网络安全20831.pptVIP

Step 1 分析网络系统现状 信息传输风险 安全机制与技术 身份鉴别 访问控制 数据加密 病毒防护 入侵检测 安全评估 备份与恢复 身份鉴别 基于口令、用户名的身份认证 基于主体特征的身份认证：如指纹 基于IC卡+PIN号码的认证 基于CA证书的身份认证 其他的认证方式 基于口令、用户名的身份认证 基于主体特征的身份认证 基于IC卡+PIN号码的认证 基于CA证书的身份认证 访问控制 内部工作子网与外网的访问控制 SSN区域与外网的访问控制 内部工作子网与SSN区域的访问控制 内部不同网段之间的访问控制 内部子网对拨号用户的认证及访问控制 下属机构对总部内网的访问控制 包过滤 NAT转换IP复用 流量控制 端口映射 信息审计日志 身份鉴别 IP与MAC绑定 用户级权限控制 基于时间的访问控制 内部工作子网与外网的访问控制 SSN区域与外网的访问控制 内部工作子网与SSN区的访问控制 拨号用户对内部子网的访问控制 下属机构对总部的访问控制 数据加密 数据机密性保护 数据完整性保护 数据源身份认证 数据机密性保护 数据完整性保护 病毒防护 网关病毒防护 工作站病毒防护 服务器病毒防护 控制台 网关病毒防护 工作站病毒防护 服务器病毒防护 控制台 入侵检测 在交换机上使用入侵检测系统 在Hub上使用入侵检测系统 在交换机上使用入侵检测 在Hub上使用入侵检测系统 备份与恢复 双机热备份 专业备份软件 Web服务器页面保护 灾难恢复 双机热备份 备份示意图 Web服务器的页面保护 灾难恢复示意图 Step 7 安全集成与应用开发 安全产品的集成 安全应用软件的开发 Step 8 安全服务 网络安全咨询 网络安全专业培训 网络安全检测 网络安全管理 应急响应服务 Host C Host D Host B Host A 入侵检测 受保护网络 Internet 同一台主机对受保护网络内的主机频繁扫描 同一主机对受保护网内的主机建立多个连接 其他对网内主机的攻击行为 将根据用户策略采取措施 执行用户自定义的策略 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 规则模拟测试 Host C Host D Host B Host A 受保护网络 Internet 防火墙规则已经做好，但防火墙还没有放到实际的网络上，如何测试已做的规则是否正确呢？ 串口线 在防火墙配置程序里可以模拟测试 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 SSN区域 WWW Mail DNS 密文传输 明文传输 明文传输 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 原始数据包 DSS 原始数据包 DSS DSS 解密 相等吗？ 验证通过 数据源身份认证 网络系统现状 潜在安全风险 安全需求与目标 安全方案设计 确立安全体系 安全解决方案 安全产品集成 安全应用开发 安全服务 Internet 区域 Internet 边界路由器 SSN区域 WWW Mail 带有病毒的数据包 网关防病毒软件 发现病毒立即采取相应的措施 发现病毒 内部工作子网