條低成本鏈路的聚合降低帶寬成本，全面提高應(yīng)用交付能力。電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的網(wǎng)絡(luò)出口部署一臺(tái)

23、防火墻產(chǎn)品。通過(guò)在防火墻上設(shè)置訪問(wèn)控制規(guī)則，可以對(duì)進(jìn)出內(nèi)網(wǎng)的用戶進(jìn)行訪問(wèn)控制，有效防止黑客攻擊，保障內(nèi)網(wǎng)安全。在該市電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)最邊緣，部署一臺(tái)流量控制設(shè)備，實(shí)現(xiàn)帶寬管理、網(wǎng)絡(luò)行為管理等功能，保證合理分配流量，優(yōu)化網(wǎng)絡(luò)性能。在核心交換機(jī)處部署一臺(tái)IDS，時(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量，發(fā)現(xiàn)異常，產(chǎn)生報(bào)警。在服務(wù)器區(qū)一臺(tái)IPS加強(qiáng)服務(wù)器區(qū)的安全；將 IPS 放置在服務(wù)器區(qū)前，可以保護(hù)提供重要數(shù)據(jù)服務(wù)的服務(wù)器群組遭受到來(lái)自內(nèi)、外網(wǎng)的攻擊威脅。某些具有特殊應(yīng)用目的的服務(wù)器無(wú)法像正常一般使用的服務(wù)器定時(shí)更新操作系統(tǒng)或是應(yīng)用軟件補(bǔ)丁，因此很容易便遭受到黑客利用系統(tǒng)漏洞來(lái)進(jìn)行攻擊。IPS 提供了漏洞防御的功能

24、，通過(guò)實(shí)時(shí)的策略更新來(lái)達(dá)到虛擬補(bǔ)丁的效果，讓此類型的網(wǎng)絡(luò)應(yīng)用安全沒(méi)有疑慮。原有實(shí)施物理隔離的國(guó)庫(kù)支付網(wǎng)通過(guò)一臺(tái)安全隔離與信息交換系統(tǒng)接入X市電子政務(wù)外網(wǎng)的核心交換機(jī)，即保證物理隔離，又實(shí)現(xiàn)信息交換。任務(wù)2 政務(wù)網(wǎng)安全解決方案1、電子政務(wù)外網(wǎng)安全解決方案 新編網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第四篇網(wǎng)絡(luò)安全設(shè)計(jì)任務(wù)2 政務(wù)網(wǎng)安全解決方案2、電子政務(wù)內(nèi)網(wǎng)安全解決方案 針對(duì)該市電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全與優(yōu)化要求，增加相應(yīng)的網(wǎng)絡(luò)安全設(shè)備，網(wǎng)絡(luò)拓?fù)淙鐖D所示。電子政務(wù)內(nèi)網(wǎng)中，縣、市、省一級(jí)單位分別部署廣域網(wǎng)加速系統(tǒng)一臺(tái)，提升縣級(jí)單位和市級(jí)單位訪問(wèn)省局各應(yīng)用的速度，從而提高辦公效果。電子政務(wù)內(nèi)網(wǎng)中，縣、市、省一級(jí)單位分別部署P

25、SEC-VPN一臺(tái)，對(duì)縣、市單位訪問(wèn)省局服務(wù)器的數(shù)據(jù)進(jìn)行加密，為電子政務(wù)平臺(tái)提供安全性保障。任務(wù)2 政務(wù)網(wǎng)安全解決方案2、電子政務(wù)內(nèi)網(wǎng)安全解決方案 新編網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第四篇網(wǎng)絡(luò)安全設(shè)計(jì)任務(wù)2 政務(wù)網(wǎng)安全解決方案3、安全技術(shù)說(shuō)明 (1)負(fù)載均衡 負(fù)載均衡（又稱為負(fù)載分擔(dān)），英文名稱為L(zhǎng)oad Balance，其意思就是將負(fù)載（工作任務(wù)）進(jìn)行平衡、分?jǐn)偟蕉鄠€(gè)操作單元上進(jìn)行執(zhí)行，從而共同完成工作任務(wù)。 負(fù)載均衡有兩方面的含義：首先，將單個(gè)重負(fù)載的運(yùn)算分擔(dān)到多臺(tái)節(jié)點(diǎn)設(shè)備上做并行處理，每個(gè)節(jié)點(diǎn)設(shè)備處理結(jié)束后，將結(jié)果匯總，返回給用戶，系統(tǒng)處理能力得到大幅度提高，也就是集群（clustering）技術(shù)。

26、第二層含義：將大量并發(fā)訪問(wèn)或數(shù)據(jù)流量，分擔(dān)到多臺(tái)節(jié)點(diǎn)設(shè)備上分別處理，減少用戶等待響應(yīng)的時(shí)間。任務(wù)2 政務(wù)網(wǎng)安全解決方案3、安全技術(shù)說(shuō)明 任務(wù)2 政務(wù)網(wǎng)安全解決方案3、安全技術(shù)說(shuō)明 (2) IPSec VPN IPSec VPN即指采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù), IPSec協(xié)議是一個(gè)范圍廣泛、開(kāi)放虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。 IPSec協(xié)議通過(guò)相應(yīng)的隧道技術(shù)實(shí)現(xiàn)VPN。IPSec有兩種模式：隧道模式和傳輸模式。任務(wù)2 政務(wù)網(wǎng)安全解決方案3、安全技術(shù)說(shuō)明 任務(wù)2 政務(wù)網(wǎng)安全解決方案3、安全技術(shù)說(shuō)明 (2) IPSec VPN IPSe

27、c的安全特性主要有：不可否認(rèn)性反重播性數(shù)據(jù)完整性數(shù)據(jù)可靠性（加密）認(rèn)證任務(wù)2 政務(wù)網(wǎng)安全解決方案3、安全技術(shù)說(shuō)明 項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì) 【實(shí)施目標(biāo)】 知識(shí)目標(biāo)：了解企業(yè)網(wǎng)絡(luò)安全重要性及特點(diǎn)熟悉企業(yè)網(wǎng)絡(luò)安全架構(gòu)與優(yōu)化模型了解企業(yè)網(wǎng)的安全威脅熟悉企業(yè)網(wǎng)絡(luò)安全防范技術(shù)項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì) 【實(shí)施目標(biāo)】項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)技能目標(biāo)：掌握企業(yè)網(wǎng)安全分析方法掌握企業(yè)網(wǎng)絡(luò)網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)技能目標(biāo)：項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)【項(xiàng)目背景】 某公司現(xiàn)有企業(yè)網(wǎng)存在網(wǎng)絡(luò)安全隱患，具體表現(xiàn)在：服務(wù)器系統(tǒng)經(jīng)常遭到來(lái)自互聯(lián)網(wǎng)用戶的非法鏈接；員工長(zhǎng)時(shí)間訪問(wèn)P2P及多媒體網(wǎng)站，導(dǎo)致企業(yè)互聯(lián)網(wǎng)帶寬資源緊張

28、，時(shí)常導(dǎo)致網(wǎng)絡(luò)擁塞；郵件服務(wù)器沒(méi)有相應(yīng)的安全防護(hù)，員工抱怨經(jīng)常收到垃圾郵件，有時(shí)還會(huì)遭到郵件病毒侵害；企業(yè)網(wǎng)對(duì)于用戶訪問(wèn)缺乏有效監(jiān)控，員工權(quán)限不明，涉密信息通過(guò)各種出口時(shí)（如USB、串口拷貝等方式），缺乏必要的監(jiān)控和審計(jì)；企業(yè)信息全部明文傳播，存在核心機(jī)密外泄的隱患。為避免上述安全問(wèn)題，公司決定采取相關(guān)網(wǎng)絡(luò)安全措施，提高、優(yōu)化企業(yè)網(wǎng)絡(luò)安全性能。項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)【項(xiàng)目背景】項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)【需求分析】 在建設(shè)企業(yè)網(wǎng)絡(luò)時(shí)，應(yīng)將人員作為安全體系的核心，采用技術(shù)與管理相結(jié)合的方式來(lái)提高、優(yōu)化企業(yè)網(wǎng)絡(luò)安全性能。通過(guò)安全教育、技能培訓(xùn)，提高企業(yè)員工的安全意識(shí)，減少因誤操作造成的網(wǎng)絡(luò)破壞。 在技

29、術(shù)上，可采用適宜的網(wǎng)絡(luò)安全設(shè)備來(lái)提升網(wǎng)絡(luò)安全性能。對(duì)于黑客攻擊，可以采用防火墻、IDS、IPS和UTM技術(shù)；對(duì)于帶寬限制，可采用鏈路負(fù)載均衡設(shè)備、流量控制設(shè)備和廣域網(wǎng)加速設(shè)備來(lái)解決；采用SSL VPN設(shè)備進(jìn)行數(shù)據(jù)加密，提升企業(yè)安全級(jí)別。項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)【需求分析】項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)【預(yù)備知識(shí)】 知識(shí)1 企業(yè)網(wǎng)安全背景 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 知識(shí)3 企業(yè)網(wǎng)安全威脅 知識(shí)4 企業(yè)網(wǎng)絡(luò)安全防范 項(xiàng)目二 企業(yè)網(wǎng)安全設(shè)計(jì)【預(yù)備知識(shí)】知識(shí)1 企業(yè)網(wǎng)安全背景 企業(yè)網(wǎng)的安全問(wèn)題分為兩類，一是類屬于計(jì)算機(jī)網(wǎng)絡(luò)固有的安全問(wèn)題，包括協(xié)議漏洞、操作系統(tǒng)安全漏洞與網(wǎng)絡(luò)信道的一些安全漏洞；另一類是企業(yè)網(wǎng)

30、本身存在的特殊的安全隱患，包括：信息的認(rèn)證和傳輸、企業(yè)數(shù)據(jù)的安全與特殊應(yīng)用系統(tǒng)的安全等。知識(shí)1 企業(yè)網(wǎng)安全背景 企業(yè)網(wǎng)的安全問(wèn)題知識(shí)1 企業(yè)網(wǎng)安全背景 一、企業(yè)網(wǎng)的安全隱患 企業(yè)網(wǎng)的安全隱患首先是計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患，其次是企業(yè)網(wǎng)存在的安全隱患。1.計(jì)算機(jī)網(wǎng)固有的安全隱患TCP/IP協(xié)議漏洞操作系統(tǒng)漏洞傳輸信道漏洞知識(shí)1 企業(yè)網(wǎng)安全背景 一、企業(yè)網(wǎng)的安全隱患知識(shí)1 企業(yè)網(wǎng)安全背景 2.典型企業(yè)網(wǎng)存在的安全隱患 信息的認(rèn)證和傳輸企業(yè)數(shù)據(jù)的安全應(yīng)用系統(tǒng)的安全Web服務(wù)器知識(shí)1 企業(yè)網(wǎng)安全背景 2.典型企業(yè)網(wǎng)存在的安全隱患 知識(shí)1 企業(yè)網(wǎng)安全背景 二、企業(yè)網(wǎng)的安全防護(hù)現(xiàn)狀企業(yè)網(wǎng)內(nèi)部面臨安全隱患

31、知識(shí)1 企業(yè)網(wǎng)安全背景 二、企業(yè)網(wǎng)的安全防護(hù)現(xiàn)狀企業(yè)網(wǎng)內(nèi)部面知識(shí)1 企業(yè)網(wǎng)安全背景 三、企業(yè)網(wǎng)的特點(diǎn)1.企業(yè)網(wǎng)的結(jié)構(gòu)特點(diǎn)企業(yè)網(wǎng)與互聯(lián)網(wǎng)隔離建立了SC結(jié)構(gòu)的應(yīng)用企業(yè)的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)網(wǎng)的依賴程度越來(lái)越高對(duì)網(wǎng)絡(luò)的安全要求越來(lái)越高知識(shí)1 企業(yè)網(wǎng)安全背景 三、企業(yè)網(wǎng)的特點(diǎn)知識(shí)1 企業(yè)網(wǎng)安全背景 三、企業(yè)網(wǎng)的特點(diǎn)2.企業(yè)網(wǎng)安全環(huán)境特點(diǎn) 解決企業(yè)網(wǎng)的安全安全問(wèn)題首先是解決“人”的問(wèn)題，其次才是“物”的問(wèn)題。企業(yè)網(wǎng)安全缺乏人才。企業(yè)網(wǎng)的安全問(wèn)題是一個(gè)整體的問(wèn)題，需要從多個(gè)方面不同角度綜合考慮。企業(yè)網(wǎng)速度較快，內(nèi)部信息容易快速竊取，監(jiān)控時(shí)機(jī)轉(zhuǎn)瞬即失，需要采取新的網(wǎng)絡(luò)安全設(shè)備、安全技術(shù)與安全手段。企業(yè)網(wǎng)需要考慮身份

32、驗(yàn)證和數(shù)據(jù)加密。企業(yè)網(wǎng)需要對(duì)用戶權(quán)限控制。加強(qiáng)安全意識(shí)。知識(shí)1 企業(yè)網(wǎng)安全背景 三、企業(yè)網(wǎng)的特點(diǎn)知識(shí)2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全框架 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全框架 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全框架 框架說(shuō)明：安全機(jī)制作為整個(gè)框架的最底層，也是最基礎(chǔ)的平臺(tái)。該平臺(tái)確立了信息機(jī)密性，信息完整性，信息有效性，信息可控性，信息可審查性和信息不可否認(rèn)性等共6大安全機(jī)制。只有這些安全機(jī)制得以實(shí)現(xiàn)，網(wǎng)絡(luò)安全性才能得以保證?；痉雷o(hù)系統(tǒng)和安全信任平臺(tái)通過(guò)整合防火墻，身份認(rèn)證，IDS，漏洞掃描，信息加密以及網(wǎng)絡(luò)監(jiān)控等多種安全技術(shù)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的防護(hù)，并向上平臺(tái)和

33、用戶提供可信任的信息服務(wù)。網(wǎng)絡(luò)安全技術(shù)體系只是Intranet安全體系中的基礎(chǔ)設(shè)施，能為Intranet網(wǎng)絡(luò)安全提供技術(shù)和設(shè)備上的保障，但安全的關(guān)鍵因素還是與網(wǎng)絡(luò)管理人員和使用者，也就是說(shuō)“人”的因素有關(guān)，“人”是網(wǎng)絡(luò)安全體系是否安全可信的關(guān)鍵所在。因此，在安全體系框架中專門設(shè)置了“人”的安全管理、安全培訓(xùn)和安全策略三個(gè)層次，并將它們置于整個(gè)體系的最上層。知識(shí)2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全框架 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 各層次之間的關(guān)系 知識(shí)2 企業(yè)網(wǎng)安全框架與

34、模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 1.人員安全。人員是安全體系的核心。2.安全管理。安全管理包括安全技術(shù)、設(shè)備、安全管理制度以及部門與人員的組織規(guī)則等管理。 事件處理管理安全審計(jì)管理安全恢復(fù)管理實(shí)施多人負(fù)責(zé)管理落實(shí)任期有限管理執(zhí)行職責(zé)分離管理建立完善的管理制度知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 3.物理安全 。物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)木W(wǎng)絡(luò)信息進(jìn)行安全保護(hù)，也就是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒介免遭地震、水災(zāi)、火災(zāi)等事故，以及人為行為導(dǎo)致破壞的過(guò)程。 物理安全區(qū)域設(shè)備安

35、全存儲(chǔ)器和存儲(chǔ)介質(zhì)安全機(jī)房安全知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 4.系統(tǒng)安全 。系統(tǒng)層安全包含主機(jī)平臺(tái)安全。主要問(wèn)題為病毒、黑客對(duì)于網(wǎng)絡(luò)的威脅、破壞和侵入。 系統(tǒng)漏洞和后門 帳戶管理和用戶特權(quán)的安全I(xiàn)IS服務(wù)安全病毒防護(hù)系統(tǒng)網(wǎng)絡(luò)安全隱患掃描密碼的安全知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 5.網(wǎng)絡(luò)層安全。企業(yè)網(wǎng)是以Internet為基礎(chǔ)，是Internet技術(shù)在企業(yè)中的的應(yīng)用。通過(guò)防火墻來(lái)隔離Intranet與Internet，防止來(lái)自外部的非法訪問(wèn)。利用VPN虛擬專用

36、網(wǎng)，以解決數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題。實(shí)施協(xié)議隔離，把重要的服務(wù)器或主機(jī)隔離在特殊的通信協(xié)議網(wǎng)段內(nèi)，可以防止非法訪問(wèn)或非法竊取。做好傳輸鏈路鋪設(shè)，采用適宜的加密措施，防止線路竊聽(tīng)。使用防病毒軟件。使用入侵檢測(cè)系統(tǒng) 。知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 6.應(yīng)用層安全。應(yīng)用安全是指信息在應(yīng)用過(guò)程中的安全，也就是信息的使用安全。系統(tǒng)配置。檢查安全漏洞。身份認(rèn)證。訪問(wèn)控制。安全審計(jì)與監(jiān)控 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 二、企業(yè)網(wǎng)安全模型 知識(shí)2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全模型 7.數(shù)據(jù)安全 。企業(yè)網(wǎng)安全的核心是數(shù)據(jù)安全，需要采用相應(yīng)的

37、加密技術(shù)、備份技術(shù)和恢復(fù)機(jī)制，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)暢通、系統(tǒng)安全，保證企業(yè)網(wǎng)內(nèi)部業(yè)務(wù)的連續(xù)性和數(shù)據(jù)的完整性、可用性、安全性。數(shù)據(jù)加密容災(zāi)備份（包括本地和遠(yuǎn)程容災(zāi)備份）數(shù)據(jù)恢復(fù)知識(shí)2 企業(yè)網(wǎng)安全框架與模型 一、企業(yè)網(wǎng)安全模型 知識(shí)3 企業(yè)網(wǎng)安全威脅典型的網(wǎng)絡(luò)攻擊：病毒侵襲黑客的非法闖入數(shù)據(jù)“竊聽(tīng)”和攔截拒絕服務(wù)內(nèi)部網(wǎng)絡(luò)安全 電子商務(wù)攻擊 網(wǎng)絡(luò)安全隱患：惡意掃描密碼破解數(shù)據(jù)篡改垃圾郵件基礎(chǔ)設(shè)施破壞 知識(shí)3 企業(yè)網(wǎng)安全威脅典型的網(wǎng)絡(luò)攻擊：知識(shí)4 企業(yè)網(wǎng)絡(luò)安全防范 安全域的劃分對(duì)企業(yè)網(wǎng)的隔離和訪問(wèn)控制（基于防火墻技術(shù)的隔離和訪問(wèn)控制、基于物理隔離技術(shù)的隔離和訪問(wèn)控制）技術(shù)與管理相結(jié)合風(fēng)險(xiǎn)評(píng)估 安全計(jì)劃計(jì)劃實(shí)施遠(yuǎn)

38、程訪問(wèn)控制病毒的防護(hù)知識(shí)4 企業(yè)網(wǎng)絡(luò)安全防范 安全域的劃分任務(wù)1 企業(yè)網(wǎng)安全分析1.網(wǎng)絡(luò)架構(gòu)現(xiàn)狀分析任務(wù)1 企業(yè)網(wǎng)安全分析1.網(wǎng)絡(luò)架構(gòu)現(xiàn)狀分析任務(wù)1 企業(yè)網(wǎng)安全分析2.應(yīng)用系統(tǒng)現(xiàn)狀分析 從調(diào)查得知，該企業(yè)網(wǎng)目前主要安裝了以下幾個(gè)應(yīng)用系統(tǒng)：安裝了郵件系統(tǒng)實(shí)現(xiàn)總部與分支機(jī)構(gòu)及其它外聯(lián)公司之間的信息交互。安裝了Web信息發(fā)布系統(tǒng)，實(shí)現(xiàn)各個(gè)分支機(jī)構(gòu)以及合作伙伴之間與總部的互訪。安裝了數(shù)據(jù)專線，滿足總部與分支機(jī)構(gòu)的視頻會(huì)議等多種應(yīng)用。任務(wù)1 企業(yè)網(wǎng)安全分析2.應(yīng)用系統(tǒng)現(xiàn)狀分析任務(wù)1 企業(yè)網(wǎng)安全分析3.企業(yè)網(wǎng)安全隱患分析（1）網(wǎng)絡(luò)架構(gòu)安全與優(yōu)化隱患分析 來(lái)自互聯(lián)網(wǎng)的攻擊。不管是企業(yè)總部還是分支機(jī)構(gòu)都已經(jīng)接

39、入到互聯(lián)網(wǎng)，可能遭到來(lái)自互聯(lián)網(wǎng)外部的越權(quán)訪問(wèn)、惡意攻擊和計(jì)算機(jī)病毒的入侵。例如一個(gè)無(wú)聊的外部用戶，利用盜版軟件或從Internet下載的黑客程序惡意攻擊內(nèi)部站點(diǎn)，致使網(wǎng)絡(luò)局部或整體癱瘓。企業(yè)網(wǎng)絡(luò)各種信息需要通過(guò)互聯(lián)網(wǎng)互傳，存在網(wǎng)絡(luò)攻擊者突破防線竊取、篡改、刪除數(shù)據(jù)的風(fēng)險(xiǎn),有可能對(duì)企業(yè)造成重大經(jīng)濟(jì)損失。各類郵件服務(wù)器和Web服務(wù)器作為信息交換中心，存在因系統(tǒng)故障導(dǎo)致系統(tǒng)服務(wù)中斷，頁(yè)面被篡的風(fēng)險(xiǎn)。IT數(shù)據(jù)及應(yīng)用的集中部署管理已成為企業(yè)降低分支機(jī)構(gòu)IT開(kāi)支、降低整體運(yùn)營(yíng)成本的重要手段，集中部署管理降低了信息安全的分險(xiǎn)。但集中部署方式大大增加了數(shù)據(jù)中心和企業(yè)分支機(jī)構(gòu)之間的流量，致使多數(shù)流量用于數(shù)據(jù)備份

40、/更新，以及員工的遠(yuǎn)程應(yīng)用訪問(wèn)等。P2P及多媒體技術(shù)在網(wǎng)上的大量應(yīng)用，員工上網(wǎng)訪問(wèn)流量激增，并經(jīng)常下載大容量文件，可能致使企業(yè)網(wǎng)本身有限的互聯(lián)網(wǎng)帶寬資源更加緊張。任務(wù)1 企業(yè)網(wǎng)安全分析3.企業(yè)網(wǎng)安全隱患分析任務(wù)1 企業(yè)網(wǎng)安全分析3.企業(yè)網(wǎng)安全隱患分析（2）應(yīng)用系統(tǒng)安全隱患分析企業(yè)信息網(wǎng)的應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器和文檔服務(wù)器，可能遭到來(lái)自互聯(lián)網(wǎng)用戶的非法存取、刪改和破壞。由于沒(méi)有對(duì)郵件服務(wù)器進(jìn)行相應(yīng)的防護(hù)，一旦有計(jì)算機(jī)病毒通過(guò)電子郵件傳播，那么就可以迅速、方便地?cái)U(kuò)散到整個(gè)網(wǎng)絡(luò)之中，致使眾多主機(jī)癱瘓。Web等應(yīng)用服務(wù)，本身就是安全漏洞的溫床，由于沒(méi)有完善設(shè)置和配套的安全防護(hù)，該服務(wù)本身可能

41、因信息被篡改、刪除等原因，無(wú)法正常運(yùn)轉(zhuǎn)，嚴(yán)重時(shí)，甚至整個(gè)網(wǎng)絡(luò)都將遭到破壞。比如尼姆達(dá)病毒就可以利用微軟IIS服務(wù)的幾個(gè)漏洞對(duì)該絡(luò)實(shí)施攻擊。任務(wù)1 企業(yè)網(wǎng)安全分析3.企業(yè)網(wǎng)安全隱患分析任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)1.企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)根據(jù)對(duì)網(wǎng)絡(luò)現(xiàn)狀和安全隱患分析，針對(duì)該企業(yè)網(wǎng)安全設(shè)計(jì)如下：為了防止互聯(lián)網(wǎng)用戶對(duì)企業(yè)總部網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問(wèn)和惡意攻擊，防止互聯(lián)網(wǎng)病毒的危害和傳播，應(yīng)考慮在企業(yè)網(wǎng)的邊界和重點(diǎn)區(qū)域部署防病毒安全網(wǎng)關(guān)。為了加強(qiáng)對(duì)其它各地市和內(nèi)部用戶的身份鑒別、權(quán)限控制、角色管理和訪問(wèn)控制管理，實(shí)現(xiàn)由分支機(jī)構(gòu)或移動(dòng)辦公用戶訪問(wèn)總部時(shí)，進(jìn)行數(shù)據(jù)加密，提高數(shù)據(jù)傳輸安全性?？梢圆捎肰PN認(rèn)證技術(shù)，在邊界安

42、裝VPN設(shè)備。為了實(shí)現(xiàn)對(duì)網(wǎng)站文件屬性和文件內(nèi)容的實(shí)時(shí)監(jiān)控，可以安裝網(wǎng)頁(yè)防篡改軟件，在網(wǎng)頁(yè)遭受攻擊時(shí)自動(dòng)、安全恢復(fù)網(wǎng)站文件系統(tǒng)。對(duì)于內(nèi)網(wǎng)，要建立完善的安全管理機(jī)制，有效地確保安全策略的準(zhǔn)確執(zhí)行，減少人為因素造成的系統(tǒng)安全事故。有條件時(shí)，可以安裝內(nèi)網(wǎng)安全管理系統(tǒng)。任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)1.企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)1.企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)建立企業(yè)網(wǎng)的安全管理制度，定期對(duì)企業(yè)網(wǎng)進(jìn)行安全分析和安全評(píng)估，及時(shí)發(fā)現(xiàn)并修正存在的漏洞和弱點(diǎn)，及時(shí)調(diào)整和完善安全策略，保證企業(yè)網(wǎng)的動(dòng)態(tài)安全與持續(xù)安全。完善的咨詢、評(píng)估、設(shè)計(jì)、實(shí)施、培訓(xùn)以及實(shí)時(shí)的安全響應(yīng)等信息安全專業(yè)服務(wù)?？梢栽诰W(wǎng)絡(luò)流量集中的地方安裝流

43、量均衡設(shè)備，合理利用網(wǎng)絡(luò)資源，避免因?yàn)榫W(wǎng)絡(luò)帶寬使用不當(dāng)帶來(lái)網(wǎng)絡(luò)應(yīng)用系統(tǒng)效率低下以及帶寬資源浪費(fèi)，保護(hù)企業(yè)投資。保護(hù)關(guān)鍵應(yīng)用系統(tǒng)，如企業(yè)數(shù)據(jù)中心，發(fā)揮企業(yè)網(wǎng)絡(luò)最大價(jià)值。可以加裝網(wǎng)絡(luò)流量控制設(shè)備，實(shí)現(xiàn)應(yīng)用流量的帶寬管理，保障對(duì)應(yīng)用系統(tǒng)訪問(wèn)的必須帶寬。當(dāng)各種網(wǎng)絡(luò)應(yīng)用同時(shí)進(jìn)行時(shí)，首先保障關(guān)鍵性應(yīng)用（如OA、VoIP（Voice over Internet Protocol）、Email等）的有效使用，限制其它無(wú)關(guān)應(yīng)用的帶寬的使用率。可以安裝網(wǎng)絡(luò)流量加速設(shè)備，實(shí)現(xiàn)總部與分支機(jī)構(gòu)之間的加速，提升企業(yè)運(yùn)作及員工工作效率，避免增加帶寬投資的開(kāi)銷，簡(jiǎn)化分支機(jī)構(gòu)IT架構(gòu)，提高企業(yè)信息化水平，全面提高企業(yè)生產(chǎn)率。任

44、務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)1.企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)2.安全建設(shè)方案企業(yè)網(wǎng)的建設(shè)方案如圖所示。簡(jiǎn)單部署說(shuō)明如下：在企業(yè)總部網(wǎng)絡(luò)出口部署一臺(tái)鏈路負(fù)載均衡產(chǎn)品。通過(guò)在負(fù)載均衡設(shè)備對(duì)多個(gè)ISP連接的可用性和性能進(jìn)行實(shí)時(shí)監(jiān)測(cè)，提高網(wǎng)絡(luò)連接的容錯(cuò)能力，將流量導(dǎo)向最優(yōu)的鏈接和ISP，以提高服務(wù)質(zhì)量和訪問(wèn)速度，通過(guò)多條低成本鏈路的聚合降低帶寬成本，全面提高應(yīng)用交付能力。在企業(yè)總部網(wǎng)絡(luò)出口部署一臺(tái)UTM產(chǎn)品。通過(guò)在UTM上設(shè)置訪問(wèn)控制規(guī)則，可以對(duì)進(jìn)出內(nèi)網(wǎng)的用戶進(jìn)行訪問(wèn)控制，有效防止黑客攻擊，保障內(nèi)網(wǎng)安全。在企業(yè)總部網(wǎng)絡(luò)出口部署一臺(tái)流量控制設(shè)備。合理分配帶寬，保障企業(yè)關(guān)鍵應(yīng)用流量，限制非關(guān)鍵應(yīng)用流

45、量，并對(duì)員工的上網(wǎng)行為，進(jìn)行全面管理（例如，上班時(shí)間不準(zhǔn)上QQ）。任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)2.安全建設(shè)方案任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)2.安全建設(shè)方案企業(yè)網(wǎng)的建設(shè)方案如圖所示。簡(jiǎn)單部署說(shuō)明如下：在企業(yè)總部網(wǎng)絡(luò)出口部署一臺(tái)廣域網(wǎng)加速設(shè)備，不僅加快總部用戶訪問(wèn)互聯(lián)網(wǎng)資源，更能提升分支機(jī)構(gòu)和合作伙伴對(duì)總部數(shù)據(jù)服務(wù)器的訪問(wèn)。在服務(wù)器區(qū)域前部署服務(wù)器負(fù)載均衡設(shè)備一臺(tái)，通過(guò)鏈路負(fù)載均衡設(shè)備，流量會(huì)自動(dòng)導(dǎo)向最佳服務(wù)器，將應(yīng)用速度提高N倍。在透過(guò)核心交換機(jī)單臂模式部署SSL-VPN一臺(tái)，對(duì)移動(dòng)用戶、分支機(jī)構(gòu)、合作伙伴跟總部進(jìn)行互訪過(guò)程中的數(shù)據(jù)進(jìn)行加密，提升企業(yè)安全級(jí)別。任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)2.安全建設(shè)方案新編

46、網(wǎng)絡(luò)安全技術(shù)與實(shí)踐第四篇網(wǎng)絡(luò)安全設(shè)計(jì)任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)3.安全技術(shù)說(shuō)明SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)公司敏感數(shù)據(jù)最簡(jiǎn)單最安全的技術(shù)。 特點(diǎn)SSL VPN的客戶端程序，已經(jīng)預(yù)裝在終端設(shè)備瀏覽器中，因此不需要再次安裝。 SSL VPN可在NAT代理裝置上以透明模式工作。 SSL VPN不受安裝在客戶端與服務(wù)器之間的防火墻等NAT設(shè)備的影響，穿透能力強(qiáng)。 SSL VPN將遠(yuǎn)程安全接入延伸到IPSec VPN擴(kuò)展不到的地方，企業(yè)員工可以在任何地點(diǎn)，利用任何設(shè)備，安全訪問(wèn)相應(yīng)的網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用。IPSec VPN通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因?yàn)樗鼈冃枰朔┩阜阑饓?、IP地址沖

47、突等困難。從功能上講，SSL VPN是企業(yè)遠(yuǎn)程安全接入的最佳選擇。優(yōu)點(diǎn)實(shí)施方便。實(shí)施SSL VPN只需要安裝配置好中心網(wǎng)關(guān)即可。其余的客戶端是免安裝的，因此，實(shí)施工期很短，如果網(wǎng)絡(luò)條件具備，連安裝帶調(diào)試，1-2天即可投入運(yùn)營(yíng)。 容易維護(hù)。SSL VPN維護(hù)起來(lái)簡(jiǎn)單，出現(xiàn)問(wèn)題，只需維護(hù)網(wǎng)關(guān)。安全。SSL VPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸。此外，由于SSL網(wǎng)關(guān)將內(nèi)部服務(wù)器和客戶端隔離，只留下一個(gè)web瀏覽接口，可以阻止客戶端的病毒、木馬感染內(nèi)部服務(wù)器。任務(wù)2 企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)3.安全技術(shù)說(shuō)明項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì) 【實(shí)施目標(biāo)】 知識(shí)目標(biāo)：熟悉校園網(wǎng)的功能和特點(diǎn)熟悉校園網(wǎng)普遍存在的安全問(wèn)題掌握

48、校園網(wǎng)安全需求和目標(biāo)熟悉校園網(wǎng)架構(gòu)及安全方法項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì) 【實(shí)施目標(biāo)】項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)技能目標(biāo)：掌握校園網(wǎng)絡(luò)安全分析方法掌握校園網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)技能目標(biāo)：項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)【項(xiàng)目背景】 A學(xué)校在上世紀(jì)末構(gòu)建了校園網(wǎng)，由于學(xué)校網(wǎng)絡(luò)用戶數(shù)量快速增加，網(wǎng)絡(luò)信息交互的數(shù)據(jù)成倍增長(zhǎng)，應(yīng)用系統(tǒng)也在逐漸增多，導(dǎo)致校園網(wǎng)已無(wú)法滿足學(xué)院日益發(fā)展的需求。具體表現(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，難于管理；校園網(wǎng)經(jīng)常出現(xiàn)訪問(wèn)延遲現(xiàn)象，有時(shí)甚至無(wú)法正常訪問(wèn)；服務(wù)器系統(tǒng)有時(shí)會(huì)遭到不明身份用戶的攻擊。為了保證校園網(wǎng)絡(luò)安全、高效的運(yùn)行，實(shí)現(xiàn)對(duì)校園網(wǎng)更加有效的監(jiān)控、維護(hù)和管理，學(xué)院擬投入資金，對(duì)

49、校園網(wǎng)進(jìn)行升級(jí)和優(yōu)化。當(dāng)然，校園網(wǎng)的安全設(shè)計(jì)是校園網(wǎng)升級(jí)改造的重要內(nèi)容。項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)【項(xiàng)目背景】項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)【需求分析】 根據(jù)對(duì)A學(xué)校網(wǎng)絡(luò)安全現(xiàn)狀的調(diào)研和分析，結(jié)合高校校園網(wǎng)的特點(diǎn)，以及學(xué)校長(zhǎng)期發(fā)展目標(biāo)對(duì)網(wǎng)絡(luò)安全的需求，可新增相關(guān)網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)安全管理系統(tǒng)，提升學(xué)院網(wǎng)絡(luò)的整體管理水平和安全等級(jí)。比如：針對(duì)網(wǎng)絡(luò)攻擊和病毒、木馬、垃圾郵件等不良信息的傳播，可增加UTM設(shè)備，并開(kāi)啟防火墻、病毒網(wǎng)關(guān)和垃圾郵件過(guò)濾等功能，最大限度地減少網(wǎng)絡(luò)攻擊和不良信息對(duì)校園網(wǎng)的影響；結(jié)合內(nèi)網(wǎng)安全防范要求，增加內(nèi)網(wǎng)安全管理系統(tǒng)，增強(qiáng)內(nèi)網(wǎng)安全防護(hù)的能力；為規(guī)范和有效審核學(xué)生上網(wǎng)行為，可配置上網(wǎng)行為

50、管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)用戶上網(wǎng)行為的監(jiān)管；要解決校園網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，難于管理的問(wèn)題，可通過(guò)配置網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)來(lái)增強(qiáng)對(duì)校園網(wǎng)的運(yùn)維管理能力；隨著學(xué)校教學(xué)教改的項(xiàng)目增多，對(duì)校園網(wǎng)Web應(yīng)用提出了更高的要求，可安裝Web應(yīng)用防御系統(tǒng)改善Web應(yīng)用系統(tǒng)安全狀況。 項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)【需求分析】項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)【預(yù)備知識(shí)】 知識(shí)1 校園網(wǎng)的安全背景 知識(shí)2 校園網(wǎng)的安全問(wèn)題 項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì)【預(yù)備知識(shí)】知識(shí)1 校園網(wǎng)的安全背景 一、校園網(wǎng)的功能信息交互教學(xué)服務(wù)網(wǎng)上管理科研服務(wù)知識(shí)1 校園網(wǎng)的安全背景 一、校園網(wǎng)的功能知識(shí)1 校園網(wǎng)的安全背景 二、校園網(wǎng)的安全特點(diǎn) 校園網(wǎng)的網(wǎng)絡(luò)組成結(jié)構(gòu)復(fù)雜

51、。用戶類型多，學(xué)生群體活躍。應(yīng)用系統(tǒng)多，功能復(fù)雜。網(wǎng)絡(luò)環(huán)境開(kāi)放。網(wǎng)絡(luò)安全投入少，管理不足。盜版資源泛濫，導(dǎo)致系統(tǒng)的安全性很低。 知識(shí)1 校園網(wǎng)的安全背景 二、校園網(wǎng)的安全特點(diǎn) 知識(shí)2 校園網(wǎng)的安全問(wèn)題 一、校園網(wǎng)面臨的安全問(wèn)題 物理層。物理層主要面臨四方面的安全問(wèn)題：環(huán)境安全，設(shè)備安全，線路安全，容災(zāi)備份。數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層上最常見(jiàn)的攻擊手段是數(shù)據(jù)監(jiān)聽(tīng)。網(wǎng)絡(luò)層。網(wǎng)絡(luò)層是TCP/IP協(xié)議模型的核心，在網(wǎng)絡(luò)層運(yùn)行著許多協(xié)議，由于初期設(shè)計(jì)時(shí)沒(méi)有考慮到安全方面的問(wèn)題，這些協(xié)議大都存在著安全隱患。傳輸層。傳輸層面臨的問(wèn)題主要是大量的針對(duì)TCP/UDP協(xié)議的攻擊。針對(duì)TCP的攻擊主要是利用TCP的三次

52、握手機(jī)制，如SYNFlooding攻擊、ACK Flooding攻擊等；而針對(duì)UDP的攻擊主要是進(jìn)行流量攻擊，利用UDP通信的不可靠性以達(dá)到拒絕服務(wù)的目的。應(yīng)用層。應(yīng)用層面臨的問(wèn)題主要是針對(duì)應(yīng)用程序的設(shè)計(jì)漏洞進(jìn)行攻擊。如對(duì)應(yīng)用協(xié)議漏洞的攻擊、對(duì)系統(tǒng)漏洞的攻擊、對(duì)操作系統(tǒng)平臺(tái)的攻擊等。知識(shí)2 校園網(wǎng)的安全問(wèn)題 一、校園網(wǎng)面臨的安全問(wèn)題 知識(shí)2 校園網(wǎng)的安全問(wèn)題 二、校園網(wǎng)安全需求 校園網(wǎng)的安全一定是全方位的安全。首先，在網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過(guò)濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強(qiáng)大的安全防護(hù)能力，并且安全策略部署不能影響到網(wǎng)絡(luò)的性能，不能造成網(wǎng)絡(luò)單點(diǎn)故

53、障；其三，要充分考慮全局統(tǒng)一的安全要求，要能夠從接入控制，到網(wǎng)絡(luò)安全事件的深度探測(cè)，與現(xiàn)有的安全設(shè)備能夠?qū)崿F(xiàn)有機(jī)的聯(lián)動(dòng)；要有對(duì)安全事件觸發(fā)源的準(zhǔn)確定位能力，具有身份隔離與修復(fù)措施，形成一個(gè)由內(nèi)至外的整體網(wǎng)絡(luò)的安全構(gòu)架。知識(shí)2 校園網(wǎng)的安全問(wèn)題 二、校園網(wǎng)安全需求 知識(shí)2 校園網(wǎng)的安全問(wèn)題 二、校園網(wǎng)安全需求 一般而言，校園網(wǎng)的安全要注意重視如下幾個(gè)安全要點(diǎn) ：校園網(wǎng)應(yīng)禁止外部非校園網(wǎng)用戶未經(jīng)許可訪問(wèn)內(nèi)部數(shù)據(jù)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器數(shù)據(jù)的安全防護(hù)。校園網(wǎng)內(nèi)部各部門、個(gè)人之間網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，各部門、個(gè)人之間在未經(jīng)授權(quán)的情況下，不能相互訪問(wèn)，要實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯或物理隔離。加強(qiáng)網(wǎng)絡(luò)監(jiān)控，要實(shí)現(xiàn)對(duì)涉及

54、重要服務(wù)器數(shù)據(jù)的攻擊行為的紀(jì)錄與分析。要加強(qiáng)網(wǎng)絡(luò)病毒的防范。要加強(qiáng)安全管理，對(duì)校園網(wǎng)內(nèi)部訪問(wèn)進(jìn)行規(guī)范化管理。知識(shí)2 校園網(wǎng)的安全問(wèn)題 二、校園網(wǎng)安全需求 知識(shí)2 校園網(wǎng)的安全問(wèn)題 二、校園網(wǎng)安全需求 校園網(wǎng)安全設(shè)計(jì)應(yīng)該實(shí)現(xiàn)以下安全目標(biāo)： 建立一套完備可行的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略。限制各鏈路上的服務(wù)請(qǐng)求內(nèi)容，使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕。對(duì)合法用戶訪問(wèn)加強(qiáng)認(rèn)證，將用戶的訪問(wèn)權(quán)限控制在最低限度。全面監(jiān)視對(duì)主機(jī)的訪問(wèn)，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作或黑客攻擊行為。加強(qiáng)對(duì)各種訪問(wèn)的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)和主機(jī)的訪問(wèn)行為，形成完整的系統(tǒng)日志。進(jìn)行網(wǎng)絡(luò)安全掃描，主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞。建立完整的系統(tǒng)防病毒體系，防止病毒的侵害。提供網(wǎng)絡(luò)監(jiān)控和維護(hù)工具，了解和記錄網(wǎng)絡(luò)結(jié)構(gòu)變化，監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況。提高全體人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全防范的能