1.3网络安全防护体系.ppt

② 对本地网、局域网传输线路辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用了光缆传输的方式。 ③ 对终端设备辐射的防范 终端机尤其是CRT显示器,由于上万伏高压电子流的作用，具有极强的信号外泄可能，但又因终端分散使用，因此不宜采用屏蔽室的办法来防止“信号外泄”， 故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备(如干扰机)来破坏对应信息的窃复， 个别重要的电脑或集中的终端也可考虑采用有窗户的装饰性屏蔽室，此类方式虽降低了部分屏蔽效能但却大大改善了工作环境， 使人感到同在普通机房内一样工作。 2） 网络安全 如图1.2所示， 物理网络本身的安全包括系统安全、 网络运行安全、局域网与子网安全三个方面。 图1.2 网络安全 网络安全检测 访问控制(防火墙) 局域网、 子网安全 应急、 灾难恢复 备份与恢复 网络运行安全 审 计 分 析 入 侵 检 测 系统安全 检测 反病毒 系统(主机、服务器)安全 网络安全 (1) 外网隔离及访问控制系统 在内部网与外部网之间， 设置防火墙（包括分组过滤与应用代理）实现内外网的隔离与访问控制是保护内部网安全的最主要、 最有效、 最经济的措施之一。  无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为； 封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。 (2) 内部网中不同网络安全域的隔离及访问控制 在这里，防火墙被用来隔离内部网络的一个网段与另一个网段，这样，就能防止影响一个网段的问题在整个网络中传播。 针对某些网络，在某些情况下， 它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感，因此在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。 (3) 网络安全检测 网络系统的安全性取决于网络系统中最薄弱的环节。 如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析， 及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。 (4) 审计与监控 审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况， 审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题， 并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集和积累并且加以分析，能够发现破坏性行为的证据。因此， 除使用一般的网管软件和系统监控管理系统外，还应使用目前已较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。 (5) 网络反病毒 由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力， 因此计算机病毒的防范是网络安全性建设中重要的一环。 网络反病毒技术包括预防病毒、检测病毒和杀毒三种技术。  网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 (6) 网络备份系统 根据系统安全需求可选择的备份机制有：场地内高速度、 大容量自动的数据存储、备份与恢复；场地外的数据存储、备份与恢复； 对系统设备的备份。 备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。 * 第1章 网络安全 1.3 网络安全防护体系 1.3.1 网络安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不但要靠先进的技术，而且也得靠严格的管理、法律约束和安全教育，主要包括以下内容。  （1） 威严的法律 安全的基石是社会法律、 法规与手段， 即通过