《網(wǎng)絡安全和防火墻 第8部分 通用安全原則與安全設計》由會員分享,可在線閱讀,更多相關《網(wǎng)絡安全和防火墻 第8部分 通用安全原則與安全設計(30頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、第十單元第十單元通用安全原則與安全設計通用安全原則與安全設計 學習目標學習目標 描述有效的網(wǎng)絡安全的通用指導方針和原則描述有效的網(wǎng)絡安全的通用指導方針和原則 使用通用的指導方針來建立有效的、詳細的方案使用通用的指導方針來建立有效的、詳細的方案 了解網(wǎng)絡安全設計中的網(wǎng)絡拓樸結構了解網(wǎng)絡安全設計中的網(wǎng)絡拓樸結構 描述配線房的安全注意事項描述配線房的安全注意事項 描述無線網(wǎng)絡安全描述無線網(wǎng)絡安全 設計一個安全的網(wǎng)絡設計一個安全的網(wǎng)絡 通用的安全原則介紹通用的安全原則介紹 警惕所有的網(wǎng)絡活動警惕所有的網(wǎng)絡活動 必須要有一個安全策略必須要有一個安全策略 不要采用獨立使用的系統(tǒng)或技術不要采用獨立使用的系統(tǒng)
2、或技術 盡可能使損壞最小化盡可能使損壞最小化 部署全公司范圍內(nèi)的執(zhí)行策略部署全公司范圍內(nèi)的執(zhí)行策略 提供培訓提供培訓 使用完整的安全策略使用完整的安全策略 根據(jù)需求安置設備根據(jù)需求安置設備 確定業(yè)務問題確定業(yè)務問題 考慮物理安全性考慮物理安全性損害最小化損害最小化 兩種最小化損害的方法是:兩種最小化損害的方法是:采取嚴格的用戶訪問控制采取嚴格的用戶訪問控制 隔離操作系統(tǒng)組件隔離操作系統(tǒng)組件 安全策略是必須的安全策略是必須的 制定安全策略要記住以下關鍵點:制定安全策略要記住以下關鍵點:強制執(zhí)行的安全策略能提供貫穿組織機構的連強制執(zhí)行的安全策略能提供貫穿組織機構的連續(xù)性。續(xù)性。當對攻擊做出響應的時
3、候,安全策略是第一個當對攻擊做出響應的時候,安全策略是第一個需要考慮的資源。需要考慮的資源。安全策略應該可以進行變動。有時,為了反映安全策略應該可以進行變動。有時,為了反映當前業(yè)務的需求,策略將被更新。為了反映技當前業(yè)務的需求,策略將被更新。為了反映技術的變化和改進,策略也會被更新。術的變化和改進,策略也會被更新。當安全策略發(fā)生變化時,要讓所有的員工都知當安全策略發(fā)生變化時,要讓所有的員工都知道這些變化很重要。他們還必須確認了解這些道這些變化很重要。他們還必須確認了解這些變化的本質(zhì),并且同意遵守它們。通常,這個變化的本質(zhì),并且同意遵守它們。通常,這個確認應該被書面記錄下來。確認應該被書面記錄下
4、來。不要采取獨立應用的系統(tǒng)或技術不要采取獨立應用的系統(tǒng)或技術 沒有一種通用的產(chǎn)品、技術或解決方案能夠提供全沒有一種通用的產(chǎn)品、技術或解決方案能夠提供全面的保護以對付所有的威脅。在各個方面使用多種面的保護以對付所有的威脅。在各個方面使用多種技巧和技術的組合,可以避免單個技術的弱點,而技巧和技術的組合,可以避免單個技術的弱點,而能夠全面提高安全有效性。能夠全面提高安全有效性。校驗數(shù)據(jù)備份校驗數(shù)據(jù)備份 措施措施描述描述數(shù)據(jù)校驗讓所有的管理人員和中層管理人員確認正確的數(shù)據(jù)已經(jīng)備份。還要對備份數(shù)據(jù)抽樣并將其恢復。介質(zhì)校驗保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。存儲地點校驗保證所有被存儲的數(shù)據(jù)放在一個安全的場所。
5、過程校驗如果數(shù)據(jù)需要從一個地點物理傳輸?shù)搅硪粋€地點,那么要采取措施保證數(shù)據(jù)確實被送到了新的地點。提供培訓提供培訓 終端用戶培訓終端用戶培訓 管理員培訓管理員培訓 高層管理人員高層管理人員實施設備需求評估審核實施設備需求評估審核 需求評估審核所涉及的步驟:需求評估審核所涉及的步驟:同管理層協(xié)商確定特殊需求。同管理層協(xié)商確定特殊需求。確定一種新技術將如何影響所有級別的終端用確定一種新技術將如何影響所有級別的終端用戶的日常工作。戶的日常工作。與管理層一起保證資金安全。與管理層一起保證資金安全。進行研究工作進行研究工作,確定適合組織機構的產(chǎn)品。確定適合組織機構的產(chǎn)品。研究網(wǎng)絡以保證新的解決方案在適合的
6、地點、研究網(wǎng)絡以保證新的解決方案在適合的地點、正確的時間被實現(xiàn)。正確的時間被實現(xiàn)。正確安置產(chǎn)品正確安置產(chǎn)品 安放設備的時候,必須采取下列步驟:安放設備的時候,必須采取下列步驟:在獨立的子網(wǎng)內(nèi)測試系統(tǒng)。在獨立的子網(wǎng)內(nèi)測試系統(tǒng)。即使你熟悉新近安裝的系統(tǒng)和網(wǎng)絡后臺程序/服務,也要確認服務器和后臺程序以你希望的方式運行。對系統(tǒng)使用漏洞掃描作為測試的一部分。對系統(tǒng)使用漏洞掃描作為測試的一部分。漏洞掃描能夠確定系統(tǒng)中是否有問題存在。有關這些掃描的更多內(nèi)容,將在后面章節(jié)中學習。在生產(chǎn)服務器上升級所有的圖表和文檔。在生產(chǎn)服務器上升級所有的圖表和文檔。確保將生產(chǎn)中的服務器保持當前狀態(tài),這樣能避免意外。安全措施對
7、業(yè)務的影響安全措施對業(yè)務的影響 安全措施也會以下列方式影響業(yè)務和用戶:安全措施也會以下列方式影響業(yè)務和用戶:成本的增加成本的增加 許多安全解決方案的費用非常高。一個站點的防火墻許可證的費用在5000美元到20000美元之間,或更高。即使是能夠支付這筆大額費用的組織機構也需要證明這些開銷是正確的。不方便之處不方便之處 新的程序的措施可能會使用戶覺得不方便,特別是那些經(jīng)常出差和遠程工作的用戶。記住要讓用戶意識到:開始的時候會稍微有些不方便,但長遠的好處是將節(jié)約他們的時間和保護公司安全??紤]物理安全性考慮物理安全性 有關物理安全保護的問題包括:有關物理安全保護的問題包括:公司的防火墻是在一間上了鎖的
8、房間內(nèi)嗎?公公司的防火墻是在一間上了鎖的房間內(nèi)嗎?公司所有的服務器如何?司所有的服務器如何?網(wǎng)絡設備(如路由器、網(wǎng)絡設備(如路由器、WEBWEB服務器、服務器、FTPFTP服務器)服務器)被關嚴和監(jiān)控了嗎?被關嚴和監(jiān)控了嗎?有員工單獨在敏感區(qū)域工作嗎?有員工單獨在敏感區(qū)域工作嗎?人員維護人員維護 考慮下列問題:考慮下列問題:所有允許工作人員進入系統(tǒng)的鑰匙、通行證和所有允許工作人員進入系統(tǒng)的鑰匙、通行證和其他工具是否安全?其他工具是否安全?公司是否有策略準許員工在工作時監(jiān)控維護人公司是否有策略準許員工在工作時監(jiān)控維護人員?員?監(jiān)督方法監(jiān)督方法 提高物理安全性的選擇包括:提高物理安全性的選擇包括:
9、用數(shù)字門卡替換標準的鎖。用數(shù)字門卡替換標準的鎖。將服務器放置在有鎖的門后。將服務器放置在有鎖的門后。安裝視頻監(jiān)視設備。安裝視頻監(jiān)視設備。物理攻擊策略物理攻擊策略 超級更改超級更改 超級更改包括使用一個應用程序或操作系統(tǒng)去讀取另一個操作系統(tǒng)中的信息。使用超級更改程序可以修改用戶帳號信息、讀文件或創(chuàng)建文件和目錄。結構滲透結構滲透 類型包括:從門樞卸掉帶鎖的門,然后進入房間?;蛘咄蹈`,或者造一把新的,從而獲取房間的鑰匙。爬行通過人造天花板,進入房間。網(wǎng)絡拓樸結構網(wǎng)絡拓樸結構網(wǎng)絡拓樸結構網(wǎng)絡拓樸結構網(wǎng)絡拓樸結構網(wǎng)絡拓樸結構電源問題電源問題 大多數(shù)桌面大多數(shù)桌面UPSUPS提供有限的清潔電源,但是卻可能
10、提供有限的清潔電源,但是卻可能在發(fā)生斷電時的切換過程中造成延遲,而這可能會在發(fā)生斷電時的切換過程中造成延遲,而這可能會中斷對延時敏感的數(shù)據(jù)傳輸。中斷對延時敏感的數(shù)據(jù)傳輸。大多數(shù)發(fā)電機發(fā)出的都是所謂的大多數(shù)發(fā)電機發(fā)出的都是所謂的“臟電臟電”,即電壓,即電壓可能起伏波動、不穩(wěn)定。對于像電子設備這類電源可能起伏波動、不穩(wěn)定。對于像電子設備這類電源敏感設備來說,這可能會造成問題。敏感設備來說,這可能會造成問題。POEPOE POEPOE即即Power Over EthernetPower Over Ethernet,以太網(wǎng)饋電適配器,以太網(wǎng)饋電適配器,適配器上提供適配器上提供3 3個接口,一個直流電源
11、接口,另外個接口,一個直流電源接口,另外兩個是兩個是RJ45RJ45接口。通過輸電適配器把電源轉接到五接口。通過輸電適配器把電源轉接到五類網(wǎng)線的輔助電源線對,在一條五類網(wǎng)線上集成數(shù)類網(wǎng)線的輔助電源線對,在一條五類網(wǎng)線上集成數(shù)據(jù)傳輸與供電功能,通過網(wǎng)線就可以向網(wǎng)絡設備供據(jù)傳輸與供電功能,通過網(wǎng)線就可以向網(wǎng)絡設備供電,而無需為這些設備單獨鋪設電源線。電,而無需為這些設備單獨鋪設電源線。線纜的選擇線纜的選擇 需要考慮的因素包括:需要考慮的因素包括:確定使用線纜的類別和布線的結構。確定使用線纜的類別和布線的結構。傳輸頻率與傳輸速率。傳輸頻率與傳輸速率。屏蔽與非屏蔽。屏蔽與非屏蔽。抗電磁干擾抗電磁干擾(
12、EMI)(EMI)的程度。的程度。系統(tǒng)復元能力、網(wǎng)絡擴展性。系統(tǒng)復元能力、網(wǎng)絡擴展性。網(wǎng)絡要求的生命周期。網(wǎng)絡要求的生命周期。其它特性,如防火、防腐蝕等。其它特性,如防火、防腐蝕等。無線網(wǎng)絡安全問題無線網(wǎng)絡安全問題 對無線網(wǎng)絡的威脅主要包括:對無線網(wǎng)絡的威脅主要包括:偷聽傳輸?shù)臄?shù)據(jù)偷聽傳輸?shù)臄?shù)據(jù) 可能導致機密數(shù)據(jù)泄漏、曝光未保護的用戶憑據(jù)、身份被盜用等。中途截獲或修改傳輸數(shù)據(jù)中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪問網(wǎng)絡,他可接入惡意計算機來中途截獲、修改或延遲兩個合法方的通信。哄騙哄騙 現(xiàn)有網(wǎng)絡訪問允許惡意用戶使用在網(wǎng)絡外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù)(例如,哄騙的電子郵件消
13、息)。免費下載免費下載 入侵者還有可能利用您的網(wǎng)絡作為他自己訪問 Internet 的自由訪問點。拒絕服務拒絕服務(DoS)復雜的攻擊多是針對低層無線協(xié)議本身;不很復雜的攻擊則通過向 WLAN 發(fā)送大量的隨機數(shù)據(jù)而使網(wǎng)絡堵塞。實施無線網(wǎng)絡實施無線網(wǎng)絡 考慮以下安全措施:考慮以下安全措施:掌控信號覆蓋的范圍掌控信號覆蓋的范圍 啟用無線設備的安全功能啟用無線設備的安全功能 使用安全性高的部署方式使用安全性高的部署方式 使用一些針對無線網(wǎng)絡環(huán)境的入侵檢測軟件使用一些針對無線網(wǎng)絡環(huán)境的入侵檢測軟件 無線加密協(xié)議無線加密協(xié)議(WEP)(WEP)和和IEEE 802.11iIEEE 802.11i WEP
14、(wired equivalent privacy)WEP(wired equivalent privacy)是一種以是一種以40 40 位位共享密鑰算法為基礎的數(shù)據(jù)加密機制。它是無線網(wǎng)共享密鑰算法為基礎的數(shù)據(jù)加密機制。它是無線網(wǎng)絡上信息加密的一種標準方法,它可以對每一個企絡上信息加密的一種標準方法,它可以對每一個企圖訪問無線網(wǎng)絡的人的身份進行識別,同時對網(wǎng)絡圖訪問無線網(wǎng)絡的人的身份進行識別,同時對網(wǎng)絡傳輸內(nèi)容進行加密。傳輸內(nèi)容進行加密。IEEE 802.11iIEEE 802.11i規(guī)定使用規(guī)定使用802.1x802.1x認證和密鑰管理方式,認證和密鑰管理方式,在數(shù)據(jù)加密方面,定義了在數(shù)據(jù)加
15、密方面,定義了TKIPTKIP(Temporal Key Temporal Key Integrity ProtocolIntegrity Protocol)、)、CCMPCCMP(Counter-Counter-Mode/CBC-MAC ProtocolMode/CBC-MAC Protocol)和)和WRAPWRAP(Wireless Wireless Robust Authenticated ProtocolRobust Authenticated Protocol)三種加密機制。)三種加密機制。鞏固匯聚層網(wǎng)絡鞏固匯聚層網(wǎng)絡 對匯聚層網(wǎng)絡設備提出的安全建議主要有以下幾點:對匯聚層網(wǎng)絡設備
16、提出的安全建議主要有以下幾點:使用用戶認證機制和安全密碼體系。使用用戶認證機制和安全密碼體系。進行進行IPIP地址、地址、MACMAC地址、用戶名及卡號綁定。地址、用戶名及卡號綁定。配置訪問控制列表(配置訪問控制列表(ACLACL)、)、IPIP地址數(shù)量及連接地址數(shù)量及連接數(shù)的限制。數(shù)的限制。流量整形、擁塞控制、隊列調(diào)度及流量整形、擁塞控制、隊列調(diào)度及CARCAR等等QOSQOS保保障。障。進行安全日志管理和流量監(jiān)控。進行安全日志管理和流量監(jiān)控。應用實例應用實例 網(wǎng)絡系統(tǒng)及安全性分析網(wǎng)絡系統(tǒng)及安全性分析 網(wǎng)絡系統(tǒng)的安全性需求網(wǎng)絡系統(tǒng)的安全性需求 網(wǎng)絡安全整體解決方案的提出網(wǎng)絡安全整體解決方案的提出 企業(yè)網(wǎng)絡結構企業(yè)網(wǎng)絡結構典型企業(yè)的網(wǎng)絡安全實施拓撲圖典型企業(yè)的網(wǎng)絡安全實施拓撲圖 演講完畢,謝謝觀看!