第13章 網(wǎng)絡(luò)安全

2023/2/41第13章網(wǎng)絡(luò)安全

本章的主要內(nèi)容解決網(wǎng)絡(luò)安全問題的一般設(shè)計步驟；網(wǎng)絡(luò)風(fēng)險評估介紹；網(wǎng)絡(luò)安全開發(fā)方案與過程；網(wǎng)絡(luò)安全機(jī)制設(shè)計——物理安全的概念；網(wǎng)絡(luò)安全機(jī)制設(shè)計——網(wǎng)絡(luò)安全的概念；網(wǎng)絡(luò)安全機(jī)制設(shè)計——信息安全的概念；網(wǎng)絡(luò)安全機(jī)制設(shè)計——數(shù)據(jù)存儲安全的概念。2023/2/42第13章網(wǎng)絡(luò)安全隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，全球信息化已成為人類社會發(fā)展的大趨勢。但由于計算機(jī)網(wǎng)絡(luò)具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。2023/2/4313.1網(wǎng)絡(luò)安全設(shè)計過程解決網(wǎng)絡(luò)安全問題的一般設(shè)計步驟如下：確定網(wǎng)絡(luò)資源；分析安全需求；評估網(wǎng)絡(luò)風(fēng)險；制定安全策略；決定所需安全服務(wù)種類；選擇相應(yīng)安全機(jī)制；安全系統(tǒng)集成；測試安全性，定期審查；培訓(xùn)用戶、管理者和技術(shù)人員。2023/2/44進(jìn)行風(fēng)險評估需要系統(tǒng)地考慮以下問題：企業(yè)對外開放的程度及對黑客的吸引力有多大；安全故障可能造成的業(yè)務(wù)損失，包含由于信息和其他資產(chǎn)的保密性、完整性或可用性損失可能造成的后果；企業(yè)網(wǎng)絡(luò)互連網(wǎng)服務(wù)是否是必須的，這些服務(wù)的風(fēng)險有多大；當(dāng)前主要的威脅和漏洞帶來的現(xiàn)實安全問題，以及目前實施的控制措施。安全狀態(tài)評估通常采用5種方式來了解安全漏洞：對現(xiàn)有安全策略和制度進(jìn)行分析；13.1.1網(wǎng)絡(luò)風(fēng)險評估2023/2/45參照一些通用的安全基線來考查系統(tǒng)安全狀態(tài)；利用安全掃描工具來發(fā)現(xiàn)一些技術(shù)性的常見漏洞；允許一些有經(jīng)驗的人在監(jiān)管之下對特定的機(jī)密信息和區(qū)域做模擬入侵系統(tǒng)，以確定特定區(qū)域和信息的安全等級；對該系統(tǒng)的安全管理人員和使用者進(jìn)行訪談，以確定安全管理制度的執(zhí)行情況和漏洞。一般的風(fēng)險評估可采用以下方法：遵循有關(guān)規(guī)定量化分析方法定性分析方法2023/2/46風(fēng)險評估工具的種類：基于國家或政府頒布的信息安全管理標(biāo)準(zhǔn)或指南而建立風(fēng)險評估工具，如CRAMM，RA等；基于專家系統(tǒng)的風(fēng)險評估工具，如COBRA，@RISK，BDSS等；基于定性或定量算法的風(fēng)險分析工具，如CONTROL-IT，DefinitiveScenario，JANBER都是定性的風(fēng)險評估工具，而@RISK，TheBuddySystem，RiskCALC，CORA（Cost-of-RiskAnalysis）是半定量（定性與定量方法相結(jié)合）的風(fēng)險評估工具。2023/2/47根據(jù)風(fēng)險評估結(jié)果制定相應(yīng)的安全策略安全策略的制定步驟對策略的評估開發(fā)安全策略的過程實現(xiàn)安全服務(wù)種類安全服務(wù)的一般分類安全服務(wù)在工程中的分類安全系統(tǒng)集成明確面臨的各種可能攻擊和風(fēng)險；明確安全策略；建立安全模型；選擇并實現(xiàn)安全服務(wù)；將安全服務(wù)配置到具體協(xié)議里。13.1.2網(wǎng)絡(luò)安全開發(fā)與過程2023/2/4813.2網(wǎng)絡(luò)安全機(jī)制設(shè)計主要包括如下3個方面：環(huán)境安全設(shè)備安全媒體安全正常的防范措施主要有以下方面：對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理。本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制。對終端設(shè)備輻射的防范。13.2.1物理安全2023/2/49計算機(jī)系統(tǒng)安全防止未授權(quán)存取防止泄密防止用戶拒絕系統(tǒng)的管理防止丟失系統(tǒng)的完整性和正確性防火墻基本型防火墻13.2.2網(wǎng)絡(luò)安全2023/2/410復(fù)合型防火墻分布式防火墻設(shè)置防火墻的要素如下：網(wǎng)絡(luò)策略服務(wù)訪問策略防火墻設(shè)計策略增強的認(rèn)證2023/2/411入侵檢測監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶行動。選購入侵檢測系統(tǒng)的考慮因素：入侵檢測系統(tǒng)的價格部署入侵檢測系統(tǒng)的環(huán)境入侵檢測系統(tǒng)的實際性能產(chǎn)品的可伸縮性產(chǎn)品的入侵響應(yīng)方式是否通過了國家權(quán)威機(jī)構(gòu)的測評2023/2/412網(wǎng)絡(luò)反病毒預(yù)防病毒技術(shù)檢測病毒技術(shù)殺毒技術(shù)病毒防治軟件安裝位置布署一種防病毒的實際操作一般包括的步驟：制定計劃：了解在所管理的網(wǎng)絡(luò)上存放的是什么類型的數(shù)據(jù)和信息。調(diào)查：選擇一種能滿足使用要求并且具備盡量多的各種功能的防病毒軟件。測試：在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和應(yīng)用軟件相兼容。2023/2/413維護(hù)：管理和更新系統(tǒng)確保其能發(fā)揮預(yù)計的功能，并且可以利用現(xiàn)有的設(shè)備和人員進(jìn)行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進(jìn)行升級，徹底理解這種防病毒系統(tǒng)的重要特性。系統(tǒng)安裝：在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個網(wǎng)絡(luò)范圍內(nèi)。常用防病毒軟件網(wǎng)絡(luò)數(shù)據(jù)安全某