網(wǎng)絡(luò)安全技術(shù)概述-韓山師范學(xué)院網(wǎng)絡(luò)教學(xué)平臺課件

1、韓山師院網(wǎng)絡(luò)與教育技術(shù)中心網(wǎng)絡(luò)安全技術(shù)概述內(nèi)容提要網(wǎng)絡(luò)安全概述可使用的安全技術(shù)網(wǎng)絡(luò)安全防范策略建議和忠告網(wǎng)絡(luò)安全建設(shè)案例據(jù)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國金融時報(bào)報(bào)道，世界上平均每20秒就發(fā)生一次入侵國際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，三分之一的防火墻被突破。 美國聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆 塞特爾稱：給我精選10名 “黑客” ，組成個小組，90天內(nèi)，我將使美國趴下。超過50%的攻擊來自內(nèi)部，其次是黑客。網(wǎng)絡(luò)安全事件的報(bào)導(dǎo)操作系統(tǒng)本身的安全漏洞防火墻存在安全缺陷和規(guī)則配置不合理來自內(nèi)部網(wǎng)用戶的安全威脅缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性TCP/IP協(xié)議族軟件本

2、身缺乏安全性電子郵件病毒、Web頁面中存在惡意的Java/ActiveX控件應(yīng)用服務(wù)的訪問控制、安全設(shè)計(jì)存在漏洞線路竊聽。指利用通信介質(zhì)的電磁泄漏或搭線竊聽等手段獲取非法信息網(wǎng)絡(luò)中存在的安全威脅網(wǎng)絡(luò)設(shè)備種類繁多當(dāng)前使用的有各種各樣的網(wǎng)絡(luò)設(shè)備，從Windows NT和UNIX 服務(wù)器到防火墻、路由器和Web服務(wù)器,每種設(shè)備均有其獨(dú)特的安全狀況和保密功能；訪問方式的多樣化一般來說,網(wǎng)絡(luò)環(huán)境存在多種進(jìn)出方式,許多拔號登錄點(diǎn)以及新的Internet訪問方式可能會使安全策略的設(shè)立復(fù)雜化；網(wǎng)絡(luò)的不斷變化網(wǎng)絡(luò)不是靜態(tài)的,一直都處于發(fā)展變化中。啟用新的硬件設(shè)備和操作系統(tǒng),實(shí)施新的應(yīng)用程序和Web服務(wù)器時,安全

3、配置也有不同；用戶安全專業(yè)知識的缺乏許多組織所擁有的對網(wǎng)絡(luò)進(jìn)行有效保護(hù)的保安專業(yè)知識十分有限,這實(shí)際上是造成安全漏洞最為主要的一點(diǎn)。 網(wǎng)絡(luò)存在的安全漏洞的原因相對性只有相對的安全，沒有絕對的安全系統(tǒng)安全性在系統(tǒng)的不同部件間可以轉(zhuǎn)移網(wǎng)絡(luò)安全的特征時效性新的漏洞與攻擊方法不斷發(fā)現(xiàn)（Windows 2000業(yè)發(fā)現(xiàn)很多漏洞,針對Outlook的病毒攻擊非常普遍)配置相關(guān)性日常管理中的不同配置會引入新的問題（安全測評只證明特定環(huán)境與特定配置下的安全）新的系統(tǒng)部件會引入新的問題(新的設(shè)備的引入、防火墻配置的修改)攻擊的不確定性攻擊發(fā)起的時間、攻擊者、攻擊目標(biāo)和攻擊發(fā)起的地點(diǎn)都具有不確定性復(fù)雜性網(wǎng)絡(luò)安全是一

4、項(xiàng)系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及到安全管理、教育、培訓(xùn)、立法、國際合作與互不侵犯協(xié)定、應(yīng)急反應(yīng)等網(wǎng)絡(luò)安全的特征(續(xù))層次一：物理環(huán)境的安全性（物理層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）層次四：應(yīng)用的安全性（應(yīng)用層安全）層次五：管理的安全性（管理層安全） 網(wǎng)絡(luò)安全的層次架構(gòu)安全策略安全管理安全評估整體安全技術(shù)因素?cái)?shù)據(jù)鏈路安全網(wǎng)絡(luò)安全物理安全操作系統(tǒng)平臺的安全性應(yīng)用平臺的安全性應(yīng)用數(shù)據(jù)安全 網(wǎng)絡(luò)安全概述可使用的安全技術(shù)網(wǎng)絡(luò)安全防范策略建議和忠告網(wǎng)絡(luò)安全建設(shè)案例防火墻技術(shù)最初含義：當(dāng)房屋還處于木制結(jié)構(gòu)的時侯，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)

5、生。這種墻被稱之為防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域（公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)）之間的軟件或硬件設(shè)備的組合，它是不同網(wǎng)絡(luò)間的唯一出入口，能根據(jù)預(yù)先制定的安全策略（允許、拒絕、監(jiān)測）來控制出入網(wǎng)絡(luò)的信息流，防止對重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。Internet1. 企業(yè)內(nèi)聯(lián)網(wǎng)2. 部門子網(wǎng)3. 分公司網(wǎng)絡(luò)防火墻示意圖防火墻的功能應(yīng)用程序代理包過濾&狀態(tài)檢測用戶認(rèn)證NATVPN日志IDS與報(bào)警內(nèi)容過濾防火墻允許網(wǎng)絡(luò)管理員定義一個中心“扼制點(diǎn)”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種

6、路線的攻擊。防火墻能夠簡化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。網(wǎng)絡(luò)管理員可以記錄、審計(jì)所有通過防火墻的重要信息，并及時響應(yīng)報(bào)警。防火墻可以作為部署NAT(Network Address Translator網(wǎng)絡(luò)地址轉(zhuǎn)換）的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機(jī)構(gòu)在變換ISP時帶來的重新編址的麻煩。防火墻是審計(jì)和記錄Internet使用量的一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸的位置，并能夠根據(jù)機(jī)構(gòu)的核算模式提供部門級的記

7、費(fèi)。防火墻也可以成為向客戶發(fā)布信息的地點(diǎn)。防火墻作為部署WWW服務(wù)器和FTP服務(wù)器的地點(diǎn)非常理想。還可以對防火墻進(jìn)行配置，允許Internet訪問上述服務(wù)，而禁止外部對受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問。防火墻的用途Internet/公網(wǎng)內(nèi)部網(wǎng)路由器NEsec300 FW2035968?告警內(nèi)網(wǎng)接口外網(wǎng)接口電源控制臺服務(wù)器服務(wù)器服務(wù)器主機(jī)主機(jī)內(nèi)外網(wǎng)絡(luò)隔離 截取IP包，根據(jù)安全策略控制其進(jìn)/出 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） 基于一次性口令對移動訪問進(jìn)行身份識別和控制 IPMAC捆綁，防止IP地址的濫用安全記錄 通信事件記錄 操作事件記錄 違規(guī)事件記錄 異常情況告警移動用戶撥號用戶局域網(wǎng)用戶（內(nèi)部地址

8、）（內(nèi)部地址）防火墻的局限性 防火墻不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全策略中的一個組成部分。防火墻不能防范繞過防火墻的攻擊，例:內(nèi)部提供撥號服務(wù)防火墻不能防范來自內(nèi)部人員惡意的攻擊防火墻不能阻止病毒、木馬的攻擊 防火墻造成單點(diǎn)故障防火墻技術(shù)與產(chǎn)品的發(fā)展防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為最甚。 Internet的迅猛發(fā)展，使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起，很快形成了一個產(chǎn)業(yè)：據(jù)不完全統(tǒng)計(jì)，在國際上防火墻產(chǎn)品銷售從1995年的不到1萬套， 猛增到1997年底的1

9、0萬套。據(jù)國際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測,防火墻市場將以173的復(fù)合增長率增長，到2000年將達(dá)150萬套，市場營業(yè)額將從1995年的1.6億美元上升到2000年的9.8億美元。防火墻技術(shù)的發(fā)展趨勢 從目前對專網(wǎng)管理的方式，向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展； 過濾深度不斷加強(qiáng)，從目前的地址過濾、服務(wù)過濾，發(fā)展到頁面過濾(WEB)、關(guān)鍵字過濾（BBS）及對ActiveX/Java等的過濾； 用防火墻建立VPN，IP加密越來越強(qiáng)； 對攻擊的檢測和告警將成為重要功能； 附加安全管理工具（如日志分析）。如何選擇防火墻產(chǎn)品 選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條： 易于管理性數(shù)據(jù)包處理速度帶寬控制操作環(huán)境

10、和硬件要求VPN功能與IDS功能接口的數(shù)量可擴(kuò)充性升級能力成本路由器HTTP服務(wù)器DNS服務(wù)器Email服務(wù)器防火墻DMZ區(qū)內(nèi)部專用網(wǎng)絡(luò)InternetDDNPSTNATMISDNX.25幀中繼防火墻管理器外部網(wǎng)絡(luò)防火墻配置案例一防火墻防火墻管理工作站分支機(jī)構(gòu)受保護(hù)局域網(wǎng)防火墻防火墻資源子網(wǎng)路由器路由器路由器分支機(jī)構(gòu)受保護(hù)局域網(wǎng)公共網(wǎng)絡(luò)總部路由器路由器防火墻配置案例二防火墻配置案例三入侵檢測系統(tǒng)入侵（intrusion），是指任何企圖危及信息和資源的機(jī)密性、完整性和可用性的活動。入侵檢測（Intrusion Detection），是指對入侵行為的發(fā)現(xiàn)，它通過在計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵

11、點(diǎn)收集信息并對收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（Intrusion Detection System，IDS）：完成入侵檢測功能的軟件、硬件組合。入侵檢測系統(tǒng)的作用實(shí)時檢測 實(shí)時捕獲、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，檢測出其中帶有惡意信息的數(shù)據(jù)包安全審計(jì) 通過對網(wǎng)絡(luò)事件的統(tǒng)計(jì)和分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。 確保網(wǎng)絡(luò)的安全，就要對網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時的檢測，這就需要IDS無時不在的防護(hù)。為什么要使用入侵檢測系統(tǒng)入侵和攻擊不斷增多網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大網(wǎng)絡(luò)用戶不斷增加黑客水平不斷提高現(xiàn)有的安全產(chǎn)品不能完成全部的安全防

12、護(hù)任務(wù)防火墻、加解密、物理隔離、身份認(rèn)證等：被動防御入侵檢測系統(tǒng)：主動防御 入侵檢測系統(tǒng)的分類基于主機(jī)的IDS保護(hù)網(wǎng)絡(luò)中比較重要的主機(jī) 信息源：操作系統(tǒng)審計(jì)跡和系統(tǒng)日志優(yōu)點(diǎn)：視野集中，能夠相對精確地分析入侵活動； 對網(wǎng)絡(luò)流量不敏感； 缺點(diǎn)：占用系統(tǒng)資源； 缺乏跨平臺支持，可移植性差； 基于網(wǎng)絡(luò)的IDS側(cè)重于監(jiān)視和保護(hù)網(wǎng)絡(luò)信息源：網(wǎng)絡(luò)數(shù)據(jù)包 優(yōu)點(diǎn)：對系統(tǒng)資源的占用比較少；實(shí)時檢測和響應(yīng)；缺點(diǎn)：精確度不高，漏報(bào)、誤報(bào)多；難以定位入侵者； IntranetIDS AgentIDS AgentFirewallInternetServersDMZIDS Agent監(jiān)控中心router網(wǎng)絡(luò)IDS典型部署

13、FirewallInternetServersDMZIDS AgentIntranetIDS Agent監(jiān)控中心router攻擊者攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警網(wǎng)絡(luò)IDS阻斷攻擊示意圖入侵檢測產(chǎn)品的選購攻擊檢測的規(guī)則庫的大小和檢測的準(zhǔn)確程度；入侵檢測系統(tǒng)的檢測速度；是否有完整網(wǎng)絡(luò)審計(jì)、網(wǎng)絡(luò)事件記錄和全面的網(wǎng)絡(luò)信息收集功能；是否集成網(wǎng)絡(luò)分析和管理的輔助工具，如掃描器、嗅探器等；是否自帶數(shù)據(jù)庫，不需第三方數(shù)據(jù)源，數(shù)據(jù)是否可自動維護(hù)；互操作性如何，是否可和防火墻聯(lián)動；自身安全性和隱蔽性如何 加密傳輸分類鏈路加密（鏈路加密機(jī)）網(wǎng)絡(luò)層加密（IPSec VPN）傳輸層加密（SSL）應(yīng)用層加密（針對

14、具體應(yīng)用）優(yōu)點(diǎn)不能被竊聽和中途修改不能被中途劫持缺點(diǎn)實(shí)施和管理成本較高在一些應(yīng)用上效率較低加密傳輸技術(shù)漏洞掃描系統(tǒng)是專用的安全漏洞掃描工具?？煽焖賴?yán)格地檢測操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置，識別安全隱患，評測安全風(fēng)險(xiǎn)，提供安全建議和改進(jìn)措施，幫助安全管理員控制可能發(fā)生的安全事件，最大可能地消除安全隱患。 漏洞掃描分類網(wǎng)絡(luò)安全掃描系統(tǒng)安全掃描優(yōu)點(diǎn)較全面檢測流行漏洞降低安全審計(jì)人員的勞動強(qiáng)度防止最嚴(yán)重的安全問題缺點(diǎn)無法跟上安全技術(shù)的發(fā)展速度只能提供報(bào)告，無法實(shí)際解決可能出現(xiàn)漏報(bào)和誤報(bào)漏洞掃描市場部工程部router開發(fā)部InternetServersFirewall安全掃描的使用 為堵死安全

15、策略和安全措施之間的缺口,必須從以下三方面對網(wǎng)絡(luò)安全狀況進(jìn)行評估:從企業(yè)外部進(jìn)行評估:考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻;從企業(yè)內(nèi)部進(jìn)行評估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī);從應(yīng)用系統(tǒng)進(jìn)行評估:考察每臺硬件設(shè)備上運(yùn)行的操作系統(tǒng)。 從哪些方面進(jìn)行安全評估 操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件系統(tǒng)以及一些網(wǎng)絡(luò)設(shè)備系統(tǒng)均不同程度存在一些安全漏洞和一些未知的“后門”，這些漏洞和后門是黑客攻擊得手的關(guān)鍵因素。因此，確保操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)安全，對服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固是非常重要的。 系統(tǒng)安全加固關(guān)閉不必要、不常用的服務(wù)和端口，慎重開放比較敏感的端口；及時對系統(tǒng)升級或安裝相應(yīng)的系統(tǒng)安全補(bǔ)丁； 強(qiáng)化系統(tǒng)中各種密碼

16、的設(shè)置與管理，對一些保存有用戶信息及其口令的關(guān)鍵文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制，防止對系統(tǒng)的非法訪問；加強(qiáng)日志管理和審計(jì)工作，開啟操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志管理功能，并定期對日志文件進(jìn)行審計(jì)。系統(tǒng)安全加固措施分類使用產(chǎn)品利用系統(tǒng)本身設(shè)置優(yōu)點(diǎn)增強(qiáng)系統(tǒng)的的抗攻擊性較大的提高系統(tǒng)本身安全和審計(jì)能力缺點(diǎn)目前不便于普遍的實(shí)施系統(tǒng)易用性會下降，管理成本上升系統(tǒng)安全加固 網(wǎng)絡(luò)應(yīng)用迅速發(fā)展和擴(kuò)充在帶來方便性的同時，也帶來了許多嚴(yán)重的安全問題，不僅僅是各種網(wǎng)絡(luò)

17、攻擊行為會破壞網(wǎng)絡(luò)信息系統(tǒng)的正常運(yùn)行。濫用內(nèi)部網(wǎng)絡(luò)資源，泄漏內(nèi)部信息等現(xiàn)象也非常嚴(yán)重，傳遞和發(fā)布非法信息，不僅影響正常的工作秩序，甚至?xí)斐梢欢ǖ恼魏蜕鐣绊?。加?qiáng)安全審計(jì)，不僅是及時和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，確定和追蹤攻擊來源提供有力證據(jù)，重要的是加強(qiáng)對內(nèi)部人員網(wǎng)絡(luò)行為的審計(jì)，防止濫用網(wǎng)絡(luò)資源和非授權(quán)訪問。網(wǎng)絡(luò)審計(jì)數(shù)據(jù)庫審計(jì) 安全審計(jì) 網(wǎng)絡(luò)審計(jì)系統(tǒng)通過對各種應(yīng)用協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析、剝離、恢復(fù)，判斷網(wǎng)絡(luò)違規(guī)訪問行為的發(fā)生，能夠?qū)崿F(xiàn)對FTP協(xié)議傳送文件、SMTP協(xié)議發(fā)送郵件、POP3協(xié)議接收郵件、HTTP協(xié)議遠(yuǎn)程瀏覽（WEB）、TELNET協(xié)議（BBS）、UDP協(xié)議通訊的監(jiān)控，能夠?qū)ξ募鬏?、發(fā)

18、送和接收的郵件內(nèi)容、遠(yuǎn)程登錄過程等進(jìn)行真實(shí)的恢復(fù)，具有強(qiáng)大的統(tǒng)計(jì)、分析和報(bào)表功能，管理員能夠清楚的知道網(wǎng)絡(luò)上正在發(fā)生的各種事件，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)信息交換的全方位監(jiān)控，從而實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)全面的控制和有效的管理。 網(wǎng)絡(luò)審計(jì) 數(shù)據(jù)庫審計(jì)系統(tǒng)從數(shù)據(jù)庫訪問操作入手，對特定的數(shù)據(jù)庫遠(yuǎn)程連接數(shù)據(jù)包進(jìn)行語法分析，從而審計(jì)對數(shù)據(jù)庫中的哪些數(shù)據(jù)進(jìn)行操作，可以對特定的數(shù)據(jù)操作制定規(guī)則，產(chǎn)生報(bào)警事件。 數(shù)據(jù)庫審計(jì)通過安全審計(jì)系統(tǒng)，管理員可以監(jiān)視所有的連接及登錄信息、用戶發(fā)出的命令、系統(tǒng)返回的數(shù)據(jù)、交換文件信息等，從而可以清楚的了解內(nèi)部網(wǎng)絡(luò)的通信情況和信息交換狀況，為追查網(wǎng)上違規(guī)行為提供了技術(shù)保證。 安全審計(jì)小結(jié)分類生物

19、特征：指紋、虹膜智能卡：IC、Token/USB Key一次性口令方式：基于時間同步、基于事件同步認(rèn)證協(xié)議：CHAP、Radius、TACACS、LDAP、CA（SSL、SSH、IKE、自定制）單點(diǎn)登陸：通過認(rèn)證授權(quán)服務(wù)器優(yōu)點(diǎn)很好的解決口令泄漏的問題便于實(shí)施統(tǒng)一的口令管理認(rèn)證技術(shù) 建立可靠的容災(zāi)備份系統(tǒng)，可以確保在本地出現(xiàn)意外事件甚至災(zāi)難時，如主機(jī)發(fā)生故障、數(shù)據(jù)丟失等現(xiàn)象發(fā)生時，可在可控的時間內(nèi)對業(yè)務(wù)系統(tǒng)進(jìn)行恢復(fù)，以保證網(wǎng)絡(luò)服務(wù)的順利進(jìn)行。 備份與容災(zāi) 設(shè)備備份主要是為了防止因設(shè)備損壞造成網(wǎng)絡(luò)中斷，保證網(wǎng)絡(luò)系統(tǒng)的高可靠性和高可用性。設(shè)備備份一般通過設(shè)備冗余、部件冗余來實(shí)現(xiàn)。 1、網(wǎng)絡(luò)設(shè)備備份：

20、對骨干交換機(jī)和接入路由器采用冷備，防止當(dāng)一臺出現(xiàn)故障時，可采用人工方式進(jìn)行快速恢復(fù)，保證網(wǎng)絡(luò)連接暢通。也可以作熱備和雙機(jī)容錯處理，以保障核心網(wǎng)絡(luò)設(shè)備能夠不間斷運(yùn)行。 2、服務(wù)器備份：對重要的服務(wù)器進(jìn)行雙機(jī)熱備，當(dāng)主設(shè)備發(fā)生故障時，能夠自動快速的切換到備份設(shè)備，確保整個系統(tǒng)正常運(yùn)行。 3、防火墻備份：對防火墻進(jìn)行雙機(jī)熱備，保證不會對正常業(yè)務(wù)造成影響。還可以冷備份一些防火墻，對其中防火墻出現(xiàn)故障時，及時用冷備的防火墻替換。 設(shè)備備份 隨著計(jì)算機(jī)存儲信息量的不斷增長，數(shù)據(jù)備份和災(zāi)難恢復(fù)就成為引人關(guān)注的話題。數(shù)據(jù)備份恢復(fù)主要是為了防止因意外或受攻擊時造成系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)丟失、損毀，保證數(shù)據(jù)的安全、可

21、靠、準(zhǔn)確。目前數(shù)據(jù)備份管理已經(jīng)在網(wǎng)絡(luò)系統(tǒng)管理中占有非常重要的地位。一般來說，各種操作系統(tǒng)所附帶的備份程序都有著這樣或那樣的缺陷，若想對數(shù)據(jù)進(jìn)行可靠的備份及管理，必須選擇專門的備份軟、硬件，并制定相應(yīng)的備份管理及恢復(fù)方案。如果每一臺服務(wù)器或每一個局域網(wǎng)絡(luò)都配置了數(shù)據(jù)備份設(shè)備以及相應(yīng)的備份軟件，那么無論網(wǎng)絡(luò)硬件還是軟件出了問題，都能夠很輕松地恢復(fù)，保證系統(tǒng)的正常運(yùn)行。數(shù)據(jù)備份 通過部署備份服務(wù)器、磁帶庫和專業(yè)備份恢復(fù)軟件來實(shí)現(xiàn)對數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器和重要的應(yīng)用服務(wù)器的系統(tǒng)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的高效全自動備份和災(zāi)難恢復(fù)。 數(shù)據(jù)備份的部署 利用假日或晚上系統(tǒng)相對空閑的時間，對重要數(shù)據(jù)每周進(jìn)行一次全備份，每天進(jìn)行差分備份；對非重要數(shù)據(jù)每月進(jìn)行一次全備份，每個星期進(jìn)行一次增量或差分備份；同時每月采用光盤備份方式對所有數(shù)據(jù)冷備份兩份，其中一份異地保存，以防止本地備份數(shù)據(jù)意外損壞。 數(shù)據(jù)備份策略網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全防范策略建議和忠告可使用的安全技術(shù)網(wǎng)絡(luò)安全建設(shè)案例P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護(hù)）Detection（檢測）Response（響應(yīng)）網(wǎng)絡(luò)安全的P2DR模型確定系統(tǒng)安全的脆弱性分析系統(tǒng)潛在的安全威脅評估安全攻擊的后果估計(jì)安全攻擊的代價估價安全防護(hù)措施根據(jù)風(fēng)險(xiǎn)評估制定合理的安全策略與需求選用合適安全機(jī)制和技術(shù)手段實(shí)現(xiàn)安全