



付費(fèi)下載
下載本文檔
版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、 計(jì)算機(jī)網(wǎng)絡(luò)安全信息是當(dāng)今社會(huì)發(fā)展的重要資源,整個(gè)社會(huì)對(duì)信息的依賴程度越來(lái)越高。盡管個(gè)人、部門(mén)和整個(gè)企業(yè)都已認(rèn)識(shí)到信息的寶貴價(jià)值和私有性,但競(jìng)爭(zhēng)已迫使各機(jī)構(gòu)打破原有的界限,在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息,只有這樣才能縮短處理問(wèn)題的時(shí)間,并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而,在群件系統(tǒng)中共享的信息卻必須保證其安全性,以防止有意無(wú)意的破壞,因此,網(wǎng)絡(luò)安全成為一個(gè)重要的問(wèn)題。 通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用的全面了解,按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo),具體的安全控制系統(tǒng)可以可以分為:物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全等幾個(gè)方面。 1.1.物理安全保證計(jì)算機(jī)信息系統(tǒng)
2、各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的物理通路不被損壞、不被竊聽(tīng)以及不被攻擊和干擾等。它主要包括三個(gè)方面:環(huán)境安全、設(shè)備安全、媒體安全。正常的防范措施主要在三個(gè)方面:對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門(mén)進(jìn)行屏蔽處理,防止信號(hào)外泄;對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制;對(duì)終端設(shè)備輻射的防范。 1.2系統(tǒng)安全分為網(wǎng)絡(luò)結(jié)構(gòu)安全、操作系統(tǒng)安全、應(yīng)用系統(tǒng)安全。網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理、線路是否有冗余、路由是否冗余、防止單點(diǎn)失敗等。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略:盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的
3、應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制、加強(qiáng)口令字的使用,并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)等;通過(guò)配備安全掃描系統(tǒng)對(duì)操作系統(tǒng)進(jìn)行安全性掃描,及時(shí)發(fā)現(xiàn)安全漏洞,并有效地對(duì)其進(jìn)行重新配置或升級(jí)。在應(yīng)用系統(tǒng)安全上,應(yīng)用服務(wù)器盡量不要開(kāi)放一些沒(méi)有經(jīng)常用的協(xié)議及協(xié)議端口號(hào)、加強(qiáng)登錄身份認(rèn)證,確保用戶使用的合法性、并嚴(yán)格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對(duì)用戶所訪問(wèn)的信息做記錄,為事后審查提供依據(jù)。1.3網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是整個(gè)安全解決方案的關(guān)鍵,通過(guò)訪問(wèn)控制、通信保密、入侵檢測(cè)、網(wǎng)絡(luò)安全掃描系統(tǒng)、防病
4、毒分別進(jìn)行。隔離與訪問(wèn)控制可通過(guò)嚴(yán)格的管理制度、劃分虛擬子網(wǎng)(VLAN)、配備防火墻來(lái)進(jìn)行。內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)根據(jù)不同用戶安全級(jí)別或者根據(jù)不同部門(mén)的安全需求,利用三層交換機(jī)來(lái)劃分虛擬子網(wǎng)(VLAN),在沒(méi)有配置路由的情況下,不同虛擬子網(wǎng)間是不能夠互相訪問(wèn)。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。它通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問(wèn)控制;并且可以實(shí)現(xiàn)單向或雙向控制,對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問(wèn)控制。通信保密是使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式,而不是明文??梢赃x擇鏈路層加密和網(wǎng)絡(luò)層加密等方式。入侵檢測(cè)是根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出
5、網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄,并按制定的策略實(shí)行響應(yīng)(阻斷E、-報(bào)mail警)、,發(fā)從送而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器(網(wǎng)絡(luò)引擎)??刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為,根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽(tīng)不是過(guò)濾數(shù)據(jù)包,因此,入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。網(wǎng)絡(luò)掃描系統(tǒng)可以對(duì)網(wǎng)絡(luò)中所有部件站點(diǎn),防火墻,路由器,及相TCP/IP關(guān)協(xié)議服務(wù))進(jìn)行攻擊性掃描、分析和評(píng)估,發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,評(píng)估安全風(fēng)險(xiǎn),建議補(bǔ)救措施。病毒防護(hù)也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要
6、的環(huán)節(jié)之一,反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)。1.4應(yīng)用安全表現(xiàn)在內(nèi)部OA系統(tǒng)中資源共享和信息存儲(chǔ)等方面。嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用,在內(nèi)部子網(wǎng)中一般不要輕易開(kāi)放共享目錄,對(duì)有經(jīng)常交換信息需求的用戶,在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制,即只有通過(guò)口令的認(rèn)證才允許訪問(wèn)數(shù)據(jù)。對(duì)有涉及企業(yè)秘密信息的用戶主機(jī),使用者在應(yīng)用過(guò)程中應(yīng)該做到盡量少開(kāi)放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份,通過(guò)網(wǎng)絡(luò)備份系統(tǒng),可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程備份存儲(chǔ)。 1.5構(gòu)建 CA(CertificationAuthority)體系針對(duì)信息的安全性、完整性、正確性和不可否認(rèn)性等問(wèn)題,目
7、前國(guó)際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)。具體實(shí)現(xiàn)的辦法是使用數(shù)字證書(shū),通過(guò)數(shù)字證書(shū),把證書(shū)持有者的公開(kāi)密鑰(PublicKey)與用戶的身份信息緊密安全地結(jié)合起來(lái),以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。根據(jù)機(jī)構(gòu)本身的特點(diǎn),可以考濾先構(gòu)建一個(gè)本系統(tǒng)內(nèi)部的CA系統(tǒng),即所有的證書(shū)只能限定在本系統(tǒng)內(nèi)部使用有效。隨著需求的發(fā)展,可以對(duì)CA系統(tǒng)進(jìn)行擴(kuò)充,與國(guó)家級(jí)CA系統(tǒng)互聯(lián),實(shí)現(xiàn)不同企業(yè)間的交叉認(rèn)證。1.6安全管理通過(guò)制定健全的安全管理體制、構(gòu)建安全管理平臺(tái)、增強(qiáng)人員的安全防范意識(shí)來(lái)進(jìn)行。制定健全的安全管理體制是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證;各部門(mén)應(yīng)經(jīng)常對(duì)員工進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn),全面提高員工的整體
8、網(wǎng)絡(luò)安全防范意識(shí)。構(gòu)建安全管理平臺(tái)將會(huì)降彽很多因?yàn)闊o(wú)意的人為因素而造成的風(fēng)險(xiǎn),組建安全管理子網(wǎng),安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件,通過(guò)安全管理平臺(tái)實(shí)現(xiàn)全網(wǎng)的安全管理。2、網(wǎng)絡(luò)安全體系的建設(shè) 2.1安全體系設(shè)計(jì)原則 1).需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則:對(duì)任一網(wǎng)絡(luò)來(lái)說(shuō),絕對(duì)安全難以達(dá)到,也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡,價(jià)值僅1萬(wàn)元的信息如果用5萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Wo(hù)。2).綜
9、合性、整體性原則:運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全問(wèn)題,并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié),它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用,只有從系統(tǒng)綜合的整體角度去看待和分析,才可能獲得有效、可行的措施。 3).一致性原則:這主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上,在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策,比等網(wǎng)絡(luò)建設(shè)好后再考慮要容易,而且花費(fèi)也少得多。 4).易操作性原則:安全措施要由人來(lái)完成,如果措施過(guò)于復(fù)雜,對(duì)人的要求過(guò)高,本身就降低了安全性
10、。其次,采用的措施不能影響系統(tǒng)正常運(yùn)行。 5).適應(yīng)性、靈活性原則:安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改。6).多重保護(hù)原則:任何安全保護(hù)措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。2.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此,它的風(fēng)險(xiǎn)將來(lái)自對(duì)企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅,這些威脅可能造成總體功能的失效。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)依據(jù)。安全保
11、障不能完全基于思想教育或信任。而應(yīng)基于最低權(quán)限和相互監(jiān)督的法則,減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任他人或被他人信任的問(wèn)題,建立起完整的安全控制體系和保證體系。2.3網(wǎng)絡(luò)安全策略 執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定,認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性,才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。2.5網(wǎng)絡(luò)安全設(shè)計(jì) 由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來(lái)實(shí)現(xiàn),各個(gè)層的功能特性和安全特性也不同,因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性,抗干擾、防竊聽(tīng)將是物理層安全措施制定的重點(diǎn)。 在鏈路層,通過(guò)橋這一互連設(shè)備的監(jiān)視和控制作用,使我們可以建立一定程度的虛擬
12、局域網(wǎng),對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離,消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽(tīng)可能。 在網(wǎng)絡(luò)層,可通過(guò)對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來(lái)限制子網(wǎng)間的接點(diǎn)通信,通過(guò)對(duì)主機(jī)路由表的控制來(lái)控制與之直接通信的節(jié)點(diǎn)。同時(shí),利用網(wǎng)關(guān)的安全控制能力,可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù),并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制,網(wǎng)絡(luò)級(jí)別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門(mén)網(wǎng)、部門(mén)網(wǎng)/工作組網(wǎng)等,其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻,骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門(mén)網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。
13、增強(qiáng)網(wǎng)絡(luò)互連的分割和過(guò)濾控制,也可以大大提高安全保密性。在進(jìn)行網(wǎng)絡(luò)安全方案的產(chǎn)品選型時(shí),要求安全產(chǎn)品至少應(yīng)包含以下功能: 訪問(wèn)控制:通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。 檢查安全漏洞:通過(guò)對(duì)安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無(wú)效。 攻擊監(jiān)控:通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊并采取相應(yīng)的行動(dòng)(如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等)。加密通訊:主動(dòng)的加密通訊,可使攻擊者不能了解、修改敏感信息。認(rèn)證:良好的認(rèn)證體系可防止攻擊者假冒合法用戶。 備份和恢復(fù):良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息:使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 設(shè)立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控,保護(hù)及緊急情況服務(wù)。 3、小結(jié) 總之,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025至2030轉(zhuǎn)向臂起重機(jī)行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國(guó)自穿孔鉚釘行業(yè)市場(chǎng)占有率及投資前景評(píng)估規(guī)劃報(bào)告
- 2025至2030中國(guó)自助秤行業(yè)發(fā)展趨勢(shì)分析與未來(lái)投資戰(zhàn)略咨詢研究報(bào)告
- 2025至2030中國(guó)自動(dòng)視覺(jué)檢測(cè)系統(tǒng)行業(yè)市場(chǎng)占有率及投資前景評(píng)估規(guī)劃報(bào)告
- 2025至2030中國(guó)腕帶高爾夫GPS行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國(guó)腳輪上的患者升降平臺(tái)行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國(guó)胃腸病學(xué)設(shè)備行業(yè)市場(chǎng)深度研究及發(fā)展前景投資可行性分析報(bào)告
- 2025至2030中國(guó)腸內(nèi)飼管行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國(guó)聚苯醚(PPE)混合物和合金行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 2025至2030中國(guó)聚丙烯蜂窩行業(yè)產(chǎn)業(yè)運(yùn)行態(tài)勢(shì)及投資規(guī)劃深度研究報(bào)告
- 抖音技巧培訓(xùn)課件
- 職業(yè)規(guī)劃樂(lè)高老師課件
- 建設(shè)工程廣聯(lián)達(dá)算量標(biāo)準(zhǔn)化要求(內(nèi)部標(biāo)準(zhǔn))
- 檢驗(yàn)科溝通技巧及其它
- 2022年安徽大學(xué)科研助理(校聘)招聘60人筆試備考題庫(kù)及答案解析
- 四年級(jí)閱讀訓(xùn)練概括文章主要內(nèi)容(完美)
- YY/T 0995-2015人類輔助生殖技術(shù)用醫(yī)療器械術(shù)語(yǔ)和定義
- GB/T 19352.1-2003熱噴涂熱噴涂結(jié)構(gòu)的質(zhì)量要求第1部分:選擇和使用指南
- 智護(hù)訓(xùn)練講解學(xué)習(xí)課件
- 母乳喂養(yǎng)自我效能量表(BSES) (1)附有答案
- 2023年鹽城市阜寧縣人民醫(yī)院醫(yī)護(hù)人員招聘筆試題庫(kù)及答案解析
評(píng)論
0/150
提交評(píng)論