網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全課件

1、網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第1頁(yè)，共24頁(yè)。教學(xué)目的：（1）理解網(wǎng)絡(luò)安全現(xiàn)狀與策略（2）理解網(wǎng)絡(luò)安全體系（3）熟悉網(wǎng)絡(luò)機(jī)房與環(huán)境安全要求網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第2頁(yè)，共24頁(yè)。教學(xué)重點(diǎn)：（1）理解網(wǎng)絡(luò)安全現(xiàn)狀與策略（2）理解網(wǎng)絡(luò)安全體系（3）熟悉網(wǎng)絡(luò)機(jī)房與環(huán)境安全要求網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第3頁(yè)，共24頁(yè)。威嚴(yán)的法律嚴(yán)格的管理先進(jìn)的技術(shù)復(fù)習(xí)：信息安全策略安全策略 是指在一個(gè)特定的環(huán)境里，為提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略模型包括了建立安全環(huán)境的3個(gè)重要組成部分，即信息安全的三個(gè)層次：（1）威嚴(yán)的法律（安全立法）（2）先進(jìn)的技術(shù)（安全技術(shù)）（3）嚴(yán)格的管

2、理（安全管理）網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第4頁(yè)，共24頁(yè)。復(fù)習(xí)：網(wǎng)絡(luò)信息安全的內(nèi)容 網(wǎng)絡(luò)信息安全的內(nèi)容物理安全1防靜電防盜防雷擊防火防電磁泄漏2用戶身份認(rèn)證訪問(wèn)控制加密安全管理邏輯安全操作系統(tǒng)安全3聯(lián)網(wǎng)安全4訪問(wèn)控制服務(wù)通信安全服務(wù)網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第5頁(yè)，共24頁(yè)。復(fù)習(xí)： 網(wǎng)絡(luò)安全面臨的威脅網(wǎng)絡(luò)安全威脅物理威脅系統(tǒng)漏洞身份鑒別威脅線纜連接威脅有害程序偷竊 廢物搜尋 間諜行為 身份識(shí)別錯(cuò)誤 不安全服務(wù)配置 初始化 乘虛而入 算法考慮不周隨意口令口令破解 口令圈套 撥號(hào)進(jìn)入冒名頂替竊聽(tīng)病毒特洛伊木馬代碼炸彈 更新或下載 網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第6頁(yè)，共2

3、4頁(yè)。復(fù)習(xí)：針對(duì)網(wǎng)絡(luò)信息安全的攻擊 在正常情況下，有一個(gè)信息流從一個(gè)信源(例如一個(gè)文件或主存儲(chǔ)器的一個(gè)區(qū)域)流到一個(gè)目的地（例如另一個(gè)文件或一個(gè)用戶）時(shí)，它的信息流動(dòng)是這樣的：當(dāng)產(chǎn)生攻擊時(shí)，有以下4種情況:上述4種情況又可以按照攻擊的主動(dòng)性來(lái)分為兩類：主動(dòng)攻擊和被動(dòng)攻擊。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第7頁(yè)，共24頁(yè)。 據(jù)統(tǒng)計(jì)，目前全球平均每15秒就會(huì)發(fā)生一起Internet主機(jī)被入侵的事件，美國(guó)75%85%的網(wǎng)站抵擋不住黑客攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中25%的企業(yè)損失在25萬(wàn)美元以上。而通過(guò)網(wǎng)絡(luò)傳播的病毒無(wú)論在其傳播速度、傳播范圍和破壞性方面都比單機(jī)病毒更令人擔(dān)憂。網(wǎng)絡(luò)安全現(xiàn)狀

4、 1網(wǎng)絡(luò)與信息安全發(fā)展趨勢(shì) 2一、網(wǎng) 絡(luò) 安 全 現(xiàn) 狀一一 目前全球已發(fā)現(xiàn)病毒5萬(wàn)余種，并仍以每天10余種的速度增長(zhǎng)。有資料顯示，病毒所造成的損失占網(wǎng)絡(luò)經(jīng)濟(jì)損失的76%。1. 安全需求多樣化2. 技術(shù)發(fā)展兩極分化3. 安全管理體系化網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第8頁(yè)，共24頁(yè)。 在實(shí)際應(yīng)用中，到底應(yīng)該采取什么樣的安全措施，提供什么樣的安全服務(wù)呢？這需要根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的情況，定義好安全需求，制定相應(yīng)的安全策略，然后由安全策略來(lái)決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當(dāng)?shù)臐M足需求的策略方案，然后再考慮技術(shù)上如何實(shí)施。安全策略定義1物理安全策略2訪問(wèn)控制策

5、略3信息加密策略4二 、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略二二網(wǎng)絡(luò)安全管理策略5網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第9頁(yè)，共24頁(yè)。1 安全策略定義 安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。實(shí)現(xiàn)網(wǎng)絡(luò)安全，不但要靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的管理、法律約束和安全教育，主要包括如下內(nèi)容。（1）先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。（2）嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)。（3）嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第10頁(yè)，共24頁(yè)。2 物理安全策略 物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信線路免受自然災(zāi)

6、害、人為破壞和搭線攻擊；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。物理安全策略的主要問(wèn)題：抑制和防止電磁泄漏。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第11頁(yè)，共24頁(yè)。3 訪問(wèn)控制策略 訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。1. 入網(wǎng)訪問(wèn)控制2. 網(wǎng)絡(luò)的權(quán)限控制3. 網(wǎng)絡(luò)服務(wù)器安全控制4. 網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制5. 網(wǎng)絡(luò)端口和節(jié)點(diǎn)

7、的安全控制6. 防火墻控制網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第12頁(yè)，共24頁(yè)。4 信息加密策略信息加密的目的：保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密的3種方法：鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密等。鏈路加密：保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密：對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密：對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第13頁(yè)，共24頁(yè)。5 網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)

8、通信安全第14頁(yè)，共24頁(yè)。1.4 網(wǎng)絡(luò)安全體系1 網(wǎng)絡(luò)安全體系概念它是一項(xiàng)復(fù)雜的系統(tǒng)工程是安全策略、多種技術(shù)、管理方法和人員安全素質(zhì)的綜合；是關(guān)于網(wǎng)絡(luò)安全防范系統(tǒng)的最高層概念抽象，它由各種網(wǎng)絡(luò)安全防范單元組成，各組成單元按照一定的規(guī)則關(guān)系，能夠有機(jī)集成起來(lái)，共同實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。2 網(wǎng)絡(luò)安全體系作用網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第15頁(yè)，共24頁(yè)。3 網(wǎng)絡(luò)安全體系組成組織體系：網(wǎng)絡(luò)安全工作部門的集合，負(fù)責(zé)安全技術(shù)和資源管理和使用。技術(shù)體系：綜合集成方式形成技術(shù)集合。管理體系：管理目標(biāo)、手段、主體、依據(jù)和資源。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第16頁(yè)，共24頁(yè)。1）PDRR模型PDRR模型是

9、目前得到較多認(rèn)可的一個(gè)安全保障模型。在這個(gè)模型中，網(wǎng)絡(luò)的安全保障系統(tǒng)被分成四個(gè)部分：防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）和恢復(fù)（Recovery）。從工作機(jī)制上看，這四個(gè)部分是一個(gè)順次發(fā)生的過(guò)程：首先采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)，然后利用相應(yīng)的檢測(cè)手段對(duì)安全保護(hù)對(duì)象進(jìn)行安全跟蹤和檢測(cè)以隨時(shí)了解其安全狀態(tài)。如果發(fā)現(xiàn)現(xiàn)安全保護(hù)對(duì)象的安全狀態(tài)發(fā)生改變，特別是由安全變?yōu)椴话踩瑒t馬上采取應(yīng)急措施對(duì)其進(jìn)行處理，直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)。按照這個(gè)模型，信息網(wǎng)絡(luò)的安全建設(shè)是這樣的一個(gè)有機(jī)的過(guò)程：在信息網(wǎng)絡(luò)安全政策的指導(dǎo)下，通過(guò)風(fēng)險(xiǎn)評(píng)估，明確需要

10、防護(hù)的信息資源、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和資產(chǎn)等，明確要防護(hù)的內(nèi)容及其主次等，然后利用入侵檢測(cè)系統(tǒng)來(lái)發(fā)現(xiàn)外界的攻擊和入侵，對(duì)已經(jīng)發(fā)生的入侵，進(jìn)行應(yīng)急響應(yīng)和恢復(fù)。4 網(wǎng)絡(luò)安全體系模型網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第17頁(yè)，共24頁(yè)。2）ISS模型美國(guó)互聯(lián)網(wǎng)安全系統(tǒng)公司ISS（Internet Security Systems）的自適應(yīng)網(wǎng)絡(luò)安全模型PPDR，它由四個(gè)主要部分組成：安全策略（Policy)、保護(hù)（Protection)、檢測(cè)（Detection)和響應(yīng)（Response)。 基于思想是：以安全策略為核心，通過(guò)一致性檢查、流量統(tǒng)計(jì)、異常分析、模式匹配以及基于應(yīng)用、目標(biāo)、主機(jī)、網(wǎng)絡(luò)的入侵檢查等方法

11、進(jìn)行安全漏洞檢測(cè)。檢測(cè)使系統(tǒng)從靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)防護(hù)，為系統(tǒng)快速響應(yīng)提供了依據(jù)。當(dāng)發(fā)現(xiàn)系統(tǒng)有異常時(shí)，根據(jù)系統(tǒng)安全策略快速作出反應(yīng)，從而達(dá)到保護(hù)系統(tǒng)安全的目的。網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第18頁(yè)，共24頁(yè)。PDRR模型是一個(gè)比較具有普遍意義的安全模型，因此利用它也可以解決數(shù)據(jù)的完整性保護(hù)問(wèn)題。 PDRR模型PPDR模型網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第19頁(yè)，共24頁(yè)。企業(yè)安全防護(hù)體系的構(gòu)成人 制度技術(shù)安全防護(hù)體系企業(yè)安全防護(hù)體系的主要構(gòu)成因素人制度技術(shù)網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第20頁(yè)，共24頁(yè)。完善的整體防衛(wèi)技術(shù)架構(gòu)防火墻訪問(wèn)控制防病毒入侵檢測(cè) 虛擬專用網(wǎng) 漏洞評(píng)估網(wǎng)絡(luò)安全現(xiàn)狀與

12、策略及網(wǎng)絡(luò)通信安全第21頁(yè)，共24頁(yè)。 實(shí)體安全概述1電子信息機(jī)房環(huán)境安全2三、物理實(shí)體安全三三網(wǎng)絡(luò)安全現(xiàn)狀與策略及網(wǎng)絡(luò)通信安全第22頁(yè)，共24頁(yè)。1 實(shí)體安全概述實(shí)體安全（Physical Security）又叫物理安全，是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過(guò)程。 總結(jié)起來(lái)，實(shí)體安全的內(nèi)容包括以下4點(diǎn)：（1）設(shè)備安全：包括防止電磁信息的泄露、線路截獲，以及抗電磁干擾。（2）環(huán)境安全：應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報(bào)警，以保護(hù)系統(tǒng)免受水、火、有害氣體、地震、靜電的危害。（3）存儲(chǔ)媒體安全：包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。