- 1、本文档共11页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
企业网络安全区域设计原则与划分方法
网络逐渐成为企业运营不可或缺的一部分,基于互联网的应用、远程培训、在线订购以及财务交易等,极大地提高企业的生产力和盈利能力,带来很多的便利。
但在享受便利的同时,网络系统同样也成为安全威胁的首要目标,网络安全面临着前所未有的威胁。威胁不仅来自人为的破坏,也来自自然环境。各种人员、机构出于各种目的攻击行为,系统自身的安全缺陷(脆弱性),以及自然灾难,都可能构成对企业网络系统的威胁。
威胁的发起因素是威胁的主体, 按威胁主体的性质分类, 安全威胁可以分为人为的安全威胁和非人为的安全威胁。按人为攻击的方式分类,可以分为被动攻击、主动攻击、邻近攻击和分发攻击等。
1、安全威胁
非人为的安全威胁
非人为的安全威胁主要分为两类,一类是自然灾难,另一类是技术局限性。信息系统都是在一定的物理环境下运行, 自然灾难对信息系统的威胁是非常严重的。典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可能会对信息系统造成毁灭性的破坏。
同所有技术一样,信息技术本身也存在局限性,有很多缺陷和漏洞。典型的缺陷包括:系统、硬件、软件的设计缺陷、实现缺陷和配置缺陷。信息系统的高度复杂性以及信息技术的高速发展和变化,使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。
人为安全威胁
网络系统面临的人为安全威胁可分为外部威胁和内部威胁,人为安全威胁主要是人为攻击,主要分为以下几类:被动攻击、主动攻击、邻近攻击、分发攻击。
被动攻击
这类攻击主要包括被动监视通信信道上的信息传送。被动攻击主要是了解所传送的信息,一般不易被发现。典型攻击行为有:
a) 监听通信数据;
b) 解密加密不善的通信数据;
c) 口令截获;
d) 通信流量分析。
主动攻击
主动攻击为攻击者主动对信息系统实施攻击,包括企图避开安全保护,引入恶意代码,以及破坏数据和系统的完整性。
a) 修改数据;
b) 重放所截获的数据;
c) 插入数据;
d) 盗取合法建立的会话;
e) 伪装;
f) 越权访问;
g) 利用缓冲区溢出(BOF)漏洞执行代码;
h) 插入和利用恶意代码(如:特洛依木马、后门、病毒等);
i) 利用协议、软件、系统故障和后门;
j) 拒绝服务攻击。
邻近攻击
此类攻击的攻击者试图在地理上尽可能接近被攻击的网络、系统和设备,目的是修改、收集信息,或者破坏系统。这种接近可以是公开的或秘密的,也可能是两种都有,邻近攻击最容易发生在没有良好保安措施的地方。典型的邻近攻击有:
a) 偷取磁盘后又还回;
b) 偷窥屏幕信息;
c) 收集作废的打印纸;
d) 物理毁坏通信线路。
分发攻击
分发攻击是指在系统硬件和软件的开发、生产、运输、安装和维护阶段,攻击者恶意修改设计、配置等行为。典型的分发攻击方式有:
a) 利用制造商在设备上设置隐藏的攻击途径;
b) 在产品分发、安装时修改软硬件配置,设置隐藏的攻击途径;
c) 在设备和系统维护升级过程中修改软硬件配置,设置隐藏的攻击途径。直接通过因特网进行远程升级维护具有较大的安全风险。
内部威胁
内部威胁是由于内部管理不善, 由内部合法人员造成, 他们具有对系统的合法访问权限。内部合法人员对系统的威胁, 除了具有上述人为安全威胁的攻击方式, 还具有其特有的攻击手段。内部威胁分为恶意和非恶意两种,即恶意攻击和非恶意威胁。恶意攻击是指出于各种目的而对所使用的信息系统实施的攻击。非恶意威胁则是由于合法用户的无意行为造成了对政务信息系统的攻击,他们并非故意要破坏信息和系统,但由于误操作、经验不足、培训不足而导致一些特殊的行为,对系统造成了破坏。
典型的内部威胁有:
a) 恶意修改数据和安全机制配置参数;
b) 恶意建立未授权的网络连接,如:拨号连接;
c) 恶意的物理损坏和破坏;
d) 无意的数据损坏和破坏,如:误删除。
2、传统安全防范技术
面对如此众多的威胁威胁, 传统安全防范技术强调单个安全产品的重要性, 如防火墙的性能和功能,IDS 入侵检测系统的高效性等,而对全网的安全威胁没有一个仔细的研究,对网络安全的设计没有明确的层次和区域,如下图所示:
网络中部署了相关的安全产品,防火墙,VPN,IDS,安全管理等,但由于组网方式很随意,没有统一规划,不清楚网络的威胁,层次,区域策略,安全防护手段部署原则不明确,当网络某一局部出现安全隐患被侵入后,由于网络之间边界不清楚,无清楚的边界控制,攻击很容易扩散,从而局部侵入马上成为全网侵入,造成对全网的威胁。当局部的蠕虫泛滥,造成全网的快速泛滥,企业用户缺乏足够的缓冲处理时间,可能很快造成全网瘫痪,而部署的安全设备也不能充分的发挥作用,成为资源的浪费。
3、纵深防御和安全区域划分
因此,在多种多样的安全威胁前,企业需要建立纵深防御体系,防止因某个部分的侵入而导致整个系统
您可能关注的文档
- 两千字解析产业端供应链金融的两大风险因素.docx
- 某银行核心系统基于华为高端NAS存储双活实践.docx
- 银行双活数据中心建设项目实践.docx
- 数量治理宏观架构及数字经济红线意识安全流动.pptx
- 企业集中监控体系思路及架构.docx
- 数据治理对运维数据体系的思考与启发.docx
- 数字化转型过程中需要厘清的几个关系:技术与规则.docx
- 银行新核心基础架构规划及实施方案.docx
- 保险行业数字化转型_V5.0.pdf
- 金融行业容器平台建设方案.pdf
- 10《那一年,面包飘香》教案.docx
- 13 花钟 教学设计-2023-2024学年三年级下册语文统编版.docx
- 2024-2025学年中职学校心理健康教育与霸凌预防的设计.docx
- 2024-2025学年中职生反思与行动的反霸凌教学设计.docx
- 2023-2024学年人教版小学数学一年级上册5.docx
- 4.1.1 线段、射线、直线 教学设计 2024-2025学年北师大版七年级数学上册.docx
- 川教版(2024)三年级上册 2.2在线导航选路线 教案.docx
- Unit 8 Dolls (教学设计)-2024-2025学年译林版(三起)英语四年级上册.docx
- 高一上学期体育与健康人教版 “贪吃蛇”耐久跑 教案.docx
- 第1课时 亿以内数的认识(教学设计)-2024-2025学年四年级上册数学人教版.docx
文档评论(0)