第13章 網(wǎng)絡安全

2023/2/41第13章網(wǎng)絡安全

本章的主要內(nèi)容解決網(wǎng)絡安全問題的一般設計步驟；網(wǎng)絡風險評估介紹；網(wǎng)絡安全開發(fā)方案與過程；網(wǎng)絡安全機制設計——物理安全的概念；網(wǎng)絡安全機制設計——網(wǎng)絡安全的概念；網(wǎng)絡安全機制設計——信息安全的概念；網(wǎng)絡安全機制設計——數(shù)據(jù)存儲安全的概念。2023/2/42第13章網(wǎng)絡安全隨著計算機網(wǎng)絡技術(shù)的不斷發(fā)展，全球信息化已成為人類社會發(fā)展的大趨勢。但由于計算機網(wǎng)絡具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、怪客、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。2023/2/4313.1網(wǎng)絡安全設計過程解決網(wǎng)絡安全問題的一般設計步驟如下：確定網(wǎng)絡資源；分析安全需求；評估網(wǎng)絡風險；制定安全策略；決定所需安全服務種類；選擇相應安全機制；安全系統(tǒng)集成；測試安全性，定期審查；培訓用戶、管理者和技術(shù)人員。2023/2/44進行風險評估需要系統(tǒng)地考慮以下問題：企業(yè)對外開放的程度及對黑客的吸引力有多大；安全故障可能造成的業(yè)務損失，包含由于信息和其他資產(chǎn)的保密性、完整性或可用性損失可能造成的后果；企業(yè)網(wǎng)絡互連網(wǎng)服務是否是必須的，這些服務的風險有多大；當前主要的威脅和漏洞帶來的現(xiàn)實安全問題，以及目前實施的控制措施。安全狀態(tài)評估通常采用5種方式來了解安全漏洞：對現(xiàn)有安全策略和制度進行分析；13.1.1網(wǎng)絡風險評估2023/2/45參照一些通用的安全基線來考查系統(tǒng)安全狀態(tài)；利用安全掃描工具來發(fā)現(xiàn)一些技術(shù)性的常見漏洞；允許一些有經(jīng)驗的人在監(jiān)管之下對特定的機密信息和區(qū)域做模擬入侵系統(tǒng)，以確定特定區(qū)域和信息的安全等級；對該系統(tǒng)的安全管理人員和使用者進行訪談，以確定安全管理制度的執(zhí)行情況和漏洞。一般的風險評估可采用以下方法：遵循有關(guān)規(guī)定量化分析方法定性分析方法2023/2/46風險評估工具的種類：基于國家或政府頒布的信息安全管理標準或指南而建立風險評估工具，如CRAMM，RA等；基于專家系統(tǒng)的風險評估工具，如COBRA，@RISK，BDSS等；基于定性或定量算法的風險分析工具，如CONTROL-IT，DefinitiveScenario，JANBER都是定性的風險評估工具，而@RISK，TheBuddySystem，RiskCALC，CORA（Cost-of-RiskAnalysis）是半定量（定性與定量方法相結(jié)合）的風險評估工具。2023/2/47根據(jù)風險評估結(jié)果制定相應的安全策略安全策略的制定步驟對策略的評估開發(fā)安全策略的過程實現(xiàn)安全服務種類安全服務的一般分類安全服務在工程中的分類安全系統(tǒng)集成明確面臨的各種可能攻擊和風險；明確安全策略；建立安全模型；選擇并實現(xiàn)安全服務；將安全服務配置到具體協(xié)議里。13.1.2網(wǎng)絡安全開發(fā)與過程2023/2/4813.2網(wǎng)絡安全機制設計主要包括如下3個方面：環(huán)境安全設備安全媒體安全正常的防范措施主要有以下方面：對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理。本地網(wǎng)、局域網(wǎng)傳輸線路傳導輻射的抑制。對終端設備輻射的防范。13.2.1物理安全2023/2/49計算機系統(tǒng)安全防止未授權(quán)存取防止泄密防止用戶拒絕系統(tǒng)的管理防止丟失系統(tǒng)的完整性和正確性防火墻基本型防火墻13.2.2網(wǎng)絡安全2023/2/410復合型防火墻分布式防火墻設置防火墻的要素如下：網(wǎng)絡策略服務訪問策略防火墻設計策略增強的認證2023/2/411入侵檢測監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶行動。選購入侵檢測系統(tǒng)的考慮因素：入侵檢測系統(tǒng)的價格部署入侵檢測系統(tǒng)的環(huán)境入侵檢測系統(tǒng)的實際性能產(chǎn)品的可伸縮性產(chǎn)品的入侵響應方式是否通過了國家權(quán)威機構(gòu)的測評2023/2/412網(wǎng)絡反病毒預防病毒技術(shù)檢測病毒技術(shù)殺毒技術(shù)病毒防治軟件安裝位置布署一種防病毒的實際操作一般包括的步驟：制定計劃：了解在所管理的網(wǎng)絡上存放的是什么類型的數(shù)據(jù)和信息。調(diào)查：選擇一種能滿足使用要求并且具備盡量多的各種功能的防病毒軟件。測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡系統(tǒng)和應用軟件相兼容。2023/2/413維護：管理和更新系統(tǒng)確保其能發(fā)揮預計的功能，并且可以利用現(xiàn)有的設備和人員進行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進行升級，徹底理解這種防病毒系統(tǒng)的重要特性。系統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個網(wǎng)絡范圍內(nèi)。常用防病毒軟件網(wǎng)絡數(shù)據(jù)安全某