8.4.3灾难恢复的最佳做法-西安思源学院.ppt

ISP 的职责 在小型企业或 ISP 工作 – 第 8 章 目标 描述 ISP 安全策略和规程。 描述 ISP 在实施安全保护时使用的工具。 描述 ISP 的监控和管理。 描述 ISP 在维护和恢复方面的职责。 内容 8.1 ISP 在安全方面的考虑因素 8.2 安全工具 8.3 监控和管理 ISP 8.4 备份和灾难恢复 8.1 ISP 在安全方面的考虑因素 8.1.1 ISP 安全 计算机上任何活动的 Internet 连接都有可能让计算机成为恶意活动的攻击目标。 如果 ISP 托管着 Web 或电子商务网站，可能会将含有财务数据或银行帐户信息的机密文件存储在其服务器上。 ISP 的安全服务还保护着位于服务提供商所在地的服务器。服务提供商经常需要帮助客户保护其本地网络和工作站，以降低安全风险。 8.1.1 ISP 安全 为避免成为攻击的目标，许多 ISP 为客户提供管理型桌面安全服务。现场支持技术人员的一项重要工作便是在客户端计算机上采取最佳安全做法。ISP 支持技术人员可以提供的部分安全服务包括： 帮助客户端设置安全的设备密码 通过补丁管理和软件升级保护应用程序 删除可能形成漏洞的多余应用程序和服务 确保应用程序和服务仅供必要的用户使用 配置桌面防火墙和病毒检查软件 对软件和服务执行安全扫描，确定技术人员必须保护的安全漏洞。 8.1.2 最佳安全作法 常用的数据安全功能和规程包括： 加密服务器硬盘中存储的数据 设置权限，限制对文件和文件夹的访问 根据用户帐户或用户组成员资格允许或拒绝访问 如果允许访问，则根据用户帐户或用户组成员资格分配不同的权限级别 在分配访问文件和文件夹的权限时，最佳安全做法是遵循最小权限的原则。 8.1.2 最佳安全作法 身份认证、授权和记帐 (AAA) 是网络管理员为提高对攻击者入侵网络的防范能力而采取的三步式措施。 身份认证：要求用户提供用户名和密码以验明其身份。 授权：为用户分配使用特定资源和执行特定任务的权限。 记帐：记录使用的应用程序及其使用时间。 AAA 可用于不同类型的网络连接，它需要一个数据库来记录用户证书、权限和帐户统计数据。本地身份认证是 AAA 最简单的形式，它在网关路由器上保留本地数据库。如果某组织有大量用户要使用 AAA 进行身份认证，则必须在单独的服务器上保留一个数据库。 8.1.3 数据加密 默认情况下，通过网络发送的数据未经保护，是明文传输的。非授权的个人可以在传输未经保护的数据时加以拦截，这样便可以避开为数据设置的所有文件系统安全措施。 数字加密是对客户端与服务器之间所有传输的数据进行加密的一个过程。 在两台计算机之间交换机密信息时，最佳做法是使用安全版本的协议。 8.1.3 数据加密 有许多网络协议可供应用程序使用。有些协议具有安全版本，有些则没有。 8.2 安全工具 8.2.1 访问列表和端口过滤 8.2.1 访问列表和端口过滤 端口过滤是根据特定的 TCP 或 UDP 端口控制通信流量。许多服务器操作系统具有通过端口过滤限制访问的选项。这样，服务器既可以提供所需服务，又可以受到保护。网络路由器和交换机也可以利用端口过滤来控制通信流量和保护对设备的访问。 8.2.1 访问列表和端口过滤 访问列表用来根据源和（或）目的 IP 地址确定允许或拒绝通过网络的通信，也可以允许或拒绝所用协议的源和（或）目的端口上的通信。管理员在网络设备（如路由器）上创建访问列表，以控制是转发通信还是作出拦截。 访问列表只是第一条防线，还不足以保护网络安全。它只能禁止访问网络，而不能帮助网络防范各种类型的恶意攻击。 8.2.2 防火墙 防火墙是一种网络硬件或软件，用于定义可以进出网络特定区域的通信以及处理通信的方式。 访问列表是防火墙使用的工具之一。防火墙的访问列表可能非常复杂。 防火墙使用访问列表来控制允许通过或需要拦截的流量，并随着新功能的开发和新威胁的涌现而不断演变。 不同的防火墙具有不同的功能。动态数据包过滤防火墙或状态防火墙将跟踪源设备与目的设备之间的通信过程。 防火墙的功能越多，处理数据包所需的时间就越长。 8.2.2 防火墙 8.2.3 IDS and IPS 8.2.3 IDS and IPS IDS 解决方案在检测入侵时作被动反应。它们根据网络通信或计算机活动的特征码检测入侵。它不会阻止初始通信到达目的地，而是对检测到的活动作出响应。 在正常配置下，IDS 在检测到恶意通信时，可以主动重新配置网络设备（例如安全设备或路由器）来拦截其它的恶意通信，但是最初的恶意流量已经通过网络到达预定目的地，而无法拦截。只有后续的流量才会受到拦截。因此，IDS 设备无法阻止某些入侵。 处于防火墙之外，用于拦截大多数的恶意流量。 处于防火墙之后，用来检测防火墙的不当配置。