CISM网络体系安全重点分析.ppt

中国信息安全测评中心 中启航国际信息技术（北京）有限公司 讲师：陈阳怀 OSI安全体系结构定义了系统应当提供的五类安全服务，以及提供这些服务的八类安全机制；某种安全服务可以通过一种或多种安全机制提供，某种安全机制可用于提供一种或多种安全服务。 鉴别； 访问控制； 数据机密性； 数据完整性； 抗抵赖； 加密； 数字签名； 访问控制； 数据完整性； 鉴别； 流量填充（用于对抗通信流量分析，在加密时才是有效的）； 路由控制（可以指定路由选择说明，回避某些特定的链路或子网）； 公证（notarization）； 所有设备均可接收信号。 通过中心点传输。 单一故障点。 比星型拓扑的复原能力更强。 信号绕环传输。 单一故障点。 信号沿相反方向传输。 比单环的复原能力更强。 容错能力强 实施成本高 在容错能力与成本之间寻求平衡 唯一性 连续性 扩展性 机密性 数据完整性 身份鉴别 防重放攻击 不可否认性 控制广播流量 控制组播流量 学习并选择网络路径 逻辑编址 流量访问控制 连接各种广域网 防止对交换机的未经授权的访问 配置系统口令和AAA鉴别、授权服务。 防止非法接入用户及设备和mac地址欺骗攻击 配置NAC和交换机端口安全功能。 防止针对生成树协议的攻击 配置交换机生成树安全功能（BPDU guard、root guard、loopguard等）。 Vlan acl、P