计算机网络安全教程 梁亚声 ch10 网络安全解决方案新.ppt

入侵监测设备 在本方案中入侵监测设备采用的是NFR入侵监测设备，包括NFR NID和NFR HID。 NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来， 构成了一个完整的，一致的实时入侵监控体系。 返回本章首页 SAP身份认证设备 本方案采用的身份认证设备是Secure Computing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。 返回本章首页 10.4 单机用户网络安全解决方案 1. 单机用户面临的安全威胁 单机上网用户面临的安全问题主要包括：计算机硬件设备的安全、计算机病毒、网络蠕虫、恶意攻击、木马程序、网站恶意代码、操作系统和应用软件漏洞等。 电子邮件（Email）在给人们带来方便的同时也会带来一些安全问题，主要包括： 电子邮件容易被截获 电子邮件客户端软件设计存在缺陷 返回本章首页 2. 单机用户网络安全解决方案 由于当前个人用户使用Windows类操作系统的占大多数，因此本书所讨论的单机用户网络安全解决方案主要针对Windows系列操作系统。 以上对单机用户所面临安全威胁的分析，单机用户网络安全解决方案需要解决防病毒与木马、防网络攻击、防网站恶意代码，以及电子邮件安全等方面的问题。 返回本章首页 防病毒与木马 防病毒与木马主要依赖于防病毒软件，目前比较流行的有代表性的防病毒软件有：Norton Anti-Virus、Kaspersky Anti-Virus、江民的KV系列、金山毒霸和瑞星等。 防病毒软件通常也具有一定防木马的能力，专业的防木马软件有：木马克星、Anti-Trojan、Trojan Remover等。 安装防病毒软件绝对不是一劳永逸的，一定要养成定期更新病毒代码库的良好习惯。 返回本章首页 防网络攻击 防网络攻击的有效手段是安装个人防火墙。应用防火墙软件最主要的是要设置好防火墙的规则，只有这样才能正常发挥抵御网络攻击的能力。典型的个人防火墙软件主要有：Norton Internet Security、ZoneAlarm Pro、Black Ice、天网防火墙（个人版）等。 返回本章首页 防网站恶意代码 对于单机上网用户来说，网站恶意代码是威胁用户安全的主要因素。 为了防网站恶意代码的危害，不让其执行是其中的关键。可以在IE浏览器的安全设置中禁止VBScript和JavaScript的执行。此外，如今的防病毒软件大多数也具有检测并杀除网站恶意代码的能力。 返回本章首页 电子邮件安全 从技术上看，没有任何办法可以阻止攻击者截获需要在网络上传输的数据包。 保护电子邮件安全的唯一方法就是让攻击者截获了数据包但无法阅读它，即对电子邮件的内容进行某种形式的加密处理。目前已经出现了不少解决电子邮件安全问题的加密系统解决方案，其中最具代表性的是PGP加密系统。 返回本章首页 10.5 内部网络安全管理制度 面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。下面提出有关信息系统安全管理的若干原则和实施措施以供参考。 返回本章首页 1. 安全管理原则 计算机信息系统的安全管理主要基于三个原则。 多人负责原则 任期有限原则 职责分离原则 返回本章首页 2．安全管理的实现 信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是： 确定该系统的安全等级。 根据确定的安全等级，确定安全管理的范围。 制订相应的机房出入管理制度。 返回本章首页 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。 建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。 返回本章首页 3．网络安全管理制度 （1）网络安全管理的基本原则 ①分离与制约原则 内部人员与外部人员分离 用户与开发人员分离 用户机与开发机分离 权限分级管理 ②有限授权原则 ③预防为主原则 ④可审计原则 返回本章首页 （2）安全管理制度的主要内容包括： 机构与人员安全管理 系统运行环境安全管理 硬设施安全管理 软设施安全管理 网络安全管理 数据安全管理 技术文档安全管理 应用系统运营安全管理 操作安全管理 应用系统开发安全管理 返回本章首页 10.5 小结 网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从总体上进行把握。网络安全解决方案的内涵是