09网络安全防护策略资料.ppt

第12章 网络安全策略 当前安全必威体育官网网址存在的主要问题 1、安全必威体育官网网址意识淡薄，重建设、轻防护的现象比较突出； 2、主要软、硬件依赖进口，泄密隐患严重； 3、安全必威体育官网网址技术落后，防护能力低下； 4、组织管理跟不上，缺乏宏观规划，规章制度也不健全、不严格。 目前信息系统面临的主要安全问题 1、网络信息的安全问题。主要威胁有特洛伊木马程序、拒绝服务攻击、入侵、网络欺骗、信息窃取和病毒等。 2、关键设备依赖进口的问题。隐含有后门。 3、电磁辐射问题。 4、必威体育官网网址意识问题。WWW、BBS等泄密，介质丢失、被盗泄密等。 构造网络安全防范体系的策略? 安全网络的总体策略 总体策略是结合管理与技术两方面的因素，从宏观角度提出安全网络的策略，主要包括： 1、管理与技术并重的策略 -是安全策略的基本出发点 2、整体安全防范策略 3、多层次安全防范策略 4、相对安全的策略 5、投入与安全平衡的策略 1、管理与技术并重的策略: 管理是根本，技术是手段。即要建立起一套严格，完整的网络安全管理制度，又要建立起一套先进，完善的技术防范措施-是安全策略的基本出发点 2、整体安全防范策略： 安全体系的建立必须从全局出发，各站点应该从内部网络角度建立自己的保护措施，以防一点突破，危害全局； 各站点在安全技术上应该协同配合，采用一些共同的安全技术组成一种整体联合的安全保障体系； 不采用带有安全隐患的产品，技术； 不提供带有安全隐患的服务 还应制定一套各站点必须共同遵循的网络安全管理制度。 3、多层次安全防范策略：充分考虑构成网络的各个组成元素：网络通信设备，网络传输设备、网络终端设备(用户PC、服务器等)和网络使用者，针对不同的网络组成部分制定层次化的安全策略，整合到一个完整的安全基础架构中 4、相对安全的策略：克服一劳永逸的思想，明确系统的建设需要一个总体规划，分步实施，不断认识，不断发展的过程。 5、投入与安全平衡的策略：在网络服务，安全保障和应用成本之间找到一个最佳平衡点。 构筑信息安全万里长城的提法是不切实际的 1997年11月，美国Carnegie Mellon大学R. J. Ellison 等提出了生存网络系统(Survivable Network System简称SNS) 这一概念 。 SNS承认网络可被攻破并以此为前提对网络安全机制进行了重新思考。SNS以网络承担的任务(mission)为中心和出发点，对任务进行等级划分,进而确定哪些任务是在任何情况下都必须保证实现(基本任务),哪些任务是在网络恢复正常后才继续执行(非基本任务) 网络信息系统安全必威体育官网网址的目标 按照“先进、科学、可靠、适用”的标准，以“非法用户进不来，秘密信息取不走，网络基础摧不垮”为目标。 制定安全策略应该注意的问题： 1、在定义安全策略前，首先回答如下问题： 你试图保护哪些资源 资源的重要程度 可能存在的威胁 资源防范的对象 采取什么样的措施既能使资源得到保护又能使资源可用 2、在此基础上，在设计过程中还应该注意以下几点原则： 最小特权： 薄弱环节: 阻塞点：集中力量对有限的输入／输出点进行控制和监视。 多层次防御： 失败时的反应策略： 3、在制定管理体制时，应注意以下几点： 制定符合国家规定的网络安全必威体育官网网址管理办法 规范信息安全等级和制定网络用户信息访问控制权限 设定网络安全机构和部门安全必威体育官网网址管理人员 建立网络安全事故的及时上报制度 加强安全教育和培训工作，提高计算机人员的安全意识。 安全策略的等级 安全策略是由一组规则组成的，对系统中所有与安全相关元素的活动做一些限制性规定。 安全策略可分为四个等级： 第一级 内部网络与外部网络不互连。如涉及国家机密或军事机密网络的安全系统。 第二级 只允许授权用户访问网络系统，其它的访问行为都被禁止；如银行、证券网络的安全系统。 第三级 除那些被明确禁止的网络访问行为之外，其它的一切行为都被允许；如很多的行业网络的安全系统。 第四级 所有一切都被允许，当然也就包括那些被禁止的。如INTERNET网络。 网络安全机制 数据加密机制 访问控制机制 数据完整性机制 数字签名机制 交换鉴别机制：通过互相交换信息的方式来确认双方彼此的身份，方法：口令鉴别、数据加密鉴别、实物属性鉴别。 流量填充机制：用于对付窃听者的流量分析。 路由控制机制：按用户意愿，控制信息流向 公证机制：解决通信双方由于诚信问题产生的纠纷。 提高计算机在网络上的安全性 在联网的计算机上工作，操作者必须养成一些良好的安全习惯，否则很容易成为黑客或者一些人测试黑客工具的实验品。 1）不要随便运行不太了解的程序。如“特洛伊木马”类黑客程序就需要骗你运行后，才能起到窃密作用。 2）密码设置尽可能使用字