網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)

上傳人:仙*** 文檔編號:133729974 上傳時(shí)間:2022-08-11 格式:PPTX 頁數(shù):30 大?。?37.09KB
收藏 版權(quán)申訴 舉報(bào) 下載
網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)_第1頁
第1頁 / 共30頁
網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)_第2頁
第2頁 / 共30頁
網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)_第3頁
第3頁 / 共30頁

下載文檔到電腦,查找使用更方便

10 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)》由會(huì)員分享,可在線閱讀,更多相關(guān)《網(wǎng)絡(luò)安全和防火墻 第8部分 通用安全原則與安全設(shè)計(jì)(30頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。

1、第十單元第十單元通用安全原則與安全設(shè)計(jì)通用安全原則與安全設(shè)計(jì) 學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo) 描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則描述有效的網(wǎng)絡(luò)安全的通用指導(dǎo)方針和原則 使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案使用通用的指導(dǎo)方針來建立有效的、詳細(xì)的方案 了解網(wǎng)絡(luò)安全設(shè)計(jì)中的網(wǎng)絡(luò)拓樸結(jié)構(gòu)了解網(wǎng)絡(luò)安全設(shè)計(jì)中的網(wǎng)絡(luò)拓樸結(jié)構(gòu) 描述配線房的安全注意事項(xiàng)描述配線房的安全注意事項(xiàng) 描述無線網(wǎng)絡(luò)安全描述無線網(wǎng)絡(luò)安全 設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò)設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò) 通用的安全原則介紹通用的安全原則介紹 警惕所有的網(wǎng)絡(luò)活動(dòng)警惕所有的網(wǎng)絡(luò)活動(dòng) 必須要有一個(gè)安全策略必須要有一個(gè)安全策略 不要采用獨(dú)立使用的系統(tǒng)或技術(shù)不要采用獨(dú)立使用的系統(tǒng)

2、或技術(shù) 盡可能使損壞最小化盡可能使損壞最小化 部署全公司范圍內(nèi)的執(zhí)行策略部署全公司范圍內(nèi)的執(zhí)行策略 提供培訓(xùn)提供培訓(xùn) 使用完整的安全策略使用完整的安全策略 根據(jù)需求安置設(shè)備根據(jù)需求安置設(shè)備 確定業(yè)務(wù)問題確定業(yè)務(wù)問題 考慮物理安全性考慮物理安全性損害最小化損害最小化 兩種最小化損害的方法是:兩種最小化損害的方法是:采取嚴(yán)格的用戶訪問控制采取嚴(yán)格的用戶訪問控制 隔離操作系統(tǒng)組件隔離操作系統(tǒng)組件 安全策略是必須的安全策略是必須的 制定安全策略要記住以下關(guān)鍵點(diǎn):制定安全策略要記住以下關(guān)鍵點(diǎn):強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連強(qiáng)制執(zhí)行的安全策略能提供貫穿組織機(jī)構(gòu)的連續(xù)性。續(xù)性。當(dāng)對攻擊做出響應(yīng)的時(shí)

3、候,安全策略是第一個(gè)當(dāng)對攻擊做出響應(yīng)的時(shí)候,安全策略是第一個(gè)需要考慮的資源。需要考慮的資源。安全策略應(yīng)該可以進(jìn)行變動(dòng)。有時(shí),為了反映安全策略應(yīng)該可以進(jìn)行變動(dòng)。有時(shí),為了反映當(dāng)前業(yè)務(wù)的需求,策略將被更新。為了反映技當(dāng)前業(yè)務(wù)的需求,策略將被更新。為了反映技術(shù)的變化和改進(jìn),策略也會(huì)被更新。術(shù)的變化和改進(jìn),策略也會(huì)被更新。當(dāng)安全策略發(fā)生變化時(shí),要讓所有的員工都知當(dāng)安全策略發(fā)生變化時(shí),要讓所有的員工都知道這些變化很重要。他們還必須確認(rèn)了解這些道這些變化很重要。他們還必須確認(rèn)了解這些變化的本質(zhì),并且同意遵守它們。通常,這個(gè)變化的本質(zhì),并且同意遵守它們。通常,這個(gè)確認(rèn)應(yīng)該被書面記錄下來。確認(rèn)應(yīng)該被書面記錄下

4、來。不要采取獨(dú)立應(yīng)用的系統(tǒng)或技術(shù)不要采取獨(dú)立應(yīng)用的系統(tǒng)或技術(shù) 沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全沒有一種通用的產(chǎn)品、技術(shù)或解決方案能夠提供全面的保護(hù)以對付所有的威脅。在各個(gè)方面使用多種面的保護(hù)以對付所有的威脅。在各個(gè)方面使用多種技巧和技術(shù)的組合,可以避免單個(gè)技術(shù)的弱點(diǎn),而技巧和技術(shù)的組合,可以避免單個(gè)技術(shù)的弱點(diǎn),而能夠全面提高安全有效性。能夠全面提高安全有效性。校驗(yàn)數(shù)據(jù)備份校驗(yàn)數(shù)據(jù)備份 措施措施描述描述數(shù)據(jù)校驗(yàn)讓所有的管理人員和中層管理人員確認(rèn)正確的數(shù)據(jù)已經(jīng)備份。還要對備份數(shù)據(jù)抽樣并將其恢復(fù)。介質(zhì)校驗(yàn)保證用來備份數(shù)據(jù)的介質(zhì)是可靠的。存儲(chǔ)地點(diǎn)校驗(yàn)保證所有被存儲(chǔ)的數(shù)據(jù)放在一個(gè)安全的場所。

5、過程校驗(yàn)如果數(shù)據(jù)需要從一個(gè)地點(diǎn)物理傳輸?shù)搅硪粋€(gè)地點(diǎn),那么要采取措施保證數(shù)據(jù)確實(shí)被送到了新的地點(diǎn)。提供培訓(xùn)提供培訓(xùn) 終端用戶培訓(xùn)終端用戶培訓(xùn) 管理員培訓(xùn)管理員培訓(xùn) 高層管理人員高層管理人員實(shí)施設(shè)備需求評估審核實(shí)施設(shè)備需求評估審核 需求評估審核所涉及的步驟:需求評估審核所涉及的步驟:同管理層協(xié)商確定特殊需求。同管理層協(xié)商確定特殊需求。確定一種新技術(shù)將如何影響所有級別的終端用確定一種新技術(shù)將如何影響所有級別的終端用戶的日常工作。戶的日常工作。與管理層一起保證資金安全。與管理層一起保證資金安全。進(jìn)行研究工作進(jìn)行研究工作,確定適合組織機(jī)構(gòu)的產(chǎn)品。確定適合組織機(jī)構(gòu)的產(chǎn)品。研究網(wǎng)絡(luò)以保證新的解決方案在適合的

6、地點(diǎn)、研究網(wǎng)絡(luò)以保證新的解決方案在適合的地點(diǎn)、正確的時(shí)間被實(shí)現(xiàn)。正確的時(shí)間被實(shí)現(xiàn)。正確安置產(chǎn)品正確安置產(chǎn)品 安放設(shè)備的時(shí)候,必須采取下列步驟:安放設(shè)備的時(shí)候,必須采取下列步驟:在獨(dú)立的子網(wǎng)內(nèi)測試系統(tǒng)。在獨(dú)立的子網(wǎng)內(nèi)測試系統(tǒng)。即使你熟悉新近安裝的系統(tǒng)和網(wǎng)絡(luò)后臺(tái)程序/服務(wù),也要確認(rèn)服務(wù)器和后臺(tái)程序以你希望的方式運(yùn)行。對系統(tǒng)使用漏洞掃描作為測試的一部分。對系統(tǒng)使用漏洞掃描作為測試的一部分。漏洞掃描能夠確定系統(tǒng)中是否有問題存在。有關(guān)這些掃描的更多內(nèi)容,將在后面章節(jié)中學(xué)習(xí)。在生產(chǎn)服務(wù)器上升級所有的圖表和文檔。在生產(chǎn)服務(wù)器上升級所有的圖表和文檔。確保將生產(chǎn)中的服務(wù)器保持當(dāng)前狀態(tài),這樣能避免意外。安全措施對

7、業(yè)務(wù)的影響安全措施對業(yè)務(wù)的影響 安全措施也會(huì)以下列方式影響業(yè)務(wù)和用戶:安全措施也會(huì)以下列方式影響業(yè)務(wù)和用戶:成本的增加成本的增加 許多安全解決方案的費(fèi)用非常高。一個(gè)站點(diǎn)的防火墻許可證的費(fèi)用在5000美元到20000美元之間,或更高。即使是能夠支付這筆大額費(fèi)用的組織機(jī)構(gòu)也需要證明這些開銷是正確的。不方便之處不方便之處 新的程序的措施可能會(huì)使用戶覺得不方便,特別是那些經(jīng)常出差和遠(yuǎn)程工作的用戶。記住要讓用戶意識(shí)到:開始的時(shí)候會(huì)稍微有些不方便,但長遠(yuǎn)的好處是將節(jié)約他們的時(shí)間和保護(hù)公司安全。考慮物理安全性考慮物理安全性 有關(guān)物理安全保護(hù)的問題包括:有關(guān)物理安全保護(hù)的問題包括:公司的防火墻是在一間上了鎖的

8、房間內(nèi)嗎?公公司的防火墻是在一間上了鎖的房間內(nèi)嗎?公司所有的服務(wù)器如何?司所有的服務(wù)器如何?網(wǎng)絡(luò)設(shè)備(如路由器、網(wǎng)絡(luò)設(shè)備(如路由器、WEBWEB服務(wù)器、服務(wù)器、FTPFTP服務(wù)器)服務(wù)器)被關(guān)嚴(yán)和監(jiān)控了嗎?被關(guān)嚴(yán)和監(jiān)控了嗎?有員工單獨(dú)在敏感區(qū)域工作嗎?有員工單獨(dú)在敏感區(qū)域工作嗎?人員維護(hù)人員維護(hù) 考慮下列問題:考慮下列問題:所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和所有允許工作人員進(jìn)入系統(tǒng)的鑰匙、通行證和其他工具是否安全?其他工具是否安全?公司是否有策略準(zhǔn)許員工在工作時(shí)監(jiān)控維護(hù)人公司是否有策略準(zhǔn)許員工在工作時(shí)監(jiān)控維護(hù)人員?員?監(jiān)督方法監(jiān)督方法 提高物理安全性的選擇包括:提高物理安全性的選擇包括:

9、用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。用數(shù)字門卡替換標(biāo)準(zhǔn)的鎖。將服務(wù)器放置在有鎖的門后。將服務(wù)器放置在有鎖的門后。安裝視頻監(jiān)視設(shè)備。安裝視頻監(jiān)視設(shè)備。物理攻擊策略物理攻擊策略 超級更改超級更改 超級更改包括使用一個(gè)應(yīng)用程序或操作系統(tǒng)去讀取另一個(gè)操作系統(tǒng)中的信息。使用超級更改程序可以修改用戶帳號信息、讀文件或創(chuàng)建文件和目錄。結(jié)構(gòu)滲透結(jié)構(gòu)滲透 類型包括:從門樞卸掉帶鎖的門,然后進(jìn)入房間。或者偷竊,或者造一把新的,從而獲取房間的鑰匙。爬行通過人造天花板,進(jìn)入房間。網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)網(wǎng)絡(luò)拓樸結(jié)構(gòu)電源問題電源問題 大多數(shù)桌面大多數(shù)桌面UPSUPS提供有限的清潔電源,但是卻可能

10、提供有限的清潔電源,但是卻可能在發(fā)生斷電時(shí)的切換過程中造成延遲,而這可能會(huì)在發(fā)生斷電時(shí)的切換過程中造成延遲,而這可能會(huì)中斷對延時(shí)敏感的數(shù)據(jù)傳輸。中斷對延時(shí)敏感的數(shù)據(jù)傳輸。大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的大多數(shù)發(fā)電機(jī)發(fā)出的都是所謂的“臟電臟電”,即電壓,即電壓可能起伏波動(dòng)、不穩(wěn)定。對于像電子設(shè)備這類電源可能起伏波動(dòng)、不穩(wěn)定。對于像電子設(shè)備這類電源敏感設(shè)備來說,這可能會(huì)造成問題。敏感設(shè)備來說,這可能會(huì)造成問題。POEPOE POEPOE即即Power Over EthernetPower Over Ethernet,以太網(wǎng)饋電適配器,以太網(wǎng)饋電適配器,適配器上提供適配器上提供3 3個(gè)接口,一個(gè)直流電源

11、接口,另外個(gè)接口,一個(gè)直流電源接口,另外兩個(gè)是兩個(gè)是RJ45RJ45接口。通過輸電適配器把電源轉(zhuǎn)接到五接口。通過輸電適配器把電源轉(zhuǎn)接到五類網(wǎng)線的輔助電源線對,在一條五類網(wǎng)線上集成數(shù)類網(wǎng)線的輔助電源線對,在一條五類網(wǎng)線上集成數(shù)據(jù)傳輸與供電功能,通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供據(jù)傳輸與供電功能,通過網(wǎng)線就可以向網(wǎng)絡(luò)設(shè)備供電,而無需為這些設(shè)備單獨(dú)鋪設(shè)電源線。電,而無需為這些設(shè)備單獨(dú)鋪設(shè)電源線。線纜的選擇線纜的選擇 需要考慮的因素包括:需要考慮的因素包括:確定使用線纜的類別和布線的結(jié)構(gòu)。確定使用線纜的類別和布線的結(jié)構(gòu)。傳輸頻率與傳輸速率。傳輸頻率與傳輸速率。屏蔽與非屏蔽。屏蔽與非屏蔽??闺姶鸥蓴_抗電磁干擾(

12、EMI)(EMI)的程度。的程度。系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。系統(tǒng)復(fù)元能力、網(wǎng)絡(luò)擴(kuò)展性。網(wǎng)絡(luò)要求的生命周期。網(wǎng)絡(luò)要求的生命周期。其它特性,如防火、防腐蝕等。其它特性,如防火、防腐蝕等。無線網(wǎng)絡(luò)安全問題無線網(wǎng)絡(luò)安全問題 對無線網(wǎng)絡(luò)的威脅主要包括:對無線網(wǎng)絡(luò)的威脅主要包括:偷聽傳輸?shù)臄?shù)據(jù)偷聽傳輸?shù)臄?shù)據(jù) 可能導(dǎo)致機(jī)密數(shù)據(jù)泄漏、曝光未保護(hù)的用戶憑據(jù)、身份被盜用等。中途截獲或修改傳輸數(shù)據(jù)中途截獲或修改傳輸數(shù)據(jù) 如果攻擊者可訪問網(wǎng)絡(luò),他可接入惡意計(jì)算機(jī)來中途截獲、修改或延遲兩個(gè)合法方的通信。哄騙哄騙 現(xiàn)有網(wǎng)絡(luò)訪問允許惡意用戶使用在網(wǎng)絡(luò)外同樣有效的方法來發(fā)送表面上似乎來自合法用戶的數(shù)據(jù)(例如,哄騙的電子郵件消

13、息)。免費(fèi)下載免費(fèi)下載 入侵者還有可能利用您的網(wǎng)絡(luò)作為他自己訪問 Internet 的自由訪問點(diǎn)。拒絕服務(wù)拒絕服務(wù)(DoS)復(fù)雜的攻擊多是針對低層無線協(xié)議本身;不很復(fù)雜的攻擊則通過向 WLAN 發(fā)送大量的隨機(jī)數(shù)據(jù)而使網(wǎng)絡(luò)堵塞。實(shí)施無線網(wǎng)絡(luò)實(shí)施無線網(wǎng)絡(luò) 考慮以下安全措施:考慮以下安全措施:掌控信號覆蓋的范圍掌控信號覆蓋的范圍 啟用無線設(shè)備的安全功能啟用無線設(shè)備的安全功能 使用安全性高的部署方式使用安全性高的部署方式 使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件使用一些針對無線網(wǎng)絡(luò)環(huán)境的入侵檢測軟件 無線加密協(xié)議無線加密協(xié)議(WEP)(WEP)和和IEEE 802.11iIEEE 802.11i WEP

14、(wired equivalent privacy)WEP(wired equivalent privacy)是一種以是一種以40 40 位位共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)共享密鑰算法為基礎(chǔ)的數(shù)據(jù)加密機(jī)制。它是無線網(wǎng)絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法,它可以對每一個(gè)企絡(luò)上信息加密的一種標(biāo)準(zhǔn)方法,它可以對每一個(gè)企圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識(shí)別,同時(shí)對網(wǎng)絡(luò)圖訪問無線網(wǎng)絡(luò)的人的身份進(jìn)行識(shí)別,同時(shí)對網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行加密。傳輸內(nèi)容進(jìn)行加密。IEEE 802.11iIEEE 802.11i規(guī)定使用規(guī)定使用802.1x802.1x認(rèn)證和密鑰管理方式,認(rèn)證和密鑰管理方式,在數(shù)據(jù)加密方面,定義了在數(shù)據(jù)加

15、密方面,定義了TKIPTKIP(Temporal Key Temporal Key Integrity ProtocolIntegrity Protocol)、)、CCMPCCMP(Counter-Counter-Mode/CBC-MAC ProtocolMode/CBC-MAC Protocol)和)和WRAPWRAP(Wireless Wireless Robust Authenticated ProtocolRobust Authenticated Protocol)三種加密機(jī)制。)三種加密機(jī)制。鞏固匯聚層網(wǎng)絡(luò)鞏固匯聚層網(wǎng)絡(luò) 對匯聚層網(wǎng)絡(luò)設(shè)備提出的安全建議主要有以下幾點(diǎn):對匯聚層網(wǎng)絡(luò)設(shè)備

16、提出的安全建議主要有以下幾點(diǎn):使用用戶認(rèn)證機(jī)制和安全密碼體系。使用用戶認(rèn)證機(jī)制和安全密碼體系。進(jìn)行進(jìn)行IPIP地址、地址、MACMAC地址、用戶名及卡號綁定。地址、用戶名及卡號綁定。配置訪問控制列表(配置訪問控制列表(ACLACL)、)、IPIP地址數(shù)量及連接地址數(shù)量及連接數(shù)的限制。數(shù)的限制。流量整形、擁塞控制、隊(duì)列調(diào)度及流量整形、擁塞控制、隊(duì)列調(diào)度及CARCAR等等QOSQOS保保障。障。進(jìn)行安全日志管理和流量監(jiān)控。進(jìn)行安全日志管理和流量監(jiān)控。應(yīng)用實(shí)例應(yīng)用實(shí)例 網(wǎng)絡(luò)系統(tǒng)及安全性分析網(wǎng)絡(luò)系統(tǒng)及安全性分析 網(wǎng)絡(luò)系統(tǒng)的安全性需求網(wǎng)絡(luò)系統(tǒng)的安全性需求 網(wǎng)絡(luò)安全整體解決方案的提出網(wǎng)絡(luò)安全整體解決方案的提出 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)典型企業(yè)的網(wǎng)絡(luò)安全實(shí)施拓?fù)鋱D典型企業(yè)的網(wǎng)絡(luò)安全實(shí)施拓?fù)鋱D 演講完畢,謝謝觀看!

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺(tái),本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!