第八章网络安全系统解决方案综述.ppt

计算机网络安全基础 第八章网络安全系统解决方案 8.1 网络安全系统整体实施概述 8.1.1 网络安全系统构架 8.1.2 网络安全系统设计的基本原则 8.1.3 网络安全系统设计的基本方法 8.2 无线局域网的安全策略 8.2.1 无线局域网的工作原理 8.2.2 无线局域网的安全缺陷与攻击 8.2.3 无线局域网安全解决方案 8.2.4 基本安全措施 8.3 网络安全解决实例 8.3.1 校园网安全解决方案 8.3.2 大型企业网络安全解决方案 8.3.3 银行业务系统安全体系 8.1.1网络安全系统的构架 ITU-T X.800标准将常说的网络安全（networksecurity）进行逻辑上的分别定义，即安全攻击（security attack）是指损害机构所拥有信息的安全的任何行为；安全机制（security mechanism）是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务（security service）是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。 安全攻击、安全机制、安全服务之间的关系如下： 1.网络安全防范体系框架结构 网络安全防范体系的科学性、可行性是其可顺利实施的保障。图8-1给出了基于DISSP（美国国防信息系统安全计划）扩展的一个三维安全防范技术体系框架结构。第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI模型）。 2．网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题。根据网络的应用现状和网络的结构，将安全防范体系的层次（见图8-2）划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。 （1）物理环境的安全性――物理层安全 该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。 （2）操作系统的安全性――系统层安全 该层次的安全问题来自网络内使用的操作系统的安全。 （3）网络的安全性――网络层安全 该层次的安全问题主要体现在网络方面的安全性。 （4）应用的安全性――应用层安全 该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生。 （5）管理的安全性――管理层安全 安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。 3．现代网络安全体系模型 网络安全体系正从传统的静态被动防范向动态主动防范方向发展。其基本思路是根据制定安全防范策略，检测网络中的各种活动，调查和鉴别发现的问题，并将分析结果通知网络安全设备作为响应条件，网络安全设备根据接收到的分析结果采取相应措施，加入保护、跟踪、恢复等动作。 基于以上网络安全体系模型，构建网络安全体系结构。 8.1.2网络安全系统设计的基本原则 1．满足因特网的分级管理需求 2．需求、风险、代价平衡的原则 3．综合性、整体性原则 4．可用性原则 5．分步实施原则 6．木桶原则 7．标准化与一致性原则 8．技术与管理相结合原则 9．动态发展原则 10．易操作性原则 8.1.3网络安全系统设计的基本方法 1．规划阶段 2．设计阶段 3．实施阶段 4．操作阶段 5．优化阶段 8.2 无线局域网的安全策略 8.2.1无线局域网的工作原理 1．什么是无线局域网（WLAN） 无线局域网（Wireless LAN，WLAN）通常部署在校园、小区、企业办公室、会议室、工业仓库、网络教室和咖啡厅。按照IEEE 802.11标准中的定义，WLAN使用空气中的无线电频率（RF）作为介质发送和接收数据。 2．无线网络的工原理 应用于802.11a/b/g WLAN标准的安全，研发人员和黑客都发现了一些标准中所定义的认证、数据保密性和消息完整性机制的漏洞。 （1）WLAN的体系结构 WLAN的体系结构由3个部分构成：无线客户端丁作站；无线访问接入点AP；基本服务集（Basic Service Set，BSS）。 （2）建立WLAN连接 由于WLAN使用无线电频率发送和接收数据，因此建立无线连接的第一个步骤是进行信号扫描。 扫描功能是指一个无线工作站查找另一个工作站或AP。802.11标准定义了两类扫描功能：主动扫描和被动扫描。在扫描过程中，工作站监听信号帧（beacon frames，类似于保持活动keepalive消息），以定位和识别在区域内的BSS。信号帧中包含的信息有服务集标识符（service set Identifiers，SSID）、支持的速率以及时间戳。 8.2