网络信息安全工程.ppt

第1页，共27页，星期日，2025年，2月5日9.1.2网络信息安全方案评价的标准（1）体现惟一性。（2）综合性。（3）实事求是。（4）对症下药。（5）服务支持。（6）循序渐进。（7）沟通与交流。（8）成熟的技术和标准化的产品。第2页，共27页，星期日，2025年，2月5日1．概要安全风险分析2．实际安全风险分析（1）网络的风险和威胁分析。（2）系统的风险和威胁分析。（3）应用的风险和威胁分析。（4）对网络、系统和应用的风险及威胁的具体实际的详细分析。3．网络系统的安全原则（1）动态性。（2）惟一性。（3）整体性。（4）专业性。（5）严密性。9.1.3网络信息安全方案的框架第3页，共27页，星期日，2025年，2月5日4．安全产品（1）防火墙。（2）防病毒。（3）身份认证。（4）传输加密。（5）入侵检测。5．风险评估6．安全服务（1）网络拓扑安全。（2）系统安全加固。（3）应用安全。（4）灾难恢复。（5）紧急响应。（6）安全规范。（7）服务体系和培训体系。第4页，共27页，星期日，2025年，2月5日9.2企业网络信息安全工程9.2.1企业网络信息系统的风险1．离职者的报复2．在职员工的威胁3．企业连带责任4．应用程序的风险5．病毒的影响6．企业外联网的风险7．安全软件的悖论8．安全产品的安全问题第5页，共27页，星期日，2025年，2月5日9.2.2企业网络信息安全体制的建立第6页，共27页，星期日，2025年，2月5日1．安全策略的制订2．安全体制的建设3．指导方针的确立4．运营、监视和对策5．监察、诊断、评估和修正第7页，共27页，星期日，2025年，2月5日9.2.3企业网络信息安全策略建设1．安全策略的制定（1）安全指导方针。（2）安全运用制度。（3）安全细则。第8页，共27页，星期日，2025年，2月5日（1）明确安全策略的框架结构（2）形成安全运用规则（3）安全策略的可操作性（4）安全策略的客观性（5）安全策略的贯彻2．制定安全策略的要点第9页，共27页，星期日，2025年，2月5日9.2.4企业网络信息系统的安全措施1．应用级别－Ⅰ应用级别－Ⅰ是企业内部有局域网，利用互联网进行电子邮件通信，企业开设简单的主页等，属于小规模站点的水平。企业信息系统的最大的威胁来自于病毒感染而引起的系统性能下降、由于病毒向外扩散而导致信用下降和来自外部的Web篡改行为等。应用级别－Ⅰ的最低限要求是：采用防病毒软件、收集病毒信息以及定期进行软件升级；注意对网络免费软件下载的管理和日常彻底的病毒检查；防火墙的定期维护与管理；定期进行网络故障诊断、解析、服务器配置检查等日常的系统维护。第10页，共27页，星期日，2025年，2月5日应用级别－Ⅱ是指企业基本建立完善的局域网系统，拥有并使用各种服务器，各种数据库联动运行。企业能够灵活利用互联网进行业务处理和客户服务，信息系统属于中等规模。应用级别－Ⅱ的最低限要求是：通过浏览器和Web服务器之间的SSL，对互联网通信实施加密保护；采用入侵监测系统和全天候入侵监视体制；灾难恢复对策措施，恢复训练和任务分担等。2．应用级别－Ⅱ

第11页，共27页，星期日，2025年，2月5日3．应用级别－Ⅲ应用级别－Ⅲ是指用户从远程通过VPN登录企业内部网络，与往来厂商之间使用Extranet，以及企业职员使用移动通信设备通过互联网来访问企业网络的内外结合的网络使用水平。应用级别－Ⅲ的最低限要求是：为了信息数据的高度必威体育官网网址而作相应的加密处理；为了防止交易纠纷和事故而利用数字证书；为了防止越权操作而建立基于安全策略的访问控制等。第12页，共27页，星期日，2025年，2月5日4．应用级别－Ⅳ应用级别－Ⅳ是涉及产品供应等交易结算和进行银行之间结算等复杂的大规模电子商务应用平台。对于电子商务交易，必须注意对系统进行实时的入侵监视，对客户隐私、数据资源、用户数据操作的管理方针进行保护、防止网络欺诈行为的产生。应用级别－Ⅳ的最低限要求是：