計算機網(wǎng)絡安全10網(wǎng)絡安全解決方案.ppt

第10章網(wǎng)絡安全解決方案 內(nèi)容提要 網(wǎng)絡安全體系結構網(wǎng)絡安全解決方案單機用戶網(wǎng)絡安全解決方案內(nèi)部網(wǎng)絡安全管理制度小結 10 1網(wǎng)絡安全體系結構 1 網(wǎng)絡信息安全的基本問題網(wǎng)絡信息安全的基本問題是眾所周知的諸要素 可用性 保密性 完整性 可控性與可審查性等 最終要解決是使用者對基礎設施的信心和責任感的問題 返回本章首頁 網(wǎng)絡時代的信息安全有非常獨特的特征 研究信息安全的困難在于 邊界模糊評估困難安全技術滯后管理滯后 返回本章首頁 2 網(wǎng)絡與信息安全體系要實施一個完整的網(wǎng)絡與信息安全體系 至少應包括三類措施 并且三者缺一不可 一是社會的法律政策 規(guī)章制度措施二是技術措施三是審計和管理措施 返回本章首頁 數(shù)據(jù)安全 平臺安全 服務安全要求用完整的信息保障體系 并不斷發(fā)展傳統(tǒng)的信息安全概念 保護 檢測 響應 恢復涵蓋了對現(xiàn)代網(wǎng)絡信息系統(tǒng)保護的各個方面 構成了一個完整的體系 使網(wǎng)絡信息安全建筑在更堅實的基礎之上 返回本章首頁 1 保護 Protect 保護包括傳統(tǒng)安全概念的繼承 用加解密技術 訪問控制技術 數(shù)字簽名技術 從信息動態(tài)輿 數(shù)據(jù)靜態(tài)存儲和經(jīng)授權方可使用 以及可驗證的信息交換過程等到方面對數(shù)據(jù)及其網(wǎng)上操作加以保護 返回本章首頁 2 檢測 Detect 檢測的含義是 對信息傳輸?shù)膬?nèi)容的可控性的檢測 對信息平臺訪問過程的甄別檢測 對違規(guī)與惡意攻擊的檢測 對系統(tǒng)與網(wǎng)絡弱點與漏洞的檢測等等 返回本章首頁 3 響應 React 在復雜的信息環(huán)境中 保證在任何時候信息平臺能高效正常運行 要求安全體系提供有力的響應機制 返回本章首頁 4 恢復 Restore 狹義的恢復指災難恢復 在系統(tǒng)受到攻擊的時候 評估系統(tǒng)受到的危害與損失 按緊急響應預案進行數(shù)據(jù)與系統(tǒng)恢復 啟動備份系統(tǒng)恢復工作等 廣義的恢復還包括災難生存等現(xiàn)代新興學科的研究 返回本章首頁 保護 檢測 響應 恢復四個概念之間存在著一定的因果和依存關系 形成一個整體 如果全面的保護仍然不能確保安全 這在現(xiàn)階段是必然的 就需要檢測來為響應創(chuàng)造條件 有效與充分地響應安全事件 將大大減少對保護和恢復的依賴 恢復能力是在其他措施均失準備的情形下的最后保障機制 返回本章首頁 3 網(wǎng)絡安全體系結構要使信息系統(tǒng)免受攻擊 關鍵要建立起安全防御體系 從信息的保密性 拓展到信息的完整性 信息的可用性 信息的可控性 信息的不可否認性等 為研究的方便 可以將其簡化為用三維框架表示的結構模型 其構成要素是安全特性 系統(tǒng)單元及開放互連參考模型結構層次 返回本章首頁 返回本章首頁 安全防御體系結構框架 上述框架模型是一個立體空間結構 突破了以往分散孤立地考慮安全問題的舊模式 是站在頂層從整體上對網(wǎng)絡安全進行分析和描述的 它把與網(wǎng)絡安全相關的物理 規(guī)章及人員等安全要素都容納其中 涉及系統(tǒng)保安和人員的行政管理等方面的各種法令 法規(guī) 條例和制度等也均在其考慮之列 返回本章首頁 在進行計算機網(wǎng)絡安全設計 規(guī)劃時 應遵循以下原則 需求 風險 代價平衡分析的原則綜合性 整體性原則一致性原則易操作性原則適應性 靈活性原則多重保護原則 返回本章首頁 任何安全保護措施都不是絕對安全的 都可能被攻破 為此需要構建全方位的安全體系 全方位的安全體系的主要內(nèi)容包括 訪問控制檢查安全漏洞攻擊監(jiān)控加密通訊認證備份和恢復 返回本章首頁 10 2網(wǎng)絡安全解決方案 1 網(wǎng)絡安全需求分析 1 網(wǎng)絡安全需求分析的基本原則網(wǎng)絡系統(tǒng)的安全性和易用性在很多時候是矛盾的 因此 在做安全需求分析時需要在其中找到一個恰當?shù)钠胶恻c 如果安全原則妨礙了系統(tǒng)應用 那么這個安全原則就不是一個好的原則 返回本章首頁 在做需求分析時需要確立的幾種意識 風險意識權衡意識相對意識集成意識 返回本章首頁 2 安全威脅分析企業(yè)網(wǎng)絡面臨的安全威脅主要來自以下方面 操作系統(tǒng)的安全性 防火墻的安全性 來自內(nèi)部網(wǎng)用戶的安全威脅 缺乏有效的手段監(jiān)視 評估網(wǎng)絡系統(tǒng)的安全性 返回本章首頁 采用的TCP IP協(xié)議族軟件 本身缺乏安全性 應用服務的安全性 未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java ActiveX控件進行有效控制 返回本章首頁 一套完整的網(wǎng)絡安全解決方案 應該根據(jù)目標網(wǎng)絡系統(tǒng)的具體特征和應用特點 有針對性地解決可能面臨的安全問題 具體來講 需要考慮的問題包括 關于物理安全的考慮關于數(shù)據(jù)安全的考慮數(shù)據(jù)備份的考慮防病毒的考慮關于操作系統(tǒng) 數(shù)據(jù)庫 應用系統(tǒng)的安全考慮 返回本章首頁 網(wǎng)絡系統(tǒng)安全結構的考慮通信系統(tǒng)安全的考慮關于口令安全的考慮關于軟件研發(fā)安全的考慮關于人員安全因素的考慮網(wǎng)絡相關設施的設置和改造安全設備的選型安全策略與安全管理保障機制的設計 返回本章首頁 網(wǎng)絡安全行政與法律保障體系的建立長期安全顧問服務服務的價格事件處理機制安全監(jiān)控網(wǎng)絡和安全監(jiān)控中心的建立安全培訓等 返回本章首頁 3 企業(yè)網(wǎng)絡的安全需求分析企業(yè)網(wǎng)絡的基本安全需求企業(yè)網(wǎng)絡內(nèi)部部署了眾多的網(wǎng)絡設備 服務器 保護這些設備的正常運行 維護主要業(yè)務系統(tǒng)的安全 是企業(yè)網(wǎng)絡的基本安全需求 返回本章首頁 業(yè)務系統(tǒng)的安全需求企業(yè)網(wǎng)絡應保障 訪問控制 確保業(yè)務系統(tǒng)不被非法訪問 數(shù)據(jù)安全 保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性 入侵檢測 能及時發(fā)現(xiàn) 記錄和跟蹤破壞業(yè)務系統(tǒng)的惡意行為 提供非法攻擊的證據(jù) 來自網(wǎng)絡內(nèi)部其他系統(tǒng)帶來的安全隱患 返回本章首頁 Internet服務網(wǎng)絡的安全需求Internet服務網(wǎng)絡安全需求是保護網(wǎng)絡不受破壞 確保網(wǎng)絡服務的可用性 Internet服務網(wǎng)絡分為兩個部分 提供網(wǎng)絡用戶對Internet的訪問提供Internet對網(wǎng)內(nèi)服務的訪問 返回本章首頁 作為信息網(wǎng)絡之間互聯(lián)的邊界安全應作為主要安全需求包括 保證信息網(wǎng)絡間安全互聯(lián) 能夠實現(xiàn)網(wǎng)絡安全隔離 對于專有應用的安全服務 必要的信息交互的可信任性 能夠提供對于主流網(wǎng)絡應用的良好支持 返回本章首頁 信息網(wǎng)絡公共資源能夠對開放用戶提供安全訪問 對網(wǎng)絡安全事件的審計 對于網(wǎng)絡安全狀態(tài)的量化評估 對網(wǎng)絡安全狀態(tài)的實時監(jiān)控 返回本章首頁 信息網(wǎng)絡內(nèi)部的安全需求 包括 信息網(wǎng)絡中的各單位網(wǎng)絡之間建立連接控制手段 能夠滿足信息網(wǎng)絡內(nèi)的授權用戶對相關專用網(wǎng)絡資源訪問 同時對于遠程訪問用戶增強安全管理 加強對于整個信息網(wǎng)絡資源和人員的安全管理與培訓 返回本章首頁 4 安全需求分析的一般過程 返回本章首頁 本節(jié)以某公司網(wǎng)絡為例 來介紹進行安全需求分析的一般過程 網(wǎng)絡拓撲結構如右圖所示 網(wǎng)絡系統(tǒng)的總體安全需求是建立在對網(wǎng)絡安全層次分析基礎上的 對于基于TCP IP協(xié)議的網(wǎng)絡系統(tǒng)來說 安全層次是與TCP IP協(xié)議層次相對應的 針對網(wǎng)絡的實際情況 可以將安全需求層次歸納為網(wǎng)絡層安全和應用層安全兩個技術層次 同時將在各層都涉及的安全管理部分單獨作為一部分進行分析 返回本章首頁 網(wǎng)絡層需求分析網(wǎng)絡層安全需求是保護網(wǎng)絡不受攻擊 確保網(wǎng)絡服務的可用性 能夠防范來自Internet的對提供服務的非法利用 防范來自Internet的網(wǎng)絡入侵和攻擊行為的發(fā)生 對于內(nèi)部網(wǎng)絡提供高于網(wǎng)絡邊界更高的安全保護 返回本章首頁 應用層需求分析應用層的安全需求是針對用戶和網(wǎng)絡應用資源的 主要包括 合法用戶可以以指定的方式訪問指定的信息 合法用戶不能以任何方式訪問不允許其訪問的信息 非法用戶不能訪問任何信息 用戶對任何信息的訪問都有記錄 返回本章首頁 安全管理需求分析能否制定一個統(tǒng)一的安全策略 在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全管理 對于企業(yè)網(wǎng)來說是至關重要的 安全管理主要包括三個方面 內(nèi)部安全管理網(wǎng)絡安全管理應用安全管理 返回本章首頁 2 網(wǎng)絡安全解決方案 1 網(wǎng)絡安全解決方案的層次劃分第一部分為法律 法規(guī)與管理手段第二部分為增強的用戶認證第三部分是授權第四部分是加密第五部分為審計 監(jiān)控和數(shù)據(jù)備份 返回本章首頁 在上述網(wǎng)絡和信息安全模型中 五個部分是相輔相成 缺一不可的 其中底層是上層保障的基礎 如果缺少下面各層次的安全保障 上一層的安全措施則無從說起 返回本章首頁 2 網(wǎng)絡安全解決方案 返回本章首頁 根據(jù)上述網(wǎng)絡安全解決方案的層次分析 可以設計出如圖所示的網(wǎng)絡安全解決方案 在總部網(wǎng)關位置配置CheckPointFirewall 1防火墻 劃分多安全區(qū)域 將內(nèi)網(wǎng) 對外發(fā)布的WebServer和電子商務網(wǎng)站放置在不同的網(wǎng)絡安全區(qū)域 在服務器區(qū)前放置CheckPointFirewall 1防火墻模塊 其他區(qū)域對服務器區(qū)的訪問必須經(jīng)過防火墻模塊的檢查 在中心交換機上配置基于網(wǎng)絡的IDS系統(tǒng) 監(jiān)控整個網(wǎng)絡內(nèi)的網(wǎng)絡流量 返回本章首頁 在服務器區(qū)內(nèi)的重要服務器 如Sybase數(shù)據(jù)庫服務器等 安裝基于主機的入侵檢測系統(tǒng) 對所有對數(shù)據(jù)庫服務器的訪問進行監(jiān)控 并對數(shù)據(jù)庫服務器的操作進行記錄和審計 將電子商務網(wǎng)站和進行公司普通Web發(fā)布服務器進行獨立配置 對電子商務網(wǎng)站的訪問將需要身份認證和加密傳輸 保證電子商務的安全性 返回本章首頁 在DMZ區(qū)的電子商務網(wǎng)站配置基于主機的入侵檢測系統(tǒng) 防止來自Internet對Http服務的攻擊行為 在公司總部安裝Spa統(tǒng)一認證服務器 對所有需要的認證進行統(tǒng)一管理 并根據(jù)客戶的安全級別設置所需要的認證方式 如靜態(tài)口令 動態(tài)口令 數(shù)字證書等 返回本章首頁 3 設備說明防火墻設備在本方案中選用的防火墻設備是CheckPointFireWall 1防火墻 FireWall 1功能特點有 對應用程序的廣泛支持集中管理下的分布式客戶機 服務器結構遠程網(wǎng)絡訪問的安全保障 FireWall 1SecuRemote 返回本章首頁 防病毒設備在本方案中防病毒設備選用的是趨勢科技的整體防病毒產(chǎn)品和解決方案 包括中央管理控制 服務器防病毒和客戶機防病毒三部分 返回本章首頁 入侵監(jiān)測設備在本方案中入侵監(jiān)測設備采用的是NFR入侵監(jiān)測設備 包括NFRNID和NFRHID NFR把基于網(wǎng)絡的入侵檢測技術NID和基于主機的入侵檢測技術HID完美地結合起來 構成了一個完整的 一致的實時入侵監(jiān)控體系 返回本章首頁 SPA身份認證設備本方案采用的身份認證設備是SecureComputing的SafeWord SafeWord具備分散式運作及無限制的可擴充特性 返回本章首頁 10 3單機用戶網(wǎng)絡安全解決方案 由于當前個人用戶使用Windows類操作系統(tǒng)的占大多數(shù) 因此本節(jié)所討論的單機用戶網(wǎng)絡安全解決方案主要是針對Windows系列操作系統(tǒng)的 單機上網(wǎng)用戶面臨的安全問題主要包括 返回本章首頁 計算機硬件設備的安全計算機病毒網(wǎng)絡蠕蟲惡意攻擊木馬程序網(wǎng)站惡意代碼操作系統(tǒng)和應用軟件漏洞等 返回本章首頁 1 Windows98安全解決方案 1 Windows98系統(tǒng)面臨的安全威脅Windows98系統(tǒng)的可控性和可管理性相對較差 從自身來講安全性不強 但同時來自于Internet上的安全威脅又相對較少 主要體現(xiàn)在 返回本章首頁 惡意網(wǎng)絡攻擊網(wǎng)絡共享漏洞惡意網(wǎng)站代碼不明來歷的包含病毒與木馬的應用程序惡意電子郵件攻擊等 返回本章首頁 其中電子郵件帶來的安全問題主要包括 電子郵件容易被截獲電子郵件客戶端軟件設計存在缺陷 返回本章首頁 2 Windows98安全解決方案根據(jù)以上的分析對Windows98系統(tǒng)的安全解決方案主要包括 防病毒與木馬防網(wǎng)絡攻擊防網(wǎng)站惡意代碼電子郵件安全 返回本章首頁 防病毒與木馬防病毒與木馬主要依賴于防病毒軟件 目前比較流行的有代表性的防病毒軟件有 NortonAnti Virus KasperskyAnti Virus 江民的KV系列 金山毒霸和瑞星等 防病毒軟件通常也具有一定防木馬的能力 專業(yè)的防木馬軟件有 木馬克星 Anti Trojan TrojanRemover等 安裝防病毒軟件絕對不是一勞永逸的 一定要養(yǎng)成定期更新病毒代碼庫的良好習慣 返回本章首頁 防網(wǎng)絡攻擊防網(wǎng)絡攻擊的有效手段是安裝個人防火墻 應用防火墻軟件最主要的是要設置好防火墻的規(guī)則 只有這樣才能正常發(fā)揮抵御網(wǎng)絡攻擊的能力 典型的個人防火墻軟件主要有 NortonInternetSecurity ZoneAlarmPro BlackIce 天網(wǎng)防火墻 個人版 綠色警戒等 返回本章首頁 防網(wǎng)站惡意代碼對于單機上網(wǎng)用戶來說 網(wǎng)站惡意代碼是威脅用戶安全的主要因素 為了防網(wǎng)站惡意代碼的危害 不讓其執(zhí)行是其中的關鍵 可以在IE瀏覽器的安全設置中禁止VBScript和JavaScript的執(zhí)行 此外 如今的防病毒軟件大多數(shù)也具有檢測并殺除網(wǎng)站惡意代碼的能力 返回本章首頁 電子郵件安全從技術上看 沒有任何辦法可以阻止攻擊者截獲需要在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包 保護電子郵件安全的唯一方法就是讓攻擊者截獲了數(shù)據(jù)包但無法閱讀它 即對電子郵件的內(nèi)容進行某種形式的加密處理 目前已經(jīng)出現(xiàn)了不少解決電子郵件安全問題的加密系統(tǒng)解決方案 其中最具代表性的是PGP加密系統(tǒng) 返回本章首頁 2 Windows2000 XP安全解決方案針對Windows98的安全措施對Windows2000 XP同樣有效 也是Windows2000 XP安全解決方案的重要組成部分 此外Windows2000 XP的可管理性比Windows98要強得多 本小節(jié)主要從安全管理和安全配置方面進行介紹 返回本章首頁 1 Windows2000 XP安全管理停用Guest帳號限制不必要的用戶數(shù)量創(chuàng)建2個管理員用帳號把系統(tǒng)administrator帳號改名創(chuàng)建一個陷阱帳號把共享文件的權限從 everyone 組改成 授權用戶 返回本章首頁 使用安全密碼設置屏幕保護密碼使用NTFS格式分區(qū)保障備份盤的安全 返回本章首頁 2 Windows2000安全配置利用win2000 XP的安全配置工具來配置策略關閉不必要的服務關閉不必要的端口打開審核策略開啟密碼策略開啟帳戶策略設定安全記錄的訪問權限 返回本章首頁 不讓系統(tǒng)顯示上次登陸的用戶名到微軟網(wǎng)站下載最新的補丁程序禁止建立空連接關閉默認共享禁止dumpfile的產(chǎn)生關機時清除掉頁面文件禁止從軟盤和CDRom啟動系統(tǒng)考慮使用智能卡來代替密碼慮使用IPSec 返回本章首頁 10 4內(nèi)部網(wǎng)絡安全管理制度 面對網(wǎng)絡安全的脆弱性 除在網(wǎng)絡設計上增加安全服務功能 完善系統(tǒng)的安全保密措施外 還必須花大力氣加強網(wǎng)絡的安全管理 下面提出有關信息系統(tǒng)安全管理的若