当前位置:文档之家 › §1 网络安全概述

§1 网络安全概述

  • 格式:pdf
  • 大小:541.14 KB
  • 文档页数:35

下载文档原格式

  / 35

合集下载

网络安全概况

网络安全概况

网络安全概况网络安全是指在计算机网络环境下,保护计算机系统和数据免受未经授权的访问、使用、插入、修改、损坏、破坏和干扰的一系列措施与技术手段。

随着网络的发展和普及,网络安全面临着越来越多的威胁和挑战。

首先,网络安全面临着各类黑客攻击。

黑客可以通过网络入侵计算机系统,获取敏感信息、篡改数据或者瘫痪系统。

常见的黑客攻击手段包括钓鱼、恶意软件、网络针对性攻击等。

其次,网络安全还面临着病毒和恶意软件的威胁。

病毒可以通过网络传播,感染计算机系统产生破坏或者控制权。

恶意软件则可以通过网络下载或者安装到计算机系统中,对系统进行破坏、监控或者滥用。

另外,个人隐私和数据安全也是网络安全的重要方面。

在网络上,个人信息的泄露和滥用成为常见问题。

黑客可以通过获取个人隐私信息进行诈骗或者冒名顶替等违法行为。

此外,大量用户数据的集中存储也为黑客攻击提供了机会,一旦这些数据被窃取,将对用户和企业造成严重影响。

为了保障网络安全,需要采取一系列措施。

首先,加强网络安全意识教育,提高用户对网络安全的认知和警惕性,避免被黑客攻击。

其次,建立完善的网络安全防护体系,包括网络防火墙、入侵检测系统、反病毒软件等技术手段,及时发现和阻断网络攻击。

同时,加强数据加密与权限管理,保护个人隐私和企业数据安全。

此外,还需要制定相关法律法规,打击网络犯罪行为。

各国政府应加强对网络安全的监管和管理,加大对网络犯罪分子的惩治力度。

同时,企业和组织也应制定严格的网络安全规范,保护其信息系统和用户数据的安全。

总之,网络安全是计算机网络发展不可忽视的一个方面。

保护用户个人隐私和企业数据安全需要全社会的共同努力,通过技术手段和法律法规的支持,构建一个安全可靠的网络环境。

网络安全概括

网络安全概括

网络安全概括网络安全是指保护计算机网络及其资源免受非法访问、使用、破坏、更改或泄露的各种威胁和攻击的一种状态。

随着互联网和信息技术的快速发展,网络安全已经成为信息化社会中至关重要的方面。

网络安全具有以下几个方面的重要内容:1. 信息安全:信息是网络的核心资源,保护信息的安全性就是保护网络安全的一个重要方面。

信息安全包括了机密性、完整性和可用性。

机密性指的是保护信息不被未授权的访问获取。

完整性指的是保证信息没有被改变或损坏。

可用性指的是确保信息可以在需要时能够正常使用。

2. 网络攻击与防御:网络攻击是指针对网络安全的恶意行为,包括计算机病毒、恶意软件、网络钓鱼、拒绝服务攻击等等。

网络安全防御则是指为了保护网络免受攻击而采取的各种安全措施,包括防火墙、入侵检测系统、安全认证和加密技术等。

3. 用户教育与意识:用户教育和意识是网络安全中十分重要的一环。

通过培养用户正确的网络使用习惯和意识,提高他们对网络安全威胁的认识,并教育他们如何正确保护自己的信息和数据。

用户的安全意识可以有效地降低网络安全风险,防范网络攻击。

4. 法律法规和政策:网络安全是社会各方面共同关心的问题,为了保障网络安全,各国都出台了一系列的法律法规和政策。

这些法律法规和政策对网络安全的重要性进行了明确的规定,加强了网络安全的监管和管理。

同时,加强国际合作,共同打击网络犯罪,也是网络安全的重要方面。

5. 应急响应和恢复:面对网络安全威胁和攻击,及时做出应急响应和恢复是非常重要的。

建立健全的网络安全应急响应机制,能够及时发现和应对各种网络安全事件,并采取相应的措施进行恢复。

这有助于减少安全事故的损失和影响。

总之,网络安全是信息化社会中必不可少的重要内容,它需要多方面的支持和努力才能够得以保障。

只有保护好网络安全,才能够有效地推动互联网和信息技术的健康发展,并为社会带来更多的福利和便利。

网络安全概述

网络安全概述

网络安全概述网络安全概述1.引言网络安全是指保护网络免受未经授权的访问、使用、披露、破坏、修改、中断或干扰的能力。

它涵盖了包括硬件、软件、通信、数据和人员在内的各个方面。

本文将详细介绍网络安全的概念、重要性以及常见的网络安全威胁与防御措施。

2.网络安全概念2.1 网络网络指的是通过连接设备(如计算机、服务器、路由器等)互联而成的系统。

2.2 安全安全指通过采取合适的防护措施,确保系统的保密性、完整性和可用性。

3.网络安全的重要性3.1 保护数据安全网络安全的首要目标是保护数据的机密性和完整性,防止未经授权的访问和篡改。

3.2 维护商业连续性网络安全措施可以帮助组织避免网络中断和数据丢失,从而维护商业连续性。

3.3 防止信息泄露网络安全的另一个重要目标是防止敏感信息被未经授权的人员访问和泄露。

3.4 保护个人隐私网络安全还涉及到保护个人隐私和个人身份信息,防止被盗用或滥用。

4.网络安全威胁4.1 和恶意软件和恶意软件是通过计算机网络传播的恶意程序,可以破坏系统、窃取数据或者干扰网络正常运行。

4.2 信息泄露信息泄露是指敏感信息被未经授权的人员访问和使用,例如个人身份信息或商业机密。

4.3 网络钓鱼网络钓鱼是指攻击者通过伪装成可信来源的电子邮件、网站或消息,诱导用户提供个人敏感信息。

4.4 DDoS 攻击分布式阻断服务攻击是指攻击者通过将大量无害的请求发送至目标服务器,导致服务瘫痪。

5.网络安全防御措施5.1 防火墙防火墙是位于网络边界的设备,可过滤和监视数据流量,阻止未经授权的访问和恶意流量进入网络。

5.2 加密技术加密技术可用于保护敏感数据在传输和存储中的安全性,确保只有授权人员可以访问。

5.3 多因素认证多因素认证需要用户通过多个身份验证步骤才能访问系统,提高系统的安全性。

5.4 安全更新和补丁及时安装和更新操作系统和应用程序的安全更新和补丁是防止已知漏洞被利用的重要措施。

附件:1.《网络安全法》:中国制定的网络安全领域的法律,旨在维护国家网络安全和社会稳定。

网络安全的基本概念

网络安全的基本概念

网络安全的基本概念网络安全的基本概念1.网络安全概述1.1 基本定义网络安全是指保护计算机系统和网络不受未经授权的访问、利用、破坏、篡改和破坏的威胁的一系列措施和技术的总称。

网络安全包括硬件、软件和人员三个方面的安全保障。

1.2 威胁与风险网络安全面临的主要威胁包括黑客攻击、与恶意软件、数据泄露与信息窃取、网络钓鱼以及拒绝服务攻击。

这些威胁可能导致信息泄露、系统瘫痪、财产损失和声誉受损等风险。

2.网络安全的基本原则2.1 机密性机密性是网络安全的基本原则之一,意味着只有经过授权的用户才能访问和使用敏感信息,防止信息被未经授权的人窃取和篡改。

2.2 完整性完整性是指信息的完整性和系统的完整性,确保在传输和存储过程中不被篡改,信息一致性得到保证,防止信息的非法修改和损坏。

2.3 可用性可用性指系统和网络服务的可用性,确保系统持续运行,对用户提供正常、及时的服务,防止服务被拒绝或中断。

2.4 可追溯性可追溯性是指对系统和网络活动进行监控和记录,包括用户行为、入侵尝试和安全事件,以便进行溯源和分析,发现和防止安全事件。

2.5 其他原则还有一些其他重要的原则,包括认证(确保用户身份的真实性)、授权(限制用户的访问权限)、非否认(防止用户否认其行为)和安全性审计(对系统和网络进行定期的安全检查)等。

3.网络安全的基本技术3.1 防火墙防火墙是一种网络安全设备,用于监控和控制通过网络传输的数据流量。

它可以根据预设的策略来允许或者阻止数据包的传输,以保护内部网络免受未经授权的访问。

3.2 入侵检测系统(IDS)和入侵防御系统(IPS)入侵检测系统用于监控网络流量、系统日志,以及可能的入侵行为。

入侵防御系统则采取主动措施,自动阻止或回应潜在的入侵行为,提高网络的安全性。

3.3 密码学技术密码学技术用于保护数据的机密性和完整性。

常见的密码学技术包括对称加密和非对称加密,以及数字签名和数字证书等。

3.4 虚拟专用网络(VPN)虚拟专用网络通过加密和隧道技术,在公共网络上建立安全的私人通信。

第1章 网络安全概述

第1章 网络安全概述
34
1.2.3 TCP/IP参考模型
3. TCP/IP的安全体系
(1) 链路层——监听;隐通道——各个结点间安装或 租用专门的通信设施;加密;身份认证,,, (2)网络层——不正确的动态路由;错误的更新信息; ARP欺骗;ICMP重定向——动态路由机制;路由 之间更新信息的完整性;认证头;封装安全负荷 (3) 传输层保护的网络——拒绝服务——安全套接层 协议SSL (4) 应用层安全性——http明文;smtp假冒发件人; DNS解析错误IP地址——shttp;esmtp
30
1.2.2 OSI-RM及所提供的安全服务
4.OSI模型的安全机制 • 加密机制 • 数字签名机制 • 访问控制机制 • 数据完整性机制 • 鉴别交换机制 • 通信流量填充机制 • 路由选择机制 • 公证机制
31
1.2.3 TCP/IP参考模型
1.TCP/IP参考模型的层次结构
应用 层 数据
TCP/IP模型各层包括的主要协议及其与OSI层次模型的对应关系
33
1.2.3 TCP/IP参考模型
2.TCP/IP模型各层的功能
• 应用层:是面向用户的各种应用软件,是用户访 问网络的界面。 • 传输层:实现源主机和目的主机上的实体之间的 通信。 • 网络层:负责数据包的路由选择功能 • 网络接口层:负责接收IP数据包并通过网络传输 介质发送数据包。
通 用 定 义
网络安全是指保护网络系统中的软件、硬件及信息资 源,使之免受偶然或恶意的破坏、篡改和泄露,保证 网络系统的正常运行、网络服务不中断。
6
1.1.1 网络安全定义及相关术语
2.网络安全的属性
– 可用性:授权实体可以使用所需要的网络资源和服务。 – 机密性:网络中信息不被非授权实体获取与使用。

网络安全的基本概念和应用

网络安全的基本概念和应用

网络安全的基本概念和应用第一章:网络安全的概述在当今信息化时代,网络安全成为了一个备受关注的领域。

随着互联网的迅猛发展,网络安全面临着许多新的挑战和威胁。

网络安全是指保护计算机网络中的硬件、软件和数据免受未经授权的访问、使用、披露、破坏或干扰的能力。

网络安全的基本目标是确保信息的保密性、完整性和可用性。

第二章:网络安全的威胁网络安全面临着各种各样的威胁,其中包括计算机病毒、恶意软件、黑客攻击、网络钓鱼等。

计算机病毒是一种能够自我复制并传播的恶意软件程序,它可以破坏计算机系统或者窃取用户的个人信息。

恶意软件是一种具有恶意目的的软件,包括计算机病毒、蠕虫、木马等。

黑客攻击指的是非法侵入计算机系统并获取敏感信息或者破坏系统的行为。

网络钓鱼是一种通过伪装成合法机构来获取用户个人信息的欺骗手段。

第三章:网络安全的防护措施为了保护网络安全,人们采取了各种各样的防护措施。

其中包括防火墙、加密技术、访问控制、安全认证等。

防火墙是指一种位于网络内外之间的软硬件设备,它可以根据预设的规则来过滤和监控网络流量,阻止恶意访问。

加密技术是一种将数据转换为密文的技术,只有具备对应密钥的人才能解密并获取原始数据。

访问控制是指通过身份验证和权限控制来限制用户对资源的访问。

安全认证是一种用于验证用户身份的方式,包括密码、指纹、虹膜等。

第四章:网络安全的应用网络安全的应用范围广泛,几乎涵盖了所有行业和领域。

在金融行业,网络安全可以保护用户的银行账户和财务信息。

在医疗行业,网络安全可以确保患者的医疗记录和个人信息的安全。

在电子商务领域,网络安全可以保护用户的银行卡和个人信息。

在政府部门,网络安全可以保护国家的机密信息和基础设施的安全。

在军事领域,网络安全可以保护军队的指挥系统和通信网络的安全。

第五章:网络安全的挑战和发展趋势随着科技的不断进步和网络的普及,网络安全面临着新的挑战和发展趋势。

其中包括物联网安全、云计算安全、人工智能安全等。

必知必会的网络安全基础知识

必知必会的网络安全基础知识【第一章:网络安全概述】网络安全是指保护计算机网络和网络资源免受非法访问、破坏和威胁的一系列措施。

随着互联网的普及和发展,网络安全问题引起了广泛关注。

了解网络安全的基础知识是保护个人和组织信息安全的必备要素。

【第二章:网络安全威胁与攻击】网络安全威胁是指可能对网络安全造成威胁的各种因素和行为。

常见的网络安全威胁包括病毒、恶意软件、网络钓鱼、拒绝服务攻击等。

理解这些威胁对于预防和应对攻击至关重要。

【第三章:网络安全防护措施】网络安全防护措施是指保护计算机网络和网络资源免受网络攻击和威胁的各种措施。

常见的网络安全防护措施包括防火墙、入侵检测系统、加密技术等。

采取合适的防护措施是保证网络安全的重要手段。

【第四章:密码学与加密技术】密码学是研究通信安全和信息安全的数学理论。

加密技术是保护信息安全的核心方法之一。

了解密码学和加密技术的基本原理和常用算法对于保护数据安全非常重要。

【第五章:网络安全管理与政策】网络安全管理是指制定与实施网络安全策略、规范与流程的一系列活动。

了解网络安全管理的基本原则和方法有助于有效管理和保护网络安全。

此外,了解相关的网络安全法律法规也是保护个人和组织信息的重要手段。

【第六章:网络身份识别与访问控制】网络身份识别与访问控制是指对网络用户身份进行识别和管理,在保证合法用户访问的前提下,防止非法用户入侵和访问敏感信息。

了解网络身份识别技术和访问控制方法对于保护网络安全至关重要。

【第七章:网络安全意识与教育】网络安全意识与教育是促使个人和组织养成良好的网络安全习惯和行为的一系列活动。

提高网络安全意识和教育能够增强人们对网络安全的重视,减少安全事件的发生。

【第八章:网络安全事件响应与处置】网络安全事件响应与处置是指在发生网络安全事件后,采取相应的措施进行应对和处置。

了解网络安全事件的分类和处理流程,及时有效地响应和处置事件是限制损失的关键。

【第九章:未来发展趋势与挑战】网络安全领域的发展日新月异,未来的网络安全将面临更多的挑战。

网络安全概论


(3)网络的安全性(网络层安全 )
该层次的安全问题主要体现在网络 方面的安全性,包括网络层身份认 证,网络资源的访问控制,数据传 输的保密与完整性,远程接入的安 全,域名系统的安全,路由系统的 安全,入侵检测的手段,网络设施 防病毒等。
(4)应用的安全性(应用层安全) 该层次的安全问题主要由提供服务所采用 的应用软件和数据的安全性产生,包括 Web服务、电子邮件系统、DNS等。此外 ,也包括病毒对系统的威胁。 (5)管理的安全性(管理层安全) 管理的安全性包括网络运行的基本安全管 理与资源和访问的逻辑安全管理。基本安 全管理包括安全技术和设备的管理、安全 管理制度、部门与人员的组织规则等。
(2)操作系统的安全性(系统层安全) 该层次的安全问题来自网络内使用的操作 系统的安全,因为操作系统是计算机中最 基本、最重要的软件,这些软件支撑着其 他应用软件的运行。
操作系统的安全性主要表现: 一是操作系统本身的缺陷带来的不安全因素 二是对操作系统的安全配置问题 三是攻击或者病毒对操作系统的威胁。
网络安全概论
第 1 章 网络安全概论
1.1 网络安全概述 1.2 计算机网络面临的安全威胁 1.3 网络安全在信息化中的重要性 1.4 网络安全的目标 1.5 网络安全的评价标准
1.1 网络安全概述
1.1.1 网络安全的概念 随着信息化进程的深入和Internet的迅速普及, 人们的工作、学习和生活方式发生了巨大变化 ,人们的工作效率大幅度提高,信息资源得到 最大程度的共享。但随之而来的是网络上的安 全问题越来越突出,网络信息系统遭受病毒侵 害乃至黑客攻击现象越来越多,因此,保证网 络信息系统的安全成为网络发展中的重要问题 。
(4)OS安全配置技术 通过采用安全的操作系统,并对操作系统 进行各种安全配置,以保证合法访问者能 够进行操作和访问,隔离和阻断非法访问 者的请求

第一章 网络安全概述

情报和恐怖组织却深谙这种破坏的威力。 ✓ 企业有投入,有人员,但投入不够,人员不固定。遇有冲突,立刻舍弃;
只求速上,不求正常、配套、协调建设。从根本上没有改变以前轻视安全 的做法。
✓ 企业对整个网络建设缺乏深入细致、具体的安全体系研究,更缺乏建立安 全体系的迫切性。
✓ 有制度、措施、标准,大部分流于形式,缺乏安全宣传教育。 ✓ 缺乏有效的监督检查措施。 ✓ 从根本上没有处理好发展与安全的关系。
黑客会做什么?
➢学习技术 ➢伪装自己 ➢发现漏洞 ➢利用漏洞 ➢做一些好事或坏事等等
威胁网络安全的因素
外部的威胁
➢黑客 ➢工业间谍 ➢被解雇的人员 ➢犯罪分子/恐怖分子 ➢脚本小子
内部的威胁
➢网络误用/滥用 ➢没有良好的管理机制
黑客攻击的思路
安全背景趋势
◆计算机犯罪历史
世界上第一例有案可查的涉计算机犯罪案例于1958年发生于美国的硅 谷,但是直到1966年才被发现。中国第一例涉及计算机的犯罪(利用 计算机贪污)发生于1986年,而被破获的第一例纯粹的计算机犯罪 (该案为制造计算机病毒案)则是发生在1996年11月。
商业
金融
Internet 变得越来越重要
复杂程度
电子交易电子商务EmalISP门户网站 Web
时间
网络为什么不安全
(1)软件本身设计不良或系统设计上的缺陷 (2)使用者习惯及方法不正确 (3)网络防护不够严谨
网络安全防范
构建网络安全架构体系的要项 (1)明确网络资源 (2)确定网络存取点 (3)限定存取权限 (4)确认安全防范 (5)内部的安全问题 (6)公钥验证 (7)单一登录
从首例计算机犯罪被发现至今,涉及计算机的犯罪无论从犯罪类型还 是发案率来看都在逐年大幅度上升,方法和类型成倍增加,逐渐开始 由以计算机为犯罪工具的犯罪向以计算机信息系统为犯罪对象的犯罪 发展,并呈愈演愈烈之势,而后者无论是在犯罪的社会危害性还是犯 罪后果的严重性等方面都远远大于前者。正如国外有的犯罪学家所言, “未来信息化社会犯罪的形式将主要是计算机犯罪,”同时,“计算 机犯罪也将是未来国际恐怖活动的一种主要手段”。

网络安全概述

网络安全概述网络安全概述什么是网络安全网络安全是指对计算机网络系统中的硬件、软件和数据进行保护的一系列措施。

在当今信息化时代,网络安全对于个人、组织和国家的正常运行至关重要。

网络安全的目标是保护网络系统的完整性、可用性和保密性。

网络安全的重要性网络安全的重要性在于保护个人和组织的隐私和财产安全,确保网络系统的正常运行和业务的连续性。

虽然网络安全的威胁日益增加,但只要采取适当的措施,就可以有效地减少风险并保护网络安全。

网络安全的威胁网络安全面临着各种各样的威胁,包括以下几个方面的威胁:1. 黑客攻击黑客攻击是网络安全的主要威胁之一。

黑客通过利用系统漏洞和弱点,非法获取网络中的信息和权限,威胁个人隐私和企业数据。

2. 和恶意软件和恶意软件是通过网络传播的一种恶意软件,可窃取个人信息、破坏系统内容或限制用户访问网络。

3. 数据泄露数据泄露是指未经授权的信息访问,可能导致个人和组织的隐私被公开。

数据泄露可能由内部人员的不当行为、网络攻击或系统漏洞造成。

4. 网络钓鱼网络钓鱼是指通过虚假的电子邮件、网页或短信等手段,骗取用户的个人信息,如、密码等。

5. DDoS攻击DDoS(分布式拒绝服务)攻击是通过向网络中的多个计算机发送大量数据包,占用网络带宽,导致网络瘫痪。

网络安全的保护措施为了保护网络安全,我们需要采取一系列的保护措施:1. 加强密码安全性合理选择密码,并定期更改密码,确保密码的复杂性,包括数字、字母和符号的组合,并避免使用容易猜测的密码。

2. 安装防火墙和安全软件安装和及时更新防火墙和安全软件,可以检测和阻止潜在的威胁。

3. 加密数据通过使用加密技术,可保护数据在传输和存储过程中的安全,防止数据泄露。

4. 定期备份数据定期备份数据可以帮助恢复丢失的数据,并避免数据丢失引发的损失。

5. 教育培训加强网络安全意识教育培训,提醒员工警惕网络安全威胁,教授安全使用网络的技巧和方法。

6. 网络审计与监控通过进行网络审计和实时监控,可以及时发现并应对潜在的网络威胁。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

e.week@ 2011-3-3 22:31:01
1. 1.4. 网络安全的基本属性
①机密性
也称为保密性:信息不泄露、不被非授权者获取与使用。占有性
②完整性

信息不被删除、添加、篡改、伪造。信息的真实性。

张 ③可用性
不宕机、不阻塞、能正常运行
1. 1.5. 网络信息安全性服务
e.week@ 2011-3-3 22:31:02
a. 安全域划分的原则
IT 系统网结构的安全域划分与传统意义上的物理隔离不同。物理 隔离是由于存在信息安全的威胁而消极地隔断网络使信息不能得以 共享。而安全域划分是在认真分析各套 IT 系统的安全需求和面临的 安全威胁的前提下,既重视各类安全威胁,也允许 IT 系统之间以及
张 种单因素的认证。由于其安全性依赖于口令强度、口令保护手段和口
令更换周期,口令一旦泄露,用户即可被冒充,就将存在严重的安全 问题。因此,基于口令的身份鉴别,必须加强对口令的管理。
普通系统用户的口令设置尽量不要设置为生日等具有明显联想 色彩的弱口令,而安全性要求比较高的系统,口令的长度要根据信息 系统处理国家秘密信息的密级决定。强度特别高的访问控制应使用一
k @ 供了一个健康规范灵活的网络环境。另一方面,将安全域划分为域内 e 划分和域外划分两种,域和域之间主要采用通过交换设备划分 VLAN we 和防火墙来彼此策略隔离,在域内主要根据不同被保护对象的安全需 e.求采用部署 AAA、IDS 和防病毒系统等来完成,因此,安全域的划
分不能脱离安全产品的部署。
任何一处的安全薄弱点被恶意攻击者利用的话,都有可能导致整 个安全体系的崩溃,这就是安全的“木桶原理”。但我们如果进行了 安全域的划分,则可能将这种破坏屏蔽在一个单个的域中。所以安全 域的分割是抗渗透的防护方式,安全域边界是灾难发生时的抑制点, 防止影响的扩散,同时安全域也是基于网络和系统进行安全建设部署 的依据,是基于网络和系统进行安全检查和评估的基础。
1. 1.3. 网络安全

网络安全概念

张 网络安全——是在分布式网络环境中,对信息载体(处理载体、存储
载体、传输载体)和信息的处理、存储、传输、访问提供安全保护, 以防止数据、信息内容或能力被非授权使用、篡改或拒绝服务。
从本质上来讲,网络安全就是网络上的信息安全,是指网络系统 的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原
生影响。
定 ( 2) 划分安全域 张 一般常常理解的安全域(网络安全域)是指同一系统内有相同的
m 安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策 co 略的子网或网络,且相同的网络安全域共享一样的安全策略。广义上 3. 则可认为安全域是具有相同业务要求和安全要求的 IT 系统要素的集 16 合。一个安全域内可进一步被划分为安全子域,安全子域也可继续依 e.week@ 次细化。
b. 安全域划分的方法
为满足组织网络安全分区防护的需求,我们需要为企业网络划分 不同的安全区域。划分安全区域可以根据以下方法进行
e.week@ ①基于分布式结构划分安全域 分布式结构的网络是将分布在不同地点的计算机通过线路互连 起来的一种网络形式,由于采用分散控制,即使整个网络中的某个局 部出现故障,也不会影响全网的操作,因而具有很高的可靠性。分布 式结构可以进行域内划分也可进行域外划分,如在域内可划分为核心 交换区、生产区、日常维护区、互联区和 DMZ 区,而在域外划分可 将网络安全区域划分为本地网络、远程网络、公众网络以及伙伴访问 网络等四个大的区域。
——完整性标识的生成与检验技术
• 保证数据源头不被伪造:
——身份认证技术、路由认证技术
e.week@ 2011-3-3 22:31:01
a. 文件完整性 b. 信息传输完整性
③可用性服务
可用性(availability):
祥 • 保证合法用户访问时总能从服务方即时得到需要的数据; 定 • 保证信息系统在恶劣工作环境下正常运行: 张 ——抗干扰、加固技术 m • 保证系统时刻能为授权人提供服务: co ——过载保护、防拒绝服务攻击、生存技术 163. a. 备份 e.week@ b. 在线恢复
c. 灾难恢复
④可控性服务
确保可以根据公司的安全策略对信息流向及行为方式进行授权控制。
⑤可审性服务
可审性(accountability):确保当对出现网络安全问题后能够提供调 查的依据和手段。
e.week@ 2011-3-3 22:31:01
• 身份鉴别机制
——你知道什么
——你有什么
张 外部的侵入需要穿过多层防护机制,不仅增加恶意攻击的难度,还为
主动防御提供了时间上的保证。如可以将网络分为核心层、汇聚层和 接入层,每个网络安全层次内部包含的服务器具有相似的应用处理功 能和相同的安全防护等级。而在不同的安全域之间则需要进行访问控 制以作适度的安全隔离。
e.week@ ④基于生命周期展开持续的防护 安全域的划分可以从一个 IT 业务系统建立的完整生命周期去考 虑问题,即分别在系统的设计、规划、实施、运维和废弃等几个阶段 考虑了 IT 安全建设的问题,而目前国内企业中可能大多都是基于已 建造好的 IT 业务系统上考虑安全问题,所以必须考虑到生产系统上
e.week@
①机密性服务
机密性(confidentiality): • 保证信息与信息系统不被非授权者获取与使用 • 保证系统不以电磁方式向外泄露信息
e.week@ 2011-3-3 22:31:01
——电磁屏蔽技术、加扰技术
ห้องสมุดไป่ตู้
• 使系统任何时候不被非授权人使用
——漏洞扫描、隔离、防火墙、访问控制、入侵检测、审计取证
a. 网络资源分组
企业的网络资源一般可以分为以下几类: • 终端用户资源。包括客户工作站以及相关外设,主要作为企业员
e.week@ 2011-3-3 22:31:02
工平常办公所用。 • 网络资源。包括路由器、交换机、集线器、配线柜以及墙里的网
线等,作为网络互联的中间系统,进行网络数据的路由、存储和 转发。
定祥 与其他系统之间正常传输和交换的合法数据。
①根据角色和安全级别进行划分
张 根据 IT 系统中各设备其所承担的工作角色和对安全方面要求的 om 不同进行划分。 .c ②在划分的同时有针对性的考虑安全产品的部署
163 从网络构架层面来讲,IT 系统网络整体结构安全域的划分是与安
全产品的部署密不可分的,一方面安全域的划分为安全产品的部署提
e.week@ 2011-3-3 22:31:02
工通讯信息的数据库被破坏,对组织不会造成致命影响,所受的 损失只是工作上的不方便而已。级别二资源通常约占系统比例的 20%,需要普通的安全保护、审核和恢复措施。 • 级别三,普通系统。此类系一般为终端用户资源,在组织中比例
祥 最大,约占75%左右,但它的破坏通常不会对级别一和级别二产
e.week@ 2011-3-3 22:31:03
②基于业务流程优化安全域
一套完整的业务流程可能由不同厂商的基于异构平台的多种服
务组合而成,每个服务都具有各自独立的安全域。这些安全域可能由
不同企业的不同部门负责管理和维护。
③基于层次结构构建立防护体系

定 对网络进行分层防护,有效地增加了系统的安全防护纵深,使得
e.week@ 次性口令机制。
b. 基于智能卡的身份认证
智能卡具有硬件加密功能,有较高的安全性。所有的智能卡都有 微芯片,芯片中可以包含所有者的详细信息,如个人信用卡帐号、驾
e.week@ 2011-3-3 22:31:03
份验证技术是第一道防线,这种技术是对用户的身份进行识别和验证, 以防止非法登录和访问。
认证方式一般有基于口令的认证方式、基于智能卡的认证方式和 基于生物特征的认证方式。
a. 基于口令的身份认证

定 基于口令的认证方式——是最传统也是最常用的一种技术,是一
——你是什么
• 双因子身份鉴别

• 身份识别和鉴别机制是各种安全服务的关键

张 • 审计提供过去事件的记录,必须基于合适的身份识别和鉴别服务
a. 身份标识与鉴别 b. 审计
1. 1.6. 安全基本要素
e.week@ ( 1) 划分安全级别 划分安全级别——网络安全策略的第一步就是为企业的各种网 络资源划分安全级别。在划分安全级别之前,我们需要先了解企业中 包括了哪些网络资源。
e.week@ 2011-3-3 22:31:03
③安全域的个数不应过多 安全域数量过多,会导致在安全策略设置上过于复杂,会给今后
管理带来很大不便。
④兼容当前的 IT 结构
祥 安全域划分的目的是发挥安全产品的整体效能,并不是对运营商 定 IT 系统原有局域网整体结构的彻底颠覆。因此在对运营商 IT 系统局 张 域网结构改造的同时需要考虑保护已有投资,避免重复投入与建设。
祥 • 服务器资源。为企业用户提供各种服务,如WWW、E-Mail、FTP 服务等。
定 • 信息存储资源。一般为数据库服务器,存储了企业种运作所需的 张 各种数据信息,如信用卡号、人力资源和敏感信息等。
b. 网络资源安全级别的划分
在将企业资源进行分类后,就可以根据它们在企业网络中扮演的
的安全解决方案的可操作性问题,此外还需要满足采用的措施不能影
响系统正常运行,同时应便于维护以及安全措施的操作简易性,因为
措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降
低了安全性。
e.week@ 2011-3-3 22:31:03
c. 某企业安全域划分示例
某组织按照机构职能和安全需求,根据具体的网络拓朴结构和网 络应用情况,对组织内进行安全域划分。不同的安全域之间采用防火 墙或 VLAN 进行隔离,并根据业务的实际情况出发对不同安全域间的 通信关系进行系统分析,如配置 VLAN 间路由和访问控制列表(ACL),