安全-(精选·公开·课件).pptVIP

校園網路資訊安全威脅與應用技術探討 陳家慶 (Jacob Chen) (02) 2796-1666#204 BS7799# 802 Jchen@ AGENDA 校園網路安全機制 校園網路安全防範體系 動態的網路安全管理 網路安全防範體系應該是動態變化的。 安全防護是一個動態的過程，新的安全漏洞不斷出現，駭客的攻擊手法不斷翻新，而校園資料中心自身的情況也在不斷地發展變化，在完成安全防範體系的架設後，必須不斷對此體系進行及時的維護和更新，才能保證網路安全防範體系的良性發展，確保它的有效性和先進性。 網路安全管理示意圖 網路安全防範體系構建是以安全策略為核心，以安全技術作為支撐，以安全管理作為落實手段，並通過安全培訓加強所有人的安全意識，完善安全體系賴以生存的大環境。 安全體系的示意圖 安全技術層 最底層是安全技術層： 常見的安全技術和工具主要包括防火牆、安全漏洞掃描、安全評估分析、入侵檢測、網路陷阱、入侵採證、備份恢復和病毒防範、漏洞補強等。 這些工具和技術是網路安全體系中最直覺的部分，缺少任何一種都會有巨大的危險，因為網路安全防範是一個整體概念。但是校園網往往經費有限，不能全部部署，這時就需要我們在安全策略的指導下，統一規劃、分步實施。在網路安全體系中它們不能簡單地堆砌，而是要合理部署，相互聯動，形成一個靈活的防護機制。 安全管理 安全管理： 安全管理貫穿整個安全防範體系，是安全防範體系的核心。代表了安全防範體系中 ”人”的因素。 安全不是簡單的技術問題，不落實到管理，再好的技術、設備也是徒勞的。一個有效的安全防範體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實。安全管理不僅包括行政意義上的安全管理，更主要的是對安全技術和安全策略的管理。通過安全制度的落實，獲得有效的網路安全保障。 安全培訓 安全培訓： 最終用戶的安全意識是資訊系統是否安全的決定因素，因此對校園網路用戶的安全培訓是整個安全體系中重要、不可或缺的一部分。 安全服務 安全服務： 這是學校網路管理的一個重要的方面，透過網路安全服務商，定期對教育網、各區網路中心及其直屬學校的網路管理人員、安全管理制度、網路設備進行安全巡查、技術諮詢和技術檢測，對發現的問題及時解決。 安全服務內容包括以下幾個方面： 系統級安全服務 應用級安全服務 客戶級應用安全服務 安全政策的制訂 安全策略的制定 校園網通過教育城域網、電信VPN、有線電視網等多種形式與國際網相聯。在安全結構上可以分為三級；市級教育網網路中心、區級教育網路、學校校園網，安全結構覆蓋了中小學。使用的作業系統包括Windows server 2000、Linux、Windows XP等；使用的應用軟體主要包括SQL Server、IIS等。 安全體系與安全目標 各級網路在出口加裝防火牆、防病毒，保證所有的機器都受到保護，能夠抵禦一般水準的駭客和病毒攻擊；實現完善的安全審計和採證機制，保證受到入侵和不良資訊損害後有記錄可供查詢。鑒於大多數安全事件來自于管理員的安全管理政策制訂不周。因此，在明確事故責任上可建立安全預警系統，抵禦較高水準的駭客攻擊。同時，明確擬訂資料中心內伺服器的安全優先順序等。 Education Network Security Solution _ Fortinet 安全技術的應用及安全工具的部署 在區域網的入口架設防火牆，並實現VPN的功能，在網路入口處建立第一層的安全屏障，VPN保證了管理員在家裏或出差時能夠安全接入資料中心。利用防火牆的網段隔離功能，設置DMZ區。使用入侵監測系統對資料中心內的所有資料流程動進行即時檢測。使用認證伺服器對資料存取進行統一的認證。在資料中心建立病毒控管中心，達到網路防病毒功能，為資料中心和校園網路接入終端提供防毒服務。根據功能將伺服器劃分成伺服器群，使用多級防火牆實施進一步的保護：二級防火牆保護資料庫系統和應用伺服器群。使用安全日誌及評估伺服器保護關鍵日誌，方便管理員管理，並作為採證的依據。通過統一的漏洞補強伺服器，完成網內系統軟體的升級和漏洞自動補強。 安全管理制度的形成與發展 安全管理貫穿安全防範體系的始終。僅有安全技術防範，而無嚴格的安全管理體系相配套，是難以保障網路系統安全的。必須制訂一系列安全管理制度，對安全技術和安全設施進行管理。實現安全管理必須遵循可操作、全局性、動態性、管理與技術的結合、責權分明、分權制約及安全管理制度化等原則。 透過安全管理制度，使各級管理人員在網路安全的重要性方面，有了統一的認識，對網路安全的責任更加明確。建立了以網路、系統管理員為中心的日常安全管理流程，並根據日常的安全管理工作情況去優化網路安全體系，從而保證了整個網路安全體系的