第五章-部署企业的网络安全.pptVIP

能力目标 掌握网络安全部署的基本方法 具备部署网络安全设备的基本能力 知识要点 了解网络安全现状，典型的黑客攻击； 熟悉网络与信息安全平台的任务、网络安全解决方案的组成； 熟悉企业网络安全设备的部署的基本方法； 通过列举的案例分析，能够进一步拓展并熟悉网络安全设备的部署中运用的技术设计和主要设计内容。 5.1网络安全设计基础 5.1.1网络安全现状 目前，我国网络安全问题日益突出，主要标志是： （1）计算机系统遭受病毒感染和破坏的情况相当严重。 （2）电脑黑客活动已形成重要威胁。 （3）基础设施面临网络安全的挑战。 （4）网络政治颠覆活动频繁。 5.1.2典型的黑客攻击 在典型的网络攻击中，黑客一般会采取如下的步骤： （1）自我隐藏。 （2）网络侦探和信息收集。 （3）确认信任的网络组成。 （4）确认网络组成的弱点。 （5）有效利用网络组成的弱点。 （6）获得对有弱点的网络组成的访问权。 黑客的主要攻击方式 （1）欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用，例如盗用拨号帐号。 （2）窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息。 （3）数据窃取：在信息的共享和传递过程中，对信息进行非法的复制。 黑客的主要攻击方式 （4）数据篡改：在信息的共享和传递过程中，对信息进行非法的修改。 （5）拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力，造成系统瘫痪，无法对外提供服务。 5.1.3网络与信息安全平台的任务 网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，做到事前预防、事中报警并阻止，事后能有效的将系统恢复。 网络上任何一个安全漏洞都会给黑客以可乘之机。著名的木桶原理（木桶的容量由其最短的木板决定）在网络安全里尤其适用。所以，设计的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有仔细的考虑。 5.1.4网络安全解决方案的组成 一个好的网络安全解决方案应该由如下几个部分组成： （1）防火墙：对网络攻击的阻隔 （2）入侵检测（IDS）：对攻击试探的预警 （3）安全审计管理 （4）虚拟专用网（VPN）：远程传输的安全 （5）防病毒以及特洛伊木马 （6）安全策略的实施保证 5.2网络安全设计过程 5.2.1网络安全方案概念 网络安全方案可以被看做一张施工的图纸，图纸的好坏，直接影响到工程的质量。总的来说，网络安全方案涉及的内容比较多，比较广，比较专业和实际。 5.2.1网络安全方案概念 对于一名从事网络安全的人来说，网络必须有一个整体、动态的安全概念。总的来说，对于方案设计者，要在整个项目中，有整体把握的能力，不能只关注自己熟悉的某一领域，而对其他领域毫不关心，甚至不理解，这样写不出一份好的安全方案。 因为写出来的方案，就是要针对用户所遇到的问题，运用已知的产品和技术解决问题。设计人员只有对安全技术有很深的了解，对网络产品有全面的接触，设计出来的安全方案才能更加接近用户的实用要求。 5.2.2 评价网络安全方案的质量 一份网络安全方案需要从以下8个方面来把握： （1）体现唯一性，由于安全的复杂和特殊，唯一性是评估安全方案最重要的一个标准。实际中，每一个特定网络都是唯一的，需要根据实际情况来处理。 （2）对安全技术和安全风险有一个综合把握和理解，包括现在和将来可能出现的所有情况。 5.2.2 评价网络安全方案的质量 （3）对用户的网络系统可能遇到的安全风险和安全威胁，结合现有的安全技术和安全风险，要有一个合适、中肯的评估，不能夸大，也不能缩小。 （4）对症下药，用相应的安全产品、安全技术和管理手段，降低用户的网络系统当前可能遇到的风险和威胁，消除风险和威胁的根源，增强整个网络系统抵抗风险和威胁的能力，增强系统本身的免疫力。 5.2.2 评价网络安全方案的质量 （5）方案中要体现出对用户的服务支持。这是很重要的一部分。因为产品和技术，都将会体现在服务中，服务来保证质量、服务来提高质量。 （6）在设计方案的时候，要明白网络系统安全是一个动态的、整体的、专业的工程，不能一步到位解决用户所有的问题。 5.2.2 评价网络安全方案的质量 （7）方案出来后，要不断的和用户进行沟通，能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。 （8）方案中所涉及的产品和技术，都要经得起验证、推敲和实施，要有理论根据，也要有实际基础。 5.2.3 网络安全方案的框架 总体上说，一份安全解决方案的框架涉及6大方面，可以根据用户的实际需求取舍其中的某些方面。 （1）概要安全风险分析 （2）实际安全风险分析 （3）网