第14章构建安全网络

第14章构建安全网络学习目标：掌握网络的风险分析方法知道如何制定安全策略知道网络安全体系设计原则掌握如何设计安全解决方案14.1风险分析与安全策略一、网络安全计划制定步骤：确认保护什么考虑防止什么考虑这种威胁发生的可能性实施最经济有效的保护措施不断重复以上过程，不断完善计划二、系统风险分析1、确定资产：硬件（计算机、路由器、存储设备）软件（操作系统、应用程序）数据（日志、数据库）人员（用户、管理员）文件（程序、文档）物资（纸张、表格）2、确定威胁：物理威胁（地震、水灾、火灾、盗窃）网络平台威胁（服务器、路由器）系统安全威胁（WINDOWS、UNIX）应用安全威胁（QQ、EMAIL、电子商务）管理安全威胁（口令、泄露、下载）黑客攻击恶意代码不满员工3、网络信息安全模型加密授权认证审计政策、法律、法规4、网络的一般安全需求公开服务器的保护防止黑客从外部攻击入侵检测、监控信息审计、记录病毒防护数据安全保护（加密、备份）网络安全管理5、设计和实现安全策略安全策略的作用：定义网络运作、管理的原则，是网络系统、应用软件、员工、访客应遵守的协议安全策略依据：安全需求、目标（对用户提供的服务）初始投资、后续投资使用方便、服务效率复杂度和安全性的平衡网络性能安全策略的建立做什么？怎么做？7X24小时防止网络入侵7X24小时使用IDS防止网络入侵针对不同岗位职责划分层次：系统管理员、数据库管理员、安全管理员、普通用户安全解决方案的构成要素完整的安全解决方案必须包含以下要素:物理保护-你在哪里?用户身份验证-你是谁?访问控制-哪些资源允许你使用?加密-哪些信息应当隐藏?管理-网络上发生了什么事情?新的安全问题基本策略管理检查策略研究寻求反馈检查过程草拟策略提议策略初稿法律检查最终策略方案批准、发布用户培训安全策略的制定流程确定关键人员6、编写安全计划书总则（总体思路、任务）网络系统状况分析（结构、连接状态）网络系统安全风险分析（物理、平台、系统、应用、管理安全性）安全需求分析与安全策略的制定（需求、目标）方案总体设计（使用的安全机制、服务）体系结构设计安全系统的配置及实现7、安全体系的设计原则（1）需求、风险、代价平衡的原则（2）综合性、整体性原则（3）一致性原则（4）易操作性原则（5）适应性、灵活性（6）多重保护原则（7）分步实施原则（8）可评价原则14.2网络安全体系一、物理安全环境安全：机房设计规范、场地要求设备安全：防盗、防毁、电磁辐射传输介质安全：防盗、防毁、截获二、网络安全网络系统安全：（拓扑、路由）1、访问控制及内外网的隔离2、内网不同安全区域的隔离与访问控制3、网络安全检测4、审计与监控5、防病毒6、数据备份7、系统容错、网络冗余（负载平衡、镜像）三、系统、信息、应用安全操作系统安全（配置、漏洞、检测）应用程序安全（认证、授权、审计、加密）数据安全（存储、传输、访问、备份）四、安全管理安全管理原则：责任人原则任期有限职责分离管理实现：根据工作的重要程度，确定系统安全等级根据安全等级，确定安全管理范围制定机房出入管理制度、操作规程制定完备的系统维护制度、应急测试14.3网络安全性测试、评估一、安全测试使用扫描工具检测系统漏洞监视端口、网络流量、网络性能蜜罐系统发现问题，修改、投入运行，如此反复二、网络安全评估三个主要目标：存取的控制系统和数据的完整性系统恢复和数据备份14.4网络安全解决方案举例一、某银行的安全体系防火墙CA认证加密系统安全漏洞扫描和实时入侵检测严格的系统备份和管理制度二、某企业网的安全体系安全网络体系结构设计外部访问子网（外部拨号子网）公共资源子网内部用户子网（按照部门划分2级子网）网管、服务子网（WEB服务认证、加密）敏感资源子网因特网公共资源子网敏感资源子网管理及安全服务子网内部用户子网外部资源子网路由器IDS防火墙防火墙IDSIDS某企业的安全网络体系结构中国国际电子商务网图1-1典型校园网络拓扑图中国国际电子商务网标准体系网络安全组件防火墙系统入侵检测系统管理和监视系统（基本系统监控、安全设备监控、日志文件管理）安全认证系统其他安全应用程序本章到此结束谢谢