第13章 網(wǎng)絡(luò)安全

2023/2/41第13章網(wǎng)絡(luò)安全

本章的主要內(nèi)容解決網(wǎng)絡(luò)安全問(wèn)題的一般設(shè)計(jì)步驟；網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估介紹；網(wǎng)絡(luò)安全開發(fā)方案與過(guò)程；網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)——物理安全的概念；網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)——網(wǎng)絡(luò)安全的概念；網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)——信息安全的概念；網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)——數(shù)據(jù)存儲(chǔ)安全的概念。2023/2/42第13章網(wǎng)絡(luò)安全隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，全球信息化已成為人類社會(huì)發(fā)展的大趨勢(shì)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。2023/2/4313.1網(wǎng)絡(luò)安全設(shè)計(jì)過(guò)程解決網(wǎng)絡(luò)安全問(wèn)題的一般設(shè)計(jì)步驟如下：確定網(wǎng)絡(luò)資源；分析安全需求；評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)；制定安全策略；決定所需安全服務(wù)種類；選擇相應(yīng)安全機(jī)制；安全系統(tǒng)集成；測(cè)試安全性，定期審查；培訓(xùn)用戶、管理者和技術(shù)人員。2023/2/44進(jìn)行風(fēng)險(xiǎn)評(píng)估需要系統(tǒng)地考慮以下問(wèn)題：企業(yè)對(duì)外開放的程度及對(duì)黑客的吸引力有多大；安全故障可能造成的業(yè)務(wù)損失，包含由于信息和其他資產(chǎn)的保密性、完整性或可用性損失可能造成的后果；企業(yè)網(wǎng)絡(luò)互連網(wǎng)服務(wù)是否是必須的，這些服務(wù)的風(fēng)險(xiǎn)有多大；當(dāng)前主要的威脅和漏洞帶來(lái)的現(xiàn)實(shí)安全問(wèn)題，以及目前實(shí)施的控制措施。安全狀態(tài)評(píng)估通常采用5種方式來(lái)了解安全漏洞：對(duì)現(xiàn)有安全策略和制度進(jìn)行分析；13.1.1網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估2023/2/45參照一些通用的安全基線來(lái)考查系統(tǒng)安全狀態(tài)；利用安全掃描工具來(lái)發(fā)現(xiàn)一些技術(shù)性的常見(jiàn)漏洞；允許一些有經(jīng)驗(yàn)的人在監(jiān)管之下對(duì)特定的機(jī)密信息和區(qū)域做模擬入侵系統(tǒng)，以確定特定區(qū)域和信息的安全等級(jí)；對(duì)該系統(tǒng)的安全管理人員和使用者進(jìn)行訪談，以確定安全管理制度的執(zhí)行情況和漏洞。一般的風(fēng)險(xiǎn)評(píng)估可采用以下方法：遵循有關(guān)規(guī)定量化分析方法定性分析方法2023/2/46風(fēng)險(xiǎn)評(píng)估工具的種類：基于國(guó)家或政府頒布的信息安全管理標(biāo)準(zhǔn)或指南而建立風(fēng)險(xiǎn)評(píng)估工具，如CRAMM，RA等；基于專家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具，如COBRA，@RISK，BDSS等；基于定性或定量算法的風(fēng)險(xiǎn)分析工具，如CONTROL-IT，DefinitiveScenario，JANBER都是定性的風(fēng)險(xiǎn)評(píng)估工具，而@RISK，TheBuddySystem，RiskCALC，CORA（Cost-of-RiskAnalysis）是半定量（定性與定量方法相結(jié)合）的風(fēng)險(xiǎn)評(píng)估工具。2023/2/47根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制定相應(yīng)的安全策略安全策略的制定步驟對(duì)策略的評(píng)估開發(fā)安全策略的過(guò)程實(shí)現(xiàn)安全服務(wù)種類安全服務(wù)的一般分類安全服務(wù)在工程中的分類安全系統(tǒng)集成明確面臨的各種可能攻擊和風(fēng)險(xiǎn)；明確安全策略；建立安全模型；選擇并實(shí)現(xiàn)安全服務(wù)；將安全服務(wù)配置到具體協(xié)議里。13.1.2網(wǎng)絡(luò)安全開發(fā)與過(guò)程2023/2/4813.2網(wǎng)絡(luò)安全機(jī)制設(shè)計(jì)主要包括如下3個(gè)方面：環(huán)境安全設(shè)備安全媒體安全正常的防范措施主要有以下方面：對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理。本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制。對(duì)終端設(shè)備輻射的防范。13.2.1物理安全2023/2/49計(jì)算機(jī)系統(tǒng)安全防止未授權(quán)存取防止泄密防止用戶拒絕系統(tǒng)的管理防止丟失系統(tǒng)的完整性和正確性防火墻基本型防火墻13.2.2網(wǎng)絡(luò)安全2023/2/410復(fù)合型防火墻分布式防火墻設(shè)置防火墻的要素如下：網(wǎng)絡(luò)策略服務(wù)訪問(wèn)策略防火墻設(shè)計(jì)策略增強(qiáng)的認(rèn)證2023/2/411入侵檢測(cè)監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶行動(dòng)。選購(gòu)入侵檢測(cè)系統(tǒng)的考慮因素：入侵檢測(cè)系統(tǒng)的價(jià)格部署入侵檢測(cè)系統(tǒng)的環(huán)境入侵檢測(cè)系統(tǒng)的實(shí)際性能產(chǎn)品的可伸縮性產(chǎn)品的入侵響應(yīng)方式是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的測(cè)評(píng)2023/2/412網(wǎng)絡(luò)反病毒預(yù)防病毒技術(shù)檢測(cè)病毒技術(shù)殺毒技術(shù)病毒防治軟件安裝位置布署一種防病毒的實(shí)際操作一般包括的步驟：制定計(jì)劃：了解在所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。調(diào)查：選擇一種能滿足使用要求并且具備盡量多的各種功能的防病毒軟件。測(cè)試：在小范圍內(nèi)安裝和測(cè)試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。2023/2/413維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計(jì)的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫(kù)更新文件，在測(cè)試范圍內(nèi)進(jìn)行升級(jí)，徹底理解這種防病毒系統(tǒng)的重要特性。系統(tǒng)安裝：在測(cè)試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個(gè)網(wǎng)絡(luò)范圍內(nèi)。常用防病毒軟件網(wǎng)絡(luò)數(shù)據(jù)安全某