实体安全防护教案.pptVIP

技术手段 优 点 缺 点 典型产品 彻底的 物理隔离 能够抵御所有的网络攻击 两个网络之间 没有信息交流 联想网御物理隔离卡、开天双网安全电脑以及伟思网络安全隔离集线器 协议隔离 能抵御基于TCP/IP协议的网络扫描与攻击等行为 有些攻击 可穿越网络 京泰安全信息交流系统2.0、东方DF-NS310物理隔离网关 物理隔离 网闸 不但实现了高速的数据交换，还有效地杜绝了基于网络的攻击行为 应用种类 受到限制 伟思ViGAP、天行安全隔离网闸(TopWalk-GAP)和联想网御SIS3000系列安全隔离网闸 2.4.3 物理隔离的性能要求 任何安全都是有代价的，由于物理隔离导致的使用不方便、内外数据交换不方便是难以避免的。但物理隔离技术应该做到以下几点，才能满足市场的需求。 高度安全：物理隔离要从物理链路上切断网络连接，才能有别于“软”安全技术，达到一个更高的安全层次。 较低成本：如果物理隔离的成本超过了两套网络的建设费用，那么相当程度上就失去了意义。 容易部署：这和降低成本是相辅相成的。 操作简单：物理隔离技术应用的对象是普通的工作人员，因此，客户端的操作要简单，用户才能方便的使用。 2.5 安全管理2.5.1 安全管理概述 定义：安全管理是指计算机网络的系统管理。包括了应用管理、可用性管理、性能管理、服务管理、系统管理、存储/数据管理等内容。所以，安全管理功能可概括为OAM﹠P，即计算机网络的运行（Operation）、处理（Administration）、维护（Maintenance）、服务提供（Provisioning）等所需要的各种活动。有时也考虑前三种，即把安全管理功能归结为OAM。 计算机网络安全管理的主要功能：国际标准化组织（ISO）在ISO/IEC 7498-4文档中定义了开放系统的计算机网络管理的五大功能，它们是：故障管理功能，配置管理功能，性能管理功能，安全管理功能和计费管理功能。其他一些管理功能，比如网络规划、网络管理者的管理等均不在这五个功能之内。 故障管理 故障管理（Fault Management）是网络管理中最基本的功能之一，即对网络非正常的操作引起的故障进行检查、诊断和排除。保证网络能够提供连续、可靠的服务。它的功能包括： 检测被管对象的差错，或接收被管对象的错误检测报告并做出响应； 当存在空闲设备或迂回路由时，提供新的网络资源用于服务； 创建和维护差错日志库，并对差错日志进行分析； 进行诊断和测试，以追踪和确定故障位置、故障性质； 纠正错误：通过资源更换或维护，以及其他恢复措施使其重新开始服务。 故障管理功能是利用标准协议SNMP和RMON来实现的。 配置管理 配置管理（Configuration Management）就是定义、收集、监测和管理系统的配置参数，使得网络性能达到最优。配置参数包括（但不局限于）设备资源、它们的容量和属性，以及它们之间的关系。 配置管理需要进行的操作内容包括： 鉴别被管对象，标识被管对象； 设置被管对象的参数，如初始化被管对象，路由操作的参数； 改变被管对象的操作特性，报告被管对象的状态变化； 关闭、删除被管对象。 配置管理的目的是为了随时了解系统网络的拓扑结构以及所交换的信息，包括连接前静态设定的和连接后动态更新的；实现某个特定功能或使网络性能达到最佳。 性能管理 性能管理（Performance Management）用于收集分析有关被管网络当前状况的数据信息，并维持和分析性能日志。典型的网络性能管理分成性能监测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少网络资源和具有最少时延。 功能包括： 收集和分发、统计与性能有关的数据信息； 维护系统性能的历史记录； 模拟各种操作的系统模型； 分析当前统计数据，以检测性能故障，产生性能告警、报告性能事件； 确定自然和人工状况下系统的性能； 改变系统操作模式以进行系统性能管理的操作。 安全管理 安全管理（Security Management）是指监视、审查和控制用户对网络的访问，并产生安全日志，以保证合法用户对网络的访问。在内联网中，安全管理一般是由专门的软件分担，如防火墙软件。 网络安全管理应包括对授权机制、访问控制、加密和密钥的管理，另外还要维护和检查安全日志。安全管理的功能包括： 支持安全服务。 维护安全日志。 向其他开放系统分发有关安全方面的信息和相关事件的通报。 创建、删除、控制安全服务和机制。 计费管理 计费管理（Accounting Management）记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理者还可以规