局域網(wǎng)安全與管理

局域網(wǎng)技術(shù)1.23網(wǎng)絡(luò)遭受攻擊的可能情況45

在網(wǎng)絡(luò)出現(xiàn)以前，信息安全指對信息的機(jī)密性、完整性和可獲性的保護(hù)，即面向數(shù)據(jù)的安全。

互聯(lián)網(wǎng)出現(xiàn)以后，信息安全除了上述概念以外，其內(nèi)涵又?jǐn)U展到面向用戶的安全。

網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全的狀態(tài)。678910111213141516171819202122232425上級網(wǎng)絡(luò)網(wǎng)間密碼機(jī)防火墻防火墻Web/mail公開服務(wù)器入侵檢測系統(tǒng)

涉密服務(wù)器園區(qū)網(wǎng)服務(wù)器www/ftp/vod用戶安裝防病毒軟件漏洞掃描某網(wǎng)絡(luò)信息中心和園區(qū)網(wǎng)安全系統(tǒng)示意圖網(wǎng)絡(luò)安全解決方案概述1在接入路由器內(nèi)側(cè)加裝防火墻形成第一道安全屏障;在防火墻內(nèi)側(cè)關(guān)鍵點部署入侵檢測系統(tǒng)，防護(hù)內(nèi)、外網(wǎng)絡(luò)攻擊，構(gòu)成第二道安全閘門；設(shè)置防病毒服務(wù)器，全網(wǎng)各主機(jī)安裝防病毒系統(tǒng)；配置漏洞掃描系統(tǒng)，對全網(wǎng)內(nèi)主機(jī)不定期進(jìn)行漏洞掃描，堵塞入侵漏洞；用第二防火墻、涉密服務(wù)器隔離和控制對保密系統(tǒng)子網(wǎng)的訪問；如有必要，可在接入路由器內(nèi)/外側(cè)加裝密碼機(jī)；安全管理：兩級機(jī)構(gòu)＋規(guī)章制度。cisco3560cisco2800cisco2960DMZMBSA保密系統(tǒng)262728293031撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線DMZ區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸32內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗證數(shù)據(jù)的完整性333435部署防火墻企業(yè)網(wǎng)絡(luò)拓?fù)鋱D3637

防火墻性能有限：

1．防火墻不能防止內(nèi)部攻擊；

2．防火墻不能防止未經(jīng)過防火墻的攻擊；

3．防火墻不能完全防止有病毒的軟件的傳送；

4．防火墻不易防止數(shù)據(jù)驅(qū)動型（木馬）攻擊。38認(rèn)證和訪問控制模型39404142漏洞掃描器部署圖43444546入侵檢測系統(tǒng)部署拓?fù)鋱D47484950515253545556571．制定計劃（Plan）。對每個階段都應(yīng)制定出具體的安全管理工作計劃，明確責(zé)任、任務(wù)、確定工作進(jìn)度、形成完整的安全管理工作文件。2．落實執(zhí)行（Do）。按照具體安全管理計劃開展各項工作，包括建立權(quán)威的安全機(jī)構(gòu)，落實必要的安全措施，開展全員的安全培訓(xùn)等。3．檢查效果（Check）。對上述安全管理的計劃與執(zhí)行工作，構(gòu)建的信息安全管理體系進(jìn)行認(rèn)真的監(jiān)督檢查，并反饋報告具體的檢查報告。4．實施改進(jìn)（Action）。根據(jù)檢查的結(jié)果，對現(xiàn)有信息安全管理策略及方法進(jìn)行評審、評估和總結(jié)，評價現(xiàn)有信息安全管理體系的有效性，采取相應(yīng)的改進(jìn)措施。58PerimetereSecurity公司日前提出了網(wǎng)絡(luò)管理員在2008年應(yīng)該采用的八個網(wǎng)絡(luò)安全解決方案：1．實施全面的補(bǔ)丁管理。2．實施員工熟悉安全培訓(xùn)。3．采用基于主機(jī)的入侵防御系統(tǒng)。4．進(jìn)行網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用層測試。5．應(yīng)用URL過濾。6．集中進(jìn)行臺式電腦保護(hù)。7．強(qiáng)制執(zhí)行一個強(qiáng)大的政策管理系統(tǒng)。8．采用一種信息發(fā)送管理解決方案。596061626364校園網(wǎng)安全方案拓?fù)鋱D6566676869707172737.6習(xí)題與實踐1.填空題（1）計算機(jī)網(wǎng)絡(luò)安全是一門涉及

、

、

、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜合性學(xué)科。（2）網(wǎng)絡(luò)安全從內(nèi)容上看，包括

、

、

和安全管理4個方面。（3）TCSEC可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)將計算機(jī)系統(tǒng)的安全劃分為

、

、

、和

4個等級和7個級別。（4）在加密系統(tǒng)中，原有的信息稱為

，由

變?yōu)?/p>

的過程稱為加密，由

還原成

的過程稱為解密。（5）常用的加密方法有

、

、

和

4種。（6）以防火墻的軟硬件形式分類，防火墻可分為

防火墻、硬件防火墻以及

防火墻；以防火墻技術(shù)分類，防火墻可分為

防火墻和

防火墻。747.6習(xí)題與實踐（7）訪問控制包括3個要素，即

、

和

。訪問控制的內(nèi)容包括

、

和

3個方面。（8）漏洞是指硬件、軟件或者

上存在的安全缺陷。入侵者可利用的漏洞大致分為3類，網(wǎng)絡(luò)傳輸和協(xié)議的漏洞、

的漏洞和

的漏洞。（9）計算機(jī)病毒最流行的定義是：

。計算機(jī)病毒一般具有

、

、

和

4個特性。757.6習(xí)題與實踐3.實踐題（1）通過上網(wǎng)查找，介紹一個防火墻產(chǎn)品，并安裝一個簡單的防火墻和一個代理服務(wù)的軟件。（2）通過進(jìn)行校園網(wǎng)調(diào)查，分析現(xiàn)有校園網(wǎng)的網(wǎng)絡(luò)安全解決方案，提出改進(jìn)方案。（3）對某企業(yè)網(wǎng)絡(luò)進(jìn)行社會實踐調(diào)查，編寫一份完整的網(wǎng)絡(luò)安全解決方案。767.6習(xí)題與實踐2.簡答題（1）什么是網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全有哪些技術(shù)特征？（2）常用的加密技術(shù)有哪些？各自有什么特點？（3）什么是防火墻？一個好的防火墻應(yīng)具備哪些功能？（4）現(xiàn)代計算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式有哪些？每種認(rèn)證方式請舉出一個應(yīng)用場合。（5）入侵檢測系統(tǒng)如何分類？請詳細(xì)介紹一款入侵檢測系統(tǒng)，并給出應(yīng)用網(wǎng)絡(luò)拓?fù)鋱D。（6）單