第三章 网络安全策略.ppt

计算机网络安全基础 第三章 网络安全策略及实施 3.1 安全策略概述 3.1.1 安全策略的定义 “安全策略是对访问规则的正式陈述，所有需要访问某个机构的技术和信息准资产的人员都应该遵守这些规则” 3.1.2安全策略的内容 权威的声明和效力范围：用以识别安全策略的发起者和覆盖的主题范围。 物理安全策略 :包括环境安全、设备安全、媒体安全、信息资产的物理分布、人员的访问控制、审计记录、异常情况的追查等。 网络安全策略:包括网络拓扑结构、网络设备的管理、网络安全访问措施（防火墙、入侵检测系统、VPN等）、安全扫描、远程访问、不同级别网络的访问控制方式、识别/认证机制等。它规定了组织内部用户关于网络访问能力的规范。 数据加密策略:包括加密算法、适用范围、密钥交换和管理等。 数据备份策略:包括适用范围、备份方式、备份频率，备份数据的安全存储、负责人等。 病毒防护策略:包括防病毒软件的安装、配置、对软盘使用、网络下载等作出的规定等。 应用系统安全策略:包括WWW访问策略、内部邮件与外部邮件的访问策略，数据库系统安全策略、应用服务器系统安全策略、个人桌面系统安全策略、其它业务相关系统安全策略等。 身份识别与认证策略：用来规定用什么样的技术和设备来确保只有授权的用户才能访问组织的信息与数据，包括认证及授权机制、方式、审计记录等。 灾难恢复与应急响应策略：用来规定如何建立安全事件响应小组，如何针对突发事件采取的响应措施，包括响应小组、联系方式、事故处理计划、控制过程、恢复机制、方式、归档管理、硬件、软件等。主要工作有保护机构的系统与信息，还原操作，起诉入侵者，减少损失等。 密码管理策略:包括密码管理方式、密码设置规则、密码适应规则等。 补丁管理策略:包括软件升级、系统补丁的更新、测试、安装等。 系统变更控制策略:包括对设备更新、软件配置、控制措施、数据变更管理、一致性管理等。 商业伙伴、客户关系策略:包括合同条款安全策略、客户服务安全建议等。 复查审计策略:包括对安全策略的定期复查与审计。 安全教育策略:包括安全策略的发布宣传、执行效果的监督、安全技能的培训、安全意识教育等。 对安全控制及过程的重新评估、对系统日志记录的审计、对安全技术发展的跟踪等。 3.1.2 网络安全模型 3.2 网络安全策略设计与实施 安全策略的制定是比较繁琐和复杂的工作，许多安全策略将重点放在了有效实施的概念上，这种观点的出发点在于，如果策略无法得到实施，那么制定的策略再好也没有可用之处。从安全系统的设计人员的角度看，重要的是理解实施策略有若干不同的方式，而具体的实施过程并不属于安全系统的设计人员的考虑范围。所以，由于用户对网络的具体需求不同，可能会包含不同的设计与实施要求。从大的方面来说，一般需要包括以下几个部分： 3.2.1 物理安全控制 对物理基础设施、物理设备的安全和访问的控制。包括选择适当的介质类型及电缆的铺设路线 ,网络资源的存放位置也极为重要,为保护关键的网络资源，必须安装和充分的使用环境安全防护。 3.2.2 逻辑安全控制 指在不同网段之间构造逻辑边界，同时还对不同网段之间的数据流量进行控制。逻辑访问控制通过对不同网段间的通信进行逻辑过滤来提供安全保障。对内部网络进行子网划分是进行逻辑安全控制的有效方法。需要执行两类控制 一是预防性控制，用于识别每个授权用户并拒绝非授权用户的访问。 二是探测性控制，用于记录和报告授权用户的行为，以及记录和报告非授权的访问，或者对系统、程序和数据的访问企图。 3.2.3 基础设备和数据完整性 1．防火墙 2．入侵检测系统 3．安全审计系统 4．病毒防护系统 如何保证有效通信，对于网络服务和协议的选择是一项复杂而艰巨的任务。 3.2.4 数据必威体育官网网址性 指保证网络实体间通信数据的必威体育官网网址，使其不能被非法修改，它属于加密的范畴。 如何确定哪些数据需要加密，以及哪些数据不需要加密。这个过程应该使用风险分析步骤来进行决策 。 3.2.5 用户行为控制 人员角色管理是整个网络安全的重要组成部分，网络中所有的软硬件系统、安全策略等最终都需要人来实践，所以对人员角色的定义及行为规则的制定是非常重要的。应当根据网络安全策略来为负责网络基础设施维护和升级的人员制定特殊的指导方针，以帮助完成各自的任务。 1．安全备份 2．审计跟踪 3.3 网络安全测试工具的使用 3.3.1 扫描原理及其工具 扫描技术利用TCP/IP协议标准和其在各种操作系统中不同的实现方式，向目标主机的服务端口发送探测数据包，并记录目标主机的响应。通过分析响应的数据包来判断服务端口是打开还是关闭