局域网安全与管理.ppt

局域网技术与组网工程,第七章 局域网安全与管理,，ZZTI All Right Reserved,主要内容,7.1 网络安全概述7.2 网络系统安全技术和网络安全产品7.3 安全管理7.4 局域网安全解决方案7.5 本章小结7.6 习题与实践,，ZZTI All Right Reserved,本章学习目标,掌握网络安全的概念、技术特征了解网络安全防范体系、安全技术评估标准了解常见网络安全技术和相关产品了解网络安全管理的概念、实现 了解局域网安全解决方案的设计,，ZZTI All Right Reserved,网络安全问题日益严峻,网络遭受攻击的可能情况,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.1 网络安全的概念计算机网络安全（Computer Network Security），简称网络安全，泛指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。,，ZZTI All Right Reserved,网络信息安全的内涵,在网络出现以前，信息安全指对信息的机密性、完整性和可获性的保护，即面向数据的安全。,互联网出现以后，信息安全除了上述概念以外，其内涵又扩展到面向用户的安全。,网络安全从其本质上讲就是网络上信息的安全，指网络系统的硬件、软件及其系统中的数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。,，ZZTI All Right Reserved,网络安全的内容,网络实体安全 主要指计算机机房的物理条件、物理环境及设施的安全标准；计算机硬件、附属设备及网络传输线路的安装及配置等。软件安全 主要是保护网络系统不被非法侵入、系统软件与应用软件不被非法复制、篡改等。数据安全 即保护数据不被非法存取，确保其完整性、一致性、机密性等。安全管理 是要保证运行时突发事件的安全处理等。,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.2 网络安全技术特征 网络安全具有五大特征，这些特征反映了网络安全的基本属性、要素与技术方面的重要特征。1保密性（confidentiality）2完整性（integrity）3可用性（availability）4可控性（controllability）5不可否认性（Non-repudiation）,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.3 网络安全防范体系1物理层安全（物理环境的安全性）通信线路的安全 主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）物理设备的安全 软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障等等。机房的安全2系统层安全（操作系统的安全性）网络内使用的操作系统的安全，主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。3网络层安全（网络的安全性）该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段和网络设施防病毒等。4应用层安全（应用的安全性）该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生5管理层安全（管理的安全性）安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.4 安全技术评估标准,1TCSEC标准 2欧洲ITSEC标准 3加拿大CTCPEC评价标准 4美国联邦准则FC 5联合公共准则CC标准 6BS7799标准 7我国有关网络信息安全的相关标准,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.4 安全技术评估标准,1TCSEC标准橘皮书(Trusted Computer System Evaluation CriteriaTCSEC)计算机系统安全评估的第一个正式标准，具有划时代的意义1970年，美国国防科学委员会提出，1985年由美国国防部公布TCSEC将计算机系统的安全划分为四个等级、七个安全级别(从低到高依次为D、C1、C2、B1、B2、B3和A级)每级包括它下级的所有特性，从最简单的系统安全特性直到最高级的计算机安全模型技术，不同计算机信息系统可以根据需要和可能选用不同安全保密程度的不同标准。D级和A级暂时不分子级。,，ZZTI All Right Reserved,网络信息安全等级与标准,1)D级D级是最低的安全形式，整个计算机是不信任的，只为文件和用户提供安全保护。D级系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据限制，任何人不需要任何账户就可以进入系统，不受任何限制就可以访问他人的数据文件。属于这个级别的操作系统有DOS、Windows 9x、Apple公司的Macintosh System 7.1。,，ZZTI All Right Reserved,网络信息安全等级与标准,2)C1级 C1级又称有选择地安全保护或称酌情安全保护(Discretionny Security Protection)系统，它要求系统硬件有一定的安全保护(如硬件有带锁装置，需要钥匙才能使用计算机)，用户在使用前必须登记到系统。另外，作为C1级保护的一部分，允许系统管理员为一些程序或数据设立访问许可权限等。它描述了一种典型的用在UNIX系统上的安全级别。这种级别的系统对硬件有某种程度的保护，但硬件受到损害的可能性仍然存在。用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对信息拥有什么样的访问权。,，ZZTI All Right Reserved,网络信息安全等级与标准,C1级保护的不足之处在于用户可以直接访问操纵系统的根目录。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走，他们可以控制系统配置，获取比系统管理员所允许的更高权限，如改变和控制用户名。,，ZZTI All Right Reserved,网络信息安全等级与标准,3)C2级 C2级又称访问控制保护，它针对C1级的不足之处增加了几个特性。C2级引进了访问控制环境(用户权限级别)的增加特性，该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份验证级别。另外，系统对发生的事情加以审计(Audit)，并写入日志当中，如什么时候开机，哪个用户在什么时候从哪里登录等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想强行闯入系统。审计可以记录下系统管理员执行的活动，审计还加有身份验证，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理器时间和磁盘资源。,，ZZTI All Right Reserved,网络信息安全等级与标准,使用附加身份认证就可以让一个C2系统用户在不是根用户的情况下有权执行系统管理任务。不要把这些身份认证和应用于程序的用户ID许可(SUID)设置和同组用户ID许可(SGID)设置相混淆，身份认证可以用来确定用户是否能够执行特定的命令或访问某些核心表。例如，当用户无权浏览进程表时，它若执行命令就只能看到它们自己的进程。授权分级指系统管理员能够给用户分组，授予他们访问某些程序的权限或访问分级目录的权限。能够达到C2级的常见的操作系统有UNIX系统、XENIX、Novell 3.x或更高版本、Windows NT和Windows 2000。,，ZZTI All Right Reserved,网络信息安全等级与标准,4)B1级 B级中有三个级别，B1级即标号安全保护(Labeled Security Protection)，是支持多级安全(如秘密和绝密)的第一个级别，这个级别说明一个处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。即在这一级别上，对象(如盘区和文件服务器目录)必须在访问控制之下，不允许拥有者更改它们的权限。B1级安全措施的计算机系统，随着操作系统而定。政府机构和系统安全承包商是B1级计算机系统的主要拥有者。,，ZZTI All Right Reserved,网络信息安全等级与标准,5)B2级B2级又叫做结构保护(Structured Protection)级别，它要求计算机系统中所有的对象都加标签，而且给设备(磁盘，磁带和终端)分配单个或多个安全级别。它提出了较高安全级别的对象与另一个较低安全级别的对象通信的第一个级别。6)B3级B3级又称安全域(Security Domain)级别，它使用安装硬件的方式来加强域。例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。,，ZZTI All Right Reserved,网络信息安全等级与标准,7)A级 A级也称为验证保护或验证设计(Verity Design)级别，是当前的最高级别，它包括一个严格的设计、控制和验证过程。与前面提到的各级别一样，这一级别包含了较低级别的所有特性。设计必须是从数学角度上经过验证的，而且必须进行秘密通道和可信任分布的分析。可信任分布(Trusted Distribution)的含义是硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。可信计算机安全评价标准主要考虑的安全问题大体上还局限于信息的保密性，随着计算机和网络技术的发展，对于目前的网络安全不能完全适用。,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.4 安全技术评估标准,2国外其他相关标准欧洲四国（英、法、德、荷）在吸收了TCSEC的成功经验基础上，于1989年联合提出了信息技术安全评价准则（Information Technology Security Evaluation Criteria，ITSEC），俗称欧洲的白皮书，其中，首次提出了信息安全的机密性、完整性、可用性的概念，把可信计算机的概念提高到可信信息技术的高度。之后，美国又联合以上诸国和加拿大，并会同国际标准化组织（ISO）共同提出通用安全评估准则（Command Criteria for IT Security Evaluation，CC），并于1991年宣布，1995年发布正式文件。CC已经被上述5个国家承认为代替TCSEC的评价安全信息系统的标准，且将发展成为国际标准。,，ZZTI All Right Reserved,7.1 网络安全概述,7.1.4 安全技术评估标准,3国内安全评估通用准则由公安部主持制定、国家技术标准局发布的中华人民共和国国家标准GB178951999计算机信息系统安全保护等级划分准则，将计算机安全保护划分为5个级别：用户自主保护级。系统审计保护级。安全标记保护级。结构化保护级。访问验证保护级。评估准则的制定为我们评估、开发、研究计算机系统的安全提供了指导准则。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,单一的网络安全技术和网络安全产品无法解决网络安全的全部问题网络安全需要从体系结构的角度，用系统工程的方法，根据联网环境及其应用的实际需要提出综合的安全解决方案。要实施一个完整的网络安全系统，至少应该包括三类措施：1社会的法律、法规以及企业的规章制度和安全教育等外部软件环境。2技术方面的措施，如修补和阻止网络漏洞、网络防毒、加密、认证以及防火墙技术。3审计和管理措施，这方面措施同时也包含了技术与社会措施。,上级网络,网间密码机,防火墙,防火墙,Web/mail公开服务器,入侵检测系统,涉密服务器,园区网服务器www/ftp/vod,用户安装防病毒软件,漏洞扫描,初识网络安全组件,某网络信息中心和园区网安全系统示意图,网络安全解决方案概述,1 在接入路由器内侧加装防火墙形成第一道安全屏障;在防火墙内侧关键点部署入侵检测系统，防护内、外网络攻击，构成第二道安全闸门；设置防病毒服务器，全网各主机安装防病毒系统；配置漏洞扫描系统，对全网内主机不定期进行漏洞扫描，堵塞入侵漏洞；用第二防火墙、涉密服务器隔离和控制对保密系统子网的访问；如有必要，可在接入路由器内/外侧加装密码机；安全管理：两级机构规章制度。,cisco3560,cisco2800,cisco2960,DMZ,MBSA,保密系统,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.1 密码与加密技术,1.密码技术的基本概念 加密和解密过程共同组成加密系统原始数据（也称为明文，plaintext）经过加密变换后而产生的数据称为密文（ciphertext）由明文变为密文的过程称为加密（Encryption），通常由加密算法来实现。将密文还原为原始明文的过程称为解密（Decryption），它是加密的反向处理，通常由解密算法来实现。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,2.常用加密技术,1）对称加密技术 2）非对称加密技术 3）单向加密技术 4）实用综合加密方法 5）无线网络加密技术,，ZZTI All Right Reserved,数据机密性保护,拨号服务器,PSTN,内部工作子网,下属机构,DDN/FRX.25专线,密文传输,明文传输,明文传输,，ZZTI All Right Reserved,数据完整性保护,内部工作子网,下属机构,DDN/FRX.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较，验证数据的完整性,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,3.实用加密方法及协议,（1）PGP（Pretty Good Privacy）：PGP是一种对电子邮件和文件进行加密与数字签名的方法（2）S/MIME：邮件加密两把锁：PGP和S/MIME（Secure Multipurpose Internet Mail Extensions，多用途网际邮件扩充协议）。主要功能就是身份的认证和传输数据的加密（3）SSL：SSL是Netscape公司所提出的安全保密协议，在浏览器和Web服务器之间构造安全通道来进行数据传输（4）HTTPS：HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议，由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果（5）SET：应用于Internet上的以银行卡为基础进行在线交易的安全标准，这就是“安全电子交易”（Secure Electronic Transaction，简称SET）。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.2 防火墙技术,防火墙是位于不同网络或网络安全域之间的一系列部件的组合，实现网络和信息安全的访问控制。防火墙的主要目的：判断IP，只让安全的IP数据通过；防止外部网络的危险 在内部网络蔓延。防火墙的定义 防火墙是指设置在被保护网络（内联子网或局域网）与公共网络（如因特网）或其他网络之间并位于被保护网络边界的、对进出被保护网络信息实施“通过阻断丢失”控制的硬件 状态包过滤和应用代理技术仍然是局域网防火墙市场的主流技术，但这两种技术正在融合。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.2 防火墙技术,部署防火墙企业网络拓扑图,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.2 防火墙技术,（1）以防火墙的软硬件形式分类软件防火墙：Checkpoint系列等 硬件防火墙：NetScreen、FortiNet和Cisco等 芯片级防火墙（2）以防火墙技术分类包过滤型应用代理型（3）以防火墙的体系结构分类单一主机防火墙路由器集成式防火墙分布式防火墙（4）以防火墙的性能分类百兆级防火墙千兆级防火墙,防火墙分类,，ZZTI All Right Reserved,防火墙的不足,防火墙性能有限：1防火墙不能防止内部攻击；2防火墙不能防止未经过防火墙的攻击；3防火墙不能完全防止 有病毒的软件的传送；4防火墙不易防止 数据驱动型（木马）攻击。,7.2 网络系统安全技术和网络安全产品,7.2.2 防火墙技术,，ZZTI All Right Reserved,身份认证的概念 身份认证（Identity and Authentication Management）是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。,7.2 网络系统安全技术和网络安全产品,7.2.3 身份认证与访问控制,认证和访问控制模型,，ZZTI All Right Reserved,身份认证技术方法（1）用户名/密码方式（2）IC卡认证（3）动态口令（4）生物特征认证（5）USB Key认证（6）CA认证,7.2 网络系统安全技术和网络安全产品,7.2.3 身份认证与访问控制,，ZZTI All Right Reserved,访问控制技术（1）概念：访问控制（Access Control）指对网络中的某些资源访问进行的控制，是在保障授权用户能够获得所需资源的同时拒绝非授权用户的安全机制（2）访问控制三要素 主体 客体 控制策略（3）访问控制的内容 认证 控制策略实现 安全审计（4）访问控制策略,7.2 网络系统安全技术和网络安全产品,7.2.3 身份认证与访问控制,，ZZTI All Right Reserved,访问控制技术（4）访问控制策略 入网访问控制 网络权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制策略 防火墙控制策略,7.2 网络系统安全技术和网络安全产品,7.2.3 身份认证与访问控制,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.4 漏洞扫描技术,漏洞扫描器部署图,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.4 漏洞扫描技术,1漏洞概念与分类 漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。入侵者可利用的漏洞大致分为三类：（1）网络传输和协议的漏洞。攻击者利用网络传输时对协议的信任以及网络传输的漏洞进入系统。（2）系统的漏洞。攻击者可以利用系统内部或服务进程的BUG和配置错误进行攻击。（3）管理的漏洞。攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息，包括口令、用户名等。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.4 漏洞扫描技术,2漏洞扫描技术分类（1）基于应用的检测技术（2）基于主机的检测技术（3）基于目标的漏洞检测技术（4）基于网络的检测技术（5）综合检测技术,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.4 漏洞扫描技术,3常用的漏洞扫描工具 网络扫描器 端口扫描器 Web应用程序扫描程序,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.5 入侵检测技术,入侵检测系统部署拓扑图,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.5 入侵检测技术,1入侵检测系统概念及功能 入侵检测系统（Intrusion-Detection System，下称“IDS”）IDS最早出现在1980年4月，James P.Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance的技术报告中提出了IDS的概念。入侵检测系统概念：入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的软件与硬件的组合系统。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.5 入侵检测技术,2入侵检测系统分类（1）根据采用的技术和检测原理分类 异常检测（Anormaly Detection）误用检测（Misuse Detection）特征检测（2）按照数据源分类 基于主机（Host-based）的入侵检测系统 基于网络（Netwok-based）的入侵检测系统 分布式入侵检测系统（3）按照工作方式分类 离线检测系统 在线检测系统,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.5 入侵检测技术,3常用的入侵检测工具 Cisco公司的NetRanger Netwok Associates公司的CyberCop Internet Security System公司的RealSecure 以及我国启明星晨产品和北方计算中心的NIDS detector等 在网络入侵检测系统中，有多个久负盛名的开放源码软件，它们是Snort、NFR、Shadow等，其中Snort的社区（http:/）非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.5 入侵检测技术,4选择入侵检测系统的要点（1）系统的价格（2）特征库升级与维护的费用（3）对于网络入侵检测系统，最大可处理流量（包/秒PPS）是多少。（4）产品效能及响应（5）产品的可伸缩性（6）运行与维护系统的开销（7）产品支持的入侵特征数（8）产品有哪些响应方法（9）是否通过了国家权威机构的评测,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.6 网络病毒防治技术,1病毒的概念 计算机病毒，英文名字Computer Viruses，简称CV 目前对于计算机病毒最流行的定义是：一段附着在其他程序上的可以实现自我繁殖的程序代码。计算机病毒可以从不同的角度分类 按其表现性质可分为良性的和恶性的 按激活的时间可分为定时的和随机的 按其入侵方式可分操作系统型病毒、原码病毒、外壳病毒、入侵病毒 按其是否有传染性又可分为不可传染性和可传染性病毒 按传染方式可分磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒和一般应用程序传染的计算机病毒 按其病毒攻击的机种分类，攻击微型计算机的，攻击小型机的，攻击工作站的。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.6 网络病毒防治技术,2单机环境下的网络病毒防治技术（1）用防毒软件保护电脑，及时升级防毒软件（2）不要打开不明来源的邮件（3）使用比较复杂的密码（4）使用防火墙，防止电脑受到来自互联网的攻击（5）不要让陌生用户连接到用户个人的计算机上（6）不使用互联网时及时断开连接（7）备份电脑数据（8）定期下载安全更新补丁（9）定期检查计算机（10）进行主要的防护工作。关注在线安全、了解和掌握计算机病毒的发作时间，并事先采取措施。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.6 网络病毒防治技术,3.网络环境下的网络病毒防治技术（1）企业网络体系结构（2）企业网络防病毒系统的主要功能需求 贯彻“层层设防，集中控管，以防为主，防治结合”的企业防毒策略。应用先进的“实时监控”技术，在“以防为主”的基础上，不给病毒入侵留下任何可乘之机。对新病毒的反应能力是考察一个防病毒软件好坏的重要方面。智能安装、远程识别。对现有资源的占用情况。,，ZZTI All Right Reserved,7.2 网络系统安全技术和网络安全产品,7.2.6 网络病毒防治技术,4.病毒防治软件产品(1)国外病毒防治产品 诺顿，NAV，网址 卡巴斯基，kaspersky，网址 McAfee防病毒，VirusScan，网址(2)国内病毒防治产品 瑞星，RAV，网址 金山毒霸，Kingsoft Anti-Virus，网址 江民，KV，网址 知名的国内杀毒软件还有安铁诺、光华、KILL（冠群金辰）、VRV（北信源）等，目前国产杀软在中国区单机客户端市场的总体份额为60%。,，ZZTI All Right Reserved,7.3 安全管理,7.3.1 安全管理的概念,1.安全管理（SM，Security Management），是以管理对象的安全为任务和目标所进行的各种管理活动。2.网络安全管理的具体目标大致上可以分为3个：了解网络和用户的行为 可对网络和系统的安全性进行评估 确保访问控制策略的实施 3.网络安全管理系统通常可包括个方面：1系统安全管理 2安全服务管理 3安全机制管理,，ZZTI All Right Reserved,7.3 安全管理,7.3.2 安全管理原则,1.多人负责原则。每项与安全有关的活动都必须有两人或多人负责，以进行相互监督和相互备份。2.任期有限原则。3.职责分离原则。对于涉及敏感数据处理的计算机系统安全管理，以下工作应分开进行：系统的操作和系统的开发机密资料的接收和传送安全管理和系统管理系统操作和备份管理,，ZZTI All Right Reserved,7.3 安全管理,7.3.3 安全管理的模型,1制定计划（Plan）。对每个阶段都应制定出具体的安全管理工作计划，明确责任、任务、确定工作进度、形成完整的安全管理工作文件。2落实执行（Do）。按照具体安全管理计划开展各项工作，包括建立权威的安全机构，落实必要的安全措施，开展全员的安全培训等。3检查效果（Check）。对上述安全管理的计划与执行工作，构建的信息安全管理体系进行认真的监督检查，并反馈报告具体的检查报告。4实施改进（Action）。根据检查的结果，对现有信息安全管理策略及方法进行评审、评估和总结，评价现有信息安全管理体系的有效性，采取相应的改进措施。,，ZZTI All Right Reserved,7.3 安全管理,7.3.4 网络安全管理解决方案,Perimeter eSecurity公司日前提出了网络管理员在2008年应该采用的八个网络安全解决方案：1实施全面的补丁管理。2实施员工熟悉安全培训。3采用基于主机的入侵防御系统。4进行网络、操作系统和应用层测试。5应用URL过滤。6集中进行台式电脑保护。7强制执行一个强大的政策管理系统。8采用一种信息发送管理解决方案。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.1 局域网安全方案框架,安全解决方案的框架主要有如下4个方面的内容：1安全风险概要分析2实际安全风险分析（1）网络风险和威胁分析（2）系统风险和威胁分析（3）应用分析和威胁分析3主要安全技术（1）防火墙（2）防病毒软件（3）身份认证（4）传输加密（5）入侵检测4风险评估5安全服务,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.1 局域网安全方案框架,安全解决方案的框架主要有如下4个方面的内容：5安全服务：（1）网络拓扑安全（2）系统安全加固（3）应用安全（4）灾难恢复（5）紧急相应（6）安全规范（7）服务体系和培训体系。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,案例描述 某高校局域网是校园网络，覆盖南区、北区和西区三个校区，网络上运行着各种信息管理系统，保存着大量的重要数据。为保证校园网的可靠性、可用性、完整性、保密性和真实性，该校园网的安全解决方案设计包括：1.校园网现状分析 2.安全风险概要分析 3.完整网络安全实施方案的设计 4.实施方案计划、技术支持和服务、项目安全产品 5.检测验收报告和安全技术培训。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,1校园网现状分析校园内网教学局域网图书馆局域网办公自动化局域网校园外网学校提供对外服务的服务器群与CERNET的接入以及远程移动办公用户的接入,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,2安全风险概要分析校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的安全风险：（1）各种操作系统以及应用系统自身的漏洞带来的安全风险。（2）Internet网络用户对校园网存在非法访问或恶意入侵的风险。（3）来自校园网内外的各种病毒的风险，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网。（4）内部用户对Internet的非法访问风险，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网。（5）内外网恶意用户可能利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用。（6）可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的风险。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,3完整网络安全实施方案的设计,校园网安全方案拓扑图,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,3完整网络安全实施方案的设计（1）物理层安全产品保障方面：产品采购、运输、安装等方面的安全措施。运行安全方面：网络系统中的各种设备，必须能够及时得到技术方面的服务，同时对关键的安全设备、重要的数据和系统，应设置备份应急系统。防电磁辐射方面：所有重要涉密的设备需要安装防电磁辐射产品，如辐射干扰机。保安方面：主要是防火、防盗等，还包括网络系统中所有网络设备、计算机、安全设备的安全防护。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,3完整网络安全实施方案的设计（2）网络结构的安全分析 多网络出口应用 划分安全子网（VLAN）加强网络边界的访问控制 防止内外的攻击威胁 定期的网络安全性检测实现持续安全 建立网络防病毒系统 建立VPN系统,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,3完整网络安全实施方案的设计（3）系统的安全分析 所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。系统层主要解决的是由于各种操作系统、数据库及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：a.采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口、安装杀毒软件等。b.采用主机访问控制手段加强对主机的访问控制。c.安装LINUX或UNIX系统做服务器，增加系统安全性能。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,3完整网络安全实施方案的设计（4）应用系统的安全分析 a.应用的安全性包括很多方面。应用系统的安全是动态的、不断变化的 应用的安全性涉及到信息、数据的安全性 b.本校园网设计中采用的安全措施主要有以下几点：各应用系统自身的加固 建立身份认证系统（实名制）建立安全审计系统 建立备份和恢复系统 建立日志访问系统,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,3完整网络安全实施方案的设计（5）管理的安全风险分析 实现管理层的安全主要注意以下几点：建立安全管理平台。建立、健全安全管理体制。提高全员的安全意识。,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,4实施方案与技术支持（1）安全实施方案 安全工程的实施也是一个系统化的过程，包含了很多领域的内容，如项目管理、项目质量保证等，需要认真、仔细地对待。最关键的一点是要保证安全工程的质量，避免重复建设和垃圾工程。为了保证安全工程的质量，有三个方面的工作必须得到重视：一是选择一个科学、合适的实施方案作为工程实施的指导；二是选择一个工程能力可靠的施工单位负责工程的建设；三是对工程实施的整个过程进行监理。（2）技术支持和服务（3）项目安全产品,，ZZTI All Right Reserved,7.4 局域网安全解决方案,7.4.2 局域网安全案例,5检测验收报告和安全技术培训（1）项目检测报告。项目检测报告通常由一个中立的、具有较高的安全检测评价资格的第三方检测机构，根据初步实施完成的网络安全架构进行安全扫描和检测后给出。该报告将作为网络安全工程项目的检测评价、检查验收和安全管理的重要依据。（2）安全技术培训。安全技术培训包括对管理人员的安全培训、安全技术基础培训、安全攻防技术培训、系统安全管理培训和安全产品的培训等,，ZZTI All Right Reserved,7.5 本章小结,网络的安全问题包含网络的系统安全和网络的信息安全两方面的内容，网络安全，泛指网络系统的硬件、软件及其系统中的数据受到保护，网络服务不中断。网络安全具有保密性、完整性、可用性、可控性和不可否认性五个技术特征，网络安全防范体系包括物理层安全、系统层安全、网络层安全、应用层安全和安全管理五个层次。常见的安全技术评估标准有美国的TCSEC、通用安全评估准则CC、国内安全评估通用准则。网络安全技术是保证网络安全的重要保障，常见的网络安全技术包括密码与加密技术、防火墙技术、身份认证与访问控制、漏洞扫描技术、入侵检测技术和网络防病毒技术等。而安全管理则是网络信息安全保障体系中另外一个重要的方面。局域网的安全解决方案在网络安全威胁无处不在的今天显得尤为重要。一个完整的局域网安全解决方案包括安全风险概要分析、实际安全风险分析、主要安全技术、风险评估、安全服务等多个方面，各种技术和管理的综合运用是保障局域网安全的重要手段。,，ZZTI All Right Reserved,7.6 习题与实践,1.填空题（1）计算机网络安全是一门涉及、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。（2）网络安全从内容上看，包括、和安全管理4个方面。（3）TCSEC可信计算机系统评估标准将计算机系统的安全划分为、和 4个等级和7个级别。（4）在加密系统中，原有的信息称为，由 变为 的过程称为加密，由 还原成 的过程称为解密。（5）常用的加密方法有、和 4种。（6）以防火墙的软硬件形式分类，防火墙可分为 防火墙、硬件防火墙以及 防火墙；以防火墙技术分类，防火墙可分为 防火墙和 防火墙。,，ZZTI All Right Reserved,7.6 习题与实践,（7）访问控制包括3个要素，即、和。访问控制的内容包括、和 3个方面。（8）漏洞是指硬件、软件或者 上存在的安全缺陷。入侵者可利用的漏洞大致分为3类，网络传输和协议的漏洞、的漏洞和 的漏洞。（9）计算机病毒最流行的定义是：。计算机病毒一般具有、和 4个特性。,，ZZTI