14-信息安全体系建设.pptVIP

14-信息安全体系建设 1、信息安全基本要素 信息安全的攻与防 一些经典的结论 公理1 摩菲定理 所有的程序都有缺陷。 定理1 大程序定律 大程序的缺陷甚至比它包含的内容还多。 推理1-1 一个安全相关程序有安全性缺陷。 定理2 只要不运行这个程序，那么这个程序是否有缺陷，也无关紧要。 推理2-1 只要不运行这个程序，即使这个程序有安全性漏洞，也无关紧要。 定理3 对外暴露的计算机，应尽可能少地运行程序，且运行的程序也应尽可能小。 推理3-1 防火墙基本法则大多数主机不满足我们的要求：因为它们运行太多太大的程序。因此，唯一的解决办法是将真正希望运行的程序隔离在网络边界的另一边。 信息安全策略 自上而下地制定安全策略 密码技术与方法 不要使用太复杂的方法：RSA密码系统 不要使用太昂贵的设备 采用多防线技术 不要太过于依赖系统操作：定期备份 基本的安全建议 阻止或禁用所有没有显式允许的行为 总要设置足够复杂的口令，并经常更改 认真地使用厂商发布的补丁进行更新 使用最小的权限授权所有的访问 有限的信任 对所有的外部接口（包括拨号接口）心存怀疑 启用监视、记录、审查和检测功能 做好事件响应能力和业务连续能力的规划 技术并不能保护你不受到来自社会的攻击 开发安全策略，获得管理层的认可并广泛应用 进行真实的风险评估 比敌人更了解你的平台和应用程序 信息安全模型（一） 信息安全模型（二） 信息安全 网络安全组件 ?网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能 主机网络安全系统体系结构 信息安全技术 技术体系 信息安全防护 信息安全检测 信息安全响应 信息安全恢复 信息安全审计 安全机制 评估 认证 授权 监控 审计 应急 信息安全风险评估机制 信息安全风险评估机制作用: 及时发现安全隐患，便于事前响应 提供信息安全决策信息 信息安全风险评估机制组成: 信息资产健康档案库 漏洞扫描系统 安全渗透工具 信息安全认证授权机制 信息安全认证授权机制作用: 防止非法者进入 限制合法者权限 信息安全认证授权机制组成: 身份识别系统 授权系统 密码管理系统 信息安全防护机制 信息安全防护机制作用: 防止信息安全攻击发生 切断攻击链 信息安全防护机制组成: 防火墙系统 网络隔离系统 病毒防范系统 补丁管理系统 IPS系统 VPN 终端安全管理系统 信息安全监控机制 监控机制作用 监测可潜在威胁 提供安全状态报告 安全预警 减少安全事件造成的影响 提高应急响应的能力 监控机制组成 漏洞扫描系统 IP定位系统 入侵检测 报警事件关联分析 威胁场景数据库 信息安全审计机制 审计机制用途 威慑违法行为 安全策略一致性检查 安全取证 审计机制组成 人工登记 操作系统审计 数据库审计 防火墙日志 网络设备日志 专用审计设备 应急响应机制 应急响应机制组成: 应急管理系统 应急响应预案 应急响应指挥通信 监控系统 备份系统 容灾系统 应急响应工具 应急响应机制目标: 安全事件快速处置 灾害恢复 BS7799信息安全管理体系一般建立方法 信息安全等级保护体系建立方法 定级 安全设计和规划 监控与改进 信息安全体系建设典型解决方案 统一用户管理 网络安全边界控制 网络安全集中监测 网络集中统一防病毒 网络内容安全管理 远程访问安全 补丁统一管理 桌面安全管理 应用系统统一认证 现有网络安全体制 管理分析 实施策略 网络安全接入与认证 802.1x协议及工作机制 基于RADIUS的认证计费 基于802.1x的认证计费 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例 802.1x协议及工作机制 802.1x协议称为基于端口的访问控制协议（Port Based Network Access Control Protocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（Extensible Authentication Protocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。 802.1x协议及工作机制 802.1x协议包括三个重要部分： 客户端请求系统（Supplicant System） 认证系统（Authenticator System） 认证服务器（Authentication Server System） 基于RADIUS的认证计费 衡量RADIUS的标准 RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理