[信息系统监理师教程知识点精讲四.docxVIP

信息系统监理师教程知识点精讲（四）希赛小编为打算参加2017上半年信息系统监理师考试的你们准备了一些信息系统监理师教程知识点精讲，希望对大家有所帮助。网络规划与评审的原则在规划与评审计算机网络安全时应遵循以下原则。（1）需求、风险及代价平衡分析：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对其面临的威胁及可能承担的风险进行定性与定量相结合的分析。然后制定规范和措施，确定本系统的安全策略。用户可以根据自己网络的具体情况选择，但是要强调的是，系统必须具备整体安全性。（2）综合性及整体性：运用系统工程的观点和方法分析网络的安全问题，并制定具体措施，一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的安全包括个人、设备、软件及数据等因素，这些因素在网络安全中的地位和影响只有从系统综合的整体角度看待和分析，才能获得有效且可行的措施。（3）一致性：主要指网络安全应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初考虑网络安全对策，比网络建设好后考虑不但容易，而且花费也少得多。（4）易操作性：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，采用的措施不能影响系统的正常运行。（5）适应性及灵活性：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应并容易修改。（6）多重保护：任何安全保护措施都不是绝对安全的，都可能被攻破。应建立一个多重保护系统，各层保护相互补充。当某层保护被攻破时，其他层保护仍可保护信息的安全。按拓扑划分的安全策略外围安全性问题根据采用的具体网络技术和是否连接到互联网等公共网络而不同，从安全性的角度出发，有4种基本的网络连接。第1层：物理电路和租用专线。这些连接具有高度安全性，对企业的风险最小。无论是电信公司提供电路，还是隶属于内部接线的电路，攻击者必须物理地进入线路，方可获得网络接入并窃听或修改数据。在光媒体的情况下，很难在不被发现的情况下接入线路。一般来说，无需其他安全措施。在一些情况下，机构可能选择实施不同种类的加密，但一般仅限于传输高度敏感的数据或运行需符合政府安全规定的单位（如银行、政府机关或军队等）。第2层：VPN,依赖于网络设备配置，在办公地点间建立虚拟专用电路的网络连接。传统产品有帧中继、ATM和专用X.25.最近MPLSVPN和ATM上的MPLS也已用于提供相似功能。第1层电路和第2层VPN的主要差别在于，它受电信运营商的配置和控制的影响。第2层VPN不仅有物理线路切入的风险，而且攻击者还可能试图猜出正确的接入凭证（如密码）来接入网络。旧账户或共享账户、厂商提供的用户ID的默认密码和无密码用户等管理漏洞都可能给网络带来风险。大多数公司对第1层电路和第2层VPN采用相同的安全策略。然而一些公司可能认为第2层VPN相对不安全，尤其是如果针对新MPLS技术的成功攻击能得以证实，则更是如此。拨号技术：拨号技术允许拨号网络中的成员连接至其他成员。接入一般通过使用某种类型的验证技术，如密码、令牌或一次性密码或证书进行控制，例子包括POTS、ADSL和ISDN等。拨号技术的安全风险远大于第1层电路和第2层VPN技术。除具有两种技术的风险外，拨号技术还使用公共接入服务器，此种风险可通过使用VPN客户机进行拨号连接来缓解。应认真考虑进程加密、强大的验证、安全监控和入侵检测等。互联网：此类包括所有到互联网的拨号或第1层连接，这类连接对企业的威胁最大。尤其采用T1或帧中继等类型的专用互联网接入时，威胁更为明显。未授权连接的风险类似于拨号技术，但暴露于潜在黑客的可能性大大增加了，因为互联网攻击可来自于世界上任意地点。此外，因为高速连接，拒绝服务（DoS）攻击和溢流也增多了。最后，此连接可能支持关键任务应用和业务流程，提高了实施数据备份、热故障转移解决方案和意外事件规划的需要。当今企业中的一个主要考虑就是符合法律法规的要求，由此可涉及从实施防火墙、IDS、内容过滤器和VPN等安全技术，到获得持续风险评估和易损点测试的最佳实践的一切。系统安全和系统管理的关系系统安全可以采用多种技术来增强和执行，但是很多安全威胁来源于管理上的松懈及对安全威胁的认识不足。安全威胁主要利用以下途径。系统实现存在的漏洞。系统安全体系的缺陷。使用人员的安全意识薄弱。管理制度的薄弱。良好的系统管理有助于增强系统的安全性。及时发现系统安全的漏洞。建立完善的安全体系。加强对使用人员的安全知识教育。建立完善的系统管理制度并定期检查。综合布线设计原则布线系统是整个网络的基础结构，在规划时一般考虑如下问题。（1）采用何种类型。（2）需要的线缆数量。（3）何处需要布线。（4）在何处连接线缆。（5）如何管理布线。布线系统的生命周期一