安全生產(chǎn)_網(wǎng)絡(luò)安全管理概述

網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)安全管理概述網(wǎng)絡(luò)安全管理策略網(wǎng)絡(luò)安全管理實例WINDOWS安全管理防火墻與IDS部署實例企業(yè)網(wǎng)絡(luò)防毒防護互聯(lián)網(wǎng)內(nèi)容管理數(shù)據(jù)備份與容災(zāi)技術(shù) 安全涉及的因素 網(wǎng)絡(luò)安全 信息安全 物理安全 網(wǎng)絡(luò)安全 因特網(wǎng) 網(wǎng)絡(luò)對國民經(jīng)濟的影響在加強 安全漏洞危害在增大 信息對抗的威脅在增加 研究安全漏洞以防之 因特網(wǎng) 電力 交通 通訊 控制 廣播 工業(yè) 金融 醫(yī)療 研究攻防技術(shù)以阻之 信息安全 信息竊取 信息傳遞 信息冒充 信息篡改 信息抵賴 加密技術(shù) 完整性技術(shù) 認證技術(shù) 數(shù)字簽名 文化安全 信息傳送自由 有害信息泛濫 主動發(fā)現(xiàn)有害信息源并給予封堵 監(jiān)測網(wǎng)上有害信息的傳播并給予截獲 隱患 措施 物理安全 網(wǎng)絡(luò)存在的威脅 網(wǎng)絡(luò) 內(nèi)部 外部泄密 拒絕服務(wù)攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計算機病毒 信息丟失 篡改 銷毀 后門 隱蔽通道 蠕蟲 冒名頂替 廢物搜尋 身份識別錯誤 不安全服務(wù) 配置 初始化 乘虛而入 代碼炸彈 病毒 更新或下載 特洛伊木馬 間諜行為 撥號進入 算法考慮不周 隨意口令 口令破解 口令圈套 竊聽 偷竊 網(wǎng)絡(luò)安全威脅 線纜連接 身份鑒別 編程 系統(tǒng)漏洞 物理威脅 網(wǎng)絡(luò)安全威脅的類型 網(wǎng)絡(luò)安全管理概念 網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理重要組成部分之一網(wǎng)絡(luò)安全管理是指通過一定安全技術(shù)措施和管理手段 確保網(wǎng)絡(luò)資源的保密性 可用性 完整性 可控制性 抗抵賴性 不致因網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)通信協(xié)議 網(wǎng)絡(luò)服務(wù) 網(wǎng)絡(luò)管理受到人為和自然因素的危害 而導(dǎo)致網(wǎng)絡(luò)中斷 信息泄露或破壞 網(wǎng)絡(luò)安全管理基本屬性 網(wǎng)絡(luò)安全管理基本屬性 可用性 得到授權(quán)的實體在需要時可訪問數(shù)據(jù) 即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作可控性 可以控制授權(quán)范圍內(nèi)的信息流向及行為方式機密性 確保信息不暴露給未授權(quán)的實體或進程完整性 只有得到允許的人才能修改數(shù)據(jù) 并且能夠判別出數(shù)據(jù)是否已被篡改抗抵賴性 可審查性 對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段 網(wǎng)絡(luò)安全管理目標(biāo) 網(wǎng)絡(luò)安全管理目標(biāo) 網(wǎng)絡(luò)安全管理目標(biāo)就是通過適當(dāng)?shù)陌踩婪洞胧?確保網(wǎng)絡(luò)系統(tǒng)中的資源五個基本安全屬性 機密性 完整性 可用性 抗抵賴性 可控性 得到保證實現(xiàn) 以滿足網(wǎng)上業(yè)務(wù)開展的安全要求 網(wǎng)絡(luò)安全管理目標(biāo) 使用訪問控制機制 阻止非授權(quán)用戶進入網(wǎng)絡(luò) 即 進不來 從而保證網(wǎng)絡(luò)系統(tǒng)的可用性 使用授權(quán)機制 實現(xiàn)對用戶的權(quán)限控制 即不該拿走的 拿不走 同時結(jié)合內(nèi)容審計機制 實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性 使用加密機制 確保信息不暴漏給未授權(quán)的實體或進程 即 看不懂 從而實現(xiàn)信息的保密性 使用數(shù)據(jù)完整性鑒別機制 保證只有得到允許的人才能修改數(shù)據(jù) 而其它人 改不了 從而確保信息的完整性 使用審計 監(jiān)控 防抵賴等安全機制 使得攻擊者 破壞者 抵賴者 走不脫 并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段 實現(xiàn)信息安全的可審查性 在安全法律 法規(guī) 政策的支持與指導(dǎo)下 通過采用合適的安全技術(shù)與安全管理措施 完成以下任務(wù) 網(wǎng)絡(luò)安全管理內(nèi)容 網(wǎng)絡(luò)安全體系結(jié)構(gòu) 安全管理技術(shù) 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 安全集成技術(shù) 網(wǎng)絡(luò)安全管理要素 企業(yè)網(wǎng)絡(luò)安全主要構(gòu)成因素 人 制度 技術(shù) 人 網(wǎng)絡(luò)安全管理的根本因素 人是安防體系中的最薄弱環(huán)節(jié) 對安全防護工作重視的領(lǐng)導(dǎo)是安防工作順利推進的主要動力 有強烈安全防護意識的員工是企業(yè)安防體系得以切實落實的基礎(chǔ) 杜絕企業(yè)內(nèi)部員工攻擊網(wǎng)絡(luò)系統(tǒng)是加強安全防護的一項重要工作 人 網(wǎng)絡(luò)安全管理的根本因素 加強安全教育 提高網(wǎng)絡(luò)安全意識 啟蒙 為安全培訓(xùn)工作打基礎(chǔ) 端正對企業(yè)的態(tài)度 讓他們充分認識到安防工作的重要意義及在不重視安防工作的危險后果 培訓(xùn) 傳授安全技巧 使其更好的完成自己的工作 教育 目標(biāo)是培養(yǎng)IT安防專業(yè)人才 重點在于拓展應(yīng)付處理復(fù)雜多變的攻擊活動的能力和遠見 制度 網(wǎng)絡(luò)安全管理的基礎(chǔ) 美國薩班斯法案國家的信息安全和網(wǎng)絡(luò)管理法規(guī)政策中華人民共和國計算機信息系統(tǒng)安全保護條例計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法中華人民共和國電子簽名法計算機信息系統(tǒng)安全保護等級劃分準則互聯(lián)網(wǎng)信息服務(wù)管理辦法企業(yè)內(nèi)部管理制度計算機上機管理制度用戶賬戶管理制度internet訪問管理制度信息保護管理制度防火墻管理制度應(yīng)用服務(wù)器使用制度 制度 網(wǎng)絡(luò)安全管理的基礎(chǔ) 安防制度的生命周期 制度的生命周期包括制度的制定 推行和監(jiān)督實施 第一階段 規(guī)章制度的制定 本階段以風(fēng)險評估工作的結(jié)論為依據(jù)制定出消除 減輕和轉(zhuǎn)移風(fēng)險所需要的安防控制措施 第二階段 企業(yè)發(fā)布執(zhí)行的規(guī)章制度 以及配套的獎懲措施 第三階段 規(guī)章制度的監(jiān)督實施 制度的監(jiān)督實施應(yīng)常抓不懈 反復(fù)進行 保證制度能夠跟上企業(yè)的發(fā)展和變化 制度的監(jiān)督實施 制度的制定 制度的推行 技術(shù) 網(wǎng)絡(luò)安全管理的基本保證 完善的整體防衛(wèi)架構(gòu) 防火墻 訪問控制 防病毒 入侵檢測 虛擬專用網(wǎng) 漏洞評估 如果將計算機網(wǎng)絡(luò)比作城堡 技術(shù) 網(wǎng)絡(luò)安全管理的基本保證 防火墻就是城堡的護城橋 河 只允許己方的隊伍通過 入侵監(jiān)測系統(tǒng)就是城堡中的了望哨 監(jiān)視有無敵方或其他誤入城堡的人出現(xiàn) VPN就是城褒外到城堡內(nèi)的一個安全地道 有時城堡周圍遍布敵軍而內(nèi)外需要聯(lián)絡(luò) 漏洞評估就是巡鑼 檢測城堡是否堅固以及是否存在潛在隱患 防病毒產(chǎn)品就是城堡中的將士 想方設(shè)法把發(fā)現(xiàn)的敵人消滅 網(wǎng)絡(luò)安全管理要素 安全模型 P2DR2 建立安全模型 P2DR2 Detection入侵檢測 Protect安全保護 Reaction安全響應(yīng) Recovery安全恢復(fù) Policy安全策略 統(tǒng)一管理 協(xié)調(diào)PPDRR之間的行動 安全模型 P2DR2 建立安全模型 P2DR2 安全模型 P2DR2 策略Policy 定義系統(tǒng)的監(jiān)控周期 確立系統(tǒng)恢復(fù)機制 制定網(wǎng)絡(luò)訪問控制策略和明確系統(tǒng)的總體安全規(guī)劃和原則 防護Protection 充分利用防火墻系統(tǒng) 實現(xiàn)數(shù)據(jù)包策略路由 路由策略和數(shù)據(jù)包過濾技術(shù) 應(yīng)用訪問控制規(guī)則達到安全 高效地訪問 應(yīng)用NAT及映射技術(shù)實現(xiàn)IP地址的安全保護和隔離 檢測Detection 利用防火墻系統(tǒng)具有的入侵檢測技術(shù)及系統(tǒng)掃描工具 配合其他專項監(jiān)測軟件 建立訪問控制子系統(tǒng)ACS 實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的入侵監(jiān)測及日志記錄審核 以利及時發(fā)現(xiàn)透過ACS的入侵行為 響應(yīng)Response 在安全策略指導(dǎo)下 通過動態(tài)調(diào)整訪問控制系統(tǒng)的控制規(guī)則 發(fā)現(xiàn)并及時截斷可疑鏈接 杜絕可疑后門和漏洞 啟動相關(guān)報警信息 恢復(fù)Restore 在多種備份機制的基礎(chǔ)上 啟用應(yīng)急響應(yīng)恢復(fù)機制實現(xiàn)系統(tǒng)的瞬時還原 進行現(xiàn)場恢復(fù)及攻擊行為的再現(xiàn) 供研究和取證 實現(xiàn)異構(gòu)存儲 異構(gòu)環(huán)境的高速 可靠備份 安全模型 P2DR2 安全模型 P2DR2 安全模型 P2DR2 安全模型 P2DR2 網(wǎng)絡(luò)安全管理基本方法 管理方法 系統(tǒng)化管理方法 應(yīng)急響應(yīng)管理方法 生命周期的管理方法 層次化和協(xié)作式管理方法 風(fēng)險評估與控制方法 動態(tài)管理方法 網(wǎng)絡(luò)安全管理基本流程 網(wǎng)絡(luò)安全管理應(yīng)急響應(yīng)流程 Title 第二步 安全事件確認 第一步 安全事件報警 第三步 啟動應(yīng)急預(yù)案 第四步 安全事件處理 第六步 應(yīng)急工作總結(jié) 第五步 撰寫安全事件報告 漏洞掃描 系統(tǒng)安全增強方法 系統(tǒng)安全 停止服務(wù)和卸載軟件 安全漏洞打補丁 升級或更換程序 安裝專用的安全工具軟件 修改配置或權(quán)限 去除特洛伊等惡意程序 Windows系統(tǒng)安全增強基本流程 確認系統(tǒng)安全增強的安全目標(biāo)和系統(tǒng)的業(yè)務(wù)用途安裝最小化的操作系統(tǒng)安裝最新系統(tǒng)補丁配置安裝的系統(tǒng)服務(wù)配置安全策略慎用NetBIOS賬戶安全配置文件系統(tǒng)安全配置配置TCP IP篩選和ICF用光盤或軟盤啟動安裝第三方防護軟件使用屏幕保護口令設(shè)置應(yīng)用軟件安全 UNIX Linux系統(tǒng)安全增強基本流程 認證技術(shù) Title 接入認證 口令認證 基于生物特征認證 單點登陸 智能卡 USB認證 PKI 數(shù)字證書 互聯(lián)網(wǎng)內(nèi)容管理 協(xié)助管理員有效地調(diào)整網(wǎng)絡(luò)性能 網(wǎng)閘 網(wǎng)閘通過利用一種GAP技術(shù) 源于英文的 AirGap 使兩個或者兩個以上的網(wǎng)絡(luò)在不連通的情況下 實現(xiàn)它們之間安全數(shù)據(jù)交換和共享 其技術(shù)原理是一個具有控制功能的開關(guān)讀寫存儲安全設(shè)備 通過開關(guān)的設(shè)置來連接或切斷兩個獨立主機系統(tǒng)的數(shù)據(jù)交換 網(wǎng)絡(luò)安全管理實例 WINDOWS安全管理防火墻與IDS部署實例企業(yè)網(wǎng)絡(luò)防毒防護互聯(lián)網(wǎng)內(nèi)容管理數(shù)據(jù)備份與容災(zāi)技術(shù) 防火墻 防火墻部署基本步驟第一步 根據(jù)組織或公司的安全策略要求 將網(wǎng)絡(luò)劃分成若干安全區(qū)域 第二步 在安全區(qū)域之間設(shè)置針對網(wǎng)絡(luò)通信的訪問控制點 第三步 針對不同訪問控制點的通信業(yè)務(wù)需求 制定相應(yīng)的邊界安全策略 第四步 依據(jù)控制點的邊界安全策略 采用合適的防火墻技術(shù)和防范結(jié)構(gòu) 第五步 在防火墻上 配置實現(xiàn)對應(yīng)的邊界安全策略 第六步 測試驗證邊界安全策略是否正常執(zhí)行 第七步 運行和維護防火墻 企業(yè) 政府縱向網(wǎng)絡(luò)中防火墻的部署 內(nèi)部網(wǎng)絡(luò)安全防護中防火墻的部署 高可靠性網(wǎng)絡(luò)中防火墻部署 網(wǎng)絡(luò)入侵管理 IDS部署基本步驟第一步 根據(jù)組織或公司的安全策略要求 確定IDS要監(jiān)測對象或保護網(wǎng)段第二步 在監(jiān)測對象或保護網(wǎng)段 安裝IDS探測器 采集網(wǎng)絡(luò)入侵檢測所需要的信息第三步 針對監(jiān)測對象或保護網(wǎng)段的安全需求 制定相應(yīng)的檢測策略第四步 依據(jù)檢測策略 選用合適的IDS結(jié)構(gòu)類型第五步 在IDS上 配置入侵檢測規(guī)則第六步 測試驗證IDS的安全策略是否正常執(zhí)行第七步 運行和維護IDS HIDS典型部署案例 HIDS分布式應(yīng)用HIDS單機應(yīng)用 NIDS典型部署案例 檢測內(nèi)部網(wǎng)入侵行為 外部威脅監(jiān)測與識別 互聯(lián)網(wǎng)內(nèi)容管理 協(xié)助管理員有效地調(diào)整網(wǎng)絡(luò)性能 互聯(lián)網(wǎng)內(nèi)容管理需求分析 典型的因互聯(lián)網(wǎng)使用不當(dāng)導(dǎo)致的安全問題如下 互聯(lián)網(wǎng)的不合理使用 導(dǎo)致學(xué)生學(xué)習(xí)效率下降互聯(lián)網(wǎng)上充斥著惡意軟件 給網(wǎng)絡(luò)帶來安全風(fēng)險互聯(lián)網(wǎng)資源的非法使用 可能會給學(xué)?；蚪M織帶來法律風(fēng)險互聯(lián)網(wǎng)資源的不公平使用 會對現(xiàn)有的網(wǎng)絡(luò)帶寬造成嚴重影響 互聯(lián)網(wǎng)內(nèi)容管理基本流程 針對組織中不同的網(wǎng)絡(luò)訪問者 制訂互聯(lián)網(wǎng)訪問控制策略 例如 網(wǎng)絡(luò)流量大小規(guī)則 Web站點訪問規(guī)則 網(wǎng)絡(luò)應(yīng)用服務(wù)類型控制 網(wǎng)頁瀏覽內(nèi)容限制規(guī)則 郵件內(nèi)容訪問限制 選擇合適的安全設(shè)備來實施互聯(lián)網(wǎng)訪問控制策略部署互聯(lián)網(wǎng)訪問控制設(shè)備 配置實現(xiàn)互聯(lián)網(wǎng)訪問控制策略監(jiān)控互聯(lián)網(wǎng)訪問控制設(shè)備運行狀態(tài) 更新安全策略 互聯(lián)網(wǎng)內(nèi)容管理策略 網(wǎng)站訪問控制策