网络信息对抗资源-肖军模 课件9 第6-1节 安全策略与安全网络设计.pptVIP

第6.1节安全策略与安全网络设计 前言 本章主要讨论一个组织或部门的网络安全策略设计和安全网络的结构设计问题，然后讨论网络边界防护的各种技术措施。网络边界安全防护技术是用于解决内部网络与外部网络交界（接口）处的安全技术，各种用于网络边界安全防护设备或手段因解决各种防护需要而被创造出来。 例如，由于可能存在来自外部网络的入侵，所以具有包过滤功能的路由器、防火墙、入侵检测系统（IDS）以及入侵诱骗等设备与技术都应运而生；为了保护信息传输的安全性，虚拟专网（VPN）和各种安全传输协议（如SSL、IPSec）也被创造出来。 主要内容 安全策略与安全网络设计 路由器 防火墙 虚拟专用网（VPN） 蜜罐技术 入侵检测 snort系统介绍 主要内容 安全策略与安全网络设计 路由器 防火墙 虚拟专用网（VPN） 蜜罐技术 入侵检测 snort系统介绍 6.1 安全策略与安全网络设计 首先研究并制定符合自己组织信息安全要求的安全策略，然后根据安全策略的要求设计并构建组织内部的网络系统，最后再对网络系统以及各种网络设备提供的安全机制进行合理的配置，以达到充分利用之目的。 组织的信息安全策略设计 组织的安全网络结构 6.1.1组织的信息安全策略设计 一个组织的信息安全策略应该具有完善的完整性和一致性，完整性可以保证策略覆盖组织的所有安全需求，一致性则是为了保证策略集中包含互相矛盾的内容。一个组织系统的策略是划分为层次的，分别满足不同层次的信息安全的要求。本节除了说明策略的层次性和覆盖范围外，还将详细地研究网络访问控制策略的设计方法。 策略是什么？ 人员、信息和文档资料、以及对这些信息资料进行储存、处理与传输等作用的计算机与网络硬件与软件系统都属于一个组织的资产，每个组织都希望保护与充分利用自己的资产，但这需要在一套行之有效的信息安全保护规范与制度。在建立这套规范与制度之前，首先应该制定一整套策略、标准及指导，并把它们作为安全运作程序与制度的依据。 信息安全策略是关于一个组织保护其信息系统安全性的最高层次的指导原则，是根据组织领导集团的需求、设备情况、单位章程和法律约束等要求制定的。 策略是较高级的文档，它一般不指定所用的技术，而是指明方向与行为基准。策略不仅解释要怎么做，而且解释这样做的原因。策略建立了组织管理控制上的指导条例，并确定组织信息的所有使用者都应遵从的制度。 例如，一条策略声明中写到：“所有通信内容都应受到保护不被窃听”，策略中并不说明如何达到该目的，或使用何种技术达到该目的。而这些内容都是由标准定义的。 标准源于策略，用于描述在配置方面需要满足的要求以及需要采用的技术与遵照的特定步骤。标准是用来实现策略的过程与规程，并提供可供审计的详细信息及规范。 对应上述策略例子，相应的标准可以这样写：“所有基于网络的通信必须使用3DES（3倍数字加密标准）”进行加密。” 指导有时也称为手册，提供了实现信息安全控制策略及标准的推荐方案。指导本身并不是策略要求，但却是帮助组织的业务与技术领域与策略要求保持一致的最佳实现方案。指导并不一定要求遵从，但提供了一种与标准相匹配的方法，而标准则要求必须与策略相一致。 针对上述策略例子，指导要提供关于如何配置网络元素和根据标准要求加密信息的详细资料与操作方法，供负责实施解决方案的工程师参考，但工程师可以选择其他更合适的方案实施。 一个组织的安全策略是有层次性的 一个组织的所有人员和储存、传输与处理信息的设备与系统构成了该组织的信息系统，在这个信息系统的每一个层次上，包括从管理层到硬件层的各个层次上，都需要针对各层的具体问题做出安全性决策，其中包括企事业级的安全决策，行政管理方面的安全决策，硬件设备及其运行环境的安全决策，操作系统与数据库系统的安全决策等内容，安全策略是做出这些决策的依据。 在同一组织内部的各层次安全策略之间必须保持一致性，不能相互矛盾，并且是互相依存的。例如，有关网络系统与计算机设备的安全策略是受其组织最高层次策略指导的，也取决于合适的软件与硬件系统的支持。一般而言，低层次策略是由高层次策略推出的，但策略是受实现机制约束的，而实现机制又是受技术与经费限制的 组织制定策略是为了让其成员及下级组织了解如何行动，是各级管理者执行管理工作的依据。如果发生了违反策略的情况，将会产生严肃处理的结果。例如，如果某公司在关于电子邮件的策略中规定：在公司的电子邮件系统中，职员不拥有隐私权，所有电子邮件的所有权归公司所有并受到监视。如果规定了这样的策略，公司就有权监视职员往来的电子邮件，对违反策略规定的职员可以进行纪律处分。 策略、标准及指导制定出来并正式核准执行后，应该通过宣传培训让组织的所有员工都能了解并遵照