【网络安全设计课件】创建数据传输安全设计.pptVIP

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第10章 创建数据传输安全设计 确定数据传输面临的威胁并分析其风险 数据传输安全设计 确定数据传输面临的威胁并分析其风险 数据传输概述 数据传输安全的重要性 常见的数据传输安全漏洞 课堂练习 分析数据传输的风险 数据传输概述 数据传输安全的重要性 常见的数据传输安全漏洞 课堂练习 分析数据传输的风险 第10章 创建数据传输安全设计 确定威胁和分析数据传输的风险 数据传输安全设计 数据传输安全设计 确定数据传输安全需求的方法 通信信道安全措施概述 应用层通信安全的注意事项 IPSec 保护网络层通信安全的原理 数据链路层和物理层通信安全的指导方针 选择 VPN 隧道协议的指导方针 课堂练习 风险和应对措施 安全策略检查清单 确定数据传输安全需求的方法 通信信道安全措施概述 应用层通信安全的注意事项 IPSec 保护网络层通信安全的原理 数据链路层和物理层通信安全的指导方针 选择 VPN 隧道协议的指导方针 课堂练习 风险和应对措施 实验 A 数据传输安全设计 回顾 学习完本章后，将能够： 确定数据传输面临的威胁并分析其风险 设计数据传输的安全性 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS- CHAP v2 中的身份验证 10.1 确定数据传输面临的威胁并分析其风险 局域网 (LAN) 无线网 广域网 远程访问 Web 服务器数据传输 分支机构 公司总部 Web 服务器 Internet 服务器 局域网(LAN) 局域网(LAN) 远程用户 VPN 无线用户 10.1.1 数据传输概述 内部 攻击者 攻击者拦截了使用 WEP 保护的无线局域网数据包，并且实施了对 WEP 密钥的离线攻击。攻击者因此可以连接到内部网络 监视网络 外部 攻击者以其他员工的名义伪造了一封电子邮件寄给公司总裁，该邮件中含有一些链接指向恶意的 Web 站点 伪造电子邮件 内部 示例 威胁 攻击者 外部 攻击者 Internet WEP 密钥 10.1.2 数据传输安全的重要性 用传输控制协议 (TCP) 的同步 (SYN) 消息来拥塞计算机 使用多个计算机自动对网络实施拥塞攻击 拒绝服务 使用 man-in-the-middle (中间人) 攻击来拦截网络数据传输 修改传输中的数据 篡改数据 攻击者 安全漏洞 进行 IP 地址欺骗，使数据包好像来自内部网络，以绕过路由器上的访问控制列表 (ACL, Access Control List) 伪造 Internet 控制消息协议 (ICMP) 数据包，以对第三方实施攻击 伪造某个公司的电子邮件 身份欺骗 察看身份验证传输数据 读取电子邮件数据包 察看网络管理数据传输 读取无线加密数据包 网络监测 10.1.3 常见的数据传输安全漏洞 阅读场景 回答问题 全班一起讨论答案 1 2 3 分析 10.1.4 课堂练习 分析数据传输的风险 10.2 数据传输安全设计 分析数据传输安全的业务需求和技术需求 1 确定数据传输安全措施 4 确定操作系统需求和应用程序兼容性 3 确定加密需求和相关约束 5 创建实施策略 6 确定哪些网络数据传输需要保护 2 10.2.1 确定数据传输安全需求的方法 使用交换机来替代集线器 端口身份验证 数据链路层 加强配电间、数据中心及ISP等设施的物理安全性 限制从公共区域访问局域网 物理层 数据传输安全措施 Internet 模型 IPSec 传输模式 IPSec 隧道模式 网络层 安全套接字层协议 (SSL) 或传输层安全协议(TLS) 服务器消息块 (SMB) 签名 安全多用途 Internet 邮件扩展协议 (S/MIME) 802.1x 应用层 10.2.2 通信信道安全措施概述 可以用于电子邮件应用程序 需要数字证书 部署往往很复杂 S/MIME 用于无线网络 可用于有线网络 用于网络硬件 需要有 PKI 802.1x 注意事项 安全措施及其提供的功能 必须在所有的计算机上启用 与早期操作系统兼容 可以用 GPO 部署 SMB 签名 与大多数应用程序兼容 与所有操作系统兼容 需要使用数字证书 降低性能 SSL 或 TLS 会话加密 会话