2 网络安全基础与防火墙.ppt

网络安全基础与防火墙 第一单元 什么是安全 学习目标 理解有关安全的定义 理解网络安全的必要性 识别需要保护的资源 识别常见的安全威胁类型 了解如何建立有效的安全矩阵 安全的定义 实验1-1 安装Netbus服务器并将木马植入到计算机。 注:Netbus是一个木马程序 ,利用它可以远程控制被 侵入的计算机。 有效的安全矩阵 一个合理有效的安全矩阵应该具有如下特点： 允许访问控制 容易使用 合理的花费 灵活性和伸缩性 优秀的警报和报告 安全投资回报 安全投资作为一种特殊投资形式，其目的是降低信息安全风险，投资回报主要来自于风险损失的降低。 划分需要保护的资源 可以将资产划分为4个资源组： 终端用户资源 网络资源 服务器资源 信息存储资源 终端用户资源 许多损害是来自于公司内部，用户操作失误或是缺乏安全意识往往会带来严重的安全问题。 网络资源 作为公司主要的通信媒介，网络联系着公司的各方面，若黑客侵入了网络，则黑客也可能随意地访问到各种资源，甚至进行各种极具危害的操作。 服务器资源 用于存储重要资料或是负责安全管理的服务器是最吸引黑客攻击的，而服务器遭受攻击造成的损失往往也是最大的。 信息存储资源 发现信息并获得信息可以认为是黑客行为的最终目的，黑客通过各种手段侵入网络，也是为了通过网络来得到他们所要的信息。 各种资源易受的攻击 潜在的威胁 信息泄密 信息被篡改 传输非法信息流 网络资源的错误使用 非法使用网络资源 计算机病毒 网络中存在的不安全因素 自然灾害：水灾、火灾、地震等 人为灾害：战争、纵火、盗窃设备等 系统物理故障：硬件故障、软件故障、网络故障等 人为的无意失误：程序设计错误、误操作、无意中损坏和无意中泄密等 人为的恶意攻击：主动攻击、被动攻击 存在百分之百的安全吗 尽管不可能实现绝对安全，但是仍可以达到某种水平，使得几乎所有最熟练的和最坚定的黑客也不能登录到系统。一个有效的安全策略能够使不安全因素最小化。 安全就是在动态环境中寻求平衡的过程 在安全实施的过程中，安全人员所要做的工作就是在易用性和安全性之间寻求平衡，赋予用户能完成所有工作的最小权限，以使安全最大化。 网络安全的目标 身份真实性：能对通讯实体身份的真实性进行鉴别。 信息机密性：保证机密信息不会泄露给非授权的人或实体。 信息完整性：保证数据的一致性，防止数据被非授权用户或 实体建立、修改和破坏。 服务可用性：保证合法用户对信息和资源的使用不会被不正 当地拒绝。 不可否认性：建立有效的责任机制，防止实体否认其行为。 系统可控性：能够控制使用资源的人或实体的使用方式。 系统易用性：在满足安全要求的条件下，系统应当操作简 单、维护方便。 可审查性： 对出现的网络安全问题提供调查的依据和手 段。 第二单元 安全标准及组织概况 学习目标 了解安全标准的意义 ISO 17799/ISO 27001的主要内容 了解公共准则 熟悉主要的网络安全组织 国际标准化组织 国际标准化组织，简称ISO，是一个全球性的非政府组织，是国际标准化领域中一个十分重要的组织。其任务是促进全球范围内的标准化及其有关活动。 ISO 定义的安全服务 认证： 提供身份验证的过程。 访问控制： 访问控制确定用户能做些什么。 数据保密性： 保护数据不被未授权的暴露。 数据完整性： 通过检查或维护信息的一致性来 防止主动的威胁。 不可否定性： 是防止参与交易的全部或部分的 抵赖。不可否定性可以防止来自 源端的欺骗。 安全机制 安全机制是一种技术，一些软件或实施一个或多个安全服务的过程 。 特殊安全机制 加密 数字签名机制 访问控制 数据完整性 身份验证 流量填充 普通的机制 信任功能 安全标签 审核跟踪 安全恢复 ISO 17799 BS 7799-1:1999被ISO委员会评审、讨论通过，成为信息安全领域的国际标准ISO/IEC 17799:2000，于2005年6月15日发布了ISO/IEC 17799:2005版（全称为信息技术—安全技术—信息安全管理实践规范）。 ISO 17799标准的内容 信息安全方针 组织安全 资产的分类与控制 人员安全 物理与环境安全 通信和运作方式管理 访问控制 系统开发与维护 信息安全事件管理 业务持续性管理 符合法律 ISO 17799标准的作用 ISO/IEC 17799不是技术性的信息安全操作手册，它讨论的主题很广泛，但对每一项内容的讨论都没有深入下去，也没有提供足够的信息以帮助组织建立信息安全管理体系，还不能满足认证的要求。但是，作为对各类信息安全主题的高级别概述，它有助于人们在管理中理解每一类信息安全主题的基础性问题。