NCNE培训.pptVIP

解决方案 Web Server Client Client Client Client SQL Server 分销店网络 下属连锁店网络 防火墙 VPN设备 入侵检测系统 防病毒系统 漏洞扫描器 VPN设备 VPN设备 Internet * 第一章 国家信息化工程师认证考试管理中心 信息安全概述 * 对于您管理的网络，您有多少信心它是干净和有抵抗力的？ 非常有信心 有信心 还可以吧 不是很有信心 我知道我的网络是不安全的 问题#1? 案例 一家在加拿大的公司对自己的网络安全有100%的信心， 在一次专业测评中只抽取了400个终端进行测评，结果有以下发现 13 个恶意软件 1,247 次恶意URL访问 53 次恶意软件下载 584 封恶意邮件 请选出在您管理的网络中，您认为最让您担忧的问题? 恶意软件越来越复杂和难以对付 移动人员为企业带来不可预知的安全隐患 对新技术的引进同时带来新的漏洞 (USB, P2P 等) 分支机构/合作伙伴的连接带来的安全问题 对内部的隐患不得而知，无从下手 谈谈您自己的想法 问题 #2 ? 安全:一个经验定义 通常感觉：“网络安全就是避免危险” 科学的安全定义 防止未授权的用户访问信息 防止未授权而试图破坏与修改信息 安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力 有趣而经典的结论 公理1 （摩非定理）所有的程序都有缺陷。 定理1 （大程序定律） 大程序的缺陷甚至比它包含的内容还多。 推理1 - 1 一个安全相关程序有安全性缺陷。 定理2 只要不运行这个程序，那么这个程序是否有缺陷，也无关紧要。 推理2 - 1 只要不运行这个程序，即使这个程序有安全性漏洞，也无关紧要。 定理3 对外暴露的计算机，应尽可能少地运行程序，且运行的程序也应尽可能小。 推理3 - 1 防火墙基本法则大多数主机不满足我们的要求：因为它们运行太多太大的程序。因此，唯一的解决办法是将真正希望运行的程序隔离在网络边界的另一边。 网络安全问题的复杂程度 复杂程度 Internet Email Web 浏览 Intranet 站点 电子商务 电子政务 电子交易 未知的安全间隙 不安全 安 全 达到安全标准 企业的安全策略 安全间隙 网络的普及使学习网络进攻变得容易 全球超过26万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现 我们眼中的网络安全 DMZ E-Mail File Transfer HTTP Intranet 企业网络 生产部 工程部 市场部 人事部 路由 Internet 中继 网络安全隐患无处不在，常见 漏洞目前有1000余种 网络安全风险 安全需求和实际操作脱离 内部的安全隐患 动态的网络环境 有限的防御策略 安全策略和实际执行之间的巨大差异 100%安全的神话 开 销 风 险 性 能 攻击与破坏的动机 国外政府 竞争对手 黑客 不满的雇员 20％ 0％ 40％ 60％ 80％ 100％ 21％ 48％ 72％ 89％ 安全即寻求平衡 连通即意味着危险 实现安全不能以牺牲性能、开销为代价 经典格言： “网络的美妙之处在于你可以和任何人连接，网络的可怕之处在于任何人都可以连接你！” 信息安全策略 安全策略的定义和内容 系统分类 资源优先级划分 风险因数 活动定义 策略的应用 安全策略的定义 安全策略SP(security policy)是决策的集合 安全策略对不同的组织、不同的时期、不同的环境来说是有区别的 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则 安全策略的构成 威严的法律 完备的教育 严格的管理 先进的技术 资源优先级划分 三个不同级别 级别一：日常工作 级别二：较重要，停止时间最多不能超过48小时 级别三：最重要，系统停止运行不能超过几个小时 可接受与不可接受的活动 注意两者的区别 注意两者在不同环境、不同组织、不同时间、不同地点是不同的 注意和边界访问控制（例如Cisco ACL）之间的联系和区别 策略应用 策略管理 教育标准 级别 需要具备的知识 普通用户 要对一些安全威胁和漏洞敏感；要对保护公司的信息和资源引起重视 技术人员 需要达到熟悉公司安全知识的级别并做出使用信息安全程序的决策 管理人员 开发防止威胁和漏洞的技能来满足系统和资源安全的需要 加密 信息安全的核心是密码技术 数字签名、身份鉴别等都是由密码学派生出来的新技术和应用 加密是使一些数据只能是被某些特定的接受者可以正确识别和读取的过程 三种典型的加密方法 对称加密 非对称加密 Hash加密 回顾：信息安全的需求 必威体育官网网址性(Confidentiality) 完整性(Integrity) 系统完整性 数据完整性 可