【网络安全设计课件】网络管理策略的设计.pptVIP

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 附录B 网络管理策略的设计 分析网络管理的风险 网络管理安全的设计 分析网络管理的风险 网络管理策略 网络管理策略的重要性 常见的网络管理威胁 网络管理策略 网络管理策略的重要性 常见的网络管理威胁 附录B 网络管理策略的设计 分析网络管理的风险 网络管理安全的设计 网络管理安全的设计 网络管理安全的设计步骤 常见的网络管理模型 委派管理控制的指导方针 合理使用网络管理工具的指导方针 网络管理安全的指导方针 抵御社交工程的指导方针 安全策略检查清单 网络管理安全的设计步骤 常见的网络管理模型 合理使用网络管理工具的指导方针 网络管理安全的指导方针 抵御社交工程的指导方针 回顾 学习完本附录后，将能够： 确定网络管理的威胁和风险 设计网络管理安全 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS- CHAP v2 中的身份验证 B.1 分析网络管理的风险 网络管理策略 管理工具 管理员 程序 网络 网络管理策略确定了： 网络管理工具 网络管理人员 网络管理程序 B.1.1 网络管理策略 内部 攻击者 攻击者冒充新雇佣的网络管理员打电话给企业的 IT 客户端支持，设法说服 IT 客户端支持管理员重新设定企业某个主管的密码 。于是，攻击者就可以利用这个账户对网络实施攻击。 社交工程 外部 管理员以自己的管理员账户登录到某台计算机。之后，他因为要参加一个会议而在计算机无人看管且没有锁定的情况下离开了，这时内部攻击者看到未锁定的计算机，就可以使用它来对网络实施攻击。 未锁定 的计算机 内部 示例 威胁 攻击者 外部 攻击者  B.1.2 网络管理策略的重要性 安全决策不力 拥有过高管理权限的账户 没有对即将雇佣的管理员进行完整的背景调查 网络管理模型 使用未经批准的工具管理网络 没有对管理网络所使用的通信信道进行有效保护 工具 针对管理员的社交工程攻击 从废弃物品中发现的敏感信息 信息访问 威胁 威胁来源 无意中忘记锁定计算机或服务器 把重要资源存放在不安全的物理区域 没有定时执行安全性任务 人为因素 B.1.3 常见的网络管理威胁 B.2 网络管理安全的设计 确定和优化企业所使用的网络管理模型 1 设计并创建网络管理策略和流程 5 列举出经过认可的网络管理工具和技术 4 确定网络管理人员以及他们所管理的范围 2 预测网络管理威胁 3 B.2.1 网络管理安全的设计步骤 由受信任的第三方执行网络管理 外包管理可以获得专家的技术支持，而这往往是企业所缺乏的 外包 自治组可以进行网络管理决策 网络管理可以在多个位置进行 此管理方式适用于在地理、政治或语言等方面十分复杂的中大型网络 分散 集中、分散或外包等网络管理模型的结合 这是最常见的网络管理模型 小型的核心小组进行网络管理决策 在一个中心位置进行网络管理 高安全性是以牺牲可伸缩性为代价的 特征 模型 混合 集中 B.2.2 常见的网络管理模型 委派管理控制的指导方针 在委派管理控制时要求： 始终只委派完成管理任务所需的最小必要权限 定期审核网络管理工作，并复查审核日志 对于能够访问机密数据的管理人员，考虑实行轮岗和强制休假 在对新的管理员 委派管理控制之前， 要求： 在招聘管理人员过程中做好背景调查工作 对管理人员进行培训，使其明白如何完成必需的管理工作 确保管理员理解企业的安全策略和流程 B.2.3 委派管理控制的指导方针 使用哪些网络管理工具 如何使用网络管理工具 如何对网络进行远程管理 Internet 确定： 管理员 公司总部 远程管理 终端服务器 VPN MMC Runas B.2.4 合理使用网络管理工具的指导方针 执行日常任务时要遵守策略和流程 创建并更新变更管理的日志文件 执行 日常任务 确定如何安全地使用远程管理工具 禁止未经批准而使用攻击者的工具 管理 工具的使用 对管理员的权限进行限制 禁止在日常工作中使用管理员账户 禁止使用管理员权限监视员工 有关策略和程序的指导方针 功能 管理员 账户的使用 B.2.5 网络管理安全的指导方针 社交工程利用人们的信任进