Lecture4 信息安全测评与风险评估 教学课件.ppt

本次课程要点 * * * 信息安全测评与风险评估 工程 艺术 天作之合 s 信息安全测评与风险评估 信息安全实验室教学团队 重庆大学 软件学院 工程 艺术 天作之合 网络安全控制点 网络安全测评点 网络安全测评实验 网络安全的控制点 网络安全保障的两个对象： 1）服务安全：确保网络设备的安全运行，提供有效的网络服务 2）数据安全：确保在网上传输数据的保密性、完整性和可用性等； 3）网络环境是抵御内外攻击的第一道防线，一共安排了7个控制点 结构安全 访问控制（网络访问控制、拨号访问控制） 网络安全审计 边界完整性检查 网络入侵防范 恶意代码防范 网络设备防护 “纵深防御” 保密性 完整性 可用性 剩余 信息 结构 与网段 身份 鉴别 资源 控制 安全 审计 恶意 代码 入侵 防范 强制 控制 自主 控制 网络 访控 拨号 访控 安全 审计 边界 完整性 入侵 防范 恶意 代码 网设 防护 结构安全 为什么要考虑结构安全？ 在对网络安全实现全方位保护之前，首先应关注整个网络的资源分布、架构是否合理。只有结构安全了，才能在其上实现各种技术功能，达到网络安全保护的目的 通常，一个机构是由多个业务部门组成，各部门的地位、重要性不同，部门所要处理的信息重要性也不同，因此，需要对整个网络进行子网划分。 什么是结构安全？ 结构安全 三级结构安全包含哪些内容？ 要求网络资源方面能够为网络的正常运行提供基本的保障（1级） 要求网络资源能够满足业务高峰的需要，同时应以网段形式分隔不同部门的系统（2级） 案例演示：网络子网段的划分 与一、二级相比，增加了“处理优先级”考虑：要求“”主要网络设备 “、“网络各个部分的带宽”，不仅要求满足基本的业务需要，更应满足 业务高峰时的网络正常运行，以保证重要主机能够正常运行（3级） 案例演示：网段划分与安全策略 网络访问控制 网络访问控制的意义何在？ 对于网络而言，最重要的一道安全防线就是边界，边界上汇聚了所有流经网络的数据流，必须对其进行有效的监视和控制。 何谓边界？ 所谓边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间的连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。有连接，必有数据间的流动，因此在边界处，重要的就是对流经的数据（或者称进出网络）进行严格的访问控制。按照一定的规则允许或拒绝数据的流入、流出。 用什么方法控制边界？ 拨号访问控制 什么是拨号访问控制？ 如果说，网络访问控制是从数据的角度对网络中流动的数据进行控制，那么，拨号访问控制则是从用户的角度对远程访问网络的用户进行控制。对用户的访问控制，同样应按照一定的控制规则来允许或拒绝用户的访问 怎样进行拨号访问控制？ 三级访问控制 三级访问控制包含哪些内容？ 主要在网络边界处对经过的数据进行包头信息的过滤，以控制数 据的进出网络，对用户进行基本的访问控制 （1级） 对数据的过滤增强为根据会话信息进行过滤，对用户访问粒度进 一步细化，由用户组到单个用户，同时限制拨号访问的用户数量 （2级） 将过滤的力度扩展到应用层，即根据应用的不同而过滤，对设备 接入网络进行了一定的限制 （3级） 动手练习：本机查看QOS策略 案例演示：对应用层协议进行控制 动手练习：IP地址与MAC地址绑定 网络安全审计 你怎么理解网络安全审计？ 如果将安全审计仅仅理解为“日志记录”功能，那么目前大多数的 操作系统、网络设备都有不同程度的日志功能。但是实际上仅这些 日志根本不能保障系统的安全，也无法满足事后的追踪取证。安全 审计并非日志功能的简单改进，也并非等同于入侵检测 网络安全审计重点包括的方面：对网络流量监测以及对异常流量 的识别和报警、网络设备运行情况的监测等。通过对以上方面的记 录分析，形成报表，并在一定情况下发出报警、阻断等动作。其 次，对安全审计记录的管理也是其中的一方面。由于各个网络产品 产生的安全事件记录格式也不统一，难以进行综合分析，因此，集 中审计已成为网络安全审计发展的必然趋势。 三级网络安全审