网络安全解决方案.pptVIP

第10章网络平安解决方案;10.1网络平安体系结构;网络时代的信息平安有非常独特的特征，研究信息平安的困难在于：

边界模糊

评估困难

平安技术滞后

管理滞后;2.网络与信息平安体系

要实施一个完整的网络与信息平安体系，至少应包括三类措施，并且三者缺一不可。

一是社会的法律政策、规章制度措施

二是技术措施

三是审计和管理措施;数据平安、平台平安、效劳平安要求用完整的信息保障体系，并不断开展传统的信息平安概念。

保护、检测、响应、恢复涵盖了对现代网络信息系统保护的各个方面，构成了一个完整的体系，使网络信息平安建筑在更坚实的根底之上。;〔1〕保护〔Protect〕：

保护包括传统平安概念的继承，用加解密技术、访问控制技术、数字签名技术，从信息动态舆、数据静态存储和经授权方可使用，以及可验证的信息交换过程等到方面对数据及其网上操作加以保护。;〔2〕检测〔Detect〕：

检测的含义是，对信息传输的内容的可控性的检测，对信息平台访问过程的甄别检测，对违规与恶意攻击的检测，对系统与网络弱点与漏洞的检测等等。;〔3〕响应〔React〕：

在复杂的信息环境中，保证在任何时候信息平台能高效正常运行，要求平安体系提供有力的响应机制。;〔4〕恢复〔Restore〕：

狭义的恢复指灾难恢复，在系统受到攻击的时候，评估系统受到的危害与损失，按紧急响应预案进行数据与系统恢复，启动备份系统恢复工作等。广义的恢复还包括灾难生存等现代新兴学科的研究。;保护、检测、响应、恢复四个概念之间存在着一定的因果和依存关系，形成一个整体。如果全面的保护仍然不能确保平安〔这在现阶段是必然的〕，就需要检测来为响应创造条件；有效与充分地响应平安事件，将大大减少对保护和恢复的依赖；恢复能力是在其他措施均失准备的情形下的最后保障机制。;3.网络平安设计的根本原那么

要使信息系统免受攻击，关键要建立起平安防御体系，从信息的必威体育官网网址性，拓展到信息的完整性、信息的可用性、信息的可控性、信息的不可否认性等。

;在进行计算机网络平??设计、规划时，应遵循以下原那么：

需求、风险、代价平衡分析的原那么

综合性、整体性原那么

一致性原那么

易操作性原那么

适应性、灵活性原那么

多重保护原那么;任何平安保护措施都不是绝对平安的，都可能被攻破。为此需要构建全方位的平安体系。全方位的平安体系的主要内容包括：

访问控制

检查平安漏洞

攻击监控

加密通讯

认证

备份和恢复;10.2网络平安解决方案;一份好的网络平安解决方案，不仅仅要考虑到技术，还要考虑到策略和管理。

技术是关键

策略是核心

管理是保证

在整个网络平安解决方案中，始终要表达出这三个方面的关系。;一套完整的网络平安解决方案应有针对性地解决可能面临的平安问题，主要包括：

关于物理平安的考虑

关于数据平安的考虑

数据备份的考虑

防病毒的考虑

关于操作系统/数据库/应用系统的平安考虑

网络系统平安结构的考虑

通信系统平安的考虑

关于口令平安的考虑

关于软件研发平安的考虑

关于人员平安因素的考虑;2.网络平安解决方案的层次划分

第一局部是社会法律、法规与手段

第二局部为增强的用户认证

第三局部是授权

第四局部是加密

第五局部为审计和监控和数据备份

这五局部相辅相成、缺一不可，其中底层是上层保障的根底。;3.网络平安解决方案的框架

完整的网络平安解决方案应该包括以下7个主要方面：

网络平安需求分析

网络平安风险分析

网络平安威胁分析

网络系统的平安原那么

网络平安产品

风险评估

平安效劳;10.3网络平安解决方案设计;2.平安需求分析

网络系统的总体平安需求是建立在对网络平安层次分析根底上的。对于基于TCP/IP协议的网络系统来说，平安层次是与TCP/IP协议层次相对应的。

针对该企业网络的实际情况，可以将平安需求层次归纳为网络层平安和应用层平安两个技术层次，同时将在各层都涉及的平安管理局部单独作为一局部进行分析。;网络层需求分析

网络层平安需求是保护网络不受攻击，确保网络效劳的可用性。

保证同Internet互联的边界平安

能够防范来自Internet的对提供效劳的非法利用。

防范来自Internet的网络入侵和攻击行为的发生。

对于内部网络提供高于网络边界更高的平安保护。;应用层需求分析

应用层的平安需求是针对用户和网络应用资源的，主要包括：

合法用户可以以指定的方式访问指定的信息；

合法用户不能以任何方式访